《Aruba无线网络学习(一)》由会员分享,可在线阅读,更多相关《Aruba无线网络学习(一)(5页珍藏版)》请在金锄头文库上搜索。
1、Aruba 无线网络学习(一)Aruba VRD:Aruba Validated Reference Design 一、 Arubas User-Centric Network Architecture 包含有五个元素: 技术( technology ) 架构( architecture) 服务( services) 应用( applications )二、早期无线网络的情况和问题在早期的无线网络中, Access Point 工作在自治模式下 ( autonomous fashion ),工作方式 更像是网络中的路由器或交换机。 Access Point 被分别独立的管理和维护。在早期的无线
2、网 络,主要是小规模的网络部署,例如在会议室、大厅、休息室等位置。当大量企业用户开始 希望获得无线网络的连接时,工作在自治模式下的Access Point 将会带来管理方面、可靠性方面和安全性方面的问题。针对大量的孤立的Access Point ,维护一个统一的配置将会耗费大量的时间, 并可能产生错误。 在早期无线网络中, 因为每个 Access Point 都是孤立的设备, 任何一个 AP 发生故障都会使网络的可用性无法得到保证。 集中的管理控制台也不能完全满 足需要。从一个安全性的角度出发, 用户并没有真正的享受到无线网络带来的移动性的便利。 这是由于网络管理员在处理无线网络的安全性问题时
3、, 针对无线网络用户的处理方式与远程 拨入用户的处理方式是相同的方式。通常,无线用户被隔离在一个单独的 VLAN 内,并且 位于企业 intranet 的外部。无线用户通过 VPN 集中器采用隧道方式连接到企业网络中,支 持企业级的加密。在早期的无线网络中采用 VPN 技术主要是由于基于端口的安全性限制的 要求。 VLAN 和访问控制主要被指定到端口级别上, 当一个工作在自治模式下的 AP 插入到 一个端口上后, 所有连接到这个 AP 的用户将继承端口的安全设置,而不论是否支持安全设 置。利用基于身份一致性的认证和提供的额外的加密,采用 VPN 的接入方式是第一代无线 网络的安全解决方案。 近
4、些年来, 基于控制器的无线交换架构已经被广泛的采用, 以克服工 作在自治模式下 AP 的限制。三、Aruba 无线网络组成Aruba User-Centric Network 的组成结构的硬件部分主要由两个部分组成, 分别是集中的 移动设备控制器和瘦 AP(thin AP ),两种设备工作在一个已存在的高速网络上。Aruba User-Centric Network 结合了用户的移动性、 基于安全的统一性、 远程访问的移动 汇聚解决方案。 在集中的无线网络模型中,曾经位于自治 AP 的智能性现在集成到一个集中 的无线网络集中控制器中。无线网络集中控制器作为系统的核心,被设计用于高性能的 802
5、.11 数据包处理,移动性处理和安全性处理。无线网路集中控制器被部署在数据中心设备间内或者是管理间内, 并且配置冗余的电源 和网络连接。 AP 被简化为与网络连接的无线设备, 仅完成 air monitoring 功能和网络收发器 的功能。 AP 通过加密的隧道与无线集中控制器连接, AP 为移动控制器提供访问端口的扩 展。并重定向用户的流量到移动控制器进行处理。 Aruba User-Centric Network 在提供无线环 境和无线接入的同时,提供系统的安全保护,以避免未授权的用户和rogue AP。组成 Arubas User-Centric Network Architecture
6、 的元素:(1) Aruba 操作系统( Aruba OS)(2) 可扩展的模块(3) 移动控制器ArubaOS 是 Aruba User-Centric Network 的核心,提供如下功能:(1) 身份认证和加密(2) 提供保护以避免 rogue AP接入( 3)提供快速漫游,实现无缝的移动连接( 4 )自适应的无线管理和分析工具( 5 )无线设备的集中配置( 6 )位置跟踪和其他功能ArubaOS 也可以提供如下的可扩展的功能模块:( 1 )无线网络的入侵保护( 2 )策略增强的防火墙( 3) VPN 服务器( 4)外部服务接口( 5 )语音服务模块( 6 )无线网格网络,高级的网络二层
7、加密。Aruba 移动设备控制器位于网络的中心。移动设备控制器使网络管理员具有以下的能 力:( 1 )管理系统状态( 2 )跨越控制器群,针对单一用户,进行故障定位Aruba AP 通过软件模块和管理员配置的不同角色,可以具有多种的功能。具体可以负 责以下五种角色:( 1) Access Point( 2) Air Monitor( 3) Mesh Portal( 4) Mesh Point( 5) Remote Ap在一些模式下, Aruba AP 可以作为一种远端的数据采集设备,实现 sniffer 功能,帮助 网络排错。1、Access Point:Access Point是最为广泛使用
8、的工作模式。当工作在 Access Point模式下,AP被用于连 接用户到网络中。 AP 作为瘦无线设备,更多的功能由移动设备控制器完成。AP 不处理流量,仅是采用 GRE 技术与控制器建立隧道,并对 802.11 的数据帧进行加密。当 AP 连接到 访问层的交换机时,通常被称为 campus-connected AP 或是 local AP 。2、Air Monitor在Air Monitor模式下,AP作为网络嗅探器工作。Air Monitor查找rogue AP,检测无线环境和有线环境。结合无线入侵检测系统软件授权,可以实现WIDS 传感器的功能,保护网络避免出现违反策略的行为。 Ar
9、uba AP 可以作为 Air Monitor 的专用设备,或按配置的时 段完成 Air monitor 功能。 Aruba 推荐使用专用的 Air Monitor 设备部署用于延迟敏感的应用。 通常一个 Air Monitor 为四个 AP 的工作区域提供安全服务。3、Mesh Portal 或 Mesh PointAP参与到Aruba安全企业网网状网络中,网状网络是环绕在 AP (mesh Portal)的周围 进行建立的。该 AP 具有一个有线的网络连接。一个或多个 Mesh Point AP 能够完成无线回 程和网络流量的桥接。4、Remote AP利用 Remote AP 授权, A
10、P 能够跨越广域网作为一个远程访问接入设备。四、Mobility Management SystemMMS 提供一些工具,帮助管理员理解并使他们管理的无线网络更加形象化。 MMS 可 以被部署在 PC 平台。一个移动设备控制器被指定作为 Master Controller 。 Master Controller 被用来管理 Local Controller 或集群。作为一个集中化的无线网网络的公共特征, 是有能力在相同类型的 AP 上同时支持多种 服务设置标识( SSID:Service Set Identifiers )。根据客户端的功能和服务的需要,每个SSID具有自己的认证和加密设置。
11、依据移动控制器中的强置的状态防火墙, 用户和设备将被指定 一个角色和相关的策略。用户将连接在网络中部署的 RADIUS 服务器和 AP 。通过安装在移 动控制器中的状态防火墙,用户和设备将被指定一个角色,并被强迫与一个安全策略关联。 Aruba 大型无线网络的典型部署采用了分布式的控制和数据平台。利用分层的 Master/Local 策略,使用分离的移动设备控制器集群提供每种服务。 类似于 Cisco 网络系统中的功能划分。Aruba 园区无线网络物理结构参考模型包括以下关键元素:1、Master Controller在数据中心采用两台 MMC-3600设备,配置冗余的 Master Cont
12、roller。Master Controller 连接到分布层交换机上,并启用 VRRP 协议。2、Local ControllerAruba Local Controller 由多服务移动设备模块化刀片组成,在一个 MMC-6000 机箱中。 在 Aruba 的参考设计模型中,这些移动设备控制器工作在 active-active 的冗余工作模式中。 在他们之间共享两个 VRRP 地址。每个移动设备控制器有两个 10G 以太网链路通过一个 Etherchannel 连接到分布层交换机上。3、Access Point双频的 AP65 访问点被部署在整个企业网空间内, 工作在 2.4G 和 5G
13、频率上, 提供高带 宽的访问。 AP 采用密集的方式进行部署, AP 的密集部署方式采用了一种微单元(mircocell )的网络架构方式来覆盖一个区域,并且 AP 采用相对较低的传输功率。在这种设计策略中, 系统启用 ARM (Adaptive Radio Management )功能。当一个 AP 失败,系统通过 ARM 发现 无线网络覆盖的黑洞,并通过与失败 AP 相邻的 AP 上提高功率来关闭无线网覆盖的黑洞。 小的单元也可以保证在无线网络上语音呼叫的负载均衡。4、SSID连接到网络的用户和设备根据状态防火墙的部署来指定一个角色和策略。5、Air MonitorAir Monitor
14、的部署比例是每四台 AP 部署一个 Air Monitor 。Air Monitor 完成与 IDS 相同的功能。帮助描绘出精确的 heat map,显示图形化的 RF数据。Aruba 建议采用专用的移动控制器作为 Air Monitor 。五、Aruba 无线网络结构模型Aruba 园区无线网络逻辑结构参考模型包括三个组成部分:(1)Management Layer (管理层)( 2) Aggregation Layer (聚合层)(3)Wireless Access Layer (无线访问层)1、Management Layer (管理层)Management 层在 Aruba User-
15、Centric Network 中 提供位于 分布式 的控 制层面;Management 层移动控制器提供的关键功能包括:( 1)三层客户端跨 aggregation 层控制器的移动访问;(2) 故障冗余典型的,在大型的园区无线网络中,通常也会把 ARM 功能和 IDS 功能从 aggregation 层迁移到 Management 层来实现。2、Aggregation Layer (聚合层)Aggregation 层是有线网络和无线网络的相互连接点。在 aggregation 层,无线流量被集 中并进出有线网络。安全加密 GRE 隧道由无线访问层( Wireless Access Layer )发起建立,在 Aggregation 层的移动控制器上终结。Aggregation层提供强制执行角色(role)和策略(policy )设置的逻辑点。Aggregation 层移动控制器允许用户的流量与相关联的服务器保持最近的距离。在 Aggregation 层与 Management 层之间的通讯不需要建立隧道来实现。3、Wireless Access Layer (无线访问层)无线访问层是由 AP 组成的。AP 可以连接到有线交换机的交换端口上。Management Layer 、 Aggregation Layer 和 Wireless Access Layer 分别对应于网络架构
