Arubavlan基本配置手冊(cè)

一、本章重要描述有關(guān)控制器的基本的網(wǎng)絡(luò)配置，重要內(nèi)容如下：

二、VLANs配置

二、配置端口

四、VLAN協(xié)議

五、配置靜態(tài)路由

六、環(huán)回IP地址配置

七、控制器IP地址配置

八、GRE隧道配置

第一部分：VLANs配置/虛擬局域網(wǎng)配置

2層互換機(jī)控制器的操作運(yùn)用是以VLAN作為廣播域，作為2層互換機(jī)，控制器規(guī)定需要外界

的途徑來實(shí)現(xiàn)與VLANsF時(shí)途徑連通“該控制器還可以作為第三層互換機(jī)，可以定義VLAN

之間的交通路線的控制器3

你可以在控制器上配置一種/多種物理端口實(shí)現(xiàn)一種虛擬局域網(wǎng)。此外，每個(gè)無線客戶端口

關(guān)聯(lián)是連接到一種特定的虛擬局域網(wǎng)的端口控制器上。你可以根據(jù)你的網(wǎng)絡(luò)需要替代所有經(jīng)

認(rèn)證授權(quán)的無線顧客到單個(gè)VLAN或者替代到不一樣的VLANs<,VLANs可以單獨(dú)存在在控制器

里面或者可以通過802.lqVLAN標(biāo)簽存在在控制器外部。

你可以選擇在控制器上為VLAN配置一種IP地址和子網(wǎng)施碼，當(dāng)VLAN上近來口勺物理端口被

激活的J同步，該IP地址也被激活。該VLANIP地址可以作為外部設(shè)備的一種接入點(diǎn)，指向

虛擬局域網(wǎng)IP地址的I數(shù)據(jù)包不是為控制器指定的I而是根據(jù)控制器日勺IP路由表來轉(zhuǎn)發(fā)的。

創(chuàng)立和更新VLANs:創(chuàng)立和更新單個(gè)/多種VLANs

1)1.通過WEBUI來創(chuàng)立或者修改單個(gè)VLAN

、)打開Configuratioii>Network>VLANsp?

3)點(diǎn)擊“ADD新建”按鈕創(chuàng)立一種新H勺VLANo(若需要修改，點(diǎn)擊Edit按鈕)詳細(xì)參照

58頁創(chuàng)立一系列日勺VLANso

4)為VLAN增長一種物理端口，點(diǎn)擊選項(xiàng)

5)點(diǎn)擊Apply.

2.通過CLI(命令)創(chuàng)立或者修改VLAN

(host)(config)#vlan<id>

(host)(config)#interfacefastethernetIgigabitethernet<slot>/<port>

(host)(config)#switchportaccessvlan<id>

3.通過WEBLI來創(chuàng)立或者修改多種VLAN

1）一次性增長并聯(lián)的VLANs,點(diǎn)擊

2）在彈出時(shí)窗I」，輸入你想要?jiǎng)?chuàng)立的VLANs序列。例如，增長一種ID號(hào)碼為200-300

和302-33（邢JVLAN,輸入200-300,302-330。

3）點(diǎn)擊“OK”

4）為VLAN增長物理端點(diǎn)，點(diǎn)擊“EDIT”進(jìn)入你想要配置日勺VLAN頁面，點(diǎn)擊"Port

Selectionn選項(xiàng)設(shè)置端口。

5）點(diǎn)擊“APPLY"

4.通過CLI（命令）創(chuàng)立或者修改VLANs

（host）（config）#vlan

（host）（config）#vlanrange200-300,302-350

1.創(chuàng)立、更新和刪除VLANs池：創(chuàng)立、更新和刪除VLANs池

1）通過WEBUI來創(chuàng)立單個(gè)VLAN：如卜邛J配置操作創(chuàng)立一種名為“Mygroup"的JVLAN池，VLAN

IDs2,4和12將被分派到該池

2）打開Configuration>Network>VLAN.

