Aruba Central スイッチ接続
ガイド ( コンフィグ編 )
Version:2.0
はじめに
本設定ガイドは 2022/2/1 現在でのバージョンに基づいて作成しております。
今後のバージョンアップにより、更新される予定がございます。
対応スイッチ一覧
製品シリーズ サポートバージョン
Aruba 2530 Switch Series YA/YB.16.08.0021 or later Aruba 2540 Switch Series YC.16.08.0019 or later Aruba 2920 Switch Series WB.16.08.0019 or later Aruba 2930F Switch Series WC.16.08.0019 or later Aruba 2930M Switch Series WC.16.08.0019 or later Aruba 3810 Switch Series KB.16.08.0019 or later Aruba 5400R Switch Series KB.16.08.0019 or later
■ArubaOSスイッチ
https://help.central.arubanetworks.com/2.5.4/documentation/online_help/co ntent/nms/aos-switch/supported-platforms/supported_switches.htm
<Aruba OS
スイッチ一覧>
製品シリーズ サポートバージョン
AOS-CX 4100i Switch Series 10.08.0001 or later AOS-CX 6000 Switch Series 10.08.1010 or later AOS-CX 6100 Switch Series 10.06.0110 or later AOS-CX 6200 Switch Series 10.05.0021 or later AOS-CX 6300 Switch Series 10.05.0021 or later AOS-CX 6300 Switch Series [JL762A]
Back 2 Front Power Supply SKU only 10.06.0001 or later AOS-CX 6405 Switch Series 10.05.0021 or later AOS-CX 6410 Switch Series 10.05.0021 or later AOS-CX 8320 Switch Series 10.05.0021 or later
<Aruba OS-CX
スイッチ一覧>
Central における階層構造でのコンフィグ管理
Config に階層の概念を導入
Group 内の機器で共通の設定項目は Group のコンフィグで反映 デバイス毎に異なる設定のみを Device レベルでコンフィグ適用
Group A Group B Group C
Device a Device b
同じグループのスイッチは 同じコンフィグ
Groupの設定を反映
Group レベル
Device レベル
スイッチコンフィグ管理方法
– Central ではスイッチのコンフィグ管理を UI Config または、 Template Config で行うことができます。
– どちらの方法で管理するかは Group 毎で決める必要があり、 Group 作成時に指定します。
– UI Config
– Central
のGUI
で設定を行うことができます。–
各スイッチの個別設定はDevice
レベルで行うことができます。–
良く使われる機能の設定をサポートしています。– Template Config
– CLI
のテキストベースコンフィグをCentral
で管理できます。–
変数を使用することで複数のスイッチに対して個別設定が行なえます。– CLI
で設定できるすべての機能が利用可能です。スイッチ設定フローチャート
Switch 種別
AOS-S
AOS-CX
GUIを利用
ローカル設定の インポート
スタック設定を 利用
NO
NO
NO
UIグループ YES
YES
Templateグループ
UIで設定出来ない YES
項目を利用
NO YES
GUIを利用
ローカル設定の インポート
NO
NO
YES
Templateグループ
UIで設定出来ない YES
項目を利用
YES
NO
UIグループ
グループ作成
デバイスの追加、サブスクリプションの割り当ては
Central でスイッチ管理ガイドを参照
(1)
「起動」をクリックグループ設定
(1) グループ作成
(2)
「グループ」をクリック①
②
