Aruba：用戶角色和基于用戶的隧道UBT技術白皮書（44頁）.pdf

《Aruba：用戶角色和基于用戶的隧道UBT技術白皮書（44頁）.pdf》由會員分享，可在線閱讀，更多相關《Aruba：用戶角色和基于用戶的隧道UBT技術白皮書（44頁）.pdf（44頁珍藏版）》請在三個皮匠報告上搜索。

1、技術白皮書 用戶角色和基于用戶的隧道 1 技術白皮書 用戶角色和基于用戶的隧道(UBT)技術白皮書 Aruba動態隔離解決方案 技術白皮書 用戶角色和基于用戶的隧道 2 內容 內容.2 版本歷史.3 基于用戶的隧道（UBT）.4 深入理解UBT.7 它是如何工作的.7 用例.10 部署場景.12 配置.14 配置用戶角色.22 擴展性.39 常見問題.40 技術白皮書 用戶角色和基于用戶的隧道 3 版本歷史 更改修訂日期的文檔版本原因 1.0 初稿 3/2020 2.0 新模板 語法更正 術語變更 CP6.9增強內容 9/2020 技術白皮書 用戶角色和基于用戶的隧道 4 基于用戶的隧道（UB

2、T）概述 基于用戶的隧道（UBT）有兩個基本的組成部分:用戶角色：指Aruba結合ClearPass根據終端接入方式、以及接入時間、終端類型等上下文信息，為有線設備/用戶動態分配角色的能力，因此IT人員不再需要為接入端口預先配置VLAN。隧道：指Aruba將流量傳輸回Aruba移動網關(以前稱為控制器)的能力。AOS-CX支持基于用戶的隧道，這是Aruba動態隔離解決方案的一部分，該解決方案實現了基于用戶或終端對流量進行隧道傳輸，并將流量發送到Aruba網關的功能。通過ClearPass返回可下載用戶角色（Downloadable User-role）,或通過標準RADIUS服務器返回本地用戶

3、角色(Local User-role)，策略可以通過用戶角色關聯到接入終端。與可下載用戶角色相比，本地用戶角色是在每個交換機上配置的，并且“本地”駐留在配置中。許多需要以太網供電(PoE)和網絡訪問的設備，如安全攝像機、打印機、支付卡讀卡器和醫療設備，沒有像臺式電腦或筆記本電腦那樣內置的安全軟件，可能會因為缺少安全性而將網絡暴露在風險面前?；诮巧乃淼揽梢岳肅learPass對這些設備進行身份驗證，將終端流量通過隧道傳送到Aruba移動網關，并利用高級防火墻和策略功能對終端流量進行控制。它還可以通過ArubaOS 8.x中的網關群集提供高可用性和負載平衡。這可以為園區網內的物聯網設備提供安

4、全的訪問。UBT支持的兩種網關部署方式：單網關獨立部署 多網關集群部署 支持UBT的Aruba CX交換機：Aruba CX 6200交換機系列 Aruba CX 6300交換機系列 Aruba CX 6400交換機系列 建議的交換機固件版本：AOS-CX 10.4或更高版本建議的網關固件版本：單網關獨立部署模式(70 xx，72xx):ArubaOS 8.4 或 更高版本 多網關集群部署模式(70 xx，72xx):ArubaOS 8.4 或 更高版本 建議的ClearPass策略管理平臺版本(用于分配用戶角色)Clearpass 6.9 或更高版本 術語 “無色”端口:無色端口的最大好處是

5、，我們不再需要以靜態方式為接入端口預配置特定的策略和端口屬性。無色端口背后的邏輯是，在過去，為了控制接入終端的權限，傳統網絡往往需要手動配置端口，從物理上為這些交換機端口分配“顏色”，從而使特定的權限策略可以被配置并且關聯到物理端口上。而特定的終端必須按照相應的“顏色”，插入對應的交換機端口。通過使用無色端口，可以大大減少IT操作周期，從而可以更加有效地對初始部署或者后續變更進行規劃，以適應將來的添加，移動或更改。技術白皮書 用戶角色和基于用戶的隧道 5 無色端口表明交換機端口可以自動、實時地將所需的角色分配給接入終端。最簡單的無色端口可以通過在單臺交換機中使用本地用戶角色和本地MAC身份驗證

6、(LMA)進行演示。在沒有外部Radius服務器或隧道的情況下，客戶可以觀察到同一端口如何根據所連接的設備采取不同的角色策略(QoS/ACL/VLAN)。用戶角色:將策略和端口屬性組合為“角色”，并被不同的設備或用戶類型引用，提供了簡化配置負擔的能力?？梢栽诮粨Q機上配置本地用戶角色(LUR)，也可以在ClearPass服務器上配置可下載的用戶角色(DUR)。在使用本地用戶角色(LUR)時，可以通過任何RADIUS服務器向交換機返回Aruba-User-Role VSA來實現用戶角色的分配；在使用可下載用戶角色(DUR)時，需要采用ClearPass服務器想交換機返回Aruba-CPPM-Rol

7、e VSA，同時利用HTTPS將角色配置下發到交換機。最基本的用戶角色需要包括給終端分配什么VLAN(中繼或非中繼)，以及流量是否需要在本地轉發，或者通過隧道傳輸回Aruba移動網關。此外，作為可選項，用戶角色還可以包括權限策略(ACL/QOS)、身份再驗證計時器和強制門戶重定向。無論是在交換機上預先定義本地用戶角色(LUR)或在ClearPass上配置可下載用戶角色(DUR)，都使用相同的交換機CLI語法。隧道交換機:具有隧道配置文件并建立隧道到移動網關的交換機。隧道配置文件:包括需要設置的配置參數集，如主用網關IP、備份網關IP等。用戶可以在交換機上啟用或禁用隧道配置文件。隧道端口:配置了

8、隧道的端口?；谟脩舻乃淼溃║BT）:基于用戶和/或設備角色的隧道 客戶端設備:連接到隧道端口的終端主機(臺式機/筆記本電腦/物聯網設備)，該端口通過用戶名/密碼或MAC身份驗證等憑據對終端主機進行身份驗證。主用網關:作為主用隧道終結端點的Aruba移動網關。備份網關:作為備份隧道終結端點的Aruba移動網關。僅當整個主用集群都失效時才會切換到備份網關。MC:Mobility Conductor（以前稱為Mobilty Master)，采用層次化結構對移動網關的配置進行管理。MD:Mobility Device，被Mobility Conductor管理的Aruba移動網關。RADIUS se

9、rver:RADIUS服務器，用于對用戶和設備進行身份驗證。LCS:Local Conductor Server，本地管理服務器 User Anchor Gateway(UAG):終結某個用戶隧道的主用網關，可以是集群中的任何一臺網關。Secondary User Anchor Gateway(S-UAG):用戶隧道備用網關（基于Bucket Map確定），在主用UAG故障時自動接管用戶隧道流量。Switch Anchor Gateway(SAG):用于傳輸交換機控制面流量的移動網關，取決于隧道配置文件中的主用網關IP。Secondary Switch Anchor Gateway(S-SAG

10、):在SAG發生故障的情況下，作為備份SAG自動接管交換機控制面流量傳輸的網關。技術白皮書 用戶角色和基于用戶的隧道 6 UBT的組件 圖1:UBT部署示例 客戶端和設備 這就是“無色”端口被開發出來的原因。傳統上，接入交換機端口都會標上“顏色”，同時特定設備也會被分配特定“顏色”。采用“無色”端口時，接入交換機上的所有端口都設置為啟用802.1X和MAC身份驗證。終端接入“無色”端口時，接入交換機通過MAC或802.1X對終端進行身份驗證，并觸發ClearPass身份驗證策略，從而獲得包含用戶角色配置的強制策略配置文件。接入交換機 接入交換機對連接到交換機的用戶進行身份驗證，并在完成設備或用

