查看: 3278|回复: 8

Aruba无线网络实施排错常用命令分析以及解释

844 回帖	1168 积分	1155 小时在线时间

上尉

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-7-2 10:10 |显示全部楼层

本帖最后由 cloudq 于 2018-7-2 10:56 编辑

Aruba无线网络实施排错常用命令分析以及解释，近期做了一个Aruba的无线远程接入的案例，碰到了很多问题，都逐个一一解决了，下面给大家分享一下其中一些关键命令，为什么要用命令呢而不是web呢？因为有很多情况下你根本无法直接访问web,而且web刷新速度比cli要迟缓一些托管环境.jpg

show ap database
show ap-group <ap-group-name>
show wlan virtual-ap <vap-profile-name>
show aaa profile <aaa-profile-name>
show wlan ssid-profile <ssid-profile-name>
show rights role-name

1.命令 show ap database 这个命令可以看到已经在系统内注册的所有AP信息，包括在线的离线的，凡是在系统里注册过的都可以显示出来.但要注意的一点就是并不是你用这个命令看不到的ap他就没注册上，请一定要有耐心，ap注册需要时间，你多等一会儿他就出来了，这点非常关键，其次就是如果开启了cpsec这里看不到的ap都在等你加入白名单呢，你去白名单那里就可以找到他们了. 未经过approved的ap这里show出来的结果是deny,等会儿我给补充上例子

2.命令 show ap-group 这个命令会显示出系统里面所有已经定义的AP组，默认的话所有经过approved AP都在default组下,推荐尽量不要去用default组，而是自己建立一个新组，同一个组里的ap都继承相同的策略.
(AOS83) [mynode] #show ap-group

default 系统默认组
NoAuthApGroup 这一般用不到，估计就是没经过approved都自动上这里了
rap 这个是我自建立的，所有远程RAP都继承这策略，他不会影响CAP策略.
<profile-name> Profile name
| Output Modifiers
<cr>

(AOS83) [mynode] #show ap-group rap

AP group "rap"
--------------
Parameter Value
--------- -----
Virtual AP ArubaRAP
802.11a radio profile default
802.11g radio profile default
Ethernet interface 0 port configuration default
Ethernet interface 1 port configuration default
Ethernet interface 2 port configuration shutdown
Ethernet interface 3 port configuration shutdown
Ethernet interface 4 port configuration shutdown
AP system profile default
AP multizone profile default
802.11a Traffic Management profile N/A
802.11g Traffic Management profile N/A
Regulatory Domain profile default
RF Optimization profile default
RF Event Thresholds profile default
IDS profile default
Mesh Radio profile default
Mesh Cluster profile N/A
Provisioning profile N/A
AP authorization profile N/A

3.show wlan virtual-ap 这个就是看你建立的虚拟ap ,请注意就是每个AP组，都要绑定一个虚拟AP,然后虚拟AP绑定SSID这样才会发射信号，虚拟ap的概念在很多家用ap里面也有，就是当你一个物理ap想要发射多个信号，每个信号的vlan或者策略不一样，这样就需要有多个虚拟AP,比如你物理Ap AP135,你设置 3个虚拟AP VAP1 VAP2 VAP3, 分别对应三个不同的SSID AP135-1 AP135-2 AP135-3,每个SSID对应不同的Vlan Vlan10 Vlan20 Vlan30,对应不同的认证方式，不同的限速，不同的各种策略，这些都是通过建立虚拟AP去分开的

(AOS83) [mynode] #show wlan virtual-ap

ArubaRAP 这个是我建立的专门给RAP用的，所有RAP都自动继承他的配置

default 系统默认的，CAP都自动用这个

<profile-name> Profile name

| Output Modifiers

<cr>

(AOS83) [mynode] #show wlan virtual-ap arubaRAP

Virtual AP profile "ArubaRAP"

-----------------------------

Parameter Value

--------- -----

AAA Profile ArubaRAP 这个随后说，就是根据不同用户区分权限的用途

802.11K Profile default

Hotspot 2.0 Profile N/A

Virtual AP enable Enabled

VLAN 1 这里是接入vlan ,默认vlan1就是不打标签.

Forward mode tunnel 这里有四种模式隧道集中转发,桥本地转发;还有两种隧道模式随后详细介绍.

SSID Profile ArubaRAP 这里就是配置你要发射的SSID是啥的地方现在你就要记住AP Group需要绑定一个Virtual AP,然后Virtual AP需要分别绑定 AAA(认证，权限) 和 SSID(设置ssid)

