建网需求：
    用户老校区、新校区已经建好校园网，两校区之间1000M光纤连接。拟建一套覆盖2校区图书馆、教学楼等场所的无线校园网，作为有线网络的补充，以更好的为全校师生提供随时随地的校园接入服务。

软硬件环境：
   Aruba 2400无线交换机2台，Aruba AP61无线AP80台，随设备自带相关管理软件。

网络拓扑图见附图。

其中一些重要参数：
LADP服务器IP:192.168.1.1
老校区2400：name aruba-master.XXX.edu.cn,ip 10.10.1.154/30,SSID ENT-WLAN.
新校区2400：name aruba-local.XXX.edu.cn,ip 10.11.2.2/30,SSID ENT-WLAN

实现的主要功能：
1．2台2400交换机，老校区的为主交换机，新校区的为从交换机，从交换机的相关配置从主交换机获得，基本不需要配置。2台交换机各管理40台AP。
2．所有AP通过校园网DHCP分配地址，并通过aruba-master.swufe.edu.cn连接到无线交换机，获取进一步的配置参数，AP无需做任何配置。
3．发布无线SSID为SWUFEENT-WLAN，入网实行PORTAL认证，帐号密码使用学校原有认证系统。
4．学校师生在相关信号覆盖区域，可以自由漫游，使用各自的邮箱帐号与密码即可接入无线网络。
5.  所有AP只需要铺设一根网线，通过POE交换机，连接网络并供电，极大了简化了施工、维护。      


主要配置步骤：
       
1．        相关说明
2．        初始化主交换机
3．        配置用户认证
4．        配置SSID
5．        配置用户IP POOL
6．        配置AP ID与AP的管理交换机
7．        配置从交换机.
8．        AP启动流程.
9．        完整配置文件.

[ 本帖最后由 comsyschen@163.com 于 2007-8-9 09:16 编辑 ]

1．相关说明
     2400无线交换机包含24各10/100M端口，2个GBIC端口；所有端口支持以太网供电（POE）。该交换机支持串口管理，TELNET 管理，以及WEB GUI管理。串口和TELNET方式一般仅用于初始化配置和简单配置，主要的配置使用WEB GUI的方式进行。 考虑到书写的方便，本文主要使用TELNET命令行的方式。
     AP61有一个网络、供电、串口三合一的RJ45接口，一般无需要配置。如果需要诊断、调试AP，需要使用转接线（原装一般没有，可以根据手册自己做）。

2． 初始化主交换机
    交换机初始化配置时，串口使用默认参数(9600-8-N-1),连接好串口以后，上电，交换机显示如下界面
Enter System name [Aruba5000]: aruba-master
Enter VLAN 1 interface IP address [172.16.0.254]: 10.10.1.154
Enter VLAN 1 interface subnet mask [255.255.255.0]: 255.255.255.252
Enter IP Default gateway [none]: 10.10.1.153
Enter Switch Role, (master|local) [master]: master
Enter Country code (ISO-3166), <ctrl-I> for supported list: US
You have chosen Country code US for United States (yes|no)?: yes
Enter Password for admin login (up to 32 chars): *****
Re-type Password for admin login: *****
Enter Password for enable mode (up to 15 chars): ******
Re-type Password for enable mode: ******
Do you wish to shutdown all the ports (yes|no)? [no]: no

Current choices are:

System name: aruba-master
VLAN 1 interface IP address: 10.10.1.154
VLAN 1 interface subnet mask: 255.255.255.252
IP Default gateway: 10.10.1.153
Switch Role: master
Country code: US
Ports shutdown: no

If you accept the changes the switch will restart!
Type <ctrl-P> to go back and change answer for any question
Do you wish to accept the changes (yes|no) yes
Creating configuration... Done.

System will now restart!

