CONFIDENTIAL © Copyright 2011. Aruba Networks, Inc. All rights reserved Aruba Networks システムエンジニアリング部 田中 愁子 アルバ最新アップデート
CONFIDENTIAL © Copyright 2011. Aruba Networks, Inc. All rights reserved
Aruba Networks システムエンジニアリング部
田中 愁子
アルバ最新アップデート
1. ネットワーク基盤
3. 管理基盤
ClearPass Policy Manager
L3スイッチ
アクセス ポイント
AirWave Activate
ハードウェア コントローラー
バーチャル コントローラー
2. 認証基盤
Aruba Networksがご提供する3つのコンポーネント
1. ネットワーク基盤
3. 管理基盤
ClearPass Policy Manager
L3スイッチ
アクセス ポイント
AirWave Activate
ハードウェア コントローラー
バーチャル コントローラー
2. 認証基盤
Aruba Networksがご提供する3つのコンポーネント
1. ネットワーク基盤
802.11ac Ready Aruba7200 & AP-22x
Aruba 7200 – 802.11ac ready
Performance
Scal
e
CAMPUS
LARGE OFFICE
3200 32 CAP/128 RAP
2K Users 3 Gbps Firewall
3400 64 CAP/256 RAP
4KUsers 4 Gbps Firewall
3600 128CAP/512 RAP
8K Users 4 Gbps Firewall
7210 512 CAP/512 RAP
16K Users 20 Gbps Firewall
M3 512 CAP/1024 RAP
8K Users 20 Gbps Firewall
7220 1024 CAP/1024 RAP
24K Users 40 Gbps Firewall
7240 2048 CAP/2048 RAP
32K Users 40 Gbps Firewall
Aruba 7200 – 802.11ac ready
M3 and 3000 to 7200 Series Transition
2012
3400
3200XM
3000
Ser
ies
3600
M3
Today CY2013
M3 7220
7210
7240 Need for FIPs
CY2014
R6.2
Introducing 7200 Series
Platform for Tomorrow • Only platform with integrated
security and app intelligence
• Ready for 802.11ac
• High availability design
• >2,000,000 firewall sessions
• 2048 APs / 32k devices / 40Gbps
Stacking Up • >4x throughput vs Cisco 8500
• Highest application session scale in industry
Small Footprint • 1RU x 17.5”
Front View
Rear View
4x 10GBaseX (SFP+) Ports
Expansion Slot
LCD Display
usb
Field-Replaceable Fan Tray
Hot-Swappable, Load-Sharing, Redundant Power Supplies
dual personality ports (RJ-45 or SFP)
I/O, HA, MGMT
Console RJ-45 or usb
Aruba 7200 – 802.11ac ready
3600 M3 72xx
GbE ports 4 (RJ45/SFP) 10 (SFP) 2 (RJ45/SFP) I/O, HA, mgmt
10GbE ports 0 2 (XFP) 4 (SFP+)
Interface Total Performance 4 Gbps 20 Gbps 42 Gbps
Redundant power supply No Yes Yes
Field replaceable fan No Yes Yes
MACsec on 10G ports N/A No Yes
Application Hardware Assist No No Yes (optional module)
LCD Panel No No Yes
10/100/1000 OOB Mgmt port No Yes Yes
RS232 Yes Yes Yes
USB console No No Yes
USB config and image storage No No Yes
Power Consumed 60W 130W 170W
Front to back cooling No No Yes
Height 1RU 4 RU (6000) 1RU
Depth 11.7” 12.5” 17.5”
Base System List $ $12,995 $30,990 Starts at 50% of M3
Aruba 7200 – 802.11ac ready Attributes 3600 M3 7210 7220 7240 Maximum APs (licenses) 128 512 512 1,024 2,048 Maximum RAPs (licenses) 512 1,024 512 1,024 2,048 Maximum concurrent devices 8,192 8,192 16,384 24,576 32,768
