多区
多区域功能允许组织在使用同一接入点的同时拥有多个独立的安全网络。它还允许AP终止到多个端口管理设备它们位于不同的区域。一个区域是一个集合管理设备在单个管理域下。该区域可以有一个受管设备或集群设置。
传统上,一个AP由单个区域管理,其中配置是在主节点上生成的控制器并在所有其他本地控制器. 从ArubaOS8.0.0.0,支持多区域AP,一个AP可以由多个区域管理。不同的分区可以有不同的配置。这个管理设备在不同的区域不能互相通信。
最初,当AP启动时,它接触的第一个区域称为主区域。当AP启动时受管设备,和主要区域受管设备配置AP,包括BSS基本服务集。BSS是一组相互连通的站,它们可以相互通信。BSS可以是独立的BSS或基础架构BSS。一个独立的BSS是一个不包含AP的自组织网络,而基础架构BSS由一个AP和它的所有关联客户端组成。、无线信道、无线功率等功能。主域可以配置MultiZone配置文件,使能MultiZone特性。
数据区域是AP从主区域接收到MultiZone配置后所连接的备用区域。如果主域的AP组或AP名称配置了并关联了MultiZone配置文件,则AP进入MultiZone状态,并开始与指定的数据域连接。每个ap-group或ap-name只能附加一个MultiZone配置文件。数据区受管设备必须使用与主区域相同的AP组或AP名称配置文件配置。当AP连接到数据区域时管理设备,HELLO消息中有一个标志,指示AP作为数据区域连接到该区域。数据区受管设备然后可以配置其他BSS。
AP实际上独立地连接到每个数据区。每个数据区的网络更改或故障不会影响来自其他数据区的AP的管理。数据区可以单独配置AP,AP将应用每个配置。但是,如果主区域发生故障,则所有数据区域都将受到影响,包括数据区域上的流量。
例如,第一个分区具有名称服务集标识符。SSID是WLAN的名称,客户端使用它访问WLAN网络。1,名称服务集标识符。SSID是WLAN的名称,客户端使用它访问WLAN网络。-2已配置并具有独立设置,而第二个区域具有名称服务集标识符。SSID是WLAN的名称,客户端使用它访问WLAN网络。3,名称服务集标识符。SSID是WLAN的名称,客户端使用它访问WLAN网络。-4已配置并具有群集设置。然后,多区域AP接收这两种配置并为所有四种配置提供服务名称服务集标识符。SSID是WLAN的名称,客户端使用它访问WLAN网络。没有沟通之间管理设备。
MultiZone特性允许不同的客户端流量ESS扩展服务集。ESS是一组一个或多个相互连接的BSS,它们构成一个子网。去不同的地方管理设备进入不同区域,没有交叉污染。特定的客户端流量ESS扩展服务集。ESS是一组一个或多个相互连接的BSS,它们构成一个子网。加密和隧道直接从AP到管理设备使用隧道模式。路径中的所有设备,包括主设备受管设备管理AP是自动安全的。对客户端无线帧进行相应的加密或解密名称服务集标识符。SSID是WLAN的名称,客户端使用它访问WLAN网络。数据区受管设备安全区域。
所有分区最多可以有12个管理设备每个无线电支持16个vap,最多支持5个zone(包括主zone)。
从ArubaOS8.3.0.0,多区域支持数据区域虚拟AP上的解密隧道转发模式。
以下部分介绍了MultiZone的功能流程、许可证和功能:
多区AP的功能流
MultiZone AP的功能流程如下:
AP在主区域启动和终止。
从主区域接收配置并应用。
同时,它连接到多区域配置文件中配置的数据区域的每个IP地址。
从数据区接收VAP配置并应用。
若主区域上的常见配置(如收音机或频道)发生更改,则数据区域需要重新启动以进行更新。
如果CPsec控制飞机安全。CPsec是控制器和AP之间的一种安全通信形式,用于保护控制平面通信。这是通过使用每个主控制器创建的公钥自签名证书来执行的。是否启用,每个数据区受管设备应将AP适当列为白名单。
要点
CPsec控制飞机安全。CPsec是控制器和AP之间的一种安全通信形式,用于保护控制平面通信。这是通过使用每个主控制器创建的公钥自签名证书来执行的。对于MultiZone不是强制性的。
启用“高可用性”后,无法配置“多区域”。
支持的前向模式为“隧道模式”和“解密隧道模式”。
主分区和数据分区管理设备不需要位于同一层2上子网子网是IP网络的逻辑划分。,但是,应该可以访问第3层。
为了让WebCC特性无缝地工作,应该在每个数据区域中启用该特性受管设备。
data zone AP忽略可能影响其他zone BSSs的配置,如radio配置。 |
多层的牌照
从ArubaOS8.2.0.0,数据区受管设备不会使用任何许可证,仅使用主区域受管设备将消耗许可证,包括WebCC许可证。之前ArubaOS8.2.0.0,接入数据区域的ap受管设备消耗PEFNG策略强制防火墙。PEF(也称为PEFNG)提供了基于上下文的控制,以加强应用程序层的安全性和优先级。使用阿鲁巴移动控制器的客户可以通过获得PEF许可证来利用PEF功能和服务。PEF for VPN用户拥有PEF for VPN许可证的客户可以对通过VPN隧道路由到控制器的用户流量应用防火墙策略。许可证,尽管数据区受管设备仍然需要PEFNG策略强制防火墙。PEF(也称为PEFNG)提供了基于上下文的控制,以加强应用程序层的安全性和优先级。使用阿鲁巴移动控制器的客户可以通过获得PEF许可证来利用PEF功能和服务。PEF for VPN用户拥有PEF for VPN许可证的客户可以对通过VPN隧道路由到控制器的用户流量应用防火墙策略。执照。
而且,一旦AP出现了受管设备检查主zone和Datazone上的AP是否获得了RFP license受管设备。否则,该AP上的MultiZone将被禁用。
这个显示ap许可使用情况将不计算数据区域上的许可证受管设备用于作为数据区域AP连接到该区域的AP。 |
混合CPsec, Mesh AP和移动性控制器虚拟设备支持
从ArubaOS8.2.0.0、混合CPsec控制飞机安全。CPsec是控制器和AP之间的一种安全通信形式,用于保护控制平面通信。这是通过使用每个主控制器创建的公钥自签名证书来执行的。支持。就是,CPsec控制飞机安全。CPsec是控制器和AP之间的一种安全通信形式,用于保护控制平面通信。这是通过使用每个主控制器创建的公钥自签名证书来执行的。可以为每个zone单独启用或禁用。
从ArubaOS8.2.0.0,支持MultiZone移动性控制器虚拟设备与CPsec控制飞机安全。CPsec是控制器和AP之间的一种安全通信形式,用于保护控制平面通信。这是通过使用每个主控制器创建的公钥自签名证书来执行的。启用。因此,硬件的组合控制器和移动性控制器虚拟设备都受支持。
从ArubaOS8.2.0.0, multi - zone仅支持IPv4的Mesh。
AP LACP支持多区域
分段LMS管理本地开关。在多控制器网络中,每个控制器充当一个LMS,从ap终止用户流量,处理并将流量转发到有线网络。IP不能再像AP那样用于条带化流量GRE通用路由封装。GRE是一种IP封装协议,用于通过网络传输数据包。通往不止一个人的隧道受管设备. 因此,从ArubaOS8.2.0.0,紫胶链路聚合控制协议。LACP用于集中处理多个物理端口,这些端口可视为用于网络流量目的的单个通道。用于在每个UAC的基础上对流量进行分条。也就是说,同一AP上的客户端或用户被引导到不同的uac,流量被条带到uac。
当启用MultiZone时,条带化LMS管理本地开关。在多控制器网络中,每个控制器充当一个LMS,从ap终止用户流量,处理并将流量转发到有线网络。IP将不会发送到AP。交通的条状化以太网以太网是一种在局域网上传输数据的网络协议。接口以UAC节点为准。
限制
主区受管设备不使用条纹吗LMS管理本地开关。在多控制器网络中,每个控制器充当一个LMS,从ap终止用户流量,处理并将流量转发到有线网络。当数据区受管设备它倒了。
多区域的客户端匹配支持
从ArubaOS8.3.0.0,ClientMatch的特性,如粘性客户端和乐队频带是指电磁辐射的特定频率范围。在多区域部署中支持转向,以便校园APs校园AP用于专用网络,其中AP通过专用链路(LAN、WLAN、WAN或MPLS)连接,并直接在控制器上终止。校园AP作为室内校园解决方案的一部分部署在企业办公楼、仓库、医院、大学等。。每个区域中的ClientMatch通过控制与该区域所拥有的虚拟ap相关联的客户端来独立发挥作用。
主要考虑事项
essid扩展服务集标识符。ESSID指用于标识扩展服务集的ID。跨区域必须是唯一的。同样的VAP埃希德扩展服务集标识符。ESSID指用于标识扩展服务集的ID。不应在多个区域中配置,因为如果这些区域位于同一位置,这可能会导致客户端转向出现问题。
中的ClientMatch配置臂自适应无线电管理。ARM动态监控和调整网络,以确保允许所有用户随时访问。它能够充分利用可用频谱,通过智能地为AP在其当前射频环境中选择最佳射频信道和发射功率,支持最大数量的用户。配置文件应该设置为默认值,以确保ClientMatch配置在主区域和数据区域之间是通用的。
默认情况下启用ClientMatch,这是建议的设置,除非多区域部署中的所有AP都具有相同的主区域。
ClientMatch频谱负载均衡不适用于承载来自多个区域的虚拟ap的无线电。
RSDB和双5G频段支持多区
从ArubaOS8.3.0.0, MultiZone支持RSDB (Real simultaneous dual .)乐队频带是指电磁辐射的特定频率范围。)美联社- 203 r,AP-203RP和ap - 203 h接入点。此外,多区域支持双5GHz兆赫。在…上AP-344和AP-345访问点。
该特性有助于Data区域受管设备获取当前的RSDB和双5GHz兆赫。配置AP的模式信息,并根据这些信息调整射频和虚拟AP的配置。
此功能还可确保美联社- 203 r,AP-203RP和ap - 203 h工作在多区域部署与不同的RSDB模式和AP-344和AP-345使用不同的双5在多区域工作GHz兆赫。模式。
在数据区域上受管设备,执行以下命令显示RSDB和Dual 5GHz兆赫。模式:
(主机)[mynode]#显示ap活动
活跃的美联社表
---------------
名称组IP地址AP类型标志正常运行时间外层IP Radio 0 Band Ch/EIRP/MaxEIRP/Clients Radio 1 Band Ch/EIRP/MaxEIRP/Clients
---- ----- ---------- ------- ----- ------ -------- ------------------------------------ ------------------------------------
ap203h - verwave rsdb 10.16.140.196 203H A2avf 9m:9s不适用AP:2.4GHz-HT:11/6.5/23.5/0
ap203h - verwave rsdb 10.16.140.196 203H A2aUf 9m:34s N/A AP:5GHz-VHT:161E/6.5/23.5/0
ap203h - verwave rsdb 10.16.140.196 203H A2aTf 11m:7s不适用snipAP:5GHz VHT:161E/17.0/19.5/0 AP:2.4GHz-HT:11/12.0/20.5/0
U=柔性无线电模式为5GHz;V=柔性无线电模式为2.4GHz;T=弹性无线电模式为2.4GHz+5GHz