多站点设计
Aruba Central NetConductor 解决方案扩展了在地理分布的企业部署中,通过任何 WAN 或 SD-WAN 环境互联的站点,拉伸分段的能力——包括 VRF、用户角色和策略。这使得企业能够在全球范围内定义用户角色、分段和政策,从而简化和标准化安全结构及其执行。
该解决方案支持通过以下方式互联的多站点部署:
Aruba EdgeConnect SD-Branch fabric
Aruba EdgeConnect SD-WAN fabric
任何第三方 WAN 或 SD-WAN fabric
Aruba EdgeConnect SD-Branch fabric
Aruba EdgeConnect SD-Branch 将无线、有线和广域网基础设施与统一管理能力相结合,这些能力包括保障、编排和安全,以简化远程分支位置的设计、部署、配置和管理。
Aruba Central 提供了管理、编排、AIOps 和安全可视性的“单一视图”,适用于有线、无线和 SD-WAN 网络。该基于云的管理平台提供零接触配置(ZTP),以快速引导网络设备并准确配置远程位置的所有接入基础设施。Aruba Central 还托管 SD-WAN 编排器,使得在 SD-Branch 网关之间动态构建和扩展站点到站点的 IPsec 隧道及路由传播成为可能。
每个站点的 ArubaOS 10 SD-Branch 网关提供完整的 SD-LAN 功能。根据分支的规模,企业可以部署 2层 或 3层 设计以提供网络连接,并使用集中式叠加,使 SD-Branch 网关能够为无线客户端托管 WLAN 网关,并为有线客户端提供基于用户的隧道网关。由于所有流量集中在 SD-Branch 网关,部署可以利用集中式策略和一致的安全执行,以适用于站点内的有线和无线客户端。
具有集中式 EdgeConnect SD-Branch 的多站点 fabric 使得角色传播能够跨广域网实现。通过将用户角色信息映射到 VXLAN 基于组的策略标签,然后在 SD-Branch WAN 环境中通过 IPSEC 封装该标签,从而实现站点之间 SD-Branch 网关之间的角色传播。
ArubaOS 10 SD-Branch 网关具备内置智能,能够管理 IPSEC 加密数据包的分片和重组,同时保留角色信息。这使得部署能够在 SD-WAN 环境中保留角色信息,而无需强制更高的 MTU 要求。EdgeConnect SD-Branch 解决方案提供灵活性,可以根据需要在每个子网基础上选择性地启用极点传播,以满足网络要求。
Aruba EdgeConnect SD-WAN fabric
Aruba EdgeConnect SD-WAN Edge 平台可以部署在远程分支位置的物理或虚拟设备上,或在任何常见的虚拟化平台和公共云上,从而使客户能够构建业务意图叠加,结合智能路径调节,并在所有 WAN 线路上提供安全连接。
Aruba EdgeConnect SD-WAN fabric 解决方案由三个核心组件组成:EdgeConnect Edge 平台、SD-WAN 编排器和 WAN 优化。Aruba SD-WAN 编排器提供集中管理、配置和策略配置、监控、警报和报告功能,适用于 SD-WAN Edge 平台。
Aruba EdgeConnect SD-WAN fabric 与 NetConductor 解决方案的集成使组织能够扩展分段(VRF 和用户角色),并在 SD-WAN 环境及企业不同站点利用全球策略。
SD-WAN 编排器版本 9.4.1 及以上版本支持开放标准 BGP EVPN VXLAN 功能,使部署能够定义 VXLAN 3层 VNIs,将路由段映射到 3层 VNIs、角色,并与 LAN fabric 建立 BGP EVPN 对等连接。
如果 LAN 网络不支持 VXLAN,则在 EdgeConnect Edge 平台上启用的 RADIUS 嗅探可以在身份验证和授权期间直接从 RADIUS 事务中推导角色,或通过 API 集成记录来自 Aruba ClearPass 策略管理器的登录和注销事件。
用户角色可以通过 VXLAN 数据包或 RADIUS 嗅探学习。EdgeConnect SD-WAN 解决方案可以利用这些角色来定义和执行细粒度的安全策略。EdgeConnect SD-WAN Edge 平台在 IPSEC 隧道中插入用户角色信息,保留分段信息,同时在 SD-WAN 环境中提供先进的网络和应用性能优化。
如上图所示,Aruba CX 交换机建立 iBGP EPVN VXLAN 隧道以扩展段,提供分段,并在局域网环境中实施基于角色的策略。目标为互联网或远程站点的流量被发送到边界进行外部路由。EdgeConnect 支持 BGP EVPN VXLAN,因此边界设备可以与 EdgeConnect SD-WAN Edge 平台建立 eBGP EVPN 邻接关系,以在 SD-WAN 环境的数据平面中扩展分段信息。
EdgeConnect 设备映射从 VXLAN 学习到的分段(VRF)和用户角色信息,并通过 IPSEC 数据包在 SD-WAN fabric 中原生传输这些信息到远程站点。Aruba CX 交换机与 EdgeConnect WAN 路由器之间的数据平面集成使客户能够在地理站点之间大规模定义全球级分段、用户角色和基于角色的策略。EdgeConnect 设备可以利用分段信息并定义基于角色的防火墙、SASE 和 WAN 优化策略,以优化 SD-WAN fabric 中的流量。
第三方 WAN 或 SD-WAN fabric
集中式多站点 fabric 与 Aruba SD-Branch 部署使 ArubaOS 10 网关能够充当 WLAN、基于用户的隧道网关,并在 WAN 或第三方 SD-WAN 网络上实现站点之间的连接和角色传播。
ArubaOS 10 网关作为无线客户端的 WLAN 和作为有线客户端的基于用户的隧道网关,同时也是每个站点内有线和无线客户端的集中策略执行点。为了对穿越 WAN 或第三方 SD-WAN fabric 的流量实施基于角色的策略,Aruba OS 网关在将流量传输到 WAN 环境之前,将客户端角色信息与 VXLAN 头和 IPSEC 加密进行封装。
ArubaOS 10 网关内置智能,能够对带有角色信息的 IPSEC 加密数据包进行分片和重组。这使得 ArubaOS 10 网关的部署能够在任何 WAN 环境中保留角色信息,而无需强制更高的 MTU 要求,并在环境中实施一致的独立于位置的基于角色的策略。角色传播可以在每个子网基础上选择性启用,以支持第三方 WAN 部署。
多站点网络中的网络接入策略
通过在多个 fabric 中扩展 VRF 和用户角色,可以在整个网络中为有线和无线用户及设备实施全球用户角色和一致的基于组的策略,同时利用 NAC 解决方案进行身份验证和授权。
基于组的策略的执行方式如下:
有线客户端之间的流量在目的地出口交换机接口处执行。
无线客户端之间的流量在站点内的移动网关集群处执行。
跨站点的无线客户端之间的流量在目的地移动网关集群处执行。
从有线客户端到无线客户端的流量在站点内的移动网关集群处执行。
从有线客户端到不同站点的无线客户端的流量在目的地移动网关集群处执行。
从无线客户端到有线客户端的流量在目的地出口交换机接口处执行。
具有非“用户角色”目的地的接入策略在源入口接口处执行。