AOS 10 环境下的 AirGroup 配置
AirGroup 服务的配置元素,包括用户和服务器策略、有线和无线设备、自定义服务以及许可证要求。
AirGroup 配置策略在管理和控制网络中的服务发现方面起着关键作用。这些策略为管理员提供了定义 AirGroup 功能方式的灵活性,并确保其符合组织的特定需求和安全标准。
以下是一些关于 AirGroup 配置策略的关键方面:
启用 AirGroup 服务
AirGroup 服务可以在 Central 全局层级和 AP 组层级进行管理。在组层级进行配置时,其优先级高于全局层级的设置。
管理员可以选择性地启用或禁用特定服务。这一能力使组织能够定制其网络环境,满足基本服务的同时,有效管理和减轻潜在的安全风险或不必要的服务。
例如,假设你在全局范围内启用了 7 个预定义的 AirGroup 服务,但在某个特定的 AP 组中,你只希望启用 AirPrint、AirPlay 和 GoogleCast,而禁用其他四个服务。在这种情况下,你可以在 AP 组层级禁用剩余的四个服务,从而实现对该组内服务可用性的精确控制。
以下两个屏幕截图演示了如何在全局层级启用 AirGroup 服务,以及如何随后在 AP 组层级禁用 DLNA 媒体服务,从而有效覆盖全局配置。
在全局层级启用 AirGroup 服务
在 ‘AOS 10 AP’ 组中禁用 DLNA 媒体服务
基于用户角色和 VLAN 的策略
AirGroup 配置策略通过允许基于用户角色和 VLAN 分配应用策略,提供了细粒度的控制。这一精确的控制机制确保特定服务仅对授权用户或设备在指定网络段内可用。这种方法不仅增强了网络安全,还便于在必要时隔离服务。基于角色和 VLAN 的策略都提供“允许服务”或“拒绝服务”的选项,赋予管理员定义访问规则的灵活性。
AirPlay 策略限制在 VLAN 100 和 200 内的员工用户角色
有线和无线服务器
在无线网络中,无线 AirGroup 服务器由其连接的 AP 自动放置,只要 AirGroup 策略允许,它就会在其 RF 邻域内一跳范围内对客户端可见和可访问。
然而,对于有线 AirGroup 服务器,不会自动根据 AP 位置进行定位。为了在 AOS 10 中实现有线 AirGroup 服务器与无线客户端的共享,必须配置全局服务器策略。
在服务器策略中,管理员可以针对特定的服务器 MAC 地址规定允许或禁止的用户角色。此外,管理员还需定义一份 AP 列表,列出这些 AP 上的有线 AirGroup 服务器的可见性。这样,连接到这些 AP 的所有客户端都可以看到并访问该服务器。这一配置确保无线客户端可以无缝访问有线 AirGroup 服务器。在当前版本中,最多允许 50 个 AP 在可见性列表中。
全局服务器策略还具有另一个重要作用——确保当某个服务器位于超出一跳 RF 邻域之外时,仍然可以被无线 AirGroup 服务器所见。这种情况可能发生在需要让无线客户端访问不在附近 AP 典型范围内的服务器时。
例如,假设某图书馆只有一台 AirPlay 打印机,但某些 AP 位于打印机的一跳 RF 邻域之外。因此,连接到这些远程 AP 的客户端无法访问打印机。在这种情况下,解决方案是在全局层级为打印机建立服务器策略,并在策略中将所有相关的 AP 添加到可见性列表中。
这样配置后,无论客户端连接到列表中的任何 AP,无论是在 RF 邻域内还是之外,都可以无缝访问打印机。这种定义服务器可见性的灵活性,使组织能够满足其特定的连接需求,并提供一致的用户体验。
全局服务器策略
每个有线 AirGroup 服务器的 Leader AP
在 AOS 10 中,Leader AP 的概念对于管理有线 AirGroup 服务器至关重要。为了让 AP 识别和学习有线 AirGroup 服务器,必须将有线服务器的 VLAN 进行中继到连接到 AP 的交换机端口。这确保了同一 VLAN 上的所有 AP 都能检测到这些有线服务器。为了避免每个 AP 在同一 VLAN 上都向 Central 发送冗余的服务器更新(这会产生大量重复信息,浪费 AP 资源和 WAN 链路带宽),AOS 10 引入了每个 VLAN 上的有线 AirGroup 服务器的 Leader AP 角色。Central 选择一个 Leader AP,只有该 Leader AP 负责在学习到服务器后,向其余 AP 发送后续更新。