3）選擇“VLANPoolt;”選項(xiàng)打開VLANPool匕窗口

4）點(diǎn)擊“ADD”

5）在一欄輸入你確定向VLAN池名稱，名稱大小在32字節(jié)內(nèi)（不容許空格）。VLAN名

稱不能修改，請(qǐng)謹(jǐn)慎選擇

6）在一欄輸入你想要增長的VLANID號(hào)碼。假如你懂得ID,輸入IP號(hào)碼，以逗號(hào)隔開;

或者點(diǎn)擊下拉菜單中的V-箭頭選擇需要增長的ID到VLAN池。

7）必須增長2個(gè)或2個(gè)以上F、JVLANIDs創(chuàng)立池

8）完畢所有IDs的增長后，點(diǎn)擊”ADD“選項(xiàng)：VLAN池和指定的ID同步顯示在VLAN

池的窗口上。假如VLAN池可用（必須指定2個(gè)或2個(gè)以上的ID）,狀態(tài)將顯示可用；假

如只創(chuàng)立了一種VLAN池或者沒有增長ID或只增K門個(gè)ID,狀態(tài)將顯示為不可以。

9）點(diǎn)擊Apply.

2.在窗口頂端，點(diǎn)擊保留設(shè)置

3.更新VLAN池

1）在VLANPool窗口，點(diǎn)擊“Modify”修改

2）修改VLANIDs的名稱，不能修改VLAN名稱

3）點(diǎn)擊“UPDATE”修改

4）點(diǎn)擊“APPLY”

在窗口頂端，點(diǎn)擊保留設(shè)置

4.刪除VLANPool

1)在VLANPool窗口,點(diǎn)擊“Delete”刪除選項(xiàng)，將彈出及時(shí)窗口

2)點(diǎn)擊“0K”

3)點(diǎn)擊“APPLY”

5.在窗口頂端，點(diǎn)擊保留設(shè)置

運(yùn)用CLI命令創(chuàng)立VLANPool:只有2個(gè)或2個(gè)以上的VLANIDs才可以創(chuàng)立VLANPool

(host)#configureterminal

EnterConfigurationcommands,oneperline.EndwithCNTL/Z

(host)(config)#vlan-namemygroup

(host)(config)#vlan-namemygrouppool

(host)(config)#

6.運(yùn)用CU命令查看已存在的VLANIDs

(host)#configureterminal

EnterConfigurationcommands,oneperline.EndwithCNTL/Z

(host)(config)#showvlan

VLANCONFIGURATION

VLANDescriptionPorts

1DefaultFE1/0-3FE1/6GE1/8

2VLAN0002

4VLAN0004

12VLAN0012

210VLAN0210

212VLAN0212FE1/5

213VLAN0213FE1/4

1170VLAN1170FE1/7

1170VLAN1170FE1/7

7.運(yùn)用CLI命令為VLANPool增長現(xiàn)行『、JVLANIDs

(host)#configureterminal

EnterConfigurationcommands,oneperline.EndwithCNTL/Z

(host)(config)Hvlan-namemygrouppool

(host)(config)Hvlanmygroup2,4,12

(host)(config)卻

為了確認(rèn)VLANPool的I狀態(tài)和映射任務(wù)，可以運(yùn)用“ShowVianNapping”命令實(shí)現(xiàn):

(host)(config)#showvlanmapping

VLANNamePoolStatusVLANIDs

newgroupEnabled2,4,12

groupl23Disabled

第二部分：端口配置

迅速以太網(wǎng)和千兆以太網(wǎng)端口都可以被設(shè)置為訪問或者中繼模式。默認(rèn)狀況下，訪問模式下

的端口以及途徑傳播僅為指定口勺VLAN服務(wù)。在中繼模式下，一種端口可認(rèn)為多種VLANs

實(shí)現(xiàn)途徑傳播。

對(duì)于中繼端口，不管該端n與否為控制器上的所有VLANs配置實(shí)現(xiàn)途徑傳播還是為了某個(gè)

