个体微分段设计
本指南概述了HPE Aruba Networking的个体微分段服务的关键特性和能力,该服务使客户端流量在企业园区网络内能够像单一家庭网络一样运行。本指南涵盖的主要服务包括:
- AirGroup
- 个人设备可见性与共享(Personal AirGroup)
本文档提供了高层次的概述、关键特性以及实际客户用例,以帮助理解和有效实施这些功能。
目录
AirGroup
HPE Aruba Networking 的 AirGroup 服务使用户能够在企业网络内无缝访问 Apple® AirPrint、AirPlay、Google Cast 流媒体、Amazon Fire TV 等服务。它弥合了面向家庭网络设备与企业环境之间的差距,通过促进多播 DNS(mDNS)和简单服务发现协议(SSDP)服务的发现与利用,从而实现设备间的互通。从教室到会议室,AirGroup 通过简化设备通信和服务发现,提升了现代网络的功能性。
AOS 10 中的 AirGroup
在 AOS 10 中,AirGroup 采用分布式模型,将功能划分在接入点(AP)和 Aruba Central 中的 AirGroup 服务之间。包含 AirGroup 服务器的缓存被分布到网络中的每个 AP,从而使 AirGroup 能够高效地处理越来越多的设备,同时提供最佳的性能和扩展性。
该架构确保了快速的查询响应时间,同时不延迟服务广告。它智能过滤不支持的服务广告,以保持 AirGroup 服务的响应能力。在 AOS 10 中支持 mDNS/SSDP 的关键组件包括:
- Aruba Central 中的 AirGroup 服务
- 每个 AP 中的 mDNS 模块
能够进行 mDNS/SSDP 的设备,且定期在网络上广播其功能,被称为AirGroup 服务器。搜索这些服务的设备被称为AirGroup 用户。
有关 AOS 10 中 AirGroup 架构的更详细信息,请参阅 the AirGroup section of AOS 10 techdocs。
示例用例
本节详细介绍了为橙色小工具物流(OWL)设计AirGroup的需求和注意事项,该公司为虚构企业,详见 Reference Customer 页面。
业务用例
OWL 的学习与发展部门决定为其在3号楼新装修的培训区域购买并安装两台 Apple TV® 设备和一台打印机。然而,设备发现和连接方面的问题导致了故障单。IT 部门将该故障单转化为项目请求,通过启用和配置 AirGroup 来解决该问题。该方案将首先在小范围内作为试点实施,如果成功,将在所有 OWL 站点进行复制。
在此初始阶段:
- 一台 Apple TV® 被放置在会议室,用于无线连接。
- 另一台 Apple TV® 和一台支持 AirPrint 的无线打印机被放置在一个大型培训室,并通过以太网连接。
| 服务器类型 | SSID | 允许的服务 | 服务器VLANs | 客户端VLANs | 允许的角色 | AP可见性 |
|---|---|---|---|---|---|---|
| 无线AppleTV® | OWL-LnD | AirPlay | 100 | 101 | OWL-LND | 一跳邻居 |
| 无线打印机 | OWL-Corp | AirPrint | 101 | 101 | OWL-EMPLOYEE, OWL-CONTRACTOR | 静态 |
| 有线AppleTV® | OWL-LnD | AirPlay | 100 | 101 | OWL-EMPLOYEE, OWL-CONTRACTOR | 静态 |
目标
在网络效率和安全性之后,最重要的考虑因素是来自依赖稳定网络的业务用户群体以及使用管理工具的IT人员的用户满意度。以下目标概述了在提升用户体验的同时简化IT操作的关键目标:
对用户:
- 提高生产力:实现演示文稿、媒体流的快速共享,以及无需额外硬件即可从移动设备轻松打印。
- 提升用户体验:在企业环境中提供无缝、如家庭般的网络体验。
- 增强对IT的满意度:减少因服务不一致而引发的中断和挫败感。
针对 IT:
- 简化网络管理:在企业环境中管理为家庭网络设计的设备和服务。
- 增强安全性:允许或拒绝网络上的特定预定义或自定义服务。
- 改善故障排除:提供工具和可视化,快速解决服务发现问题。
技术用例
OWL在加利福尼亚州罗斯维尔的总部由三栋建筑组成。第3栋楼设有研发(R&D)和培训部门,以及配送中心。AirGroup将被启用并配置,以支持两台新的Apple TV®设备和一台支持AirPrint的打印机。
