所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S5700, S6720 V200R012C00 配置指南-业务随行

本文档介绍了业务随行的配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
业务随行简介

业务随行简介

定义

业务随行是敏捷网络中一种不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。

背景

在企业网络中,为实现用户不同的网络访问需求,可以在接入设备上为用户部署不同的网络访问策略。在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。这些技术要求:

  1. 管理员如果希望保证员工在园区内的网络权限一致,必须要求员工从指定的交换机、VLAN或网段接入上线。
  2. 用于控制用户访问权限的ACL需要管理员提前配置好,而且其中至少需要配置禁止或允许访问的目的IP地址范围。因此,在用户使用的IP地址不固定的前提下,ACL不能用于流量的源和目的都是用户主机时的控制。
  3. ACL与用户的关联只在认证点设备上生效。因此对于非认证点设备,例如部署在企业园区边界的防火墙设备,必须基于IP地址来配置策略。
  4. VLAN和ACL需要在大量的认证点交换机上提前配置,部署和维护工作量巨大。

员工移动办公希望打破这一局限性,允许员工从网络中的任意位置、任意VLAN、任意IP网段接入的同时还可以始终控制其网络访问权限。因此引入了业务随行,通过Agile Controller和敏捷交换机,让网络权限自动跟随人移动,以此解决移动办公体验糟糕的问题。

业务随行从三个方面解决传统园区中遇到的问题:

  1. 业务策略与IP地址解耦

    管理员可以在Agile Controller上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计,敏捷设备在进行策略匹配时,可以先根据报文的源/目的IP地址去匹配源/目的安全组,再根据报文的源/目的安全组去匹配管理员预定义的组间策略。

    通过这样的创新,可以将传统网络中基于用户和IP地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址,实现业务策略与IP地址的完全解耦。

  2. 用户信息集中管理

    Agile Controller实现用户认证与上线信息的集中管理,获取到全网用户和IP地址的对应关系。而网络中的非认证点设备就可以根据报文的源/目的IP地址,通过向Controller主动查询来获取报文的源/目的安全组信息。

  3. 策略集中管理

    Agile Controller不仅是园区的认证中心,同时也是业务策略的管理中心。管理员可以在Controller上统一管理全网策略执行设备上的业务策略。管理员只需要配置一次,就可以将这些业务策略自动下发到全网的执行点设备上。这些策略包括权限策略(例如禁止A组访问B组)和体验保证策略(例如控制A组的转发带宽和转发优先级)。

益处

  1. 简化网络规划:管理员配置策略时无需关注用户的IP地址。
  2. 增强控制能力:实现网络设备上认证用户信息的相互同步。
  3. 管理效率提升:管理员无需逐台设备重复配置。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038448

浏览量:3278

下载量:627

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页