特定的VLANs實(shí)現(xiàn)途徑傳播。你可以設(shè)別為該端口服務(wù)的當(dāng)?shù)豓LAN。中繼端口?般運(yùn)用

802.lq標(biāo)簽為特定的VLANs標(biāo)注框架。不過，當(dāng)?shù)豓LAN無標(biāo)注標(biāo)識(shí)。

信息分類為可信或不可信:不僅需要考慮輸入物理端點(diǎn)和隧道配置對(duì)無線信息的安全影響也

許，還需要考慮與VLAN連接的端點(diǎn)和渠道口勺可信性。

1.有關(guān)可信/不可信的I物理端點(diǎn)

默認(rèn)狀況下，控制器上的物理端點(diǎn)都是安全的并且都是連接到內(nèi)部網(wǎng)絡(luò)上口勺。不可信的端點(diǎn)

一般是連接到第三方APs、公共網(wǎng)絡(luò)或者其他訪問控制可被輕易攻破的網(wǎng)絡(luò)上aJ。當(dāng)確認(rèn)一

種物理端點(diǎn)為不可信的時(shí)候，所有需要通過該端口進(jìn)行的信息傳播都需要通過一種預(yù)先設(shè)

定時(shí)訪問控制程序。

2.有關(guān)可信/不可信II勺VLANs

你同樣可以通過確認(rèn)VLAN界面和端口/隧道來確認(rèn)VLAN信息傳播日勺安全性。這表明，只

有在連接到VLAN上日勺端II可信的狀況下，無線信息輸入端點(diǎn)才是安全肛否則則是不可信

的。當(dāng)連接到VLANs的端口不可信時(shí)，所有輸入或者輸出的信息都需要通過預(yù)先設(shè)定的

ACL程序。例如，假如企業(yè)為訪問者提供接入容許，那么訪問者久必須通過預(yù)先設(shè)定的ACL

程序進(jìn)入受限界面。這種狀況下，這種設(shè)置是可行的。

你可以在中繼模式下設(shè)置系列可信或者不可信的VLANs。一下口勺圖表5闡明了端口和VLAN

對(duì)信息安全影響的I聯(lián)絡(luò)。只有在端口和VLAN都安全的狀況下，信息傳播狀態(tài)才是安全口勺。

假如信息傳播不安全，那么所有的信息傳播都必須通過預(yù)先設(shè)置"勺訪問控制程序和無線條

款。

圖表5:辨別信息口勺安全性和不安全性

Table5ClassifyingTrustedandUntrustedTraffic

PortVLANTrafficStatus

在訪問模式下通過WEBUI來配置安全/不安全的端口和VLANs:

1）如下程序?yàn)椋号渲?一種不安全的以太網(wǎng)端口，指定VLANs并使其為不可信區(qū)J,令需要

為不可信的信息訪問預(yù)先設(shè)置需要通過U勺訪問程序。

2）打開：窗口

3）在PortSelection選項(xiàng)中選擇需要配置的端口

4）在一欄，清晰安全的端口，使其配置為不可信"勺。（默認(rèn)端口都是安全的）

5）在一欄，選擇“ACCESS”

6）在“VLANID”時(shí)下拉菜單中選擇需要進(jìn)過該端點(diǎn)傳播的“VLANID”

7）在一欄中，清晰安全口勺ALAN,使其配置為不可信的“（默認(rèn)VLAN都是安全的）

8）在下拉菜單中，選擇VLAN信息傳播需要通過的程序，你可認(rèn)為可信或者不可信口勺

VLANs選擇信息傳播預(yù)訂程序

9）從選項(xiàng)中，在下拉菜單中選擇經(jīng)該端口回傳信息需要通過日勺預(yù)訂程序

10）從下拉菜單外選擇經(jīng)該端口回傳信息需要通過的預(yù)訂程序

II）選擇合用于該集點(diǎn)信息傳播的端口和VLAN,從下拉菜單中為其選擇預(yù)訂程序

12）點(diǎn)擊"APPLY”

