阿鲁巴岛SD-LAN
Aruba SD-Branch解决方案提供了一个来自Aruba Central的集中控制平面,该平面基于云本地、多租户架构,可自动扩展到客户的网络增长。完成SD-WAN的部署后,分支网关后的SD-LAN是下一个。
为了处理基本拓扑,分支站点采用非隧道化的二层交换方式,用于简单的布线设计;对于需要更多IP子网和接入柜的大型复杂站点,采用三层交换方式。如果需要微分割,流量可以从有线交换机和ap隧道到bgw,以提供额外的安全性。
非隧道二层有线接入
在本次设计中,BGW为站点提供三层服务。交换机使用vlan进行分段,这允许您以相同的方式配置您的接入交换机,以进一步降低设计的复杂性。使用相同的交换机硬件和特性配置可以节省成本,因为操作成本更低,维护的备件更少。
接入交换机与BGW之间通过集群方式实现vlan的映射。BGW作为各IP子网的IP默认网关,向终端设备提供DHCP服务。DHCP也可以集中在头端位置。交换机通过管理VLAN中的DHCP客户端获取IP地址。
非隧道第三层有线接入
在本设计中,汇聚交换机为站点提供三层业务。二层接入交换机使用多个vlan,汇聚到汇聚交换机上,实现vlan间的映射。汇聚交换机作为每个IP子网的IP默认网关,向终端设备提供DHCP服务。DHCP也可以集中在头端位置或数据中心。二层接入交换机通过管理VLAN中的DHCP客户端获取IP地址。汇聚交换机通过三层端口路由到bgw。guest VLAN使用第二组端口,提供二层访问bgw,直接访问Internet。
Non-Tunneled无线访问
Aruba独立ap易于设置,并支持健壮的安全特性。Aruba在Central提供自动RF管理,以确保最佳的Wi-Fi连接和对应用程序的粒度可见性,这有助于优先考虑业务关键数据,限制或阻止非业务数据,并阻止网络上的恶意行为者。这种设计非常适合于不需要隧道交通的部署。与需要单独管理系统的解决方案不同,独立的ap跨ap分发某些功能,其余特性在Central中。
ap被错开到一个堆栈中的不同交换机中,以尽量减少软件升级或意外交换机中断期间的中断。交换机通过设备配置文件自动将ap放入管理VLAN, APs通过DHCP客户端获取IP地址。ap与ssid对应的二层交换机之间建立动态中继,并通过二层交换机接入BGW完成三层终端。
基于动态分割的隧道访问
在本设计中,接入交换机和ap之间的用户vlan通过隧道到达bgw,实现三层终端。交换机上使用设备配置文件自动为管理底层VLAN配置AP端口,SSID VLAN动态集群。交换机所有端口配置基于角色访问,ap使用隧道模式。隧道化的流量总是不受信任的,这意味着必须对VLAN应用AAA配置文件。每个VLAN可以有一个单独的AAA配置文件,该配置文件在BGW中的初始角色不同。
