论坛 › ARUBA安移通 › Aruba无线网络实施排错常用命令分析以及解释

cloudq 发表于 2018-7-2 10:10

Aruba无线网络实施排错常用命令分析以及解释

本帖最后由 cloudq 于 2018-7-2 10:56 编辑

Aruba无线网络实施排错常用命令分析以及解释，近期做了一个Aruba的无线远程接入的案例，碰到了很多问题，都逐个一一解决了，下面给大家分享一下其中一些关键命令，为什么要用命令呢而不是web呢？因为有很多情况下你根本无法直接访问web,而且web刷新速度比cli要迟缓一些


show ap database
show ap-group <ap-group-name>
show wlan virtual-ap <vap-profile-name>
show aaa profile <aaa-profile-name>
show wlan ssid-profile <ssid-profile-name>
show rights role-name



1.命令 show ap database 这个命令可以看到已经在系统内注册的所有AP信息，包括在线的离线的，凡是在系统里注册过的都可以显示出来.但要注意的一点就是并不是你用这个命令看不到的ap他就没注册上，请一定要有耐心，ap注册需要时间，你多等一会儿他就出来了，这点非常关键，其次就是如果开启了cpsec这里看不到的ap都在等你加入白名单呢，你去白名单那里就可以找到他们了. 未经过approved的ap这里show出来的结果是deny,等会儿我给补充上例子

2.命令 show ap-group 这个命令会显示出系统里面所有已经定义的AP组，默认的话所有经过approved AP都在default组下,推荐尽量不要去用default组，而是自己建立一个新组，同一个组里的ap都继承相同的策略.
(AOS83) #show ap-group

