文:戴致禮 精誠資訊/恆逸教育訓練中心資深講師
Aruba Networks前身稱為Aruba Wireless Networks,該公司由Keerti Melkote和Pankaj Manglik於2002年在美國加利福尼亞州桑尼維爾(Sunnyvale)成立,惠普在2015年5月19日宣布以約30億美元的價格完成收購,截至目前為止,該公司是以Hewlett Packard Enterprise(HPE)公司的子公司運營。
Aruba Networks公司產品線非常豐富,涵蓋了企業無線行動網路、有線網路交換器、網管系統與AI人工智能、SD-WAN、與網路安全解決方案等,不僅如此,Aruba Networks公司更是非常優秀地連續16年取得第三方公正評比單位Gartner魔術象限的領導者稱號,另有FORRESTER與IDC評比單位也都獲得相當優異的成績。
Aruba Networks公司在2016年9月發表在業界引起相當震撼的無線行動網路作業系統ArubaOS 8(目前已來到版本8.9),並在這個被稱為Mobile First platform(行動優先平台)裡增添大量全新的功能,本篇文章介紹其中五項重要功能。
一、AOS 8.X全新架構-Mobility Master + Mobility Controller
ArubaOS在8.X版本推出Mobility Master + Mobility Controller的全新架構,取代了以前版本的Master Controller/Local Controller傳統架構,Mobility Master(簡稱MM,行動主控台)是整個新版架構的核心,也是你集中設定整個Aruba系統的地方-包含行動主控台本身與所有被管理的裝置(簡稱MD,Managed Devices),Mobility Master會先行作組態的檢驗,再將完整的組態推送到所有被管理的控制器。
另外可在Mobility Master上安裝與運行AirMatch、AirGroup、WebCC等應用的服務模組,稱為Loadable Service Modules(簡稱LSM,可載入的服務模組),LSM功能使你能夠動態升級個別的應用與服務模組,不須要重啟整個Aruba控制器,可大為改善與簡化Aruba 8.X系統的管理與維護。
註:ArubaOS 8.9版本將Mobility Master改名為Mobility Conductor。
二、MultiZone(多區域功能)
所謂Zone(區域)是指在單一管理域下的一群控制器的集合,而MultiZone AP(多區域AP)是指可以同時與不同區域的控制器建立通道的AP。MultiZone feature(多區域功能)允許使用同一台MultiZone AP連接訪客和公司員工,二者具有不同的SSID,可分別與位於不同Zone的不同控制器來建立通道,這樣可以改進訪客和公司員工之間流量的分隔。
例如:如圖有兩個不同的Zone-Primary Zone(位於企業骨幹網路區)與Data Zone(位於防火牆DMZ區),還有一台MultiZone AP具有兩個不同的SSID-CorpNet與GuestNet。公司員工連接CorpNet SSID,該員工流量便可以沿著這台Multi-Zone AP與位於Primary Zone裡的控制器所建立的通道,和公司的骨幹網路相通;而訪客則是連接同一台AP的GuestNet SSID,使得訪客流量可以藉由另一條與位於Data Zone裡的控制器所建立的通道,直接抵達防火牆的DMZ區,然後再進入Internet,如此便可使得訪客流量與員工流量不致相混,造成資安的重大疑慮。
三、MC Clustering(行動控制器集群功能)
在ArubaOS 8.X版本,我們可以將數台Mobility Controllers(簡稱MC,行動控制器)組成一個MC Cluster(行動控制器集群),並且在該群集中選拔出Active and Standby AAC(AP Anchor Controller)與Active and Standby UAC(User Anchor Controller)等四種角色,目的是在提供完全的Redundancy方案給所有連接的AP與用戶-包括seamless client roaming(無縫式的漫遊),hitless client and AP failover(無中斷式的故障切換)、與client and AP load balancing(負載平衡)。
四、Tunneled node(通道節點功能)
一般而言,大多數企業的有線網路是沒有管理的,有線用戶流量經常是未加密的;或者其有線和無線網路是兩個獨立分開的架構,各自使用不同的身份驗證方法和安全策略。通過在ArubaOS switch啟動Tunneled node(通道節點功能),在交換器與Mobility Controller之間建立GRE通道,我們便可以集中在Mobility Controller端實施有線與無線用戶一致的防火牆資安策略。
ArubaOS 8.X提供兩種形式的通道節點-Port-based tunneling(PBT)與User-based tunneling(UBT),其中User-based tunneling又稱為Role-based tunneling,當有線用戶連接上交換器端口時,會先和Radius伺服器進行認證,如果認證成功,Radius伺服器則會回傳1個角色值(Role),告訴交換器進行轉向,並與Mobility Controller建立GRE通道,然後在Mobility Controller端實施符合該角色值的防火牆規則。
五、Remote Access(遠端存取解決方案)-RAP & VIA
作為Aruba遠端存取解決方案-我們可以在小型分支據點或家庭辦公室部署RAP(Remote AP),在家工作者也可以在個人筆電裡安裝VIA用戶端軟體(Virtual Intranet Access),二者都可以在Internet上使用IPSec VPN安全連線回總公司Mobility Controller。
大多數RAP/VIA的部署使用Split-tunnel forwarding mode,該轉發模式是由split-tunnel防火牆策略來決定哪些流量是通過IPSec通道傳輸,哪些流量是在本地作橋接。
結語:
HPE Aruba在ArubaOS 8.X版本推出Mobility Master + Mobility Controller的全新架構,這種架構不僅可以在Mobility Master端集中設定整個Aruba系統,還可以運行諸多進階功能。基於篇幅限制,以上只是扼要的介紹,您可以前往Aruba官方網站(https://www.arubanetworks.com)查詢相關技術文件,或是翻到後面的Aruba課程簡介頁面,進一步詳細了解Aruba原廠所推出的認證培訓課程-「ACMA認證」與「ACMP認證」。另外值得一提的是,Aruba在上述兩門培訓課程裡,設計了完整的實驗拓樸與步驟,使得參加學員都能沉浸在Aruba行動網路的最佳學習體驗裡!
0 意見:
張貼留言