11、戶身份驗證后，將角色應用于設備或用戶。用戶角色是應用于設備或用戶的一組屬性和策略，可以存在于接入交換機本地，或者作為一個組成部分存在于ClearPass強制策略配置文件中。移動網關集群 Aruba移動網關具有許多專門針對無線流量定制的內置安全性和應用優化功能，這些功能同樣可以擴展到有線流量。這是將流量從Aruba接入交換機通過隧道傳輸到移動網關的主要原因之一，基于隧道的有線流量因此可以充分利用移動網關內置的防火墻和應用優化功能。Aruba ClearPass策略管理平臺 ClearPass根據識別處的終端類型信息和用戶身份驗證信息來分發包含用戶角色信息的強制策略和配置文件。技術白皮書 用戶角色

12、和基于用戶的隧道 7 深入理解UBT 它是如何工作的 首先在交換機上通過命令“ubt zone”配置“隧道配置文件”。在這條命令的上下文中，可以配置主用網關IP地址，這個IP地址需要是移動網關集群中某一臺的接口IP地址。交換機配置了移動網關信息并啟用了UBT服務后，發起與移動網關之間的“握手”，以此來確認移動網關的可達性和版本信息。當移動網關可達性被確認時，交換機會執行一個交換機“bootstrap”。這時,交換機會向移動網關發送一個bootstrap消息，類似于AP和移動網關之間的“AP Hello”。這個bootstrap消息包含用戶角色信息(網關/輔助角色、GRE密鑰等)。在網關收到bo

13、otstrap消息后，就會回復一條“acknowledge”消息。交換機根據收到的確認消息，會更新本地的“bucket map”和“node list”列表，用于將用戶映射到網關并實現終端負載均衡。說得更加詳細一些，“bucket map”是一個散列條目的列表，其中包含終端MAC地址與用于終結用戶隧道的移動網關(群集)的映射關系。當“bucket map”列表被下載到交換機本地后，交換機和移動網關之間建立隧道并且開始發送GRE“心跳”。其中，根據ubt zone命令中配置的主用移動網關IP地址，交換機會同時與SAG(Switch Anchor Gateway)建立GRE“心跳”。與此同時，交換

14、機也會和S-SAG(Secondary Switch Anchor Gateway)建立GRE“心跳”。當用戶連接到安全接入端口時，交換機向RADIUS服務器(例如ClearPass策略管理器)發送RADIUS請求，RADIUS服務器對用戶進行認證后，如果采用交換機本地用戶角色的方式，則向交換機返回與用戶角色有關的供應商特定屬性(VSA)；如果采用可下載用戶角色的方式，則RADIUS服務器將通過VSA把整個角色本身下載到交換機。圖2:示例ClearPass本地用戶角色VSA 交換機接收到VSA后，將本地用戶角色或從ClearPass下載的角色應用于用戶。Aruba通過用戶角色的概念來定義用戶策

15、略以及基于該角色對網絡的訪問。用戶角色可以包含ACL/QoS策略、Portal認證門戶、VLAN信息(用于本地交換流量)和設備屬性。如前所述，當交換機從RADIUS服務器接收到用戶角色相關的VSA，并將用戶角色應用于用戶時，用戶角色中也可以包括將流量重定向到網關的指令。這是通過“gateway zone”這個命令來定義的。有了這個命令，當隧道啟用時，交換機上的身份驗證子系統會向隧道子系統提供gateway role,又稱為secondary role。gateway role或者secondary role是移動網關上的用戶角色，針對隧道用戶的策略，特別是防火墻和安全策略。通常都會包含在這個用

16、戶角色中。有些時候，這個用戶角色也可以采用與無線用戶相同的角色，重新應用到有線用戶上。發送到交換機隧道子系統的gateway role就是告訴移動網關，它必須基于這個角色的策略配置對用戶流量施加額外的策略并建立用戶隧道。這個secondary role可以從ClearPass直接下載到移動網關，本文后面將對這一點做進一步的討論。有關如何在ClearPass中配置強制策略和強制文件的更深入的內容，請參閱有線策略實施指南-https:/ map”包含給定的客戶端 與主用和備用User Anchor Gateway(UAG)之間的映射。當需要把某個用戶重定向到移動網關時，交換機會基于客戶端MAC地址

17、獲得一個值，然后用這個值查找bucket map，并將客戶端設備錨定到特定移動網關節點（即UAG）。在此過程之后，交換機隧道子系統將創建到此UAG的隧道(如果尚未創建)，并將用戶流量通過隧道轉發到該UAG。如果用戶角色不包含將流量重定向到移技術白皮書 用戶角色和基于用戶的隧道 8 動網關的屬性，則交換機將為用戶或設備分配相應的VLAN，并且將流量在本地轉發。一旦到UAG的用戶隧道建立，交換機與UAG之間就會開始交換基于PAPI(進程應用程序接口)的keepalive數據包，以此保持隧道的完整性?；诮巧乃淼澜⒘鞒?驗證用戶 將用戶角色應用于經過身份驗證的用戶 將用戶流量重定向到移動網關 在

18、移動網關上將Secondary role應用于用戶流量 圖3:具有動態細分的用戶身份驗證流程 所有隧道流量將對reserve VLAN或ubt-client-vlan進行透傳，并在移動網關處解封裝，然后根據手動創建或下載到移動網關的gateway/secondary role中指定的VLAN，為用戶分配vlan。這個解決方案不再需要在園區網絡中所有交換機上配置用戶vlan，大大簡化了網絡運維。廣播/多播流量 所有多播/廣播流量都通過reserve VLAN發送到移動網關。然后，移動網關將為VLAN上的每個用戶復制多播/廣播數據包，并轉換成單播流，再將單播流沿著用戶隧道發送回客戶端或設備。請參閱

19、下面對來自隧道用戶的多播視頻流的抓包，這個報文是從用戶側獲取的。請注意，源地址是移動網關的ip地技術白皮書 用戶角色和基于用戶的隧道 9 址，目標地址是隧道用戶所連接的接入交換機的ip地址。隧道中傳輸的流量是實時傳輸協議(RTP)視頻流。觀察到的流使用的協議是UDP，這表明移動網關正在將多播流量轉換為發往隧道客戶端的UDP或單向流量。還要注意，隧道內部報文的源地址是客戶端IP，目的地址是多播組IP。圖4:數據包捕獲顯示向隧道用戶的多播流量轉換 下面是描述這是如何工作的過程:圖5:基于用戶的隧道過程 請參閱上面的圖，它顯示了用戶到移動網關集群建立用戶隧道的過程。技術白皮書 用戶角色和基于用戶的隧

20、道 10 1.交換機按照預先配置與移動網關集群的MG3節點建立心跳/多播GRE隧道。2.MG3向交換機返回Standby Switch Anchor Gateway(S-SAG)、集群節點列表和Bucket map。3.交換機與MG1建立心跳/多播備份隧道(S-SAG)，該隧道是根據來自bucket map的散列來分配的。4.當客戶端連接到交換機時，進行用戶或設備認證(802.1x/MAC-Auth)5.如果本地或下載的用戶角色具有重定向屬性以及secondary role，交換機檢查bucket map找到UAG=MG2和S-UAG=MG4 6.交換機使用MG2作為User Anchor G

21、ateway(UAG)建立用戶GRE隧道，并發送包含用戶VLAN信息的secondary role。7.UAG(MG2)按照交換機發送的seondary role和VLAN創建用戶條目，任何廣播或多播流量都將轉換為單播，并通過用戶/設備隧道發送回去。8.在S-UAG上添加一個暫時休眠的用戶條目，于此同時，交換機和S-UAG網關之間建立隧道，但是交換機不向S-UAG發送keepalive報文，keepalive報文僅發送到UAG。如果集群節點列表發生更新，表明某個UAG已關閉，則交換機立即將這個UAG上的所有客戶端切換到S-UAG，這將立即啟動一個keepalive報文，直到依照bucket m

