2024-04-23

EdgeConnect SD-Branch 分支设计

本节涵盖了分支设计的以下几个方面：

目录

• EdgeConnect SD-Branch 分支设计
  • 零接触配置(Zero Touch Provisioning)
  • 站点（Site）、集群和系统IP
  • WAN 冗余
  • 分支安全
    • 可信端口（Trusted Ports）
  • Aruba SD-LAN
    • 2层（layer 2）和3层（layer 3）边界
    • 2层（Layer 2）有线接入
    • 2层集中式叠加（Layer 2 Centralized Overlay）
    • 3层（Layer 3）有线接入
    • 集中式叠加（Centralized Overlay）
    • 集中式多站点Fabric（Centralized Multi-Site Fabric）

零接触配置(Zero Touch Provisioning)

零接触配置（ZTP）是部署分支网关的首选方法。通过ZTP，设备会自动与Central通信并下载分支的组配置，无需用户干预。在此之前，网关的组分配已在Central中完成，因此可以直接应用组配置，而无需管理员将网关从默认组移动或执行额外的配置操作。

在部署新的分支站点时，请注意，在AP和交换机能够完成ZTP过程并接收其组配置之前，必须先对网关进行预置并上线。AP和交换机需要从各自的网关获取IP地址和域名服务器（DNS）信息，然后才能与Central通信。为了确保网关成功执行ZTP，一个或多个ZTP端口必须连接到提供以下服务的WAN：

• DHCP地址分配
• DHCP options 3（路由器）和5（名称服务器）
• 互联网访问

物理端口应在BGW之间保持一致，以确保各个分支的一致性，并减少所需的组数。目标是选择一套适用于尽可能多分支配置的通用端口。

除了为一键安装（OTP）保留的千兆以太网0/0/1外，WAN上行链路可以连接到BGW上的任何端口。

如果网关连接到多个WAN服务，它将尝试通过每个服务执行ZTP，直到成功。首先响应DHCP发现消息的WAN服务将被优先选择。下图展示了不同形态设备中为OTP保留接口的位置。

站点（Site）、集群和系统IP

分支网关通常部署为单个设备或冗余对。这两种部署方式都会根据站点自动放置在一个集群中，该集群可以包含一个或两个网关。每个站点最多支持两个分支网关的自动集群功能。对于冗余和非冗余的站点，如果网关未被放置在同一集群中，接入点将无法与其通信。因此，将这两台设备都自动放置在同一站点和同一集群中至关重要。

避免使用自动分组集群，因为这要求每个站点都必须拥有唯一的分组，从而使得管理标准配置变得极为繁琐。

非冗余站点和冗余站点在系统IP地址的使用方式上存在一些差异。

• 在非冗余站点，网关会将系统IP地址用作Radius、SNMP和隧道等功能的源地址。欲了解更多详细信息，请参阅EdgeConnect SD-Branch概述。
• 在冗余部署中，需要一个VRRP虚拟IP（VIP），并将其用作Radius和TACACS功能的源IP地址。网关代理所有来自VIP的COA请求。系统IP地址仍用于隧道和集群形成等功能。

如果局域网（LAN）连接中断，导致网关之间无法通信，就可能会发生“脑裂”现象。此时，两个网关都会假定自己是主节点并使用虚拟IP地址（VIP）。当LAN连接恢复后，secondary集群成员将不再承担主要VIP角色，并在280秒后放弃主节点身份。为了确保稳定性，网关应具备2层连接，这可以通过直接连接或中介交换机实现。此外，在这两种情况下，网关还应使用链路聚合控制协议（LACP）以提高容错能力。

WAN 冗余

在具有多个分支网关和有限WAN传输的部署中，分支站点通常只有有限的WAN接入。

管理员可以利用上行链路共享功能，使得分支网关能够同步DHCP状态，并通过LAN在各设备之间共享上行链路。每个分支网关可以选择性地共享部分、全部或不共享任何上行链路。在进行上行链路共享时，为每个共享的上行链路使用唯一VLAN至关重要。例如，INET 上行链应使用 VLAN 4085，而 MPLS 上行链应使用 VLAN 4086。这些VLAN可以相互间进行资源共享，如下图所示。

管理员通过VLAN ID识别需要共享的上行接口。如果希望在不共享上行链路的情况下实现网关之间的DHCP状态同步，请确保两个网关上的WAN上行链路使用相同的VLAN ID。在下图中，BGW1和BGW2均使用了VLAN 4085，并且该上行链路已连接。在此示例中，WAN上行链路未被共享。

分支安全

在具备以下特性的情况下，分支网关可以作为站点抵御外部和内部威胁的第一道防线：

• Aruba基于角色的状态防火墙 - 该防火墙支持通过使用别名、应用层网关（ALG）和基于角色的策略进行灵活配置。
• 深度包检测 - Qosmos的应用引擎和签名能够识别近3500种应用。
• 网页内容、信誉和地理位置过滤 - WebRoot的机器学习技术对数十亿个URL进行内容、信誉和地理位置的分类。
• Aruba威胁防御（IPS/IDS） - 由ProofPoint的威胁情报提供支持，Aruba 9000 系列网关能够对所有分支流量执行 IDS/IPS 功能。更多详细信息，请参阅 IPDS 指南。

在使用适用于Aruba分支网关的安全功能之前，首先需要明确识别关键业务资产，例如用户组、销售系统和应用程序（无论是基于云端还是本地）。只有在清晰识别这些资产后，才能定义全面的保护需求和安全协议。

在分支网关上，这些资产根据其目的地、服务和个体角色得到了清晰标识：

• 网络别名（Network Aliases）用于识别和区分特定的主机、网络或它们的组合。
• 服务别名（Service Aliases）用于识别和区分各种服务，例如DHCP、FTP、SIP等。
• 应用被清晰地识别出来，以便可以单独或作为一个组进行专门的安全操作。例如，可以对超过3000个常见应用（如YouTube、Facebook和Twitter）进行深度包检测。
• 角色用于识别和分类终端用户设备，并通过分配的角色来应用访问控制列表和策略。

在明确识别资产后，组织需要绘制这些资产之间的通信图。例如，员工可能需要与Office 365或Google Workspace进行交互以完成日常任务。创建流程图以概述各资产间的连接。

接下来，根据资产及其通信流开发并执行策略。分支网关可以通过四种方法来实施这些策略：地理位置过滤、网页信誉评级、入侵防御系统（IPS）和访问控制列表（ACL）。

要使用地理位置过滤、网页信誉评级和入侵防御系统来执行策略，网关必须启用防火墙可见性、深度包检测以及网页内容分类（Webcc）功能。此外，请注意地理位置过滤默认设置为“允许所有”，因此需要额外配置以阻止不希望的国家。

应建立网页信誉设置，通过入站和出站策略阻止恶意URL。如果合法网站被误封，可以将其单独添加到允许URL列表中。管理员可以查看基于网页信誉被阻止的URL日志，并在必要时解除对这些URL的封锁。

根据流量方向，不同强制规则具有不同优先级。ACL可以专门应用于接口和角色，每个都有自己的优先级顺序。

在下图中，角色A有一个VLAN分配ACL和路由策略。在该角色内，路由策略优先于应用于VLAN的路由策略。接下来命中的政策是IPS/IDS，它检查流量是否为恶意流量。根据组织政策要求，可以启用网关上的IPS或IDS功能。其中，IPS会阻止恶意流量，而IDS则记录恶意流量实例。如果未确定为恶意流量，则继续进入地理过滤/网页信誉系统处理阶段。最后，通过防火墙对数据包进行NAT或PAT处理，然后命中WAN ACL规则。

当流量从广域网接口进入网关时，首先会触发广域网访问控制列表。接着，传入的流量将通过地理过滤和网页信誉系统进行筛选。随后，流量会匹配网络地址转换（1:1），并移动到入侵防护系统/入侵检测系统进行检查。之后，流量将命中一个与上述示例略有不同的全局路由策略。最后，根据用户角色，对流量进行最终的访问控制列表和策略检查。

当从隧道端点接收到流量时，这可能来自VPNC或其他分支站点。流量的强制执行路径略有不同：首先直接进入IPS/IDS，然后经过全局路由策略，最后到达用户角色。

在网关内，每个用户角色都作为一个实例在有状态防火墙中进行跟踪。即使是在同一网关上，任何跨角色的流量都会在入口处接受检查。“受信端口（Trusted Ports）”部分详细描述了针对不受信任端口的额外安全措施。

在下面的示例中，发起流量的角色（角色A）通过有状态防火墙。访问控制列表（ACL）对该角色强制执行，并进行入侵预防系统/入侵检测系统（IPS/IDS）的检查。然后，流量被路由到目标角色（角色B），在那里它必须通过另一个有状态防火墙，对角色B强制执行ACL。

可信端口（Trusted Ports）

网关上的每个端口都可以配置为可信或不可信。信任参数决定了网关如何处理传入的用户流量。当一个端口或VLAN被设置为不可信时，网关会跟踪每个IPv4地址的用户会话，并将用户设备分配到预定义角色之一，该角色决定应用于传入和传出用户流量的会话ACL。每个端口和VLAN的信任配置取决于网关的角色以及连接到该端口的内容。Aruba建议VPNC和BGW端口使用以下信任配置：

• VPNCs – 将所有端口和VLAN配置为可信任。
• BGWs – 将所有WAN端口和VLAN配置为可信任。
• BGWs – 将所有LAN端口配置为不信任。

在VPNC上无需跟踪用户会话，因此所有端口和VLAN都被配置为可信。这同样适用于直接连接到WAN服务的BGW和VPNC端口。如果VPNC或BGW直接连接到公共WAN服务，Aruba建议对该端口进行限制性会话ACL的配置，并将所有BGW LAN端口设置为不可信。这样可以使得BGW能够跟踪内部IPv4地址的所有用户会话。每个LAN/VLAN需要其独立的AAA配置文件，每个AAA配置文件可以触发MAC、802.1X或强制门户认证，并确定初始角色分配。设备和用户认证是完全可选的。

Aruba SD-LAN

在部署SD-WAN之后，局域网侧（也称为SD-LAN）必须设计分支网关。通常，SD-LAN的设计与园区网络的两层（Two-Tier）和三层（Three-Tier）架构一致，只是应用程序不托管在本地。

本节将重点介绍相同架构下局域网与SD-WAN之间的交互，以及分支站点部署所受到的影响。

2层（layer 2）和3层（layer 3）边界

在部署分支站点时，局域网可以根据分支的规模选择两种方案。组织可以从分支网关向下使用2层或3层网络架构，或者结合这两者。在任何情况下，都可以采用集中式叠加或传统的分段方法。

两层/三层 2层（Two/Three Tier Layer 2）

• 允许简便地部署站点
• 扩大广播域
• 需要在BGW上进行更多配置（BGW将作为所有VLAN的默认网关）
• 涉及生成树的复杂性

三层3层（路由到BGW的2层接入）（Three Tier Layer 3 ）

• 提升系统扩展性
• 减少广播域范围
• 最小化生成树的复杂性
• 需要更多交换机级别的配置（交换机将作为所有VLAN的默认网关）
• 站点部署更加复杂（采用点对点路由）

每种部署类型都有其独特的优缺点。对于具有两层架构的小型分支站点，2层架构通常能够快速启动，并且在规模扩展方面问题较少。

如果组织采用三层架构，则应考虑使用3层。尽管3层增加了部署的复杂性，但它有效减少了在较大L2域中可能出现的生成树复杂性。

2层（Layer 2）有线接入

在此设计中，BGW为站点提供2层服务。交换机通过VLAN进行分段，使接入交换机的配置保持一致，从而降低了设计的复杂性。

设计注意事项

• 使用站点集群对网关进行集群管理。
• 启用默认网关模式。
• 系统IP是形成集群、AP和交换机隧道的必要条件。
• 两个网关必须能够通过所有已配置的VLAN互相通信，以实现VRRP协议的正常运行。
• Radius将从VRRP虚拟IP地址获取源信息。
• 使用默认网关模式以防止不对称路由。流量将固定到VRRP首选成员，并在故障时切换到备用成员上。
• BGW可以作为DHCP服务器或指向集中式DHCP服务器使用。
• 简易ZTP用于交换基础设施部署
• 已连接的VLAN应重新分配到SD-WAN叠加网络中。

2层集中式叠加（Layer 2 Centralized Overlay）

以下设计采用基于用户的隧道（UBT），也称为集中式fabric。接入交换机和AP将客户端流量通过隧道传输到BGW，以应用用户角色并进行3层终止。管理员可以利用分配给客户端的用户角色来执行角色间策略，并使用深度包检测（DPI）指定WAN策略。例如，访客流量可以完全隔离，并直接通过Internet出口或云安全提供商进行处理。

设计注意事项

• 使用站点集群对网关进行集群化管理。
• 启用默认网关模式。
• 系统IP是形成集群、AP和交换机隧道的必要条件。
• Radius源自VRRP虚拟IP地址。
• 采用默认网关模式以防止不对称路由。隧道连接到VRRP首选成员，故障时会切换到备用成员。
• 策略在BGW处执行。
• 网关应运行LACP中继至二层汇聚块，并中继所有已隧道化的VLAN。网关必须具有用于VRRP和集群形成的二层邻接关系。
• 汇聚与接入之间的VLAN必须使用不同于已隧道化VLAN的VLAN ID和子网。（这些VLAN不能被隧道化）
• 所有设备必须位于同一管理VLAN，不要对该VLAN进行隧道化处理。
• 在汇聚与BGWs之间运行LACP中继协议。
• 必须在所有VLAN上启用MTU/Jumbo帧支持。

3层（Layer 3）有线接入

在此设计中，汇聚交换机为站点提供3层服务。2层接入交换机通过多个VLAN的干道连接到汇聚交换机，以便在它们之间映射VLAN。汇聚交换机充当每个IP子网的默认网关，并向终端设备提供DHCP服务。DHCP也可以集中部署在总部或数据中心。本地2层接入交换机会使用管理VLAN上的DHCP客户端获取其IP地址。此外，汇聚交换机会通过3层端口路由到BGW。

设计注意事项

• 该设计无需使用集群。
• 网关应仅作为边缘路由器和防火墙。
• 应通过OSPF将路由重新分配到SD-WAN叠加网络中。

集中式叠加（Centralized Overlay）

以下设计采用基于用户的隧道（UBT），也称为集中式Fabric。接入交换机和AP将客户端流量通过隧道传输到BGW，以应用用户角色并进行3层终止。管理员可以利用分配给客户端的用户角色来执行跨角色策略，并使用深度包检测（DPI）指定WAN策略。例如，访客流量可以完全隔离，并直接通过Internet出口或云安全提供商进行处理。

设计注意事项

• 使用站点集群对网关进行集群化管理。
• 启用默认网关模式。
• 系统IP是形成集群、AP和交换机隧道的必要条件。
• Radius源自VRRP虚拟IP地址。
• 为防止不对称路由，请使用默认网关模式。隧道连接至VRRP首选成员，故障时自动切换至备用成员。
• 策略在BGW处执行。
• 网关应通过LACP干线连接到三层汇聚块，并承载所有已隧道化的VLANs。网关必须具备用于VRRP和集群形成的二层邻接关系。
• 汇聚与接入之间的VLAN应具有不同于已隧道化VLANs的ID和子网。（这些VLAN 不能 被隧道化）
• OSPF应在LACP干线与汇聚及BGWs之间运行，以获取非隧道子网的信息。
• OSPF 不应该 将已隧道化VLANs广告给汇聚交换机。
• 必须在所有VLAN和路由链接上启用MTU/巨型帧支持。

基于用户的隧道可以在2层或3层局域网部署中启用。本示例仅使用3层架构。

集中式多站点Fabric（Centralized Multi-Site Fabric）

下图展示了两个分支的部署情况，均实施了用户角色，并启用了角色传播以在广域网（WAN）上执行策略。角色传播通过将用户角色映射到基于组的VXLAN策略（GBP）标签，然后将该标签封装在IPSEC中来实现。fabric仅使用VXLAN GBP头部，不传输2层负载。

为了成功实现角色传播，需要考虑两个关键因素：用户角色的实施和网关对用户角色的识别。有多种方法可以应用用户角色，包括静态用户角色到VLAN映射或802.1x认证。此外，确保网关能够准确识别用户角色也至关重要。要在所有位置实现一致性，请使用全局策略管理器。

应用用户角色的方法决定了是否在各个站点启用微隔离或VLAN隔离。例如，将“MGMT”用户角色映射到VLAN 100。因此，每当网关接收到来自VLAN 100的流量时，它会将其与“MGMT”用户角色相关联。通过创建一个WAN策略，可以允许跨WAN进行MGMT用户角色之间的通信，而不需要指定特定子网。同样地，使用802.1x要求网关了解与每个用户角色关联的VLAN。

另一个例子是利用带有基于用户隧道（UBT）的微隔离。在这种情况下，每个用户使用802.1x进行身份验证并获得不同的用户角色，例如User-Role-A和User-Role-B。不依赖于VLAN映射，通过隧道使网关获得每个用户角色的信息。这一概念同样适用于隧道SSID。由于每个用户具有不同名称，因此现在可以为每个用户分配不同的基于组的策略（GBP）标签，同时仍属于同一VLAN。这使得本地分支能够实现微隔离，并由用户扮演强制执行政策。一旦流量穿越WAN，GBP标签确保在目标站点强制执行政策。

设计注意事项

• 网关必须了解设备的用户角色。
• 分支内部策略在BGW处执行。
• 分支间的策略在目标分支处执行。
• 使用全局策略管理器和NetConductor定义角色，这也是设置GBP-ID的位置。
• VXLAN-GBP数据包在每个网关进行分片和重组。（无需更改MTU）
• 策略在启用的组内以及跨启用的组之间执行。

此示例展示了基于用户的隧道进行角色传播，然而UBT并不是实现角色传播所必需的。