Foro en Español

Reply
Moderator

[Tutorial] MultiZone en ArubaOS 8

Hola

Aquí va otro post más al hilo de la "Nueva Arquitectora ArubaOS8", donde iremos desgranando las diferentes novedades. En este caso vamos a echar un vistazo a la funcionalidad de MultiZone.

 

¿En qué consiste MultiZone?

Esta funcionalidad nos permite que un AP tenga SSIDs gestionados por varios controladores. Ya habíamos visto en la parte de clustering como ArubaOS 8 permite establecer túneles a distintos controladores desde un mismo AP. En este caso no lo haremos por cuestiones de balanceo de carga o de redundancia, sino para aislar determinadas redes. Y no sólo consiste en terminar túneles en distintos controladores, toda la configuración de estos SSID aislados se hará desde el controlador que los gestiona.

 

¿Cuáles son los usos principales?

En los meses que llevo usando esta funcionalidad, ha habido dos casos de uso fundamentales para esta funcionalidad. El primero de ellos es tener una red de invitados/BYOD completamente aislada del resto. Tan aislada que el túnel del SSID de invitados sólo va a su controlador (Data Zone), ni siquiera pasa por el controller principal (Primary Zone). Sería algo del estilo de lo mostrado en la imagen a continuación:

MultiZone.png

 

Este seguramente sea el caso más obvio, pero hay otro que cada vez va cogiendo más fuerza. Al hacer toda la configuración de este segundo SSID desde el DataZone controller (así se llaman en multizone los controladores que gestionan un SSID aparte), podemos formar un entorno multi-tenant. Un ejemplo típico es el de un aeropuerto en el que en los AP de la zona de Iberia radien, además de los SSID del aeropuerto, los que quiera configurar Iberia en su controlador. Y como podréis imaginar, no se trata sólo de la configuración de los SSID, sino toda la parte de AAA, acceso basado en roles, etc.

 

Y al grano, ¿cómo se configura esto?

Una vez más, se trata de una configuración muy sencilla. Dentro de cada AP-Group definiremos quienes queremos que sean los "Data Zone Controllers" y cuántos SSID les vamos a permitir radiar. Tan sencillo como esto:

 

ap multizone-profile dmzguest

datazone 1 controller-ip 172.16.1.100 num-vaps 3 num-nodes 1
multizone-enable

ap-group default
 ap-multizone-profile dmzguest

A partir de aquí, veremos como este AP se asocia también a nuestros Data Zone controllers. Y desde ahí configuraremos la WLAN que queramos. Sencillo, ¿verdad?

 

Como último comentario, añadir una serie de cuestiones que tendréis que tener en cuenta antes de poneros a probarlo:

  • Por cada AP (o AP-Group) podré tener un Primary Zone y un máximo de 4 Data Zone controllers.
  • Todos los controllers que gestionan el mismo AP tienen que tener la misma versión de SW (sino volveríamos loco al AP).
  • De igual modo, el AP-Group tendrá que tener el mismo nombre en los PZ que en los DZ, para no volver loco al AP :)
  • Si usamos CPSEC tenemos que habilitarlo tanto en los PZ como en los DZ.

Y esto es todo. Animaos a probadlo y comentad sobre este hilo :)

 

Saludos!

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Aruba Employee

Re: [Tutorial] MultiZone en ArubaOS 8

Como ha explicado Samu, la solución MultiZone de AOS 8 presenta la posibilidad de tener un entorno multi-tenant que garantiza máxima seguridad. 

La solución es tan facil de configurar como ha indicado Samuel en su Post, para que ayude algo más adjunto a continuación algunos pantallazos del Interface web.

Primero tenemos que definir en el Controlador principal (primary Zone) el profile que habilita el MultiZone:

Configuration > System > Profiles > AP > AP multizone y creamos uno nuevo:

MultiZone ProfileMultiZone Profile

Es aquí donde definimos el nombre, IP del controlador DataZone y el número de SSIDs. No olvidar activar la casilla de enable multizone.

Ahora hay que asociar este profile al AP-Group de tal manera que así vamos a permitir que dichos APs puedan estar asociados a otras zonas. Para hacerlo vamos a Configuration > Ap Groups > Seleccionar el AP-group > Profiles > AP > AP multizone y seleccionamos en la derecha el profile que se ha creado antes.Asociación MultiZone en el Ap-GroupAsociación MultiZone en el Ap-Group

Con esta configuración ya hemos permitido que haya una segunda Zona (Data Zone) para los APs de este grupo. Ahora el resto de la configuración hay que hacerla en dicha controladora.

Como ha indicado Samu, tenemos que habilitar o deshabilitar CPSEC según tengamos ya definido en la Primary Zone así veremos que el AP se puede asociar. Lo hará automáticamente sin tener que hacer nada:

AP en el DataZoneAP en el DataZone

Si hacemos un "Show ap database" vemos un flag "z" que nos indica que el AP está en modo "Data Zone".