在訪問模式下通過CLI命令來配置安全/不安全的端口和VLANs:如：

(host)(config)#interfacerangefastethernet1/2

(host)(config-if)#switchportmodeaccess

(host)(config-if)4notrusted

(host)(config-if)#switchportaccessvlan2

(host)(config-if)#notrustedvlan2

(host)(config-if)#ipaccess-group叩-aclsessionvlan2

(host)(config-if)#ipaccess-groupvaliduserethaclin

(host)(config-if)#ipaccess-groupvaliduserethaclout

(host)(config-if)#ipaccess-groupvalidusersession

在中繼模式下通過WEBUI來配置安全/不安全的端口和VLANs：

1）如下程序?yàn)椋号渲靡幌盗械囊蕴W(wǎng)端II為不安全的當(dāng)?shù)刂欣^端口，指定VLANs并使其

為不可信的，令需要為不可信的信息訪問預(yù)先設(shè)置需要通過的I訪問程序。

2）打開：窗口

3）在P。1^Selection選項(xiàng)中選擇需要配置的端口

4）在一欄，選擇中繼“TRUNK”

5）為了辨別當(dāng)?shù)豓LAN,從“NaliveVLAN”下拉菜單中點(diǎn)擊〈一箭頭

選擇如下任意一種方式來控制通過端口的信息傳播類型：

--除了其中從下拉菜單項(xiàng)選擇擇的那個(gè)端口，其他的短信信息傳播均需為VLANs

服務(wù)

AllowVTANs-

--所有從下拉菜單中選擇的信息傳播的端點(diǎn)都為VLANs服務(wù)

RemoveVLANs-所有的端點(diǎn)信息傳播都不為VLANS服務(wù)

6）為該端點(diǎn)指定不安全的VLANs,點(diǎn)擊"TRUSTEDEXCEPT”選項(xiàng)。在一種相對(duì)安全口勺

VLAN領(lǐng)域，輸入一系列你指定的不安全的VLANs。（例如，200-300,401-500等）只有

在該清單中的VLANs才是不安全的，如需要指定某個(gè)VLAN為不安全的J,僅需從下拉

菜單中選擇一種VLANo

7）為該端點(diǎn)指定安全於JVLANs,點(diǎn)擊“UNTRUSTEDEXCEPT”選項(xiàng)。在一種相對(duì)不安全

H勺VLAN領(lǐng)域，輸入一系列你指定H勺安全的VLANs。（例如，200-300,401-500等）只有

在該清單中的VLANs才是安全的，如需要指定某個(gè)VLAN為安全的J,僅需從下拉菜單

中選擇一種VLAN。

8)如需要移除某個(gè)VLAN,點(diǎn)擊"REMOVEVLANs"選項(xiàng)，從下拉菜單中選擇一種你想

要移除的VLAN,點(diǎn)擊向左的箭頭從列表中移除即可。

9)為VLAN信息傳播設(shè)定需要通過的預(yù)訂程序，在“SESSIONFIREWALLPOLICY”下

面，點(diǎn)擊“NEW”選項(xiàng)

10)輸入VIAN【D或者從下拉菜單中選擇，從policy下拉菜單中單擊“add”選擇增長，為

VLAN信息傳播選搭需要預(yù)設(shè)的程序。選擇的VLAN和程序都會(huì)顯示在SESSION

FIREWALLPOLICY界面

II)完畢VLAN設(shè)置和程序設(shè)置，點(diǎn)擊“CANCEL”

12)點(diǎn)擊“APPLY"

在中繼模式下通過CLI命令來配置安全/不安全的端口和VLANs:

(host)(config)#interfacefastethemet2/0

(host)(config-if)#descriptionFE2/

(host)(config-if)#trustedvlan1-99,101,104,106-199,201-299

(host)(config-range)#switchportmodetrunk

(host)(config-if)#switchporttrunknativevlan100

(host)(config-range)#ipaccess-group

(host)(config-range)#ipaccess-grouptestsessionvlan2

第三部分：有關(guān)VLAN協(xié)議

(-)VLAN協(xié)議是將一種客戶端分派一種虛擬局域網(wǎng)的幾種措施之一，VLAN協(xié)議分

派有一定的優(yōu)先次序。VLANs協(xié)議的優(yōu)先次序如下：(從低到高)

