在Aruba Wireless當中,Tunnel Mode是AOS8預設模式,也是大部分客戶使用的無線流量傳輸模式。
Tunnel Mode需要AP與Gateway,由於AP是Thin AP需依賴控制器,在AOS8中Tunnel Mode SSID不會在設定上遇到缺東少西的狀況,可以很順利完成。
在Classic Central就不同,AP是AP,Gateway是Gateway,Gateway不再管理AP,這能讓Gateway容納AP建立IPSEC數目上限提升,也就是Gateway能納管(實際上是建IPSEC)的AP數目比AOS8提升4倍。
New Central更不一樣,設定概念與Classic Central有落差,而且基本上不相容。
Classic Central與AOS8是蠻像的,因此熟悉AOS8的人適應上比較沒有問題。
但是New Central就與Classic Central差異上,當然與AOS8也差異大,就連Tunnel Mode SSID在今日,也不一定能順利建成。
重新適應New Central,本文算是最近我搜遍與LLM問遍,最想知道的答案(?)。
CNX User Guide
https://arubanetworking.hpe.com/techdocs/new-central/content/home.htm
以上是new central的user guide,給與所有想練習new central的人一個很好的官方資源。
透過LLM詢問,現在六成以上都是classic central的回答,實際上幫助有限甚至沒有。
不如直接看官方的Guide比較有效率。
New Central的變化
Classic Central是以Device為主體,針對Device或是Device Group去設定。
New Central是以Object與Scope為主體,並且針對不同設備會對設定做差異化,可以想像是同樣是VLAN,但是Aruba Switch與Juniper Switch設定方式不同,New Central的設定派送會克服這些指令差異。
實踐上仍舊以傳統(底層)概念為主,類似Classic Central或是AOS8,不同類型的設備各自該有什麼,彼此間如何溝通。
現階段New Central還不夠無腦,也有很多需要克服的,因此,在此要實踐,其實更需要能摸清楚那些設計邏輯的經驗的方法。
我相信後續會改,遲早會變更簡單,現階段還是先透過學習,摸清關係後,再去好好建立。
New Central Device如何設定
正如前述,New Central的設定概念與Classic Central有很大的落差。
若一個從未設定過的設備開始部署,New Central需要先透過provision的方式,讓設備與Central報到前就被劃分在New Central的Device group,預先設定好後,才把設備接上線。
在今日(20260314),如果設備直接被劃分在New Central上,並且報到,設定同步就能夠完整。
如果設備先在Classic Central報到,再轉到New Central上,設定同步就會卡在更新中。
環境如果有DHCP然後設備也接上線,只要將Device基本管理IP與介面設定完成,再透過Remote Console對設備進行reset,再次報到就是直接與New Central報到,再次報到後就能是設定的那樣。
※New Central設備設定,即是,設備上Central報到前,設備就已經被歸屬於New Central中。
Classic Central的Tunnel Mode SSID設定流程
當AP是AP,Gateway是Gateway時,要如何做出Tunnel Mode SSID?
Gateway要先串成Cluster,即使只有一台也無所謂。
然後在Gateway群組中,先把VLAN建起。
在AP群組中,設定SSID,並且選擇Tunnel,然後指定Cluster,與(Gateway Cluster)VLAN。
完成後,AP會建立SSID、Role。
完成後,Gateway會建立AAA Profile、Role、Policy。
由於New Central的特性SSID(WLAN)、Role都是object,object建完後再指派,指派又分Site、Site Collection、Device、Device Group,沒有派到對的地方,Tunnel就起不來。
要特別留意,New Central是先建Object再指派(※至少目前是這樣子)。
CNX Gateway Cluster
進入設定,來到「Deivce Groups」,選擇「Mobility Gateway」與「High Aviliability」,只有這裡可以設定Cluster Profile
CNX Tunnel VLAN
在「Library > VLAN & Network > VLAN」中新增Tunnel VLAN,本例為888。
如果不需要路由與IP,可以什麼都不勾,純Layer2使用。
指派VLAN到Gateway Cluster的Device Group。
CNX Tunnel Mode SSID
設定SSID,在VLAN選擇Tunnel,以及對應的Cluster與VLAN。密碼管理依照情境決定,本例簡易使用PSK做練習。
SSID創造後,右方指派,勾選「Campus Access Points」,並且添加AP Device Group或是Site。
CNX Role-based Policies
※這部分是重點!!!!!!
建完SSID之後,Role-baesd Policies並不會自動套用該建立完的role,要套上去才會生效。依照Classic Central的概念,Tunnel Mode SSID至少要套到Mobility Gateway與對應的Site。
建立新Policy,然後添加Rule,並把剛剛隨著WLAN建立的role選擇上去。
※這部分是重點!!!!!!
然後指派給「Campus Access Point」、「Mobility Gateway」以及「Global」。
※依據Classic Central的概念,其實只要Mobility Gateway,並且套用到目標Gateway的scope中。
Tunnel Mode SSID成功案例
在AP中,點擊Netwrok,可以看到IPsec有建成,以及WLAN中,Tunnel mode WLAN有BSSID出現。
如果有看到BSSID出現,在Client端就能看到對應的SSID出現。
順利連上並取得對應的IP
Tunnel Mode失敗案例
在AP可以看到WLANs,亮綠燈,並不代表正常。再點進去看,如果BSSID為空,就是沒有順利建立。
AP中要出現Tunnels,如果沒有出現,Tunnel Mode SSID會無法正常運作。
