Aruba：用户角色和基于用户的隧道UBT技术白皮书（44页）.pdf

《Aruba：用户角色和基于用户的隧道UBT技术白皮书（44页）.pdf》由会员分享，可在线阅读，更多相关《Aruba：用户角色和基于用户的隧道UBT技术白皮书（44页）.pdf（44页珍藏版）》请在三个皮匠报告上搜索。

1、技术白皮书 用户角色和基于用户的隧道 1 技术白皮书 用户角色和基于用户的隧道(UBT)技术白皮书 Aruba动态隔离解决方案 技术白皮书 用户角色和基于用户的隧道 2 内容 内容.2 版本历史.3 基于用户的隧道（UBT）.4 深入理解UBT.7 它是如何工作的.7 用例.10 部署场景.12 配置.14 配置用户角色.22 扩展性.39 常见问题.40 技术白皮书 用户角色和基于用户的隧道 3 版本历史 更改修订日期的文档版本原因 1.0 初稿 3/2020 2.0 新模板 语法更正 术语变更 CP6.9增强内容 9/2020 技术白皮书 用户角色和基于用户的隧道 4 基于用户的隧道（UB

2、T）概述 基于用户的隧道（UBT）有两个基本的组成部分:用户角色：指Aruba结合ClearPass根据终端接入方式、以及接入时间、终端类型等上下文信息，为有线设备/用户动态分配角色的能力，因此IT人员不再需要为接入端口预先配置VLAN。隧道：指Aruba将流量传输回Aruba移动网关(以前称为控制器)的能力。AOS-CX支持基于用户的隧道，这是Aruba动态隔离解决方案的一部分，该解决方案实现了基于用户或终端对流量进行隧道传输，并将流量发送到Aruba网关的功能。通过ClearPass返回可下载用户角色（Downloadable User-role）,或通过标准RADIUS服务器返回本地用户

3、角色(Local User-role)，策略可以通过用户角色关联到接入终端。与可下载用户角色相比，本地用户角色是在每个交换机上配置的，并且“本地”驻留在配置中。许多需要以太网供电(PoE)和网络访问的设备，如安全摄像机、打印机、支付卡读卡器和医疗设备，没有像台式电脑或笔记本电脑那样内置的安全软件，可能会因为缺少安全性而将网络暴露在风险面前。基于角色的隧道可以利用ClearPass对这些设备进行身份验证，将终端流量通过隧道传送到Aruba移动网关，并利用高级防火墙和策略功能对终端流量进行控制。它还可以通过ArubaOS 8.x中的网关群集提供高可用性和负载平衡。这可以为园区网内的物联网设备提供安

4、全的访问。UBT支持的两种网关部署方式：单网关独立部署 多网关集群部署 支持UBT的Aruba CX交换机：Aruba CX 6200交换机系列 Aruba CX 6300交换机系列 Aruba CX 6400交换机系列 建议的交换机固件版本：AOS-CX 10.4或更高版本建议的网关固件版本：单网关独立部署模式(70 xx，72xx):ArubaOS 8.4 或 更高版本 多网关集群部署模式(70 xx，72xx):ArubaOS 8.4 或 更高版本 建议的ClearPass策略管理平台版本(用于分配用户角色)Clearpass 6.9 或更高版本 术语 “无色”端口:无色端口的最大好处是

5、，我们不再需要以静态方式为接入端口预配置特定的策略和端口属性。无色端口背后的逻辑是，在过去，为了控制接入终端的权限，传统网络往往需要手动配置端口，从物理上为这些交换机端口分配“颜色”，从而使特定的权限策略可以被配置并且关联到物理端口上。而特定的终端必须按照相应的“颜色”，插入对应的交换机端口。通过使用无色端口，可以大大减少IT操作周期，从而可以更加有效地对初始部署或者后续变更进行规划，以适应将来的添加，移动或更改。技术白皮书 用户角色和基于用户的隧道 5 无色端口表明交换机端口可以自动、实时地将所需的角色分配给接入终端。最简单的无色端口可以通过在单台交换机中使用本地用户角色和本地MAC身份验证

6、(LMA)进行演示。在没有外部Radius服务器或隧道的情况下，客户可以观察到同一端口如何根据所连接的设备采取不同的角色策略(QoS/ACL/VLAN)。用户角色:将策略和端口属性组合为“角色”，并被不同的设备或用户类型引用，提供了简化配置负担的能力。可以在交换机上配置本地用户角色(LUR)，也可以在ClearPass服务器上配置可下载的用户角色(DUR)。在使用本地用户角色(LUR)时，可以通过任何RADIUS服务器向交换机返回Aruba-User-Role VSA来实现用户角色的分配；在使用可下载用户角色(DUR)时，需要采用ClearPass服务器想交换机返回Aruba-CPPM-Rol