终端识别与策略自动化设计
设计概述
大中型园区网络中,接入终端除了智能终端(PC、手机),还有哑终端IP话机、打印机、IP摄像头等哑终端。当前园区网络终端管理主要面临以下两个问题:
- 当前网络管理系统只能查看接入终端的IP和MAC,并不知道终端具体是什么设备,无法对网络终端做更精细的管理。
- 不同类型的终端,需部署的网络业务配置和策略也不同,管理员需要手动为每种类型的业务终端配置不同的业务配置和策略,业务部署复杂且操作繁琐。
为了解决如上两个场景问题,华为推出了终端识别与策略自动下发方案,可支持如下功能:
- 通过iMaster NCE-Campus可查看全网终端类型、系统等分类,比如哑终端:打印机、IP摄像头、一卡通、门禁等,并基于终端的类型进行分类统计和流量呈现。
- 针对园区IP话机、打印机、IP摄像头等哑终端设备,无需管理员手动为每种类型的业务终端配置不同的业务配置和策略。iMaster NCE-Campus能够自动的识别终端,并为终端设备下发对应的准入策略和业务配置。
网络管理员部署终端识别与策略自动下发方案,需要完成终端识别方法设计、终端策略设计两部分。
终端识别概述
iMaster NCE-Campus的终端管理提供终端识别功能,可呈现终端的类型、操作系统、生产厂商。
终端识别通过下列几种方法实现:
分类 |
识别方法 |
识别方法说明 |
适用的场景 |
|---|---|---|---|
被动指纹识别 |
MAC OUI |
MAC地址前三字节用于表示厂商,但很多情况下不准确 |
仅识别设备厂商 |
HTTP UserAgent |
浏览器UserAgent信息中包含厂商、终端类型、操作系统、浏览器等信息 |
手机、平板型号、PC、工作站 音视频智能终端 |
|
DHCP Option |
终端DHCP报文的部分属性可用于终端分类,常用属性有55、60、12 |
手机、平板型号、PC、工作站 IP摄像头、IP话机、打印机等 |
|
LLDP |
链路层设备发现协议,包携带设备型号 |
IP话机、IP摄像头、网络设备等 |
|
mDNS |
mDNS报文含有终端型号信息和业务信息 |
苹果终端、打印机、IP摄像头等 |
|
主动扫描识别 |
SNMP Query |
通过查询SNMP mib节点中的设备信息相关的节点获取识别信息 |
网络设备、打印机 |
NMAP |
通过NMAP软件对终端进行OS、服务扫描,可探测终端型号和OS信息 |
PC、工作站 如打印机、话机、IP摄像头等 |
被动指纹采集方法:通过网络设备采集终端报文的特征指纹,上报给SDN控制器做终端类型识别。
主动扫描方法:通过SDN控制器主动探测或扫描终端,根据终端设备的反馈信息做终端类型识别。
终端接入网络时,网络设备可以采集终端的信息,上报给iMaster NCE-Campus或iMaster NCE-Campus主动扫描终端信息,iMaster NCE-Campus自动识别终端的类型、操作系统和厂商。
终端识别方法设计
当园区网络管理员想通过iMaster NCE-Campus呈现终端的类型,基于终端类型做网络管理,需要完成如下工作:
- 收集网络中有哪些类型的终端,比如PC,手机,打印机,IP摄像头,门禁等。
- 网络是否部署Portal认证。
- 终端是动态DHCP分配IP地址,还是静态分配IP地址。
利用上述搜集的信息,根据下表逐项遍历,选择需要采用的终端识别方法(多选,符合的识别方法都需开启)
识别方法 |
可识别的终端类型 |
适用场景 |
|---|---|---|
MAC OUI |
所有IP终端(仅识别设备厂商) |
通用场景(认证场景、非认证场景、动态IP场景、静态IP场景) |
HTTP UserAgent |
手机、平板型号、PC、工作站 音视频智能终端 |
仅Portal认证的终端场景 |
DHCP Option |
手机、平板型号、PC、工作站 IP摄像头、IP话机、打印机等 |
仅终端是动态IP分配的场景 |
LLDP |
