定义
业务随行是一种不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。
背景
在企业网络中,为实现用户不同的网络访问需求,可以在接入设备上为用户部署不同的网络访问策略。在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。这些技术要求:
- 管理员如果希望保证员工在园区内的网络权限一致,必须要求员工从指定的交换机、VLAN或网段接入上线。
- 用于控制用户访问权限的ACL需要管理员提前配置好,而且其中至少需要配置禁止或允许访问的目的IP地址范围。因此,在用户使用的IP地址不固定的前提下,ACL不能用于流量的源和目的都是用户主机时的控制。
- ACL与用户的关联只在认证点设备上生效。因此对于非认证点设备,例如部署在企业园区边界的防火墙设备,必须基于IP地址来配置策略。
- VLAN和ACL需要在大量的认证点交换机上提前配置,部署和维护工作量巨大。
员工移动办公希望打破这一局限性,允许员工从网络中的任意位置、任意VLAN、任意IP网段接入的同时还可以始终控制其网络访问权限。因此引入了业务随行,通过控制器和敏捷交换机,让网络权限自动跟随人移动,以此解决移动办公体验糟糕的问题。
业务随行从三个方面解决传统园区中遇到的问题:
-
业务策略与IP地址解耦
管理员可以在控制器上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计,敏捷设备在进行策略匹配时,可以先根据报文的源/目的IP地址去匹配源/目的安全组,再根据报文的源/目的安全组去匹配管理员预定义的组间策略。
通过这样的创新,可以将传统网络中基于用户和IP地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址,实现业务策略与IP地址的完全解耦。
-
用户信息集中管理
控制器实现用户认证与上线信息的集中管理,获取到全网用户和IP地址的对应关系。而网络中的非认证点设备就可以根据报文的源/目的IP地址,通过向控制器主动查询来获取报文的源/目的安全组信息。
-
策略集中管理
控制器不仅是园区的认证中心,同时也是业务策略的管理中心。管理员可以在控制器上统一管理全网策略执行设备上的业务策略。管理员只需要配置一次,就可以将这些业务策略自动下发到全网的执行点设备上。这些策略包括权限策略(例如禁止A组访问B组)和体验保证策略(例如控制A组的转发带宽和转发优先级)。
益处
- 简化网络规划:管理员配置策略时无需关注用户的IP地址。
- 增强控制能力:实现网络设备上认证用户信息的相互同步。
- 管理效率提升:管理员无需逐台设备重复配置。
体系架构
整体架构如图1所示。
- 用户终端负责发起认证。
- 接入层负责二层透明转发用户流量。
- 认证点设备负责对用户进行认证,执行点设备控制用户访问权限。认证点和执行点可以是同一设备,也可以是不同设备。
- 边界设备负责保证特定用户在出口的转发优先级。
- 静态资源是用户可以访问的服务器资源,在控制器中可以以安全组的形式管理。
业务随行方案中的三个核心角色:
- 控制器:负责与网络设备联动完成用户认证和策略下发,实现业务策略与IP地址的完全解耦。仅华为公司产品Agile Controller-Campus或iMaster NCE-Campus支持作为业务随行方案中的控制器。
- 接入设备:对终端进行认证,决定是否允许终端接入网络并对终端的网络访问权限进行控制。包括交换机、防火墙。本手册仅介绍交换机。
- 终端:负责向用户提供人机接口,帮助用户进行认证和资源访问。包括PC、便携机、智能手机、平板电脑、哑终端等终端类型。
工作机制
交换机与Agile Controller-Campus、iMaster NCE-Campus对接差异如所示表1。具体实现机制请参考图2和图3。
| 对比项 | 场景说明 | 支持的安全组 |
|---|---|---|
| Agile Controller-Campus | 适用于单认证点的园区接入场景 交换机作为执行点时,必须同时作为认证点,因为交换机单独作为执行点不支持Agile Controller-Campus向其推送组策略 | 动态用户组、静态资源组 |
| iMaster NCE-Campus | 适用于单认证点、多认证点的园区接入场景 可以实现执行点和认证点是不同交换机 | 动态用户组、推送用户组、静态资源组、逃生资源组 |
对于Agile Controller-Campus,业务随行的实现机制如图1所示。
- 管理员在控制器中创建用户账号、定义UCL组(User Control List),同时将用户账号加入其所属的UCL组,所有用户必须在认证通过后才可接入网络。然后为用户统一定义基于UCL组的网络访问策略(即组策略)。
- 控制器将管理员配置的UCL组和网络访问策略下发给所有关联的交换机,从而实现交换机对用户所属UCL组的识别。交换机还可在本地部署部分基于安全组的业务策略。
- 用户启动认证,在认证过程中,控制器根据用户的登录信息,将其与UCL组关联。认证成功后,控制器将该用户所属组作为授权结果下发给认证点。控制器收集所有上线用户的IP地址。
- 用户访问网络。当交换机收到用户报文后,会尝试识别报文的源/目的IP对应的安全组,对报文执行基于UCL组的策略。
对于iMaster NCE-Campus,业务随行的实现机制如图3所示。
- 管理员在控制器中创建用户账号、定义UCL组,同时将用户账号加入其所属的UCL组,所有用户必须在认证通过后才可接入网络。然后为用户统一定义基于UCL组的网络访问策略(即组策略)。
- 控制器将管理员配置的UCL组下发给所有关联的交换机(执行点和认证点设备),从而实现交换机对用户所属UCL组的识别。
- 执行点设备向控制器发起建立IP-GROUP通道。
- 用户启动认证,在认证过程中,控制器根据用户的登录信息,将其与UCL组关联。认证成功后,控制器收集所有上线用户的IP地址。
- 控制器通过IP-GROUP通道向执行点设备推送UCL组表项信息(该用户所属组作为授权结果),记录源/目的IP与UCL组的映射关系。
- 用户访问网络。当执行点设备收到用户报文后,会尝试识别报文的源/目的IP对应的安全组,对报文执行基于UCL组的策略。
![BulingBuling - 《金钱心理学》 [ The Psychology of Money ]](https://img-blog.csdnimg.cn/direct/30a3662afd984d6ca0c0b4e1a7a540f8.webp)