Allowed band all

Band Steering Disabled 这里是问你是否要引导优先使用2.4g还是5G

Cellular handoff assist Disabled

Openflow Enable Enabled

Steering Mode prefer-5ghz 上面那个band steering如果不打开，这里不起作用

Dynamic Multicast Optimization (DMO) Disabled

Dynamic Multicast Optimization (DMO) Threshold 6

Drop Broadcast and Multicast Disabled

Convert Broadcast ARP requests to unicast Enabled

Authentication Failure Blacklist Time 3600 sec

Blacklist Time 3600 sec

Deny inter user traffic Disabled

Deny time range N/A

DoS Prevention Disabled

HA Discovery on-association Enabled

Mobile IP Enabled

Preserve Client VLAN Disabled

Remote-AP Operation standard 这里随后再看看还有啥其他选择？？

Station Blacklisting Enabled

Strict Compliance Disabled

VLAN Mobility Disabled

WAN Operation mode always

FDB Update on Assoc Disabled

WMM Traffic Management Profile N/A

Anyspot profile N/A

4.show wlan ssid-profile 这个命令就是关于配置ssid和无线详细参数的了，这个profile必须绑定到 VAP才好用，有些朋友就总是问我修改了ssid为啥不起作用，因为你修改的ssid profile不是对应正确vap的，所以你修改之前先看看他到底绑定的哪个vap,然后这个vap属于哪个ap group

(AOS83) [mynode] #show wlan ssid-profile arubaRAP

SSID Profile "ArubaRAP" 这里只是这个profile的名字，其实我应该起名叫ArubaSSID的这样更容易记住
-----------------------
Parameter Value
--------- -----
SSID enable Enabled
ESSID ArubaRAP 看清楚了，这里才是你要修改的SSID!!修改SSID的偶来看这里，要改密码的往下看！
WPA Passphrase N/A
Encryption opensystem 这里是修改认证方式，我这里是选的Open,你选那些什么wpa之类的就出来让你输入密码的地方了
Enable Management Frame Protection Disabled
Require Management Frame Protection Disabled
DTIM Interval 1 beacon periods
802.11a Basic Rates 6 12 24
802.11a Transmit Rates 6 9 12 18 24 36 48 54
802.11g Basic Rates 1 2
802.11g Transmit Rates 1 2 5 6 9 11 12 18 24 36 48 54
Station Ageout Time 1000 sec
Max Transmit Attempts 8
RTS Threshold 2333 bytes
Short Preamble Enabled
Max Associations 64
Wireless Multimedia (WMM) Disabled
Wireless Multimedia U-APSD (WMM-UAPSD) Powersave Enabled
WMM TSPEC Min Inactivity Interval 0 msec
DSCP mapping for WMM voice AC (0-63) N/A
DSCP mapping for WMM video AC (0-63) N/A
DSCP mapping for WMM best-effort AC (0-63) N/A
DSCP mapping for WMM background AC (0-63) N/A
WMM Access Class of EAP traffic default
Multiple Tx Replay Counters Enabled
Hide SSID Disabled
Deny_Broadcast Probes Disabled
Local Probe Request Threshold (dB) 0
Auth Request Threshold (dB) 0
Disable Probe Retry Enabled
Battery Boost Disabled
WEP Key 1 N/A
WEP Key 2 N/A
WEP Key 3 N/A
WEP Key 4 N/A
WEP Transmit Key Index 1
WPA Hexkey N/A
Maximum Transmit Failures 0
EDCA Parameters Station profile N/A
EDCA Parameters AP profile N/A
BC/MC Rate Optimization Disabled
Rate Optimization for delivering EAPOL frames Enabled
Strict Spectralink Voice Protocol (SVP) Disabled
High-throughput SSID Profile default
802.11g Beacon Rate default
802.11a Beacon Rate default
Video Multicast Rate Optimization default
Advertise QBSS Load IE Disabled
Advertise Location Info Disabled
Advertise AP Name Disabled
Traffic steering from WLAN to cellular Disabled
802.11r Profile N/A
Enforce user vlan for open stations Disabled
Enable OKC Enabled

5.show aaa profile 这个为啥放在后面说？因为这个不是必须的，当你只购买AP Lic不购买PEF Lic的时候，AAA profile就无需配置了，也没法配置，这个就是系统事先预定了很多认证模板，你也可以再自己增加定义一些，根据这些去做不同的策略配置，然后AAA profile和user role是相关联系的，不同的aaa profile要根据不同的user role去，这里要介绍一个知识，就是很多朋友他使用AP设置一个ssid和密码，然后发射信号接入，漫游等等，这些都是不需要PEF Lic的，所以你也没必要购买PEF Lic,AAA proflie是需要 PEF Lic的，你如果不购买，这里就不用区分什么策略，只要设置好了ssid介入后，就可以上网了，但如果你购买了PEF lic,而这里又没有设置正确的角色，你还上不去网，因为默认的default角色是不允许你上网的.这点好多朋友被卡在这里了.