IP话机、IP摄像头、网络设备等 |
通用场景 |
mDNS |
苹果终端、打印机、IP摄像头等 |
通用场景 |
SNMP Query |
网络设备、打印机 |
本地部署场景 |
NMAP |
PC、工作站 如打印机、话机、IP摄像头等 |
本地部署场景 |
通过上述步骤,筛选出需要在iMaster NCE-Campus上开启的终端识别方法。若管理员无法精确选出应采用的终端识别的方法,推荐开启被动指纹识别的5个识别方法:MAC OUI,HTTP UserAgent,DHCP Option,LLDP,mDNS。
NMAP扫描方法识别周期长,推荐默认关闭,被动指纹识别方法无法满足终端识别的场景再开启NMAP识别方法。
网络管理员可以通过iMaster NCE-Campus在对应的设备上开启终端识别功能和依赖的功能,见表2。
识别方法 |
功能开启 |
需同时开启的功能 |
|---|---|---|
MAC OUI |
接入交换机和AP开启 |
- |
HTTP UserAgent |
Portal认证的设备 |
- |
DHCP Option |
接入交换机和AP开启 |
接入交换机需开启DHCP Snooping功能,AP默认已开启DHCP Snooping功能。 |
LLDP |
接入交换机和AP开启 |
- |
mDNS |
接入交换机和AP开启 |
接入交换机和AP需开启mDNS Snooping功能 |
SNMP Query |
控制器开启 |
- |
NMAP |
控制器开启 |
- |
- 不认证场景下,接入设备需开启ARP SNOOPING功能,控制器才能显示有线终端的信息。
- iMaster NCE-Campus与接入设备跨NAT部署场景,不支持SNMP Query和NMAP的终端识别方法。
- 部署SNMP Query和NMAP的终端识别方法时,需确保iMaster NCE-Campus和终端可IP互通。
终端策略设计
园区网络管理员可以通过iMaster NCE-Campus为终端设备自动下发对应策略,而无需手动为每种类型的业务终端配置不同的业务配置和策略。终端策略支持基于终端类型或操作系统或生产厂商下发对应终端策略。
管理员需要完成如下工作:
- 基于终端类型的策略自动下发依赖准入认证来授权策略。接入交换机和AP上需部署准入认证(准入认证方式选择详见认证技术选择)。有哑终端的场景需要在接入交换机和AP上开启MAC认证。
- 网络开启终端识别功能。详见上一章节的描述。
- 梳理网络中需要自动下发策略的终端类型,并设计对应的授权策略,在iMaster NCE-Campus上配置。
策略设计逻辑可参考下列样例:
条件 |
准入策略 |
授权策略 |
|---|---|---|
操作系统:Android |
用户准入 |
授权ACL 1 |
操作系统:IOS |
用户准入 |
授权ACL 2 |
终端类型:打印机 |
自动准入 |
授权VLAN10 ; |
终端类型:IP摄像头 |
自动准入 |
授权VLAN20 ; |
终端类型:IP话机 |
自动准入 |
授权VLAN30 ; DSCP 48; |
终端类型:门禁 |
自动准入 |
授权VLAN40 ; |
生产厂商:ABC |
用户准入 |
授权ACL 100 |
对于哑终端(打印机、IP话机、IP摄像头等)推荐采用基于终端的类型自动下发准入和授权策略,实现哑终端设备的业务自动发放,即插即用。
基于终端类型的策略自动下发过程如图3-19所示。
管理员在iMaster NCE-Campus配置界面,开启终端识别功能,并选择终端类型,指定终端类型的策略。终端接入网络时,网络设备可以采集终端的指纹信息,上报给iMaster NCE-Campus,iMaster NCE-Campus自动匹配终端指纹库,识别终端的类型,根据管理员定义的策略,对终端自动下发对应的准入和授权策略。
终端识别功能和授权VLAN策略一起用时,对于802.1X和MAC认证场景,可以通过关闭预连接,来防止IP地址二次分配的体验问题。