      依次配置交换机的名字（System Name）、交换机的IP、MASK、默认网关，以上配置按照规划的参数做相应的配置即可。交换机的角色（Switch Role）有2种，master/local,master角色的交换机需要进行各方面的参数配置，并保存相关参数在本机，local角色的交换机只需配置master地址，其他参数在交换机启动后，自动从master交换机上获取；二者的关系类似堆叠交换机中的主交换机和从交换机。    所以，我们这里主要是配置master交换机。PASSWORD 以及ENABLE PASSWORD分别是密码与ENABLE 密码。上述命令行配置方式类似CISCO 的IOS。

   配置了地址后，我们可以使用WEB方式（http://ip/）、TELNET命令行方式(TELNET IP)进行下一步的配置。

3． 配置用户认证   
  
aaa ldap-server ldap1.xxx.edu.cn
  host 192.168.1.1
  base-dn "dc=xxx,dc=edu,dc=cn"
  admin-dn "cn=mirror,ou=servers,dc=xxx,dc=edu,dc=cn"
  admin-passwd "c87e8f7bf8edf2de32d527ad5f0d"
  key-attribute "uid"
  filter "(objectclass=xxx)"
  allow-cleartext

     以上定义了一台LDAP认证服务器的相关参数: 包含服务器名字为ldap1.xxx.edu.cn,IP为192.168.1.1,base-dn为"dc=xxx,dc=edu,dc=cn"，admin-dn为"cn=mirror,ou=servers,dc=xxx,dc=edu,dc=cn",admin密码(显示的为加密后的密码)。如果对某些参数不明白，请参考LDAP协议。

aaa derivation-rules user
aaa captive-portal login-page index.html
aaa captive-portal auth-server ldap1.xxx.edu.cn
aaa captive-portal match-essid "xxx"
aaa captive-portal guest-essid "xxx"
aaa mgmt-authentication mode enable
aaa pubcookie-authentication
以上配置了认证方式：进行用户认证，认证服务器使用ldap1.xxx.edu.cn(前面已经定义了)，认证的首页为index.html（该页面可以自定义）,对SSID为”xxx”的网络进行Portal认证。

4． 配置SSID
essid "xxx"                                                                  
vlan-id 251                                       
创建一个SSID名字为”xxx”，即用户通过无线终端看到的无线网络的名字为”xxx”,该SSID属于VLAN 251,同时可以从DHCP pool v251获得相应的IP参数。SSID可以创建多个。

aaa derivation-rules user
aaa captive-portal login-page index.html
aaa captive-portal auth-server ldap1.xxx.edu.cn
aaa captive-portal match-essid "xxx"
aaa captive-portal guest-essid "xxx"
aaa mgmt-authentication mode enable
aaa pubcookie-authentication
以上配置了认证方式：进行用户认证，认证服务器使用ldap1.xxx.edu.cn(前面已经定义了)，认证的首页为index.html（该页面可以自定义）,对SSID为”xxx”的网络进行Portal认证。

5． 配置用户IP POOL
vlan 251
interface vlan 251
        ip address 192.168.124.1 255.255.254.0
创建一个VLAN 251，并设备相应的网关地址和掩码。


service dhcp              
ip dhcp excluded-address 192.168.124.255
ip dhcp pool V251
default-router 192.168.124.1
dns-server 61.139.2.69
domain-name xxx.edu.cn
lease 0 4 0
network 192.168.124.0 255.255.254.0
authoritative
配置无线终端的DHCP地址池，其中service dhcp语句开启DHCP服务,其他参数无需多说。

[ 本帖最后由 comsyschen@163.com 于 2007-8-9 09:16 编辑 ]

有这么麻烦吗，无线的基本上是傻瓜型的，很好搞呀。

这个系统采用的是瘦AP技术，可以实现大规模无线局域网，普通的无线AP根本办不到。网站是http://www.arubanetworks.com.cn/front/bin/home.phtml，但是是英文的，下次发个中文介绍。如果仅仅是家用或者办公室用，根本无需要使用该产品。