OWL Roseville 园区
大楼 3 拓扑结构
设计考虑因素
在 AirGroup 部署的设计阶段,必须考虑某些因素,以确保 mDNS 和 SSDP 服务在启用 AirGroup 的 AOS 10 网络中正常运行。从配置、监控和故障排除的角度来看,IT 管理员应了解以下内容:
- AP邻居列表:由AirMatch生成;任何路径损耗小于150 dBm的附近AP都被视为一跳RF邻居。
- 服务可见性:要访问无线AirGroup服务器(例如Apple TV®),客户端必须位于与连接该服务器的AP相同的一跳RF邻域内。
- 叠加模式:AOS 10中的AirGroup目前仅支持叠加模式。
- 有线服务器识别:有线服务器的VLAN必须被汇聚到连接AP的交换机端口,以便AP能够识别和学习有线AirGroup服务器。
- 全局服务器策略:对于有线AirGroup服务器,必须在Aruba Central中配置全局服务器策略,以定义AP的可见性和访问控制。
示例平面图
下方的平面图展示了连接到 AP1 的无线 Apple TV® 的一跳射频邻域。
图中所示的射频邻域仅用于示意,比例不具备实际意义。在实际环境中,信号衰减、干扰、接入点(AP)射频发射功率以及接收灵敏度等因素会影响射频邻域的实际大小,可能与示意图存在显著差异。
在上述示例中,AP1 是无线 Apple TV® 连接的接入点。用橙色突出显示的接入点代表 AP1 的一跳 RF 邻域的一部分。要包含在此邻域中,AP1 与邻近 AP 之间通过 AirMatch 计算得出的路径损耗必须为 150 dB 或更高。此外,客户端应与 AirGroup 配置的 SSID 相关联,而服务器和用户都必须在 AirGroup 中配置并分配 VLAN 和用户角色。
无线 AirGroup 服务器
在启用 AirGroup 的网络中,当无线 AirGroup 服务器(如智能显示屏)连接到 WLAN 时,它所连接的接入点(AP)会自动将其加入 Central 中的 AirGroup 服务器列表。然后,该服务器在满足 AirGroup 策略允许的情况下,变得对其 AP 一跳 RF 邻域内的 AirGroup 用户可见且可访问。可见性由与 AP 的距离决定,除非服务器必须在超出 AP 一跳范围之外可见,否则无需额外配置。在这种情况下,可以配置全局服务器策略以包含其他 AP。
有线 AirGroup 服务器
有线 AirGroup 服务器与其无线对应设备的处理方式不同。由于它们通过以太网连接,因此不会基于 AP 位置进行自动定位。为了在 AOS 10 中与 AirGroup 用户共享有线 AirGroup 服务器,必须配置全局服务器策略,以定义可以广告每个服务器的 AP。以下是适用于有线 AirGroup 服务器的其他注意事项:
- VLAN 传输:有线服务器的 VLAN 必须通过中继连接到连接到 AP 的交换机端口。
- AP 端口配置:确保 AP 交换机端口允许有线服务器 VLAN,而无需修改默认的有线端口配置文件。
- 全局服务器策略:策略必须在 Aruba Central 的全局级别进行配置。
- AP 可见性:定义可以广告每个有线服务器的 AP 列表(当前版本支持最多 50 个)。
- 未来支持:连接到网关的有线 AirGroup 服务器将在未来版本中得到支持。
- Leader AP:为了减少同一 VLAN 上所有 AP 的重复更新,为每个有线服务器选择一个 Leader AP,只有该 AP 领导会向 Central 的 AirGroup 服务发送 Discover 缓存更新。任何 AP 在同一 VLAN 内最多可以作为 10 个有线 AirGroup 服务器的 Leader AP。
AirGroup 结论
实现 HPE Aruba Networking 的 AirGroup 服务通过简化服务发现和设备通信,提升了企业网络中的用户体验。遵循本设计指南,网络管理员可以更清晰、更实用地理解实施 AirGroup 的需求,从而有效地应用于该用例。他们可以根据自身基础设施进行调整和扩展,确保无缝连接、增强安全性以及高效的网络管理。
个人设备可见性与共享概述
HPE Aruba Networking 的 AirGroup 服务的另一个强大功能是个人设备可见性与共享。通过 Aruba Central 管理,此功能使用户能够轻松允许或限制其他用户访问其个人无线设备,例如打印机、物联网设备和智能电视。它在增强协作的同时,保持对设备在网络中的访问控制。
