介绍
与以前的技术转型一样,在智能边缘向“数据时代”的转变改变了网络基础设施的角色,并带来了新的挑战。企业网络一直在移动数据和将人们连接到他们的应用程序和服务方面发挥着关键作用。有了智能边缘,网络需求远远超出了过去的标准连接和过时的接入技术。
支持强健的网络和新的应用程序服务的需求对IT员工提出了难以置信的要求。考虑到遗留基础设施的存在,这些基础设施本质上是孤立的,需要过多的手动网络操作,并且非常复杂且难以管理,因此,这些挑战是巨大的。网络问题只有在人类发现并解决后才能得到解决。通常,解决网络问题就像大海捞针。IT领导者需要仔细评估他们的基础架构和运营模型,以确保网络、工具和运营商经验能够支持在这个新时代使用现代体系结构取得业务成功。
本指南的目的
本设计指南涵盖边缘服务平台(ESP)体系结构中的校园,包括参考设计及其相关硬件和软件组件。它包含对影响设计的需求的解释,以及这些需求将为组织带来的好处。本指南描述了一个集成接入点、网关、接入交换机、聚合交换机、核心交换机以及基于云的编排和网络管理的单一系统。
设计目标
总体目标是创建一个易于在不同站点复制的简单可扩展设计。组件仅限于一组特定的产品,以帮助操作和维护。该设计的目标是,当网络设备或两个网络设备之间的链路不可用时,进行亚秒级故障切换。这些协议针对所有功能领域的高可用性网络进行了调整。本指南可用于设计新网络或优化和升级现有网络。它不是对所有选项的详尽讨论,而是介绍最推荐的设计、功能、软件和硬件。
观众
本指南是为需要为小型、中型和大型网络设计阿鲁巴解决方案的IT专业人员编写的。这些IT专业人员可以担任各种角色:
需要一套标准程序来实施阿鲁巴解决方案的系统工程师
为阿鲁巴实施创建工作说明书的项目经理
销售技术或创建实施文档的阿鲁巴合作伙伴
客户用例
网络上有如此多的无线设备,性能和可用性是关键。具有不同功能的无线客户端支持不同的性能级别。如果无线网络不能自我优化,较慢的客户端可能会降低较快客户端的性能。
Wi-Fi 5和Wi-Fi 6标准支持大于1 Gbps的速度。为了适应增加的数据速率,接入点实施了2.5和5 Gbps的IEEE 802.3bz以太网标准。当使用智能速率端口(也支持802.3bz以太网标准)连接到阿鲁巴交换机时,组织可以在现有建筑双绞线布线上实现更高的数据速率。为了支持物联网设备和最新无线技术的爆炸式发展,IEEE 802.3bt以太网供电(PoE)通过消除对专用电源的需求,提供了简单性和成本节约。接入层充当高性能有线和无线设备的收集点,并且必须具有足够的容量来支持当前的电源和带宽需求,以及随着设备数量的增长而扩展的未来规模。
安全是校园网的重要组成部分。必须对用户进行身份验证,并允许其访问执行其工作所需的服务。IoT设备必须使用MAC身份验证和配置来识别,以防止rouge设备使用网络。除了公司管理的资产外,用户还需要连接个人设备,客人需要访问互联网,承包商需要访问互联网和公司内部网络。必须在维护网络安全性和完整性的同时实现这种广泛访问。连接如此多的设备和用户类型会增加管理负担,而网络应该允许您以安全的方式自动安装设备。
本指南讨论以下用例:
- 人工智能通过智能遥测增强操作员
- 零信任安全保护网络免受内部和外部攻击
- 统一的基础架构和集中的基于云的管理
阿鲁巴ESP体系结构
阿鲁巴边缘服务平台(ESP)是阿鲁巴端到端体系结构的演变,提供了一个统一的基础设施,通过集中管理,利用人工智能操作(AIOps)改善操作体验,帮助在现有基础设施上实现零信任安全政策。阿鲁巴ESP是业界第一个专为智能边缘的新需求而构建的平台。
ESP体系结构
人工智能操作
AIOps不是一种产品,而是阿鲁巴ESP体系结构中的一种功能。这个广义的行业术语来自人工智能和IT运营的结合。它是指It团队管理数据和信息的方式。ESP AIOps平台从网络收集大量数据,并以有意义的方式将其呈现给管理员。阿鲁巴ESP使用机器学习(ML)和分析功能,在用户注意到网络问题之前揭示它们。
顾名思义,ML是人工智能(AI)的一种应用,它为系统提供了自动学习和改进经验的能力,而无需明确编程。ML的主要目标是允许计算机在没有人工干预或帮助的情况下自动学习,并相应地调整操作。阿鲁巴对ML的使用帮助IT专业人员更快地满足网络上用户和设备的服务级别期望。
Central是阿鲁巴有线、无线和SD-WAN基础设施AIOps能力的核心。Central采用现代微服务模型设计,为运营团队提供应用程序、用户和设备状态的全面视图。它还通过一块玻璃提供网络健康、带宽使用、预测性见解和规定性指导。数据驱动的仪表板允许网络管理员在问题影响业务之前监控、识别和解决问题,而对等基准测试则向他们展示了如何调整以获得最佳性能。运营团队可以从一个中心位置轻松查看任何位置的网络洞察,因为数据安全地存储在云中。
