发新帖

Aruba无线网络实施排错常用命令分析以及解释

[复制链接]
54 0
Aruba无线网络实施排错常用命令分析以及解释,近期做了一个Aruba的无线远程接入的案例,碰到了很多问题,都逐个一一解决了,下面给大家分享一下其中一些关键命令,为什么要用命令呢而不是web呢?因为有很多情况下你根本无法直接访问web,而且web刷新速度比cli要迟缓一些

show ap database
show ap-group <ap-group-name>
show wlan virtual-ap <vap-profile-name>
show aaa profile <aaa-profile-name>
show wlan ssid-profile <ssid-profile-name>
show rights role-name



1.命令 show ap database 这个命令可以看到已经在系统内注册的所有AP信息,包括在线的离线的,凡是在系统里注册过的都可以显示出来.但要注意的一点就是并不是你用这个命令看不到的ap他就没注册上,请一定要有耐心,ap注册需要时间,你多等一会儿他就出来了,这点非常关键,其次就是如果开启了cpsec这里看不到的ap都在等你加入白名单呢,你去白名单那里就可以找到他们了. 未经过approved的ap这里show出来的结果是deny,等会儿我给补充上例子

2.命令 show ap-group 这个命令会显示出系统里面所有已经定义的AP组,默认的话所有经过approved AP都在default组下,推荐尽量不要去用default组,而是自己建立一个新组,同一个组里的ap都继承相同的策略.
(AOS83) [mynode] #show ap-group

default  系统默认组
NoAuthApGroup 这一般用不到,估计就是没经过approved都自动上这里了
rap 这个是我自建立的,所有远程RAP都继承这策略,他不会影响CAP策略.
<profile-name> Profile name
| Output Modifiers
<cr>

(AOS83) [mynode] #show ap-group rap

AP group "rap"
--------------
Parameter Value
--------- -----
Virtual AP ArubaRAP
802.11a radio profile default
802.11g radio profile default
Ethernet interface 0 port configuration default
Ethernet interface 1 port configuration default
Ethernet interface 2 port configuration shutdown
Ethernet interface 3 port configuration shutdown
Ethernet interface 4 port configuration shutdown
AP system profile default
AP multizone profile default
802.11a Traffic Management profile N/A
802.11g Traffic Management profile N/A
Regulatory Domain profile default
RF Optimization profile default
RF Event Thresholds profile default
IDS profile default
Mesh Radio profile default
Mesh Cluster profile N/A
Provisioning profile N/A
AP authorization profile N/A


3.show wlan virtual-ap 这个就是看你建立的虚拟ap ,请注意就是每个AP组,都要绑定一个虚拟AP,然后虚拟AP绑定SSID这样才会发射信号,虚拟ap的概念在很多家用ap里面也有,就是当你一个物理ap想要发射多个信号,每个信号的vlan或者策略不一样,这样就需要有多个虚拟AP,比如你物理Ap AP135,你设置 3个虚拟AP VAP1 VAP2 VAP3, 分别对应 三个不同的SSID AP135-1 AP135-2 AP135-3,每个SSID对应不同的Vlan Vlan10 Vlan20 Vlan30,对应不同的认证方式,不同的限速,不同的各种策略,这些都是通过建立虚拟AP去分开的


(AOS83) [mynode] #show wlan virtual-ap

ArubaRAP 这个是我建立的专门给RAP用的,所有RAP都自动继承他的配置

default 系统默认的,CAP都自动用这个

<profile-name>          Profile name

|                       Output Modifiers

<cr>


(AOS83) [mynode] #show wlan virtual-ap arubaRAP


Virtual AP profile "ArubaRAP"

-----------------------------

Parameter                                       Value

---------                                       -----

AAA Profile                                     ArubaRAP   这个随后说,就是根据不同用户区分权限的用途

802.11K Profile                                 default

Hotspot 2.0 Profile                             N/A

Virtual AP enable                               Enabled

VLAN                                            1          这里是接入vlan ,默认vlan1就是不打标签.

Forward mode                                    tunnel  这里有四种模式隧道集中转发,桥本地转发;还有两种隧道模式随后详细介绍.