③
(3)
「+
」をクリックグループ設定
(1) グループ作成
(4)
名前を指定し、「スイッチ」をチェック(5)
「このグループで使用されるスイッチのタイプ:
」を 選択し、「追加」をクリック
①
②
③
(1)
「アカウントホーム」->
「デバイスインベントリ」で 対象の機器を選択し、「グループの割り当て」をクリックグループ設定
(2) グループ割り当て
(2)
グループを選択し、デバイスの 割り当てを実施③
前ページで作成したグ ループを選択
④
「デバイスの割り当て」をクリック
①
②
Central への接続
(2)
工場出荷状態のスイッチの電源を接続Central への接続
(1) スイッチを接続
(1)
アップリンクポートにLAN
ケーブルを接続上位
NW
(3) SW
がCentral
からオンラインで見えているか確認※工場出荷状態で接続した場合、5分程度でCentralのステータスがオンラインになりますが、
※Aruba OSスイッチにおいて、オンラインにならない場合は、“activate provision force”コマンドを実 行する。
ステータスを確認する
オンライン
◎オフライン
(4)
設定同期確認【前提条件】
・スイッチは、
DHCP
サーバより以下の情報を 取得出来る環境であること- IP
アドレス/
サブネットマスク-
デフォルトゲートウェイ/ DNS
サーバ・スイッチの管理
VLAN
はVLAN1
を利用Central への接続
(2) アップリンクポートを設定
スイッチのアップリンクポートをそれぞれ以下の通り設定
(1)
グローバル>
グループを選択(2)
デバイスを選択(3)
スイッチタブを選択し、対象の機器のアップリンクをクリック①
②
グループ名を選択
③ カーソルを合わせる
④
⑤
”アップリンク“をクリック
(4)
アップリンクポートを選択し、“
割り当て“
をクリック⑥
(5)
アップリンクポートの設定が完了すると、アップリンクポートがCentral
で認識され、アップリンクポートの帯域情報が表示可能となりますAOS-S
UI グループ設定
L2 設定
– VLAN
設定–
インタフェース設定– Loop
保護(Loop Protect)
設定– RADIUS
サーバ設定– MAC
認証設定– 802.1X
認証設定– IP
クライアントトラッカー設定– DUR
設定–
スタティックルート設定–
リンクアグリゲーション(
トランク)
設定VLAN 設定
1. 「インタフェース」>「VLAN」>「+」から
VLANを新規作成 2. ID、名前、IP割り当
てを設定
3.ポートにTagged、Untagged
を割り当てる
VLAN 設定の確認
• ポート1がアップリンクでTagged
• ポート3-6がダウンリンクでUntagged
インタフェース(ポート)設定
管理ステータス /Speed/Duplex
1.「インタフェース」>「ポート」でポートを選択し、
編集をクリック
2. 複数ポートを一括で設定
• 管理ステータス:ポート有効/無効化
• Speed-Duplex:自動/固定(各値を選択)
Loop 保護 (Loop Protect) 設定
1.「インタフェース」>「ループ保護」で
ポートを選択し、編集をクリック
2.ループ保護の有効化
RADIUS サーバ設定
1.「セキュリティ」>「RADIUS」>「+」でRADIUSサーバを
新規作成
2.RADIUSサーバの設定
※ClearPassサーバの有効化が必要になるのは
Downloadable User Roleを使う場合のみ
MAC 認証設定
1.「セキュリティ」>「認証」>「MAC認証」で
ポートを選択し、編集アイコンをクリック 2.MAC認証を有効化、必要に応じてパラメータを設定
802.1X 認証設定
1.「セキュリティ」>「認証」>「802.1X認証」で 802.1Xを有効化、認証方式をEAP、
ポートを選択し、編集アイコンをクリック
2.802.1X認証を有効化、必要に応じてパラメータを設定
IP クライアントトラッカー設定
「システム」>「IPクライアントトラッカー」で
IPクライアントトラッカーを有効にする
※IPクライアントトラッカーは認証端末のIPアドレスをトラッキング(可視化)する機能
DUR 設定
DUR: Downloadable User Role
• DUR (Downloadable User Role) はACLを含むUser Role設定そのものをClearPass側で定義し、
認証時にスイッチ動的にダウンロードさせる機能
• スイッチ側にRoleの設定をする必要がなく、ClearPassでRoleを一元管理できる
