业务随行

基本原理

传统园区网络主要通过ACL对用户的策略进行控制。基于ACL的策略配置依赖组网、IP和VLAN的规划，网络的拓扑改变、VLAN规划改变、IP地址规划改变以及用户的位置变化都会导致ACL规则的变更，因此用户策略的配置无法与物理网络解耦，缺乏灵活性，可维护性差。

为了解决这个问题，使得用户不管身处何地、使用哪个IP地址，都可以保证该用户在园区网络中获得一致性的访问策略，华为推出了基于用户身份进行策略控制的业务随行方案。业务随行将基于IP的策略抽象为基于“用户语言”的策略。抽象为“用户语言”的策略是基于安全组实现的。将相同类型和权限的网络对象抽象成安全组，比如，研发部门的用户访问网络资源的权限一样，可以把研发部门的主机定义为“研发组”，公司所有打印机的集合可以定义为“打印机组”。

通过安全组完成了对网络对象的分类，通过安全组策略来定义该安全组能享受的网络服务。在iMaster NCE-Campus中，管理员在二维矩阵上统一规划安全组所能享受的网络服务，包括访问权限、应用控制等。业务随行从3个方面解决了传统园区中遇到的问题。

• 业务策略与IP地址解耦：管理员可以在iMaster NCE-Campus上从多种维度将全网用户及资源划分为不同的“安全组”。策略执行点设备在进行策略匹配时，先根据报文的源/目的IP地址去匹配源/目的安全组，再根据报文的源/目的安全组去匹配管理员预定义的组间策略。通过IP与安全组的动态映射，可以将传统网络中基于用户终端和IP地址的业务策略全部迁移到基于安全组间的策略上来。管理员在预定义业务策略时无须考虑用户终端实际使用的IP地址，即可实现业务策略与IP地址的完全解耦。
• 用户认证信息集中管理：iMaster NCE-Campus实现用户认证与上线信息的集中管理，获取全网用户终端和IP地址的对应关系。
• 策略集中管理：iMaster NCE-Campus不仅是园区的认证中心，同时也是业务策略的管理中心。管理员可以在iMaster NCE-Campus上统一管理全网策略。管理员只需要配置一次，就可以将这些业务策略自动下发到全网的策略执行点设备上。

如图1-14所示，假设Host1属于研发部员工终端，Host2属于市场部员工终端，Host1允许访问Host2。如果采用传统ACL策略管控方案，当Host2位置发生变化并且IP也随之变更时，在Edge1上就需要重新部署ACL策略。而采用业务随行方案，Host1属于G1，Host2属于G2，配置的安全组策略与IP无关，当Host2位置发生变化并且IP也随之变更时，Edge1上的安全组策略也不需要重新部署。

图1-14 传统ACL策略管控和业务随行方案对比

实现过程

下面结合iMaster NCE-Campus上的部署流程来介绍业务随行的实现过程，如图1-15所示。

图1-15 业务随行工作流程图

1. 在iMaster NCE-Campus上创建安全组及组策略。
2. iMaster NCE-Campus向策略执行点下发安全组及安全组策略。安全组及组策略需要部署到设备上才能生效。
3. iMaster NCE-Campus作为认证服务器在配置授权结果时，可以包含安全组信息。用户认证成功后，会向认证控制点下发授权安全组信息，认证控制点可以生成用户终端IP地址与安全组的动态映射表。
4. 用户认证成功后，iMaster NCE-Campus通过获取的终端IP地址，结合安全组授权信息，也可以生成IP与安全组的动态映射表。当终端IP由于移动或重认证等原因发生变化时，iMaster NCE-Campus通过报文交互自动刷新映射表。
5. 通常策略执行点与认证控制点位置相同，会存在IP与安全组的动态映射表。如果策略执行点与认证控制点位置不同，需要从iMaster NCE-Campus同步IP与安全组的动态映射表。
6. 当用户业务流经过策略执行点时，策略执行点解析业务流的源IP和目的IP，然后查询IP与安全组的动态映射表，查询到IP对应的安全组信息后，执行对应的安全组策略。