评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
园区接入场景下的业务随行
园区接入场景主要用于实现基于帐号、终端类型和接入方式的权限控制,与用户在何处登录无关,权限随行。
与Agile Controller-Campus对接场景
如图1-3所示,在园区接入场景中,建议使用汇聚交换机作为认证点和执行点,管理员在Agile Controller-Campus上配置的安全组和访问权限控制策略部署到汇聚交换机。
- 管理员在Agile Controller-Campus上配置安全组、授权规则、访问权限控制策略和安全前域,并将访问权限控制策略和安全前域全网部署。部署访问权限控制策略时,策略使用的安全组一起部署。
- 规划五个安全组,员工组、外包组和BYOD组分别用于接收用PC登录的员工、用PC登录的外包和用移动终端登录的员工;邮件组和Internet组分别绑定邮件服务器IP地址和Internet地址作为资源。
- 授权规则定义用PC登录的员工、用PC登录的外包和用移动终端登录的员工分别映射到员工组、外包组和BYOD组。
- 访问权限控制策略定义安全组之间允许或者禁止访问。
- 安全前域是指用户认证前即可访问的资源,设备检测到用户访问安全前域时直接放行。
- 用户发起认证,在Agile Controller-Campus上认证通过后,Agile Controller-Campus根据所配置的授权规则将指定安全组授权给用户,并将结果返回给汇聚交换机。根据汇聚交换机上的访问权限控制策略,用户所属安全组允许或者禁止访问目标资源。
同一汇聚交换机连接的用户之间终端互访可以直接通过授权给用户的安全组之间访问权限控制策略实现,如图1-4所示,不同汇聚交换机之间的终端互访该如何实现呢?
默认情况下交换机只有从该设备认证上线的用户信息,且交换机不支持将IP地址发送到Agile Controller-Campus查询其所属安全组。
这种情况建议分别创建两个安全组,绑定“汇聚SW_1”和“汇聚SW_2”所连接的网段。
- 安全组1:绑定IP地址10.10.20.0/24,代表汇聚SW_1所连接的网络资源。
- 安全组2:绑定IP地址10.10.10.0/24,代表汇聚SW_2所连接的网络资源。
然后通过配置用户A所属安全组到资源(“安全组2”),用户B所属安全组到资源(“安全组1”)来实现不同汇聚交换机之间的终端互访。