一般术语
Aruba Central
Aruba Central,云/本地/即服务,是一个交付平台,供客户部署、管理、监控和优化 WLAN、LAN、VPN 和 SD-WAN 解决方案,采用统一管理流程。
Central 是一个基于云原生微服务的平台,提供关键环境所需的可扩展性和弹性,以及 AI 见解。与本地解决方案相比,Central 更具适应性、可预测性,并且具有内置冗余的水平可扩展性。
Central 提供智能工作流,以部署端到端的 Aruba Central NetConductor 解决方案——BGP EVPN VXLAN fabric、基于 AI 的机器学习用于终端设备配置文件,以及一致的全网基于角色的访问策略。
BUM
广播、未知单播和多播流量的简写。
Network Access Control (NAC)
网络访问控制(也称为网络准入控制)用于在授予用户和设备访问网络之前进行身份验证,并控制它们在连接时可以访问的资源。设备和用户的配置文件以及健康检查通常会集成到此过程中。
aruba NetConductor 与 aruba ClearPass 策略管理器、aruba CloudAuth 和第三方 NAC 解决方案集成。
fabric 术语
Aruba Intelligent Forwarding(FIB Optimization)
在BGP EPVN VXLAN部署中,主机路由在fabric站点内的交换机VTEP之间共享。大多数主机之间几乎不进行通信,因为流量从主机流向核心的频率远高于主机之间的流量。为了防止在大型企业部署中硬件表填满,Aruba Intelligent Forwarding仅在数据平面中安装活动的EVPN主机路由,如果不使用,这些路由会定期失效,以确保转发信息库(FIB)得到优化。
VLAN Client Presence Detect
该特点在Fabric Edge设备上启用,以确保映射到VLAN的VNI仅在交换机上检测到客户端时处于活动状态。所有接入交换机上配置VLAN以确保配置一致性,BGP EVPN向具有关联的VLAN到VNI映射且状态为活动的fabric设备通告主机条目。保持VLAN处于关闭状态直到客户端出现,也使VNI状态保持关闭,从而减少在fabric设备上学习到的条目数量。
Border Leader
在多fabric部署中,可以通过边界领导交换机避免VXLAN隧道的全网状连接。该设备与同一站点或区域内的所有边界交换机建立eBGP对等连接,并与不同站点/区域的其他边界领导者建立eBGP对等连接。边界领导者和边界交换机自动与其他边界领导者和边界交换机建立VXLAN隧道,利用BGP EVPN控制平面为2层/3层流量提供全网状隧道到隧道的转发。边界领导交换机在必要时也可以作为其自身fabric的边界交换机。
Centralized L3 Gateway
提供3层转发的VTEP用于VXLAN的叠加网络。该Fabric设备连接到外部网络和其他VTEP,以提供2层功能。
Centralized Overlay
基于用户的隧道(UBT)是一种集中式叠加,允许管理员将指定的用户流量隧道传输到网关集群,以利用防火墙、深度包检测(DPI)、应用可见性和带宽控制等服务来执行策略。UBT 根据用户或设备角色选择性地隧道流量。
Distributed Overlay
分布式叠加网络是基于高可用性底层使用EVPN-VXLAN构建的,并与基于全球角色的全面策略微分段相结合,覆盖整个网络基础设施。基于角色的策略将策略从底层网络中抽象出来,能够实现灵活和简化的策略定义与执行。
Distributed L3 Anycast Gateway
在fabric交换机上配置了一个公共网关IP和MAC地址,以便为直接连接的主机提供优化的3层转发。3层流量从边缘交换机直接路由到目的地。
Downloadable User Role
CPPM仅作为RADIUS认证器,并指向客户端的角色名称。交换机通过HTTP从CPPM HTTP服务器下载角色的配置。
Dynamic Segmentation
动态分段通过基于身份对流量进行分段,并在有线、无线和广域网网络中关联一致的基于角色的访问和策略,从而为用户和设备建立最小权限访问。
Dynamic VXLAN Tunnel encapsulation
为了实施针对跨IP网络或第三方SD-WAN fabric站点的基于角色的策略,SD-Branch网关使用VXLAN-GBP和IPSEC对客户端流量进行封装,其中在VXLAN头部的组策略ID中包含源角色信息。源站点和目标站点的SD-Branch网关本地处理分片/重组,而无需更改WAN线路上的MTU。