每个有线 AirGroup 服务器都拥有自己的 Leader AP,任何 AP 在同一 VLAN 内最多可以作为最多 10 个有线服务器的 Leader AP。这将 Leader AP 的职责和负载分散到 VLAN 上的各个 AP。正如我们所知,每个 AP 维护两个缓存表:Discover 缓存,存储所有直接连接的无线服务器,以及 Central 缓存,存储由 Central 分发的服务器条目,这些条目由 AP 用于处理 MDNS/SSDP 查询。某个有线 AirGroup 服务器的 Leader AP 会将该服务器缓存到其 Discover 缓存表中,并向 Central 发送该服务器的更新信息。Central 再将服务器信息分发给 RF 邻域内的其他 AP。
从 AOS 8 迁移到 AOS 10 的有线 AirGroup 服务器注意事项
在 AOS 10 中,AirGroup 完全在每个 AP 上运行,而不在网关上。为了确保所有有线 AirGroup 服务器都能被识别,必须将这些服务器的 VLAN 中继到连接到 AP 的交换机端口。因此,从基于 Mobility Conductor 和 Mobility Controller 的 AOS 8 AirGroup 网络迁移到 AOS 10 时,需将有线 AirGroup 服务器的 VLAN 从连接到网关的交换机端口移除,并添加到连接到 AP 的交换机端口。这使得来自有线服务器的 MDNS/SSDP 包可以被 AP 识别,从而学习这些服务器并使其对邻近 AP 的客户端可见。
预定义服务
拥有 AP 基础许可证后,可使用 7 种预定义服务,包括 AirPlay、AirPrint、Googlecast、Amazon_TV、DIAL、DLNA 打印和 DLNA 媒体。对于这 7 种预定义服务,管理员可以选择禁用或屏蔽可能存在安全风险的特定服务 ID。这一主动措施可以防止这些潜在风险服务被发现或访问,从而增强安全性并减少攻击面。
编辑 AirPlay 的服务 ID
禁用 AirPlay 的服务 ID _raop._tcp
自定义服务
Aruba AirGroup 包含 7 种预定义服务,包括 AirPlay、AirPrint、Googlecast、Amazon TV、DIAL、DLNA 媒体和 DLNA 打印。然而,自定义服务功能通过允许客户配置除这 7 种预定义服务之外的额外 AirGroup 服务,扩展了 AirGroup 的灵活性。这使组织能够根据其特定需求和应用定制其服务发现环境。
通过自定义服务策略,客户可以定义和管理不属于标准预定义集的独特 AirGroup 服务。这种定制化允许组织集成专用的服务、应用或设备到其网络中,同时仍然享受 AirGroup 的服务发现和访问控制能力。
例如,一家公司可能拥有专有的内部应用或设备,需被授权用户在其网络内发现和访问。通过使用自定义服务功能,管理员可以制定策略,管理这些自定义服务的可见性和访问权限,基于用户角色和 VLAN 分配,同时保持 AirGroup 提供的安全性和控制。
本质上,AirGroup 中的自定义服务策略使组织能够扩展和调整其服务发现生态系统,超越预定义服务,增强网络的多样性并满足其特定需求。
自定义服务只能在全局层级配置,如以下屏幕截图所示,演示了手动添加自定义服务的过程。通常,一个 AirGroup 服务可能包含多个服务 ID,手动配置这些 ID 既繁琐又容易出错。为简化此流程,全球层级的 AirGroup 部分中的“列表”窗口提供了一个涵盖超过 140 个被屏蔽服务的完整列表,几乎涵盖市场上所有的 mDNS/SSDP 服务。
用户可以方便地搜索并高亮显示希望添加的特定服务。这样,所选服务的相关服务 ID 会自动被加入。在创建自定义服务时,用户只需提供服务名称和相关用户角色/VLAN 策略。以下屏幕截图示例演示了如何通过“列表”窗口中的“屏蔽服务”列表添加自定义服务。此功能简化了配置流程,并提升了 Aruba AirGroup 中自定义服务的准确性。
通过屏蔽服务列表在全局层级添加自定义服务
许可证要求
在 Central 中,接入点有两种许可证选项:AP 基础许可证和 AP 高级许可证。
在早期版本的 Central 中,AP 基础许可证仅允许使用七个预定义的 AirGroup 服务:AirPlay、AirPrint、Google Cast、Amazon TV、DIAL、DLNA 打印和 DLNA 媒体。最初部署时,若需使用自定义服务,则必须拥有 AP 高级许可证,但这一限制已被取消。现在,AP 基础许可证支持这七个预定义服务以及自定义服务。
监控
Aruba AirGroup 提供全面的监控能力,允许管理员跟踪服务发现的各个方面。这包括监控特定用户角色或 VLAN 的服务器可用性,以及监控服务器和服务条目,后者提供有关关联 VLAN、用户角色和用户名等信息。
图片
图片
图片
最后修改时间:2024年8月15日(6aead05)