Обзор семейства коммутаторов HPE Aruba, новые возможности ArubaOS 16.X

    В 2015 году компания Hewlett Packard Enterprise приобрела Aruba Networks и дополнила свой портфель беспроводных решений лучшим в классе оборудованием Wi-Fi. За прошедшее время произошёл ребрендинг одной из линеек кампусных коммутаторов, операционная система ProVision стала ArubaOS (на текущий момент для заказчиков доступна версия 16.03). С изменением названия добавился новый функционал. В данной статье мы пройдемся по новинкам в модельном ряду коммутаторов HPE Aruba, рассмотрим новые возможности операционной системы ArubaOS и сценарии их применения.



    Hewlett Packard Enterprise Networking представляет заказчикам полную линейку продуктов для кампусных сетей на операционной системе ArubaOS:

    • Ядра или распределения кампусной сети, с высокой производительностью, отказоустойчивостью, широким набором поддерживаемых сетевых протоколов и возможностью установки сервисных модулей. Представлены моделями серий 5400R и 3810M;

    • Распределения или доступ кампусной сети, с высокой производительностью, широким набором поддерживаемых сетевых протоколов, поддержкой 1-, 10- и 40-гигабитных портов Ethernet, стекированием. Представлены моделями серий 3810M, 2930F, 2920 и 2540.




    Коммутаторы на ОС ArubaOS удобны в развертывании и эксплуатации, обладают пожизненной гарантией. Есть возможность интеграции с современными средствам управления и обеспечения безопасности Aruba ClearPass Policy Manager, Aruba AirWave и облачной службой Aruba Central, оптимизированы для программно определяемых сетей (SDN) с поддержкой технологии OpenFlow.



    К ключевым возможностям новой операционной системы можно отнести:

    • Работа в режиме туннелирования;
    • Профилирование устройств;
    • Поддержка SmartRate;
    • ZTP (Zero Touch Provisioning) и поддержка новых систем управления (Aruba Activate, Central и AirWave);
    • Разграничение пользовательского доступа по ролям с помощью Aruba CPPM (ClearPass Policy Manager);
    • Access OSPF для коммутаторов доступа;
    • Новый графический интерфейс.

    1. Работа в режиме туннелирования




    В традиционных кампусных сетях коммутаторы доступа направляют пользовательский трафик на коммутаторы распределения или ядро (в случае двухуровневой архитектуры). В режиме туннелирования коммутаторы под управлением операционной системы ArubaOS могут пересылать входящий трафик с портов до Aruba Mobility контроллеров через L2-GRE туннели, в зависимости от аппаратной платформы пропускная способность может достигать 40 Гбит/c, возможно распределение нагрузки по нескольким контроллерам.

    Преимущества туннелирования:

    • Аутентификация контроллером проводных устройств через Web-портал или по MAC адресу;
    • Профилирование проводных устройств;
    • Функционал NGFW, DPI, фильтрация трафика, ограничения на основе классов приложений.

    Пример настройки


    В качестве примера рассмотрим сеть, состоящую из коммутатора 2920 с установленной ArubaOS 16.03 и двух контроллеров 7240 с AOS 6.5.0.4 (схема представлена на рисунке).



    Настройки со стороны коммутатора:

    1) Прописываем IP-адреса основного и резервного контроллеров
    HP-2920-24G-PoEP(config)# tunneled-node-server controller-ip 10.76.130.66
    HP-2920-24G-PoEP(config)# tunneled-node-server backup-controller-ip 10.76.130.68

    2) Задаем keepalive таймер
    HP-2920-24G-PoEP(config)# tunneled-node-server keepalive 8

    3) Включаем туннелирование на физическом интерфейсе
    HP-2920-24G-PoEP(config)# interface 2
    HP-2920-24G-PoEP(config)# tunneled-node-server

    Настройка со стороны контроллера:

    1) Включаем сервер
    «Configuration->Advanced Services->Wired Access->Enable Wired Access Concentration Server»

    2) Настраиваем AAA Profile (в данном примере default)
    «Configuration->Advanced Services->Wired Access->Wired Access AAA Profile»

    3) Настраиваем роль (в данном примере стандартная logon)
    «Configuration->Security->Access Control->User Roles->Edit Role (logon)»

    Мониторинг и траблшутинг


    1) Debug
    HP-2920-24G-PoEP(eth-2)# debug event
    HP-2920-24G-PoEP(eth-2)# debug destination session

    I 01/01/90 01:33:25 05183 tunneledNode: Using server 10.76.130.66
    I 01/01/90 01:33:25 04344 SI-TUNNEL: Service Tunnel: TunneledNodeTnl02
    (318767435) created.
    I 01/01/90 01:33:25 04341 SI-TUNNEL: Service Tunnel: TunneledNodeTnl02
    (318767435) is on-line.
    I 01/01/90 01:33:25 05184 tunneledNode: Port 2: tunnel established to server
    10.76.130.66

    2) Информация по серверу
    HP-2920-24G-PoEP# show tunneled-node-server

    Tunneled Node Server Information
    State: Enabled
    Primary Controller: 10.76.130.66
    Backup Controller: 10.76.130.68
    Keepalive Interval (seconds): 8

    3) Статистика по туннелям (по каждому физическому порту коммутатора)
    HP-2920-24G-PoEP# show tunneled-node-server state

    Tunneled Node Port State

    Active Controller IP Address: 10.76.130.66

    Port State
    — — 2 Complete

    HP-2920-24G-PoEP# show tunneled-node-server statistics

    Tunneled Node Statistics

    Port: 2

    Control Plane Statistics

    Bootstrap packets sent: 16372
    Bootstrap packets received: 3
    Bootstrap packets invalid: 0

