隧道编排器

HPE Aruba Networking Central中隧道编排器服务的工作原理和可用性.

叠加隧道编排器(OTO)服务架构定义了Aruba网关和AP之间的隧道编排器服务的工作模型.

Aruba支持为部署在园区WLAN中的AP和网关提供自动化的隧道编排器服务,用于LAN隧道。根据设备的位置,隧道编排器服务在分支站点建立GRE隧道,或在Aruba Central账户中配置的网关和AP之间建立IPsec隧道(以下章节将对此进行更详细的描述)。隧道编排器服务结合AP隧道代理和网关隧道代理,创建并维护AP与网关之间的隧道.

LAN隧道的隧道编排器服务可以在全局或单个设备组上启用。默认情况下,LAN隧道的隧道编排器服务已在Aruba Central账户中配置的网关和AP设备上启用。隧道编排器会根据在WLAN SSID中配置的隧道端点偏好,自动构建基于隧道模式的网络。它会选择网关-AP对,并根据虚拟AP配置,决定网关集群与AP之间的隧道数量.

工作原理

隧道编排器服务借助于2018年发布的Aruba SD-WAN解决方案中的隧道编排器服务。在ArubaOS 8中,网关与AP之间的隧道通过传统的IPsec流程建立:两端设备通过IKE第1阶段和第2阶段进行身份验证,协商认证方法和计时器,并生成用于数据流的加密密钥。

在ArubaOS 10中,每对网关和AP不会直接通过IKE第1阶段和第2阶段建立IPsec隧道,而是将整个隧道设置功能转移到Aruba Central中的隧道编排器服务,负责为网关和AP对生成会话密钥和SPI。这些会话密钥用于控制AP与网关之间的流量加密。

传统IKE第1阶段的不同部分,如认证和加密、计时器协商、SPI对生成和加密密钥生成,在隧道编排器服务中被跳过,因为所有在Aruba Central注册和订阅的网关与AP都被视为可信实体。其次,Aruba网关和AP使用的加密策略和计时器是硬编码的,无需协商。在ArubaOS 10中,隧道编排器完全接管IKE流程的工作,生成用于IPsec隧道的密钥和SPI。隧道编排器服务不仅简化了配置模型和设备软件,还提高了整个网络的性能和扩展性。

AP隧道代理和网关隧道代理

AP隧道代理(ATA)和网关隧道代理是AP和网关中的隧道管理模块,分别负责处理所有GRE和IPsec隧道配置,并维护AP和网关的状态。它们提供以下功能:

  • 在隧道编排器服务中注册AP和网关的信息。
  • 接收网关集群和隧道信息,并分发给其他进程。
  • 创建并维护 IPsec 和 GRE 隧道及其生存状态。

隧道编排器的使用场景

在 ArubaOS 10 中,有两种场景下隧道编排器为一对端点编排隧道:

园区网络中的接入点(AP)和网关

当配置隧道或混合模式 SSID 时,隧道编排器会在每个 AP 组中的每个 AP 和网关集群中的每个网关成员之间编排 IPsec 隧道和 GRE 隧道。例如,在如下图所示的一个 AP 和两个网关的集群中:隧道编排器在 AP 和第一个网关之间编排一个 IPsec 隧道和一个 GRE 隧道,在 AP 和第二个网关之间也编排一个 IPsec 隧道和一个 GRE 隧道。IPsec 隧道用于 AP 和网关之间的控制流量,例如 bucketmap 和 nodelist 更新。GRE 隧道用于来自所有配置的 SSID 的用户数据流量。GRE 隧道不会通过 IPsec 隧道加密,以避免双重加密和性能下降。用户流量的安全性由 SSID 中使用的加密方式保障。

微型分支 AP 和远程办公室及远程工作人员的网关

在微型分支部署中,GRE 隧道由 IPsec 隧道加密。由于 AP 和网关之间的数据流量经过广域网,额外的加密变得必要。

不同模式下的 GRE 和 IPsec 隧道

隧道编排器在创建隧道或混合 WLAN SSID 时的工作流程

到目前为止,我们知道一旦创建了隧道化 SSID 或混合 SSID,网关和接入点之间就会建立隧道。在创建此类 SSID 时,用户需要选择将要形成隧道的网关集群。最终,这将把所有无线客户端流量引导到该网关集群。