CX Switch ArubaOS Switch
ArubaOS SwitchのUser Role 設定例
•
個々のスイッチにUser Role の設定が不要認証要求
認証OK + User Role の設定
•
User Role の設定•
認証ユーザに応じてDURを返すDUR 設定
Aruba Switch での DUR の設定
ClearPassからRole情報をスイッチに渡すために、ClearPassとスイッチ間で証明書を用いた信頼関係が 必要になる
■ 設定のポイント:
(1) スイッチ、 ClearPass で NTP の設定(時刻の同期)
(2) ClearPass で有効な HTTPS 証明書がインストールされているかを確認
(3) ClearPass にインストールされている証明書を Aruba スイッチへインポート(自動で実行される)
(4) ClearPass でスイッチの DUR で利用する Read 権限の DUR 用ユーザを作成する (5) スイッチ側で ClearPass で作成した DUR 用ユーザを設定する
(6) ClearPass で DUR のプロファイルを作成する
(7) ClearPass で作成したプロファイルをサービスに適用する
DUR 設定
ClearPass でスイッチの DUR で利用する Read 権限のユーザ を作成
「管理」>「ユーザーと権限」>「管理者ユーザー」>「追加」でDUR用のユーザを作成
DUR( ダウンロード可能なユーザロール ) 設定
DUR = Downloadable User Role
1.「セキュリティ」>「RADIUS」の
RADIUSサーバの設定で、ClearPassを有効化 2.「セキュリティ」>「ダウンロード可能なユーザロール」
でClearPassの設定をする
スタティックルート設定
1.「ルーティング」>「+」からルートを追加 2.スタティックルートを設定
スイッチをL3で動作させ、
ルーティングが必要な時のみ有効化する
リンクアグリゲーション(トランク)
リンクアグリゲーションのモード
• LACP (IEEE 802.3ad) :対向機器とLACPプロトコルを使用してネゴシエーションし てリンクを確立します。対向機器の設定と合わせアクティブまたはパッシブの指定が出 来ます。固定ポートでLACPを使用する場合は、トランクポートとしてLACPを設定しま
• す。 トランク (デフォルト, 非プロトコル) :トランクでは手動で設定を行うスタティック
モードのみ設定が可能で、LACP(802.3ad) 以外のトランク プロトコルを使用した対 向機器を接続する場合や、トランクプロトコルが不明な場合等に使用します。
※ArubaOSスイッチでは、リンクアグリゲーションのことをトランクと呼びます
リンクアグリゲーション(トランク)設定
1.「インターフェイス」>「トランクグループ」>「+」
からトランクグループを新規作成
2.トランクグループの設定
VLANタグの設定
トランク名を指定 トランクor LACP を指定アサインするポー トを指定
リンクアグリゲーション(トランク)確認
「デバイスレベル」>「LAN」>「ポート」で
各ポートのステータス、LAGを確認できる トポロジーでもLAGのリンクを確認可能
L3 設定
– VLAN IP
設定– DHCP
サーバ設定VLAN IP 設定
※VLAN IPの設定はグループレベルではなく、デバイスレベルで設定する 1.「デバイス」>「スイッチ」>「リスト」から
設定するスイッチを選択し、デバイスレベル設定へ移動
2.デバイスレベルの設定画面へ移動
3.「インターフェイス」>「VLAN」で
IPアドレスを設定するVLANの編集アイコンをクリック 4.スタティックIPの設定
DHCP サーバ設定
1.「システム」>「DHCP」でDHCPサーバを
有効化、「+」からDHCPプールを新規作成 2.DHCPプールの設定
「+」をクリックして設定を 追加する必要がある
DHCP サーバ設定
1.「インターフェイス」>「VLAN」>「編集アイコン」
でDHCPサーバを有効にするVLAN設定を編集 2.DHCPサーバーを有効化
AOS-S
Template グループ設定
Template Config 作成
Template Config 作成
(1)
該当のグループを選択し、「デバイス」->
「スイッチ」->
「設定」とクリックします。①
②
③
④
(2)
テンプレートの「+
」をクリックします。⑤
Template Config 作成
(3)
テンプレート名を入力し、スイッチモデルを選択して「次へ」をクリックします。①
②
Template Config 作成
(4)
