隧道转发

关于在使用混合或隧道转发配置文件时，角色在接入点（AP）和网关上的实现、分配和执行方式的讨论。

请参考 Forwarding Modes of Operation 以获取隧道转发的详细概述。

支持的角色类型

当在配置文件中启用混合或隧道转发模式时，网关会确定角色分配。该角色分配在接入点（AP）和网关上同时进行：

AP – 默认角色或用户定义的角色
网关 – 默认的、用户定义的或全局角色。

角色分配拆分

隧道客户端可以在接入点（AP）和网关上分配相同或不同的角色。如果没有从认证服务器、Central NAC 服务、服务器派生规则（SDR）或用户派生规则（UDR）动态分配角色，则在接入点和网关上都分配默认角色。此外，如果接入点没有动态分配的角色，接入点还会为隧道客户端分配默认角色。由于接入点不支持全局客户端角色，接入点只能为隧道客户端分配默认角色或用户定义的角色。

以下角色分配组合支持用于隧道转发：

默认角色 – 如果没有进行动态角色分配，则在接入点和网关上都分配。
用户定义角色 – 如果进行动态角色分配，并且该角色在AP和网关的配置组中都存在，则在AP和网关上都分配。
分离角色 – 在接入点（AP）上分配默认角色，在网关上分配用户定义或全局角色。

只有在没有动态分配角色存在于接入点（AP）上的情况下，才能在接入点和网关上分配分离角色。当动态分配角色给一个隧道客户端设备或用户身份，而该角色未在接入点（AP）上存在时，网关将分配动态分配角色，而接入点（AP）将分配默认角色。在大多数部署中，接入点（AP）上的默认角色通常只包含默认网络访问策略（允许所有），而网关上的用户定义或全局角色将包含更具限制性的网络访问规则和属性。

角色派生与分配

对于混合和隧道转发，网关作为认证器，负责角色分配决策。当客户端设备连接到接入点（AP）或设备/用户身份经过认证时，会在接入点（AP）和网关上分配角色。

默认角色

为每个混合或隧道模式配置文件创建一个默认角色。当选择基于角色访问时，可以在配置文件创建流程中查看该配置文件的默认角色分配。当前无法修改默认分配规则。

隧道配置文件默认角色分配规则。

当没有从RADIUS认证服务器、中央NAC服务或派生规则动态分配角色时，会为客户端设备或用户身份分配默认角色。如果接入点（AP）或网关上不存在动态分配角色，也会进行分配。

分配规则

用户定义和全局客户端角色可以通过创建角色分配规则动态分配给客户端设备或用户身份。网关支持两种类型的角色分配规则：

服务器派生规则（SDR） – 可以根据匹配IETF或供应商特定RADIUS属性及其值的规则，分配角色，这些属性和值由RADIUS服务器或中央NAC服务返回。
用户派生规则（UDR） – 可以根据匹配 MAC OUIs 或 DHCP 选项的规则分配角色。

SDR 和 UDR 分配规则是可选的，允许基于管理员定义的规则动态分配用户定义的角色或全局角色，这些规则包括属性、操作符、字符串值以及相应的角色分配。它们的操作类似于安全访问控制列表（ACL），规则按顺序（自上而下）进行评估。第一个匹配的分配规则将被应用。分配规则也可以在任何时候重新排序。

服务器派生规则

SDR 规则可以在配置文件创建流程中配置，也可以直接在每个网关配置组中配置。它们可以用于使用 MAC 或 802.1X 认证的配置文件。

通过配置文件创建流程设置的 SDR 规则会自动在相应的主/备网关集群配置组中进行编排。每个混合或隧道模式配置文件都包含一个对应的认证服务器组，用于在主/备集群网关配置组中。通过工作流配置的 SDR 规则会自动作为服务器规则添加到相应的隧道配置文件的认证服务器组中。

当同时为配置文件分配了主网关和备网关集群时，应在混合或隧道模式配置文件中直接管理服务器派生规则。这确保每个集群的派生规则相同，通过自动修改两个位置的认证服务器组配置实现。如果在每个网关配置组中直接定义 SDR 规则，则必须格外小心，确保两个认证服务器组中的规则一致，否则会导致不可预测的角色分配。

隧道配置文件 SDR 规则示例。

用户派生规则

UDR 规则在每个网关配置组中配置，可以根据 MAC 地址或 DHCP 签名动态为隧道客户端设备分配用户定义或全局客户端角色。每个 UDR 规则集可以包含多个规则，按顺序（自上而下）进行评估。第一个匹配的规则将被应用。

UDR 规则通过选择 Security > Advanced > Local User Derivation Rules 在每个网关配置组中配置。每个规则集具有唯一名称，并可以按优先级包含多个规则。可以随时选择规则并将其移动到其他规则之上或之下以重新排序。