VLANs 512 2048 L2 1400 L3 4,094 4,094 4,094
Concurrent GRE Tunnels (System BSSIDs) 1,024 8,192 8,192 16,384 32,768
Concurrent IPSec Sessions 4,096 4,096 16,384 24,576 32,768 Concurrent SSL Fallback Sessions 2,048 2,048 8,192 8,192 8,192
Wired Throughput (large packets) 4 Gbps 20 Gbps 22 Gbps 38 Gbps 38 Gbps
Active Firewall Sessions (Concurrent sessions) 128,000 524,300 2,015,291 2,015,291 2,015,291
Aruba 7200 – 802.11ac ready
• Existing ArubaOS licenses apply to 7200 controllers – AP Capacity, PEFNG, and RFP
• Licenses can be transferred from existing controllers (600 Series, 3000 Series and M3) to 7200 Series
• New licenses for 7200 Series – New higher capacity licenses
– New PEFV licenses
Part Number Price List Description LIC-2048-AP Access Point License (2048 Access Point License) LIC-PEFNG-2048 Policy Enforcement Firewall (2048 AP License) LIC-RFP-2048 RF Protect License including WIP and Spectrum (2048 AP Support)
Part Number Price List Description LIC-7210-PEFV Policy Enforcement Firewall for Aruba 7210 (VIA/VPN users) LIC-7220-PEFV Policy Enforcement Firewall for Aruba 7220 (VIA/VPN users) LIC-7240-PEFV Policy Enforcement Firewall for Aruba 7240 (VIA/VPN users)
• Enterprise class 3x3 802.11ac
• Using first generation 802.11ac silicon
• Aggregate TCP platform throughput performance >1Gbps
• Two platform models: – AP-224: external antennas (3x, dual band) – AP-225: integrated antennas – Advanced Cellular Interference Filtering
• Dual radio: – 802.11n 3x3:3 HT40 2.4GHz (450Mbps) – 802.11ac 3x3:3 HT80 5GHz (1.3Gbps)
• Wired interfaces – Network: 2x 10/100/1000Base-T Ethernet, with MACSec support – USB 2.0 host interface, console port, DC power
• Will require 802.3at PoE (or DC power) for full functional operation
– Set of (reduced) capabilities from 802.3af TBD
• Enterprise temperature range, plenum rated, TPM
roadmap 802.11ac (First Gen) Indoor Campus AP
User and Device Density: AP Product Line
Performance
Scal
e
AP-92/93
AP-105
AP-120 Series
AP-68
AP-130 Series
AP-175
RAP
11ac
roadmap
Instant
Instant update
Instant 3.0 update playback • New Platforms: IAP-104/IAP-175/RAP-3
• Scalability improvement: Unlimited APs and Clients for non-92/93 IAPs
• Multi-class AP support enhancement: Change the mechanism for mixed AP networks upgrade
• UI simplification: Provide advanced mode and new pane
• Ethernet downlink: Provide L2 access and trunk interface to client connectivity.
• Certificate Mgmt. via AMP: Provision cert through HTTPS
• OpenDNS integration: Integrate the enterprise-level OpenDNS service into instant AP.