「設定をテンプレートとしてインポート」をクリックし、接続したスイッチを選択します。①
②
Template Config 作成
(5)
選択した機器から設定がインポートされます。ホスト名などは変数となります。「変数リストを表示」をクリック します。Template Config 作成
(6)
デフォルトで設定されている変数のリストが表示されます。「保存」をクリックします。Template Config 作成
(7)
設定をインポートしたスイッチの設定ステータスがIn sync
になります。ホスト名設定
(1)
該当のグループを選択し、「デバイス」->
「スイッチ」->
「設定」->
「変数」とクリックします。該当デバイスの_sys_hostname
を選択し編集ボタンをクリックします。⑤
⑥
①
②
③
④
ホスト名設定
(2)
新しいホスト名を入力して「保存」をクリックします。①
②
L2 設定
– VLAN
設定–
インタフェース設定– Loop
保護(Loop Protect)
設定– RADIUS
サーバ設定– MAC
認証設定– 802.1X
認証設定–
スタティックルート設定–
リンクアグリゲーション(
トランク)
設定Aruba OS-S スイッチ設定ガイド
Template Config では CLI で設定できることがすべて行えま す。本資料では一例のみ記載しておりますので、細かい設 定は下記の設定ガイドやマニュアルをご参考下さい。
https://www.arubanetworks.com/assets/_ja/support/cg/UG
_ArubaOS_Switches.pdf
VLAN 設定
(1)
テンプレートの編集画面で下記のようにコマンドを追加して「保存」をクリックします。name VLAN-NAME : VLAN名
no ip address : VLANにIPアドレスを設定しない場合に設定
ip address IP-ADDRESS/MASK : VLANにIPアドレスを設定する場合は設定 untagged PORT-LIST : タグなしで許可するVLANを設定
tagged PORT-LIST : タグを許可するVLANを設定
VLAN 設定
(2)
グループ内のスイッチを選択し、「LAN
」->
「VLAN
」をクリックすると作成されたVLAN
を確認できます。VLAN
名 をクリックするとスイッチのフロントパネルでポートアサインを確認することもできます。①
②
③
④
インターフェース ( ポート ) 設定
テンプレートの編集画面で下記のように管理ステータス
/Speed/Duplex
に関するコマンドを追加して「保存」をクリッ クします。speed-duplexのパラメータ
10-half 10 Mbps only, half duplex.
100-half 100 Mbps only, half duplex.
10-full 10 Mbps only, full duplex.
100-full 100 Mbps only, full duplex.
1000-full 1000 Mbps only, full duplex.
auto Auto-negotiate link parameters.
auto-10 10 Mbps only, auto-negotiate link parameters.
auto-100 100 Mbps only, auto-negotiate link parameters.
auto-2500 2500 Mbps only, auto-negotiate link parameters.
auto-5000 5000 Mbps only, auto-negotiate link parameters.
auto-2500-5000 2500 or 5000 Mbps only, auto-negotiate link parameters.
auto-1000 1000 Mbps only, auto-negotiate link parameters.
auto-10-100 10 or 100 Mbps only, auto-negotiate link parameters.
auto-1000-2500 1000 or 2500 Mbps only, auto-negotiate link parameters.
auto-1000-2500-5000 1000, 2500, or 5000 Mbps only, auto-negotiate link parameters.
auto-10g 10 Gbps only, auto-negotiate link parameters.
