2024-03-07

架构概述

架构概述

Aruba 边缘服务平台 (ESP) 园区使得设计灵活且高度可靠的网络成为可能，这些网络确保所有授权用户能够有效地访问应用程序和数据，同时简化操作并加速服务交付。

将创新的高可用性与简易升级和可编程性相结合，为现代企业提供了行业内最优秀的网络解决方案。

Aruba ESP是Aruba端到端架构的进化，它提供了一个独特的统一基础设施。这个基础设施可以通过人工智能运营（AIOps）进行集中管理，以实现零信任安全性，并优化用户体验。

Aruba ESP是首个专门为满足智能边缘需求的业界而设计的平台。

**ESP 架构**

Aruba ESP园区包括以下主要特性和功能：

现代连通性：使用Aruba CX 6xxx和CX 8xxx交换机系列，可以设计一个高效且可扩展的网络，因为它们提供了全范围的端口密度和速度选项。
自动化：自动化网络配置使得构建高性能、可扩展的园区网络更加高效，并且减少错误。
分析：通过设备内部和云端分析，可以确保不会错过任何告警，并能快速诊断间歇性故障。
无线网络：通过最新的高速Wi-Fi标准和先进的无线电设计，能够实现大容量和高可靠性的移动连接。
访问控制：无色端口（Colorless Ports）和ClearPass Policy Manager能够在网络上为设备和用户提供有效且动态的身份验证。

Aruba ESP包含了一系列内置的管理服务，如接入、配置、编排、安全性、分析、位置追踪和管理等。其AI Insights功能能在问题影响用户前进行预警。直观的工作流程导航使得企业可以快速轻松地完成任务，并从多个角度查看相关数据。策略是在Central创建并通过诸如动态分段等功能，在现有基础设施上执行。为保证可靠性，电力和灵活性，Aruba ESP架构按照明确的层次进行构建，如下图所示。

**ESP Layers**

Aruba ESP园区连接层（Connectivity Layer）

Aruba ESP园区的连接层是通过Aruba CX以太网交换机实现的，这些交换机提供了低延迟和高带宽，并在一个容错平台上设计，用于处理从接入层到核心的园区流量。无线连接则由行业领先的接入点（AP）和网关提供，用户可以选择将流量隧道化到集中式网关或在AP处进行本地桥接。

底层网络(Underlay Network)

当连接层被描述为底层网络时，这意味着它的主要功能是承载虚拟叠加网络。底层网络应设计使用3层链接，并且ECMP路由作为3层路由网络实施。 Aruba ESP 使用 OSPF 作为底层路由协议。

Aruba ESP 园区策略层（Policy Layer）

Aruba ESP园区的策略层使用叠加技术和流量过滤机制来隔离用户和应用程序流量。数据流量可以被隧道回到网关集群进行集中执行，或者可以在交换机Fabric内处理，可以在网络的每个节点都提供策略执行。

ClearPass策略管理器通常用于将网络认证接口（RADIUS）集成到用户数据库（LDAP）中，并定义与网络内强制执行的策略相关联的用户角色。设备洞察确保实时确定端点安全姿态，这些信息直接从网络收集。

Aruba ESP的强大策略管理独立于网络的IP设计运作。流量隧道到网关集群时，会在入口处标记用户角色，该角色决定了网关在转发过程中如何处理流量。分布式fabric中的流量使用VXLAN-Group Based Policy (GBP)特性进行标记，为fabric中的每一帧分配一个角色ID，确保跨局域网、无线局域网和广域网实施一致的策略。

叠加网络(Overlay Network)

Aruba ESP 集中式叠加网络是通过使用通用路由封装（GRE）协议来实现的。这使得接入层交换机能够将客户端流量隧道回到网关集群进行策略执行。

Aruba ESP 分布式叠加网络是通过使用 VXLAN 隧道来实现的，这些隧道为连接到边缘交换机的端点提供了第2层和第3层的虚拟化网络服务。VXLAN 网络标识符（VNI）用于在 VXLAN 叠加拓扑中识别2层和3层分段。对称 IRB 转发（Symmetric Integrated Routing and Bridging）支持整个叠加网络中无处不在的2层转发和3层路由。

**VXLAN Frame**

VXLAN 隧道端点（VTEP）是边缘（edge）和边界（border）交换机中处理点对点隧道起始和终止的功能，从而构建一个叠加网络。当在同一个机架中部署冗余交换机时，就会形成一个逻辑VTEP。汇聚和核心交换机为叠加隧道提供IP传输，但不参与VXLAN流量的封装/解封装。

distributed_overlay

边缘交换机使用以太网链路层协议学习所连接的主机。跨 VXLAN Fabric 的远程学习使用多协议边界网关协议（MP-BGP）作为控制平面协议，并使用以太网虚拟专用网络（EVPN）地址族来广告主机 IP 和 MAC 前缀。这种方法最大限度地减少了泛洪，同时还能高效、动态地发现 fabric 内的远程主机。

