Aruba Central (New Central) のPolicyは Classic Central から構造というか考え方が少し変わっているので整理してみました。
正式には、以下のドキュメントもご参照ください。
Central Policy Configuration
例えば、今までのAOS8 Gatewayの場合は以下のように、"user-role"の中で session acl を設定していました。
user-role guest
access-list session http-acl
access-list session https-acl
access-list session dhcp-acl
access-list session icmp-acl
access-list session dns-acl
これがAOS10 APやCX Switchになると設定構造が変わってしまうので、デバイス毎に別々にPolicy/Roleを管理する必要が出てきます。
Centralは Global Policy Configuration になっているので、ネットワークデバイスを意識することなく、
「Policy = クライアント端末のネットワークアクセスポリシー」を設定できるのでとても便利です。
インテントベースのCentral Policy Configuration
Central「Policy → Rules → Roles」という3層構造になっています。
Policyは"Intent(意図)"を定義
「Internet Accessを制御したい」「内部リソースへのアクセスを管理したい」といった目的ごとに1つのPolicyを作ります。
デバイス種別(APなのかGatewayなのか)を意識せずに書けるのがポイントで、Centralが後でよしなに変換してくれます。
Rulesはその意図を具体化
いわゆるACL(Access List)の設定をするのがRuleです。
Source(誰が)・Destination(どこへ)・Action(許可 or 拒否)の3要素で書きます。
1つのルールに複数のロールを指定できるので、「EmployeeとGuestは両方インターネットOK」みたいなことが1行で書ける。
順序が重要で、細かい条件(ギャンブルサイトをDeny)を上に、広い条件(インターネット全体をAllow)を下に置く必要があります。
このあたりはACLと同じです。
Rolesは"誰か"を表すラベル
Employee / Contractor / Guest / IoT など、端末種別やユーザ属性に合わせてRoleを作成します。
PolicyはRoleを束ねて管理するイメージで、以前のClassic Centralのように「RoleごとにACLをそれぞれ書く」必要はありません。
最終的にCentralが各デバイスに応じたRole/PolicyのCLI設定を自動生成して、Scope設定(サイト・グループ・グローバル)に従ってデバイスへ配布します。
管理者はIntentを書くだけで、デバイスレベルの変換はCentralが全部やってくれちゃいます。
これで、AP/Gateway/Switch とデバイスに限らずにPolicy統合を実現することができます。
最後に、この Global Policy 全体のフレームワークを図にしてみました。
Policy設定をAPIで実装したい方は、こちらの記事も是非ご覧下さい。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------