Aruba Wireless Controllers: Architecture & Configurations

Banyak penelitian dan juga waktu di GUI yang sudah ditemukan untuk mempermudah kenyamanan Aruba wireless controllers.

Walaupun menghabiskan banyak waktu untuk mengkonfigurasi controllers via GUI, sekarang akan jauh lebih mudah untuk melakukannya lewat CLI.

Ternyata menemukan GUI Controller jarak jauh lebih berguna dalam memecahkan masalah dan memverifikasi konektivitas klien wireless.

Kali ini kita akan membahas beberapa pengetahuan dan wawasan yang telah saya peroleh saat menerapkan Aruba wireless controllers untuk salah satu brand perangkat jaringan terbaik saat ini.

Ikhtisar Controller

Aruba menawarkan wireless controllers dalam model seri 7000 dan seri 7200. Controller seri 7000 yang digunakan untuk perusahaan berskala kecil hingga besar dari kapasitas AP maksimum 16 hingga 64 dengan opsi hingga 24 switchport untuk akses kabel dan nirkabel terpadu.

Controller seri 7200 cocok untuk jaringan universitas dan mendukung kapasitas 256 AP hingga 2.048 AP maksimum.

Controller dapat digunakan sebagai Master atau Lokal. Aruba menyarankan untuk menerapkan Controller seri 7000 sebagai Lokal, sedangkan seri 7200 biasanya digunakan sebagai Controller Master.

Dalam penerapan Master-Lokal, Master bertanggung jawab atas semua konfigurasi kebijakan. Ini akan mencakup layanan seperti WIPS, konfigurasi AP Awal, peran pengguna dan konfigurasi terkait otentikasi, dll.

Controller lokal menghentikan tunnel AP, memproses dan meneruskan lalu lintas pengguna (termasuk otentikasi), mengelola ARM (Adaptive Radio Management), fitur Mobilitas dan QoS.

Aruba juga menawarkan Mobility Master Appliance yang menyematkan fitur tambahan yang tidak tersedia di model Controller lainnya.

Mobility Master Appliance memiliki kemampuan pengelompokan Controller yang memungkinkan pengalaman pengguna yang lebih baik dengan fitur-fitur seperti Hitless Failover.

Penyeimbangan Beban Pengguna Otomatis, Penyeimbangan Beban AP Otomatis, dan Roaming Seamless di seluruh kluster.

Jenis penerapan ini mungkin dapat dipertimbangkan untuk lingkungan sensitif di mana kinerja dan keandalan nirkabel yang tinggi merupakan persyaratan untuk layanan penting.

Catatan: ArubaOS 8.X dibutuhkan dengan Mobility Master Appliance. AP tidak dapat dihentikan pada Controller Master atau Master Mobilitas dengan kode ini, mereka hanya dapat berhenti pada Controller yang digunakan dalam mode Lokal.

ArubaOS 6.X memungkinkan penghentian AP pada Controller Master atau Lokal.

Lisensi

Controller master dapat dikonfigurasi dengan fitur lisensi terpusat. Dengan menggunakan controller master kita dapat membuat grup lisensi AP bersama yang dapat digunakan oleh semua controller pada jaringan.

Saat sebuah AP bergabung dengan Controller Lokal, ia menggunakan Lisensi AP bersama dengan PEF-NG (Firewall Penegakan Kebijakan Aruba) dan Lisensi RFProtect dari kumpulan.

Walaupun Lisensi Terpusat memungkinkan fleksibilitas, ada hal penting untuk dicatat bahwa Kapasitas AP Maksimum dari beberapa Controller yang lebih kecil bisa mengalami kesalahan fatal, jika tidak dirancang dengan hati-hati.

Misalkan Anda telah menerapkan Controller model 7205 sebagai Master dan 7030 Controller sebagai Lokal dalam penerapan Master-Lokal HA Aktif-Aktif, dengan total 100 lisensi AP dan fitur lisensi terpusat diaktifkan.

[DD1] [NP2] Jika AP diseimbangkan bebannya (50-50 pada setiap Controller) dan Controller master gagal, hanya 14 AP yang akan gagal dan 36 di antaranya akan mati. Ini karena kapasitas AP dari 7030 Controller model hanya memungkinkan 64 AP untuk bergabung dengannya.

Redundansi

Untuk mengaktifkan redundansi, setiap kombinasi Model Penerapan HA dapat digunakan:

  • Master / Standby Master dengan HA Active-Active Local Controllers – Redundansi penuh
  • Master dengan HA Active-Standby Locals – N + 1 Redundansi dengan Berlangganan Berlebih
  • Master-Local HA Active-Active atau Standby-Active – Master Active atau bertindak sebagai LMS cadangan
  • Master Independen HA Active-Active – Tidak ada Controller lokal, masing-masing master bertindak sebagai cadangan untuk yang lain

Selama kumpulan lisensi AP tidak penuh, AP memiliki kemampuan failover ke IP LMS cadangan, yang dapat berupa Lokal atau Master lain berdasarkan penerapan.