Aruba ESP园区服务层(Services Layer)

Aruba ESP园区解决方案是围绕Aruba Central云平台构建的。Central为端到端的Aruba ESP解决方案提供了一个云管理和服务交付平台。Central还提供了一个AI驱动的自动化工作流平台，如Aruba Central NetConductor，以简化部署EVPN-VXLAN叠加网络和基于角色的访问策略。

大多数企业购买并部署 Aruba 网关、交换机和 AP，使用 Central 作为管理平台。当大型企业需要时，可以在本地或私有云中部署 ESP 服务层。运营网络作为托管服务的企业可以通过 HPE GreenLake for Aruba 进行部署。

Aruba Central

Aruba Central 简化了WLAN、LAN、VPN和SD-WAN的部署，管理和优化。这省去了将信息从一个管理平台移动到另一个平台，或在多个视图中关联故障排除信息的繁琐手动过程。Central 是 Aruba ESP 的”一站式”解决方案。集成基于AI的机器学习，IoT设备安全性分析以及统一基础设施管理加速了今天智能边缘的从边缘到云端转变。

Central 关键特性：

云原生企业园区WLAN软件
针对WLAN、交换机和SD-WAN的AI洞察
高级IPS/IDS威胁防御管理
基于移动应用的网络安装
接入和WAN边缘的统一管理
实时聊天和基于AI的搜索引擎
提供云端、本地（on-premises）以及按需服务（aaS）选项。

Central是一个基于云原生微服务的平台，为关键环境提供所需的可扩展性和弹性。与本地解决方案相比，Central更具适应性、可预测性，并且具有内置冗余功能的横向扩展能力。Central还提供无缝访问Aruba ClearPass Device Insight、Aruba User Experience Insight（UXI）和Aruba Meridian，以提供重要功能，利用AI/ML和基于位置的服务实现网络可见性和洞察力。

基于工作流的配置在Central内部实现了Aruba解决方案在全球范围内高效、无误地部署。这些工作流基于网络配置的常见最佳实践方法。它们能够使新设备快速上线，使用新的或现有的网络配置。

AIOps

Aruba AIOps，由Aruba Central驱动，消除了手动排除故障工作，缩短了平均解决时间，并自动发现网络优化。 Aruba的下一代AI独特地结合了网络和用户中心的分析，以识别并通知工作人员异常情况。

AI Insights可用于监控连接性能、射频（RF）管理、客户端漫游、空口利用率以及有线和SD-WAN性能。每个insight都旨在减少故障工单数量，并通过处理网络连接性能和可用性挑战来确保服务级别协议（SLA）得到满足。

AI Assist使用事件驱动自动化来触发收集排除故障信息，以便在问题影响业务之前识别问题。日志信息会自动提供给IT人员作为事件报告的一部分，并可以轻松与Aruba TAC共享，以加快确认故障根本原因和纠错。

ClearPass

ClearPass Policy Manager为物联网（IoT）设备、自带设备（BYOD）、公司设备以及所有员工、承包商和访客提供基于角色和设备的安全网络访问控制，适用于有线、无线和VPN基础架构。具有内置的基于上下文的策略引擎、RADIUS、TACACS+、使用OnConnect进行非RADIUS实施、设备识别、态势评估、onboarding、以及访客接入，ClearPass作为任何规模企业的网络安全基础是无与伦比的。

ClearPass还支持安全自助服务功能，使得更容易接入网络。用户可以根据管理策略控制安全地配置其自己的设备以供企业使用或互联网接入。Aruba无线客户获得独特集成能力，例如AirGroup，以及ClearPass Auto Sign-On (ASO)。ASO将用户的网络认证自动传递给企业移动应用程序，这样他们就可以快速投入工作。

ClearPass 策略管理器主要特性：

跨多供应商网络的基于角色的统一网络接入控制
直观的策略配置模板和可视化的故障诊断工具
支持多个身份验证/授权源（AD、LDAP、SQL）
内置证书颁发机构（CA）支持BYOD设备自助入网
访客接入权限，可进行广泛的定制、品牌化和基于指定人的审批
与关键UEM解决方案集成，进行深度设备评估
与Aruba 360安全交换计划全面集成

ClearPass是唯一一个能为各行业提供全面企业级接入安全的策略平台，实现集中管理。其精细化策略执行依据用户身份、设备类型及角色、认证方式、UEM属性、设备健康状况、流量模式以及位置和时间等因素。该平台具有高扩展性，支持数万个设备和身份验证，超越了传统AAA解决方案的能力，并针对小型至大型企业以及集中化或分布式环境提供多种选择。

Client Insights

网络变得越来越复杂，部分原因是由于采用了难以检测和管理的物联网设备。为了提高移动和物联网的运营效率，许多企业部署了各种设备，但他们并未完全理解这对安全性和合规性的影响。

Aruba Client Insights 通过智能发现和分析所有连接设备，可以提供跨网络的可见性。”Client Insights”能够识别设备的详细属性，如类型、供应商、硬件版本以及行为（包括访问的应用程序和资源）。这使得企业能够制定更精确的访问策略，降低安全风险，满足关键合规要求，并做出更明智的网络接入控制决策。

与Central和ClearPass Policy Manager集成提供了全面的策略控制和实时执行。这使得Client Insights的可见性变得易于使用，并提高了连接到网络上所有设备的安全性和合规程度。

User Experience Insight

Aruba User Experience Insight（UXI）是一种基于云的服务保障解决方案，用于检测网络健康状况并排查影响用户日常体验的问题。它适用于园区和分支环境，在模拟用户角色的同时评估网络性能、连接性以及响应速度，并对企业ERM或微软应用等服务进行评估。这些信息通过一个简洁直观的仪表板展示出来，为识别和解决问题提供了一个积极主动的工具，从而在问题对业务产生影响之前就得到处理。UXI易于配置、部署和管理，一旦站点上线便立即开始提供见解。

附加的ESP服务能力

作为一个服务平台，Central的特性使得我们可以在客户环境中增加功能，而无需进行基础设施升级或大规模设计改变。

实时升级 是 Aruba 的一项解决方案，它通过网络遥测数据来优化网络升级过程，以尽可能减少对用户的影响。此外，它还能有效地调整客户和硬件之间的升级进度，从而最大限度地减少维护窗口和停机时间的需求。

AI Insights 是Central的一项功能，能迅速识别、分类并解决可能影响客户接入网络、连接性和网络优化的问题。这些洞察提供了对问题的清晰描述、数据可视化、修复建议以及用于确定整体影响的上下文数据。AI Insights利用基于机器学习（ML）的网络分析技术，为移动工作者、无线设备和物联网设备提供优化建议。它从包括无线基础设施、DHCP和认证服务器等多个来源收集数据，并通过现场数据收集器将压缩后的数据安全地发送到AI Insights云实例，在那里结合Aruba丰富的Wi-Fi经验来分析网络连接性和性能。

基于Web的仪表板展示了洞察、根源分析以及解决即时和预期问题的建议。Aruba 5xx系列AP与AI Insights完美配合，能在需求减少时自动关闭电源，并在需求恢复时重新开启。AI Insights通过预测分析和机器学习来识别使用模式，在短暂的学习期后，它可以预测需求何时开始和结束。

AI Assist 是一个始终在线的技术助手，旨在增强网络运营。它利用事件驱动自动化来收集并向内部帮助台和Aruba技术中心提供相关数据。通过将所有问题信息集中在单一来源，消除了使用多种分析工具的必要性。所有内容都以上下文形式显示在单一视图中，从而加快问题解决速度。

AirGroup 是Aruba的一种解决方案，它协助进行跨VLAN的mDNS和SSDP发现协议。此外，AirGroup可以让客户端从任何位置或VLAN访问设备组。AirGroup 与外部组件交互，以提供对非专门为企业设计的设备或技术的企业级控制。

Air Slice 让Aruba Wi-Fi 6 AP能够优先按照射频水平处理客户流量。这项服务对用户来说是透明的，且无需整合或满足任何标准，不同于旧版解决方案。Air Slice紧密集成了AP DPI防火墙功能，因此可以创建Air Slice策略，并根据应用程序而非端口和IP地址进行设置。

AirMatch 可动态适应不断变化的环境，提供自动射频优化。在 Aruba ESP 中，AirMatch 服务迁移到 Central，它能够计算和布置整个网络 AP 的射频分配。AirMatch 服务接收来自 AP 的遥测数据，包括无线电测量、信道、发射功率、运行状况以及雷达探测或高噪声等本地射频事件。

ClientMatch 是使 Aruba 成为首个提供 AI/ML 能力的网络供应商的特性。ClientMatch 通过持续扫描无线环境并分享关于客户端和 AP 的信息，优化了客户端连接。基于动态数据，客户端被引导至最适合的 AP，而无需在客户端进行软件更改。