Aruba Série 200 (IAP)

 

UNIDADES MÉDIAS E GRANDES (+ 200 CLIENTES)

Rede dos Pontos de Gerência:

  • VLAN Unttaged na porta switch em que o IAP está conectado,
  • IP:  estáticos ou através de dhcp (preferencialmente em rede inválida),
  • atribuir IP na Virtual Controller (System > Virtual Controller IP:): ativar a check box Dynamic Proxy  (System > Dynamic Proxy: Radius).
    • Obs.: Se o IP da Virtual Controller  não estiver na mesma rede de Gerência dos IAPs, a VLAN deste segmento deve ser Tagged na porta do switch em que o IAP está conectado (System > Show Advanced options > Virtual Controller VLAN:).

Rede dos Clientes eduroam: 

  • VLAN Tagged na porta do switch em que o IAP está conectado, distribuição de IPs através de dhcp e serviço de NAT em ativo de rede externo (pfsense, firewalls, etc.).
IAP_nat-dhcp_ativo-unidade

 

UNIDADES PEQUENAS (ATÉ 200 CLIENTES) - SEM ATIVO DE REDE PARA DHCP E NAT

UNIDADES PEQUENAS (ATÉ 200 CLIENTES) – SEM ATIVO DE REDE PARA DHCP E NAT

Rede dos Pontos de Gerência:

  • VLAN Unttaged na porta switch em que o IAP está conectado,
  • IP: estáticos ou através de dhcp (preferencialmente em rede inválida),
  • atribuir IP na Virtual Controller (System > Virtual Controller IP:): ativar a check box Dynamic Proxy  (System > Dynamic Proxy: Radius).
    • Obs.: Se o IP da Virtual Controller  não estiver na mesma rede de Gerência dos IAPs, a VLAN deste segmento deve ser Tagged na porta do switch em que o IAP está conectado (System > Show Advanced options > Virtual Controller VLAN:).

Rede dos Clientes eduroam:

  • VLAN Tagged na porta switch em que o IAP está conectado,
  •  IP: através de dhcp, serviço de NAT.
IAP_nat-dhcp-no-cluster

DETALHAMENTO DE IMPLEMENTAÇÃO

Algumas sugestões de implementação são descritas abaixo, ambas com no mínimo 2 (duas) VLANs/Subredes distintas provisionadas nos uplinks dos Pontos de Acesso, uma para o gerenciamento e a outra para os clientes eduroam:

  1. NAT e DHCP dos clientes eduroam em ativos externos ao Ponto de Acesso.
    1. Neste modo deve-se preparar:
      1. um NAT para a vlan/rede de gerenciamento de APs, caso os APs usem ips inválidos para gerenciamento;
      2. um NAT/DHCP para vlan/subrede dos clientes do eduroam. Naturalmente, o mesmo ativo de rede pode oferecer o NAT nas duas vlans/subredes.
  2. NAT e DHCP dos clientes eduroam administrados através da Virtual Controller do cluster de Pontos de Acesso.
    1. Neste modo, prepara-se somente o NAT para a vlan/rede de gerenciamento de APs, caso os APs usem ips inválidos para gerenciamento. O resto e resolvido por configurações do IAP Aruba.

Na tabela abaixo cada linha representa um número de vlan diferente com uma respectiva subrede distinta.

Vlan/Subrede NAT DHCP Firewall
Virtual Controller (Y)/ IP válido Unidade

NÃO.

Virtual Controller IAP (Dynamic Proxy Radius enable)

NÃO.

 Liberar bidirecional UDP 1812 e 1813 com servidores radius eduroam USP. bloquear o resto
Gerência APs (X)/ 172.19.0.0/16

SIM.

Ativo de rede gerido pela Unidade

OPCIONAL.

Ativo de rede gerido pela Unidade

 Liberar bidirecional UDP 1812 e 1813 com servidores radius eduroam USP. bloquear o resto
SSID eduroam (Z)/ 172.20.0.0/16

SIM.

Ativo de rede gerido pela Unidade

SIM.

IAP Aruba

 Filtrar
SSID Guest (W)/ 172.21.0.0/16

SIM.

Ativo de rede gerido pela Unidade

SIM.

IAP Aruba

 Filtrar rigorosamente
SSID Admin-Service (telefones sem fio, smart TVs, impressoras, etc) (V)/ 172.22.0.0/16

SIM.

Ativo de rede gerido pela Unidade

SIM.

IAP Aruba

 Liberar

Abaixo podemos observar uma sequencia instruções e de captura de telas de configuração sugeridas.

Supondo que você vai oferecer todos os SSIDs listados acima, é necessário estender as vlans V, X, Y, Z, W nos swicthes que ligam os seus APs e a solução de NAT/DHCP.

Recomendamos que a porta do switch em que o AP está conectado seja configurada da seguinte forma:

  • Modo híbrido/general
  • Vlan X(Untag)
  • Vlans V, W, Y, Z (Tag)

Inicialmente, configure cada IAP com um ip de gerenciamento e use o firmware mais atual.

Independente de usar ip dinâmico (DHCP) ou ip fixo/estático para gerenciamento dos APs, é muito importante configurar o gateway válido e o servidor DNS. A tela abaixo mostra aonde configurar isso se você estiver usando ip fixo/estático. No caso do DHCP, certifique-se que ele distribui o gateway e servidor DNS corretamente.

ip-gw-dns

Logo após, configure o ip válido (vlan Y) da Virtual Controller (no “Menu System”, habilitando “Advanced Settings”) conforme as imagens abaixo.

09

Lembre-se de ativar Dinamic Proxy Radius nessa tela.

dynamic-proxy-radius

No menu RF (habilitando “Advanced Settings”) ative Client Match. Deixe SLB mode como Channel + Radio.

ARM_SLB-ClientMatch

Ative 802.11d / 802.11h na frequência de 5 GHz.

011

No menu Security, na aba “Authentication Servers” adicione os dois servidores Radius do eduroam.

16 17

Ainda no menu Security, na aba “Firewall Settings”, ative os três itens da coluna da direita.

012

Para criar o SSID eduroam clique em New, caso contrário edite o SSID eduroam previamente existem. Observe que o SSID eduroam deve usar somente letras minúsculas.

01

Na primeira tela “WLAN Settings”, ative “Advanced Settings”

02

Então ative Multicast Transmission Optimization.

03

Altere o Max clients threshold para 100. Então siga para a próxima tela clicando em Next.

04

Para preencher as etapas 2. VLAN e 4. Access desse wizard veja os links abaixo para identificar as configurações mais adequadas de acordo com o modelo de implementação escolhido.

Para o item 3. Security configure conforme abaixo.

radius-configuration