统一基础设施
随着网络成为融合的中心,对性能、密度和可靠性的新期望让企业需要优化其云基础设施。基于每个端口的配置更改、硬件大小调整,甚至日常维护都可以自动化,并作为一项服务提供,同时将IT和最终用户的开销或中断降至最低。
为了允许灵活的部署选项,阿鲁巴ESP基础设施可以以物理和虚拟形式实现。阿鲁巴拥有物理交换机、网关和AP,以及SD分支虚拟网关。ESP架构组件也可以部署在本地或云中。通过支持各种云,组织可以以一致的方式连接并保护物理位置、私有云或公共云。使用公共数据湖,Central关联并显示上下文中信息的多个维度。它还提供了自动化根本原因分析的强大功能,在问题影响业务之前预测问题,并提供强大的分析。通过在网络的整个生命周期中自动化简单任务,管理员可以专注于推动创新和利用网络在边缘创造业务价值。
零信任安全
Aruba ESP的主要功能之一是能够启用零信任安全策略。零信任使用与传统网络安全方法不同的方法。首先,它假设网络内外都有攻击者。零信任以默认的“拒绝所有”姿态开始,这意味着寻求访问网络的用户或设备不受信任。需要对所有用户和设备进行严格的身份验证,无论它们位于已知网络边界之内还是之外。
零信任的第二个方面是访问控制。该策略根据用户的身份和角色、用户连接的设备及其连接上下文(如日期和时间、地理位置和安全态势分数)授予访问权限。零信任自适应地提供“最低权限访问”响应中所需的适当访问。这意味着用户在请求时只能获得他们所需的资源访问权限,并且只有在绝对需要时才能授予进一步的访问权限。这大大减少了对网络敏感部分的暴露。
零信任的最后一个要素是持续监控和评估。如果用户及其设备可能受到危害,则会立即修改组合访问权限,以反映用户及其关联设备增加的风险。这意味着,当有人欺诈性地使用其凭据从外部网络访问网络资源时,从其物理办公室的公司桌面计算机上的正常位置访问信息的用户不会被拒绝访问,因为零信任策略会考虑用户、设备和位置信息。
阿鲁巴ESP体系结构层
阿鲁巴ESP提供广泛的服务,包括入职、资源调配、协调、分析、位置跟踪和管理。AI洞察在问题影响用户之前揭示问题,允许组织通过直观的以工作流为中心的导航,使用呈现多维度相关数据的视图,快速轻松地完成任务。策略是集中创建的,动态分段等功能允许网络管理员在现有基础设施上实施这些策略。这是可能的,因为阿鲁巴ESP体系结构构建在不同的层中,如下图所示。
ESP层
连通层
从底部开始连通层是Aruba ESP架构的基础。它的特点是具有广泛灵活性和高可用性的物理基础设施组件,以及用于分析网络当前状态的遥测技术。企业网络需要支持其现有端点,包括许多遗留系统,同时过渡到针对智能边缘的新用例进行优化的现代体系结构。
需要完全重新设计网络的体系结构(包括硬件和网络协议栈)可能会导致严重的中断和风险兼容性问题,尤其是与公司的遗留系统。使用Aruba ESP,传统设备可以选择继续在连接层中运行,而对运行在顶部的策略层的增强允许在传统网络中部署的基础设施上实现额外的安全性和控制。连接层的组件包括网关、具有无线和物联网无线电功能的AP以及交换机,如下图所示。
策略层
这个策略层负责创建、维护和实施网络安全策略。端点安全态势由使用网络上下文收集的信息确定。在确定之后,分配用户角色,并且可以基于设备的信任级别应用策略。ESP体系结构支持有线和无线的一致策略,包括网络边缘的访问控制选项,以及网关上有状态防火墙额外检查的流量隧道。
用户的上下文可以轻松地共享到其他域,并且可以维护现有的VLAN和IP地址结构,但由于在用户和组级别强制执行策略,VLAN和IP地址不再与策略绑定。灵活的策略层支持的一些附加功能包括流量分段、服务插入和传输独立性。策略层的管理由Central和ClearPass策略管理器完成,而强制执行则由网关、交换机或AP根据设计的具体情况进行处理。
服务层
这个服务层是运营团队与连接层和策略层交互的地方。它提供了重要的功能,利用AI、ML和基于位置的服务实现网络可视性,并深入了解网络的运行情况。通过利用云中的统一数据湖,Aruba ESP将跨域事件关联起来,并在上下文中显示信息的多个维度,从而在提供稳健分析的同时,释放自动化根本原因分析的强大功能。服务层功能的主要主页是中心。但是,也有一些组件提供额外的服务,如用户保证和位置跟踪。
阿鲁巴提供多种部署模型,以满足组织不同的业务和技术需求。大多数组织购买和部署阿鲁巴的网关、交换机和AP组合,并从云端进行管理。少数具有阻止使用公共云服务的安全策略的组织可以在本地或私有云中部署ESP服务层。最后,喜欢网络即服务的组织可以通过HPE Greenlake for Aruba将其部署为托管服务。188网站足彩