AOS 10 中的个人设备可见性与共享
在 AOS 10 中,AirGroup 引入了简化的共享流程,通过无需复杂设置或额外软件,提升客户端体验,简化无线设备的发现和访问。个人设备仅与无线客户端共享,并通过 UPN(用户主体名称)格式进行验证。在当前阶段,只有 MPSK AES SSID 设备所有者可以共享其设备,且 Aruba CloudAuth 服务器作为支持的认证服务器,用于 MPSK SSID。无线个人设备的共享可以通过 MPSK AES 或 802.1X 认证的客户端实现,使用由 Cloud Guest 在 MPSK Wi-Fi 密码门户托管的“管理我的设备”门户链接。更多详细信息,请访问 AOS 10 Personal Device Visbility and Sharing user guide。
此功能的关键组成部分包括:
- 个人 AirGroup 服务器:与特定用户名(电子邮件地址)关联的无线设备默认被归类为个人设备。
- 公共 AirGroup 服务器:没有关联用户名或被指定为公共的设备被归类为公共设备,面向更广泛的用户群体。
用户可以灵活地将其设备的分类从个人更改为公共,从而使设备在射频邻域内对更广泛的用户群体可访问。
示例用例
Orange Widget Logistics (OWL) 计划在其学习与发展(LnD)区域测试 AirGroup 的个人设备可见性与共享功能。目标是在会议室和共享办公区提供本地化的 AirGroup 支持设备访问,方便员工和外部合作伙伴培训人员聚集和展示。这将允许用户在培训周期间预订办公空间,并能够进行内容流媒体、打印文档或与其他与会者在其指定的会议室或共享办公区内共享访问权限。
业务目标
对于 IT:
- 增强安全性:确保个人设备仅对授权用户可访问。
- 简化管理:为用户提供易于使用的界面,以管理设备共享,无需IT干预。
- 提升可见性:通过Aruba Central监控设备共享活动和访问控制。
对于用户:
- 提高生产力:允许与会者在其指定的办公空间访问共享设备,如打印机和显示器。
- 增强协作:使用户能够与同事或合作伙伴安全地共享设备。
- 改善用户体验:提供无缝、如在家般的环境,个人设备可以轻松管理。
技术目标
办公桌办公室位于OWL园区总部大楼3楼。该实施方案包括启用这些办公室内设备的个人设备可见性和共享功能,以为外部培训人员提供定制化体验。
平面图示例
以下平面图展示了四个房间,每个房间都配备了具有不同接入和可见性要求的 AirGroup 服务器。
罗斯维尔园区大楼3,2楼个人空调组试点房间
在此试点阶段,成功标准包括使绿色会议室的会议主持人或指定演讲者能够将Apple TV和打印机仅限于指定的绿色会议室与会者访问。此设置确保每个房间内的内容共享、协作和隐私的顺畅进行。在预订期结束后,设备的可见性可以轻松恢复到所有者。黄色和红色会议室的主持人或演讲者也具有相同的权限。此外,灰色会议室中的打印机已配置为供一般使用,并根据AirGroup策略中定义的用户角色,向所有三个会议室的与会者开放访问权限。
下表列出了每个房间和 AirGroup 服务器类型的详细信息。
| 房间 | 设备 | 服务器类型 | SSID | 允许的服务 | 服务器 VLANs | 客户端 VLANs | AP 可见性 |
|---|---|---|---|---|---|---|---|
| Green | 无线 AppleTV® | 个人服务器 | OWL-LnD | AirPlay | 100 | 101 | 一跳邻居 |
| Green | 无线打印机 | 个人服务器 | OWL-LnD | AirPrint | 100 | 101 | 一跳邻居 |
| Yellow | 无线 AppleTV® | 个人服务器 | OWL-LnD | AirPlay | 100 | 101 | 一跳邻居 |
| Red | 无线 AppleTV® | 个人服务器 | OWL-LnD | AirPlay | 100 | 101 | 一跳邻居 |
| Gray | 无线打印机 | 公共服务器 | OWL-LnD | AirPrint | 100 | 101 | 一跳邻居 |
下表突出显示了 VLAN ID、用户账户、AirGroup 服务器类型、访问控制以及与指定房间所有者和会议参与者相关的各种其他属性、用户角色、SSI 之间的关键差异。
| 参数 | 房间所有者(演讲者) | 会议参与者(嘉宾/与会者) |
|---|---|---|
| VLAN | VLAN 100(分配给特定会议室以实现设备隔离) | VLAN 101(用于会议室访问的共享VLAN) |
| 用户角色 | LND-STAFF | LND-STUDENT |
| SSID | OWL-Corp 或 OWL-LnD | OWL-LnD |
| 认证方式 | WPA2-Enterprise(基于UPN登录)或MPSK | 预先创建的基于UPN的MPSK |
| 用户账户类型 | 基于UPN(例如:greenroom@company.com) | 基于UPN(预先创建,例如:greenguest1@company.com) |
| AirGroup服务器类型 | 由房间所有者控制的个人AirGroup设备(适用于Apple TV及打印机) | 在获得房间所有者授权后,可以访问会议室中的共享个人AirGroup设备以及灰色房间中的公共AirGroup打印机 |
| 设备可见性 | 完全控制会议室内设备的可见性 | 一旦获得房间所有者授权,可以看到共享的会议室设备(例如:绿色房Apple TV) |
| 访问控制 | 管理会议参与者的访问权限 | 在会议期间由房间所有者授予访问权限 |
| 设备管理 | 通过“管理我的设备”门户进行完全控制,添加/移除参与者访问权限 | 根据房间所有者的配置,具有有限的访问权限 |
| 私有AirGroup服务器 | Apple TV及其他个人设备由房间所有者控制 | 在获得房间所有者授权后,可以访问会议室中的共享个人AirGroup设备 |
| 公共AirGroup服务器 | 灰色房间的AirPrint打印机或其他共享设备(如果配置为公共) | 对已认证到OWL-LnD SSID的参与者可见 |
| 访问日志 | 通过Aruba Central管理日志 | 可从Aruba Central获取审计用的访问日志 |
| 临时访问 | 可以在会议期间为参与者授予临时访问权限 | 访问权限为临时的,仅限于会议持续时间 |
| 撤销访问 | 会议结束后,可通过“管理我的设备”立即撤销访问权限 | 由房间所有者撤销访问权限 |
关键考虑因素
在实施 AirGroup 个人设备可见性与共享的设计阶段,必须考虑若干因素:
- 认证格式:个人设备只能与无线客户端共享,使用用户主体名称(UPN)格式进行认证(例如,电子邮件地址)。
- 最低 ArubaOS 版本:该功能需要 ArubaOS 10.6 及以上版本。
- 设备所有权与 SSID 要求:
- AirGroup 服务器所有者(例如,greenroom@company.com)最多可以与八个客户端账户共享设备。
- 仅使用 MPSK AES SSID 的设备所有者可以通过 Aruba CloudAuth 服务器共享其设备。
- SSID 必须配置为使用 MPSK,并将 CloudAuth 设为认证服务器。
- 身份存储库一致性:
- 无线客户端的用户条目必须存在于 CloudAuth 使用的身份存储库中。
- 如果客户端通过其他 RADIUS 服务器(例如,HPE Aruba Networking ClearPass)进行认证,则其用户条目也必须存在于 CloudAuth 身份存储库中,以实现设备共享。
- AP 可见性:
- 设备的可见性通常仅限于设备连接的 AP 的一跳 RF 邻域。
- 如果需要更广泛的可见性,可能需要特殊考虑。
个人和公共 AirGroup 服务器
- 个人 AirGroup 服务器:
- 与用户名关联的设备默认被归类为个人。
- 仅对设备所有者可访问,除非与他人共享。
- 公共 AirGroup 服务器:
- 未关联用户名的设备或其用户名已添加到公共服务器列表的设备被归类为公共。
- 公共设备对所有在允许角色和 VLAN 内的用户可访问。
- 将个人 AirGroup 设备更改为公共,使设备对更广泛的 RF 邻域可访问。
其他注意事项
- 设备可见范围:
- 有线服务器不能作为个人 AirGroup 服务器。
- 个人设备的可见性通常仅限于一跳 RF 邻域。
- 对于需要更广泛访问的情况,可以配置全局服务器策略以包含额外的 AP。
- 安全影响:
- 确保只有授权用户可以共享和访问设备,以维护网络安全。
- 定期审查共享设备列表和用户权限。
个人设备与可见性共享结论
个人设备可见性与共享通过允许用户安全地管理对其个人设备的访问,提升了用户体验。它赋予用户更多自主权,同时维护网络安全,并简化了企业环境中设备共享的流程。按照所述的设计考虑因素和配置步骤,像OWL这样的组织可以有效部署此功能,以满足其特定需求。