部署园区网络
本部署指南中引用的设计是一个大型园区拓扑结构,详见 Aruba ESP 园区设计指南。该拓扑实现了传统的三层网络,使用路由核心连接到汇聚层,然后连接到接入层。接入层仅作为二层部署,默认网关在汇聚层实现。该设计要求一个连接到核心的服务汇聚块,以确保向园区内端点高效交付服务。所有交换机和网关都配置有管理VLAN中的IP地址。
核心层与汇聚层之间的连接为三层,采用点对点接口,使用IP地址范围172.18.X.X。诸如Active Directory、DHCP、DNS和ClearPass等共享服务连接到具有10.X.X.X地址空间的服务汇聚层。无线网络在有线网络之上运行,通过接入交换机连接的AP以及在服务汇聚交换机中双连接的AOS 10网关实现。网络的物理布局,包括交换机、AP和网关,以及二层和三层域,如下图所示。
园区拓扑结构
Aruba ESP 提供丰富的服务,包括设备注册、配置、编排、分析、位置追踪和管理。AI Insights 能在问题影响用户之前揭示问题,使组织能够快速轻松地完成修复任务,提供直观的工作流导向导航和展示多个相关数据维度的视图。园区策略由中心创建,诸如动态分段等功能使网络管理员能够在现有基础设施上实施这些策略。
目录
部署规划
在部署网络之前,确定能够确保编号和地址方案一致的数值非常重要,以适应当前网络的规模,同时为未来的扩展留出空间。采用一致的物理和逻辑配置方法可以简化网络管理和故障排除。本节提供了选择这些数值的示例和背景信息。根据部署网络的规模,可能需要调整这些数值。
中心组织
Aruba Central 要求将设备添加到组中进行配置。组配置通过 UI 工作流和名为 MultiEdit 的交互式 CLI 编辑器进行管理。可选地,在创建组时可以启用使用静态 CLI 模板和变量文件的组配置。仅在特定部署用例需要时启用模板。
| 组名 | 描述 |
|---|---|
| SW-CORE | 核心交换 - 路由服务及与汇聚交换的连接 |
| SW-AGG | 汇聚交换 - 连接接入交换的设备,处理3层服务 |
| SW-ACCESS | 接入交换 - 有线客户端和设备(AP,打印机,IoT) |
| WL-CAMPUS | 无线园区设备 - 接入点、网关 |
| SW-SVCS | 服务汇聚交换 - DHCP、DNS、MRT |
| BR-SDB | 使用网关的分支站点(SD-Branch)- 网关维护到 VPN-C 的 VPN 连接 |
| BR-SDW | 使用网关的分支站点(SD-WAN)- 网关与 VPN-C 维护 VPN 连接 |
| BR-MICRO | 仅使用接入点的分支站点 - 接入点维护到 VPN-C 的 VPN 连接 |
| VPNC-BR | 用于分支站点的 VPN 集中器 - 微型和 SD-Branch |
使用站点根据安装的地理位置组织设备。
| 站点名称 | 描述 |
|---|---|
| RSV-BLD01 | 位于Roseville的园区大楼01 |
| RSV-BLD02 | 位于Roseville的园区大楼02 |
| RSV-BLD03 | 位于罗斯维尔的园区大楼 03 |
| RSV-DMZ | 位于Roseville的非军事区 |
| RSV-DC01 | 位于罗斯维尔的数据中心 01 |
| DEN-BR01 | 位于丹佛的分支 01 |
| SJC-BR01 | 位于圣何塞的分支 01 |
| WDSM-BR01 | 位于西德莫因的分支 01 |
设备名称
在 Aruba Central 中,设备表可以按名称进行筛选和排序。建立设备命名规范,指示设备类型、角色和位置,以简化在大型园区网络中分析部分设备的步骤。以下示例展示了一种设备命名方案,包括设备类型-位置-角色 序列号-单元-序列号。
| 设备名称 | 网络角色 | 描述 |
|---|---|---|
| SW-RSVDC01-CORE01-01 | 核心交换机 | Roseville 数据中心 1,核心交换机 1 |
| SW-RSVDC01-CORE01-02 | 核心交换机 | Roseville 数据中心 1,核心交换机 2 |
| SW-RSVBLD01-AG01-01 | 汇聚交换机 | Roseville 大楼 1,汇聚交换机 1,成员 1 |
| SW-RSVBLD01-AG01-02 | 汇聚交换机 | Roseville 大楼 1,汇聚交换机 1,成员 2 |
