本文简单介绍ARUBA设备之间包括AP与AC，MM与MD之间，VIA/VPNC等等需要在防火墙上配置以允许网络正常运行的网络端口。此部分内容在ArubaOS User Guide上有相关章节（External Firewall Configuration）详细介绍。

1.受管设备之间的通信

配置以下端口以启用任何两个受管设备（MD）之间的通信：

• IPsec (UDP port 4500) 用于 Mobility Master（MM）和Managed device（MD）间的通信。
• IPsec (UDP ports 500 和 4500) 和 ESP (protocol 50)。Mobility Master（MM）和受管设备(MD)之间的PAPI封装在IPsec中。
• IP-IP (protocol 94) 和 UDP port 443 用于L3的Mobility（漫游）。
• 如果将访客流量通过GRE隧道至DMZ区的MD设备，需要 (UDP 500) ESP (protocol 50) NAT-T (UDP 4500)GRE (protocol 47) 。

2.AP与被管理设备之间的通信

AP在其初始启动期间使用简单文件传输协议（TFTP）从受管设备（MD）获取其软件映像和配置。 初始启动后，AP使用FTP从受管设备检索其软件映像和配置。

配置以下端口以启用AP与受管设备之间的通信：

• PAPI (UDP port 8211). 如果AP使用DNS查找LMS受管设备，则AP首先尝试连接到Mobility Master。(需要放通AP到 DNS Server的 (UDP port 53) 流量。)
• PAPI (UDP port 8211). 所有作为Air Monitors（AM）运行的AP都需要保持与Mobility Master永久的PAPI连接。
• FTP (TCP port 21)
• TFTP (UDP port 69)。所有Campus AP 如果AP上没有本地镜像，或者需要升级镜像（例如，新的AP），则AP将使用TFTP检索初始镜像。 对于远程AP（RAP），仅通过FTP而不是TFTP升级镜像。
• SYSLOG (UDP port 514)
• PAPI (UDP port 8211)
• GRE (protocol 47)
• Control Plane Security (CPsec) 使用 UDP port 4500

3.远程AP与受管设备之间的通信

配置以下端口以启用远程AP（IPsec）与受管设备之间的通信：

• NAT-T (UDP port 4500)
• TFTP (UDP port 69)

正常操作不需要TFTP。 如果远程AP由于任何原因丢失了本地镜像，它将使用TFTP下载最新镜像。

4.Aruba VIA需要以下端口

• 用于可达性/受信任的网络检查，使用port 443
• 用于IPsec通信，使用port 4500
• 如允许ISAKMP，使用 port 500
• 如开启 NAT-T，使用port 4500

5.启用网络访问

在防火墙上配置网络端口以管理Aruba网络。

对于网络管理员的计算机（运行Web浏览器）和受管设备之间的WebUI访问：

• HTTP (TCP ports 80 and 8888) 不建议
• HTTPS (TCP ports 443 and 4343)
• SSH (TCP port 22) 或者 TELNET (TCP port 23)不建议