Fabric
Fabric 是一个基于 BGP EVPN VXLAN 的叠加网络,旨在提供安全的 2层 和 3层 服务,具备宏观分段和基于角色的分段。分布式 fabric 站点由控制平面(Router-Reflector)、接入交换机(Edge)、互联网边缘(border)、移动网关和接入点、无线服务汇聚交换机(stub)以及可选的中间交换机构成。在 Aruba Central NetConductor 解决方案中,fabric 站点是一个跨 fabric 设备的 iBGP EVPN 部署。
Group-Based Policy
在Aruba Central NetConductor解决方案中实施的分布式策略架构提供了一种在所有网络设备上定义和执行一致且高效的策略的方法。
该策略在出口交换机处执行。目标交换机根据VXLAN组策略ID中携带的源角色和直接连接到它的客户端的目标角色来决定,然后相应地转发或丢弃流量。
Local User Role
角色和策略在交换机上本地配置。CPPM仅作为RADIUS认证器,并指向客户端或端点的角色名称。
Role
用户和终端根据其网络功能进行分组,并被分配角色。NAC解决方案确保在使用Radius Aruba VSA Aruba-User-Role分配角色之前,用户和终端经过身份验证。基于源的角色即使在设备在不同位置进行身份验证或设备被分配不同的IP地址时仍然有效。该角色在入口VTEP的源处映射到组策略ID。
Static VXLAN
静态VXLAN(也称为单播VXLAN)是连接两个VTEP的最简单方法。在此方法中,VXLAN在VXLAN数据平面中使用洪泛学习技术来学习主机的地址。
VTEP
VXLAN 隧道端点 (VTEP) 是一种支持 VXLAN 的设备,负责封装和解封装数据包。交换机和网关可以作为 2层 或 3层 VXLAN 网关,充当 VTEP。
VXLAN
虚拟扩展局域网(VXLAN)是一种基于MAC-in-UDP封装的技术,提供了跨IP网络的2层连接。每个VXLAN(8字节)头部通过一个24位的VXLAN ID唯一标识,该ID称为VXLAN网络标识符(VNI),用于以与传统VLAN ID相同的方式对每个2层子网进行分段。
VXLAN Network
VXLAN网络功能采用洪泛学习方法,要求VTEP之间实现全网状连接以避免环路。每个VTEP默认启用脑裂。全网状连接确保BUM流量被传送到特定桥接VLAN的所有VTEP。
VXLAN-GPO
虚拟扩展局域网(VXLAN)组策略选项在VXLAN头中使用一个保留的16位标识符,以携带组标识符和VNI,旨在扩展分段并应用一致的基于组的策略。Aruba对VXLAN-GPO的实现使用13位标签,而不是16位标签,忽略高三位或将高三位设置为“0”,以便于互操作性。
交换机角色
Edge
提供BGP EPVN、VXLAN隧道入口/出口功能的接入交换机,具备基于身份验证的角色分配功能以及基于组的策略执行以实现网络接入。
Extended Edge
2层接入交换机将静态VXLAN隧道的入口/出口连接到上游Edge(不使用BGP EVPN),并为终端设备提供基于身份验证的角色分配以及基于组的策略执行以控制网络接入。用于在扩展Edge网络设计中增加可用的网络规模。
Access
传统的2层接入交换机不支持BGP EVPN、VXLAN、角色分配或基于组的策略执行。交换机可以对终端进行身份验证,并支持动态VLAN或端口接入策略。
Border
边界交换机提供了fabric与fabric外部服务之间的连接,包括(但不限于)互联网接入。
Route Reflector
核心交换机被配置为BGP路由反射器,以共享EVPN可达性信息并减少fabric内的对等会话数量。
Stub
Stub 交换机通过静态 VXLAN 隧道连接到下游交换机,以接入基于 EVPN 的 fabric。Stub 交换机可用于服务汇聚、接入汇聚或两者兼而有之。
服务汇聚交换机承载无线客户端网关功能,并通过静态 VXLAN 在无线网关与有线 fabric 之间扩展基于组的策略。
接入汇聚交换机承载扩展边缘交换机的网关功能,并将静态 VXLAN 转发至 BGP EVPN VXLAN Fabric。
Intermediate Switch
在数据路径中,任何不参与BGP/EVPN/VXLAN路由的交换机。部署可以使用任何具备能力的交换机或路由器作为中间设备。底层编排仅支持AOS-CX交换机作为中间设备。可以使用AOS-S、Comware或第三方交换机,但这需要手动配置底层网络。