（二）默認(rèn)的VLAN配置WLAN（詳見11頁的“virtualAPs"）

（三）在客戶端確認(rèn)之前,VLAN可以根據(jù)客戶端的屬性規(guī)則（網(wǎng)路，模式，客戶端，定位,

加密類型）被派生出來。根據(jù)客戶端屬性派生出來口勺詳細(xì)技術(shù)規(guī)則比由VLAN配置代顧客

派生出來的規(guī)則享有優(yōu)先權(quán)。

（四）在客戶端被確認(rèn)后，VLAN可以成為VLAN配置默認(rèn)角色日勺身份驗(yàn)證措施,例

如802.1X或者VPN。

（五）在客戶端被確認(rèn)后，VLAN可以由認(rèn)證服務(wù)器的返回屬性被派生出來（服務(wù)器派

生規(guī)則）。詳細(xì)技術(shù)的VLAN派生規(guī)則優(yōu)先于由VLAN配置的顧客角色派生出來的規(guī)則。

在客戶端被確認(rèn)后，VLAN可以從微軟隧道屬性派生出來（隧道類型、隧道介質(zhì)類型和隧道

專用ID）.三種屬性必須同步存在，不規(guī)定任何服務(wù)器派生規(guī)則。

在客戶端被確認(rèn)之后,VLAN可以從供應(yīng)商特性（VSA）中派牛.出來作RADIUS服務(wù)器屬性。

不規(guī)定任何服務(wù)器派生規(guī)則。假如VSA是現(xiàn)成的，他將優(yōu)先于其他任何VLAN優(yōu)先協(xié)議。

為VLAN指定一種靜態(tài)地址

可以手工在控制器上為VLAN指定一種靜態(tài)IP地址。一種控制器上的VLAN至少需要指定

一種靜態(tài)IP地址。

用WEBUI為VLAN指定靜態(tài)地址

1.在WEBUI頁面打開，點(diǎn)擊“EDFT”編輯。

2.選擇“usethefollowingIPaddress”選項(xiàng),輸入IP地址和網(wǎng)絡(luò)掩碼的接口。假如需要，你還

可以通過點(diǎn)擊“ADD”為VLAN增長DHCP服務(wù)器H勺指定地址。

3.點(diǎn)擊“APPLY”

用CLI命令為VLAN指定靜態(tài)地址

interfacevlan<id>

ipaddress〈address〉<netmask>

為VLAN指定動(dòng)態(tài)接受地址

1.控制器上的VLAN可以通過如下途徑獲得其IP地址：

2.由網(wǎng)絡(luò)管理員手動(dòng)配置：這是一種默認(rèn)的方式，在62頁的對(duì)其有詳細(xì)的描述。一種控

制器上I向VLAN至少需要一種動(dòng)態(tài)IP地址。

3.通過動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）或者點(diǎn)對(duì)■點(diǎn)時(shí)以太網(wǎng)服務(wù)協(xié)議（PPPOE）來指定動(dòng)態(tài)

IPo詳細(xì)措施在下面的章節(jié)中有詳細(xì)闡明。

在一種分辦公室里，你可以將控制器連接到?種上行開關(guān)或者將?種動(dòng)態(tài)IP地址指定到控

制器設(shè)備上。例如，控制器可以被連接到DSL（數(shù)字顧客線）、調(diào)制解調(diào)器上或者遠(yuǎn)程寬帶接

入服務(wù)器（BRAS）上,“Figure2“圖表將顯示一種控制器連接到調(diào)制解調(diào)器上的分辦公室。

VLAN1擁有一種靜態(tài)IP地址，同步VLAN2通過上行設(shè)備上的DHCP或者PPPOE協(xié)議擁

有一種動(dòng)態(tài)IP地址?？刂破魃系腄HCP服務(wù)器在當(dāng)?shù)豈絡(luò)中FI勺IP地址指定池中為顧客指

定IP地址。

為了使得控制器能為VLAN獲得一種動(dòng)態(tài)IP地址，必須保證DHCP或者PPPOE客戶端在

VLAN控制器上。

1.如下是在保證DHCP和PPPOE連接到控制器上面H勺限制條件：

2.必須保證DHCP/PPPOE客戶端存在控制器上的J一種VLAN上。這個(gè)VLAN不能是VLAN1.

