分段设计(Segmentation Design)
Aruba ESP园区分段设计部分描述了在实施Aruba ESP流量分段设计中使用的技术和设计原则。
目录
网络分段
传统的VLAN和访问控制列表(ACL)仍然是安全框架的重要组成部分。Aruba ESP通过以下方式大大增强了标准的安全实践:
- 启用自动化应用和执行安全策略贯穿整个网络。
- 根据角色或身份明确识别并分组每个用户或设备的接入尝试,以便一致地应用策略。
- 成功对有线和无线端点的园区流量进行分段。
在ESP架构内,提供了两种策略框架,以便组织选择最符合需求的方法。
Aruba动态分段通过业务需求定义的策略,将用户流量动态分配到安全网络段。该解决方案使用通用路由封装(GRE)将来自AP和交换机的流量隧道传输到网关集群,从而对南北向流量进行一致且高吞吐的策略执行。
Aruba Central NetConductor也提供了安全、动态地分段用户流量的机制。该解决方案采用基于VXLAN-GBP构建的分布式叠加架构,通过高效且容错性强的fabric拓扑结构,在网络中对用户流量进行分段,并在任何节点实施GBP。
逻辑网络分段是安全IP网络设计的基本工具。虚拟局域网(VLAN)用于分离IP广播域,虚拟路由和转发(VRF)实例使单个设备能够在多个独立路由域内提供服务。VLAN和VRF都使用访问控制列表(ACL)和路由映射来过滤子网间的通信。
虚拟局域网
VLAN在二层对流量进行分段,限制MAC地址的可达性。从策略角度来看,VLAN用于宏观分段。设备通过IP子网归入一个VLAN,并在VLAN接口上应用IP访问控制列表(ACL),作为主要的策略执行机制,以确定是否允许一个VLAN或子网中的终端与其他VLAN或子网中的终端通信。
在NetConductor中,VLAN也被配置用于创建二层分段。
虚拟路由转发
VRF实例使单个网络设备能够管理多个路由域并维护独立的路由表。成员接口根据特定于VRF的路由表转发流量。由于各自的路由表是独立的,一个VRF可以包含与另一个VRF重叠的IP地址。
因为VRF分隔了IP路由域,网络可以被细分以有效地执行策略。例如,一家零售组织可以将所有PCI流量放置在一个独立于其他企业网络的VRF中,以确保受监管流量不会与企业流量混合。在设计园区网络时,应尽量减少VRF细分,以保留网络基础设施资源。
在NetConductor中,可以使用VRFs创建三层叠加网络。
访问控制列表
访问控制列表(ACL)是一种用于过滤网络流量的工具,能够识别主机或网络,并限制其与其他主机或网络段的通信。过滤规则可以基于MAC地址、IPv4地址和端口,或者IPv6地址和端口。
当流量匹配到ACL规则时,会根据策略允许、拒绝或丢弃该流量。ACL还可用于应用服务质量(QoS)策略和路由图过滤器。
通常,ACL在三层网络边界创建一个IPv4过滤器,使得可以基于IP地址、类型和端口号配置过滤器,以调节IP子网之间的通信。例如,一个ACL可以阻止用户VLAN(BYOD,员工和访客)访问网络基础设施管理VLAN。
在AOS-CX设备上,根据平台不同,ACL会以特定方向应用到接口上。需要注意的是这个方向性。下表列出了AOS-CX按接口类型及ACL类型分别支持入站或出站应用的能力。
ACL 接口类型 | 8400X | 8360 | 8325 | 8320 | 64xx | 6300 | 6200 | 6100 |
---|---|---|---|---|---|---|---|---|
Ingress IPv4 ACL on ports | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
Ingress IPv4 ACL on VLANs | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
Ingress routed IPv4 ACL on VLANs | Yes | Yes | Yes | Yes | Yes | Yes | - | - |
Ingress IPv6 ACL on ports | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
Ingress IPv6 ACL on VLANs | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
Ingress routed IPv6 ACL on VLANs | Yes | Yes | Yes | Yes | Yes | Yes | - | - |
Ingress MAC ACL on ports | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
Ingress MAC ACL on VLANs | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
