21T47 Łączenie Aruba Mobility Controller i Mobility Conductor w 12 min. [Konfiguracja]

IPSec Tunnel

Więcej miejsc do posłuchania:

Spotify

Link do artykułu.

Transkrypcja:

0:00 Wprowadzenie

2:18 Konsola

3:00 Konfiguracja IP-sec na Mobility Conductorze

6:05 Dodanie Nowej Grupy i Kontrolera

9:10 Poziom Konfiguracji Grupowej md/VMC

9:30 Test Zmiany Hostname

11:27 Podsumowanie

Transkrypcja

Cześć! Chciałbyś zobaczyć, jak spiąć ze sobą arubowy Mobility Conductor z arubowym Mobility Controllerem? Jeżeli tak, to dzisiaj właśnie tym się będę zajmował. Zobaczmy, jaką mamy sytuację. Mamy Mobility Conductor, czyli Mobility Master, tak wcześniej się nazywał ten kontroler i mamy wirtualną wersję Mobility Controllera, czyli kontroler, który zarządza już punktami dostępowymi. Oprócz tego mamy obiekt sieć, który powoduje nam bridgowanie interfejsów jednego i drugiego kontrolera do fizycznego interfejsu tego serwera, a to oznacza, że możemy przez przeglądarkę zewnętrznego komputera łączyć się do obu urządzeń. Przypomnę jeszcze, że startową sytuację mamy taką, że pierwsza konfiguracja, którą wykonywaliśmy dwa tygodnie temu, zawiera informacje, jaki jest adres IP. Jeżeli chodzi o Mobility Controller, tę wirtualną wersję, to tutaj konfigurowaliśmy tydzień temu, jaką adresację nadamy, jak również w jaki sposób będzie się do Mobility Mastera / Mobility Conductora łączył ten Mobility Controller i w jaki sposób ten tunel IPSec-owy, bo on się musi połączyć przez IPSec, będzie zestawiany.

Wybraliśmy metodę shared key IPSec, bazując na IP. Taka jest konfiguracja
po stronie tego Mobility Controllera. Idźmy dalej. Mamy dostęp webowy do Mobility Conductora MM1. Mamy dostęp do tego samego kontrolera MM1 przez command line. Możemy sprawdzić, jakie kontrolery widzi ten Mobility Conductor. Widzi, że jest tylko on sam. Czyli on sam samego siebie tylko widzi.
Nie ma innych kontrolerów. Czyli nie połączyły się ze sobą Mobility Controller
i Mobility Conductor.

Co jeszcze tu mamy? Mamy konsolę, po ssh podłączenie do Mobility Controllera. Ten Mobility Controller z kolei widzi też tylko siebie. Końcówka 110 to jest tylko on. Widać, że model to jest Aruba Mobility Controller Virtual Appliance. Co więcej widzimy, że Master is Unreachable, czyli nie widzi Mobility Mastera, nie jest w stanie się z nim połączyć. Dlaczego? Brakuje konfiguracji
na Mobility Conductorze. A konkretniej brakuje konfiguracji dla IPSec na Mobility Conductorze, bo po stronie Mobility Controllera już wykonaliśmy
odpowiednią część konfiguracji, natomiast po stronie Mobility Conductora jeszcze nie. Żeby to zrobić, wchodzimy w kontekst Mobility Conductor, Controllers i tu dodajemy adresy IP, bo po IP będziemy się łączyć i shared key. Kopiujemy adres IP naszego Mobility Controllera: końcówka 110. Wpisujemy hasło. To samo hasło, które wpisaliśmy na Mobility Controllerze tydzień temu.

Mamy konfigurację oczekującą, jeszcze jest nie zatwierdzona, możemy ją wyświetlić. Czyli widać, że został tutaj dany system kontrolerowy. Automatycznie został też dodany w kontekście AirWave, ale on nas tutaj na razie mniej interesuje. Ta część konfiguracji z kontrolerami jest dla nas kluczowa. Sprawdźmy, czy coś się zmieniło. Jesteśmy na Mobility Masterze. Nadal nie widzimy naszego kontrolera, który chciał się podłączyć czy chce się podłączyć, przez IPSec, nie ma go tutaj. VMC1, Virtual Mobility Controller, też widzi tylko siebie, nadal nie ma połączenia z Mobility Conductorem. Nie ma połączenia, bo jeszcze nie zatwierdziliśmy tych zmian. Zatwierdźmy: deplay changes.

Sprawdźmy ponownie, jak nawiązanie połączenia pomiędzy kontrolerami. Na razie nie ma. Jesteśmy na Mobility Masterze. Nie ma połączenia z Mobility Controllerem. Przejdźmy na Mobility Controller: show switches. Tu się coś zmieniło. Tutaj dostaliśmy informację Configuration State: Update Required. To znaczy, że już skontaktował się z Mobility Masterem. Sprawdził, że jego Config ID jest inny niż na Mobility Masterze i potrzebuje sobie zaktualizować tę konfigurację. To już jest dobry znak. Trzeba chwilę poczekać. Przejdźmy na Mobility Mastera. Już widzimy, że dwa kontrolery są ze sobą spięte. Czyli widzimy końcówkę 100 i 110. 110 to jest Mobility Controller, 100 to jest
Mobility Master i widzimy tutaj Configuration State: Unknown. To wynika z faktu, że nie przewidzieliśmy grupy konfiguracyjnej dla tego kontrolera. Domyślnie nie jest ona włączona. Auto-park jest również nie skonfigurowany.