3.只有一種VLAN端口可以被連接到調(diào)制解調(diào)器或者上行開關(guān)上。

4.至少有一種在VLAN上口勺端口必須在DHCP/PPPOE客戶端從服務(wù)器上祈求IP地址之前

是上升狀態(tài)。

只有?種在控制器上的VLAN可以通過DHCP/PPPOE來獲取IP地址,DHCP和PPPOE不能

同步存在在控制器上。

保證DHCP客戶端

DHCP服務(wù)器為某個(gè)特定期間段分派IP地址稱為“租賃控制器會(huì)在租賃到期之前自動(dòng)更

新。當(dāng)你關(guān)閉VLAN時(shí),DHCP租賃將自動(dòng)免除。

用WEBUI來確認(rèn)VLAN上臥JDHCP協(xié),議

?打開=Configuration>Network>IP>IPInterfacesj

2.點(diǎn)擊“EDIT”編輯之前創(chuàng)立日勺VLAN

3選擇ObtainanIPaddressfromDHCP.

4.點(diǎn)擊“APPLY”

用CLI命令來確認(rèn)VLAN上的DHCP協(xié)議

vlan<id>

interfacevlan<id>

ipaddressdhcp-client

保證PPPOE客戶端

1.驗(yàn)證BRAS（遠(yuǎn)程寬帶接入服務(wù)器），祈求動(dòng)態(tài)IP,控制器必須完畢如下操作：

2.PPPOE顧客名和密碼必須連接到DSL網(wǎng)絡(luò)上

3.PPPOE服務(wù)名稱一ISP（互聯(lián)網(wǎng)服務(wù)供應(yīng)商）名稱或者PPPOE服務(wù)器上配置的服務(wù)等級(jí)協(xié)

議名稱都可用

當(dāng)關(guān)閉VLAN時(shí),PPPOE也將被關(guān)閉。

用WEBUI來確認(rèn)VLAN上/JPPPOE協(xié)議

?打開Configuration>Network>IP>IPInterfaces9頁面

2.點(diǎn)擊”EDIT"編輯之前創(chuàng)立的JVLAN

ObtainanIPaddresswithPPPoH

3.選擇

4.為PPPOE會(huì)議輸入服務(wù)器名稱、顧客名和密,碼

5.點(diǎn)擊"APPLY"

用CLI命令來確認(rèn)VLAN上的PPPOE協(xié)議

ippppoe-service-name<service-name>

ippppoe-username<name>

ippppoe-password〈password）

vlan<vlan>

interfacevlan<vlan>

ipaddresspppoe

DHCP/PPPOE上ITJ默認(rèn)網(wǎng)關(guān)地址

你可以從DHCP/PPPOE服務(wù)器上獲得路由器IP地址作為控制器默認(rèn)網(wǎng)關(guān)地址。

運(yùn)用WEBUI通過DHCP/PPPOE設(shè)置默認(rèn)網(wǎng)關(guān)地址

?Configuration>Network>IP>IPRoutesf

1.打開...—..….....頁面

2選擇（Ob3in21IPaddressautomatically

3.點(diǎn)擊“APPLY”

運(yùn)用CLI命令通過DHCP/PPPOE設(shè)置默認(rèn)網(wǎng)關(guān)地址

ipdefault-gatewayimport

DHCP/PPPOEI.I^DNS（域名服務(wù)器）/WINS（WindowsInternet命名服務(wù)）

DHCP/PPPOE服務(wù)器同樣可以提供DNS服務(wù)器或者NETBIOS服務(wù)器IP地址。該IP地址

可以通過控制器內(nèi)部DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）服務(wù)器傳遞到無線顧客處。

例如：下面我們?yōu)橐环N員工在控制器的DHCP服務(wù)器上配置分派地址，這個(gè)通過控制器從

DNS服務(wù)器上獲得的IP地址將通過DHCP/PPPOE將自己H勺IP地址一起提供應(yīng)顧客。

通過WEBUI來配置DNS/WINS服務(wù)器

I.打開頁面

2選擇'EnableDCHPServer.Confijfiiration>Network>IP>DHCPServer

3.在指定池下選擇“ADD”