| SW-RSVBLD03-AG03-01 | 汇聚交换机 | Roseville 大楼 3,汇聚交换机 3,成员 1 |
| SW-RSVBLD01-AC01 | 接入交换机 | Roseville 大楼 1,接入交换机 1 |
| SW-RSVBLD02-AC03 | 接入交换机 | Roseville 大楼 2,接入交换机 3 |
| GW-RSVSVC01-VPNC01 | VPNC 网关 | Roseville 服务汇聚 01,VPN 集中器 01 |
| GW-RSVSVC01-CAMPUS01 | 园区网关 | Roseville 服务汇聚 01,园区网关 01 |
| AP-RSVBLD01-AG01AC01-01 | 接入点 | Roseville 大楼 1,汇聚交换机 1,接入交换机 1,接入点 1 |
| AP-RSVBLD03-AG03AC01-01 | 接入点 | Roseville 大楼 3,汇聚交换机 3,接入交换机 1,接入点 1 |
IP 地址规划
当部署新网络时,重要的是花时间设计一个能够适应组织和其所服务业务不断变化需求的 IP 地址规划方案。交换机上的回环接口、DHCP 地址池、OSPF 点对点链路以及实现跨网络访问的路由表都应进行规划,以最大程度地减少对操作员和设备的负载。
| IP 地址类型 | 描述 | 示例 |
|---|---|---|
| DHCP 地址池 | 连接到接入交换机的设备。子网由大楼/场地/汇聚定义。子网被注入到路由表中。 | 10.x.x.x/24 |
| 管理接口 | 用于带外管理(OOBM)的专用管理网络 | 172.16.10.x/24 |
| VSX ISL | 只需要两个 IP 地址。IP 不会被注入到路由表中 | 10.99.99.x/30 |
| OSPF 接口 | 每个子网只需要两个 IP 地址。 | 172.18.10X.X/30 |
VLAN 名称与编号
Aruba ESP 最佳实践是使用命名 VLAN。这允许在策略创建时将多个 VLAN 编号归入一个名称中。选择描述其用途的 VLAN 名称。建立一个在增长期间保持一致的 VLAN 编号方案,并且能够与网络中其他地方使用的功能 ID 编号保持一致。
| VLAN 名称 | VLAN 编号 | 描述 |
|---|---|---|
| 员工 | 3 | 已验证的员工访问 |
| PRINTER | 6 | 局域网连接的打印机 |
| REJECT_AUTH | 13 | 认证策略失败的直通VLAN |
| MGMT_VLAN | 15 | 基础设施设备管理接口 VLAN |
: 本指南中使用的示例 VLAN 名称
MAC 地址最佳实践
在必须配置 MAC 地址时,应使用本地管理地址(LAA)。LAA 是一种看起来像以下四个示例之一的 MAC:
x2-xx-xx-xx-xx-xx
x6-xx-xx-xx-xx-xx
xA-xx-xx-xx-xx-xx
xE-xx-xx-xx-xx-xx
x 位置可以是任何有效的十六进制值。创建与相关 VLAN ID 关联的二进制表示会很有帮助,方法是使用十六进制位置。有关 LAA 格式的更多详细信息,请参阅 IEEE Tutorial Guide。
HPE GreenLake
HPE GreenLake 是一个基于云的平台,提供统一的应用和数据体验,同时提供一个 IT 运营模型,以协调边缘、共置、数据中心和多云环境。结合 Aruba Central 与 HPE GreenLake 使用,可以提供一个单一、多功能的平台,用于查看和协调关键网络服务以及数据和计算服务。设备必须添加到 GreenLake 并激活关联订阅,才能使用 Aruba Central。有关设备上线和订阅的更多信息,请参阅 GreenLake Platform。
Aruba Central
Aruba Central,最初是一个独立的云应用,现已无缝集成到 HPE GreenLake 中。这一集成为操作效率和资源管理带来了显著提升。只需点击 HPE GreenLake 仪表板上的 Aruba Central 图标,即可快速访问 Central 的直观健康仪表板和用户友好的管理界面。
本节提供配置 Aruba Central 以准备园区部署的详细信息。必须创建一个组,以配置具有相同角色的设备,并建立一个站点,以监控属于同一位置的设备,确保设备同时被配置在组和站点中。
