Aruba Série 200 (IAP)

UNIDADES MÉDIAS E GRANDES (+ 200 CLIENTES)

Rede dos Pontos de Gerência:

• VLAN Unttaged na porta switch em que o IAP está conectado,
• IP:  estáticos ou através de dhcp (preferencialmente em rede inválida),
• atribuir IP na Virtual Controller (System > Virtual Controller IP:): ativar a check box Dynamic Proxy  (System > Dynamic Proxy: Radius).
  • Obs.: Se o IP da Virtual Controller  não estiver na mesma rede de Gerência dos IAPs, a VLAN deste segmento deve ser Tagged na porta do switch em que o IAP está conectado (System > Show Advanced options > Virtual Controller VLAN:).

Rede dos Clientes eduroam: 

• VLAN Tagged na porta do switch em que o IAP está conectado, distribuição de IPs através de dhcp e serviço de NAT em ativo de rede externo (pfsense, firewalls, etc.).

DETALHAMENTO DE IMPLEMENTAÇÃO

Algumas sugestões de implementação são descritas abaixo, ambas com no mínimo 2 (duas) VLANs/Subredes distintas provisionadas nos uplinks dos Pontos de Acesso, uma para o gerenciamento e a outra para os clientes eduroam:

1. NAT e DHCP dos clientes eduroam em ativos externos ao Ponto de Acesso.
   1. Neste modo deve-se preparar:
      1. um NAT para a vlan/rede de gerenciamento de APs, caso os APs usem ips inválidos para gerenciamento;
      2. um NAT/DHCP para vlan/subrede dos clientes do eduroam. Naturalmente, o mesmo ativo de rede pode oferecer o NAT nas duas vlans/subredes.
2. NAT e DHCP dos clientes eduroam administrados através da Virtual Controller do cluster de Pontos de Acesso.
   1. Neste modo, prepara-se somente o NAT para a vlan/rede de gerenciamento de APs, caso os APs usem ips inválidos para gerenciamento. O resto e resolvido por configurações do IAP Aruba.

Na tabela abaixo cada linha representa um número de vlan diferente com uma respectiva subrede distinta.

Abaixo podemos observar uma sequencia instruções e de captura de telas de configuração sugeridas.

Supondo que você vai oferecer todos os SSIDs listados acima, é necessário estender as vlans V, X, Y, Z, W nos swicthes que ligam os seus APs e a solução de NAT/DHCP.

Recomendamos que a porta do switch em que o AP está conectado seja configurada da seguinte forma:

• Modo híbrido/general
• Vlan X(Untag)
• Vlans V, W, Y, Z (Tag)

Inicialmente, configure cada IAP com um ip de gerenciamento e use o firmware mais atual.

Independente de usar ip dinâmico (DHCP) ou ip fixo/estático para gerenciamento dos APs, é muito importante configurar o gateway válido e o servidor DNS. A tela abaixo mostra aonde configurar isso se você estiver usando ip fixo/estático. No caso do DHCP, certifique-se que ele distribui o gateway e servidor DNS corretamente.

Logo após, configure o ip válido (vlan Y) da Virtual Controller (no “Menu System”, habilitando “Advanced Settings”) conforme as imagens abaixo.

Lembre-se de ativar Dinamic Proxy Radius nessa tela.

No menu RF (habilitando “Advanced Settings”) ative Client Match. Deixe SLB mode como Channel + Radio.

Ative 802.11d / 802.11h na frequência de 5 GHz.

No menu Security, na aba “Authentication Servers” adicione os dois servidores Radius do eduroam.

Ainda no menu Security, na aba “Firewall Settings”, ative os três itens da coluna da direita.

Para criar o SSID eduroam clique em New, caso contrário edite o SSID eduroam previamente existem. Observe que o SSID eduroam deve usar somente letras minúsculas.

Na primeira tela “WLAN Settings”, ative “Advanced Settings”

Então ative Multicast Transmission Optimization.

Altere o Max clients threshold para 100. Então siga para a próxima tela clicando em Next.

Para preencher as etapas 2. VLAN e 4. Access desse wizard veja os links abaixo para identificar as configurações mais adequadas de acordo com o modelo de implementação escolhido.

• NAT/DHCP no Aruba IaP
  • http://eduroam.webhostusp.sti.usp.br/configuracoes-de-infraestrutura/aruba/nat-interno/
• NAT/DHCP Externo
  • http://eduroam.webhostusp.sti.usp.br/configuracoes-de-infraestrutura/aruba/nat-externo/

Para o item 3. Security configure conforme abaixo.