Aruba IAP配置remote ap（RAP）步骤

Posted 2020-10-17

通过aruba remote ap可以在任何地点访问办公区内网，使用简单，用户无需任何配置，只需要把AP插到路由器的LAN口即可。最棒的是可以在任何地点使用校园网的IPV6。

Aruba IAP205是个胖AP，使用时先把AP插到无线路由器的LAN口，新建个临时ssid，确保PC连接AP可以正常上网。

如果做remote ap有两种配置方式：

第一种方式：把IAP转换成remote ap，我曾经尝试成功连到到AC上，但是后来无法复现操作，所以不用这种模式。

第二种方式：把IAP转换成campus ap（CAP），注册到AC上，在AC上下发策略再把IAP转换成remote ap（RAP），目前我就用的这种方式，缺点是AC是私网地址整个操作必须在校园网内完成。

操作步骤如下：

图一、AC上新建个AP Group，配置一下ssid，认证方式。当然也可以用已有的AP Group。

图二、很多教程说要建这个whitelist，把ap的mac地址写进去，我测试过不建也能用，这块没理解透测，可能其他模式会用到。

图三、Internal DB建用户，我为每个ap都建账号了，实际上建一个账号就行，记住账号和密码，下面会用到。

图四、角色选择ap-role，有深度要求看角色的权限配置吧。

图五、按照图示勾选上，隧道地址池随便写个，不需要路由。

图六、建个ikea密码，后面会用到。

图七、下面进入IAP的配置页面，维护-转换，先转换成campus ap。

图八、在AC的 AP Installation可以看到AP上线了，IP地址是AP所连的路由器的地址。

图九、重点来了，开始配置RAP策略，AP Group选择图一新建的group；IKEA PSK填写图六设置的密码；User credential assignment填写图三Internal DB建立的账号密码。

Master Controller IP填写AC的地址，此处填写的是内网地址。测试通过后再回到此步骤把Master Controller IP改成映射的公网地址。

同时映射的IP地址要开放UDP 500/4500端口。

TFTP端口是否必须开放有待验证？

图十、RAP已经上线，此时IP地址变成了隧道地址，同时Flags变成R。