22、ap更新確定一個新的S-UAG。方案用例 基于用戶的隧道傳輸（UBT）常見的使用場景包括提供訪客有線接入、利用移動網關內置防火墻為邏輯接入網絡提供終端準入控制，以及為有線流量提供隧道傳輸的能力。有線接入防火墻 就像基于端口的隧道傳輸（PBT）一樣，通過把用戶流量隧道傳輸到Aruba移動網關之后，IT部門可以借助于Aruba移動網關內置的防火墻和訪問策略來限制用戶訪問，而不需要在網絡基礎架構中安裝昂貴的下一代防火墻。圖6:有線防火墻訪問用例圖技術白皮書 用戶角色和基于用戶的隧道 11 有線訪客/終端隔離 可以使用基于角色的隧道（UBT）在網絡上對有線方式接入的訪客流量進行隔離。通過在Aruba移

23、動網關上創建“secondary role”作為訪客角色，并分配特定的“訪客”VLAN，可以在移動網關上實現訪客接入的防火墻策略，以隔離訪客對園區網絡其余部分的訪問。圖7:有線訪客隔離用例圖 分支部署 在典型的分支場景中，例如在零售行業，可以通過在每個商店部署一個移動網關來實現基于用戶的隧道（UBT）。移動網關可以下掛接入交換機來實現端口擴展，用于連接所有設備和用戶。所有這些設備和用戶的流量都被傳輸回部署在本地的移動網關，通過移動網關內置的防火墻進行策略管控，并將流量通過WAN轉發到特定目的地。圖8:分支用例圖 技術白皮書 用戶角色和基于用戶的隧道 12 部署場景 基于用戶的隧道-移動網關獨立

24、部署 此部署包括單個主用網關和可選的備用網關，在主用網關發生故障時充當備份提供故障切換。在單個交換機端口上，支持多達256個具有不同用戶角色的客戶端，例如，Aruba交換機作為匯聚設備，通過非托管的2層交換機或者集線器連接各種有線終端。在單個交換機端口上，如果有兩個隧道客戶端處于同一用戶角色，并通過隧道傳輸到同一個User Anchor Gateway(UAG)，則該交換機端口與移動網關之間建立單個隧道 在單個交換機端口上，如果有兩個隧道客戶端處于不同的用戶角色，并通過隧道傳輸到同一個User Anchor Gateway(UAG)，則該交換機端口與移動網關之間建立兩個隧道 在單個交換機上，如

25、果有十個隧道客戶端連接在十個不同的端口上，則交換機與移動網關之間建立十個隧道。圖9:獨立網關部署圖 基于用戶的隧道-移動網關集群部署(僅有線接入)此實現利用了Aruba移動網關的集群特性。移動網關集群 集群的目的是為所有客戶端提供高可用性，并通過故障切換確保服務連續性 一個集群中最多支持12個72xx網關平臺(所有網關都是72XX)。一個集群中最多支持4個70 xx網關平臺(所有網關都是70XX)。如果混合使用70 xx和72xx網關，則每個集群最多可以支持4個網關。在集群中，用于配置管理其他移動網關的節點被稱為Mobility Conductor，其他移動網關節點被稱為Managed Dev

26、ices。技術白皮書 用戶角色和基于用戶的隧道 13 如果網絡中有大量的有線設備需要采用隧道傳輸到移動網關以實現中心化控制，可以部署專用的移動網關集群專門處理有線隧道流量，這有利于實現大規模的基于用戶的隧道（UBT）部署。在大規模的有線客戶端接入情況下，只要配置了正確的移動網關資源(移動網關集群、負載均衡等)，每個交換機有線端口都可以啟用基于用戶的隧道功能，將用戶流量通過動態隧道傳輸回移動網關。在單個交換機端口上，如果有兩個具有相同/不同角色的隧道客戶端，錨定在兩個不同的UAG上，則交換機會與每個UAG分別建立一個隧道。圖10:集群網關部署圖 基于用戶的隧道-移動網關集群部署(大規模有線和無線

27、接入)如果同時存在大規模的有線和無線接入，則可以分別部署用于有線接入和無線接入的移動網關群集。這將使有線客戶端和設備能夠采用專用的移動網關集群來建立隧道，同時把用于無線接入的移動網關集群用于專門處理無線流量。圖11:有線網關集群部署圖 技術白皮書 用戶角色和基于用戶的隧道 14 配置方法 配置基于用戶的隧道-AOS-CX AOS-CX的配置與AOS-Switch相比有一些根本的區別，CX是基于接口的，而AOS-Switch是基于VLAN的。但是，配置基于用戶的隧道的概念仍然是相同的。需要首先定義ubt網關，以便交換機可以形成到移動網關集群的控制隧道。為此，我們需要輸入以下命令:switch(c

28、onfig)#ubt zone default vrf default 然后需要定義移動網關集群的IP地址，以便交換機可以指向移動網關并下載集群信息。這也“打開”了交換機的隧道功能。這是通過primary-controller ip命令完成的。switch(config-ubt-default)#primary-controller ip 10.6.9.6 注意:必須使用移動網關的物理IP地址 配置ubt-client-vlan，首先定義VLAN，然后將VLAN指定為ubt-client-vlan。這是交換機到移動網關的所有隧道流量的保留VLAN。switch(config)#vlan 400

29、0 switch(config)#ubt-client-vlan 4000 配置交換機與移動網關通訊需要使用的源地址。switch(config)#ip source-interface ubt interface vlan200 可選配置:switch(config-ubt-default)#sac-heartbeat-interval-用于更改交換機和SAG（Switch Anchor Gateway）之間的 keepalive/heartbeat 數據包間隔時間(默認=1)。通常用于隧道在網絡擁塞期間無法建立的情況下進行故障排除，或者在故障時確保更快地切換到備份網關?？蛇x配置:switc

30、h(config-ubt-default)#UAG-keepalive-interval 60 Enable 以下命令用于驗證配置:switch#show ubt Zone Name:Aruba Primary Controller:10.6.9.6 Backup Controller:10.6.9.5 SAC HeartBeat Interval:1 UAG KeepAlive Interval:60 VLAN Identifier:4000 VRF Name:default Admin State:Enabled PAPI Security Key:Disabled switch#show

31、 ubt state Local Master Server(LMS)State:LMS Type IP Address State Role Primary:10.6.9.6 ready_for_bootstrap operational_primary Secondary:10.6.9.5 ready_for_bootstrap operational_secondary Switch Anchor Controller(SAC)State:Active:10.6.9.6 技術白皮書 用戶角色和基于用戶的隧道 15 所有移動網關都應處于“up”和已注冊的狀態，并且顯示為“ready_for

32、_bootstrap”。在移動網關和集群上配置隧道配置文件 這是在網關上配置secondary role，并移動網關配置為集群模式。配置secondary role user-role contractor vlan 25 access-list session global-sacl access-list session apprf-contractor-sacl access-list session blockhttp 以下配置適用于移動網關處于集群模式的情況:Mobility Conductor配置 lc-cluster group-profile aruba2node gatewa

33、y 10.0.102.6 gateway 10.0.102.218 (ArubaMC)(config)#show configuration node-hierarchy Default-node is not configured.Autopark is disabled.Configuration node hierarchy Config Node Type-/System/md System/md/00:1a:1e:02:a4:c0 Device/md/00:1a:1e:02:a6:40 Device/mm System/mm/mynode System (ArubaMC)mm(con

34、fig)#cd/md/00:1a:1e:02:a4:c0(ArubaMC)00:1a:1e:02:a4:c0(config)#lc-cluster group-membership aruba2node(ArubaMC)mm(config)#cd/md/00:1a:1e:02:a6:40(ArubaMC)00:1a:1e:02:a6:40(config)#lc-cluster group-membership aruba2node 注意:配置集群配置文件時需要在集群配置文件中指定移動網關的IP地址。圖12:“show switches”命令輸出 注意:驗證是否添加了所有移動網關(md)，并且狀

35、態為“UPDATE SUCCESSFUL”。交換機上的 Show 命令:#Show ubt#Show ubt state#Show ubt statistics#Show ubt information#Show ubt users all#Show ubt users count 技術白皮書 用戶角色和基于用戶的隧道 16 交換機上的 debug 命令#debug ubt#debug portaccess(for user roles)#debug destination console#debug destination buffer 移動網關上用于故障排錯的 show 命令:#Show

36、tunneled-node-mgr tunneled-nodes#Show tunneled-node-mgr tunneled-users#Show station-table#Show datapath bridge#Show datapath tunnel#show lc-cluster group-membership#show lc-cluster vlan-probe status#show tunneled-node-mgr cluster-bucket-map 通過NetEdit中配置基于用戶的隧道 使用Aruba NetEdit配置編輯工具，現在只需通過NetEdit中的向導

37、即可完成動態隔離配置。首先從NetEdit的拓撲視圖中選擇配置ubt的交換機。圖13:NetEdit拓撲視圖 技術白皮書 用戶角色和基于用戶的隧道 17 然后，右鍵單擊所需的設備以顯示部署解決方案選項:圖14:NetEdit-動態隔離解決方案配置菜單 輸入ubt配置所需的信息:圖15:NetEdit-動態細分“部署解決方案”菜單詳細信息 技術白皮書 用戶角色和基于用戶的隧道 18 完成后，可以通過單擊預覽按鈕來預覽配置:圖16:NetEdit-動態細分“部署解決方案”預覽按鈕 在預覽窗口中，可以查看添加的配置(以綠色突出顯示)，然后再將其推送到交換機。圖17:NetEdit-動態細分“部署解決

38、方案”配置比較 實現所需的配置后，單擊“確定”按鈕，然后從“解決方案輸入”窗口中單擊“下一步”。技術白皮書 用戶角色和基于用戶的隧道 19 圖18:NetEdit-動態細分“部署解決方案”創建按鈕 這將生成配置并驗證解決方案。圖19:NetEdit-動態細分“部署解決方案”配置驗證 準備就緒后，單擊“Deploy”，將配置部署到交換機。技術白皮書 用戶角色和基于用戶的隧道 20 如果確定將部署所需的配置，請單擊“是”。圖20:NetEdit-動態細分解決方案部署 然后，NetEdit將配置推送到交換機。圖21:NetEdit-動態細分“部署解決方案”部署狀態 技術白皮書 用戶角色和基于用戶的隧

39、道 21 配置更改后，也可以點擊“ROLLBACK”進行回滾。圖22:NetEdit-動態分段“部署解決方案”回滾或提交。如果確認更改，點擊“COMMIT”將配置更新到交換機啟動配置。圖23:NetEdit-動態隔離“部署解決方案”提交。技術白皮書 用戶角色和基于用戶的隧道 22 角色配置 本地用戶角色可以與ClearPass或者其他RADIUS服務器配合使用。任何RADIUS服務器都可以返回Aruba-User-Role VSA，當交換機接收到該VSA時，會依照該VSA為用戶分配交換機上本地配置的用戶角色。但是，這種方式要求每臺交換機上都必須手工配置所有角色，除非通過自動化部署交換機配置。用

40、戶角色中的屬性 多個設備屬性可以通過本地配置或者動態下載方式配置在交換機的用戶角色中:無標簽的 VLAN ID 或 VLAN Name 多個帶標簽的VLAN ID(或者單個帶標簽的 VLAN Name)ACL和QoS策略 端口模式 PoE優先級 QoS信任 重認證時間 流量策略 可以在用戶角色中配置流量策略以允許或拒絕流量。應當注意，每次在客戶端或設備的端口處應用用戶角色時，該策略中的條目將添加到交換機的TCAM表中。在部署用戶角色時，有必要進行相應的規劃，以確保正在使用的交換機型號具有必要數量的TCAM條目，能夠支持預期數量的網絡客戶端。用戶角色的流量策略示例如下:class ip BLOC

41、K_VNI101 match ip any 192.168.101.0/24 count exit port-access policy BLOCK_VNI101 class ip BLOCK_VNI101 action drop exit port-access role vxlan102 associate policy BLOCK_VNI101 vlan access 102 exit switch#show port-access policy Access Policy Details:=Policy Name:BLOCK_VNI101_VXLAN_102_ACL-3015-3 Po

42、licy Type:Downloaded Policy Status:Applied SEQUENCE CLASS TYPE ACTION 10 BLOCK VNI101_VXLAN_102_AC.ipv4 drop 注意:用戶策略中有一個隱含的denyall規則。任何需要允許的流量都需要具有一個適當的流量類別。技術白皮書 用戶角色和基于用戶的隧道 23 QoS 可以根據用戶角色QoS策略中的DSCP或IP優先級對用戶流量進行優先級排序。這使得在網絡擁塞的情況下可以對用戶或設備的流量優先級進行重新分類。對于隧道轉發的用戶或設備流量，則可以根據策略標記隧道外部GRE Header。有關示例，請參

43、見圖24。圖24:具有QoS配置的可下載用戶角色 在上述用戶角色中，我們將camera這個角色的所有流量標記為“EF”流量。在客戶端連接并建立隧道之后，我們可以在接入交換機和移動網關之間的核心交換機處進行抓包，以查看隧道化的數據包，并GRE數據包中觀察到DSCP標記。圖25:在GRE報頭中顯示QoS標記的數據包 設備模式 如果在用戶角色中配置了設備模式，當第一個設備被認證并分配該用戶角色后，交換機解析到該用戶角色為設備模式時，端口被“打開”以用于隨后的終端接入。這主要用于Aruba的園區或即時接入點(IAP)，在IAP被認證后，IAP上的所有后續用戶將被允許從該端口訪問網絡。在ClearPas

44、s中配置設備模式時，用戶角色配置如下所示:圖26:具有端口模式配置的可下載用戶角色 交換機上應用了該角色以后，可以使用命令“show port-access role”查看角色所應用的屬性 技術白皮書 用戶角色和基于用戶的隧道 24 圖27:交換機中的可下載用戶角色 從下面的身份驗證輸出中，可以看到只有一個MAC地址進行身份驗證，這就是IAP。圖28:Port-Access 輸出，突出顯示進行身份驗證的客戶端設備 但是，通過查看MAC地址表，我們可以看到接口上有多個MAC地址(1/1/6)。圖29:MAC地址表的輸出，顯示了一個即時接入點之外的多個客戶端 對照 IAP 用戶管理界面，在交換機M

45、AC地址表中顯示的3個客戶端是 IAP 的無線客戶端連接到交換機的。圖30:Aruba Instant AP用戶管理界面 PoE優先級 可以通過用戶角色配置來設置PoE優先級。這對于需要確保設備具有必要的PoE電源的關鍵設備很有用。例如，如果VoIP電技術白皮書 用戶角色和基于用戶的隧道 25 話需要始終通電以確保緊急情況下的關鍵呼叫，則可以為電話設置更高的PoE優先級，這將確?？梢該艽蜻@些電話。下面的用戶角色示例顯示PoE優先級和配置以及它們應用在交換機上時顯示的信息。圖31:具有PoE優先級設置的可下載用戶角色 圖32:交換機上顯示的具有PoE分配和優先級設置的可下載用戶角色 本地用戶角色

46、 本地用戶角色允許Aruba交換機在本地配置基于用戶的策略。在用戶角色配置中，可以創建ACL和QoS策略，配置設備和端口屬性，以及將流量隧道傳輸到Aruba Mobility gateway的命令，即“gateway-zone zone gateway-role”。當該命令被處理時，交換機將建立用戶隧道并在移動網關上應用secondary role(用戶角色)，secondary role 可以是現有的無線用戶角色或自定義的其它用戶角色，它駐留在移動網關上。為了澄清起見，交換機上存在的角色稱為 primary role，它是交換機的本地角色，可用于將用戶角色屬性分配給本地交換的用戶或客戶端，或

