业务随行
概述
定义
业务随行是一种不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。
在企业网络中,为实现用户不同的网络访问需求,可以在设备上为用户部署不同的网络访问策略。在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的,无法与IP地址解耦。IP地址变化时需到多个设备变更配置,维护工作量大。
业务随行从三个方面解决传统园区中遇到的问题:
业务策略与IP地址解耦
管理员可以在iMaster NCE-Campus上从多种维度将全网用户及资源划分为不同的“安全组”和“资源组”。管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址,实现业务策略与IP地址的完全解耦。
用户信息集中管理
iMaster NCE-Campus实现用户认证与上线信息的集中管理,获取到全网用户和IP地址的对应关系。而网络中的非认证点设备就可以通过向iMaster NCE-Campus订阅IP Group表项,由iMaster NCE-Campus向设备推送报文的源/目的安全组信息。
策略集中管理
iMaster NCE-Campus不仅是园区的认证中心,同时也是业务策略的管理中心。管理员可以在iMaster NCE-Campus上统一管理全网策略执行设备上的业务策略。管理员只需要配置一次,就可以将这些业务策略自动下发到全网的执行点设备上。
原理
业务随行原理就是通过定义安全组匹配不同的用户流量,对不同的用户流量执行不同的策略,因此在策略执行点上需要拥有全量的终端用户表项。策略执行点与认证点配置为同一台设备,可以满足此要求。
- 管理员全网部署访问控制策略,策略涉及的安全组和资源组一并部署到设备。交换机可以接受访问控制策略(转换为ACL)。
- 用户发起认证,作为认证控制点的交换机接收到认证请求后转发到iMaster NCE-Campus。认证成功后根据5W1H给用户授权安全组,并将用户与安全组关联关系返回交换机。
- 用户发起业务访问。
- 当业务访问数据流到达交换机时,执行组间访问控制策略,根据用户所属的安全组及组间策略矩阵确定能访问的业务资源。
认证点必须和组策略的执行点在同一台设备上,此种方案网络规模及维护要求严格,无法满足现网复杂的网络诉求。通过IP-Group表项信息同步可以解决此问题,即iMaster NCE-Campus将所有用户信息实时同步给策略执行点,实现组策略执行点和用户接入的认证点解耦。
典型场景
iMaster NCE-Campus与交换机对接时,可以实现多认证点下的业务随行。如图3所示,有线无线终端都通过汇聚交换机接入,使用汇聚交换机作为认证点,不同认证点接入的终端用户需要进行互访,因此核心交换机作为执行点。管理员在iMaster NCE-Campus上配置的安全组和访问权限控制策略部署到汇聚交换机、核心交换机。因为认证点和执行点不属于同一台设备,还需要在执行点设备上订阅IP-Group表项推送。
iMaster NCE-Campus部署安全组和访问权限控制策略后,先将安全组信息下发给认证点和执行点。用户发起认证,在iMaster NCE-Campus上认证通过后,iMaster NCE-Campus根据所配置的授权规则将授权结果给执行点。根据执行点上的访问权限控制策略,用户所属安全组允许或者禁止访问目标资源。
- 在认证点设备上配置准入认证功能,包括认证规则,授权规则,授权结果,及认证点设备的准入配置,具体操作参见准入管理。
- 定义安全组,或者安全组和资源组,将用户根据不同的属性进行分类。
- 针对已经定义好的安全组和资源组,定义策略矩阵,设置不同用户的访问权限,并将策略部署在执行点设备上。
- 对于认证点设备和执行点设备不统一的场景,需要配置IP-Group表项订阅功能推送到执行点设备。
配置安全组
背景信息
安全组是指网络中通信对象的集合。安全组既可以根据5W1H条件授权给用户,符合5W1H条件的用户授权到指定安全组,也可以通过静态绑定IP地址的方式定义安全组。安全组授权通过华为私有的radius属性(26-160)下发。
动态授权加入的成员优先级高于静态绑定的成员,例如:静态的将IP1的用户绑定到安全组1,同时通过radius授权该用户到安全组2,最终设备将会将该用户归入安全组2。
缺省支持unknown组和any组,unknown表示未知用户,未认证的用户或者资源指定为unknown组,any组表示任意用户或资源,通常用来配置默认规则。any组只能做目的组,不支持配置为源组。
操作步骤
- 在主菜单中选择。单击“创建”。创建安全组。
- 单击“导入”,可以通过Excel模板批量导入安全组。
- 单击“导出”,可以批量导出安全组信息。
参数说明
参数名称 |
说明 |
|---|---|
名称 |
安全组名称。 |
逃生 |
指定该安全组为逃生安全组。当策略执行点设备与控制器之间的IP Group通道故障时,用户流量无法匹配到安全组,需要匹配到逃生安全组,提供用户逃生组权限访问网络。只允许配置一个逃生组,且逃生组必须要配置静态成员。 |
成员 |
属于该安全组的成员信息,包含IP地址及掩码。 |
配置资源组
背景信息
对于静态的服务器资源,可以通过在安全组中绑定IP地址段的方式进行表达,安全组和IP地址的静态绑定关系最终会通过netconf协议下发到设备上。但是对于IP地址集有重合的服务资源,无法通过安全组进行区分。
资源组可以解决这个问题,资源组之间允许IP地址允许重复,资源组可以作为组间策略的目的地址。
对于哑终端、数据中心服务器资源、免认证用户,这些用户或资源接入网络的时候不需要经过认证,所以无法通过AAA授权,这种情况可以通过在资源组里绑定静态IP地址的方式指定成员。
使用资源组的缺点在于,在执行点设备上会根据每个IP地址生成一条策略,而不是一个资源组生成一条策略,导致策略数过多。
操作步骤
- 在主菜单中选择。单击“创建”。创建资源组。
- 单击“导入”,可以通过Excel模板批量导入资源组。
- 单击“导出”,可以批量导出资源组信息。
参数说明
参数名称 |
说明 |
|---|---|
名称 |
资源组名称。 |
成员 |
属于该资源组的成员信息,格式为IP地址/掩码。 |
配置策略控制
背景信息
安全组和资源组定义完成之后,租户管理员就可以基于组来定义全网的权限策略。策略矩阵用于承载组间策略的配置。策略矩阵定义完毕后,可以基于策略矩阵配置源安全组到目的安全组或者资源组的策略。
组间权限策略主要控制组到组之间的访问权限。当一个源安全组存在到多个目的组的策略时,需要通过优先级区分对不同策略的匹配顺序,比如目的组为资源组的时候,由于目的地址可能存在重复,所以需要通过手动调整策略的优先级实现对某策略的优先匹配。
当源安全组是unknown,目的组是any时,若“缺省权限”选择“禁止”,会导致设备脱管,设备上的业务无法运行,请检查是否存在源安全组为unknown,目的组为控制器南向IP且权限为允许的策略。如果不存在,请先创建。
操作步骤(矩阵模式)
- 在主菜单中选择。单击
,创建策略控制矩阵。
- 单击右上角的
,选择矩阵模式。
- 选定源安全组和目的组,单击对应方格中的
,创建从源安全组到目的组的控制策略。也可以单击“创建”,选择需要创建控制策略的源安全组和目的组,批量创建控制策略。未创建控制策略时,源安全组和目的组之间的缺省权限是允许。
- 选中指定策略矩阵,单击
,将已创建的控制策略在策略执行点设备进行部署。
- 如果需要修改策略矩阵中某个控制策略时,将鼠标悬与指定控制策略的方格,点击
进入修改页面。修改完毕后需要单击
重新部署。
- 矩阵策略配置完成后,可以单击“选择视图”,选择自定义视图,单击“创建”。创建自定义视图,只显示指定源安全组和目的组的矩阵策略。
,创建策略控制矩阵。
,选择矩阵模式。
,创建从源安全组到目的组的控制策略。也可以单击
,将已创建的控制策略在策略执行点设备进行部署。
进入修改页面。修改完毕后需要单击
重新部署。
相关操作
- 单击
,修改已创建的策略控制矩阵。
- 单击
,删除已创建的策略控制矩阵。
- 选中某行或者某列,然后单击策略控制矩阵上方的“删除”,可以批量删除整行或者整列的组策略。
,修改已创建的策略控制矩阵。
,删除已创建的策略控制矩阵。操作步骤(列表模式)
- 在主菜单中选择。单击
,创建策略控制矩阵。
- 单击右上角的
,选择列表模式。
- 单击“创建”,选择需要创建控制策略的源安全组和目的组,创建一个或批量创建多个控制策略。未创建控制策略时,源安全组和目的组之间的缺省权限是允许。
- 当一个源安全组存在到多个目的组的策略时,可以通过调整优先级实现对某个目的组的优先匹配。缺省情况下优先级顺序为:安全组 > 资源组 > unknown组 > any组。调整优先级时,选中需要调整优先级的策略,单击优先级数值左侧的
按钮,选中需要重新设置的优先级大小。
- 策略配置完成后,选中指定策略矩阵,单击
,将已创建的控制策略在策略执行点设备进行部署。
- 如果需要修改策略矩阵中某个控制策略时,将鼠标悬与指定控制策略的方格,点击
进入修改页面。修改完毕后需要单击
重新部署。
,创建策略控制矩阵。
,选择列表模式。
按钮,选中需要重新设置的优先级大小。
,将已创建的控制策略在策略执行点设备进行部署。
进入修改页面。修改完毕后需要单击
重新部署。参数说明
参数名称 |
说明 |
|
|---|---|---|
矩阵参数 |
矩阵名称 |
策略控制矩阵的名称。 |
场景 |
选择配置策略控制矩阵的使用场景,可以选择站点场景或者Fabric场景。 站点场景:策略矩阵是全局的,默认情况下策略矩阵在公网和私网下都生效。 Fabric场景:策略矩阵只在某个VN内生效。 |
|
选择设备 |
部署策略控制矩阵的策略执行点设备。 |
|
定义VPN实例名 |
部署策略控制矩阵的VPN实例名,仅选择站点场景时支持。开关关闭时,策略矩阵在默认VPN(public vpn)下生效。 |
|
选择VN |
部署策略控制矩阵的VN名称,仅选择Fabric场景时支持。同一个VN只能创建一个策略控制矩阵。 |
|
策略参数 |
源安全组 |
策略控制的源安全组。 |
目的组 |
策略控制的目的组,可以选择安全组或者资源组。 |
|
状态 |
该策略的配置状态,可以选择启用或者禁用。 |
|
缺省权限 |
指定源安全组到目的组的访问权限,可以选择允许或者禁止。 |
|
反向规则 |
自动创建反向规则,目的组为资源组时,不支持自动创建反向规则。 配置反向规则后,在一个访问控制策略中实现源安全组到目的安全组的访问控制,同时建立目的安全组到源安全组的访问控制规则。 如果同时启用了精细控制和反向规则,反向规则中的精细控制“源IP地址”和“目的IP地址”互换,“源端口”和“目的端口”互换。 |
|
精细控制规则 |
精细控制规则,可以通过指定IP地址,端口或者协议等参数指定流量匹配规则,具体包括: 优先级:当存在多条精细控制规则时,按照优先级顺序进行匹配,优先级数值小的级别高。 源IP地址 目的IP地址 协议:TCP(6)、ICMP(1)、ICMP(2)、IP、IPinIP(4)、GRE(47)、OSPF(89)、UDP(17) 源端口 目的端口 TCP-FLAG:ACK、ESTABLISHED、FIN、PSH、RST、SYN、URG iMaster NCE-Campus支持在安全组之间配置TCP协议报文头中的FLAG,部署到交换机与ACL视图下rule命令中的tcp-flag关键字效果一致。该功能仅交换机支持。 动作:PERMIT、DENY |
|
配置IP-安全组表项订阅
背景信息
Fabric场景,在用户接入设备和网络资源接入设备间构建VXLAN网络。用户通过认证被分配到一个安全组后,当通过VXLAN隧道访问网络资源时,VXLAN报文携带了用户的组信息,在网络资源所在的接入设备报文被解封装,设备识别出用户的安全组,可以通过本地配置的组策略对用户进行授权。因此不需要创建IP-安全组表项订阅。
敏捷园区网络中,对于认证点设备和策略执行点设备不属于同一设备的场景,需要将认证用户的IP-Group信息表项推送到指定的策略执行点上。这就需要租户管理员进行订阅配置,即配置哪些网段或者哪些安全组的表项需要推送到哪些策略执行点设备上。
用户在认证点设备通过RADIUS协议到认证服务器进行身份认证,认证服务器完成安全组授权,同时记录用户的IP-Group表项信息。认证服务器通过HTTP/2通道向IP-Group组件上报IP-Group表项。IP-Group组件将表项信息推送到订阅设备。
操作步骤
- 在主菜单中选择。单击“创建”。创建IP-安全组表项订阅。
- 单击“全量推送”,可以对已经创建的订阅列表向策略执行点全量推送。
- 在主菜单中选择,查看IP-安全组表项信息。
参数说明
参数名称 |
说明 |
|---|---|
订阅设备 |
订阅IP-安全组表项的设备。 |
推送节点 |
不选择默认推送到iMaster NCE-Campus主节点。 |
安全组 |
订阅的安全组信息。 |
订阅网段 |
订阅的网段信息。 如果同时订阅了网段和安全组,则只要满足安全组或者网段订阅条件中的一个就会向设备推送。 |