Arbua 无线局域网的功能特点：
灵活的组网方式
     Aruba的产品可以完全满足从小型的无线网规模（几个AP），到大型无线网规模（几百个AP，甚至上万个AP）的需求，并可以采用集中或分布式的组网方式进行灵活的组网。并提供冗余热备份机制，保证整个系统的高可用性。

优秀的扩展性  
     在组建无线网时必须要考虑系统的扩展性。Aruba的产品具有非常方便扩展的特性， Aruba的一台2400型交换机可灵活地对48AP个进行管理，因此扩展AP，实现无线网络覆盖的扩大是非常的容易；从网络管理扩展性方面, Aruba所具有的Master/Local方式， 其一台Master 交换机可以同时控制管理28台的Local交换机，因此增加交换机也非常容易管理。

无需更改有线网结构
      Aruba无线系统是无需更改现有有线网络的拓扑结构的。
由于无线用户的传输是通过Aruba AP 内已建立的GRE隧道和Aruba交换机互连的，所以实际上无线用户的VLAN是无须在接入层和汇聚层存在。同样我们对原有的有线网路由器不需要改变任何路由结构，减轻了由于无线网的建设而对原有网络的结构改变的工作量。

IPv6与IPv4的无缝支持

集中式管理
     Aruba公司推出强大的具有集中式管理的瘦AP＋无线交换机架构，该无线架构具有简单而强大的无线局域网集中式管理功能，AP本身并不存放任何的配置文件，AP的配置是从无线交换机上获取的，通过无线交换机Master Switch和Local Switch管理模式就可以统一管理整个无线网络及的所有的Aruba AP。

RF智能控管
     Aruba的无线架构是基于无线交换机的集中式统一管理系统，而无线交换机正好是全局AP的中心和沟通桥梁。AP与AP之间的射频信息通过无线交换机汇总后，通过RF智能控管，便可以很方便地自动调节线上所有Aruba AP的电波特性，而无需逐一设置，这是传统AP方式无法做到的。

多个SSID结构
     在一个无线局域网内可以设置多个SSID，例如一个SSID可给学校内部教师、工作人员以及学生所用，而另一个可给外来的访问客户专用。所以当无线终端在这个AP覆盖范围内启动时，它就能同时看到多个SSID。SSID的另一用途是可让无线终端以不同的安全认证和加密方式入网。

故障自动恢复
     而Aruba无线系统具有自动恢复的功能，实时侦测出网上AP是否有失效，当发觉有AP出现故障时，Aruba交换机能会自动调节邻近的AP的功率（覆盖范围）来接替失效AP的工作。

网络负载均衡
     Aruba无线系统可在应用层面通过4－7层交换模块来实现服务器的负载均衡，VPN设备，防火墙设备等等一系列基于TCP/IP协议的负载均衡功能来保证整体网络的可靠性。
在语音与视频的应用中，负载均衡功能可以有效的缓解单个AP的负担，有效的利用临近的AP做接入，从而确保应用的质量得到保证。

无线终端定位

集中的安全管理
    Aruba无线系统的安全管理是将防火墙、VPN、安全认证、防病毒、无线入侵监测以及RF 电磁波管理等多项安全功能汇聚到Aruba无线交换机上来完成的，解决了传统的无线网对安全的分散管理（AP、AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。

多种用户认证方式
   在Aruba无线系统中，一个无线用户进入无线网以后，会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过DHCP获取IP地址、传送DNS协议数据包，通过系统认证以后才可以接入无线网。
Aruba无线系统目前支持各种用户认证的方式（802.1、WEB认证、MAC、SSID、VPN等），园区网内的用户可以根据需要方便选择。

独特的无线访问控制
    用户状态防火墙是Aruba无线交换机的独特功能，它本身就是针对无线接入的特性而设计。传统的网络防火墙是没有用户这概念，它的保护只是基于IP地址或物理端口来制定防火墙策略，所以对于没有固定接入点的无线终端，这种防火墙的功效是不大。Aruba无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略，例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发Email等，这样可以极大方便园区网用户的安全管理。

