基于用户的隧道

关于在访问层交换机和网关上如何实现、分配和执行角色以支持基于用户的隧道(UBT)部署的讨论。

本节概述了在 AOS-10 网关和 AOS-CX 访问层交换机上实现用户定义角色以支持基于用户的隧道(UBT)部署的方法。本节涵盖了在网关和交换机上支持的角色类型,以及角色的配置和管理方式。本节还提供了角色的分配方式以及网络访问权限的执行位置的详细信息。

角色类型

UBT 部署在访问层交换机和网关上实现用户定义角色,这些角色由管理员独立配置和管理。访问层交换机可以选择从 ClearPass 策略管理器(CPPM)服务器下载可下载的用户角色(DUR),在需要时,用户定义的角色会在成功认证和授权后动态下载并安装到访问层交换机上。

关于可下载用户角色(DUR)配置及HPE Aruba Networking接入层交换机与ClearPass策略管理器(CPPM)之间集成的文档,请参见 HPE Networking Support Portal

用户定义角色

用户定义角色由管理员配置和命名,必须针对每个网关和交换机配置组进行配置。它们也可以直接在未由Central管理的接入层交换机上进行配置。

用户定义角色通过RADIUS认证服务器或Central NAC服务分配给UBT客户端设备或用户身份。由于接入层交换机是认证器,角色派生规则不能由网关进行分配。

在接入层交换机和网关上分配的用户定义角色可以是相同的角色名称,也可以是不同的角色名称。每个用于UBT的接入层交换机上的用户定义角色都包含特定属性,决定了UBT流量的隧道目标集群以及分配的网关角色。

由于网关和交换机通常由不同的IT团队管理和配置,网关角色映射允许角色名称之间存在差异。例如,一个VoIP电话可以在接入层交换机上被分配一个名为 ip_phone 的用户定义角色,而在网关上则分配一个名为 voip-role 的角色。相同的角色名称也可以在两者上都被分配。

__ UBT交换机角色和网关映射示例 __

角色配置与管理

用户定义角色必须在每个网关和交换机配置组中单独配置和管理。对于接入层交换机,可以通过配置模板或 MultiEdit 配置编辑器应用UBT配置、用户定义角色和网关映射。对于网关,用户定义角色、属性和网络访问权限在每个网关配置组中通过Central UI进行配置。

接入层交换机

用户定义角色可以通过模板或MultiEdit配置编辑器直接在每个交换机配置组中添加、删除和配置。模板组允许将配置应用于一个配置组内的所有CX交换机,或根据型号和版本将不同配置应用于不同的交换机组。UBT区域配置、用户定义角色和网关角色映射在各自的模板中定义。

MultiEdit配置编辑器允许在Central UI中同时对多个CX交换机应用配置,或根据选择对单个交换机进行配置。它支持添加、删除或修改UBT区域配置、用户定义角色和网关角色映射,只需选择一个或多个CX接入层交换机,编辑配置,然后在单一直观的工作流程中添加必要的CLI命令。工作流程中提供语法检查。

__ 使用MultiEdit的交换机组角色配置示例 __

网关

用户定义角色可以通过Central UI在每个网关配置组中直接添加、删除和配置。管理员可以配置现有角色的网络访问权限和属性,或添加、删除和配置用户定义角色。

对于网关配置组,默认角色和用户定义角色可以在 Security > Roles 下配置和管理。角色表列出在该配置组中配置的所有角色,包括预定义角色、默认角色、用户定义角色和全局客户端角色。

每个角色通过在表中选择角色进行配置,系统会显示一个附加表,列出分配给该角色的网络访问策略和属性。以下示意图展示了在网关配置组中进行角色管理的示例。在此示例中,选择了名为 contractor-role 的角色,并显示其网络访问策略。

__ 网关用户定义角色配置和管理示例 __

网关用户定义角色

每个用于UBT的网关上的用户定义角色必须包含VLAN分配,该属性在每个用户定义角色中定义。每个角色可以通过“更多”选项中的下拉菜单分配VLAN ID或VLAN名称,VLAN ID或名称必须在配置组中配置并存在。

以下示例展示了名为 contractor-role 的用户定义角色的VLAN分配。在此示例中,UBT客户端将被分配到集群内的VLAN ID 82

__ VLAN分配示例 __

网关角色派生与分配

当部署基于用户的隧道(UBT)时,在接入层交换机上配置的用户定义角色会启动用户基础的隧道会话,连接到一组网关。典型部署中,UBT端口配置MAC和/或802.1X端口访问安全,每个有线设备(唯一MAC)会对接RADIUS服务器或Central NAC服务进行认证。认证成功后,RADIUS认证服务器或Central NAC服务会返回 Aruba-User-Role AVP,用于确定用户定义角色的分配。

每个用于UBT的用户定义角色都包含额外属性,指定UBT区域和网关角色:

  • UBT区域 – 引用接入层交换机中的配置,决定流量隧道的主集群和可选的次集群。每个角色支持一个区域分配。
  • 网关角色 – 确定在网关上分配的角色。

用户定义的角色分配给 UBT 客户端设备或用户身份,必须包括 UBT 区域和网关角色属性,因为它们决定了流量被隧道传输到的主集群或备用集群,除了在集群内分配的角色之外。集群上分配的角色决定了应用的网络访问策略,此外还包括集群内的 VLAN 分配。

当有线客户端设备或用户身份通过接入层交换机进行认证,并分配了带有 UBT 属性的用户定义角色时,流量会被隧道传输到相应的主集群或备用集群。每个 UBT 客户端根据已发布的桶映射锚定到集群内的用户指定网关(UDG)节点。配置的网关角色决定了在 UDG 上分配给 UBT 会话的用户定义角色,除了 VLAN 分配之外。每个 UBT 会话可以在接入层交换机和 UDG 上分配相同的角色名称,或根据需要分配不同的角色名称。

本节主要关注HPE Aruba Networking CX接入层交换机的UBT操作,然而UBT在较旧的HPE Aruba Networking AOS-S交换机上也以相同方式运行。主要区别在于AOS-S交换机不支持多个UBT区域。此外,AOS-S交换机不支持Central NAC或Aruba-User-Role AVP,并且需要从RADIUS服务器返回HP-User-Role AVP以进行角色分配。

策略执行

对于UBT,接入层交换机和网关都可以作为策略执行点运行,但两者的流量检测能力差异较大。接入层交换机不实现有状态的包检测防火墙,只支持无状态的访问控制列表(ACLs),这些ACL可以应用于入口或出口流量。网关实现了深度包检测(DPI)防火墙,具有有状态和应用感知能力。流量在入口处进行检测。

对于大多数UBT部署,网络访问策略将在网关上的用户定义角色中定义,所有南北向和东西向的流量都可以由网关进行检测和执行。网关执行还允许将相同的用户定义角色、网络访问策略和属性应用于无线和UBT客户端,但不同的客户端类型应分配到不同的VLAN。

UBT策略执行

最后修改时间:2025年1月30日(00981a1)

返回顶部

© Copyright 2025 Hewlett Packard Enterprise Development LP