所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S5700, S6720 V200R012C00 配置指南-业务随行

本文档介绍了业务随行的配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
安全组

安全组

安全组就是对“网络中进行通信的对象”进行抽象化、逻辑化而得到的一个集合。安全组里面的成员,可以是PC、手机等网络终端设备,既可通过管理员配置静态添加,也可通过认证动态添加。

借助安全组,管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署一组网络访问策略,能满足该类别所有用户的网络访问需求。网络对象因为其在网络访问上的“共通性”而被网络管理员划分为同一个安全组,基于安全组配置的策略而获得相同的权限。例如“研发组”(个人主机的集合)、“打印机组”(全网所有打印机的集合)、“数据库服务器组”(服务器IP+端口的集合)。相对于为每个用户部署网络访问策略,基于安全组的网络控制方案能够极大的减少管理员的工作量。

安全组的划分

管理员通过定义安全组,可以将网络中流量的源端或目的端通过组的形式描述和组织起来。例如用户主机,IP电话,服务器,网络设备的接口这类拥有IP地址、可能发起或接受IP报文的终端。管理员要想控制它们之间的互访,就需要先把它们在Controller上定义出来。

安全组主要分为两大类:

  • 动态用户组:需要认证之后才可以接入网络的用户及终端。
  • 静态资源组:使用固定的IP地址的终端。包括数据中心的服务器,网络设备的接口,以及使用固定的IP地址免认证接入的特殊用户等所有可用IP地址描述的网络成员。

同一个安全组既可以与多条授权规则绑定来表示动态用户,也可以与多个IP地址或IP网段绑定来表示静态资源,它们的区别在于:

  • 动态用户的IP地址是不固定的,是在用户认证之后动态地与安全组关联,在用户注销后,也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。而网络设备需要通过作为用户的认证点设备,或者向Controller主动查询,才可以获取这种映射关系。
  • 静态资源的IP地址是固定的,是由管理员通过配置绑定的,并且在预部署阶段,Controller与网络设备间通过XMPP(Extensible Messaging and Presence Protocol)协议同步策略时,安全组与这种IP地址的绑定关系就会同步给所有执行点设备。

如果一个IP地址同时以认证方式和静态绑定方式分别加入了不同组,则以认证方式授权的动态组为优先。

安全组成员的加入

安全组成员可以通过多种途径加入:

  • 用户认证:管理员在Controller上配置用户授权规则关联安全组。用户认证接入后,Controller自动将用户的IP地址与用户对应的安全组进行关联。

    授权规则由两部分组成:

    • 授权条件:用各种登录条件来描述某类特定用户。
    • 授权结果:满足授权条件的用户登录时将与授权结果中指定的安全组关联,即赋予该用户相应的身份和权限。

    用于描述用户的授权条件支持以下项目,管理员可以根据自己的需求来选择配置:

    • 用户信息
      • 用户组(例如人力资源部、市场部、后勤部等)
      • 角色(例如研发人员、服务人员、销售人员、财经人员等)
      • 账号(接入网络时使用的用户名)
    • 位置信息
      • 接入设备组(从哪台设备接入网络,用于表示其接入的物理位置,例如某办公室,某办公楼等)
      • 终端IP地址范围(采用哪个网段的IP地址接入网络)
      • SSID(使用WLAN网络中的哪个SSID接入网络)
    • 其他信息
      • 终端设备组(使用什么终端接入网络。例如是Windows操作系统的PC类终端还是Android操作系统的智能终端)
      • 时间段(用户在线的时间范围)
      • 定制条件(通过认证报文中携带的Radius属性来判断当前用户的登录环境)
  • 静态配置:管理员在Controller上配置IP、网段或“IP+端口”关联安全组。管理员通过这种方法可以将哑终端、服务器这类不进行认证就可以接入网络的对象添加到指定的安全组中。
  • 第三方系统:通过Controller开放的第三方接口,第三方软件系统也可以根据自己的应用场景和算法向安全组中动态添加或删除成员。

业务随行解决方案中的一项关键技术是,把用户与安全组的关联信息,同步到其他设备上。常用的组同步方法有:

  1. 通过控制器全局同步。
  2. 通过专用协议在设备之间进行扩散同步。
  3. 通过用户流量将组信息携带到其他设备。

这里介绍第3种同步方法,即由VXLAN报文头携带用户组到其他设备。步骤如下:

  1. 用户上线时,由控制器分配用户与安全组的映射关系,并下发至网关。
  2. 用户报文进入网关,加上安全组信息后转发。
  3. 目的网关判断该用户要访问的不同安全组的资源或用户,然后根据报文中携带的安全组信息,以及目的资源的安全组信息,查找策略矩阵,获得互访策略并执行。
  4. 用户安全组ID通过VXLAN头进行扩展。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038448

浏览量:3279

下载量:627

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页