들어가며
홈 랩에서 Aruba AP를 본격적으로 운용하기 위해 AP 라이센스를 구매하였다.
일반적으로 사용하는 AP의 라이센스 종류는 총 3가지로, LIC-AP, LIC-PEF, LIC-RFP가 있다.
각각 AP 등록 라이센스, ACL/방화벽 등을 사용할 수 있게 해 주는 Policy Enforcement Firewall 라이센스, Spectrum Analysis / WIPS 기능 등을 사용할 수 있게 해 주는 RF Protect 라이센스이다.
라이센스를 구매하면 위와 같은 메일이 전달되고, Access Your Products 링크를 클릭하여 HPE Networking Support portal에서 온보딩 및 라이센스 등록 과정을 거칠 수 있다.
등록된 라이센스는 아래와 같이 보이며, License Management System에서 Activation Key를 확인할 수 있다. Activation Key는 등록이 완료되면 메일로도 전송된다.
이제 라이센스도 준비되었으니, 본격적으로 Wireless 테스트 환경을 구축할 준비를 해 볼 것이다.
아키텍처 설계
AP 컨트롤러는 화성시의 서버실에 있지만, Wi-Fi와 Zigbee를 테스트 하기 위해 매번 화성까지 내려가야 하는 것은 말이 되지 않는다. 그래서 나는 다음과 같은 토폴로지를 설계했다.
집에 방화벽 겸 PoE 스위치로 Fortigate 80E-POE를 설치하고, IPSec을 통해 서버실에 위치한 7240 Wireless controller와 집에 있는 AP를 연결한다. 이렇게 하면 내가 집에 있는 AP를 통해 직접 여러 무선 단말을 연결해 가면서 테스트를 해 볼 수 있을 것이다.
AP 프로비저닝
위 구성에서 가장 중요한 것은 Uplink VLAN과 컨트롤러까지의 MTU 값이다. 이제부터 AP를 프로비저닝 하기 위한 과정을 따라가면서 어떤 설정을 변경해야 하는지 알아볼 것이다.
AP Group 만들기
가장 먼저, 프로비저닝 대상 AP가 할당될 AP Group을 만들어야 한다.
AP Group 메뉴는 Configuration > System > Profiles > AP > AP Group 으로 들어가며, 새로운 프로파일을 하나 생성한다.
ProfileName > AP System 메뉴에 들어가면, SAP MTU라는 값이 보일 것이다. 이 값을 1400으로 설정한다.
여기서 1400이라는 값은, IPSec과 GRE의 캡슐화 오버헤드를 고려한 것이다. IPSec의 오버헤드는 최대 52바이트, GRE는 24바이트로 최대 1424 바이트의 패킷이 WAN으로 전달될 수 있다. 여기서 약간의 마진을 더해 1400 바이트로 설정하는 것이 가장 합리적이다.
RAP MTU는 Remote AP 연결에 사용되는 MTU 값인데, 기본값은 1200 바이트이다. Aruba에서는 제어할 수 없는 WAN 구간에 대해 보다 보수적인 접근방식을 취한 것 같다.
Allowlist 등록하기
컨트롤러에 연결할 AP를 Allowlist에 등록한다.
Configuration > Access Points > Allowlist 메뉴에서 Campus AP Allowlist 탭을 선택하고, 새 AP를 추가한다.
이 때, MAC Address는 AP의 뒷면에 부착된 라벨이나, AP의 시리얼 콘솔에서 확인할 수 있다.
AP 프로비저닝 하기
기본적으로 이전 포스팅에서 작성한 절차를 따른다.
단, 부트 파라미터 설정 방법은 다음과 같다.
# AP-HOME-02
apboot> purgeenv
apboot> setenv ipaddr 10.22.0.12
apboot> setenv netmask 255.255.255.0
apboot> setenv gatewayip 10.22.0.1
apboot> setenv master 10.11.0.15
apboot> setenv serverip 10.11.0.15
apboot> setenv uplink_vlan 220여기서 중요한 것이 바로 uplink_vlan이다. 여러 AP를 하나의 VLAN에 속하게 만들기 위해 PoE 스위치 포트를 하나의 스위치로 묶고, 스위치 하단에 VLAN 인터페이스를 구성했는데, 트렁크 포트처럼 동작하게 되므로 AP가 VLAN 태그를 달고 패킷을 내보내게 만들 필요가 있었다.
apboot 환경변수로 uplink_vlan을 설정하면 AP가 설정된 VLAN 태그를 달고 패킷을 전송한다.
자세한 설명은 생략한 작업들을 수행한 뒤, AP 초기 설정이 완료되면 컨트롤러에서 프로비저닝을 진행한다.
AP 프로비저닝이 완료되면 AP가 자동으로 재시작되고, 다음과 같이 컨트롤러에서 새로 추가된 AP를 볼 수 있을 것이다.
마치며
이번 포스팅에서는 IPSec 터널을 통해 AP - Controller 연결을 맺는 방법과, AP 초기 프로비저닝 방법을 알아보았다.
다음 포스팅에서는 Virtual AP 프로파일을 구성하고, 실제 SSID를 설정/방사하는 방법을 다룰 것이다.