(AOS83) [mynode] #show aaa profile

ArubaRAP 就这一个是我自己创建的，其他都是系统默认的

default

default-dot1x

default-dot1x-psk

default-iap-aaa-profile

default-mac-auth

default-open

default-tunneled-user

default-xml-api

NoAuthAAAProfile

<profile-name> Profile name

| Output Modifiers

<cr>

(AOS83) [mynode] #show aaa profile arubaRAP

AAA Profile "ArubaRAP"

----------------------

Parameter Value

--------- -----

Initial role authenticated

MAC Authentication Profile N/A

MAC Authentication Default Role guest

MAC Authentication Server Group default

802.1X Authentication Profile N/A

802.1X Authentication Default Role guest

802.1X Authentication Server Group N/A

Download Role from CPPM Disabled

Set username from dhcp option 12 Disabled

L2 Authentication Fail Through Disabled

Multiple Server Accounting Disabled

User idle timeout N/A

Max IPv4 for wireless user 2

RADIUS Accounting Server Group N/A

RADIUS Roaming Accounting Disabled

RADIUS Interim Accounting Disabled

RADIUS Acct-Session-Id In Access-Request Disabled

XML API server N/A

RFC 3576 server N/A

User derivation rules N/A

Wired to Wireless Roaming Enabled

Reauthenticate wired user on VLAN change Disabled

Device Type Classification Enabled

Enforce DHCP Disabled

PAN Firewall Integration Disabled

Open SSID radius accounting Disabled

本帖被以下淘专辑推荐:

· Aruba技术文档固件|主题: 16, 订阅: 3
· Aruba|主题: 6, 订阅: 0

使用道具举报

cloudq

844 回帖	1168 积分	1155 小时在线时间

上尉

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-7-2 10:55 |显示全部楼层

6.show rights role-name 这个命令就是看role对应的设置以及权限，在你show aaa profile的时候能看到下面这个东西

Initial role  authenticated  默认就是logon 然后 authenticated就是啥都允许你，这两个是最常见的 ,authenticated就是当你怀疑有啥系统策略阻止了你的应用的时候，你可以先切换到authenticated 看看是否通过，就知道你原来默认的那个role到底被限制什么了.

(AOS83) [mynode] #show rights logon

Valid = 'Yes'
CleanedUp = 'No'
Derived Role = 'logon'
Up BW:No Limit Down BW:No Limit
L2TP Pool = rap_pool1
PPTP Pool = default-pptp-pool
Number of users referencing it = 0
Periodic reauthentication: Disabled
DPI Classification: Enabled
Youtube education: Disabled
Web Content Classification: Enabled
IP-Classification Enforcement: Enabled
ACL Number = 2/0
Openflow: Enabled
Max Sessions = 65535

Check CP Profile for Accounting = TRUE

Application Exception List
--------------------------
Name  Type
----  ----

Application BW-Contract List
----------------------------
Name  Type  BW Contract  Id  Direction
----  ----  -----------  --  ---------

access-list List
----------------
Position  Name             Type    Location
--------  ----             ----    --------
1       global-sacl    session
2       apprf-logon-sacl  session
3       ra-guard       session
4       logon-control    session
5       captiveportal    session
6       vpnlogon       session
7       v6-logon-control  session
8       captiveportal6 session

(AOS83) [mynode] #show rights authenticated

Valid = 'Yes'
CleanedUp = 'No'
Derived Role = 'authenticated'
Up BW:No Limit Down BW:No Limit
L2TP Pool = rap_pool1
PPTP Pool = default-pptp-pool
Number of users referencing it = 0
Periodic reauthentication: Disabled
DPI Classification: Enabled
Youtube education: Disabled
Web Content Classification: Enabled
IP-Classification Enforcement: Enabled
ACL Number = 79/0
Openflow: Enabled
Max Sessions = 65535

Check CP Profile for Accounting = TRUE

Application Exception List
--------------------------
Name  Type
----  ----

Application BW-Contract List
----------------------------
Name  Type  BW Contract  Id  Direction
----  ----  -----------  --  ---------

access-list List
----------------
Position  Name                   Type    Location
--------  ----                   ----    --------
1       global-sacl             session
2       apprf-authenticated-sacl  session
3       ra-guard                session
4       allowall                session 这里就是authenticated 放行了一切方便你测试，呵呵
5       v6-allowall             session

使用道具举报

cloudq

844 回帖	1168 积分	1155 小时在线时间

上尉

注册时间: 2015-4-26

金币: 26 个

威望: 4 个

荣誉: 2 个

发消息

尚未签到

发表于 2018-7-2 15:47 |显示全部楼层

新增UDP 4500 NAT-T端口测试！

Anywlan官方QQ群

使用道具举报

wzx82

125 回帖	724 积分	381 小时在线时间

中尉

注册时间: 2013-2-14

金币: 540 个

威望: 0 个

荣誉: 0 个

发消息

累计签到：4 天
连续签到：0 天
[LV.20]漫游旅程

发表于 2018-7-3 20:08 |显示全部楼层

膜拜大神

使用道具举报

jorboylin

1 回帖	31 积分	1 小时在线时间

新兵上阵

注册时间: 2018-7-5

金币: 25 个

威望: 1 个

荣誉: 0 个

发消息

累计签到：1 天
连续签到：0 天
[LV.20]漫游旅程

发表于 2018-7-5 23:10 来自手机 |显示全部楼层

可以，aruba专业:加我 qq 383543037

使用道具举报

Allen_Pm8A6 该用户已被删除	发表于 2022-12-17 14:58 \|显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
Allen_Pm8A6 该用户已被删除
	回复使用道具举报显身卡

Allen_Pm8A6 该用户已被删除	发表于 2022-12-17 14:58 \|显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
Allen_Pm8A6 该用户已被删除
	回复使用道具举报显身卡