这个是很早基于AOS6写的文章,对于AOS8需要注意白名单添加方式。其他原理一样。RAP有2种认证方式,一种基于证书,一种基于密钥。一般IAP可以很方便做RAP,但是传统CampusAP也可以转RAP,所以根据实际情况配置。
控制器端需要开放端口参考《了解Aruba设备之间的防火墙端口配置》,一般开放4500端口即可。
一、基于证书认证方式
1、IAP模式转RAP
控制器端
添加地址池(RAP使用)
Advanced Services > VPN Services > IPSEC
添加白名单
IAP端:
Maintenance>Convert 选择RemoteAP,填写远程AC公网IP地址
注册成功后
2、瘦AP(Campus AP)转RAP
AC端
选择注册成功的瘦AP
填写公网IP
其他默认,点击apply reboot即可
二、基于密钥认证方式
1、瘦AP(Campus AP)转RAP
添加IKE共享密钥
Advanced Services > VPN Services > IPSEC
添加白名单
Wireless > AP Installation > Whitelist
转换AP
Wireless > AP Installation > Provisioning
填写密钥,生成用户名密码
填写远程AC公网IP
注册成功
注意此时Flags为R(非证书认证的Rc2)
三、AOS8 基于证书RAP配置方法
- 在8.x启用cluster后,需要在/mm或/mynode下添加AP白名单(命令行模式),或者在/md下添加白名单(WebUI模式)
- 需要在/mynode下添加RAP地址池。
添加AP白名单
(Lab1-MM-1) [mynode] #cd /mm
(Lab1-MM-1) [mm] #whitelist-db rap add mac-address xx:xx:xx:xx:xx:xx ap-group xxxx
添加RAP地址池
(Lab2-MM-1) [mynode] #configure t
(Lab2-MM-1) [mynode] (config) #lc-rap-pool rap 172.10.1.1 172.10.1.100
(Lab2-MM-1) ^[mynode] (config) #write memory
- Cluster环境需要为每个MD配置RAP public IP
- Cluster开始终结RAP后,Cluster最大只支持4个节点
Cluster添加md时需要配置RAP Public IP(无Cluster环境可以不需要)
(Lab1_MD1) #show ap database
AP Database
-----------
Name Group AP Type IP Address Status Flags Switch IP Standby IP
---- ----- ------- ---------- ------ ----- --------- ----------
lho default 225 10.1.1.3 Down R-c2 10.1.10.11 0.0.0.0AP Provisioning(配置RemoteAP)
Hi
如果RAP public IP沒有配置會發生什麼事?Cluster還可以運行?因為MD是配置實體IP不是private IP。
请问rap在总是桥接状态下,找不到控制器超时自动重启的时间可以设置吗?
心跳时间可以修改,在apgroup里面修改Heartbeat参数,具体参考userguide
谢谢,再请教个问题,在rap模式下,遇到ac失联后,有线端口会默认开启dhcp server,自动与上联的e0口做nat。请问ac失联时,能否关闭这个dhcp server,让有线端口与上联口直接做桥接呢?
新建个wired profile调用给接口就行。