Експертен Поглед Aerohive AP230 като standalone Wi-Fi точка - Reset, SSH, WPA2 и пълна CLI настройка

Aerohive AP230 като standalone Wi-Fi точка - Reset, SSH, WPA2 и пълна CLI настройка​

---

---

$ whoami
network_admin
$ ssh admin@192.168.7.33
AH-XXXXXX# show version
Platform: AP230
Version: HiveOS 10.0r8 build-236132
"Старото enterprise желязо не умира. Просто чака някой да влезе през SSH."

---

Какво представлява Aerohive AP230?​

Aerohive AP230 е професионална enterprise Wi-Fi точка за достъп, създадена за офиси, училища, складове, работилници и по-сериозни мрежови среди, където стабилността е по-важна от шарения web интерфейс.

Това не е домашен рутер с “магически” менюта и три бутона за щастие. AP230 е мрежови войник. Работи стабилно, но иска да му говориш на правилния език - CLI.

Основни данни​

Параметър	Стойност
Модел	Aerohive AP230
Firmware	HiveOS 10.0r8 build-236132
Wi-Fi	2.4 GHz + 5 GHz
Управляващ IP	192.168.7.33
SSID	fluxroot
Wi-Fi парола	скрита от съображения за сигурност
Защита	WPA2 AES PSK
Gateway	192.168.7.1
DNS	1.1.1.1
MAC адрес	F4:EA:B5:::**

---

Портове и свързване​

Aerohive AP230 обикновено разполага със следните портове:

• CONSOLE - RJ45 console порт за сериен достъп
• 12V DC / 2A - захранване с адаптер
• ETH0 - основен Ethernet порт, обикновено PoE
• ETH1 - втори Ethernet порт
• USB - най-често за поддържани 3G/4G USB модеми

За нормална употреба използвай:

ETH0

Това е основният порт за мрежова връзка и PoE захранване.

Схема на свързване​

Internet
   |
Router / Gateway
192.168.7.1
   |
Switch / PoE Injector
   |
ETH0
   |
Aerohive AP230
Management IP: 192.168.7.33
SSID: fluxroot

---

Factory reset​

Ако устройството е било използвано преди това, най-чистият подход е factory reset. Така започваш от нула, без стари профили, забравени настройки и корпоративни призраци от миналото.

Стъпки​

1. Включи AP-то към захранване.
2. Намери reset бутона.
3. Натисни го с кламер или тънък инструмент.
4. Задръж поне 10 секунди.
5. Пусни бутона.
6. Изчакай AP-то да рестартира напълно.

Важно: ако държиш reset бутона твърде кратко, устройството може само да се рестартира, без да върне factory defaults.

---

Default login след reset​

След factory reset default достъпът е:

Username: admin
Password: aerohive

Това важи за web интерфейс и SSH достъп.

Важно разграничение​

AP login след factory reset:
admin / aerohive

Wi-Fi:
SSID: fluxroot
Password: ********

Тоест admin / aerohive е фабричният достъп за управление на устройството след reset, а Wi-Fi паролата е отделна и не се публикува в пълен вид.

---

Намиране на IP адреса​

След reset Aerohive AP230 най-често взима IP по DHCP от рутера. Ако не знаеш кой адрес е получил, провери DHCP leases в рутера или използвай Linux.

Проверка от Linux / Debian​

ip neigh

Филтър по част от MAC адреса:

ip neigh | grep -i "f4:ea:b5"

С arp-scan:

sudo apt install arp-scan
sudo arp-scan --localnet

Филтър:

sudo arp-scan --localnet | grep -i "f4:ea:b5"

Бележка: в публична тема не публикувам пълен MAC адрес. Достатъчно е да се покаже само началото:

F4:EA:B5:**:**:**

Пълният MAC е уникален идентификатор на устройството. Не е ядрена тайна, но няма нужда да го оставям на масата като ключ за гаража.

---

Вход през web интерфейс​

След като знаеш IP адреса, пробвай:

http://192.168.7.33

или:

https://192.168.7.33

Web интерфейсът е доста постен. Това е нормално. При този тип enterprise устройство голяма част от силата е през CLI или централизирано управление.

Web интерфейсът е рецепцията.
SSH е машинното отделение.
CLI е мястото, където старото желязо още говори истински език.

---

Вход през SSH​

От Linux / Debian:

ssh admin@192.168.7.33

При първо свързване ще видиш предупреждение за fingerprint:

The authenticity of host '192.168.7.33' can't be established.
Are you sure you want to continue connecting (yes/no/[fingerprint])?