Mamy identyfikator kontrolera. I widzimy z punktu widzenia Mobility Mastera, że nie wie, jaką konfigurację przypisać. To, co potrzebujemy teraz zrobić, żeby tę sytuację naprawić, to skopiować sobie identyfikator tego kontrolera, wejść w kontekst Mobility Conductora i dodać tu na poziomie Managed Network nową grupę. Dodajemy grupę. Czyli Managed Network, tu zarządzane urządzenia,
dodajemy grupę VMC i do tej grupy jeszcze trzeba dodać kontroler. Jako MAC address wpisujemy tenidentyfikator i jakiś host name. Typ kontrolera wybieramy jako wirtualna maszyna. Mamy więc już na dany ten identyfikator do kontrolera, mamy kontroler tutaj w drzewie. Możemy teraz sprawdzić, jak wygląda lista kontrolerów. Widzimy, że kontroler jest, trzeba tutaj jeszcze z GUI chwilę poczekać, aż on się pojawi. Gdy dodajemy go tutaj do drzewa i ma on jakąś konfigurację, to musi się zrestartować. W związku z tym trzeba chwilę poczekać, aż ta konfiguracja będzie zastosowana.

Przykład możliwości konfiguracji tego kontrolera jest taki, że chcemy zmienić nazwę tego kontrolera, wróćmy tu na chwilę. Czyli mamy kontroler. W momencie, kiedy my tutaj wpisaliśmy hostname, tworząc to drzewo, automatycznie nastąpiła zmiana w konfiguracji, czyli w kontekście System >
General > Basic Info i System > SNMP, Hostname VMC1 został dodany. Jak damy Deploy, to ta konfiguracja zostanie wysłana. Teraz trzeba poczekać aż ten kontroler wróci. Czyli wróci, to znaczy, że się zrestartuje i połączy ponownie do Mobility Mastera. Jeszcze jest Down, jeszcze chwilę. Mamy już tutaj podłączony ponownie kontroler. Ma już hostname nadany. Widzimy, że jest wszystko w porządku. Możemy sprawdzić sobie też z punktu widzenia konsoli: spójrz, tutaj nowy komunikat się pojawił – Configuration State: No MM License. Czyli teraz
już wie, jaką konfigurację przypisać do danego kontrolera, ale Mobility Master nie ma licencji, która umożliwia zarządzanie Mobility Controllerami, więc stan
konfiguracji jest no license. Możemy przejść teraz na poziom konfiguracji grupowej md/VMC. Sprawdzimy jeszcze raz, status się nie zmienił, czyli mamy no license. I teraz zrobimy taki test zmiany hostname’u. Czyli teraz mamy name VMC1 dla tego kontrolera i mamy Config ID: 3, czyli identyfikacja wersji Configu jest 3. Teraz zróbmy zmianę, czyli wchodzimy w kontekst Managed Network, zmiana za chwilę. I zmieniamy hostname tu na poziomie VMC. Zmienimy na MC1, submit. Czyli zmiana hostname’u teraz nastąpi. Robimy to na poziomie
Mobility Conductora, zauważ. Jako przykład, że już możemy pewne rzeczy zmieniać, aczkolwiek z powodu licencji nie będziemy mogli zmieniać konfiguracji w drzewie konfiguracyjnym. Zobacz, nazwa się zmieniła: MC1. Jak się zalogujemy też do konsoli, tu wcześniej był VMC1, teraz damy enter i MC1. Wersja konfiguracji 4, czyli zmieniliśmy wersję konfiguracji z Mobility Mastera.
Mobility Controller sobie ściągnął tę nową wersję i dzięki temu mamy zmianę wersji konfiguracji. Możemy ponownie zmienić tę nazwę. Mamy z powrotem VMC1. Wersja konfiguracji 5, nazwa VMC1. Czyli widać, że ta komunikacja nadrzędnej konfiguracji przez Mobility Conductora do Mobility Controllerów działa prawidłowo. To wszystko, jeżeli chodzi o takie pierwsze podłączenie Mobility Controllera do Mobility Mastera aka Mobility Conductora i możliwość zmiany pierwszych parametrów.

Żeby pójść dalej, trzeba zrobić kolejne kroki, dodać licencję i można konfigurować naszą sieć w dalszym kierunku. Jeżeli masz jakieś pytania co do tego, to oczywiście zapraszam Cię do zadawania ich w komentarzu. Jeżeli chciałbyś zobaczyć artykuł, to jest na blogu. Jeżeli chciałbyś posłuchać w formie podcastu więcej informacji, to też Cię zapraszam do tej formy. Na tyle dzisiaj, dziękuję Ci za uwagę i do usłyszenia już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.