SSID Profile                                    ArubaRAP 这里就是配置你要发射的SSID是啥的地方 现在你就要记住AP Group需要绑定一个Virtual AP,然后Virtual AP需要分别绑定 AAA(认证,权限) 和 SSID(设置ssid)

Allowed band                                    all

Band Steering                                   Disabled  这里是问你是否要引导优先使用2.4g还是5G

Cellular handoff assist                         Disabled

Openflow Enable                                 Enabled

Steering Mode                                   prefer-5ghz  上面那个band steering如果不打开,这里不起作用

Dynamic Multicast Optimization (DMO)            Disabled

Dynamic Multicast Optimization (DMO) Threshold  6

Drop Broadcast and Multicast                    Disabled

Convert Broadcast ARP requests to unicast       Enabled

Authentication Failure Blacklist Time           3600 sec

Blacklist Time                                  3600 sec

Deny inter user traffic                         Disabled

Deny time range                                 N/A

DoS Prevention                                  Disabled

HA Discovery on-association                     Enabled

Mobile IP                                       Enabled

Preserve Client VLAN                            Disabled

Remote-AP Operation                             standard  这里随后再看看还有啥其他选择??

Station Blacklisting                            Enabled

Strict Compliance                               Disabled

VLAN Mobility                                   Disabled

WAN Operation mode                              always

FDB Update on Assoc                             Disabled

WMM Traffic Management Profile                  N/A


Anyspot profile                                 N/A


4.show wlan ssid-profile 这个命令就是关于配置ssid和无线详细参数的了,这个profile必须绑定到 VAP才好用,有些朋友就总是问我修改了ssid为啥不起作用,因为你修改的ssid profile不是对应正确vap的,所以你修改之前先看看他到底绑定的哪个vap,然后这个vap属于哪个ap group


(AOS83) [mynode] #show wlan ssid-profile arubaRAP

SSID Profile "ArubaRAP"  这里只是这个profile的名字,其实我应该起名叫ArubaSSID的这样更容易记住
-----------------------
Parameter Value
--------- -----
SSID enable Enabled
ESSID ArubaRAP 看清楚了,这里才是你要修改的SSID!!修改SSID的偶来看这里,要改密码的往下看!
WPA Passphrase N/A
Encryption opensystem  这里是修改认证方式,我这里是选的Open,你选那些什么wpa之类的就出来让你输入密码的地方了
Enable Management Frame Protection Disabled
Require Management Frame Protection Disabled
DTIM Interval 1 beacon periods
802.11a Basic Rates 6 12 24
802.11a Transmit Rates 6 9 12 18 24 36 48 54
802.11g Basic Rates 1 2
802.11g Transmit Rates 1 2 5 6 9 11 12 18 24 36 48 54
Station Ageout Time 1000 sec
Max Transmit Attempts 8
RTS Threshold 2333 bytes
Short Preamble Enabled
Max Associations 64
Wireless Multimedia (WMM) Disabled
Wireless Multimedia U-APSD (WMM-UAPSD) Powersave Enabled
WMM TSPEC Min Inactivity Interval 0 msec
DSCP mapping for WMM voice AC (0-63) N/A
DSCP mapping for WMM video AC (0-63) N/A
DSCP mapping for WMM best-effort AC (0-63) N/A
DSCP mapping for WMM background AC (0-63) N/A
WMM Access Class of EAP traffic default
Multiple Tx Replay Counters Enabled
Hide SSID Disabled
Deny_Broadcast Probes Disabled
Local Probe Request Threshold (dB) 0
Auth Request Threshold (dB) 0
Disable Probe Retry Enabled
Battery Boost Disabled
WEP Key 1 N/A
WEP Key 2 N/A
WEP Key 3 N/A
WEP Key 4 N/A
WEP Transmit Key Index 1
WPA Hexkey N/A
Maximum Transmit Failures 0
EDCA Parameters Station profile N/A
EDCA Parameters AP profile N/A
BC/MC Rate Optimization Disabled
Rate Optimization for delivering EAPOL frames Enabled
Strict Spectralink Voice Protocol (SVP) Disabled
High-throughput SSID Profile default
802.11g Beacon Rate default
802.11a Beacon Rate default
Video Multicast Rate Optimization default
Advertise QBSS Load IE Disabled
Advertise Location Info Disabled
Advertise AP Name Disabled
Traffic steering from WLAN to cellular Disabled
802.11r Profile N/A
Enforce user vlan for open stations Disabled
Enable OKC Enabled


5.show aaa profile 这个为啥放在后面说?因为这个不是必须的,当你只购买AP Lic不购买PEF Lic的时候,AAA profile就无需配置了,也没法配置,这个就是系统事先预定了很多认证模板,你也可以再自己增加定义一些,根据这些去做不同的策略配置,然后AAA profile和user role是相关联系的,不同的aaa profile要根据不同的user role去,这里要介绍一个知识,就是很多朋友他使用AP设置一个ssid和密码,然后发射信号接入,漫游等等,这些都是不需要PEF Lic的,所以你也没必要购买PEF Lic,AAA proflie是需要 PEF Lic的,你如果不购买,这里就不用区分什么策略,只要设置好了ssid介入后,就可以上网了,但如果你购买了PEF lic,而这里又没有设置正确的角色,你还上不去网,因为默认的default角色是不允许你上网的.这点好多朋友被卡在这里了.