default系统默认组
NoAuthApGroup 这一般用不到，估计就是没经过approved都自动上这里了
rap 这个是我自建立的，所有远程RAP都继承这策略，他不会影响CAP策略.
<profile-name> Profile name
| Output Modifiers
<cr>(AOS83) #show ap-group rapAP group "rap"
--------------
Parameter Value
--------- -----
Virtual AP ArubaRAP
802.11a radio profile default
802.11g radio profile default
Ethernet interface 0 port configuration default
Ethernet interface 1 port configuration default
Ethernet interface 2 port configuration shutdown
Ethernet interface 3 port configuration shutdown
Ethernet interface 4 port configuration shutdown
AP system profile default
AP multizone profile default
802.11a Traffic Management profile N/A
802.11g Traffic Management profile N/A
Regulatory Domain profile default
RF Optimization profile default
RF Event Thresholds profile default
IDS profile default
Mesh Radio profile default
Mesh Cluster profile N/A
Provisioning profile N/A
AP authorization profile N/A
3.show wlan virtual-ap 这个就是看你建立的虚拟ap ,请注意就是每个AP组，都要绑定一个虚拟AP,然后虚拟AP绑定SSID这样才会发射信号，虚拟ap的概念在很多家用ap里面也有，就是当你一个物理ap想要发射多个信号，每个信号的vlan或者策略不一样，这样就需要有多个虚拟AP,比如你物理Ap AP135,你设置 3个虚拟AP VAP1 VAP2 VAP3, 分别对应 三个不同的SSID AP135-1 AP135-2 AP135-3,每个SSID对应不同的Vlan Vlan10 Vlan20 Vlan30,对应不同的认证方式，不同的限速，不同的各种策略，这些都是通过建立虚拟AP去分开的
(AOS83) #show wlan virtual-ap ArubaRAP 这个是我建立的专门给RAP用的，所有RAP都自动继承他的配置default 系统默认的，CAP都自动用这个<profile-name>          Profile name|                     Output Modifiers<cr>
(AOS83) #show wlan virtual-ap arubaRAP
Virtual AP profile "ArubaRAP"-----------------------------Parameter                                       Value---------                                       -----AAA Profile                                     ArubaRAP   这个随后说，就是根据不同用户区分权限的用途802.11K Profile                                 defaultHotspot 2.0 Profile                           N/AVirtual AP enable                               EnabledVLAN                                          1          这里是接入vlan ,默认vlan1就是不打标签.Forward mode                                    tunnel这里有四种模式隧道集中转发,桥本地转发;还有两种隧道模式随后详细介绍.SSID Profile                                    ArubaRAP 这里就是配置你要发射的SSID是啥的地方 现在你就要记住AP Group需要绑定一个Virtual AP,然后Virtual AP需要分别绑定 AAA(认证，权限) 和 SSID(设置ssid)Allowed band                                    allBand Steering                                 Disabled这里是问你是否要引导优先使用2.4g还是5GCellular handoff assist                         DisabledOpenflow Enable                                 EnabledSteering Mode                                 prefer-5ghz上面那个band steering如果不打开，这里不起作用Dynamic Multicast Optimization (DMO)            DisabledDynamic Multicast Optimization (DMO) Threshold6Drop Broadcast and Multicast                  DisabledConvert Broadcast ARP requests to unicast       EnabledAuthentication Failure Blacklist Time         3600 secBlacklist Time                                  3600 secDeny inter user traffic                         DisabledDeny time range                                 N/ADoS Prevention                                  DisabledHA Discovery on-association                     EnabledMobile IP                                       EnabledPreserve Client VLAN                            DisabledRemote-AP Operation                           standard这里随后再看看还有啥其他选择？？Station Blacklisting                            EnabledStrict Compliance                               DisabledVLAN Mobility                                 DisabledWAN Operation mode                              alwaysFDB Update on Assoc                           DisabledWMM Traffic Management Profile                  N/A
Anyspot profile                                 N/A
4.show wlan ssid-profile 这个命令就是关于配置ssid和无线详细参数的了，这个profile必须绑定到 VAP才好用，有些朋友就总是问我修改了ssid为啥不起作用，因为你修改的ssid profile不是对应正确vap的，所以你修改之前先看看他到底绑定的哪个vap,然后这个vap属于哪个ap group
(AOS83) #show wlan ssid-profile arubaRAPSSID Profile "ArubaRAP"这里只是这个profile的名字，其实我应该起名叫ArubaSSID的这样更容易记住
-----------------------
Parameter Value
--------- -----
SSID enable Enabled
ESSID ArubaRAP 看清楚了，这里才是你要修改的SSID!!修改SSID的偶来看这里，要改密码的往下看！
WPA Passphrase N/A
Encryption opensystem这里是修改认证方式，我这里是选的Open,你选那些什么wpa之类的就出来让你输入密码的地方了
Enable Management Frame Protection Disabled
Require Management Frame Protection Disabled
DTIM Interval 1 beacon periods
802.11a Basic Rates 6 12 24
802.11a Transmit Rates 6 9 12 18 24 36 48 54
802.11g Basic Rates 1 2
802.11g Transmit Rates 1 2 5 6 9 11 12 18 24 36 48 54
Station Ageout Time 1000 sec
Max Transmit Attempts 8
RTS Threshold 2333 bytes
Short Preamble Enabled
Max Associations 64
Wireless Multimedia (WMM) Disabled
Wireless Multimedia U-APSD (WMM-UAPSD) Powersave Enabled
WMM TSPEC Min Inactivity Interval 0 msec
DSCP mapping for WMM voice AC (0-63) N/A
DSCP mapping for WMM video AC (0-63) N/A
DSCP mapping for WMM best-effort AC (0-63) N/A
DSCP mapping for WMM background AC (0-63) N/A
WMM Access Class of EAP traffic default
Multiple Tx Replay Counters Enabled
Hide SSID Disabled
Deny_Broadcast Probes Disabled
Local Probe Request Threshold (dB) 0
Auth Request Threshold (dB) 0
Disable Probe Retry Enabled
Battery Boost Disabled
WEP Key 1 N/A
WEP Key 2 N/A
WEP Key 3 N/A
WEP Key 4 N/A
WEP Transmit Key Index 1
WPA Hexkey N/A
Maximum Transmit Failures 0
EDCA Parameters Station profile N/A
EDCA Parameters AP profile N/A
BC/MC Rate Optimization Disabled
Rate Optimization for delivering EAPOL frames Enabled
Strict Spectralink Voice Protocol (SVP) Disabled
High-throughput SSID Profile default
802.11g Beacon Rate default
802.11a Beacon Rate default
Video Multicast Rate Optimization default
Advertise QBSS Load IE Disabled
Advertise Location Info Disabled
Advertise AP Name Disabled
Traffic steering from WLAN to cellular Disabled
802.11r Profile N/A
Enforce user vlan for open stations Disabled
Enable OKC Enabled
5.show aaa profile 这个为啥放在后面说？因为这个不是必须的，当你只购买AP Lic不购买PEF Lic的时候，AAA profile就无需配置了，也没法配置，这个就是系统事先预定了很多认证模板，你也可以再自己增加定义一些，根据这些去做不同的策略配置，然后AAA profile和user role是相关联系的，不同的aaa profile要根据不同的user role去，这里要介绍一个知识，就是很多朋友他使用AP设置一个ssid和密码，然后发射信号接入，漫游等等，这些都是不需要PEF Lic的，所以你也没必要购买PEF Lic,AAA proflie是需要 PEF Lic的，你如果不购买，这里就不用区分什么策略，只要设置好了ssid介入后，就可以上网了，但如果你购买了PEF lic,而这里又没有设置正确的角色，你还上不去网，因为默认的default角色是不允许你上网的.这点好多朋友被卡在这里了.
(AOS83) #show aaa profile ArubaRAP 就这一个是我自己创建的，其他都是系统默认的defaultdefault-dot1xdefault-dot1x-pskdefault-iap-aaa-profiledefault-mac-authdefault-opendefault-tunneled-userdefault-xml-apiNoAuthAAAProfile<profile-name>          Profile name|                     Output Modifiers<cr>
(AOS83) #show aaa profile arubaRAP
AAA Profile "ArubaRAP"----------------------Parameter                                 Value---------                                 -----Initial role                              authenticatedMAC Authentication Profile                N/AMAC Authentication Default Role         guestMAC Authentication Server Group         default802.1X Authentication Profile             N/A802.1X Authentication Default Role      guest802.1X Authentication Server Group      N/ADownload Role from CPPM                   DisabledSet username from dhcp option 12          DisabledL2 Authentication Fail Through            DisabledMultiple Server Accounting                DisabledUser idle timeout                         N/AMax IPv4 for wireless user                2RADIUS Accounting Server Group            N/ARADIUS Roaming Accounting               DisabledRADIUS Interim Accounting               DisabledRADIUS Acct-Session-Id In Access-RequestDisabledXML API server                            N/ARFC 3576 server                           N/A      User derivation rules                     N/AWired to Wireless Roaming               EnabledReauthenticate wired user on VLAN changeDisabledDevice Type Classification                EnabledEnforce DHCP                              DisabledPAN Firewall Integration                  Disabled
Open SSID radius accounting               Disabled