安全的AP技术
    Aruba无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过AP，而是在Aruba无线交换机上实现。由于Aruba的AP是不储存任何网络配置（IP地址除外）和安全设置，因此Aruba 管理的AP是不能单独工作的，因此获得和私自接入进Aruba AP，黑客也不会拿到无线网的网络结构和安全配置参数。

无线接入点安全侦测和保护
    采用Aruba 无线系统的RF侦测功能和保护机制可以实时监测园区无线网覆盖区域内的所有AP接入情况,如相邻房间的AP、设置错误的AP以及未经认可而连接到网络中的流氓AP。通过Aruba 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的AP接入，发现后可以开启自动保护机制，阻止无线终端通过非法AP联接到无线网中。

无线网络入侵侦测
    今天已经有很多的无线入侵和攻击的工具可从网站下载，这些工具的普及对学校、和运营商的无线网的安全构成很大的威胁。今天绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。
Aruba 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当Aruba 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应。

无线接入的病毒防护
     Aruba无线系统针对无线终端的病毒防护分为两个层面，一、无线终端的准入检查；二、对无线终端发出数据进行有效的检查和监控。

带宽控制与服务质量保证
      提供语音服务，将极大提高无线网络的实际运营效果，为广大在校师生提供无线网络服务，随着无线语音技术的发展，无线语音、无线数据服务将极大方便用户的园区生活。

VoIP与Wi-Fi 手机
     Aruba无线系统可容许用户设置专有的语音SSID，把单纯是数据传输的用户和Wi-Fi手机用户分开，但也可以在单一SSID内同时传送数据和话音，关键的重点就是怎样保证语音传输的质量。 Aruba无线交换机内的用户防火墙可把SIP/RTP等VoIP协议数据包放在较高的优先队列，所以就可确保在数据和语音同时传送时，语音的质量不受影响。

无缝的三层漫游

SNMP Trap
       网管服务器通过实时接受Aruba网络系统的SNMP Trap信息，网管人员透过这些信息可以实时的对网络进行检测，管理。

Event / Report
      Aruba系统有很详细的触发事件报表系统，管理者通过查看报告，可以帮助管理者了解网络发生了什么事情，例如：有Dos攻击，有黑客攻击等，管理者可以通过这些信息做出判断，是否网络出了什么问题，从而采取必要的手段去处理。

Network Report System
       Aruba可以提供一套网络报告系统，系统简称NRS，它是一套中文化网络设备日志数据分析统计报表管理软件，它提供设备状态监控、流量及攻击事件等警示服务，可同时支持多台装置日志接收分析，并提供中文化的图形化分析报告，以利于网管人员确实掌握公司的网络使用情形及网络安全状况。



部分使用该系统用户：
        伟创力制造厂（珠海厂区）：48个AP60 　1台2400交换机
        Yahoo北京：30个AP61，1台2400交换机
        Google北京：40个AP70，1台6000交换机
        扬州大学：24个AP41　1台2400交换机
        香港城市大学，3台6000，700个AP70
        香港理工大学，3台6000，680个AP70
        NTT DoCoMo，25台5000，500个AP
        美国微软公司，5000个APs
        美国空军基地，30000个APs, 300个无线交换机
        广州地铁，约1500个AP70，布置于1－4号线遂道内（以Alcatel品牌销售）
        北京地铁
        北京大学
        清华大学
        浙江大学
        华中科技大学
        成都电子科大
        北京邮电大学
        北京师范大学
        成都大学
        四川移动
        香格里拉酒店亚洲集团