(Aruba7008) [mynode] #show ap database

AP Database
-----------
Name            Group    AP Type  IP Address   Status         Flags  Switch IP     Standby IP
----            -----    -------  ----------   ------         -----  ---------     ----------
AP-Laboratorio  default  205H     10.228.60.2  Up 1h:17m:13s  z      10.228.60.10  0.0.0.0

Flags: U = Unprovisioned; N = Duplicate name; G = No such group; L = Unlicensed
       I = Inactive; D = Dirty or no config; E = Regulatory Domain Mismatch
       X = Maintenance Mode; P = PPPoE AP; B = Built-in AP; s = LACP striping
       R = Remote AP; R- = Remote AP requires Auth; C = Cellular RAP;
       c = CERT-based RAP; 1 = 802.1x authenticated AP; 2 = Using IKE version 2
       u = Custom-Cert RAP; S = Standby-mode AP; J = USB cert at AP
       i = Indoor; o = Outdoor
       M = Mesh node; Y = Mesh Recovery
       z = Datazone AP

Total APs:1

Lo que tengo aquí es el mismo nombre del grupo que en el Primary Zone (grupo default). Ahora ya puedo crear los WLAN que yo quiera (con los límites que haya definido en Primary Zone). En este caso he creado un SSID llamado "DMZ_Invitados" que comenzará a radiar el AP sin tener que provisionar nada específico en él.

SSIDs en DataZoneSSIDs en DataZone

Como véis, ahí ya aparece un usuario conectado a dicho SSID, este usuario es gestionado por este controlador solo para Invitados. El AP está tunelizando todo su tráfico hasta este equipo y así puedo mantenerlo por separado del resto de SSIDs del Primary Zone.

Y claro, como queremos también darle seguridad, desde el DataZone (controlador secundario si queréis llamarle así) no permite hacer nada en el AP a nivel de reaprovisionarse, para eso está el Primary Zone.no-provisioning desde datazone.png

 

La principal ventaja es que podemos poseer a nivel de Empresa el PrimaryZone con nuestros APs y después vamos a poder delegar SSIDs que terminen en DataZones de otras empresas usando nuestro AP, así optimizamos los recursos y aumentamos la seguridad (separación del tráfico con túneles con destinos difierentes desde el propio AP). 

 

Podemos implantar esta solución de MultiZone en cualquier arquitectura. El caso de los pantallazos anteriores lo he realizado con una solución en AOS8 con SD-WAN, es decir: he definido la controladora remota como PrimaryZone y la de la DMZ como DataZone (en modo Standalone), por lo que esto aun más flexible su despliegue:Pasted_Image_30_08_2017__21_36.png

 

Como decía Samuel, os animamos a probar esta funcionalidad ya que es una solución diferencial que puede daros una arquitectura de máxima seguridad, sobre todo como véis un ejemplo claro puede ser terminar un SSID de invitados en un controlador de una DMZ y así no mezclamos dichos usuarios en el mismo controlador de tráfico Corporativo.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
MVP

Re: [Tutorial] MultiZone en ArubaOS 8

Hola Samuel, Rafa,

 

gracias por el tutorial de multizone. La verdad que es una funcionalidad muy interesante que se ha anadido en 8.0.

 

Aunque aun mis clientes no han accedido a AOS8 (estan empezando), he jugado bastante en el lab con estas funciones.

 

A diferencia de los ejemplos que habeis propuesto, estaba intentando combinar un caso con dos funcionalidades sin mucho exito: disponer de 2 clusters dentro de un mismo MM. Cada cluster se compone de dos nodos y disponer cluster A como primary zone y cluster B como data zone.

 

Cluster A, seria el "Corporate cluster" y Cluster B -"DMZ cluster" donde los invitados se conectarian.

 

El problema es que cuando configuro multiizone, los dos controllers de cluster B, estan activos y el AP aparece como data zone en ambos.

 

VMC03:

 

AP Database
-----------
Name  Group  AP Type  IP Address     Status            Flags  Switch IP      Standby IP
----  -----  -------  ----------     ------            -----  ---------      ----------
325   HOME   325      10.10.145.100  Up 1d:0h:15m:43s  z      10.10.130.206  0.0.0.0

 

VMC04:

 

AP Database
-----------
Name  Group  AP Type  IP Address     Status           Flags  Switch IP      Standby IP
----  -----  -------  ----------     ------           -----  ---------      ----------
325   HOME   325      10.10.145.100  Up 1d:0h:14m:7s  z      10.10.130.207  0.0.0.0

 

 

Debido a ello y aunque ambos controllers muestran el SSID en el bss-table, no estan radiando el SSID. Solo cuando apago uno de los controllers, la solucion funciona.

 

La idea es disponer de un controller redundante para los guests.

 

Entiendo que hay dos opciones para solucionar el problema:

1.- Configurar VRRP entre VMC03 y VMC04 (los dos controllers del cluster B) y hacer multizone contra la VRRP IP address.

2.-Configurar DMZ como standalone y anadir multizone a una VRRP IP address entre los dos standalone

 

Intentare sacar tiempo en los siguientes dias para probarlo, pero sabeis si existe alguna limitacion o veis algun problema con el escenario 1?