47、是否需要建立隧道將指定客戶端或設備流量傳輸到移動網關。secondary role 存在于移動網關上，應用于隧道客戶端。例如，如果要將客戶端流量通過隧道進行轉發，則除了“gateway-zone”命令之外，Primary role 還需要包含 secondary role 相關的配置，指示移動網關為該客戶端應用何種用戶角色。移動網關在解開隧道封裝后，會自動將 secondary role 中的策略和VLAN應用于通過隧道進入的客戶端或用戶流量。在RADIUS服務器不是ClearPass的情況下，需要使用本地用戶角色。任何RADIUS服務器都可以返回Aruba-User-Role VSA，當交換

48、機接收到該VSA時，交換機會根據該VSA為用戶分配交換機上本地配置的用戶角色。本地角色定義非常靈活和簡單，因此也可以用于需要基于位置動態分配vlan(例如建筑樓層)的場景。本地用戶角色的配置如下所示:class ip camera-ef 10 match any any any port-access policy camera-ef 10 class ip camera-ef action cir kbps 4000 cbs 1000 exceed drop action dscp EF port-access role camera auth-mode client-mode associ

49、ate policy camera-ef gateway-zone zone test gateway-role camera 技術白皮書 用戶角色和基于用戶的隧道 26 注:在上面的示例中，gateway-zone 屬性指示交換機將用戶所有流量重定向到移動網關，并在移動網關上為用戶分配“camera”這個用戶角色。重定向屬性指定的secondary role應預先配置在移動網關上。在上面的示例中，使用了預定義的角色“camera”。所有用戶策略都包括IPv4和IPv6流量的隱式“deny all”規則。需要創建規則以允許特定端口。默認情況下，允許在策略中調用未定義任何操作的class。建議在

50、網絡中所有需要承載隧道數據包的vlan上使用巨型幀，以避免潛在的分片問題。如果通過網絡發送1518字節的最大標準尺寸的幀，再加上作為GRE報頭的46字節，將導致傳輸的幀超過最大標準幀尺寸。巨型幀僅在交換機到移動網關的上行鏈路路徑中需要，因為這是用于承載封裝數據包(GRE有效負載)的鏈路。用戶VLAN或保留VLAN不需要配置巨型幀。如果預期客戶端會通過隧道發送1518字節的數據包，則巨型幀的建議MTU大小應至少為1564字節?？上螺d的用戶角色 可下載用戶角色允許Aruba交換機直接從ClearPass策略管理器下載用戶角色。這避免了在園區網絡中所有交換機配置多個用戶角色的工作。它還使ClearP

51、ass成為管理接入交換機用戶策略的中心點，同時使交換機上的用戶配置最小化?？上螺d用戶角色通過使用REST API從ClearPass下載與本地用戶角色類似的用戶屬性到交換機上實現用戶角色控制功能(請參閱上一節“本地用戶角色”)。這個過程是基于超文本傳輸協議安全(HTTPS)協議完成的，為了實現安全套接字層(SSL)握手，使可下載用戶角色正常工作，必須將ClearPass HTTPS證書的簽名證書頒發機構(CA)添加到交換機并標記為受信任。在AOS-CX中默認啟用了可下載用戶角色功能。創建ClearPass只讀管理員賬號 建議創建只讀管理員賬號用于交換機連接Clearpass并下載用戶角色。這些

52、賬號憑據將用于交換機配置，以創建與Clearpass的安全連接。要創建只讀管理員用戶，請導航到Clearpass的管理-用戶和權限-管理員用戶-添加。圖33:ClearPass只讀管理員用戶創建 一旦在ClearPass和交換機上創建了憑據，就可以在ClearPass的強制執行配置文件中創建可下載的用戶角色。在ClearPass 6.9和更高版本中，可以通過標準配置模式來創建專門用于AOS-CX交換機的可下載用戶角色強制執行配置文件。而在ClearPass 6.8版本中，則需要使用Mobility Access Switch配置文件和高級配置模式。要為可下載角色配置強制執行配置文件，請添加新配

53、置文件。選擇“Aruba Downloadable Role Enforcement”(1)，然后選擇“Standard”(2)，最后選擇AOS-CX(3)。請記住，AOS-CX的標準配置模式僅在ClearPass 6.9及后續版本中支持。技術白皮書 用戶角色和基于用戶的隧道 27 圖34:ClearPass強制執行配置文件配置 選擇標準配置模式后，可以通過圖形化用戶界面配置角色，如下所示。圖35:ClearPass標準角色配置-示例 角色的高級配置可以在下面的圖中看到。如先前使用標準配置所做的那樣，將使用“Aruba Downloadable Role Enforcement”類別(1)創建

54、配置文件。然后，單擊“Advanced”按鈕以配置可下載用戶角色(2)，最后，選擇“AOS-CX”(3)。點擊“下一步”繼續。技術白皮書 用戶角色和基于用戶的隧道 28 圖36:ClearPass可下載用戶角色配置文件創建 在圖37中，要配置可下載用戶角色，請使用RADIUS類型“Radius:Aruba”(1)。選擇屬性名稱“Aruba-CPPM-Role”(2)。在“Value”字段中，輸入與AOS-CX 交換機(3)本地用戶角色語法完全相同的用戶角色配置。通過單擊屬性字段右側的“軟盤”圖標來保存可下載用戶角色。圖37:ClearPass可下載用戶角色配置文件創建 為了配置交換機以從Cle

55、arpass下載用戶角色，交換機需要配置以下內容:使用ClearPass FQDN作為證書通用名稱(CN)簽署ClearPass HTTPS證書的根證書(詳細信息如下)。使用Clearpass及其FQDN定義的RADIUS服務器，以及ClearPass的只讀管理員登錄憑據(詳細信息如下)配置DNS服務器來解析ClearPass FQDN。交換機配置示例如下:radius-server host aoss- key ciphertext clearpass-username admin clearpass-password ciphertext vrf mgmt 確認交換機和Clearpass都

56、可以訪問到共同的DNS服務器:Switch(config)#ip dns server-address 10.80.2.219 注:也可以使用“ip dns host”命令。技術白皮書 用戶角色和基于用戶的隧道 29 將根證書復制到Aruba交換機 在交換機中創建受信任的錨配置文件 Switch(config)#crypto pki ta-profile 您可以復制并粘貼證書，也可以通過tftp/sftp或USB加載。首先導航到之前創建的ta配置文件:Switch(config)#crypto pki ta-profile 然后，可以通過復制/粘貼導入證書。Switch(config-ta-c

57、ppm)#ta-certificate import REMOTE_URL URL of syntax tftp:/|sftp:/USERIP|HOST:PORT;blocksize=VAL/FILE STORAGE_URL URL of syntax usb:/file terminal Read from the current CLI terminal 注意:如果復制和粘貼，請確保完成后運行命令 Ctrl D 以保存證書。然后驗證證書是否復制正確:Switch(config-ta-cppm)#show crypto pki ta-profile cppm TA Profile Name:

58、cppm Revocation Check:disabled OCSP Primary URL:Not Configured OCSP Secondary URL:Not Configured OCSP Enforcement-level:strict OCSP Disable Nonce:false OCSP VRF:mgmt TA Certificate:Installed and valid Certificate:Data:Version:3(0 x2)Serial Number:66:20:c0:74:f8:56:42:a3:44:dc:fa:4c:0c:17:13:06 Signa

59、ture Algorithm:sha256WithRSAEncryption Issuer:DC=net,DC=tmelab,CN=tmelab-AD-CA Validity Not Before:Mar 29 01:13:08 2017 GMT Not After:Mar 29 01:23:08 2022 GMT Subject:DC=net,DC=tmelab,CN=tmelab-AD-CA Subject Public Key Info:Public Key Algorithm:rsaEncryption Public-Key:(2048 bit)Modulus:00:eb:76:a7:

60、51:d9:04:26:e0:ba:37:8b:f5:fd:6e:f4:ee:e3:57:1f:de:c5:45:cc:f1:67:ef:6e:f3:96:0a:d8:c9:25:d6:b7:2b:d6:33:72:73:7f:a3:f7:16:ca:90:ce:bb:1a:3f:e4:21:94:db:18:31:3a:d8:d9:88:9c:72:6e:c2:f6:03:6c:86:9c:7d:e5:e9:73:5e:c6:76:4c:13:fc:f2:aa:14:3c:3f:45:8c:7e:36:62:09:ea:00:de:b5:fa:8a:66:72:df:1a:46:04:89:

61、85:3b:4a:bf:e5:84:a2:55:6d:2e:02:fd:fc:22:f7:ce:6b:e6:6e:9c:f7:a3:26:23:17:d5:b7:95:eb:29:0f:9d:81:78:46:cf:aa:c0:6b:00:b6:d8:43:2a:71:24:92:e8:9d:9b:ae:78:ce:de:3e:14:98:6c:f9:db:ac:6b:95:f0:cf:41:88:3c:84:c9:0f:3b:39:46:06:82:ae:c9:92:bc:23:ad:ea:fe:04:a6:05:23:1a:89:40:31:db:63:de:a8:cd:b6:94:49:

62、cb:fc:9c:ec:a5:a5:4a:c7:e7:aa:f7:8d:3e:57:9f:4e:49:0d:d3:88:26:f0:4a:9e:26:0a:67:12:0a:fa:6e:0c:bf:65:d2:d3:技術白皮書 用戶角色和基于用戶的隧道 30 3c:6e:64:11:b5:17:56:03:97:f6:dc:43:7e:77:8d:ac:db Exponent:65537(0 x10001)X509v3 extensions:X509v3 Key Usage:Digital Signature,Certificate Sign,CRL Sign X509v3 Basic Con

63、straints:critical CA:TRUE X509v3 Subject Key Identifier:2E:06:33:B3:D0:BA:42:00:BC:64:83:2F:5B:59:BC:E2:57:ED:43:50 1.3.6.1.4.1.311.21.1:.Signature Algorithm:sha256WithRSAEncryption c9:d5:51:f3:a6:19:7b:3f:4d:b8:8b:c9:39:fb:4b:73:3b:b4:cb:76:1f:1a:80:39:3c:af:3c:62:fd:d3:48:cb:fe:83:12:b9:ca:27:1e:5

64、3:61:e4:57:73:ef:55:e0:97:c8:df:4d:9f:d1:14:28:b2:7c:f3:bf:c1:a8:34:ec:34:a2:83:db:46:b1:1c:d9:3f:c3:6a:79:23:c2:d8:ea:0f:d8:f2:dd:cd:f3:88:17:c7:7e:37:f7:e1:9e:cc:17:65:c7:39:c4:99:60:21:79:b0:10:fc:93:27:a7:e6:83:f5:78:70:f6:d8:06:78:35:cc:07:f1:88:87:1d:0f:08:ad:b6:55:b4:54:a0:37:99:3f:7a:3e:2e:6

65、7:41:d9:f3:9d:aa:17:cd:f3:e7:b6:38:ca:73:00:6b:01:18:61:09:25:6a:8e:29:25:24:1c:2d:b9:26:49:74:45:fc:b2:99:dc:6e:58:47:e5:1e:87:db:17:60:e3:49:68:5e:47:4d:b7:03:97:40:e9:ae:56:93:14:d5:ed:6c:70:0b:c7:a4:8a:d9:e5:63:90:53:d9:91:d5:d4:b5:cb:52:c8:2f:b8:dd:e3:f0:6d:be:ca:f6:22:4b:a6:7f:75:ad:ce:45:be:8

66、6:ae:6e:fd:b2:a6:69:ce:52:99:5d:68:d4:ff:35:71:05 使用Windows Server簽署ClearPass簽名請求 注意:為了使用此過程，假定已在Windows Server上配置并安裝了證書服務。使用Microsoft Windows Server 2016標準測試了以下過程。這可能適用于其他版本的Windows Server，并在步驟中有所不同。此過程利用已安裝在Windows Server中的根證書。步驟1:從ClearPass策略管理器生成證書簽名請求(CSR)導航到ClearPass策略管理器中的“管理”和“服務器證書”單擊“選擇類型”

67、，然后選擇“HTTPS服務器證書”(1.)，然后單擊“創建證書簽名請求”(2.)圖38:CPPM HTTPS服務器證書和證書簽名請求創建 技術白皮書 用戶角色和基于用戶的隧道 31 步驟2:在簽名請求中添加適當的信息(通用名稱、組織單位、私鑰等)，然后單擊提交 圖39:CPPM證書簽名請求向導 步驟3:選擇“Download CSR and Private Key File”后，可以得到由ClearPass生成的兩個文件CertSignRequest.CSR 和 CertPrivKey.pkey-可能取決于瀏覽器 圖40:CPPM證書簽名請求向導 步驟4:使用Windows Server 20

68、16標準版簽署證書 在Windows Server中打開web瀏覽器，導航到https:/localhost/certsrv/,然后點擊“申請證書”。圖41:Windows Server證書管理頁面 步驟5:點擊“高級證書申請”圖42:Windows Server高級證書請求 技術白皮書 用戶角色和基于用戶的隧道 32 步驟6:點擊“使用基于64編碼的CMC或PKCS#10文件提交證書請求，或者使用基于64編碼的PKCS#7文件提交續訂請求?！眻D43:Windows Server提交base-64證書請求向導 步驟7:復制步驟3中ClearPass生成的CSR請求，然后單擊提交 圖44:Win

69、dows Server將證書簽名請求(CSR)復制到證書請求向導中 步驟8:點擊“Base 64編碼”和“下載證書鏈”圖45:Windows Server完整證書請求和下載證書鏈 步驟9:證書應該在“證書管理器”中自動打開-根證書和服務器證書都應該出現 圖46:Windows Server證書管理器 步驟10:鼠標右鍵單擊服務器證書(頂部)，鼠標左鍵單擊導出，將出現證書導出向導。單擊下一步 技術白皮書 用戶角色和基于用戶的隧道 33 圖47:Windows Server證書導出向導 步驟11:選中“Base-64編碼的X.509(.CER)，然后單擊“下一步”。圖48:Windows Serv

70、er證書導出向導-Base 64編碼選擇 33 技術白皮書 用戶角色和基于用戶的隧道 34 步驟12:瀏覽到要存儲的HTTPS服務器證書的目的地。單擊“下一步”。圖49:Windows Server證書導出向導文件目標 步驟13:單擊Finish退出證書導出向導 圖50:Windows Server證書導出向導完成 步驟14:重復步驟10-13導出根證書。步驟15:將根證書復制到ClearPass信任列表 注意:可能需要使用FTP或SCP復制文件，以便ClearPass可以從遠程訪問它們。復制/粘貼適用于微軟的遠程桌面連接。技術白皮書 用戶角色和基于用戶的隧道 技術白皮書 用戶角色和基于用戶的

71、隧道 35 選擇管理-信任列表-添加 圖51:CPPM將根證書添加到信任列表 要將根證書添加到信任列表中，請選擇“添加”(1)，然后選擇“瀏覽”(2)以從本地選擇要安裝的證書，并選擇“添加證書”以將根證書安裝到信任列表中(3)。圖52:CPPM選擇根證書位置 步驟4:將HTTPS服務器證書添加到ClearPass 1.導航到管理-服務器證書-選擇“HTTPS服務器證書”2.選擇“導入服務器證書”3.找到在步驟10-13中創建的服務器證書-可能需要從Windows服務器中復制 4.找到在步驟3中創建的私鑰文件 5.輸入私鑰密碼 技術白皮書 用戶角色和基于用戶的隧道 36 圖53:CPPM添加HT

72、TPS服務器證書和私鑰文件 使用OpenSSL簽署ClearPass證書簽名請求 注意:本節僅用于演示。應始終在生產環境中使用受信任的證書。有關證書和ClearPass的更多信息，請參閱ClearPass用戶指南-https:/ 步驟1:從ClearPass策略管理器生成證書簽名請求(CSR)導航到ClearPass策略管理器中的“管理”和“服務器證書”單擊“選擇類型”，然后選擇“HTTPS服務器證書”(1.)，然后單擊“創建證書簽名請求”(2.)圖54:CPPM HTTPS服務器證書和證書簽名請求創建 在簽名請求中添加適當的信息(通用名稱、組織單位、私鑰等等;)圖55:CPPM創建證書簽名請

73、求向導 然后，選擇“Download CSR and Private Key File”，可以獲得由ClearPass生成的兩個文件，技術白皮書 用戶角色和基于用戶的隧道 37 CertSignRequest.CSR 和 CertPrivKey.pkey-可能取決于瀏覽器 圖56:CPPM證書簽名請求內容 步驟2:在CentOS中通過OpenSSL簽署ClearPass簽名請求(.csr)將步驟1中生成的CSR文件復制到CentOS目錄/etc/pki/tls/misc中(可能需要使用SCP或FTP)使用以下命令在OpenSSL中簽署證書:sudo openssl x509-req-days

74、900-in CertSignRequest.csr-CA rootcert.pem-CAkey././CA/private/cakey.pem-CAcreateserial-out servercert.pem 注意:o“-days”參數將確定證書的到期時間 o 確保與根證書存在于同一目錄中(例如/etc/pki/tls/misc)o././CA/private/cakey.pem指的是在步驟1中創建的私鑰 o servercert.pem指的是將創建的新的HTTPS簽名證書 步驟3:將根證書復制到ClearPass信任列表 注意:可能需要使用FTP或SCP復制文件，以便ClearPass可

75、以從遠程訪問它們。選擇管理-信任列表-添加 圖57:CPPM信任列表 要將根證書添加到信任列表中，請選擇“添加”(1)，然后選擇“瀏覽”(2)以獲取要安裝的證書，并選擇“添加證書”以將根證書安裝到信任列表中(3)。技術白皮書 用戶角色和基于用戶的隧道 38 圖58:CPPM將根證書添加到信任列表 步驟4:將HTTPS服務器證書添加到ClearPass 1.導航到管理-服務器證書-選擇“HTTPS服務器證書”2.選擇“導入服務器證書”3.找到在步驟2中創建的服務器證書-可能需要從CentOS復制 4.瀏覽到在步驟1中創建的私鑰文件 5.輸入私鑰密碼 圖59:CPPM添加HTTPS服務器證書 注意

76、:這是最不安全的方法，它是沒有證書頒發機構簽署證書時的一種解決方法，建議僅用于演示目的。從CentOS中的OpenSSL創建根證書 這些步驟已通過CentOS 7虛擬機進行了驗證。這個經過測試的CentOS 7版本帶有默認的OpenSSL版本1.0.k-fips(2017年1月26日)。這些步驟可能會因Linux/Unix或MacOS X的發行而異。步驟1:確保您有一個運行CentOS的電腦。步驟2:在“Terminal”中，使用以下命令更改到/etc/pki/tls/misc目錄(可能會因所使用的Linux操作系統而異):cd/etc/pki/tls/misc-OpenSSL的默認路徑 步驟

77、3:從“misc”目錄中輸入以下命令以創建證書文件并設置權限:touch././CA/serial 技術白皮書 用戶角色和基于用戶的隧道 39 chmod 777././CA/serial touch././CA/cacert.pem chmod 777././CA/cacert.pem touch././CA/private/cakey.pem chmod 777././CA/private/cakey.pem touch././CA/index.txt chmod 777././CA/index.txt echo 1000 /etc/pki/CA/serial chmod 600././C

78、A/index.txt/etc/pki/CA/serial/etc/pki/tls/f 步驟4:生成新的根證書。./CA-newcert 步驟5:將newcert.pem(在步驟4中生成的證書)文件復制到cacert.pem cp newcert.pem././CA/cacert.pem cp:overwrite././CA/cacert.pem?y-如果文件已經存在 步驟6:將newkey.pem(在步驟4中生成的私鑰)復制到cakey.pem中 cp newkey.pem././CA/private/cakey.pem cp:overwrite././CA/private/cakey.pe

79、m?y-如果文件已經存在 步驟7:使用文本編輯器(vi，vim，emacs，gedit)，將cacert.pem的內容復制到新文件中，并另存為pem文件(例如rootcert.pem)圖60:Gedit示例:將cacert.pem內容粘貼到新的PEM文件中 用戶角色故障排除 常用的用戶角色故障診斷命令:Debug portaccess role Debug destination buffer(or console)Show debug buffer 常見的用戶角色錯誤代碼:錯誤代碼35-此錯誤顯示在debug日志中，并指示交換機和ClearPass之間的時間存在偏差，或者證書下載/安裝存在問

80、題。Parsing the XML for the cprole failed-檢查交換機上配置的Clearpass只讀帳戶和密碼是否正確 可擴展性 移動網關 技術白皮書 用戶角色和基于用戶的隧道 40 表3-移動網關擴展能力 移動網關 最大支持隧道數 7280 32768 7240/7240XM 32768 7220 16384 7210 8192 7205 4096 7030 1024 7024 512 7010 512 7008 256 7005 256 交換機 表4-交換機擴展能力 交換機/堆疊 每個交換機或堆棧支持的最大用戶隧道數 每個端口支持的最大用戶隧道數 6200 1024 3

81、2 6300F/M 1024 256 6400 1024 256 性能（每個交換機1024個隧道用戶）表5-1024隧道用戶時的性能 數據包尺寸(字節)每個端口隧道用戶 交換機中的隧道用戶總數 32端口Tx/Rx Rx吞吐量平均值(Gbps)平均延遲(ms)256 32 1024 13.195 1.071 512 32 1024 26.447 0.982 1024 32 1024 31.387 0.031 1280 32 1024 31.508 0.035 1518 32 1024 31.584 0.038 常見問題 1)在移動網關集群中，交換機如何確定將用戶流量發送到哪個網關？a.在交換機引

82、導過程中，SAG將bucket map發送到交換機。此映射是256條目的數組，每個條目都包含要使用的主用網關和備用網關。用戶的mac地址被散列到此表中，以獲取將用戶流量隧道到的移動網關地址。2)交換機從什么時候開始發送與SAG和S-SAG之間的心跳？a.心跳在具有特定GRE key(0 xDEED)的GRE隧道上傳輸。交換機完成引導后會立即發起SAG和S-SAG心跳。3)與SAG心跳失敗時會發生什么？a.心跳失敗會觸發交換機采取以下動作:技術白皮書 用戶角色和基于用戶的隧道 41 i.移除錨定到SAG的用戶 ii.故障切換到S-SAG(例如:S-SAG現在成為新的SAG)4)當UAG的keep

83、alive失敗時會發生什么？a.錨定到UAG的用戶將被刪除，并在事件日志中進行消息記錄。5)是否應該在交換機上啟用巨型幀？a.建議在隧道數據包的數據路徑上啟用巨型幀。當分組大小達到1468字節時，加上GRE報頭具有的46字節報頭，將使分組接近標準MTU最大值。如果不希望在網絡中設置巨型幀，則Aruba移動網關可以對TCP流量進行tcp-mss重寫。但是，如果在其他類型的流量中看到更大的數據包，則可能會看到數據包丟失。如果期望客戶端發送大于1518字節的數據包，則推薦的MTU不小于1564字節。b.巨型幀TCP MSS重寫場景(移動網關上的TCP重寫)表6-巨型幀TCP MSS重寫方案 位于交換