6． 配置AP ID与AP的管理交换机
设置AP ID，是为了方便管理（ID一般按一定的规律编排）同时实现按照AP ID指派AP的接入交换机。ID号分成3断，xx.xx.xx,分别为building,floor,number,原厂这样设置，还可以实现RF自动管理。我们也可以按照自己喜欢的方式来编排。我自己是这样编排的：
老校区统一为100.1.x，x从1一次往后编；新校区为200.1.x，x从1一次往后编；这样一目了然，很方便配置、查看。

设置AP ID有两种方法:在AP上设置（我们不推荐这种方法），另外一种在管理界面上执行。如下图，登录MASTER 的IP,输入帐号密码，到下面的菜单”Maintenace->wlan->program ap”,显示出所有已经连接到控制器的AP，选中需要设置的AP，设置相应的AP ID即可。为了能识别这些AP，我们安装之前，就记录了每个AP的SN、MAC号、以及对应的安装地点。下图是我已经设置好的例子。

设置好AP ID后，我们来配置AP的管理交换机（设置每个AP由那个交换机来管理）。
在交换机上执行如下的命令：
ap location 100.0.0  （100.0.0后面2个0，表示通配，也就是表示以100开头的老校区AP）
lms-ip 10.10.1.154   (管理交换机为 10.10.1.154)

ap location 200.0.0 （200.0.0后面2个0，表示通配，也就是表示以200开头的新校区AP）
lms-ip 10.11.2.2     (管理交换机为 10.11.2.2)


7． 配置从交换机.
Enter System name [Aruba5000]: aruba-local
Enter VLAN 1 interface IP address [172.16.0.254]: 10.11.2.2
Enter VLAN 1 interface subnet mask [255.255.255.0]: 255.255.255.252
Enter IP Default gateway [none]: 10.11.2.1
Enter Switch Role, (master|local) [master]: local
Enter Country code (ISO-3166), <ctrl-I> for supported list: US
You have chosen Country code US for United States (yes|no)?: yes
Enter Password for admin login (up to 32 chars): *****
Re-type Password for admin login: *****
Enter Password for enable mode (up to 15 chars): ******
Re-type Password for enable mode: ******
Do you wish to shutdown all the ports (yes|no)? [no]: no

masterip 10.10.1.154    配置MASTER交换机的IP


上述配置和MASTER基本一样，Switch Role 角色配置为local,即可。
配置用户VLAN DHCP

vlan 251
interface vlan 251
        ip address 192.168.254.1 255.255.254.0

service dhcp
ip dhcp pool v251
default-router 192.168.254.1
dns-server 202.115.112.33
domain-name swufe.edu.cn
lease 0 4 0
network 192.168.254.0 255.255.254.0
authoritative
!

8． AP启动流程.
AP上共有3个状态指示灯
a. PWR   电源指示灯。
     熄灭：        设备未通电；     
     绿色长亮：        正常供电。

b.ENET  网络接口指示灯。
     熄灭：        没有网络连接；
     绿色长亮：        网络连接正常；
     绿色闪烁：        网络正在传输数据；闪烁的频率表示数据传输的快慢。

c.WLAN SSID指示灯
    熄灭：        无线SSID禁用或者DOWN，或者没有配置，或者没有连接控制器。
    绿色长亮：        SSID启用，WLAN就绪；本设备工组模式为AP.(Acess Point)
      绿色闪烁：        配置正确并启用；本设备工作模式为AM(Air Monitor),无线监视器，在该模式下不能提供接入服务。

AP可以通过串口（与网络接口合在一起，需要专门的转接头转接出来，也可以自己按照说明书制作）设置一些参数，虽然一般不配置，但有时候为了调试、排错。可能需要连接串口。

RJ45的8根引脚定义如下：
1->ETH TX+
2->ETH TX-
3<-ETH R+
4<-Serial RxD
5-Serial RGND
6<-ETH RX-
7-> Serial TxD
8- Serial RGND               