一个 UDR 规则集示例，名为 tunnelprofile，包含两个 DHCP 选项规则。第一个规则匹配运行 Sonoma 的 MacBook Pro 的选项 55 签名，第二个规则匹配 HP Windows 11 笔记本的选项 55 签名。

必须将规则集分配给编排的 AAA 配置文件，通过选择 Security > Role Assignment (AAA Profiles)。每个混合或隧道模式转发配置文件都将在相关的网关配置组中编排一个对应的 AAA 配置文件。每个编排的 AAA 配置文件只能应用一个 UDR 规则集。

UDR 规则集分配到 AAA 配置文件。

基于 DHCP 选项的规则在认证后进行评估，且仅在已分配 VLAN 后适用，因为 DHCP 选项规则通过匹配客户端设备在 DHCP 发现和请求消息中传输的选项字段进行操作。基于 DHCP 选项的规则不应被用来分配用户定义的角色或全局客户端角色，这可能导致 VLAN 分配的变化，也不适用于启用 Captive Portal 的配置文件。

RADIUS 分配

连接到混合或隧道模式转发 WLAN 或下行端口、需要 MAC 或 802.1X 认证的客户端，可以直接从配置为返回 Aruba-User-Role AVP 的 RADIUS 认证服务器或中央 NAC 服务中分配用户定义或全局角色。

AP 会将 RADIUS 访问请求转发到其指定的设备网关（DDG），该网关作为代理连接到配置的外部 RADIUS 服务器或中央 NAC 服务。网关将接受来自 RADIUS 服务器或中央 NAC 的 Aruba-User-Role AVP，无需在配置文件中进行额外配置。如果网关上存在用户定义的角色，则会分配由 Aruba-User-Role AVP 提供的角色名称。

可以配置角色分配规则以在需要时更改接收的角色名称。例如，如果返回的 Aruba-User-Role 值为 Employees，可以配置角色分配规则以匹配接收的角色名并应用不同的角色名，例如 employee-role。这对于迁移和故障排除非常有用。

分配顺序

当客户端设备或用户身份存在多种角色分配结果时，网关会遵循优先级规则。通常情况下，来自 Aruba-User-Role AVP 或 SDR 的用户定义角色优先于从 UDR 分配的角色。如果未派生出用户定义的角色或派生的角色不存在于 AP 或网关上，则会分配默认角色。

混合/隧道转发角色分配顺序

优先级	分配	备注
1（最高）	Aruba VSA	Aruba-用户角色
2	服务器派生规则（SDR）	按顺序评估
3	用户派生规则（UDR）	按顺序评估
4（最低）	默认角色	如果未派生用户定义的角色

对于启用强制门户的网络，优先级顺序略有不同。配置为访客的 WLAN 与外部强制门户一起实现预认证角色。预认证角色在 AP 上应用于会话，直到收到通过 RADIUS 的成功认证，或在 RADIUS 接受消息中返回角色。如果在 RADIUS 消息中返回角色，则该角色必须存在于 AP 上，否则会话将保持在预认证角色中。

用户定义的角色也可以在认证后动态分配，这在上述分配顺序中未被捕获。用户定义的角色变更可以在连接过程中通过 DHCP UDR 分配规则，或在接收到来自 RADIUS 认证服务器或 Central NAC 服务的授权变更（CoA）消息时发生。从 DHCP UDR 分配规则或 CoA 分配的用户定义角色将优先于之前分配的默认角色或用户定义角色。

例如，如果使用 Aruba-User-Role AVP 分配了用户角色的 802.1X 客户端设备，并且匹配到一个分配不同角色的 DHCP UDR 规则，则由 DHCP 分配规则派生的角色将具有优先权。

策略执行

当配置文件启用隧道转发时，AP 和网关都可以作为策略执行点。两者都可以检查用户流量，并根据每个分配角色中定义的网络访问策略做出转发或丢弃的决策。

在 AP 和网关上分配的角色中包含的网络访问策略决定了哪个设备负责检查流量并做出丢弃或转发的决策。对于大多数隧道部署，客户端设备或用户身份将在 AP 上分配默认角色，在网关上分配用户定义角色。AP 上的默认角色包括一个默认的 允许全部 规则，允许所有流量转发，而网关上的用户定义角色则包含更严格的网络访问策略，并提供强制执行。

隧道转发策略执行。

对于混合转发，执行点取决于每个客户端设备或用户身份所使用的转发模式。

最终，分配给默认角色和用户定义角色的网络访问策略决定了是由 AP、网关，还是两者都执行包检查和强制执行。一般建议在桥接转发中由 AP 作为执行点，在隧道转发中由网关作为执行点。

虽然 AP 和网关上的角色都可以包含不同的网络访问策略，但应避免这样做，因为这会导致策略部署模型变得更复杂，原因是防火墙功能在两个设备之间分布。如果必须在 AP 和网关上对隧道流量实施网络访问规则，应在 AP 上应用较少限制的策略，而在网关上应用更严格或更复杂的策略。

最后修改时间：2025 年 1 月 30 日（00981a1）