Egress IPv4 ACL (on route-only ports) | Yes | Yes | Yes | Yes | Yes | Yes | - | - |
Egress IPv4 ACL (on bridged ports) | - | Yes | - | - | Yes | Yes | Yes | - |
Egress routed IPv4 ACL on VLANs | - | Yes | Yes | Yes | Yes | Yes | - | - |
Egress IPv6 ACL on ports | - | Yes | - | - | Yes | Yes | Yes | - |
Egress IPv4 ACL on VLANs | - | Yes | Yes | Yes | Yes | Yes | Yes | - |
Egress routed IPv6 ACL on VLANs | - | Yes | Yes | Yes | Yes | Yes | - | - |
Egress IPv6 ACL on VLANs | - | Yes | Yes | Yes | Yes | Yes | Yes | - |
Egress MAC ACL on ports | - | Yes | - | - | Yes | Yes | Yes | - |
Egress MAC ACL on VLANs | - | Yes | - | - | Yes | Yes | Yes | - |
Control plane ACLs | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
Ingress ADC on ports | Yes | Yes | Yes | Yes | Yes | Yes | Yes | Yes |
基于角色的策略
用户角色
Aruba WLAN解决方案长期以来一直具备用户角色或身份的概念。用户角色是一个包含多种属性的容器,这些属性定义了用户或设备如何使用网络及其连接资源。在大多数情况下,角色基于802.1X认证过程中提供的凭据派生并分配给用户或设备。此外,角色还可以根据设备属性、使用模式、地理位置、时间等多个附加因素进行分配。
在安全策略执行方面的一项重大进展是,Aruba ESP能够为网络中任何经过认证或已分析过的流量分配一个角色,并在网络中的任意点(如交换机、AP或网关)强制执行相关策略。这一能力确保每个数据包都与某个角色关联并符合该角色的策略要求,从而实现真正意义上的零信任网络环境。策略可以通过ACL、VLAN分配、QoS标记、时间限制和其他安全需求以各种组合方式应用。
策略
请仔细规划安全策略,充分利用角色,提供全面解决方案,同时不干扰网络的合法使用。
常见的相似策略角色类型或类别包括:
- Trusted
- Untrusted
- IoT
可信(Trusted)
受信任的角色应基于802.1X进行企业级认证。这些角色提供对内部和有限资源的不同访问权限。以下是一些常见的受信任角色示例:
- Employee
- 典型权限包括:
- 完全访问常规网络资源,包括文件、打印、电子邮件、互联网和内部系统。
- 典型的例外/禁止包括:
- 安全或敏感系统,例如与PCI、PHI或PII数据相关的系统。
- 运营控制 - 暖通空调、照明、楼宇自动化系统。
- 网络管理系统 - 管理接口、配置管理应用。
- 典型权限包括:
- IT
- 典型权限包括:
- 标准Employee接入。
- 网络管理系统 - 管理接口、配置管理应用。
- 典型的例外/禁止包括:
- 例外可能包括PCI、PHI、PII数据。
- 典型权限包括:
- Critical
- 典型权限包括:
- 此角色通常分配给一个仅在身份验证服务中断时使用的单一账户。
- 此角色具有执行修复、恢复和还原所需的特定系统控制权限。
- 典型权限包括:
不可信(Untrusted)
不受信任的角色应进行身份验证,但可以使用非802.1X机制,如预共享密钥或访客注册。以下是一些常见的不受信任角色示例:
- Visitor
- 典型权限包括:
- 仅限互联网访问,限制为HTTPS、HTTP、DNS和DHCP协议。
- 典型的例外/禁止包括:
- 带宽限制。
- 应用类别(赌博、游戏、成人内容等)。
- 时间。
- 典型权限包括:
- Contractor
- 典型权限包括:
- 互联网访问受限。
- 根据合同功能所需的敏感或操作系统。
- 典型的例外/禁止包括:
- 设备配置文件的最低补丁级别。
- 应用类别(赌博、游戏、成人内容等)。
- 时间。
- 网络管理系统 - 管理接口、配置管理应用。
- 典型权限包括:
在此背景下,Contractor是指使用自己设备进行项目导向短期工作的资源。
IoT
物联网角色必须根据设备的限制和要求进行定制。策略应确保物联网解决方案在正确的点对点通信下正常运行,并允许管理平面访问所有设备。以下是一些常见的物联网角色示例:
- 办公设备
- 典型的权限包括:
- 访问耗材管理系统。
- 访问打印服务器、DHCP和DNS。
- 典型的例外/禁止包括:
- 无法访问互联网或其他系统。
- 典型的权限包括:
- 楼宇管理设备
- 典型权限包括:
- 访问楼宇管理系统(BMS)主机。
- 访问DHCP和DNS。
- 典型的例外/禁止包括:
- 无法访问互联网或其他系统。
- 典型权限包括:
当设备间无需通信时,配置用户角色以拒绝端点之间的流量。
设计网络角色的目标是创建一致且精确执行策略的角色,同时限制攻击面。
为每种独特类型的用户或设备制定准确的网络概况和具体接入要求至关重要。。
策略执行
集中式叠加(Centralized Overlay)
在使用集中策略架构构建网络时,AP和交换机会与网关集群建立GRE隧道,并通过这些隧道传输所有用户流量。这种设计对主要由客户端发起、面向数据中心或互联网的南北向流量非常高效。
作为802.1X认证会话中的认证服务器,网关在成功认证后为每个客户端会话分配一个角色。Aruba网关产品还通过高吞吐量的防火墙和深度包检测引擎执行策略,是主要的策略执行点。
分布式叠加(Distributed Overlay)
在使用分布式策略架构构建网络时,交换机会形成一个EVPN-VXLAN叠加fabric。数据流量被封装在包含组策略ID(GPID)的VXLAN报文中,使得任何配置了相应角色和策略的VXLAN-GBP感知设备都能执行这些策略。
Aruba Central NetConductor解决方案中的分布式策略架构,在所有方向的流量上提供一致且高效的策略执行,为全网范围内实现零信任网络奠定基础。
交换机上的策略是在Aruba Central中配置,并在加入叠加fabric时下载到交换机上。
802.1X和基于策略的分段
远程身份验证拨入用户服务 (RADIUS)
RADIUS 是一种网络协议,用于将用户凭证传递到认证数据库,然后将相应的用户配置文件从数据库中转发到网络基础设施。
ESP设计中主要采用802.1X认证方法。虽然Aruba产品符合标准并能与多种常见RADIUS服务器集成,但要实现全面的ESP策略层,必须使用Aruba ClearPass Policy Manager作为RADIUS和策略服务器。
Aruba ESP提供了操作安全可靠的RADIUS基础设施所需的重要功能。通过“认证优先级”机制,可以在802.1X认证失败时回退到基于MAC地址的认证,确保关键设备始终获得网络接入。“客户端限制”功能应配置为限制每个设备端口上的已认证客户端数量,以防止意外的MAC泛洪。
另一种提高容错能力的方法是创建一个“关键认证”角色。当某设备的认证请求失败时,可将此角色分配给该设备,并关联仅允许基本连接以继续身份验证尝试的策略。在交换基础设施上设置关键认证角色,可以使设备在RADIUS服务器暂时不可达时仍能访问网络。
角色分配
角色通常在用户或设备通过802.1X认证时分配。RADIUS服务器会查询包含相关凭据配置文件的后端LDAP。在Aruba ESP中,使用厂商特定属性(VSA)来传达分配的角色。
在认证后,RADIUS服务器可以将标准定义的属性和与配置文件相关的VSA回传到网络基础设施。
当终端设备没有适当凭证连接到网络时,应使用“拒绝角色”来防止持续的认证失败。拒绝角色应将设备置于一个受限的VLAN中,仅允许访问DHCP和DNS。这确保客户端认为自己已通过认证但无法获得互联网路由,从而停止进一步的认证尝试。
授权变更消息是一种特殊的RADIUS消息,可以修改已认证用户或设备所应用的策略。基于时间、位置或行为变量,可以为现有已认证用户或设备更改角色。
用户角色分配基本原则包括:
- 用户角色决定流量是本地交换还是隧道传输到其他设备。
- 任何RADIUS服务器都可以返回本地用户角色(LUR)。
- 使用RADIUS服务器的”HPE-User-Role” VSA分配角色。
- 一个角色可以分配策略、QoS ACL、重新认证计时器和强制门户重定向。
- 在网络设备执行关联策略之前,必须存在该角色。
无色端口(Colorless Ports)
ESP的无色端口功能允许设备在连接和认证后,动态分配角色和策略到接入端口。设备可以连接到网络中的任意端口,并根据关联策略被分配到相应的VLAN。这种VLAN分配方式使得流量可以直接放置在传统VLAN上,通过GRE隧道封装并使用UBT发送至网关,或通过VXLAN隧道封装跨越NetConductor fabric传输。
动态分段(Dynamic Segmentation)
在Aruba ESP中,动态分段是一种根据业务需求定义策略,并动态分配用户流量到安全网络段的解决方案。无色端口简化了有线设备接入,并能动态分配角色和策略。对于无线设备,优先使用802.1X进行认证和角色分配。
动态分段通过GRE隧道将AP和交换机连接到集中式网关集群,在数据平面上提供基于防火墙的分段和策略执行。尽管可以对桥接在AP上的流量应用策略,但使用网关集群能够提供更高的吞吐量和执行能力。
通过在隧道数据平面的网关集群上实施基于角色的策略,可以实现精细化流量管理。不仅可以对子网之间应用基于IP的策略,还能在子网内过滤MAC层流量,以限制点对点通信。
无线数据平面模式
动态分段支持三种无线数据平面模式:
- 隧道模式
- 桥接模式
- 混合模式
隧道模式SSID使用从AP到集中网关集群的GRE隧道。策略在Aruba Central中配置,网关是提供策略执行防火墙和DPI引擎功能的执行点。
对于预计在单个站点部署超过500个AP和5000个客户端的园区,需要使用网关。为了实现最大化的高吞吐量策略执行能力,建议使用网关。
三层有线网络中的隧道模式
桥接模式SSID将无线流量本地桥接到VLAN,不会隧道传输到网关。因此,桥接模式AP必须将所有无线用户的VLAN中继到连接的交换机端口。策略在Aruba Central中配置,而AP负责执行,为适度密度的客户端提供防火墙和DPI功能。如果预计部署少于500个AP且每站点少于5000个客户端,应考虑使用桥接模式SSID。在规划部署时,请综合考虑整体安全性、策略和流量工程需求。
两层有线网络中的桥接模式
混合模式SSID在单个SSID上同时启用桥接和隧道转发模式。减少园区内的SSID数量可以通过减少管理帧和信标帧的传输来提高WLAN性能。混合模式SSID仅支持802.1X认证。如果设计需要在园区内同时使用桥接和隧道流量,应考虑使用混合模式SSID。虽然Aruba ClearPass是首选,但不是部署混合模式SSID的必需条件。桥接和隧道VLAN派生使用标准VSA(如filter-id)或Aruba VSA(如用户角色),这些信息由RADIUS服务器发送。
基于用户的有线隧道技术
用户基础隧道(UBT)允许交换机的流量通过GRE隧道传输到网关集群,类似于隧道模式SSID中的流量。与隧道模式相同,策略在Central中配置,由网关执行。这确保了有线和无线流量的一致性策略执行,并简化了北向流的设计。
下图展示了三层有线设计中的UBT。员工、访客和物联网(IoT)设备即使来自接入层的同一VLAN子网,也会根据分配的用户角色拥有不同的访问策略。
在三层有线网络中使用UBT进行策略执行
Central NetConductor
在Aruba ESP中,Central NetConductor是构建基于策略的园区叠加网络的解决方案,通过使用VXLAN-EVPN实现任意点上的逐包策略执行。无色端口通过802.1X进行认证,便于将终端设备接入正确的叠加网络和策略域。
NetConductor在整个ESP园区内一致分发策略配置,确保网关、AP和交换机能够识别角色并执行相关联的策略。
VXLAN-GBP
NetConductor 使用 VXLAN-GBP 通过在 VXLAN 数据包上标记与用户角色关联的组策略 ID (GPID) 来对网络中的用户流量进行分段。角色和策略在 Aruba Central 中定义,并分发到叠加 fabric 的所有设备。
GPID 在入口虚拟隧道端点(VTEP)处根据设备或用户初次认证时分配的用户角色设置。终端可以通过 MAC 或 802.1X 进行认证。
进入 fabric 时,策略会与每个数据包关联,并在从 fabric 出口时执行,从而建立一个细粒度、可扩展且动态的策略层框架。指定的策略标签随数据流量传输,从用户段到广域网块或物理安全基础设施再到数据中心,确保无损失地保持完整性。
使用 VXLAN-GBP 分段具有以下优势:
- 通过在VXLAN头中标记用户角色(存储为GPID),实现同一VLAN上用户流量的角色间微分段。
- 在园区内及fabric域之间实现一致的策略执行。
- 在出口处,交换机根据源角色(由组策略ID携带)决定流量是否被允许或拒绝到达目标角色(由目标MAC地址决定),并相应地转发或丢弃流量。
- 在网关中,VXLAN隧道上的流量可以终止并进入另一个VXLAN隧道。组策略ID必须传输到新隧道,以便对最终目的地实施基于角色的策略。
EVPN到GRE策略
策略通过静态VXLAN隧道在GRE叠加和EVPN叠加之间传递,该隧道位于网关汇聚交换机上的EVPN fabric边界与终止GRE会话的网关集群之间。GPID标识一个Aruba角色,并在两个解决方案间的静态VXLAN隧道中的VXLAN报头中传输。
确保fabric边界交换机规模适当,以应对预期数量的MAC地址。
园区到分支策略
为SD-Branch配置Central网关组时,可以在发往SD-Branch的报文中插入VXLAN头。该头包含EVPN fabric中使用的VXLAN GPID,使远程站点能够接收GPID,并对报文应用与源站点相同的角色。