了解Aruba设备之间的防火墙端口配置

本文简单介绍ARUBA设备之间包括AP与AC,MM与MD之间,VIA/VPNC等等需要在防火墙上配置以允许网络正常运行的网络端口。此部分内容在ArubaOS User Guide上有相关章节(External Firewall Configuration)详细介绍。

1.受管设备之间的通信

配置以下端口以启用任何两个受管设备(MD)之间的通信:

  • IPsec (UDP port 4500) 用于 Mobility Master(MM)和Managed device(MD)间的通信。
  • IPsec (UDP ports 500 和 4500) 和 ESP (protocol 50)。Mobility Master(MM)和受管设备(MD)之间的PAPI封装在IPsec中。
  • IP-IP (protocol 94) 和 UDP port 443 用于L3的Mobility(漫游)。
  • 如果将访客流量通过GRE隧道至DMZ区的MD设备,需要 (UDP 500) ESP (protocol 50) NAT-T (UDP 4500)GRE (protocol 47) 。

2.AP与被管理设备之间的通信

AP在其初始启动期间使用简单文件传输协议(TFTP)从受管设备(MD)获取其软件映像和配置。 初始启动后,AP使用FTP从受管设备检索其软件映像和配置。

配置以下端口以启用AP与受管设备之间的通信:

  • PAPI (UDP port 8211). 如果AP使用DNS查找LMS受管设备,则AP首先尝试连接到Mobility Master。(需要放通AP到 DNS Server的 (UDP port 53) 流量。)
  • PAPI (UDP port 8211). 所有作为Air Monitors(AM)运行的AP都需要保持与Mobility Master永久的PAPI连接。
  • FTP (TCP port 21)
  • TFTP (UDP port 69)。所有Campus AP 如果AP上没有本地镜像,或者需要升级镜像(例如,新的AP),则AP将使用TFTP检索初始镜像。 对于远程AP(RAP),仅通过FTP而不是TFTP升级镜像。
  • SYSLOG (UDP port 514)
  • PAPI (UDP port 8211)
  • GRE (protocol 47)
  • Control Plane Security (CPsec) 使用 UDP port 4500

3.远程AP与受管设备之间的通信

配置以下端口以启用远程AP(IPsec)与受管设备之间的通信:

  • NAT-T (UDP port 4500)
  • TFTP (UDP port 69)

正常操作不需要TFTP。 如果远程AP由于任何原因丢失了本地镜像,它将使用TFTP下载最新镜像。

4.Aruba VIA需要以下端口

  • 用于可达性/受信任的网络检查,使用port 443
  • 用于IPsec通信,使用port 4500
  • 如允许ISAKMP,使用 port 500
  • 如开启 NAT-T,使用port 4500

5.启用网络访问

在防火墙上配置网络端口以管理Aruba网络。

对于网络管理员的计算机(运行Web浏览器)和受管设备之间的WebUI访问:

  • HTTP (TCP ports 80 and 8888) 不建议
  • HTTPS (TCP ports 443 and 4343)
  • SSH (TCP port 22) 或者 TELNET (TCP port 23)不建议

3 Replies to “了解Aruba设备之间的防火墙端口配置”

  1. 老师您好:
    关于MM之间做冗余的端口需要启用哪些呢?上述资料好像未提到这块

发表评论

电子邮件地址不会被公开。 必填项已用*标注