Banyak penelitian dan juga waktu di GUI yang sudah ditemukan untuk mempermudah kenyamanan Aruba wireless controllers.
Walaupun menghabiskan banyak waktu untuk mengkonfigurasi controllers via GUI, sekarang akan jauh lebih mudah untuk melakukannya lewat CLI.
Ternyata menemukan GUI Controller jarak jauh lebih berguna dalam memecahkan masalah dan memverifikasi konektivitas klien wireless.
Kali ini kita akan membahas beberapa pengetahuan dan wawasan yang telah saya peroleh saat menerapkan Aruba wireless controllers untuk salah satu brand perangkat jaringan terbaik saat ini.
Daftar Isi
Ikhtisar Controller
Aruba menawarkan wireless controllers dalam model seri 7000 dan seri 7200. Controller seri 7000 yang digunakan untuk perusahaan berskala kecil hingga besar dari kapasitas AP maksimum 16 hingga 64 dengan opsi hingga 24 switchport untuk akses kabel dan nirkabel terpadu.
Controller seri 7200 cocok untuk jaringan universitas dan mendukung kapasitas 256 AP hingga 2.048 AP maksimum.
Controller dapat digunakan sebagai Master atau Lokal. Aruba menyarankan untuk menerapkan Controller seri 7000 sebagai Lokal, sedangkan seri 7200 biasanya digunakan sebagai Controller Master.
Dalam penerapan Master-Lokal, Master bertanggung jawab atas semua konfigurasi kebijakan. Ini akan mencakup layanan seperti WIPS, konfigurasi AP Awal, peran pengguna dan konfigurasi terkait otentikasi, dll.
Controller lokal menghentikan tunnel AP, memproses dan meneruskan lalu lintas pengguna (termasuk otentikasi), mengelola ARM (Adaptive Radio Management), fitur Mobilitas dan QoS.
Aruba juga menawarkan Mobility Master Appliance yang menyematkan fitur tambahan yang tidak tersedia di model Controller lainnya.
Mobility Master Appliance memiliki kemampuan pengelompokan Controller yang memungkinkan pengalaman pengguna yang lebih baik dengan fitur-fitur seperti Hitless Failover.
Penyeimbangan Beban Pengguna Otomatis, Penyeimbangan Beban AP Otomatis, dan Roaming Seamless di seluruh kluster.
Jenis penerapan ini mungkin dapat dipertimbangkan untuk lingkungan sensitif di mana kinerja dan keandalan nirkabel yang tinggi merupakan persyaratan untuk layanan penting.
Catatan: ArubaOS 8.X dibutuhkan dengan Mobility Master Appliance. AP tidak dapat dihentikan pada Controller Master atau Master Mobilitas dengan kode ini, mereka hanya dapat berhenti pada Controller yang digunakan dalam mode Lokal.
ArubaOS 6.X memungkinkan penghentian AP pada Controller Master atau Lokal.
Lisensi
Controller master dapat dikonfigurasi dengan fitur lisensi terpusat. Dengan menggunakan controller master kita dapat membuat grup lisensi AP bersama yang dapat digunakan oleh semua controller pada jaringan.
Saat sebuah AP bergabung dengan Controller Lokal, ia menggunakan Lisensi AP bersama dengan PEF-NG (Firewall Penegakan Kebijakan Aruba) dan Lisensi RFProtect dari kumpulan.
Walaupun Lisensi Terpusat memungkinkan fleksibilitas, ada hal penting untuk dicatat bahwa Kapasitas AP Maksimum dari beberapa Controller yang lebih kecil bisa mengalami kesalahan fatal, jika tidak dirancang dengan hati-hati.
Misalkan Anda telah menerapkan Controller model 7205 sebagai Master dan 7030 Controller sebagai Lokal dalam penerapan Master-Lokal HA Aktif-Aktif, dengan total 100 lisensi AP dan fitur lisensi terpusat diaktifkan.
[DD1] [NP2] Jika AP diseimbangkan bebannya (50-50 pada setiap Controller) dan Controller master gagal, hanya 14 AP yang akan gagal dan 36 di antaranya akan mati. Ini karena kapasitas AP dari 7030 Controller model hanya memungkinkan 64 AP untuk bergabung dengannya.Redundansi
Untuk mengaktifkan redundansi, setiap kombinasi Model Penerapan HA dapat digunakan:
- Master / Standby Master dengan HA Active-Active Local Controllers – Redundansi penuh
- Master dengan HA Active-Standby Locals – N + 1 Redundansi dengan Berlangganan Berlebih
- Master-Local HA Active-Active atau Standby-Active – Master Active atau bertindak sebagai LMS cadangan
- Master Independen HA Active-Active – Tidak ada Controller lokal, masing-masing master bertindak sebagai cadangan untuk yang lain
Selama kumpulan lisensi AP tidak penuh, AP memiliki kemampuan failover ke IP LMS cadangan, yang dapat berupa Lokal atau Master lain berdasarkan penerapan.