该过程实现了自动化,当向现有组中添加新的接入点或网关时,隧道编排器服务会自动在所有设备之间建立所有相关的新隧道。

如果要详细了解在配置新隧道或混合模式 SSID 时整个编排流程的逐步过程,内容包括:

  1. 配置隧道 SSID 或混合模式 SSID,服务配置模块通知隧道编排器。
  2. 隧道编排器向设备配置模块查询所有在集群中终止该 SSID 的网关成员。
  3. 隧道编排器向组管理模块查询关于AP组中所有AP的信息。
  4. 编排器为每对 AP 和网关成员在网关集群中的 IPsec 隧道和 GRE 隧道生成 SPI 和加密密钥。
  5. 所有的隧道详情都被推送到网关和接入点。

隧道编排器工作流程

关键注意事项

为了让接入点和网关能够自动建立隧道模式,确保完成以下配置任务:

  • Aruba 网关已加入 Aruba Central 中的一个组。
  • Aruba 接入点在 Aruba Central 中进行配置。
  • Aruba 网关和接入点已升级到 ArubaOS 10.0.0.0 或更高版本的软件。
  • 在接入点(APs)上配置了带有隧道转发模式的 WLAN SSID。当你创建新的 SSID 时,必须选择要建立隧道流量的主要集群名称或网关。可选地,你还可以选择备用集群,以在主要集群完全故障时使用。接入点与网关集群中的网关建立隧道。
  • 如果由接入点(AP)发起到 VPN 集中器的 overlay IPsec 隧道使用 NAT 穿越,则启用 UDP 4500 端口。

IPsec SA 重新密钥

IPsec 安全关联(SA)具有有限的生命周期以确保安全。AP-Gateway IPsec SA 的生命周期为 36 小时。重新密钥过程确保在重新密钥期间没有数据丢失。在 SA 到期之前,隧道编排器会对所有 AP-Gateway 对的 IPsec SA 进行重新密钥。

以下工作流程说明了隧道编排器 IPsec SA 重新密钥的过程:

  1. 在 IPsec 生命周期到期前十二小时,隧道编排器开始 IPsec SA 重新密钥,并为 AP-Gateway 对编排新密钥。
  2. 新的密钥被推送到 AP-Gateway 对。
  3. 网关在学习模式下检查临时入口隧道。
  4. 接入点发送使用新密钥加密的探测。
  5. 同时,所有控制流量仍通过旧的 IPsec 隧道在接入点与网关之间进行交换。
  6. 在网关使用新密钥成功解密探测消息后,网关将其移除。
  7. 临时学习模式隧道,并使用新密钥安装新的入口和出口隧道。
  8. 网关向接入点发送探测响应。
  9. AP 移除临时学习模式隧道,并使用新密钥安装新的入口和出口隧道。
  10. 旧隧道在短暂流量期间保持激活状态10秒。
  11. 所有控制流量都切换到新的隧道。
  12. 频段和网关会过期旧的隧道。

隧道编排器的云端可用性

可用性是一项功能,用于缓解由云端编排的 Aruba 设备之间的 IPSec 流量,当云连接因任何未知原因失败且设备之间仍然保持连接时,具有明确的密钥过期时间。通过可用性,设备应能够根据它们已从隧道编排器接收的隧道配置,重新建立 IPSec 隧道,使用的是遗留的 IKE/IPSec 隧道建立方式。

在重新密钥阶段,如果云连接丢失,设备将无缝切换到遗留的 IPSec 隧道。可用性可以在以下情况下触发:

  • 隧道任一端无法连接到隧道编排器
  • 隧道编排器将新密钥推送到接入点和网关,但未被接收
  • 隧道编排器不会向接入点或网关推送新密钥
  • 设备无法使用接收的密钥建立隧道

所有接收到的隧道配置的加密映射(Cryptomaps)都已创建,无论是发起端还是响应端。但在发起端,加密映射处于禁用状态。在尝试重新建立密钥的隧道九次后,发起端的加密映射将被启用,以触发生存隧道

一旦生存隧道建立,重新建立密钥时将再次启动相同的流程

最后修改时间:2024年2月28日(614bf13)

返回顶部

© Copyright 2025 Hewlett Packard Enterprise Development LP