中文讨论区

Reply
Moderator
Posts: 13
Registered: ‎05-01-2013

【AOS】了解控制器的两种模式:Master/Local

        所有Aruba的控制器都可以承担无线系统中的两个角色:master或local。只要网络中包含了一对master/local结构的控制器,我们就可以构建一个可扩展的WLAN网络,而不需要额外添加管理平台。典型的master/local结构由一台做master的控制器(或增加一台做冗余)和一台或多台local控制器组成。

 

masterlocal1.jpg

 

        Master是网络中负责协调和配置的核心,负责处理所有无线安全事件和发送基于策略的配置给所有local控制器。Local控制器负责管理瘦AP、无线状态监控(AM)、频谱状态监控(SM)、RAP、VPN客户端、使用tunnel端口的无线接入交换机(MAS)以及关联到WLAN的无线客户端。在三层网络中,AP与Local控制器直连。大多数场景下,所有无线客户端产生的流量都有local来处理。

 

了解master控制器

 

        上面曾提到,Master的作用是将配置与协调的功能集中在一点,以此来缩小WLAN的部署规模。在更加大型的分布式部署方案里,master可以从AirWave接受配置和同步信息。如果在小型的单控制器部署方案里,master也可以提供local的所有功能。Master与local之间通过IPsec进行互联。如果部署的规模较大,Aruba建议不要将AP和客户端终结在master上,master的作用仅仅是执行网络同步和控制。

 

masterlocal2.jpg

 

Master控制器在WLAN中承担以下功能:

 

  • 策略配置:在Aruba的解决方案中,配置分为策略配置和本地配置两种。本地配置包含物理端口、IP和VLAN的配置。而这些配置都具有本地性质。与之相对地,策略配置是有关AP和用户的配置。有关AP的配置包括SSID、加密、调节域、信道、功率和ARM的设置等。除此之外,策略配置还包括用户认证、防火墙策略、漫游域(三层漫游)、IPsec和系统管理等。这些策略配置以profile的形式从master控制器发送到所有local控制器上。所有profile结合在一起组成对AP的配置。

 

  • AP白名单:在控制器系统中存在两种类型的白名单:一个用于验证RAP;另一个通过CPsec验证CAP。这两个名单指明了哪些AP可以关联到控制器上。未经验证的设备被禁止连接到网络中。

 

  • 协调无线安全:无线入侵保护机制包括监控rogue(未经验证的)AP和监视来自无线基础设施或用户的网络攻击。master控制器负责处理所有从Aruba AP和AM搜集上来的数据,然后发布指令抑制rogue AP或将某个用户拉入黑名单。

 

  • 合法AP列表:系统中所有的无线控制器都应该了解在WLAN中的所有合法AP。这些AP都被添加到合法AP列表中。这个列表避免了合法AP被添加无效标记,例如被错当成rogue AP。例如下述这种情况:有两台从属于不同local控制器的AP,若这两台AP距离较近,且能够彼此听到对方传输数据。这时合法AP列表可以帮助ARM来区别检测到的邻居AP是否属于自己的网络。不同于传统的WIDS(无线入侵检测系统),无线控制器可以自动生成合法AP列表,而无需网络管理员人工干预。所有Aruba的AP都可以自动添加进列表,但是其它厂商的AP需要手动添加。如果网络中存在多个master/local组合,那就需要部署AirWave来协调不同组合中的AP。

 

  • RF(无线频率)可视化:通过Aruba RF可视化工具,可以实时监控网络的覆盖情况。这个信息的得出是基于AP的信道和功率设定,以及从AM和AP扫描信道收集到的数据。

 

  • 定位:在WLAN中定位用户比处理用户漫游更加困难。客户端的IP地址不能指示它的位置。Aruba AP/AM 会不停扫描制定的信道,从而听到工作在某一信道的无线设备。这些数据传递给控制器后,控制器通过三角定位法,可以将其定位在一个很小的范围内。

 

  • 初始化AP配置:当一台AP快速重启后,它会关联到mater并从master下载配置。Mater会根据AP的基本信息找到它所在的AP组,然后指示AP重新关联它所属的local控制器。

 

  • CPsec(Control plane security 控制平面安全):当启用了CPsec时,mater控制器会生成证书并在网络中扮演CA(certificate authority 凭证管理中心)的角色。Mater控制器发布这些证书给网络中所有的local控制器。这些证书将用于验证AP。如果网络中存在多于1台master控制器,网络管理员需要制定一台master控制器作为CA。由这台制定的CA为网络中其它mater控制器发布证书。