Selama failover ke LMS cadangan, AP biasanya akan di-boot ulang sehingga menyebabkan beberapa menit pemadaman, kecuali fitur Fast Failover AP Aruba diaktifkan.

Fitur ini memungkinkan AP untuk membentuk tunnel siaga ke LMS cadangan untuk failover instan dan meminimalkan waktu henti.

Konfigurasi

ap-group

wlan virtual-ap

aaa profile

aaa authentication mac

aaa server-group

aaa authentication-server radius

aaa radius modifier

aaa authentication dot1x

aaa xml-api server

aaa rfc-3576-server

wlan dot11k-profile

wlan handover-trigger-profile

wlan rrm-ie-profile

wlan bcn-rpt-req-profile

wlan tsm-req-profile

wlan hotspot hs2-profile

wlan hotspot advertisement-profile

wlan hotspot anqp-venue-name-profile

wlan hotspot anqp-nwk-auth-profile

wlan hotspot anqp-roam-cons-profile

wlan hotspot anqp-nai-realm-profile

wlan hotspot anqp-3gpp-nwk-profile

wlan hotspot anqp-ip-addr-avail-profile

wlan hotspot h2qp-wan-metrics-profile

wlan hotspot h2qp-operator-friendly-name-profile

wlan hotspot h2qp-conn-capability-profile

wlan hotspot h2qp-op-cl-profile

wlan hotspot h2qp-osu-prov-list-profile

wlan hotspot anqp-domain-name-profile

wlan ssid-profile

wlan edca-parameters-profile station

wlan edca-parameters-profile ap

wlan ht-ssid-profile

wlan dot11r-profile

wlan wmm-traffic-management-profile

wlan anyspot-profile

rf dot11a-radio-profile

rf spectrum-profile

rf arm-profile

rf ht-radio-profile

rf am-scan-profile

rf dot11g-radio-profile

rf spectrum-profile

rf arm-profile

rf ht-radio-profile

rf am-scan-profile

ap wired-port-profile

ap wired-ap-profile

ap enet-link-profile

ap lldp profile

ap lldp med-network-policy-profile

aaa profile

aaa authentication mac

aaa server-group

aaa authentication-server radius

aaa radius modifier

aaa authentication dot1x

aaa xml-api server

aaa rfc-3576-server

ap system-profile

wlan voip-cac-profile

wlan traffic-management-profile

wlan virtual-ap

aaa profile

aaa authentication mac

aaa server-group

aaa authentication-server radius

aaa radius modifier

aaa authentication dot1x

aaa xml-api server

aaa rfc-3576-server

wlan dot11k-profile

wlan handover-trigger-profile

wlan rrm-ie-profile

wlan bcn-rpt-req-profile

wlan tsm-req-profile

wlan hotspot hs2-profile

wlan hotspot advertisement-profile

wlan hotspot anqp-venue-name-profile

wlan hotspot anqp-nwk-auth-profile

wlan hotspot anqp-roam-cons-profile

wlan hotspot anqp-nai-realm-profile

wlan hotspot anqp-3gpp-nwk-profile

wlan hotspot anqp-ip-addr-avail-profile

wlan hotspot h2qp-wan-metrics-profile

wlan hotspot h2qp-operator-friendly-name-profile

wlan hotspot h2qp-conn-capability-profile

wlan hotspot h2qp-op-cl-profile

wlan hotspot h2qp-osu-prov-list-profile

wlan hotspot anqp-domain-name-profile

wlan ssid-profile

wlan edca-parameters-profile station

wlan edca-parameters-profile ap

wlan ht-ssid-profile

wlan dot11r-profile

wlan wmm-traffic-management-profile

wlan anyspot-profile

ap regulatory-domain-profile

rf optimization-profile

rf event-thresholds-profile

ids profile

ids general-profile

ids signature-matching-profile

ids signature-profile

ids dos-profile

ids rate-thresholds-profile

ids impersonation-profile

ids unauthorized-device-profile

ap mesh-radio-profile

ap mesh-ht-ssid-profile

ap mesh-cluster-profile

rf arm-rf-domain-profile

ap provisioning-profile

ap authorization-profile