Пишеш:

yes

След това въвеждаш factory паролата:

aerohive

Успешният вход изглежда така:

Copyright (c) 2006-2019 Aerohive Networks, Inc.
AH-XXXXXX#

Prompt-ът може да е различен според конкретното устройство. В публична тема е по-добре да не се публикува пълният уникален hostname, ако съдържа част от идентификатор на устройството.

---

Проверка на версията​

show version

Примерен резултат:

Version:            HiveOS 10.0r8 build-236132
Build time:         Fri Jan 10 07:11:17 UTC 2020
Platform:           AP230
Bootloader ver:     v0.0.4.3
TPM ver:            v1.2.37.17

Това потвърждава, че устройството е AP230 и работи с HiveOS.

---

Настройка на статичен IP адрес​

В тази конфигурация AP-то е поставено в мрежа:

192.168.7.x

Използваният управляващ IP адрес е:

192.168.7.33

Командите:

interface mgt0 ip 192.168.7.33 255.255.255.0
ip route net 0.0.0.0 0.0.0.0 gateway 192.168.7.1
no interface mgt0 dhcp client
dns server-ip 1.1.1.1
save config

Проверка:

show running-config

Трябва да се вижда нещо подобно:

interface mgt0 ip 192.168.7.33 255.255.255.0
ip route net 0.0.0.0 0.0.0.0 gateway 192.168.7.1
no interface mgt0 dhcp client
dns server-ip 1.1.1.1

По-логичен IP вариант​

Понеже моделът е AP230, можеш да използваш:

192.168.7.230

Команди:

interface mgt0 ip 192.168.7.230 255.255.255.0
ip route net 0.0.0.0 0.0.0.0 gateway 192.168.7.1
no interface mgt0 dhcp client
dns server-ip 1.1.1.1
save config

След това достъпът ще бъде:

ssh admin@192.168.7.230

Но ако вече работи стабилно на 192.168.7.33, няма нужда да го пипаш само за естетика. Мрежата не е модно ревю. Важното е да е стабилна.

---

Създаване на WPA2 security object​

При HiveOS първо се създава security object. Това е профилът, който държи настройките за защита и парола.

security-object fluxroot-wpa2

Проверка:

show security-object

Очакван резултат:

No. Name
--- ----
1   fluxroot-wpa2

След това се задава WPA2 AES PSK паролата:

security-object fluxroot-wpa2 security protocol-suite wpa2-aes-psk ascii-key ********

Бележка: на мястото на звездичките се въвежда реалната Wi-Fi парола. В публична тема тя не се публикува.

В running-config паролата така или иначе се показва като:

***

Това е нормално и правилно поведение.

---

Създаване на SSID fluxroot​

Създаваме Wi-Fi името:

ssid fluxroot

Закачаме security object към SSID:

ssid fluxroot security-object fluxroot-wpa2

Проверка:

show ssid

Очакван резултат:

No. Name
--- ----
1   fluxroot

---

Закачане на SSID към Wi-Fi интерфейсите​

За да излъчва и на 2.4 GHz, и на 5 GHz:

interface wifi0 ssid fluxroot
interface wifi1 ssid fluxroot
save config

При този AP реално се използват под-интерфейси:

Wifi0.1 - 2.4 GHz access interface
Wifi1.2 - 5 GHz access interface

---

Пълна минимална работеща конфигурация​

Ако трябва да се направи от нулата, командите са:

interface mgt0 ip 192.168.7.33 255.255.255.0
ip route net 0.0.0.0 0.0.0.0 gateway 192.168.7.1
no interface mgt0 dhcp client
dns server-ip 1.1.1.1

security-object fluxroot-wpa2
security-object fluxroot-wpa2 security protocol-suite wpa2-aes-psk ascii-key ********

ssid fluxroot
ssid fluxroot security-object fluxroot-wpa2

interface wifi0 ssid fluxroot
interface wifi1 ssid fluxroot

save config

Важно: реалната Wi-Fi парола се въвежда на мястото на звездичките. Не публикувай истинската парола в публични теми, скрийншоти или логове.

---

Проверка на конфигурацията​

show running-config

Работещият вариант трябва да съдържа нещо подобно:

security-object fluxroot-wpa2
security-object fluxroot-wpa2 security protocol-suite wpa2-aes-psk ascii-key ***
ssid fluxroot
ssid fluxroot security-object fluxroot-wpa2
interface wifi0 ssid fluxroot
interface wifi1 ssid fluxroot
no system led power-saving-mode
interface mgt0 ip 192.168.7.33 255.255.255.0
ip route net 0.0.0.0 0.0.0.0 gateway 192.168.7.1
no interface mgt0 dhcp client
dns server-ip 1.1.1.1

Това означава, че:

• SSID профилът е създаден.
• WPA2 security object е създаден.
• SSID е вързан към security object.
• Wi-Fi мрежата се излъчва.
• Управляващият IP е статичен.