 

  • 认证和角色:用户的认证方式和用户的角色都是在mater控制器上创建的,然后传播给local控制器。若部署规模不大,网络中所有的控制器都可以作为认证源数据库用于用户认证或访客认证。除此之外,mater控制器还可以代理转发认证请求给外部的RADIUS或LDAP服务器。

了解Local控制器

 

        Local控制器负责管理本地附属的AP,以及转发用户会话到网络中。在网络中大部分的流量都是由local控制器处理的。根据公司内的流量分布情况的不同,local控制器通常会部署在分布层或网络数据中心。在一些包含RAP、BOC(branch office controllers)以及VIA™(Virtual Intranet Access™)的项目中,local控制器通常部署在网络中的DMZ(Demilitarized Zone 隔离区域)。在某些网络中,DMZ中的控制器有时会设置成stand-alone(独立)模式的控制器,兼具master和local的功能。

 

masterlocal3.jpg

 

在WLAN中,local通常承担如下功能:

 

  • AP,AM和SM配置,管理以及软件升级:所有的Aruba AP都是从属型(dependent)AP。这意味着多数情况下它们不会向传统的独立AP那样在本地存储配置。实际情况是,他们会在启动时从local控制器下载当前配置。当配置发生变化是,控制器会自动将这些配置变化推送给所有AP。不管AP何时启动,它都能即时同步到当前配置。同时,配置变化也是即时推送的。若控制器上的软件版本升级了, AP也会自动下载新的软件版本并自行升级。和配置下载一样,在AP启动过程中会自动检查软件版本。所有配置的变更和AP的升级都不需要管理员干预。

 

  • 设备会话终结:一个Aruba网络是面向客户端设备的。因为在一个系统中,同一用户帐号可能对应多个设备,每个设备都有自己的会话。所谓会话就是客户端设备要通过WLAN转发的数据集合。例如来自无线客户端、无线IP摄像机、无线医疗设备和扫描设备等的数据。在Aruba系统中,每一个通过认证的用户都会被标识,并且会以他们的认证信息为依据为此设备分配适当的角色(role)。角色定义了这台设备(或者说用户可以使用这台设备)在网络中被允许做什么。角色可以被ICSA认证的状态防火墙(stateful firewall)调用,或者也可以为每台设备配置基于角色的策略。

 

  • ARM分配以及负载均衡:Aruba ARM负责控制AP和客户端的性能。所有的WLAN都工作在一个无限制的空间内,所以在数据传输过程中很容易收到干扰。针对干扰,Aruba发展出一套自动化系统用于帮助提高客户端的使用体验。这个功能包括扫描周边环境,找到更好的信道以避免干扰,然后自动调整AP的发射功率和信道。ARM还负责处理AP的负载均衡,以及来自其他AP或客户端的同频干扰。Airtime fairness保证了高速客户端的传输速率不会被低速用户影响。当系统检测到一个支持5G的客户端时,使用band steering功能可以让系统自动引导客户端使用更干净的频段。

 

  • RFProtect™安全机制和黑名单:master控制器负责处理安全事件信息,local控制器负责指挥AM执行无线安全策略。例如通过无线DoS攻击对rogue AP进行牵制;在有线网络中进行ARP攻击;防止合法用户关联rogue AP;以及将某些客户端加入黑名单以阻止其继续攻击WLAN

 

  • RFProtect 频谱分析:当AP进行频谱扫描的同时,可视化的射频数据就在local控制器上生成了。这个数据可以直接发送到客户端的浏览器上,也可以交给分析仪处理。

 

  • CPsec AP认证:如果在WLAN中启用了CPsec APlocal控制器之间会建立一条使用证书认证的IPsec隧道。Local控制器负责发布证书给AP以及将AP加入白名单。当AP启动时,会利用证书构建一条与local控制器之间的IPsec隧道。

 

  • 漫游:2层/3层漫游支持客户端在隶属不同控制器的AP间无缝漫游,而不会中断会话。这是支持VoIP的关键。

 

  • 服务质量(QoS):local控制器支持无线和有线端的 QoS。即,转发在无线多媒体(WMM)报文中标记的DiffServToS设置。Aruba PEF™Policy Enforcement Firewall™ 强制策略防火墙)也允许管理员为报文标记适当级别的QoS,并且在报文进入系统时改变QoS标记。
Search Airheads
Showing results for 
Search instead for 
Did you mean: