动态网络分段

什么是动态网络分段？

HPE Aruba Networking ESP 根据组织的整体网络架构和覆盖选择支持两种动态网络分段模型：集中式和分布式。

动态网络分段集中式模型可在无线接入点和 HPE Aruba Networking 网关之间使用 GRE 隧道，保障流量的安全和独立。Cloud Auth 云原生网络访问控制 (NAC)、ClearPass 和 HPE Aruba Networking Central NetConductor 策略管理器提供角色和访问定义和管理功能。网关可以充当通过 HPE Aruba Networking ESP 第 7 层策略实施防火墙 (PEF) 的入口策略实施点。

动态网络分段分布式模型将 EVPN/VXLAN 叠加、云原生 NAC 和 Central NetConductor 云原生服务（例如结构向导和策略管理器）分别用于网络配置和策略传播。可借助 HPE Aruba Networking 网关和支持架构功能的交换机以内联方式实施策略，这些交换机能够解析基于标准的全局策略标识符 (GPID) 中携带的访问控制信息。

有了 Central NetConductor 后，可以通过云管理动态网络分段角色和策略，让组织能够自动配置网络基础设施以保持最优性能，并在全球范围内一致地实施细粒度访问控制安全策略。将业务意图与物理网络建设分离之后，企业得以大幅减少运营网络所需的时间和资源，进而提高 IT 生产效率。

• 提高端点可见性：发现、分析和监控网络上的设备是动态网络分段的关键环节。采用 AI 技术的 HPE Aruba Networking Central Client Insights 无需代理，可利用从无线接入点、交换机和网关提取的原生基础设施遥测数据，搭配使用基于机器学习的分类模型来识别及准确分析各类客户端。
• 基于云的管理以及自动授权和自动执行访问控制：Central NetConductor 可让用户利用基于意图、简单易用的工作流程来完成策略定义和网络配置。按钮自动化、自动更新和持续执行的策略，都能够简化安全操作和叠加的创建。
• 不影响性能的全局策略实施：群组策略标识符 (GPID) 允许网络借由流量传输访问控制信息，以便通过具有架构功能的交换机和网关进行内联策略实施，从而达到最优安全性和性能。
• 灵活采用：当前将集中式策略实施方法用于动态网络分段的组织可以继续采用该方法，并在之后采用分布式方法，由访问设备推进执行，而无需淘汰更换现有基础设施。