disable : ポートのシャットダウン
Loop 保護 (Loop Protection) 設定
テンプレートの編集画面で下記のように
Loop Protection
に関するコマンドを追加して「保存」をクリックします。RADIUS サーバ設定
テンプレートの編集画面で下記のように
RADIUS
サーバに関するコマンドを追加して「保存」をクリックします。802.1X 認証設定
テンプレートの編集画面で下記のように
802.1X
認証に関するコマンドを追加して「保存」をクリックします。MAC 認証設定
テンプレートの編集画面で下記のように
MAC
認証に関するコマンドを追加して「保存」をクリックします。スタティックルート設定
テンプレートの編集画面で下記のようにスタティックルートに関するコマンドを追加して「保存」をクリックします。
リンクアグリゲーション ( トランク ) 設定
リンクアグリゲーションのモード
• LACP (IEEE 802.3ad) :対向機器とLACPプロトコルを使用してネゴシエーションし てリンクを確立します。対向機器の設定と合わせアクティブまたはパッシブの指定が出 来ます。固定ポートでLACPを使用する場合は、トランクポートとしてLACPを設定しま
• す。 トランク (デフォルト, 非プロトコル) :トランクでは手動で設定を行うスタティック
モードのみ設定が可能で、LACP(802.3ad) 以外のトランク プロトコルを使用した対 向機器を接続する場合や、トランクプロトコルが不明な場合等に使用します。
※ArubaOSスイッチでは、リンクアグリゲーションのことをトランクと呼びます
リンクアグリゲーション ( トランク ) 設定
テンプレートの編集画面で下記のようにスタティックルートに関するコマンドを追加して「保存」をクリックします。
AOS-CX
UI グループ設定
L2 設定
– VLAN
設定–
インタフェース設定– Loop
保護(Loop Protect)
設定– RADIUS
サーバ設定– MAC
認証設定– 802.1X
認証設定–
スタティックルート設定–
リンクアグリゲーション設定VLAN 設定
(1)
左上グローバルから対象のグループを選択(2)
上部タブからスイッチを選択し、右上「設定」を 選択(3)
「VLAN
」を選択VLAN 設定
(4)
右端の「+」ボタンを選択(5)
必要な項目を入力し、Admin Up
にチェックが入っている ことを確認して「追加」を選択(6)
設定したVLAN
が反映されていることを確認インターフェイス設定
ポート設定の選択
(1)
左上グローバルから対象のグループを選択(2)
上部タブからスイッチを選択し、右上「設定」を 選択(3)
「ポートとリンク集約」を選択インターフェイス設定
ポート設定 (access モード )
(1)
例として1/1/1
にVLAN100
を設定1/1/1
の行の右端にカーソルを合わせ編集ボタン選択(2)
「VLAN
モード」がアクセスとなっていることを確認 し、「アクセスVLAN
」に100
を入力し「保存」を選択 必要に応じて「説明」、「Speed/Duplex
」を設定(3)
設定した内容が反映されていることを確認インターフェイス設定
ポート設定 (trunk モード )
(1)
例として1/1/24
をtrunk
モードとし、許可するVLAN
を100,200
を設定し、ネイティブVLAN
に1
を指定1/1/24
の行の右端にカーソルを合わせ編集ボタン選択(3)
設定した内容が表示されるように表示する列から「許可さ れるVLAN
」にチェックを入れる(2)
「VLAN
モード」でトランクを選択し、「ネイティブ
VLAN
」に1
を指定、「許可されるVLAN
」に100,200
を設定し「保存」を選択(4)
設定した内容が反映されていることを確認Loop 保護 (Loop Protect) 設定
(1)
例として1/1/1
のループ防止を有効に設定「ループ防止」を選択
(3)
「ループ保護」を有効とし「適用」を選択(2) 1/1/1
の右端から編集ボタンを選択(4)
設定した内容が反映されていることを確認認証サーバー設定
(1)
「認証サーバ」を選択(3)
「FQDN
またはIP
アドレス」に認証サーバのIP
アドレス、「共有秘密キー」にパスフレーズを入力し「適用」を選択
(2) Radius
の右端から編集ボタン、さらに+
ボタンを選択(4)
設定した内容が反映されていることを確認し、「保存」を選択
MAC 認証設定
(1)
「認証」を選択(3)
「認証」でMAC
を選択、必要に応じてタイムアウト値 などを入力して適用(2) PAP
かCHAP
