Foro en Español

Reply
Moderator

[Tutorial] Arquitectura branch controllers con ArubaOS 8

Hola

 

De manera análoga a cómo abordamos las nuevas funcionalidades de ArubaOS 8, llevo tiempo queriendo comenzar una serie centrada en torno a los branch controllers. 

 

Ya en la versión 6.4.3 ya se lanzó el concepto de los "branch controllers", que consistía en utilizar el controller como un "todo en uno" para gestionar WLAN, LAN, seguridad e incluso connectividad WAN en nuestras sedes remotas. Pues bien, como venimos explicando a lo largo de esta serie, estas capacidades se han visto tremendamente potenciadas con la llegada de ArubaOS 8, así que toca ponerse manos a la obra :)

 

Vayamos por partes, ¿en qué consiste esto de los branch controllers?

Tal como se adelantaba en el tutorial sobre  ZTP en ArubaOS 8, tenemos la posibilidad de centralizar todos los servicios de una delegación en el controller. De esta forma, además de hacer de controller para la WLAN, establecerá túneles IPSec contra nuestros DC para extender a delegaciones remotas nuestra red corporativa. En este otro post explico con más detalle cómo configurar los túneles y el routing entre branch y VPNCs.

 

Muy a grandes rasgos, de lo que se trata es de que nuestra delegación pueda establecer comunicación segura e independiente de la capa de transporte que tengamos (MPLS, FTTH, etc) con nuestros servicios corporativos. Si además tenemos conexión a Internet directa en las delegaciones, podremos aprovecharla para sacar en local el tráfico que no necesite ir hacia nuestro DC: invitados, servicios en la nube, etc

Overview.png

Muchos estaréis pensando que esto no es nada nuevo (no lo es), ya que ásicamente estamos estableciendo túneles IPSec contra un terminador de túneles. Ahora viene lo interesante.

 

Role-based Branch

Como no podía ser de otra manera, la arquitectura de aruba para las delegaciones tenía que estar basada en roles (está en nuestro ADN). En este caso, no sólo utilizaremos los roles para dar más granularidad a la seguridad WiFi, sino que lo aplicaremos a toda la branch. 

 

En primer lugar, utilizaremos los roles no sólo para encargarse de políticas de seguridad o de QoS, sino también para las políticas de routing. Utilizaremos routing basado en roles para determinar si un cierto perfil de usuario debe ser encaminado hacia el DC, sacado en directo, o tunelado hacia una DMZ.

 

RoleBasedRouting.png

 

Hasta aquí muy bien, pero, ¿cómo aplico esos roles a los dispositivos cableados

Para esto tendríamos 2 formas de hacerlo:

  • La manera tradicional. Configuramos el puerto de "downlink" de nuestro controller como "untrusted" y autenticamos el tráfico que venga por ahí (o, todavía más sencillo, asignamos un role a cada VLAN). Esto nos permite limitar el tráfico entre VLANs usando el firewall del controller y al mismo tiempo nos permite tener un poco más de granularidad si hacemos derivación de roles en función del tipo de dispositivo, etc.
  • La manera revolucionaria. Usando las capacidades de AOS-SW para tunelar el tráfico cableado hacia un controlador, podemos centralizar toda la seguridad en el branch controller, desde la parte de autenticación hasta la aplicación de políticas de seguridad. Al tener el tráfico tunelado contra el firewall (controller), no necesitaremos segmentar las redes de nuestras delegaciones en tantas VLANs, lo que nos ayudará a simplificar bastante la red. En este sentido, tenemos 2 opciones: túnel por puerto para convertir el switch en una extensión del controller, o túnel por usuario, para poder decidir si tunelo todo el tráfico al controller o no. 

Con este modelo, puedo tener delegaciones extremadamente sencillas desde el punto de vista administrativo, pero que me permitan toda la granularidad a nivel de routing, seguridad, etc. Aquí va una tabla para mostrarlo de forma más gráfica:

Role-based Branch.png

Hasta aquí todo bien, pero prácticamente todo esto podía hacese en la versión 6.5. ¿Qué trae de nuevo ArubaOS 8?

Bastantes cosas:

  • La configuración jerárquica de ArubaOS 8 nos permite muchísima granularidad a la hora de crear excepciones locales sin perder la escalabilidad de poder hacer cambios que se apliquen a grupos grandes de dispositivos.
  • La separación de plano de control y plano de datos hará que pueda establecer varios concentradores de túneles y envíe el tráfico a uno u otro en función de políticas de routing/seguridad.
  • ArubaOS 8 trae novedades en la parte WAN, como la posibilidad de hacer "scheduling" o balanceo de línea.
  • ArubaOS8.2 también nos ha traido una ayudita extra. Ahora podemos crear ACLs usando el role origen y destino en la sintaxis. Podemos configurar, por ejemplo, algo como "desde origen:empleado hacia destino:camara deny". Esto nos viene genial, ya que nos permite aplicar políticas de seguridad a grupos grandes de delegaciones sin tener que ir configurando ACLs en cada firewall.

Id echando un vistazo a lo que he ido poniendo y comentad qué dudas os surgen. Poco a poco iré añadiendo más contenido a cómo configurar las distintas partes de esta arquitectura.

 

Enlaces relacionados:

[Tutorial] ZTP y establecimiento automático de túneles en ArubaOS 8

[Tutorial] Extensión de redes a nivel 2 en entorno de Branch

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: