说明:工作过程中接触到了Aruba无线网络设备,并在其网站上下载了技术文档。文档是英文的,看起来有一点费劲。只好一边翻译,一边学习,一边记笔记。水平有限,难免有错误的地方,请大家帮助指正。
Aruba VRD:Aruba Validated Reference Design 一、Aruba's User-Centric Network Architecture包含有五个元素:
技术(technology)
架构(architecture)
服务(services)
应用(applications)
二、早期无线网络的情况和问题
  在早期的无线网络中,Access Point工作在自治模式下(autonomous fashion),工作方式更像是网络中的路由器或交换机。Access Point被分别独立的管理和维护。在早期的无线网络,主要是小规模的网络部署,例如在会议室、大厅、休息室等位置。当大量企业用户开始希望获得无线网络的连接时,工作在自治模式下的Access Point将会带来管理方面、可靠性方面和安全性方面的问题。针对大量的孤立的Access Point,维护一个统一的配置将会耗费大量的时间,并可能产生错误。在早期无线网络中,因为每个Access Point都是孤立的设备,任何一个AP发生故障都会使网络的可用性无法得到保证。集中的管理控制台也不能完全满足需要。从一个安全性的角度出发,用户并没有真正的享受到无线网络带来的移动性的便利。这是由于网络管理员在处理无线网络的安全性问题时,针对无线网络用户的处理方式与远程拨入用户的处理方式是相同的方式。通常,无线用户被隔离在一个单独的VLAN内,并且位于企业intranet的外部。无线用户通过×××集中器采用隧道方式连接到企业网络中,支持企业级的加密。在早期的无线网络中采用×××技术主要是由于基于端口的安全性限制的要求。VLAN和访问控制主要被指定到端口级别上,当一个工作在自治模式下的AP插入到一个端口上后,所有连接到这个AP的用户将继承端口的安全设置,而不论是否支持安全设置。利用基于身份一致性的认证和提供的额外的加密,采用×××的接入方式是第一代无线网络的安全解决方案。近些年来,基于控制器的无线交换架构已经被广泛的采用,以克服工作在自治模式下AP的限制。
三、Aruba无线网络组成
  Aruba User-Centric Network的组成结构的硬件部分主要由两个部分组成,分别是集中的移动设备控制器和瘦AP(thin AP),两种设备工作在一个已存在的高速网络上。
  Aruba User-Centric Network结合了用户的移动性、基于安全的统一性、远程访问的移动汇聚解决方案。在集中的无线网络模型中,曾经位于自治AP的智能性现在集成到一个集中的无线网络集中控制器中。无线网络集中控制器作为系统的核心,被设计用于高性能的802.11数据包处理,移动性处理和安全性处理。
  无线网路集中控制器被部署在数据中心设备间内或者是管理间内,并且配置冗余的电源和网络连接。AP被简化为与网络连接的无线设备,仅完成air monitoring功能和网络收发器的功能。AP通过加密的隧道与无线集中控制器连接,AP为移动控制器提供访问端口的扩展。并重定向用户的流量到移动控制器进行处理。Aruba User-Centric Network在提供无线环境和无线接入的同时,提供系统的安全保护,以避免未授权的用户和rogue AP。
  组成Aruba's User-Centric Network Architecture的元素:
    (1)Aruba操作系统(Aruba OS)
    (2)可扩展的模块
     (3)移动控制器
  ArubaOS是Aruba User-Centric Network的核心,提供如下功能:
    (1)身份认证和加密
    (2)提供保护以避免rogue AP接入
    (3)提供快速漫游,实现无缝的移动连接
    (4)自适应的无线管理和分析工具
    (5)无线设备的集中配置
    (6)位置跟踪和其他功能
  ArubaOS也可以提供如下的可扩展的功能模块:
    (1)无线网络的***保护
    (2)策略增强的防火墙
    (3)×××服务器
    (4)外部服务接口
    (5)语音服务模块
    (6)无线网格网络,高级的网络二层加密。
  Aruba移动设备控制器位于网络的中心。移动设备控制器使网络管理员具有以下的能力:
    (1)管理系统状态
    (2)跨越控制器群,针对单一用户,进行故障定位
  Aruba AP通过软件模块和管理员配置的不同角色,可以具有多种的功能。具体可以负责以下五种角色:
    (1)Access Point
    (2)Air Monitor
    (3)Mesh Portal
    (4)Mesh Point
    (5)Remote Ap
  在一些模式下,Aruba AP可以作为一种远端的数据采集设备,实现sniffer功能,帮助网络排错。
1、Access Point:
  Access Point是最为广泛使用的工作模式。当工作在Access Point模式下,AP被用于连接用户到网络中。AP作为瘦无线设备,更多的功能由移动设备控制器完成。AP不处理流量,仅是采用GRE技术与控制器建立隧道,并对802.11的数据帧进行加密。当AP连接到访问层的交换机时,通常被称为campus-connected AP或是local AP。
2、Air Monitor
  在Air Monitor模式下,AP作为网络嗅探器工作。Air Monitor查找rogue AP,检测无线环境和有线环境。结合无线***检测系统软件授权,可以实现WIDS传感器的功能,保护网络避免出现违反策略的行为。Aruba AP可以作为Air Monitor的专用设备,或按配置的时段完成Air monitor功能。Aruba推荐使用专用的Air Monitor设备部署用于延迟敏感的应用。通常一个Air Monitor为四个AP的工作区域提供安全服务。
3、Mesh Portal或Mesh Point
  AP参与到Aruba安全企业网网状网络中,网状网络是环绕在AP(mesh Portal)的周围进行建立的。该AP具有一个有线的网络连接。一个或多个Mesh Point AP能够完成无线回程和网络流量的桥接。
4、Remote AP
  利用Remote AP授权,AP能够跨越广域网作为一个远程访问接入设备。
四、Mobility Management System
  MMS提供一些工具,帮助管理员理解并使他们管理的无线网络更加形象化。MMS可以被部署在PC平台。
  一个移动设备控制器被指定作为Master Controller。Master Controller被用来管理Local Controller或集群。
  作为一个集中化的无线网网络的公共特征,是有能力在相同类型的AP上同时支持多种服务设置标识(SSID:Service Set Identifiers)。根据客户端的功能和服务的需要,每个SSID具有自己的认证和加密设置。依据移动控制器中的强置的状态防火墙,用户和设备将被指定一个角色和相关的策略。用户将连接在网络中部署的RADIUS服务器和AP。通过安装在移动控制器中的状态防火墙,用户和设备将被指定一个角色,并被强迫与一个安全策略关联。Aruba大型无线网络的典型部署采用了分布式的控制和数据平台。利用分层的Master/Local策略,使用分离的移动设备控制器集群提供每种服务。类似于Cisco网络系统中的功能划分。
  Aruba园区无线网络物理结构参考模型包括以下关键元素:
1、Master Controller
  在数据中心采用两台MMC-3600设备,配置冗余的Master Controller。Master Controller连接到分布层交换机上,并启用VRRP协议。
2、Local Controller
  Aruba Local Controller由多服务移动设备模块化刀片组成,在一个MMC-6000机箱中。在Aruba的参考设计模型中,这些移动设备控制器工作在active-active的冗余工作模式中。在他们之间共享两个VRRP地址。每个移动设备控制器有两个10G以太网链路通过一个Etherchannel连接到分布层交换机上。
3、Access Point
  双频的AP65访问点被部署在整个企业网空间内,工作在2.4G和5G频率上,提供高带宽的访问。AP采用密集的方式进行部署,AP的密集部署方式采用了一种微单元(mircocell)的网络架构方式来覆盖一个区域,并且AP采用相对较低的传输功率。在这种设计策略中,系统启用ARM(Adaptive Radio Management)功能。当一个AP失败,系统通过ARM发现无线网络覆盖的黑洞,并通过与失败AP相邻的AP上提高功率来关闭无线网覆盖的黑洞。小的单元也可以保证在无线网络上语音呼叫的负载均衡。
4、SSID
  连接到网络的用户和设备根据状态防火墙的部署来指定一个角色和策略。
5、Air Monitor
  Air Monitor的部署比例是每四台AP部署一个Air Monitor。
  Air Monitor完成与IDS相同的功能。
  帮助描绘出精确的heat map,显示图形化的RF数据。
  Aruba建议采用专用的移动控制器作为Air Monitor。
五、Aruba无线网络结构模型
  Aruba园区无线网络逻辑结构参考模型包括三个组成部分:
    (1)Management Layer(管理层)
    (2)Aggregation Layer(聚合层)
    (3)Wireless Access Layer(无线访问层)
1、Management Layer(管理层)
  Management层在Aruba User-Centric Network中提供位于分布式的控制层面;Management层移动控制器提供的关键功能包括:
    (1)三层客户端跨aggregation层控制器的移动访问;
    (2)故障冗余
  典型的,在大型的园区无线网络中,通常也会把ARM功能和IDS功能从aggregation层迁移到Management层来实现。
2、Aggregation Layer(聚合层)
  Aggregation层是有线网络和无线网络的相互连接点。在aggregation层,无线流量被集中并进出有线网络。
  安全加密GRE隧道由无线访问层(Wireless Access Layer)发起建立,在Aggregation层的移动控制器上终结。
    Aggregation层提供强制执行角色(role)和策略(policy)设置的逻辑点。
   Aggregation层移动控制器允许用户的流量与相关联的服务器保持最近的距离。
   在Aggregation层与Management层之间的通讯不需要建立隧道来实现。
3、Wireless Access Layer(无线访问层)
   无线访问层是由AP组成的。
   AP可以连接到有线交换机的交换端口上。
  Management Layer、Aggregation Layer和Wireless Access Layer分别对应于网络架构中的Core Layer、Distribution Layer和Access Layer,用于构建一个无缝的、安全的、高性能的网络。任何一种Aruba移动无线控制器都可以用于Management Layer和Aggregation Layer设备。在小型的无线网络中,一个单一的移动控制器可以提供Management Layer和Aggergation Layer的功能。在Aggregation Layer上需要配置作为安全隧道的终结器,同时需要在Aggregation Layer上强置执行安全策略和角色的设置,因此,在Aggregation Layer上需要更强大的性能。
六、移动控制器的部署
  移动控制器的部署需要考虑多种因素,其中最重要的因素是确定用户流量最终流向的方向。
1、Master控制器的部署
  在Aruba认证的无线网络架构中,Master控制器在物理位置上位于数据中心,在逻辑位置上位于Management Layer;在Aruba无线网络中,采用Master/Local的无线网络规划设计方案,系统的配置在Master控制器上完成,然后推入到Local控制器上。在Master控制器上完成以下的任务:
    (1)用户排错
    (2)无线频率的规划
    (3)实时的无线频率的图形化
    (4)负责处理WIDS事件
    (5)负责处理与定位服务相关的算法。利用网络中AP的信号强度可以计算出客户端的位置和rogue AP的位置。
  Master控制器控制以下工作:
    (1)Local控制器的ARM决策
    (2)控制Wireless Access Layer的无线功率
    (3) 控制Wireless Access Layer的通道设置
  如果无法连接Master控制器,网络仍然能够继续工作,但是有一部分功能将无法实现,包括:
    (1)设备的配置操作
    (2)heat map分析
    (3)定位服务
2、Local控制器的部署
  Local控制器在物理位置上位于分布层,在逻辑位置上位于Aggregation Layer。Local控制器处理以下任务:
    (1)用户认证
    (2)AP termination(AP终结)
    (3)Policy的强制实施
  在配置Local控制器时,需要了解Master控制器的IP地址和两者之间用于通信加密的Pre-shared key。所有移动控制器之间的控制通道采用IPSec加密连接进行保护。