基础知识

关于角色、它们的用途以及在配置为基于用户的隧道(UBT)的AP、网关和接入层交换机上的分配方式的介绍。

角色是策略和配置容器,分配给连接到HPE Aruba Networking接入点(AP)、网关和接入层交换机的客户端设备。角色的使用对AP和网关是强制的,但对于接入层交换机是可选的,除非部署了基于用户的隧道(UBT)。

角色是由HPE Aruba Networking基础设施设备支持的差异化基础架构元素。它们可用于实现不同客户端设备集之间的动态分段和策略执行,并且可以选择性地包含其他属性以进行分配。最初在无线控制器和无控制器AP(AOS-8)上引入角色,现在已由所有当前基础设施设备支持,包括AP、网关和交换机。

支持角色的HPE Aruba Networking设备。

角色的用途

角色用于将网络接入策略和其他属性应用于客户端设备或用户身份。策略语言和支持的属性是特定于网络基础设施设备类型的,不同于AP、网关和交换机。可用的策略选项和属性受到每种设备类型的能力和支持功能的限制。

在AOS-10中,角色包含用于确定主机、网络和应用权限的策略语言。它们还可以选择性地包含其他配置属性,例如VLAN分配、强制门户配置或带宽合同。应用于网关的全局客户端角色还包括由网关和交换机用于角色到角色策略执行的组策略标识符(GPID)。

AOS-10角色属性。

在交换机上,当启用端口访问安全时,角色用于动态应用配置到接入端口。当有线客户端设备或用户成功认证后,RADIUS认证服务器或中央NAC服务可以返回一个角色名,决定端口的操作模式、转发行为、交换机端口模式以及接入或中继VLAN分配。如果启用了UBT,分配的角色还将决定流量被隧道传输的集群(区域)以及在网关上分配的角色。

交换机还支持特殊角色,这些角色可以在无法连接到 RADIUS 认证服务器或 Central NAC,或需要在所有交换机上应用单一角色的情况下使用。关于特殊角色及其使用的更多信息,请参阅 CX Security Guide

交换角色属性。

角色分配

角色可以分配给客户端设备或用户身份,这些设备或身份可以在接入点、网关或接入层交换机上进行分配,具体取决于每个客户端设备连接到网络的点。当流量从接入点或 UBT 接入层交换机隧道传输到网关时,角色会在隧道设备(客户端连接的设备)上分配,除了在网关上分配角色。

接入点

角色被分配给每个连接到接入点的有线和无线客户端设备(唯一 MAC),无论配置的转发模式如何。这包括:

  • 连接到下行端口的有线设备。
  • 连接到 WLAN 的无线设备。

每个客户端设备都被分配一个默认角色或由 RADIUS 认证服务器、Central NAC 服务或角色分配规则定义的角色。如果没有动态分配角色,或分配的角色不存在,则会分配默认角色。由于无线客户端具有流动性,所分配的角色将在客户端在漫游域内在接入点之间漫游时跟随其移动,角色由 Central 内的服务缓存并自动分发到邻近的接入点。

分配给 AOS-10 接入点的默认角色和用户定义角色。

网关

当接入点上的有线或无线客户端,或连接到 UBT 交换机的有线客户端被隧道传输到网关集群时,会分配两个角色:

  • 角色在连接有线或无线客户端设备的接入点上被分配。
  • 角色在连接有线客户端设备的UBT交换机上被分配。

在一个集群中,每个隧道客户端设备(唯一MAC地址)通过为该集群发布的桶映射(参见 Cluster Roles)被分配一个活动和备用的用户指定网关(UDG)。每个客户端分配的UDG网关是所有流量的锚点,并且是持久的。只有在添加或移除网关、发生故障转移到次级集群,或无线客户端漫游到连接到不同集群的AP时,才会更改隧道客户端的UDG网关分配。

默认和用户定义的角色被分配给AOS-10网关。

客户端设备可以在接入点(AP)和网关上被分配相同的角色或不同的角色。可用的角色分配选项和建议在隧道转发部分提供。

也可以将角色分配给由网关上的交换端口服务的有线客户端设备。当端口或VLAN不受信任时,每个有线设备可以选择性地进行认证,此时用户定义的角色可以由RADIUS服务器或中央NAC服务动态提供。对于未认证的端口或VLAN,可以静态分配用户定义的角色。

访问层交换机

当在访问层交换机上配置端口访问安全时,可以从RADIUS认证服务器或中央NAC服务动态分配角色给有线设备。每个角色中的属性决定了应用于交换端口的配置,以及是否激活基于用户的隧道(UBT)进行转发。

当有线UBT客户端被隧道到网关集群时,会分配两个角色:

  • 在连接有线客户端设备的访问层交换机上分配角色。
  • 在每个 UBT 客户端的用户指定网关(UDG)上分配一个角色。

为了使 UBT 正常工作,在接入层交换机上分配一个用户定义的角色,该角色包含指示 UBT 客户端流量被隧道到的集群(zone)以及在每个 UDG 网关上分配的用户定义角色的属性。为了灵活性,为每个角色配置的角色映射允许在接入层交换机和网关上分配相同的角色名称,或分配不同的角色名称。此外,CX 接入层交换机实现了区域,允许 UBT 客户端流量在网络内的不同集群中终止。

在接入层交换机、网关和映射上的角色分配。

角色类型

AOS-10 AP 和网关支持默认角色、用户定义角色和全局客户端角色。当未分配用户定义角色时,默认角色应用于有线或无线客户端设备,而用户定义角色和全局客户端角色由认证服务器或角色派生规则分配。

在 AOS-10 上,不支持从 HPE Aruba Networking ClearPass Policy Manager 服务器下载的用户角色(DUR)的使用。如果需要迁移使用 DUR 的现有实现,请联系您的合作伙伴或账户团队寻求替代方案。

默认角色

每个下行端口配置文件和 WLAN 配置文件在 AP 配置组中配置时,都会自动创建默认角色。每个默认角色的名称与其父配置文件相同,并在未分配用户定义角色时分配给客户端设备。

默认角色

默认角色根据配置文件的转发模式,在 AP 配置组或同时在 AP 和网关配置组中创建:

  • 桥接转发 – 默认角色仅在 AP 配置组中创建。
  • 混合 / 隧道转发 – 默认角色在AP和网关配置组中都被创建。当分配了主集群和备用集群时,它们会在主网关和备用网关配置组中都被创建。

默认角色是强制性的,必须在每个配置文件的AP上存在。它们可以用于对客户端设备应用安全策略,以及分配其他属性,如VLAN、强制门户配置或带宽合同。当不需要动态角色分配时,它们可以被专门使用,或者在没有动态用户定义角色时作为后备/捕获角色使用。

虽然可以将默认角色动态分配给连接到其他配置文件的客户端设备或用户身份,但不建议这样做,因为当其父配置文件被删除时,默认角色会被删除。如果需要将角色分配给多个配置文件,应使用用户定义角色。默认角色只能在父配置文件的上下文中使用。

用户定义角色

用户定义角色由管理员配置和命名。它们可以在每个AP或网关配置组中独立配置,也可以通过中央管理根据配置文件创建流程由中央编排到必要的配置组。它们通过RADIUS认证服务器、中央NAC服务或角色派生规则分配给客户端设备或用户。当没有动态分配用户定义角色,或者动态分配的角色在AP或网关上不存在时,会为客户端设备分配默认用户角色。

用户定义角色

当通过配置文件创建流程添加或修改用户定义角色时,角色及相关策略会根据配置文件的转发模式在AP配置组或同时在AP和网关配置组中创建:

  • 桥接转发 – 用户定义角色仅在AP配置组中创建。
  • 隧道转发 – 在各自的网关配置组中创建用户定义的角色。当同时分配了主集群和备份集群时,它们会在主网关配置组和备份网关配置组中都被创建。
  • 混合转发 - 用户定义的角色在AP和网关配置组中创建。

如果没有使用配置文件创建流程配置用户定义的角色,则必须由管理员在各自的AP和网关配置组中手动创建。只有通过配置文件创建流程添加或修改的角色,才会在AP和网关配置组之间自动进行编排。当使用配置文件创建流程时,策略、属性和派生规则也会在AP和网关配置组之间进行编排。编排的角色可以根据需要在各个配置文件中使用。

对于大多数AOS-10部署,用户定义的角色要么在各自的AP或网关配置组中创建,因为AP上的配置文件将实现桥接或隧道转发模式。只有当AP同时桥接和隧道用户流量,并且将相同的用户定义角色分配给客户端设备或用户身份的两种转发模式时,才需要在AP和网关配置组中都创建用户定义的角色。例如,员工角色被分配给隧道无线客户端以及连接到墙板AP的桥接有线客户端。在这种情况下,员工角色将被分配到AP和相应的网关配置组中。

全局客户端角色

全局客户端角色在Central中配置和管理,然后传播到CX交换机或网关,但不支持在AP或AOS-S交换机上。与在每个配置组中配置和管理的用户定义角色不同,全局客户端角色在Central中集中配置和管理,然后传播到CX交换机、分支网关和移动网关。

当传播到分支或移动网关时,每个全局客户端角色将在每个适用的网关配置组中的角色表中列出,并在全局列中用“是”标记。每个全局客户端角色必须具有唯一的名称,不能与现有的默认角色或用户定义角色重叠。

带有全局客户端角色的网关配置组角色表

除了连接到不可信端口或VLAN的有线客户端设备外,全局客户端角色还可以分配给终止在网关集群上的隧道客户端设备。它们可以像用户定义的角色一样使用,并且可以包括基于IP的策略和属性。

与默认和用户定义的角色不同,全局客户端角色默认不包含任何基于IP的网络访问权限,这些权限必须由管理员在传播后分配。如果以未修改的状态使用,客户端设备将无法获得IP地址或在中间IP网络上进行通信。对于每个传播的角色,管理员必须分配一个或多个会话访问控制列表(SACLs),以允许基本的网络服务,如动态主机配置协议(DHCP)和域名系统(DNS),以及必要的目标主机和网络权限。

全局客户端角色还可以用于结合NetConductor解决方案进行基于角色到角色组的策略强制执行,除了在VSG中详细描述的跨网关的角色到角色强制执行。

最后修改时间:2025年3月5日(ab07dd7)

返回顶部

© Copyright 2025 Hewlett Packard Enterprise Development LP