AP启动流程
1．        上电，AP自检，通过DHCP获得本机IP，MASK,GATEWAY以及DNS SERVER的IP;
2．        通过查询DNS，解析aruba-master这个域名对应的IP（aruba-master这个名字也可以自定义，AP默认为这个名字）。
3．        找到aruba-master的IP后，连接到该IP，获得本机配置参数；
4．        根据配置参数，查询本机的控制交换机IP，并连接到本AP的控制交换机。
5．        如果一切正常的话，状态灯WLAN变为绿色长亮，无线客户可以连接到无线网络了。

   通过以上的说明，我们知道AP是通过名字找到MASTER交换机的，所以网络中提供DHCP的服务时一定要包含DNS SERVER的IP；同时网络中DNS SERVER要增加aruba-master对应的域名解析(aruba-master这个名字应该对应到主交换机上的IP)。


9． 完整配置文件.


version 2.5
enable secret "91657487596f9f0f7a0650d4149c8dd6175dbbab"
hostname "Aruba2400-1"
ip access-list session validuser
  any any any permit
!
aaa ldap-server ldap1.swufe.edu.cn
  host 202.115.112.56
  base-dn "dc=sxxx,dc=edu,dc=cn"
  admin-dn "cn=mirror,ou=servers,dc=xxx,dc=edu,dc=cn"
  admin-passwd "8df8c87e88edf2de32d527ad5f0d"
  key-attribute "uid"
  filter "(objectclass=xxx)"
  allow-cleartext

!
aaa derivation-rules user
!

aaa captive-portal login-page index.html
aaa captive-portal auth-server ldap1.xxx.edu.cn
aaa captive-portal match-essid "xxx"
aaa captive-portal guest-essid "xxx"
aaa mgmt-authentication mode enable
aaa pubcookie-authentication
!

interface mgmt
        shutdown
!

vlan 251


interface fastethernet 1/0 to 1/23
        description "fe1/0"
        trusted
        switchport access vlan 251


interface gigabitethernet  1/24
        description "gig1/24"
        trusted
        switchport access vlan 1

!

interface gigabitethernet  1/25
        description "gig1/25"
        trusted
        switchport access vlan 1

interface vlan 1
        ip address 10.10.1.154 255.255.255.252
!

interface vlan 251
        ip address 192.168.124.1 255.255.254.0
!

ip default-gateway 10.10.1.153

country CN


vlan-id 251

hide-ssid enable


essid "xxx"
vlan-id 251



!
ap location 0.0.0
  phy-type enet1
    mode active-standby
    switchport mode access
    switchport access vlan 1
    switchport trunk native vlan 1
    switchport trunk allowed vlan ALL
    trusted disable
  !
!
ap location 100.0.0
lms-ip 10.10.1.154
!
ap location 200.0.0
lms-ip 10.11.2.2
!

ip dhcp excluded-address 192.168.124.255
ip dhcp pool V251
default-router 192.168.124.1
dns-server 202.115.112.33
domain-name swufe.edu.cn
lease 0 4 0
network 192.168.124.0 255.255.254.0
authoritative
!
service dhcp
masterip 127.0.0.1
!
mobility-local
  local-ha disable

adp discovery enable
adp igmp-join enable
adp igmp-vlan 0

mgmt-role guest-provisioning
        description "This is a Guest Provisioning Role."
        permit local-userdb-guest read write
!
mgmt-role root
        description "This is Default Super User Role"
        permit super-user
!
mgmt-user admin root f47dfadbdb79d3dda31502ed64ab1c2d4


ip igmp
!
end

完整竣工资料：

目  录
一、工程概况
二、验收内容
三、验收时间
四、验收地点
五、验收双方代表签章
附件：工程资料

附件：工程资料
1．        设备清单
2．        设备序列号与分布
3．        布线资料
4．        AP分布表格
5．        AP分布图纸以及编号
6．        孜知书院拓扑图
7．        无线交换机相关参数


根据实际情况，做了部分删减.

楼主 有Aruba产品相关的ppt么 或白皮书

好东西