Aruba Central
从 GreenLake 进入 Aruba Central
以下步骤指导用户从 GreenLake 首页打开 Aruba Central 实例。
在启动之前,必须在公司工作区中添加一个Central实例。
登录 GreenLake 并选择工作区。
点击顶部的 服务 选项卡。
在 Aruba Central 上点击 启动。
创建新组
Aruba Central 使用组和设备级别进行配置任务。设备的最终配置包括在组级别和设备级别应用的配置。设备级别更改的参数会覆盖从组级别继承的配置。建议的最佳实践是在需要时仅在设备级别输入更改,例如配置设备的 IP 地址或名称。大多数更改应在组级别进行,以减少配置时间并确保网络中的配置一致性。
设备必须被配置到一个组并分配许可证,才能从 Central 接收配置。
以下流程创建一个组。该组随后可用于配置具有相同角色的设备。
进入 Aruba Central 首页,并将过滤器设置为 Global。
在左侧导航栏的 Maintain 部分,选择 Organization。
选择 Groups 瓦片。
点击 +(加号)以创建新组。
输入组的 名称。启用 Make this group compatible with New Central 的切换,选择 Group will contain 列表中的适当复选框,然后点击 Next。示例组详细信息如下:
名称: BDG9-AGG01
Make this group compatible with New Central:切换按钮
Group will contain: 勾选标记
有关如何创建模板和自定义变量的详细说明,请参阅Central在线帮助中的 Creating a Configuration Template 部分。
点击 添加。
当在上一步中选择了 接入点 和 网关 时,为设备类型选择架构和网络角色。
重复此步骤以创建所有必需的组。
设置组密码
进入 Aruba Central 并将筛选器设置为 Global。
在左侧导航窗格中,选择 组织,位于 维护 部分。
选择 组 瓦片,然后点击 进入配置。
输入密码。点击 保存。
可以在 Central 的设备级别设置设备专用的管理员密码。要为接入点和网关设置密码,请选择设备标签,然后点击右上角的 配置(齿轮)按钮。
创建新站点
Central 组定义了一组具有共享配置的设备,而站点定义了一组具有共享位置的设备。使用站点来监控和分析网络,使用组来配置类似的设备。与组类似,站点在 组织 导航窗格中创建。应至少定义一个站点,以便 Central 能够生成准确的拓扑和报告数据。
进入 Aruba Central 账户首页,并将筛选器设置为 全局。
在左侧导航窗格中,选择 维护 部分的 组织。
点击 站点 标签。
在底部,点击 新建站点。
在 创建新站点 窗口中,填写站点详细信息,然后点击 添加。以下是站点详细信息的示例。
- 站点名称: 示例站点
- 街道地址: 123 任意街道
- 城市: Santa Clara
- 县: 美国
- 州或省份: 加利福尼亚
邮政编码: 95054
- 重复此步骤以创建每个所需的站点。
管理固件合规性
启用固件合规性以确保组中的设备在相同的固件版本上维护,从设备首次加入组时开始。Aruba建议在初始部署时运行最新的固件版本。
进入Aruba Central主页,并将筛选器设置为相应的组。
在左侧导航窗格中,选择维护部分中的固件。
在接入点页面的右上角,点击设置合规性。
在初始窗口中,点击设置固件合规性滑块。
提供固件详细信息,然后点击保存。下方显示示例固件详细信息。
- 组: EXAMPLE-GROUP
- 固件版本: 最新推荐
- 升级类型: 实时
- 时间: 现在
对所有组重复此操作.
在组中配置设备
本流程概述了将设备添加到中心组以进行配置部署的步骤.
- 进入 Aruba Central 首页,并将筛选器设置为 Global。
- 在左侧导航窗格中,点击维护部分的组织。
点击 组 瓷砖。
- 选择 未配置设备,然后选择要预配置的设备。
点击 配置 按钮。
选择 目标组,然后点击 移动。
在站点中配置设备
本流程概述了将设备添加到站点以进行监控的步骤。
- 进入 Aruba Central 首页,并将过滤器设置为 全局。
- 在维护部分,选择组织。
点击 站点 图块。
选择要移动的设备,并将设备拖动到相应的 站点。
点击 是 以确认移动。