Selama failover ke LMS cadangan, AP biasanya akan di-boot ulang sehingga menyebabkan beberapa menit pemadaman, kecuali fitur Fast Failover AP Aruba diaktifkan.
Fitur ini memungkinkan AP untuk membentuk tunnel siaga ke LMS cadangan untuk failover instan dan meminimalkan waktu henti.
Konfigurasi
| ap-group
wlan virtual-ap aaa profile aaa authentication mac aaa server-group aaa authentication-server radius aaa radius modifier aaa authentication dot1x aaa xml-api server aaa rfc-3576-server wlan dot11k-profile wlan handover-trigger-profile wlan rrm-ie-profile wlan bcn-rpt-req-profile wlan tsm-req-profile wlan hotspot hs2-profile wlan hotspot advertisement-profile wlan hotspot anqp-venue-name-profile wlan hotspot anqp-nwk-auth-profile wlan hotspot anqp-roam-cons-profile wlan hotspot anqp-nai-realm-profile wlan hotspot anqp-3gpp-nwk-profile wlan hotspot anqp-ip-addr-avail-profile wlan hotspot h2qp-wan-metrics-profile wlan hotspot h2qp-operator-friendly-name-profile wlan hotspot h2qp-conn-capability-profile wlan hotspot h2qp-op-cl-profile wlan hotspot h2qp-osu-prov-list-profile wlan hotspot anqp-domain-name-profile wlan ssid-profile wlan edca-parameters-profile station wlan edca-parameters-profile ap wlan ht-ssid-profile wlan dot11r-profile wlan wmm-traffic-management-profile wlan anyspot-profile rf dot11a-radio-profile rf spectrum-profile rf arm-profile rf ht-radio-profile rf am-scan-profile rf dot11g-radio-profile rf spectrum-profile rf arm-profile rf ht-radio-profile rf am-scan-profile ap wired-port-profile ap wired-ap-profile ap enet-link-profile ap lldp profile ap lldp med-network-policy-profile aaa profile aaa authentication mac aaa server-group aaa authentication-server radius aaa radius modifier aaa authentication dot1x aaa xml-api server aaa rfc-3576-server ap system-profile wlan voip-cac-profile wlan traffic-management-profile wlan virtual-ap aaa profile aaa authentication mac aaa server-group aaa authentication-server radius aaa radius modifier aaa authentication dot1x aaa xml-api server aaa rfc-3576-server wlan dot11k-profile wlan handover-trigger-profile wlan rrm-ie-profile wlan bcn-rpt-req-profile wlan tsm-req-profile wlan hotspot hs2-profile wlan hotspot advertisement-profile wlan hotspot anqp-venue-name-profile wlan hotspot anqp-nwk-auth-profile wlan hotspot anqp-roam-cons-profile wlan hotspot anqp-nai-realm-profile wlan hotspot anqp-3gpp-nwk-profile wlan hotspot anqp-ip-addr-avail-profile wlan hotspot h2qp-wan-metrics-profile wlan hotspot h2qp-operator-friendly-name-profile wlan hotspot h2qp-conn-capability-profile wlan hotspot h2qp-op-cl-profile wlan hotspot h2qp-osu-prov-list-profile wlan hotspot anqp-domain-name-profile wlan ssid-profile wlan edca-parameters-profile station wlan edca-parameters-profile ap wlan ht-ssid-profile wlan dot11r-profile wlan wmm-traffic-management-profile wlan anyspot-profile ap regulatory-domain-profile rf optimization-profile rf event-thresholds-profile ids profile ids general-profile ids signature-matching-profile ids signature-profile ids dos-profile ids rate-thresholds-profile ids impersonation-profile ids unauthorized-device-profile ap mesh-radio-profile ap mesh-ht-ssid-profile ap mesh-cluster-profile rf arm-rf-domain-profile ap provisioning-profile ap authorization-profile |
Konfigurasi Aruba wireless controllers menggunakan pendekatan hierarki, dimana beberapa profil konfigurasi dibuat secara terpisah dan dilampirkan kepada profil dengan tingkat yang lebih tinggi.Praktik terbaiknya adalah mengkonfigurasi pengaturan dan profil tingkat terendah terlebih dahulu, lalu membangun. Meninjau konfigurasi Controller ini mungkin membingungkan banyak dari kita tanpa sepenuhnya memahami hierarki konfigurasi.Berikut ini adalah perintah CLI “show profile-hierarchy” pada Controller 7205, yang mana perintah tersebut menunjukkan bagaimana profil berhubungan satu sama lain dan memberikan kejelasan.Dengan begitu Anda hanya perlu mengkonfigurasi beberapa hal agar penerapan tersebut dapat berhasil.Banyak dari profil dan parameter tidak memerlukan penyesuaian disebagai besar lingkungan. Berikut ini adalah skema tentang beberapa konfigurasi dan profil penting yang baru-baru ini sudah diterapkan di website klien.