cloudq 发表于 2018-7-2 10:55

6.show rights role-name 这个命令就是看role对应的设置以及权限，在你show aaa profile的时候能看到下面这个东西


Initial roleauthenticated默认就是logon 然后 authenticated就是啥都允许你，这两个是最常见的 ,authenticated就是当你怀疑有啥系统策略阻止了你的应用的时候，你可以先切换到authenticated 看看是否通过，就知道你原来默认的那个role到底被限制什么了.


(AOS83) #show rights logon


Valid = 'Yes'
CleanedUp = 'No'
Derived Role = 'logon'
Up BW:No Limit   Down BW:No Limit
L2TP Pool = rap_pool1
PPTP Pool = default-pptp-pool
Number of users referencing it = 0
Periodic reauthentication: Disabled
DPI Classification: Enabled
Youtube education: Disabled
Web Content Classification: Enabled
IP-Classification Enforcement: Enabled
ACL Number = 2/0
Openflow: Enabled
Max Sessions = 65535


Check CP Profile for Accounting = TRUE


Application Exception List
--------------------------
NameType
--------


Application BW-Contract List
----------------------------
NameTypeBW ContractIdDirection
------------------------------


access-list List
----------------
PositionName            Type   Location
------------            ----   --------
1         global-sacl       session
2         apprf-logon-saclsession
3         ra-guard          session
4         logon-control   session
5         captiveportal   session
6         vpnlogon          session
7         v6-logon-controlsession
8         captiveportal6    session



(AOS83) #show rights authenticated

Valid = 'Yes'
CleanedUp = 'No'
Derived Role = 'authenticated'
Up BW:No Limit   Down BW:No Limit
L2TP Pool = rap_pool1
PPTP Pool = default-pptp-pool
Number of users referencing it = 0
Periodic reauthentication: Disabled
DPI Classification: Enabled
Youtube education: Disabled
Web Content Classification: Enabled
IP-Classification Enforcement: Enabled
ACL Number = 79/0
Openflow: Enabled
Max Sessions = 65535

Check CP Profile for Accounting = TRUE

Application Exception List
--------------------------
NameType
--------

Application BW-Contract List
----------------------------
NameTypeBW ContractIdDirection
------------------------------

access-list List
----------------
PositionName                      Type   Location
------------                      ----   --------
1         global-sacl               session
2         apprf-authenticated-saclsession
3         ra-guard                  session
4         allowall                  session   这里就是authenticated 放行了一切方便你测试，呵呵
5         v6-allowall               session

cloudq 发表于 2018-7-2 15:47

新增UDP 4500 NAT-T端口测试！

wzx82 发表于 2018-7-3 20:08

膜拜大神

jorboylin 发表于 2018-7-5 23:10

可以，aruba专业:加我   qq383543037

Allen_Pm8A6 发表于 2022-12-17 14:58

Allen_Pm8A6 发表于 2022-12-17 14:58

ssx345 发表于 2024-1-17 10:23

看看，学习学习，支持！

tydeus 发表于 2024-3-27 10:34

膜拜大神，大神好细致

查看完整版本: Aruba无线网络实施排错常用命令分析以及解释