• Firewall based logging and Firewall ALG
• Client blacklisting: Deny client access manually or dynamically
• Configuration backup and restore
• RAP-conversion: IP-Sec based RAP conversion
• 3G/4G uplink: Provide alternative uplink choice besides Ethernet
• Uplink management: Multi-uplinks switchover management
Instant update
Instant 3.0 update playback • VPN: VPN on master AP
• VLAN derivation: Derive user VLAN dynamically or statically
• Activate Cloud Service: Cloud provisioning and image server
RAP-3WN/WNP Remote AP
低価格(¥48,000 / ¥56,000) 802.11n AP High performance
• 802.11n 2x2:2 2.4GHz radio • 組込みの全方位型アンテナ
Flexible and secure solution • Upstream (WAN) 10/100 port • 2x 10/100 downstream (LAN) ports • USB interface for 3G/4G uplink • デスクトップ及びマウントのサポート • 802.3af POE power (optional)
IAP (RAP-Next Generation)の動作の概要
• 安定性の向上 • サービス継続性
コントローラとの接続が出来ない場合においても、 動作の継続が可能 • 運用性
APとコントローラのバージョンの不一致が可能
ES
SID
: 1
VLA
N=101
ES
SID
: 2
VLA
N=102
ES
SID
: 3
VLA
N=103
Instant AP
Controller
… • 宛先により、センターで制御することも可能 • SSID毎の認証方法の変更 • SSID毎のクライアントのIPの払出しのポリシー
(センターDHCP、APのローカルのDHCPなど)
• Eth0 ポートのダウンリンクサポート • 有線クライアントの認証とトラック • 階層化構成のサポート • 4G LTE Modem Support • Ethernet Uplink Improvements
VPN status/Uplink VLAN • Dynamic Multicast Optimization • Spectrum Monitor • Role Derivation Enhancements • Airwave関連の機能拡張 • Captive Portalの機能拡張
ACLオプションの追加 DNS support for RAP conversion DHCPサーバー関連の機能拡張 8/16 SSID サポート SSIDのDisable L3 Mobilityサポート PPPoE サポート L2-GRE on Instant DHCP relay/Option 82 support on Instant トラブルシューティングツール機能拡張 Deny Inter User Bridging and Deny Local Routing Image URL Upgrade Support Mobility Access Switch (MAS) Integration
Instant update
Instant 3.1 update
8/16 SSID(Extended SSID)サポート
• SSIDの数の拡張 – AP10x/AP175 は 8 SSIDサポート – AP9x/AP13x/RAP3 は 16 SSIDサポート
1. Extended SSIDをEnabledにして 、リブートで反映 2. 自動的にメッシュとWiFiアップリンクをDisableに
L3 Mobility • モビリティを複数のVCクラスタでサポート • L2ドメインからなる大規模なAPの導入も可能 • 既存のL2ローミングを応用 • 各VCクラスタのVCのIP設定がローミングのために必要 • ローミングのイベントの把握のために、UIやAirwave などでの1箇所での
表示は出来ず、複数のVCクラスタにログインする必要あり • ローミングは現在8VCクラスタまでテストを実施
L3 Mobilityサポート
L3 Network
IP-IP L3 Tunnel
• 最初に接続していたコントローラ(home agent)にクライアントのトラフィックは転送される。
• Home Agent と Foreign Agentはそれぞれコントローラ。
移動
従来のコントローラベースのL3 Mobility
L3 Network
移動
IAPベースのL3 Mobility
GRE Old AP / Home AP
(AP1)
New AP / Foreign AP
(AP2) Home VC /
HVC VC
AP
• ローミング先のIAPに接続しているAPがForeign APになり、接続元のAPがHome APとなり、クライアントのトラフィックは転送される。
• Virtual Controller(VC)には従来のコントローラのモデルと異なり、トラフィックは転送されず、VCに負荷はかかることなく、スケーラビリティの高いL3 Mobilityを提供。
Home Agent Foreign Agent
o IAP 108/109 support o AirGroup o WISPr 1.0 o RTLS for unassociated stations o Remote debugging from AirWave (Requires AirWave 7.6) o Auth Survivability (Requires CPPM 6.0.0.2) o VLAN Pooling o Fast Failover for VPN o Mixed mode auth (MAC + dot1x / MAC + CP) o Wired 802.1x authentication o MAS – Automatic VLAN configuration (Requires MAS 7.2) o SSH for remote troubleshooting o Wi-Fi uplink o Novatel 4G modem support
Instant update
Instant 3.2 roadmap
RAP-108/109
• Two dual radio 2x2:2 platforms: – RAP-108: External antennas (2x dual-band) – RAP-109: Integrated antennas, optimized for
desk mount
• Network interfaces – WAN: 1x 10/100/1000 – LAN: 1x 10/100 LAN port
• USB 2.0 host interface, console port, reset button – USB interface disabled when unit is powered from 802.3af POE
• Desktop (vertical) mount primary – Wall, ceiling mount: use existing mount accessories
• Memory config: 128MB SDRAM, 32MB FLASH
• TPM module
• Moderate crypto performance (20Mbps+)
• Power: 12Vdc or POE (802.3af/at), 15W max (12.5 without USB)
• 0C to +40C temperature range
PEAP MS-CHAPv2
802.1x (PEAP)
Auth Suvivability
現行アーキテクチャ(RAP) Instant 3.2 + CPPM 6.1 RADIUS Server RADIUS Server (CPPM 6.1)
Authenticator
Authenticator/VC (IAP 3.2)
dot1x supplicant (新規接続端末)
RADIUS Serverとの IP reachabilityがないため 新規接続端末の dot1x authにFailし、 無線LANに接続できない
dot1x supplicant (新規接続端末)
RADIUS Serverとの IP reachabilityがないが CPPMからIAPに 端末の認証情報がPush されているため、 dot1x authにSuccess。 新規接続端末が 無線LANに接続できる。
Success Fail
1. ネットワーク基盤
3. 管理基盤
ClearPass Policy Manager
L3スイッチ
アクセス ポイント
AirWave Activate
ハードウェア コントローラー
バーチャル コントローラー
2. 認証基盤
Aruba Networksがご提供する3つのコンポーネント
2. 認証基盤
デバイスとネットワークの管理をめぐる急速な変化
アクセス管理
モバイル・デバイス/データ管理
ディスクトップ管理
ClearPass Policy Manager
Clearpass 6.0 新機能: 統合プラットフォーム
Clearpass Policy Managerと Clearpass Quest の統合 • 管理画面の統合、スタイルの統一化 • CPPMによって冗長構成の統一化 • 日本語化 (CY12 Q4)
MDM アプリケーションとの連携
Supported MDM vendor: MobileIron, Air-Watch, MaaS360 (Fiberlink), JAMF, SOTI
ジェイルブレイクの検知
Mobile Applicatoin Management (MAM) 個人 企業
ソーシャル・メディア
購入またはストリーミングした音楽
家族の写真、ビデオ
興味、政治、健康
就活アプリ
生産性、コラボレーション、接続性 企業アプリ
Roadmap
• Clearpass 6.1 の新機能 – MDM 統合: Airwatch/Zenprise – 統合 VIA/OnGuard クライアント (windows、および OSX) – Onboard: ジェイルブレイク検知 (Android) Onboard の Windows 8 サポート Android/Windows のTLS Onboard の LINUX サポート 以下の機能を管理する BYOD Portal
oGuest Access oAirgroup oBYOD Devices (紛失、および盗難されたデバイスの取り消し)
Roadmap
• Public Access and 3rd Party Plugins (6.1) – Hotspot Manager – Advertising サービス – Palo Alto Networks プラグイン – Virtual IP – 冗長構成 – PMS (Micros Fidelio)サービス統合
• マイグレーションツール – マイグレーションの簡素化 – 既存コンフィギュレーションの解析支援
1. ネットワーク基盤
3. 管理基盤
ClearPass Policy Manager
L3スイッチ
アクセス ポイント
AirWave Activate
ハードウェア コントローラー
バーチャル コントローラー
2. 認証基盤
Aruba Networksがご提供する3つのコンポーネント
Airwave
7.6 Update
• New Appliances
– New hardware for PRO and ENT based on Dell 620
– Increased scalability: PRO can support 1500+, ENT 4000+
• Troubleshooting and Diagnostics – Single Sign-on to the Instant network – Running CLI commands from
AirWave • Run a command on all APs from
VC – Visibility into configuration errors
• AOS 6.2 Support – Configuration of new and updated
profiles – Controller Capacity Alerts
• Support for new controller – 7x00 controller platform
• AirMesh Support
– MeshView improvements including visibility into cameras
– MeshOS 4.5 support
• Multivendor Support
– Cisco 7500 controller
– Cisco 3600/600 APs
– Cisco model number info for wireless devices
– HP MSM devices
etc….
Activate
大規模展開時におけるInstant APの課題
• インストールおよび運用負荷が大きい • セグメント毎にVirtual Controllerが動作 • Virtual Controller毎に設定が必要 • Virtual Controller毎にインベントリを管理
ブランチオフィス
Virtual Controller
#1
Virtual Controller
#2
Virtual Controller
#3
Virtual Controller
#4
VLAN 11
VLAN 12
VLAN 13
VLAN 14
各Virtual Controllerのコンフィグ&モニタリング
Admin
Activateクラウドサービス
• Virtual Controllerの設定を自動化 • Airwaveから設定を自動ダウンロード
• 自動的にAirwaveの管理下へ • インベントリの集中管理
50台以上のInstantを展開するお客様/パートナーが利用可能
What’s Activate?
Activate
クラウドサービス
ユーザ/パートナー/デバイス情報
Aruba Networks データベース
DB参照
Activateを利用したIAPの大規模展開(運用)
Activate
Data Center 本社
Airwave
クラウドサービス
ブランチオフィス
Virtual Controller
Activateを利用したIAPの大規模展開(運用)
Activate
Data Center 本社
Airwave
クラウドサービス
ブランチオフィス
Virtual Controller
①DHCPサーバから アドレス取得
ブロードバンドルータ (DHCPサーバ内蔵)
IPアドレス配布
自動
Activateを利用したIAPの大規模展開(運用)
Activate
Data Center 本社
Airwave
クラウドサービス
ブランチオフィス
Virtual Controller
②Activateへ 自動接続
IAP Ver.3.0~ Pre-Configured
自動
Activateを利用したIAPの大規模展開(運用)
Activate
Data Center 本社
Airwave
クラウドサービス
ブランチオフィス
Virtual Controller
③Activateから Airwaveの情報を
ダウンロード
①AirwaveのIPアドレス ②AirwaveとのShared Secret ③Airwaveの Group/Folder情報
自動
Activateを利用したIAPの大規模展開(運用)
Activate
Data Center 本社
Airwave
クラウドサービス
ブランチオフィス
Virtual Controller
④Airwaveに自動接続
自動
Activateを利用したIAPの大規模展開(運用)
Activate
Data Center 本社
Airwave
クラウドサービス
ブランチオフィス
Virtual Controller
⑤Airwaveの管理下に自動配置される
自動
Activateを利用したIAPの大規模展開(運用)
Activate
Data Center 本社
Airwave
クラウドサービス
ブランチオフィス
Virtual Controller
⑥管理者がデバイスの接続を許可
Admin
管理者の監査
Activateを利用したIAPの大規模展開(運用)
Activate
Data Center 本社
Airwave
クラウドサービス
ブランチオフィス
Virtual Controller
⑦自動的にコンフィグがプッシュされる
自動
Activateを利用したIAPの大規模展開(Admin操作)
Activate
クラウドサービス
ブランチオフィス
Virtual Controller
設定完了!
Another use scenario?
InstantモードでShippingされた 大量APをRAPとして使用したい
Activateクラウドサービス
• ActivateでIAPからRAPへの変換のルールの作成とコントローラのIPアドレスの指定
• コントローラで該当のIAPのMACアドレス、AP Group、AP NameなどをWhitelistに追加
• 自動的にIAPがActivateに接続し、コントローラにRAPとして接続
InstantモードでShippingされた 大量APをRAPとして使用したい
まとめ
1. ネットワークインフラ - Controller & AP : 802.11ac ready - Instant : Low Cost & High Spec Wireless Infra 2. 認証基盤 - ClearPass Policy Manager : BYOD ready 3. 管理基盤 - Airwave : 管理性アップ - Activate : Instant & RAP Easy Deploy
まとめ
Any question?
People move. Networks must follow.™