のいずれかを選択し、1/1/1
の右端から編 集ボタンを選択802.1X 認証設定
(1)
「認証」を選択(3)
「認証」で802.1x
を選択、必要に応じてタイムアウト値 などを入力して適用(2) 1/1/1
の右端から編集ボタンを選択スタティックルーティング設定
(1)
例として192.168.10.0/24
向けのスタティックルー ティングを設定「静的ルーティング」を選択
(3)
「宛先」に192.168.10.0/24
、「ネクストホップ」に ゲートウェイのアドレス(
ここでは192.168.2.1)
を設定し「保存」を選択
(2) 1/1/1
の右端から+ボタンを選択(4)
設定した内容が反映されていることを確認リンクアグリゲーション設定
(1)
例として1/1/23,1/1/24
をLACP(Active
モード)
で設定「ポートとリンク集約」を選択
(3)LAG
の追加画面が表示されるので必要な項目を入力し「追加」を選択
(2)
ポートのリスト右上にある+
を選択(4)
設定した内容が反映されていることを確認「lag」から始まる名前
AOS-CX
Template グループ設定
Template Config 作成
Template Config 作成
(1)
左上「グローバル」から対象のグループを選択し、「デバイス」->
「スイッチ」->
「設定」を選択(2)
以下の画面が表示されるので、右上の「+
」を選択初めて接続した機器については シリアルが表示されます
Template Config 作成
(2)
「テンプレート名」に任意の名前、「デバイスタイプ」からAruba CX
を選択、「モデル」から対象モデルを選択、「次へ」を選択
Template Config 作成
(3)
「設定をテンプレートとしてインポート」を選択し、対象となるデバイスを表示されたリストから選択Template Config 作成
(4)
「選択した機器から設定がインポートされ画面に表示されるのを確認Template Config 作成
(5)
「Administrators
権限のパスワードをciphertext
から以降全て消去してplaintext
へ変更して「保存」を選択。例
: plaintext password
ホスト名設定
(1)
「デバイス」->
「スイッチ」->
「設定」->
「変数」を選択し、「_sys_hostname
」の編集ボタンを選択ホスト名設定
(1)
「新しい値」にホスト名を入力し保存ボタンを選択(2)
ホスト名が変更されていることを確認– VLAN
設定–
インタフェース設定– Loop
保護(Loop Protect)
設定– RADIUS
サーバ設定– MAC
認証設定– 802.1X
認証設定–
スタティックルート設定–
リンクアグリゲーション(LACP)
設定L2 設定
Aruba OS-CX スイッチ設定ガイド
Template Config では CLI で設定できることがすべて行えま す。本資料では一例のみ記載しておりますので、細かい設 定は下記の設定ガイドやマニュアルをご参考下さい。
https://www.arubanetworks.com/assets/_ja/tg/TG_CX_Swit
ch_Basic_Operation_Guide.pdf
VLAN 設定
(1)
テンプレート編集画面で、新規にVLAN100,200
をコマンドで追加、インターフェイスにvlan
を割当てて「保存」を選択※以降、各設定後に都度「設定ステータス」が
In Sync
になっていることを確認インターフェイス設定
(1)
テンプレート編集画面で、speed/duplex
をコマンドで追加して「保存」を選択Loop 保護 (Loop Protect) 設定
(1)
テンプレート編集画面で、loop protect
に関する設定をコマンドで追加して「保存」を選択RADIUS サーバ設定
(1)
テンプレート編集画面で、Radius
サーバ及びgroup server
に関する設定をコマンドで追加して「保存」を選択MAC 認証設定
(1)
テンプレート編集画面で、MAC
認証に関する設定をコマンドで追加して「保存」を選択802.1X 認証設定
(1)
テンプレート編集画面で、802.1X
認証に関する設定をコマンドで追加して「保存」を選択スタティックルート設定
(1)
テンプレート編集画面で、スタティックルートに関する設定をコマンドで追加して「保存」を選択リンクアグリゲーション (LACP) 設定
(1)
テンプレート編集画面で、リンクアグリゲーションに関する設定をコマンドで追加して「保存」を選択Vlan access 1は消去が必要です