84、機和網關之間的基礎設施 移動 網關 交換機 客戶端VLAN Windows 客戶端MTU 移動網關 TCP mss重寫 ICMP Jumbo Jumbo Jumbo 9014字節 沒有發生重寫，因為客戶端發送的mss 不超過隧道-mtu-114 在更大的數據包中 沒有觀察到任何問題 Jumbo No Jumbo Jumbo 9014字節 沒有發生重寫，因為移動網關上隧道mtu設置為9198 ICMP直到1706字節(ping 1664字節)之前工作正常，之后不通過網關轉發報文 Jumbo Jumbo No Jumbo 默認 沒有發生重寫，因為移動網關上隧道mtu設置為9198 沒有觀察到任何問

85、題 Jumbo No Jumbo No Jumbo 默認 沒有發生重寫，因為移動網關上隧道mtu設置為9198 沒有觀察到任何問題 No Jumbo Jumbo Jumbo 9014字節 當客戶端發送的mss大于 隧道-mtu-114時，網關重寫發生 由于隧道開銷為46字節，報文超過1468字節時發生丟包 No Jumbo No Jumbo Jumbo 9014字節 當客戶端發送的mss大于 隧道-mtu-114時，網關重寫發生 由于隧道開銷為46字節，報文超過1468字節時發生丟包 No Jumbo Jumbo No Jumbo 默認 當客戶端發送的mss大于 隧道-mtu-114時，網關重

86、寫發生 由于隧道開銷為46字節，報文超過1468字節時發生丟包 No Jumbo No Jumbo No Jumbo 默認 當客戶端發送的mss大于 隧道-mtu-114時，網關重寫發生 由于隧道開銷為46字節，報文超過1468字節時發生丟包 6)當UAG網關不可達時會發生什么？a.SAG將節點列表更新發送到交換機，以通知UAG網關已關閉。錨定到該網關的所有用戶都將被刪除。一段時間后，SAG網關會向交換機發送bucket map更新。然后，交換機處理bucket map更新，并根據bucket 技術白皮書 用戶角色和基于用戶的隧道 42 map將用戶錨定到相應的網關(備用)。注意:重要的是要驗

87、證交換機和網關上的bucket map是否相同。另外，應驗證用戶是否已錨定到正確的網關，如交換機和網關上的bucket map所示。7)當SAG網關不可達時會發生什么？a.節點列表更新由S-SAG發送給switch。由于節點列表是從S-SAG而不是SAG接收的，因此交換機認為SAG已停止服務并啟動到S-SAG的故障切換。此外，該交換機會刪除錨定到SAG的所有用戶。一旦S-SAG確認故障切換請求，S-SAG就成為新的主用SAG。然后，新的主用SAG發送節點列表更新和bucket map更新。在節點列表更新中，將提供新的S-SAG。然后，交換機將引導并與新的S-SAG建立心跳。之后，交換機處理bu

88、cket map更新，并將用戶錨定到相應的網關。注意:重要的是要驗證交換機和網關上的bucket map是否相同。另外，應驗證用戶是否錨定在交換機和網關上的bucket map中標識的正確網關。8)當S-SAG網關不可達時會發生什么？a.節點列表更新由SAG發送到交換機。該交換機停止與S-SAG之間的心跳，并刪除錨定在其上的所有用戶。然后，交換機將啟動引導到節點列表更新中提供的新S-SAG。一旦收到引導確認，交換機就會開始與新的S-SAG建立心跳。一段時間后，SAG將發送bucket map更新。然后，交換機處理更新并將用戶錨定到其各自的網關。注意:重要的是要驗證交換機和網關上的bucket

89、map是否相同。另外，應根據交換機和網關上的bucket map驗證用戶是否已錨定到適當的網關。9)“show ubt state”中的狀態是什么意思？a.正在注冊-Bootstrapping b.已注冊-Bootstrapped c.未注冊 Un-Bootstrapping 10)當用戶角色屬性改變時會發生什么？a.為應用了該角色的用戶啟動重新引導，該角色包含引導數據包中更新的角色屬性。這些用戶狀態變更為“正在注冊”狀態。一旦從移動網關接收到確認消息，用戶狀態再次變更為“已注冊”狀態。這僅適用于VLAN和secondary role的更改。11)客戶端“MAC地址移動”會發生什么？a.為客戶

90、端啟動重新引導。僅在收到來自移動網關的確認后，客戶端流量才開始隧道傳輸。12)隧道客戶端VLAN配置的建議是什么？a.使用保留的VLAN，無需在用戶角色中專門添加VLAN配置，所有隧道化的流量將通過保留VLAN發送。VLAN分配將通過網關用戶角色在網關進行 13)如何使用QoS對隧道數據包進行優先級排序？a.參見第23頁。14)“我看到交換機上用戶狀態是 已注冊，但對ping沒有反應。如何調試？”技術白皮書 用戶角色和基于用戶的隧道 43 a.檢查交換機和網關是否正確配置了用戶角色和vlan。檢查從隧道交換機到移動網關的路徑中的所有交換機的IP MTU設置為=(1500+46)。由于解決方案有

91、兩個部分，因此我們需要確切地知道哪個部分的行為不正確。要確定交換機是否正在隧道傳輸流量，請使用“show ubt statistics”命令檢查是否正在接收和傳輸用戶流量。如果計數器沒有增加，則需要分析交換機配置。在移動網關:檢查“show datapath tunnel”，以查看“Encaps”和“Decaps”計數器是否增加。對交換機到移動網關的上行鏈路上發送和接收到網關的流量進行數據包跟蹤也是有幫助的，GRE封裝的數據包將會有所幫助。15)需要打開哪些防火墻端口才能啟用基于用戶的隧道？a.確保Aruba交換機和移動網關之間的網絡允許PAPI(UDP 8211)，GRE(協議47)和ICM

92、P(Echo-Request/Echo-Reply)。16)備份網關IP是干什么用的？a.如果主用網關(交換機錨網關)由于各種原因碰巧“脫機”，則備用交換機錨網關將自動接管作為主用網關，并且選擇新的移動網關作為備用網關(如果可用)，直至整個集群所有移動網關都不可達。在ubt-zone配置中看到的備份網關IP命令用于在整個集群處于脫機狀態的情況下為交換機提供額外的備份網關或集群，用于故障切換。17)每個隧道使用多少個TCAM條目？a.每個用戶隧道一個TCAM條目:Switch(config-if)#show resources Resource Usage:Mod Description Res

93、ource Used Free 1/1 L2 Tunnel Lookup Ingress TCAM Entries 4 1013 Total Local Master Server(LMS)State:LMS Type IP Address State Primary:10.5.8.6 ready_for_bootstrap Switch Anchor Gateway(SAC)State:IP Address MAC Address State Active:10.5.8.6 00:0b:86:b7:6a:7f Registered Standby:10.5.8.7 00:0b:86:dd:6

94、c:00 Registered User Anchor Gateway(UAG):10.5.8.7 User Port State Bucket ID Gre Key d4:c9:ef:f8:1b:0d 1/1/4 registered 238 4 User Anchor Gateway(UAG):10.5.8.6 Ingress Lookups 1 4 Egress Lookups 0 4 Switch(config-if)#sho ubt state 技術白皮書 用戶角色和基于用戶的隧道 44 User Port State Bucket ID Gre Key 2c:41:38:7f:51:45 1/1/3 registered 107 3 10:60:4b:47:1e:6a 1/1/3 registered 51 3 00:1e:58:a8:6b:f6 1/1/2 registered 53 2 斯科特大道3333號 圣克拉拉，CA 95054 1.844.472.2782|電話:1.408.227.4500|傳真:1.408.227.4550|