    Tunnel Statistics

    Rx Packets: 84
    Tx Packets: 457
    Rx 5 Minute Weighted Average Rate (Pkts/sec): 0
    Tx 5 Minute Weighted Average Rate (Pkts/sec): 0

    Aggregate Statistics

    Heartbeat packets sent: 34340
    Heartbeat packets received: 34332
    Heartbeat packets invalid: 0
    Fragmented Packets Dropped (Rx): 0
    Packets to Non-Existent Tunnel: 0
    MTU Violation Drop: 0

    4) Туннели на контроллере
    «Monitoring->Controller->Tunneled Node Ports»

    Способы применения


    1. Гостевой доступ для проводных клиентов — появляется возможность терминировать трафик в DMZ, есть возможность авторизации через web-портал, по MAC адресу;
    2. Подключение касс, терминалов оплаты – терминируем клиентский трафик на контроллере, не нужно растягивать VLAN;
    3. Безопасное подключение “глупых” проводных устройств без поддержки 802.1x – датчики, базовые станции, консоли. Особенно актуально для IoT.


    2. Профилирование устройств


    Профилирование позволяет автоматически менять настройки на порту коммутатора при подключении определенного типа устройств. Например, новая точка доступа подключается к коммутатору, на порт автоматически назначается нужная VLAN, максимальный бюджет PoE, CoS и т.д.

    Для определения типа устройств используется LLDP:



    После того, как коммутатор определил, что подключенное устройство является точкой доступа, происходит изменение настроек порта в соответствии с нужным профилем:

    1) Дефолтные профили
    HP-2920-24G-PoEP# show device-profile config

    Device Profile Configuration

    Configuration for device-profile: default-ap-profile
    untagged-vlan: 1
    tagged-vlan: None
    ingress-bandwidth: 100%
    egress-bandwidth: 100%
    cos: 0
    speed-duplex: auto
    poe-max-power: Class/LLDP
    poe-priority: critical
    allow-jumbo-frames: Disabled

    Configuration for device-profile: default-aos-profile
    untagged-vlan: 1
    tagged-vlan: None
    ingress-bandwidth: 100%
    egress-bandwidth: 100%
    cos: None
    speed-duplex: auto
    poe-max-power: Class/LLDP
    poe-priority: critical
    allow-jumbo-frames: Disabled

    Configuration for device-profile: default-scs-profile
    untagged-vlan: 1
    tagged-vlan: None
    ingress-bandwidth: 100%
    egress-bandwidth: 100%
    cos: None
    speed-duplex: auto
    poe-max-power: Class/LLDP
    poe-priority: critical
    allow-jumbo-frames: Disabled

    Device Profile Association

    Device Type: aruba-ap
    Profile Name: default-ap-profile
    Device Status: Disabled

    Device Type: aruba-switch
    Profile Name: default-aos-profile
    Device Status: Disabled

    Device Type: scs-wan-cpe
    Profile Name: default-scs-profile
    Device Status: Disabled

    2) Настраиваем новый профиль
    HP-2920-24G-PoEP(config)# device-profile name new
    HP-2920-24G-PoEP(device-profile)# untagged-vlan 2
    HP-2920-24G-PoEP(device-profile)# tagged-vlan 5
    HP-2920-24G-PoEP(device-profile)# poe-priority critical
    HP-2920-24G-PoEP(device-profile)# exit
    HP-2920-24G-PoEP(config)# device-profile type aruba-ap associate new
    HP-2920-24G-PoEP(config)# show device-profile config



    Configuration for device-profile: new
    untagged-vlan: 2
    tagged-vlan: 5
    ingress-bandwidth: 100%
    egress-bandwidth: 100%
    cos: None
    speed-duplex: auto
    poe-max-power: Class/LLDP
    poe-priority: critical
    allow-jumbo-frames: Disabled

    ....

    3. Поддержка SmartRate



    Порты c поддержкой технологии HPE Smart Rate могут работать на скоростях 1, 2, 5 или 10 GbE, обеспечивают питание по технологии PoE+ и идеально подходят для подключения высокоскоростных устройств 802.11ac.

    Данная технология поддерживается на следующем оборудовании:

    • Aruba 3810M 40G 8 HPE Smart Rate PoE+ 1-slot Switch — JL076A;
    • Aruba 5400R 20-port GbE PoE+ / 4-port Smart Rate PoE+ MACsec v3 zl2 Module — J9991A;
    • Aruba 5400R 8-port Smart Rate PoE+ MACsec v3 zl2 Module — J9995A.



    Одним из основных преимуществ данной технологии является возможность использования существующей СКС, обновление сети возможно без замены кабелей:



    Выводы


    Новая версия операционной системы позволяет проводить более плотную интеграцию ЛВС и БЛВС, при этом простота эксплуатации обеспечивается единой системой управления. Есть возможность автоматической настройки нового оборудования.

    Более подробно по новому функционалу мы будем рассказывать в рамках предстоящих вебинаров (ближайший состоится 22 марта, запись будет доступна по завершению).

    Несколько полезных ссылок:

    1) HPE Networking Online Configurator (лучше использовать IE, цены в GPL);
    2) Networking support search tool (поиск информации по продуктам, на этом же портале можно найти руководства по настройке оборудования);
    3) HPE Networking warranty (гарантийные обязательства);
    4) 3D модели оборудования.
    • +11
    • 5,6k
    • 2
    Hewlett Packard Enterprise 97,94
    Компания
    Поделиться публикацией
    Комментарии 2

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое