园区叠加fabric
集中式园区fabric
基于用户的隧道技术(UBT)是一种集中式叠加fabric,将部分或全部用户流量隧道到一个集中式网关集群,在该集群中通过防火墙、深度包检测(DPI)、应用可见性和带宽控制等服务实施策略。UBT根据用户或设备角色选择性地隧道流量。隧道可以源自接入点(AP)和/或交换机。策略实施随后在网关集群中进行。
集中式园区fabric易于部署;它为有线和无线用户提供一致的体验;并且可以在网关处实现多种路由和安全功能。使用UBT的集中式fabric的工作方式与Aruba WLAN相同:所有客户端流量集中在网关集群中以执行策略。
集中式fabric最适合小型到中型的分支/园区位置,其中大多数流量是南北向的,目标是外部数据中心或互联网。该模型还使客户能够在使用现有第三方和传统交换机基础设施的核心和汇聚层的同时,逐步采用fabric和基于角色的分段迁移策略。当存在高程度的东西向流量,即在园区内的端点之间发起和终止时,不推荐使用该模型,因为流量到网关集群可能会成为瓶颈。
所有到NAC服务的有线和无线认证流量均来自同一网关集群。因此,在支持大型WLAN和UBT部署时,请考虑对集群施加的负载。
该设计不需要高级Central订阅。
分布式园区fabric
Aruba Central NetConductor 提供了工作流以部署分布式 fabric,作为集中式方法的替代方案,能够在网络的任何地方实施策略。分布式 fabric 是一种基于标准的 BGP-EVPN VXLAN 解决方案,能够提供一致的无环 2层、3层叠加网络,并具有多级分段:基于 VRF 和用户角色。
fabric 由底层网络和一个或多个叠加网络组成。底层网络代表 fabric 的物理网络基础设施。在 NetConductor 解决方案中,底层的所有交换机间链路都配置为路由,并使用内部网关协议分发路由,从而实现等成本多路径(ECMP)路由。NetConductor 底层向导配置点对点路由链路,使用 OSPF 作为路由协议。可以在底层网络之上叠加一个或多个叠加网络,每个叠加网络对应一个单独的 VRF。
BGP EVPN 在整个园区内启用控制平面数据库,以提供分段和无缝漫游,广告 MAC 地址、MAC/IP 绑定、IP 前缀。该解决方案使用对称 IRB 和分布式任播网关来发现和广告远程 fabric 设备,并通过 EVPN 类型 2 和 5 路由广告 MAC 地址及 MAC/IP 绑定。借助路由区分符(RD),这是一个在 VRF 内广告地址前加的唯一数字,园区 fabric 可以支持不同租户之间重叠的 IP 地址和 MAC。
分布式园区 fabric 中的无线基础设施使用 AOS 10 网关和配置了隧道 WLAN SSID 的接入点(AP)。无线客户端流量从接入点到网关采用 GRE/IPsec 封装,以适应大型漫游园区域。网关将数据流量封装在 VXLAN 中,在报文头中插入角色 ID,并将数据包转发到 EVPN fabric。
无线客户端的身份验证和角色分配发生在接入点(AP)上;然而,针对无线客户端的身份验证流量通过网关集群代理到ClearPass或其他身份验证提供者。 有线客户端的身份验证直接来源于与有线客户端连接的交换机。 ClearPass策略管理器根据身份验证结果分配用户角色。 这种角色分配可以启用动态VLAN分配和基于角色的策略执行,适用于有线和无线基础设施。
该解决方案允许企业级定义通用用户角色和基于角色的策略,这些策略可以同时应用于有线和无线客户端。 用户角色和策略在Aruba Central中定义一次;无需为不同类型的网络设备创建单独的策略。 策略被配置到fabric设备,并在角色到角色的策略的目的地出口点和所有其他策略的源入口点执行。
与集中式fabric相比,分布式fabric设计的一个关键优势是在园区内的任何点都具备分布式策略执行能力。此外,用户流量不需要转发到集中式集群进行策略执行,因此可以在汇聚交换机上处理跨VLAN路由,以实现更高效的流量流动。此外,使用分布式fabric与3层底层网络配合良好,能够实现基于ECMP的高效路由,并在链路之间进行负载分配。
NetConductor分布式园区fabric中的所有设备都需要高级Central订阅。