 

Muchas gracias,

Un saludo

Borja

Regards,
Borja
ACMX #567 //ACCP//CWNA//CWAP
MVP

Re: [Tutorial] MultiZone en ArubaOS 8

Actualizacion de mi post anterior despues de haber hecho alguna prueba adicional.

 

La opcion 1 funciona correctamente utilizando cluster + VRRP y apuntando multizone a esas VRRP IP addresses.

 

VMC03 (node 1, cluster B)

-------------------------------------

(VMC003) #show lc-cluster group-membership

Type IPv4 Address    Priority Connection-Type STATUS
---- --------------- -------- --------------- ------
self   10.10.130.206      255             N/A CONNECTED (Leader)
peer   10.10.130.207      255    L2-Connected CONNECTED (Member, last HBT_RSP 82ms ago, RTD = 0.990 ms)

 

(VMC003) # show vrrp

 

Virtual Router 220:
    Description
    Admin State UP, VR State MASTER
    IP Address 10.10.130.212, MAC Address 00:00:5e:00:01:dc, vlan 130
    Priority 255, Advertisement 1 sec, Preemption Enable Delay 0
    Auth type NONE ********
    tracking is not enabled

Virtual Router 221:
    Description
    Admin State UP, VR State BACKUP
    IP Address 10.10.130.213, MAC Address 00:00:5e:00:01:dd, vlan 130
    Priority 235, Advertisement 1 sec, Preemption Enable Delay 0
    Auth type NONE ********
    tracking is not enabled

 

 

VMC04 (node 2, cluster B)

-------------------------------------

(VMC04) #show lc-cluster  group-membership

Cluster Enabled, Profile Name = "vrrp_cluster"
Redundancy Mode On
Active Client Rebalance Threshold = 50%
Standby Client Rebalance Threshold = 75%
Unbalance Threshold = 5%
AP Load Balancing: Disabled
Cluster Info Table
------------------
Type IPv4 Address    Priority Connection-Type STATUS
---- --------------- -------- --------------- ------
peer   10.10.130.206      255    L2-Connected CONNECTED (Leader, last HBT_RSP 22ms ago, RTD = 0.995 ms)
self   10.10.130.207      255             N/A CONNECTED (Member)

 

(VMC04) # show vrrp

 

Virtual Router 220:
    Description
    Admin State UP, VR State BACKUP
    IP Address 10.10.130.212, MAC Address 00:00:5e:00:01:dc, vlan 130
    Priority 235, Advertisement 1 sec, Preemption Enable Delay 0
    Auth type NONE ********
    tracking is not enabled

Virtual Router 221:
    Description
    Admin State UP, VR State MASTER
    IP Address 10.10.130.213, MAC Address 00:00:5e:00:01:dd, vlan 130
    Priority 255, Advertisement 1 sec, Preemption Enable Delay 0
    Auth type NONE ********
    tracking is not enabled

 

 

Multizone configuration en el cluster A:

 

(VMC01) #show ap multizone-profile dmz_cluster

Multizone Enabled

Multizone Table
---------------
Zone  IP Address     Max Vaps Allowed  Max Nodes Allowed
----  ----------     ----------------  -----------------
0     N/A            4                 2
1     10.10.130.213  1                 2
2     10.10.130.212  1                 2

Number of datazones:2

 

 

Show ap database en ambos data zone controllers:

 

(VMC003) #show ap database

AP Database
-----------
Name  Group  AP Type  IP Address     Status             Flags  Switch IP      Standby IP
----  -----  -------  ----------     ------             -----  ---------      ----------
325   HOME   325      10.10.145.100  Up 1d:14h:29m:50s  Sz     10.10.130.207  10.10.130.206

 

 

AP Database
-----------
Name  Group  AP Type  IP Address     Status             Flags  Switch IP      Standby IP
----  -----  -------  ----------     ------             -----  ---------      ----------
325   HOME   325      10.10.145.100  Up 1d:14h:29m:59s  z      10.10.130.207  10.10.130.206

 

Y el usuario se ha connectado a VMC03

 

(VMC003) #show user
This operation can take a while depending on number of users. Please be patient ....

Users
-----
    IP             MAC            Name     Role           Age(d:h:m)  Auth  VPN link  AP name  Roaming   Essid/Bssid/Phy                          Profile               Forward mode  Type  Host Name  User Type
----------    ------------       ------    ----           ----------  ----  --------  -------  -------   ---------------                          -------               ------------  ----  ---------  ---------
10.10.150.10  macaddress device           authenticated  00:00:00                    325      Wireless  test_cluster_dmz/macaddressAP/g-HT  test_dmz_cluster_aaa  tunnel                         WIRELESS

User Entries: 1/1
 Curr/**bleep** Alloc:1/5 Free:0/4 Dyn:1 AllocErr:0 FreeErr:0

 

 

Como comentaba en el post anterior, alguien ve algun inconveniente en crear esta solucion en vez de standalones en el DMZ?

 

Gracias

Regards,
Borja
ACMX #567 //ACCP//CWNA//CWAP
Highlighted
Moderator

Re: [Tutorial] MultiZone en ArubaOS 8

Tener un cluster en el datazone está completamente soportado.
Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: