配置业务随行
在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的,需要在大量的认证点交换机上提前配置,部署和维护工作量巨大。基于安全组的业务随行方案,实现了业务策略与IP地址的解耦,改变了访问控制策略的匹配机制,把原来的一步匹配改成了两步匹配:先用IP匹配安全组,再用安全组去匹配策略。IP与安全组的映射关系可以随着IP的分配情况动态刷新,从而实现了用户能够从园区网络中的任意位置、任意VLAN、任意IP网段接入,并可以始终控制其网络访问权限。
配置安全组
背景信息
安全组是权限控制的实体单元,将不同的用户或网络服务类资源分配在不同安全组,通过配置之间的访问权限来实现网络内用户权限的管理。安全组分为静态安全组和动态安全组,动态安全组为给用户授权的安全组,静态安全组为网络服务类资源分配的安全组。
配置任务概览
任务描述 |
详细操作步骤 |
|---|---|
配置安全组 |
在iMaster NCE-Campus的业务随行配置界面,定义安全组。 |
iMaster NCE-Campus操作参考链接
配置资源组
背景信息
对于静态的服务器资源,可以通过在安全组中绑定IP地址段的方式进行表达,安全组和IP地址的静态绑定关系最终会通过NETCONF协议下发到设备上。但是对于IP地址集有重合的服务资源,无法通过安全组进行区分。
资源组可以解决这个问题,资源组之间允许IP地址允许重复,资源组可以作为组间策略的目的地址。
配置任务概览
任务描述 |
详细操作步骤 |
|---|---|
配置资源组 |
在iMaster NCE-Campus的业务随行配置界面,定义资源组。 |
iMaster NCE-Campus操作参考链接
配置策略控制
背景信息
安全组和资源组定义完成之后,租户管理员就可以基于组来定义全网的权限策略。策略矩阵用于承载组间策略的配置。策略矩阵定义完毕后,可以基于策略矩阵配置源安全组到目的安全组或者资源组的策略,控制组到组之间的访问权限。
配置任务概览
任务描述 |
详细操作步骤 |
|---|---|
配置策略控制 |
在iMaster NCE-Campus的业务随行配置界面,创建策略矩阵:
|
Fabric场景的策略矩阵只能选择下发到Fabric接入管理中配置的认证控制点。采用Border作为随板WAC的集中式网关方案中,由于认证控制点不在Fabric接入管理中配置,建议创建两个策略相同、但分别为Fabric场景和站点场景的策略矩阵。其中,Fabric场景的策略矩阵选择下发到Edge,站点场景的策略矩阵选择先发到Border。
iMaster NCE-Campus操作参考链接
配置IP-安全组表项订阅
背景信息
区别于传统基于IP的ACL静态策略配置,业务随行方案中,用户的IP地址可以在用户认证之后动态地与安全组关联,生成动态的映射关系(静态安全组、资源组通过手工配置)。策略执行点设备通过获取IP与安全组的映射关系,再结合安全组间的策略,从而实现用户访问控制。基于IP与安全组映射关系的表项被称为IP-安全组表项。
用户认证通过后,iMaster NCE-Campus在进行安全组授权时,会记录IP-安全组表项信息,并在授权过程中向对应用户接入的认证点设备下发。这种情况下,在不配置IP-安全组表项订阅时,就要求认证点和策略执行点是同一台设备。而对于认证点和策略执行点分离,或者多认证点的场景,如果要实现基于安全组的统一策略控制,就需要在策略执行点配置IP-安全组表项订阅。
在虚拟化方案中,一般用户认证点和策略执行点选择在Edge节点,不同Edge节点间的IP-安全组表项信息还可以通过VXLAN报文头进行同步,不需要配置IP-安全组表项订阅。但是在某些场景中,比如WAC是独立WAC,作为无线用户认证点,并旁挂在交换机上,可以通过控制器在交换机上配置无线用户组相关的IP-安全组表项订阅,在交换机进行有线无线用户统一的策略控制。
配置任务概览
任务描述 |
详细操作步骤 |
|---|---|
配置IP-安全组表项订阅 |
在iMaster NCE-Campus的业务随行配置界面,配置IP-安全组表项订阅:
|
