Aruba Série 200 (IAP)
UNIDADES MÉDIAS E GRANDES (+ 200 CLIENTES)
Rede dos Pontos de Gerência:
- VLAN Unttaged na porta switch em que o IAP está conectado,
- IP: estáticos ou através de dhcp (preferencialmente em rede inválida),
- atribuir IP na Virtual Controller (System > Virtual Controller IP:): ativar a check box Dynamic Proxy (System > Dynamic Proxy: Radius).
- Obs.: Se o IP da Virtual Controller não estiver na mesma rede de Gerência dos IAPs, a VLAN deste segmento deve ser Tagged na porta do switch em que o IAP está conectado (System > Show Advanced options > Virtual Controller VLAN:).
Rede dos Clientes eduroam:
- VLAN Tagged na porta do switch em que o IAP está conectado, distribuição de IPs através de dhcp e serviço de NAT em ativo de rede externo (pfsense, firewalls, etc.).
UNIDADES PEQUENAS (ATÉ 200 CLIENTES) - SEM ATIVO DE REDE PARA DHCP E NAT
UNIDADES PEQUENAS (ATÉ 200 CLIENTES) – SEM ATIVO DE REDE PARA DHCP E NAT
Rede dos Pontos de Gerência:
- VLAN Unttaged na porta switch em que o IAP está conectado,
- IP: estáticos ou através de dhcp (preferencialmente em rede inválida),
- atribuir IP na Virtual Controller (System > Virtual Controller IP:): ativar a check box Dynamic Proxy (System > Dynamic Proxy: Radius).
- Obs.: Se o IP da Virtual Controller não estiver na mesma rede de Gerência dos IAPs, a VLAN deste segmento deve ser Tagged na porta do switch em que o IAP está conectado (System > Show Advanced options > Virtual Controller VLAN:).
Rede dos Clientes eduroam:
- VLAN Tagged na porta switch em que o IAP está conectado,
- IP: através de dhcp, serviço de NAT.
DETALHAMENTO DE IMPLEMENTAÇÃO
Algumas sugestões de implementação são descritas abaixo, ambas com no mínimo 2 (duas) VLANs/Subredes distintas provisionadas nos uplinks dos Pontos de Acesso, uma para o gerenciamento e a outra para os clientes eduroam:
- NAT e DHCP dos clientes eduroam em ativos externos ao Ponto de Acesso.
- Neste modo deve-se preparar:
- um NAT para a vlan/rede de gerenciamento de APs, caso os APs usem ips inválidos para gerenciamento;
- um NAT/DHCP para vlan/subrede dos clientes do eduroam. Naturalmente, o mesmo ativo de rede pode oferecer o NAT nas duas vlans/subredes.
- Neste modo deve-se preparar:
- NAT e DHCP dos clientes eduroam administrados através da Virtual Controller do cluster de Pontos de Acesso.
- Neste modo, prepara-se somente o NAT para a vlan/rede de gerenciamento de APs, caso os APs usem ips inválidos para gerenciamento. O resto e resolvido por configurações do IAP Aruba.
Na tabela abaixo cada linha representa um número de vlan diferente com uma respectiva subrede distinta.
Vlan/Subrede | NAT | DHCP | Firewall |
Virtual Controller (Y)/ IP válido Unidade |
NÃO. Virtual Controller IAP (Dynamic Proxy Radius enable) |
NÃO. |
Liberar bidirecional UDP 1812 e 1813 com servidores radius eduroam USP. bloquear o resto |
Gerência APs (X)/ 172.19.0.0/16 |
SIM. |
OPCIONAL. |
Liberar bidirecional UDP 1812 e 1813 com servidores radius eduroam USP. bloquear o resto |
SSID eduroam (Z)/ 172.20.0.0/16 |
SIM. |
SIM. |
Filtrar |
SSID Guest (W)/ 172.21.0.0/16 |
SIM. |
SIM. |
Filtrar rigorosamente |
SSID Admin-Service (telefones sem fio, smart TVs, impressoras, etc) (V)/ 172.22.0.0/16 |
SIM. |
SIM. |
Liberar |
Abaixo podemos observar uma sequencia instruções e de captura de telas de configuração sugeridas.
Supondo que você vai oferecer todos os SSIDs listados acima, é necessário estender as vlans V, X, Y, Z, W nos swicthes que ligam os seus APs e a solução de NAT/DHCP.
Recomendamos que a porta do switch em que o AP está conectado seja configurada da seguinte forma:
- Modo híbrido/general
- Vlan X(Untag)
- Vlans V, W, Y, Z (Tag)
Inicialmente, configure cada IAP com um ip de gerenciamento e use o firmware mais atual.
Independente de usar ip dinâmico (DHCP) ou ip fixo/estático para gerenciamento dos APs, é muito importante configurar o gateway válido e o servidor DNS. A tela abaixo mostra aonde configurar isso se você estiver usando ip fixo/estático. No caso do DHCP, certifique-se que ele distribui o gateway e servidor DNS corretamente.
Logo após, configure o ip válido (vlan Y) da Virtual Controller (no “Menu System”, habilitando “Advanced Settings”) conforme as imagens abaixo.
Lembre-se de ativar Dinamic Proxy Radius nessa tela.
No menu RF (habilitando “Advanced Settings”) ative Client Match. Deixe SLB mode como Channel + Radio.
Ative 802.11d / 802.11h na frequência de 5 GHz.
No menu Security, na aba “Authentication Servers” adicione os dois servidores Radius do eduroam.
Ainda no menu Security, na aba “Firewall Settings”, ative os três itens da coluna da direita.
Para criar o SSID eduroam clique em New, caso contrário edite o SSID eduroam previamente existem. Observe que o SSID eduroam deve usar somente letras minúsculas.
Na primeira tela “WLAN Settings”, ative “Advanced Settings”
Então ative Multicast Transmission Optimization.
Altere o Max clients threshold para 100. Então siga para a próxima tela clicando em Next.
Para preencher as etapas 2. VLAN e 4. Access desse wizard veja os links abaixo para identificar as configurações mais adequadas de acordo com o modelo de implementação escolhido.
- NAT/DHCP no Aruba IaP
- NAT/DHCP Externo
Para o item 3. Security configure conforme abaixo.