Konfigurasi Aruba wireless controllers menggunakan pendekatan hierarki, dimana beberapa profil konfigurasi dibuat secara terpisah dan dilampirkan kepada profil dengan tingkat yang lebih tinggi.Praktik terbaiknya adalah mengkonfigurasi pengaturan dan profil tingkat terendah terlebih dahulu, lalu membangun. Meninjau konfigurasi Controller ini mungkin membingungkan banyak dari kita tanpa sepenuhnya memahami hierarki konfigurasi.Berikut ini adalah perintah CLI “show profile-hierarchy” pada Controller 7205, yang mana perintah tersebut menunjukkan bagaimana profil berhubungan satu sama lain dan memberikan kejelasan.Dengan begitu Anda hanya perlu mengkonfigurasi beberapa hal agar penerapan tersebut dapat berhasil.Banyak dari profil dan parameter tidak memerlukan penyesuaian disebagai besar lingkungan. Berikut ini adalah skema tentang beberapa konfigurasi dan profil penting yang baru-baru ini sudah diterapkan di website klien.Konfigurasi

Skema diatas memandu alur konfigurasi dari profil tingkat rendah (atas) ke tingkat tinggi (bawah).

Catatan: contoh konfigurasi yang ditampilkan hanyalah konfigurasi parsial untuk memberikan visual dan berlaku untuk baris perintah kode ArubaOS 6.x.

Jika dilihat dari skema bawah grafik. AP group menggabungkan semuanya. Setiap AP harus ditetapkan ke grup AP pada saat penerapan.

Grup AP pada dasarnya mendefinisikan SSID yang akan diketahui dan diiklankan oleh AP, otentikasi yang digunakan, penerapan VLAN, dll.

Anda dapat menggunakan grup AP tunggal untuk seluruh jaringan atau memecahnya per situs atau wilayah. Kecuali Anda mengiklankan SSID yang berbeda untuk set AP yang berbeda (per situs atau wilayah), lebih mudah menggunakan satu Grup AP.

Profil Virtual-AP dibuat per SSID dan ditetapkan ke AP-Group. Setiap profil Virtual-AP diberi Profil SSID yang menentukan SSID dan Profil AAA yang menentukan semua parameter otentikasi yang sesuai dengan SSID tersebut.

VLAN juga dikonfigurasi di bawah profil Virtual-AP dan ditetapkan ke semua pengguna secara default, kecuali VLAN tertentu ditetapkan ke Roleto Pengguna yang ditetapkan pengguna, yang diutamakan. Atribut kemudian dikonfigurasikan di bawah profil AAA.

Parameter otentikasi AAA ditentukan dalam server / grup AAA, dot1x, captive portal, dll. Peran Pengguna juga dikonfigurasi dalam profil AAA untuk menentukan peran pra-atau pasca-otentikasi untuk pengguna.

Peran Pengguna menentukan akses yang diizinkan oleh pengguna berdasarkan Kebijakan Firewall yang dikonfigurasi untuk setiap peran. Kebijakan Firewall pada dasarnya adalah ACL (standar, diperpanjang, berbasis layanan, dll.).

Saat pengguna mencoba untuk menyambung ke SSID apapun, mereka ditetapkan dengan peran awal. Peran awal ini menentukan jenis akses apa yang akan dimiliki pengguna sebelum mengautentikasi (yaitu hanya akses http / https ke portal tawanan untuk diautentikasi oleh tamu).

Setelah berhasil di autentikasi, pengguna akan diberi peran pasca-otentikasi yang menyediakan akses jaringan yang ditentukan oleh administrator (yaitu hanya akses http / https ke internet, memblokir semua komunikasi ke ruang alamat RFC 1918).

Peran Pengguna juga dapat diturunkan sebagai atribut Radius dari server AAA dengan otentikasi yang berhasil.

VLAN dapat ditetapkan ke Peran Pengguna, baik untuk menempatkan mereka di VLAN awal dengan akses terbatas atau untuk menetapkan mereka dengan VLAN akses khusus (yaitu Akses Admin Jaringan).

Secara keseluruhan, Controller Nirkabel Aruba cukup sederhana untuk dikonfigurasi dan tampaknya memberikan fleksibilitas yang tinggi dalam menerapkan solusi Nirkabel untuk kebutuhan Anda.

Lebih banyak pengalaman saya tahun ini adalah dengan kode ArubaOS 6.x yang sangat berbeda dari kereta 8.x baru, fitur baru, tampilan baru, dll.

Demikian bahasan kita tentang Aruba Wireless Controllers yang mungkin bisa dijadikan referensi.

Loading

Semua operasional PT. Network Data Sistem akan menggunakan domain nds.id per tanggal 8 Mei 2019. Semua informasi/promosi dalam bentuk apapun selain menggunakan domain nds.id bukan tanggung jawab PT. Network Data Sistem Tutup