(AOS83) [mynode] #show aaa profile

ArubaRAP 就这一个是我自己创建的,其他都是系统默认的

default

default-dot1x

default-dot1x-psk

default-iap-aaa-profile

default-mac-auth

default-open

default-tunneled-user

default-xml-api

NoAuthAAAProfile

<profile-name>          Profile name

|                       Output Modifiers

<cr>


(AOS83) [mynode] #show aaa profile arubaRAP


AAA Profile "ArubaRAP"

----------------------

Parameter                                 Value

---------                                 -----

Initial role                              authenticated

MAC Authentication Profile                N/A

MAC Authentication Default Role           guest

MAC Authentication Server Group           default

802.1X Authentication Profile             N/A

802.1X Authentication Default Role        guest

802.1X Authentication Server Group        N/A

Download Role from CPPM                   Disabled

Set username from dhcp option 12          Disabled

L2 Authentication Fail Through            Disabled

Multiple Server Accounting                Disabled

User idle timeout                         N/A

Max IPv4 for wireless user                2

RADIUS Accounting Server Group            N/A

RADIUS Roaming Accounting                 Disabled

RADIUS Interim Accounting                 Disabled

RADIUS Acct-Session-Id In Access-Request  Disabled

XML API server                            N/A

RFC 3576 server                           N/A      

User derivation rules                     N/A

Wired to Wireless Roaming                 Enabled

Reauthenticate wired user on VLAN change  Disabled

Device Type Classification                Enabled

Enforce DHCP                              Disabled

PAN Firewall Integration                  Disabled


Open SSID radius accounting               Disabled

6.show rights role-name 这个命令就是看role对应的设置以及权限,在你show aaa profile的时候能看到下面这个东西



Initial role  authenticated  默认就是logon 然后 authenticated就是啥都允许你,这两个是最常见的 ,
authenticated就是当你怀疑有啥系统策略阻止了你的应用的时候,你可以先切换到
authenticated 看看是否通过,就知道你原来默认的那个role到底被限制什么了.



(AOS83) [mynode] #show rights logon



Valid = 'Yes'

CleanedUp = 'No'

Derived Role = 'logon'

Up BW:No Limit   Down BW:No Limit  

L2TP Pool = rap_pool1

PPTP Pool = default-pptp-pool

Number of users referencing it = 0

Periodic reauthentication: Disabled

DPI Classification: Enabled

Youtube education: Disabled

Web Content Classification: Enabled

IP-Classification Enforcement: Enabled

ACL Number = 2/0

Openflow: Enabled

Max Sessions = 65535



Check CP Profile for Accounting = TRUE



Application Exception List

--------------------------

Name  Type

----  ----



Application BW-Contract List

----------------------------

Name  Type  BW Contract  Id  Direction

----  ----  -----------  --  ---------



access-list List

----------------

Position  Name              Type     Location

--------  ----              ----     --------

1         global-sacl       session  

2         apprf-logon-sacl  session  

3         ra-guard          session  

4         logon-control     session  

5         captiveportal     session  

6         vpnlogon          session  

7         v6-logon-control  session  

8         captiveportal6    session  




(AOS83) [mynode] #show rights authenticated

Valid = 'Yes'
CleanedUp = 'No'
Derived Role = 'authenticated'
Up BW:No Limit   Down BW:No Limit  
L2TP Pool = rap_pool1
PPTP Pool = default-pptp-pool
Number of users referencing it = 0
Periodic reauthentication: Disabled
DPI Classification: Enabled
Youtube education: Disabled
Web Content Classification: Enabled
IP-Classification Enforcement: Enabled
ACL Number = 79/0
Openflow: Enabled
Max Sessions = 65535

Check CP Profile for Accounting = TRUE

Application Exception List
--------------------------
Name  Type
----  ----

Application BW-Contract List
----------------------------
Name  Type  BW Contract  Id  Direction
----  ----  -----------  --  ---------

access-list List
----------------
Position  Name                      Type     Location
--------  ----                      ----     --------
1         global-sacl               session  
2         apprf-authenticated-sacl  session  
3         ra-guard                  session  
4         allowall                  session   这里就是authenticated 放行了一切方便你测试,呵呵
5         v6-allowall               session  




举报 使用道具

回复
您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则

快速回复 返回顶部 返回列表