4.為pool設(shè)置名稱為**employee-pool,,

5.設(shè)置..254為默認(rèn)途徑

6.選擇ImportfromDHCP/PPPoE設(shè)置DNS服務(wù)器

7.選擇ImportfromDHCP/PPPoE設(shè)置WINS服務(wù)器

8.設(shè)置.0為IP地址，設(shè)置255.255.255.0為子網(wǎng)掩碼

9.點(diǎn)擊”Done“完畢

通過CLI命令來配置DNS/WINS服務(wù)器

ipdhcppoolenployee-pool

default-router10.1.1.254

dns-serverimport

netbios-nanie-serverimport

network10.1.1.0255.255.255.0

源NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）為動(dòng)態(tài)VLAN地址

當(dāng)VLAN接口通過DHCP/PPPOE獲得IP地址時(shí),NATpool和ACL回話將根據(jù)動(dòng)態(tài)指定的

IP地址自動(dòng)創(chuàng)立。他將容許你設(shè)置政策，將指導(dǎo)你為DHCP/PPPOE顧客設(shè)置個(gè)人/公共地址。

當(dāng)VLAN上的IP地址更改時(shí)，動(dòng)態(tài)NAT池里面的地址將隨之更改以適應(yīng)新的地址。

例如，如卜R勺規(guī)則簡(jiǎn)介的就是顧客訪問政策不能通往內(nèi)部網(wǎng)絡(luò)地址時(shí)，通往其他目的地(外

部的目H勺地冊(cè)顧客訪問政策就是控制器上口勺DHCP/PPPOE客戶端IP地址曰勺網(wǎng)絡(luò)地址轉(zhuǎn)換

源。

運(yùn)用WEBUI為動(dòng)態(tài)VLAN指定網(wǎng)絡(luò)地址轉(zhuǎn)換源(SourceNAT)

I.打開頁面，點(diǎn)擊”ADD“增長"Guest”顧客訪問

a.增長規(guī)則，點(diǎn)擊”ADD“：

b.確認(rèn)源，選擇“ANY”

c.確認(rèn)目的地，選擇“NETWORK”輸入.0作為管理員IP地址，輸入255.255.0.0作為了一網(wǎng)

掩碼

d.確認(rèn)服務(wù)，選擇"ANY”

e.確認(rèn)作用，選擇"REJECT"

f.點(diǎn)擊“ADD”

a.增長新的規(guī)則，點(diǎn)擊“ADD"

b.離開源、目的地和服務(wù)器，選擇"ANY“

c.確認(rèn)作用，選擇"SCR-NAT"

d.確認(rèn)NATPOOL,選擇

點(diǎn)擊“ADD”

2.點(diǎn)擊“ADD”

運(yùn)用CL1命令為動(dòng)態(tài)VLAN指定網(wǎng)絡(luò)地址轉(zhuǎn)換源(SourceNAT)

ipaccess-listsessionguest

anynetwork10.1.0.0255.255.0.0anydeny

anyanyanygrc-natpooldynamic-srcnat

為VLAN接口指定NAT源

上一章節(jié)里面簡(jiǎn)介的配置案例闡明了用policy配置網(wǎng)絡(luò)地址轉(zhuǎn)換源合用于客戶角色。你

也可認(rèn)為VLAN接口確認(rèn)網(wǎng)絡(luò)地址轉(zhuǎn)換源，為所有退出VLAN的流量導(dǎo)致源地址中的NAT

被完畢。

(1)退出VLAN數(shù)據(jù)包是由外部端口口勺源IP地址決定的，詳細(xì)操作如下：

假如您為VLAN配置了個(gè)人1P地此控制器就被認(rèn)為是默認(rèn)網(wǎng)關(guān)控制器子網(wǎng)。退出該VLAN

的數(shù)據(jù)包，就為其源IP地址配置了控制器的HP地址。

假如控制器在第3層轉(zhuǎn)發(fā)包，退出該VLAN的數(shù)據(jù)包，就為其源IP地址配置了next-hop

VLAN的IIP地址。

配置示例

在下面U勺例子中，捽制器在企業(yè)內(nèi)部網(wǎng)絡(luò)T作,VI.AN1是外部VLAN.VI.AN6I?的J

流量是使用控制器的IP地址的源NAT。在這個(gè)例子中，IP分派給VLAN1的地址被川作控

制器的IP地址，因此，從VLAN6上的流量將通過源NAT到66.量將.5。

圖3的例子：使用控制器IP地址的源NAT

使用WebUI為VLAN接口配置源NAT:

