20 марта в 10:10

Обзор семейства коммутаторов HPE Aruba, новые возможности ArubaOS 16.X

В 2015 году компания Hewlett Packard Enterprise приобрела Aruba Networks и дополнила свой портфель беспроводных решений лучшим в классе оборудованием Wi-Fi. За прошедшее время произошёл ребрендинг одной из линеек кампусных коммутаторов, операционная система ProVision стала ArubaOS (на текущий момент для заказчиков доступна версия 16.03). С изменением названия добавился новый функционал. В данной статье мы пройдемся по новинкам в модельном ряду коммутаторов HPE Aruba, рассмотрим новые возможности операционной системы ArubaOS и сценарии их применения.



Hewlett Packard Enterprise Networking представляет заказчикам полную линейку продуктов для кампусных сетей на операционной системе ArubaOS:

  • Ядра или распределения кампусной сети, с высокой производительностью, отказоустойчивостью, широким набором поддерживаемых сетевых протоколов и возможностью установки сервисных модулей. Представлены моделями серий 5400R и 3810M;

  • Распределения или доступ кампусной сети, с высокой производительностью, широким набором поддерживаемых сетевых протоколов, поддержкой 1-, 10- и 40-гигабитных портов Ethernet, стекированием. Представлены моделями серий 3810M, 2930F, 2920 и 2540.




Коммутаторы на ОС ArubaOS удобны в развертывании и эксплуатации, обладают пожизненной гарантией. Есть возможность интеграции с современными средствам управления и обеспечения безопасности Aruba ClearPass Policy Manager, Aruba AirWave и облачной службой Aruba Central, оптимизированы для программно определяемых сетей (SDN) с поддержкой технологии OpenFlow.



К ключевым возможностям новой операционной системы можно отнести:

  • Работа в режиме туннелирования;
  • Профилирование устройств;
  • Поддержка SmartRate;
  • ZTP (Zero Touch Provisioning) и поддержка новых систем управления (Aruba Activate, Central и AirWave);
  • Разграничение пользовательского доступа по ролям с помощью Aruba CPPM (ClearPass Policy Manager);
  • Access OSPF для коммутаторов доступа;
  • Новый графический интерфейс.

1. Работа в режиме туннелирования




В традиционных кампусных сетях коммутаторы доступа направляют пользовательский трафик на коммутаторы распределения или ядро (в случае двухуровневой архитектуры). В режиме туннелирования коммутаторы под управлением операционной системы ArubaOS могут пересылать входящий трафик с портов до Aruba Mobility контроллеров через L2-GRE туннели, в зависимости от аппаратной платформы пропускная способность может достигать 40 Гбит/c, возможно распределение нагрузки по нескольким контроллерам.

Преимущества туннелирования:

  • Аутентификация контроллером проводных устройств через Web-портал или по MAC адресу;
  • Профилирование проводных устройств;
  • Функционал NGFW, DPI, фильтрация трафика, ограничения на основе классов приложений.

Пример настройки


В качестве примера рассмотрим сеть, состоящую из коммутатора 2920 с установленной ArubaOS 16.03 и двух контроллеров 7240 с AOS 6.5.0.4 (схема представлена на рисунке).



Настройки со стороны коммутатора:

1) Прописываем IP-адреса основного и резервного контроллеров
HP-2920-24G-PoEP(config)# tunneled-node-server controller-ip 10.76.130.66
HP-2920-24G-PoEP(config)# tunneled-node-server backup-controller-ip 10.76.130.68

2) Задаем keepalive таймер
HP-2920-24G-PoEP(config)# tunneled-node-server keepalive 8

3) Включаем туннелирование на физическом интерфейсе
HP-2920-24G-PoEP(config)# interface 2
HP-2920-24G-PoEP(config)# tunneled-node-server

Настройка со стороны контроллера:

1) Включаем сервер
«Configuration->Advanced Services->Wired Access->Enable Wired Access Concentration Server»

2) Настраиваем AAA Profile (в данном примере default)
«Configuration->Advanced Services->Wired Access->Wired Access AAA Profile»

3) Настраиваем роль (в данном примере стандартная logon)
«Configuration->Security->Access Control->User Roles->Edit Role (logon)»

Мониторинг и траблшутинг


1) Debug
HP-2920-24G-PoEP(eth-2)# debug event
HP-2920-24G-PoEP(eth-2)# debug destination session

I 01/01/90 01:33:25 05183 tunneledNode: Using server 10.76.130.66
I 01/01/90 01:33:25 04344 SI-TUNNEL: Service Tunnel: TunneledNodeTnl02
(318767435) created.
I 01/01/90 01:33:25 04341 SI-TUNNEL: Service Tunnel: TunneledNodeTnl02
(318767435) is on-line.
I 01/01/90 01:33:25 05184 tunneledNode: Port 2: tunnel established to server
10.76.130.66

2) Информация по серверу
HP-2920-24G-PoEP# show tunneled-node-server

Tunneled Node Server Information
State: Enabled
Primary Controller: 10.76.130.66
Backup Controller: 10.76.130.68
Keepalive Interval (seconds): 8

3) Статистика по туннелям (по каждому физическому порту коммутатора)
HP-2920-24G-PoEP# show tunneled-node-server state

Tunneled Node Port State

Active Controller IP Address: 10.76.130.66

Port State
— — 2 Complete

HP-2920-24G-PoEP# show tunneled-node-server statistics

Tunneled Node Statistics

Port: 2

Control Plane Statistics

Bootstrap packets sent: 16372
Bootstrap packets received: 3
Bootstrap packets invalid: 0

