所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S9700 V200R011C10 配置指南-业务随行和业务编排

本文档介绍了设备支持的业务随行和业务编排相关配置。主要内容包括业务随行的基本原理和配置过程,业务编排基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
原理描述

原理描述

简介

业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。

在企业网络中,为实现用户不同的网络访问需求,可在接入设备上为用户部署不同的网络访问策略。但随着企业网络移动化、BYOD等技术的应用,用户的物理位置以及IP地址变化愈加频繁,这就使得原有基于物理端口、IP地址的网络控制方案很难满足用户网络访问体验一致性的需求(譬如网络访问权限不随用户物理位置变化而变化)。

图1-1所示,在传统网络中,当用户的物理位置发生变化时,为保证用户的网络访问体验一致,管理员需要在用户的每个接入设备上为其部署相同的网络访问策略,这在用户物理位置变更频繁时会给管理员带来巨大的工作量。而在敏捷网络中,通过业务随行方案,管理员仅需在控制器上统一为用户部署网络访问策略,然后将其下发到所有关联的接入设备,这样就能满足不管用户的物理位置以及IP地址如何变化,都可以使其获得相同的访问策略。

图1-1  业务随行方案优势示意图

网络架构

图1-2所示,业务随行的网络架构包括:终端、接入设备以及控制器等三个部分。

图1-2  业务随行网络架构示意图
  • 终端:负责向用户提供人机接口,帮助用户进行认证和资源访问。包括PC、便携机、智能手机、平板电脑、哑终端等终端类型。
  • 接入设备:对终端进行认证,决定是否允许终端接入网络并对终端的网络访问权限进行控制。包括交换机、防火墙。本手册仅介绍交换机。
  • 控制器:负责用户策略的创建与下发,以及负责对用户进行认证,收集用户的IP地址信息。仅华为公司产品Agile Controller-Campus支持作为业务随行方案中的控制器。

实现机制

业务随行的实现机制如图1-3所示。

图1-3  业务随行实现机制示意图
  1. 管理员在控制器中创建用户账号、UCL组,同时将用户账号加入其所属的UCL组,然后为用户统一定义基于UCL组的网络访问策略(即组策略)。
  2. 控制器将管理员配置的UCL组和网络访问策略下发给所有关联的交换机。
  3. 用户启动认证,在认证过程中,控制器根据用户的登录信息,将其与UCL组关联。
  4. 用户访问网络。当交换机收到用户报文后,对报文执行基于UCL组的策略。
说明:

UCL组在Agile Controller-Campus上被称之为“安全组”。

UCL组是一种用户类别的标记。借助UCL组管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署一组网络访问策略即能满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略,基于UCL组的网络控制方案能够极大的减少管理员的工作量。

翻译
下载文档
更新时间:2019-03-28

文档编号:EDOC1000178283

浏览量:2016

下载量:227

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页