1打開“導(dǎo)航》網(wǎng)絡(luò)〉VLAN”的配置頁面。單擊“添加”配置VLAN6（VLAN1為初始設(shè)

置的配置）。

a.輸入[內(nèi)6為VLAN[ftID地址。

b.點(diǎn)擊“Apply”按鈕。

2打開：導(dǎo)航到“配置》網(wǎng)絡(luò)>IP>IP接口”頁面。

3為VLAN6點(diǎn)擊“編輯”：

a.選擇“使用下面的IP地址工

b.輸入網(wǎng)絡(luò)掩碼於JIP地址為192.168.2.1和255.255.255.0。

c.選擇該VLAN復(fù)選框“啟用源NAT”。

4點(diǎn)擊“Apply”按鈕。

使用CLI命令為VLAN接口配置源NAT

interfacevlan1

interfacevlan6

ipnatinside

用CLI命令配置VLAN路由

interfacevlan<id>

ipaddress{<ipaddr><netmask>|dhcp-client|pppoe}

noiprouting

四配置靜態(tài)路由

控制器上配置靜態(tài)路由(如默認(rèn)路由)，做到如下幾點(diǎn)：

使用WebUI配置靜態(tài)路由

1NavigatetotheConfiguration>Network>IP>IPRoutespage.

2單擊“Add”添加一種靜態(tài)路由到目的網(wǎng)絡(luò)或主機(jī)。輸入目的IP地址和網(wǎng)絡(luò)掩碼

(255.255.255.255)主機(jī)路由時(shí)下一跳IP地址

3單擊“完畢添加條HDonetoaddtheentry0注意路由尚未被被添加到路由表。

點(diǎn)擊Apply"添加路由到路由表。消息配置更新成功，確認(rèn)路線已被添加。

使用CLI配置靜態(tài)路由

iproute<address><netmask><next_hop>

五配置環(huán)回IP地址

這個(gè)LoopbackIP地址是一種邏輯控制器的IP接口，用于與接入點(diǎn)通信?？刂破鞯腎P地址

為I可環(huán)地址被用作終止VPN和GRE隧道。

RADIUS服務(wù)器發(fā)起祈求，并接受行政通信。您配置作為一種32位掩碼"勺主機(jī)地址U勺

Loopback地址。回送地址是小受任何特定的接11,在任何時(shí)候都運(yùn)作。使用這個(gè)接II,保

證IP地址是通過VLAN接口訪問。它應(yīng)當(dāng)是所有外部網(wǎng)絡(luò)的路。

假如你不使用的VLAN1連接到網(wǎng)絡(luò)控制器，您必須配置?種loopback地址。假如沒有配置

loopback接口時(shí)地址，那么首先配置VLAN接口地址。一般狀況下，VLAN1是出廠默認(rèn)設(shè)

置，從而成為控制器的IP地址

使用WebUI配置環(huán)回IP地址

1導(dǎo)航到配置,網(wǎng)絡(luò)〉控制器>系統(tǒng)設(shè)置頁面，并找到Loopback接口部分。Configuration>

Network>Controller>SystemSettingspage

2根據(jù)需要修改IP地址。

3點(diǎn)擊Apply按鈕。

假如您使用的是回傳U勺IP地址來訪問WebUI中，變化環(huán)回IP地址，將導(dǎo)致連接受

損。Aruba提議您使用一種VLAN接口的IP地址訪問WebUI。

4導(dǎo)航到維修〉控制器>重新啟動(dòng)控制器頁面，NavigatetotheMaintenance>Controller>

RebootControllerpage重新啟動(dòng)控制器臺(tái)看IP地址的變化。

5單擊“繼續(xù)Continue”保留配置

6當(dāng)提醒，變化被成功寫入到閃存，單