Skema diatas memandu alur konfigurasi dari profil tingkat rendah (atas) ke tingkat tinggi (bawah).
Catatan: contoh konfigurasi yang ditampilkan hanyalah konfigurasi parsial untuk memberikan visual dan berlaku untuk baris perintah kode ArubaOS 6.x.
Jika dilihat dari skema bawah grafik. AP group menggabungkan semuanya. Setiap AP harus ditetapkan ke grup AP pada saat penerapan.
Grup AP pada dasarnya mendefinisikan SSID yang akan diketahui dan diiklankan oleh AP, otentikasi yang digunakan, penerapan VLAN, dll.
Anda dapat menggunakan grup AP tunggal untuk seluruh jaringan atau memecahnya per situs atau wilayah. Kecuali Anda mengiklankan SSID yang berbeda untuk set AP yang berbeda (per situs atau wilayah), lebih mudah menggunakan satu Grup AP.
Profil Virtual-AP dibuat per SSID dan ditetapkan ke AP-Group. Setiap profil Virtual-AP diberi Profil SSID yang menentukan SSID dan Profil AAA yang menentukan semua parameter otentikasi yang sesuai dengan SSID tersebut.
VLAN juga dikonfigurasi di bawah profil Virtual-AP dan ditetapkan ke semua pengguna secara default, kecuali VLAN tertentu ditetapkan ke Roleto Pengguna yang ditetapkan pengguna, yang diutamakan. Atribut kemudian dikonfigurasikan di bawah profil AAA.
Parameter otentikasi AAA ditentukan dalam server / grup AAA, dot1x, captive portal, dll. Peran Pengguna juga dikonfigurasi dalam profil AAA untuk menentukan peran pra-atau pasca-otentikasi untuk pengguna.
Peran Pengguna menentukan akses yang diizinkan oleh pengguna berdasarkan Kebijakan Firewall yang dikonfigurasi untuk setiap peran. Kebijakan Firewall pada dasarnya adalah ACL (standar, diperpanjang, berbasis layanan, dll.).
Saat pengguna mencoba untuk menyambung ke SSID apapun, mereka ditetapkan dengan peran awal. Peran awal ini menentukan jenis akses apa yang akan dimiliki pengguna sebelum mengautentikasi (yaitu hanya akses http / https ke portal tawanan untuk diautentikasi oleh tamu).
Setelah berhasil di autentikasi, pengguna akan diberi peran pasca-otentikasi yang menyediakan akses jaringan yang ditentukan oleh administrator (yaitu hanya akses http / https ke internet, memblokir semua komunikasi ke ruang alamat RFC 1918).
Peran Pengguna juga dapat diturunkan sebagai atribut Radius dari server AAA dengan otentikasi yang berhasil.
VLAN dapat ditetapkan ke Peran Pengguna, baik untuk menempatkan mereka di VLAN awal dengan akses terbatas atau untuk menetapkan mereka dengan VLAN akses khusus (yaitu Akses Admin Jaringan).
Secara keseluruhan, Controller Nirkabel Aruba cukup sederhana untuk dikonfigurasi dan tampaknya memberikan fleksibilitas yang tinggi dalam menerapkan solusi Nirkabel untuk kebutuhan Anda.
Lebih banyak pengalaman saya tahun ini adalah dengan kode ArubaOS 6.x yang sangat berbeda dari kereta 8.x baru, fitur baru, tampilan baru, dll.
Demikian bahasan kita tentang Aruba Wireless Controllers yang mungkin bisa dijadikan referensi.