Tunnel Statistics

Rx Packets: 84
Tx Packets: 457
Rx 5 Minute Weighted Average Rate (Pkts/sec): 0
Tx 5 Minute Weighted Average Rate (Pkts/sec): 0

Aggregate Statistics

Heartbeat packets sent: 34340
Heartbeat packets received: 34332
Heartbeat packets invalid: 0
Fragmented Packets Dropped (Rx): 0
Packets to Non-Existent Tunnel: 0
MTU Violation Drop: 0

4) Туннели на контроллере
«Monitoring->Controller->Tunneled Node Ports»

Способы применения


  1. Гостевой доступ для проводных клиентов — появляется возможность терминировать трафик в DMZ, есть возможность авторизации через web-портал, по MAC адресу;
  2. Подключение касс, терминалов оплаты – терминируем клиентский трафик на контроллере, не нужно растягивать VLAN;
  3. Безопасное подключение “глупых” проводных устройств без поддержки 802.1x – датчики, базовые станции, консоли. Особенно актуально для IoT.


2. Профилирование устройств


Профилирование позволяет автоматически менять настройки на порту коммутатора при подключении определенного типа устройств. Например, новая точка доступа подключается к коммутатору, на порт автоматически назначается нужная VLAN, максимальный бюджет PoE, CoS и т.д.

Для определения типа устройств используется LLDP:



После того, как коммутатор определил, что подключенное устройство является точкой доступа, происходит изменение настроек порта в соответствии с нужным профилем:

1) Дефолтные профили
HP-2920-24G-PoEP# show device-profile config

Device Profile Configuration

Configuration for device-profile: default-ap-profile
untagged-vlan: 1
tagged-vlan: None
ingress-bandwidth: 100%
egress-bandwidth: 100%
cos: 0
speed-duplex: auto
poe-max-power: Class/LLDP
poe-priority: critical
allow-jumbo-frames: Disabled

Configuration for device-profile: default-aos-profile
untagged-vlan: 1
tagged-vlan: None
ingress-bandwidth: 100%
egress-bandwidth: 100%
cos: None
speed-duplex: auto
poe-max-power: Class/LLDP
poe-priority: critical
allow-jumbo-frames: Disabled

Configuration for device-profile: default-scs-profile
untagged-vlan: 1
tagged-vlan: None
ingress-bandwidth: 100%
egress-bandwidth: 100%
cos: None
speed-duplex: auto
poe-max-power: Class/LLDP
poe-priority: critical
allow-jumbo-frames: Disabled

Device Profile Association

Device Type: aruba-ap
Profile Name: default-ap-profile
Device Status: Disabled

Device Type: aruba-switch
Profile Name: default-aos-profile
Device Status: Disabled

Device Type: scs-wan-cpe
Profile Name: default-scs-profile
Device Status: Disabled

2) Настраиваем новый профиль
HP-2920-24G-PoEP(config)# device-profile name new
HP-2920-24G-PoEP(device-profile)# untagged-vlan 2
HP-2920-24G-PoEP(device-profile)# tagged-vlan 5
HP-2920-24G-PoEP(device-profile)# poe-priority critical
HP-2920-24G-PoEP(device-profile)# exit
HP-2920-24G-PoEP(config)# device-profile type aruba-ap associate new
HP-2920-24G-PoEP(config)# show device-profile config



Configuration for device-profile: new
untagged-vlan: 2
tagged-vlan: 5
ingress-bandwidth: 100%
egress-bandwidth: 100%
cos: None
speed-duplex: auto
poe-max-power: Class/LLDP
poe-priority: critical
allow-jumbo-frames: Disabled

....

3. Поддержка SmartRate



Порты c поддержкой технологии HPE Smart Rate могут работать на скоростях 1, 2, 5 или 10 GbE, обеспечивают питание по технологии PoE+ и идеально подходят для подключения высокоскоростных устройств 802.11ac.

Данная технология поддерживается на следующем оборудовании:

  • Aruba 3810M 40G 8 HPE Smart Rate PoE+ 1-slot Switch — JL076A;
  • Aruba 5400R 20-port GbE PoE+ / 4-port Smart Rate PoE+ MACsec v3 zl2 Module — J9991A;
  • Aruba 5400R 8-port Smart Rate PoE+ MACsec v3 zl2 Module — J9995A.



Одним из основных преимуществ данной технологии является возможность использования существующей СКС, обновление сети возможно без замены кабелей:



Выводы


Новая версия операционной системы позволяет проводить более плотную интеграцию ЛВС и БЛВС, при этом простота эксплуатации обеспечивается единой системой управления. Есть возможность автоматической настройки нового оборудования.

Более подробно по новому функционалу мы будем рассказывать в рамках предстоящих вебинаров (ближайший состоится 22 марта, запись будет доступна по завершению).

Несколько полезных ссылок:

1) HPE Networking Online Configurator (лучше использовать IE, цены в GPL);
2) Networking support search tool (поиск информации по продуктам, на этом же портале можно найти руководства по настройке оборудования);
3) HPE Networking warranty (гарантийные обязательства);
4) 3D модели оборудования.
Автор: @FS_hpe

Комментарии (2)

  • +1
    А про allow-unsupported-transceiver не написали.
    • +1
      Согласен, важная опция, подробнее по изменениям в ОС можно послушать в записи вебинара

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Администрирование