---

Проверка на интерфейсите​

show interface

Търсим нещо подобно:

Name       Mode       State  Chan(Width)  VLAN   Radio      Hive    SSID
Mgt0       -          U      -            1      -          hive0   -
Eth0       backhaul   U      -            1      -          hive0   -
Wifi0      access     U      1(20MHz)     -      radio_ng0  -       -
Wifi0.1    access     U      1(20MHz)     -      radio_ng0  hive0   fluxroot
Wifi1      dual       U      165(20MHz)   -      radio_ac0  -       -
Wifi1.1    backhaul   U      165(20MHz)   1      radio_ac0  hive0   -
Wifi1.2    access     U      165(20MHz)   -      radio_ac0  hive0   fluxroot

Ключовото е:

Wifi0.1 - fluxroot - 2.4 GHz
Wifi1.2 - fluxroot - 5 GHz

Проверка на 2.4 GHz​

show interface wifi0.1

Търсим:

Mode=access
SSID configured="fluxroot"
SSID="fluxroot"
Admin state=enabled
Operational state=up
Freq(Chan)=2412Mhz(1)

Това означава, че 2.4 GHz частта работи и излъчва SSID fluxroot.

Проверка на 5 GHz​

show interface wifi1.2

Търсим:

Mode=access
SSID configured="fluxroot"
SSID="fluxroot"
Admin state=enabled
Operational state=up
Freq(Chan)=5825Mhz(165)

Това означава, че 5 GHz частта работи и излъчва SSID fluxroot.

---

Тест от телефон или лаптоп​

На телефон или лаптоп потърси Wi-Fi мрежата:

fluxroot

Въведи зададената WPA2 парола:

********

След свързване устройството трябва да получи IP адрес от основния рутер, например:

192.168.7.xxx

Ако има интернет - настройката е успешна.

---

Полезни команди​

show version
show running-config
show interface
show ssid
show security-object
show interface wifi0.1
show interface wifi1.2
show station
show arp-cache
show ip
save config
reboot

Кой е свързан към Wi-Fi?​

show station

ARP таблица​

show arp-cache

Рестарт от CLI​

reboot

След рестарт:

ssh admin@192.168.7.33

Запазване на конфигурацията​

След всяка важна промяна:

save config

Ако не запазиш, има риск настройките да не оцелеят след рестарт. Enterprise устройствата са дисциплинирани, но не са врачки.

---

Смяна на Wi-Fi паролата​

В публични теми реалната парола не се публикува. В командата използвай примерен placeholder:

security-object fluxroot-wpa2 security protocol-suite wpa2-aes-psk ascii-key NewStrongPasswordHere
save config

Пример за по-силна структура на парола:

Word + Symbol + Numbers + ExtraText

Например:

FluxRoot@********

Важно: не използвай публично показани пароли в реална мрежа. Ако парола е публикувана някъде, приеми я за компрометирана и я смени.

---

Типични грешки и решения​

Грешка: Security object doesn't exist​

Security object fluxroot-wpa2 doesn't exist!

Причина: опитваш се да закачиш security object към SSID, преди да го създадеш.

Решение:

security-object fluxroot-wpa2
security-object fluxroot-wpa2 security protocol-suite wpa2-aes-psk ascii-key ********
ssid fluxroot security-object fluxroot-wpa2
save config

Грешка: unknown keyword or invalid input​

Грешно:

how running-config

Правилно:

show running-config

CLI-то не прощава. Една буква липсва и устройството вече се държи като стар Unix демон, събуден без кафе.

Грешка: wifi1.2 като команда​

Грешно:

wifi1.2

Правилно:

show interface wifi1.2

wifi1.2 е име на интерфейс, не команда.

Грешка: залепени команди​

Грешно:

save configsecurity-object fluxroot-wpa2

Правилно:

save config
security-object fluxroot-wpa2

Командите се пускат ред по ред. Не ги лепим като ауспух с тел.

---

Какво означават интерфейсите?​

Интерфейс	Значение
Mgt0	Управляващ интерфейс. Там е IP адресът на AP-то.
Eth0	Основен Ethernet порт. Използва се за мрежа и PoE.
Eth1	Втори Ethernet порт.
Wifi0	Основно 2.4 GHz радио.
Wifi0.1	2.4 GHz access интерфейс, който излъчва SSID.
Wifi1	Основно 5 GHz радио.
Wifi1.1	5 GHz backhaul интерфейс.
Wifi1.2	5 GHz access интерфейс, който излъчва SSID.

---

Как да публикуваме безопасно такива теми?​

Когато се публикува мрежова конфигурация във форум, винаги е добре да се замаскират чувствителните данни.

Публикувай така​

Wi-Fi парола: ********
MAC адрес: F4:EA:B5:**:**:**
Сериен номер: скрит
Hostname: AH-XXXXXX

Не публикувай така​

Wi-Fi парола: реалната-парола
MAC адрес: пълният-MAC-адрес
Сериен номер: пълният-сериен-номер

Техническата прозрачност е хубаво нещо. Но да оставиш пълната парола в публична тема е като да сложиш катинар на вратата и после да залепиш ключа отгоре с тиксо.

---

Финален статус​

Статус: Работи
SSID: fluxroot
Wi-Fi парола: ********
Защита: WPA2 AES PSK
2.4 GHz: активен
5 GHz: активен
Management IP: 192.168.7.33
Gateway: 192.168.7.1
DNS: 1.1.1.1
Default AP login след factory reset: admin / aerohive
MAC адрес: F4:EA:B5:**:**:**

---

┌──[fluxroot@ap230]
│ status: standalone node online
│ mode: WPA2 secured
│ mgmt: 192.168.7.33
│ secrets: masked
└─> echo "Старото enterprise желязо не е остаряло. Просто чака правилната команда."

---

Автор: Тони Ангелчовски | Ексклузивно за DTGaraGe
Копирането и препубликуването без разрешение не е позволено
Подкрепи проекта: https://dtgarage.eu/donate​

 

[toni]

Допълнение: бърз CLI setup template за Aerohive AP230 / AP330​

След основната настройка реших да добавя и един по-кратък CLI template за хората, които искат директно да подготвят Aerohive access point през SSH, без да се ровят из постния web интерфейс.

Този пример е подходящ като логика за Aerohive устройства с HiveOS, включително AP230 и AP330. Възможно е при различни версии на firmware да има малки разлики в синтаксиса, затова ако дадена команда върне грешка, използвайте помощта с ?.

Важно: реални пароли, пълни MAC адреси и серийни номера не се публикуват в публична тема. В примера паролата е замаскирана.

no capwap client enable

admin root-admin admin password NewAdminPasswordHere

radio profile WifiProfile
radio profile WifiProfile band-steering enable
radio profile WifiProfile band-steering mode prefer-5g
radio profile WifiProfile weak-snr-suppress enable

security-object WifiSecurity
security-object WifiSecurity security protocol-suite wpa2-aes-psk ascii-key ********

ssid fluxroot
ssid fluxroot security-object WifiSecurity

interface wifi0 radio profile WifiProfile
interface wifi1 radio profile WifiProfile

interface wifi0 ssid fluxroot
interface wifi1 ssid fluxroot

save config

Какво прави този template?​

• no capwap client enable - спира CAPWAP клиента, ако AP-то няма да се управлява от HiveManager / ExtremeCloud IQ.
• admin root-admin admin password ... - сменя admin паролата за управление.
• radio profile WifiProfile - създава radio profile.
• band-steering enable - включва band steering.
• band-steering mode prefer-5g - насочва съвместимите устройства към 5 GHz.
• weak-snr-suppress enable - помага срещу клиенти със слаб сигнал, които могат да влошат общата работа на Wi-Fi мрежата.
• security-object WifiSecurity - създава WPA2 security profile.
• ssid fluxroot - създава Wi-Fi името.
• interface wifi0 ssid fluxroot - закача SSID към 2.4 GHz.
• interface wifi1 ssid fluxroot - закача SSID към 5 GHz.
• save config - запазва конфигурацията.

Поправка на често срещана грешка​

В някои копирани конфигурации може да се срещне това:

1no capwap client enable

Това е грешно. Правилната команда е:

no capwap client enable

Една излишна цифра отпред и CLI-то няма да приеме командата. Старото enterprise желязо не е виновно - просто не обича творческа пунктуация.

Проверка след setup-а​

След въвеждане на конфигурацията проверете:

show running-config
show ssid
show security-object
show interface
show interface wifi0.1
show interface wifi1.2

Търсим нещо подобно:

ssid fluxroot
ssid fluxroot security-object WifiSecurity
security-object WifiSecurity security protocol-suite wpa2-aes-psk ascii-key ***
interface wifi0 ssid fluxroot
interface wifi1 ssid fluxroot

Ако всичко е наред, SSID-то трябва да се вижда от клиентските устройства като:

fluxroot

Помощ при различен firmware​

Ако някоя команда върне:

unknown keyword or invalid input

ползвайте:

?
show ?
ssid ?
security-object ?
interface ?
interface wifi0 ?

При Aerohive/HiveOS въпросителният знак е най-добрият приятел. Малък символ, голяма власт.

 

[toni]