Gateway 介面(Interface)一般來說設定Trust,然後設定VLAN、IP,接下來設定路由等。
此外在Interface中,如果是LAN介面,會建議手動開啟LLDP的接收與發送,這能讓拓樸圖繪製正常。
也可以針對特定VLAN做AAA,就能讓特定VLAN使用者也能經由Aruba Gateway把關上網。
這塊比較少情境使用與教學,因此寫了本篇文章。
範例
VLAN1001要做有線驗證,並且導入Captive Portal,然後使用Policy Based Route將訪客流量直接導到特定外線,避免流入內網。
為了未來擴展性,這邊針對特定VLAN做驗證,並且使用特定VLAN的AAA Profile。
AAA Profile搭配CPPM回傳User Role,User Role綁Captive Portal Profile。※這部分本文略過
利用Policy Based Route,把該VLAN的流量導到特定Next Hop IP,藉此達到Guest流量直出外網的通用設定。(如果特定外線是Public IP的話,可以在VLAN勾選Outside NAT。其他是做路由)
有線介面AAA優先順序
- 介面Trust :不做驗證。
- 介面Untrust & Trust VLAN:該VLAN不做驗證。
- 介面Untrust & Untrust VLAN Wired AAA:該VLAN做驗證,並用指定 AAA profile。
- 介面Untrust & Untrust VLAN Wired N/A:該VLAN做驗證,並用Default AAA profile。
因此,每個VLAN的Wired Auth可以各別設定AAA Profile。
Wired Default AAA Profile位置
介面設定Untrust並設定VLAN Untrust
VLAN Wired LAN AAA Profile位置
Policy Based Route
以前寫過的文章,有PBR的設定以及如何套用,請參考。
有線介面AAA&CaptivePortal&PBR
這邊是最複雜的情況,AAA加上CP加上PBR,訪客認證然後走特定外線,難度不斷堆疊但是可以解。
由於Aruba CP Redirect運作機制是由Controller主導,因此PBR第一條需要讓往Controller的走正常路由,不能被PBR,否則會造成CaptivePortal無法正常跳轉。
因此,PBR,除了往Controller與Captive Portal(CP),其他IP都應該要走PBR。
- PBR第一條要開User to alies controller forward。
- PBR第二條要開User to alies cp forward。
- 剩下any any to Next Hop List
結尾
概念只有一個要處理時是很簡單的,如果要串起三四個概念,就會讓難度變高。
尤其是Captive Portal + PBR會造成設定變化,若沒有理論知識,就會難以發現解決方案。
流量可以分為可信任與不可信任,對於不可信的(例如 Guest)直接外拋到獨立外線是常見方案。
實體隔離可以,卻會造成管理上無法便利的連線管理。這部分建議雲端或是VLAN切割。
萬一是要控制部分流經內網,客制的訪客頁面可能放在內網之中,PBR能做到。
於是複雜環境,產生複雜的解決方案。