接入控制设计
接入控制整体设计
传统接入控制方案采用NAC认证+ACL策略控制,园区网络中通常会定义认证控制点这一个设备角色,对接入园区网络的用户终端进行准入认证和策略控制。华为的接入控制方案在传统NAC认证方案基础上叠加了策略联动和业务随行功能后,对园区网络接入控制中的设备角色做了更精细化的分工。
- 认证控制点:负责用户接入认证,与认证服务器进行交互,完成认证、授权、计费。在策略联动方案中,认证控制点与认证执行点间会建立CAPWAP隧道,交互用户认证请求,同步用户表项等。
- 认证执行点:在策略联动方案中,负责对接入用户进行准入控制,用户认证通过后,才允许访问网络;同时,会向认证控制点透传用户认证报文。用户授权的策略也可以通过认证控制点下发到认证执行点,但需要手工配置。
- 策略执行点:即执行管控策略的设备。一般认证控制点即为策略执行点,比如传统NAC认证+ACL策略的接入控制方案中,用户认证通过后,认证服务器可以授权ACL给用户,认证控制点根据用户授权的ACL信息,对用户访问网络进行策略控制。认证控制点和策略执行点也可以分离,比如图中独立WAC旁挂核心交换机,独立WAC作为无线认证控制点,核心交换机作为无线策略执行点。
分布式网关方案推荐组网为VXLAN到汇聚、Edge作为随板WAC,用户接入控制整体设计如图2-121所示。
准入服务器选择
在分布式网关方案中,iMaster NCE-Campus是向园区网络设备进行业务配置发放,实现网络部署自动化的关键部件。iMaster NCE-Campus还支持作为准入服务器,这样在网络接入控制中,可以不用额外部署准入服务器。而且iMaster NCE-Campus在作为准入服务器时,提供了丰富的接入控制功能:
- 内置了RADIUS服务器和Portal服务器组件,支持802.1X认证、Portal认证和MAC认证;支持MAC优先的Portal认证。
- Portal认证支持多种方式,常用的用户名密码认证、短信认证、第三方社交媒体认证等都支持。
- 支持终端识别功能,可以基于终端识别功能,实现MAC自动认证。
- 支持业务随行功能,可以向策略执行点下发安全组策略,无需策略执行点本地配置;作为RADIUS服务器在配置授权结果时,可以指定安全组信息。
认证控制点选择
- 分布式网关方案中,有线无线认证控制点建议统一部署在Edge,Fabric在配置接入管理时,可以对有线无线认证控制点统一规划,但无线SSID绑定认证模板的过程在AP上完成,需要登录WAC(即Edge设备)的Web网管配置。
- 分布式网关方案的Fabric组网通常采用VXLAN到汇聚,建议在作为Edge节点的汇聚交换机与接入交换机或者AP间部署策略联动功能。接入交换机可以作为有线认证执行点,只有在Edge认证通过后,才允许接入用户访问网络;AP则可以借助策略联动管理VLAN建立CAPWAP隧道,在Edge上线并作为无线用户的认证执行点,无需额外规划管理VLAN。
- 关于分布式网关方案中认证控制点的详细规划设计可参考Fabric网络设计中的“接入管理设计”。
认证执行点选择
分布式网关方案中,认证执行点位置选择如下:
- 有线认证执行点建议部署在接入交换机,这样,在园区网络边缘设备就可以控制有线用户终端准入。分布式网关方案推荐组网为VXLAN到汇聚,可以在Edge与接入交换机间部署策略联动,不仅能够保证有线认证控制点不需要从Edge下移到接入交换机,有线认证控制点的配置数量不会变多,还使得控制用户终端准入的有线认证执行点仍位于接入交换机。
- 策略联动借鉴了传统WAC+Fit AP接入控制思路。传统WAC+Fit AP架构中,WAC就是无线认证控制点,而AP是无线认证执行点,WAC与AP间通过CAPWAP隧道同步无线用户认证信息。在无线用户接入认证通过前,AP不允许其访问园区网络。
策略执行点选择
推荐Edge在作为有线无线统一认证控制点的同时,也作为有线无线统一策略执行点,部署业务随行的安全组策略。通过用户授权结果中配置的安全组信息,iMaster NCE-Campus可以向Edge下发动态生成的IP-安全组表项,Edge就可以根据IP-安全组表项,对授权的用户执行安全组策略。
传统非虚拟化组网中,如果认证控制点有多个,还需要配置IP-安全组表项订阅,在不同认证控制点间同步IP-安全组表项信息,才能确保认证控制点作为策略执行点时,实现跨认证控制点的安全组策略控制。虚拟化组网中可以不配置IP-安全组表项订阅,因为跨认证控制点的用户报文转发时,用户报文封装的VXLAN报文头会携带安全组信息。
用户认证方式选择
常用的认证技术包括802.1X、MAC和Portal认证,各种认证方式差异和适用的终端类型如表2-62所示。
对比项 |
802.1X认证 |
MAC认证 |
Portal认证 |
|---|---|---|---|
客户端需求 |
需要 |
不需要 |
不需要 |
优点 |
安全性高 |
|
部署灵活 |
缺点 |
部署不灵活 |
需登记MAC地址,管理复杂 |
安全性不高 |
适用终端类型 |
员工终端,一般需要接入办公网络,对安全要求较高 |
打印机、传真机等哑终端 |
访客终端,一般访客流动性大,终端类型复杂 |
MAC优先的Portal认证:是指用户终端进行Portal认证成功后,认证服务器会在一定时间内缓存用户终端地址,这段时间用户终端能够直接通过MAC认证接入,无需重新输入用户名密码进行Portal认证。
对于访客终端来说,如果要提升访客的网络体验,会采用MAC优先的Portal认证。
策略管控方案设计
策略管控是为了对接入用户进行网络资源访问权限控制,包括传统NAC方案和业务随行方案,两种方案的对比如表2-27所示。
策略管控方案 |
控制方式 |
特点 |
适用场景 |
|---|---|---|---|
传统NAC方案 |
VLAN+ACL |
|
|
业务随行方案 |
安全组+组间策略 |
管理员不用关注IP、VLAN划分,通过控制器基于安全组配置用户策略,策略自动下发到所有认证点设备,无需复杂的配置工作。 |
|
大中型园区网络中,建议采用业务随行作为策略管控方案。如果客户园区存量网络无法支持业务随行方案改造,则使用传统NAC方案。
传统NAC方案设计
传统NAC方案中,策略技术主要包括本地静态ACL策略以及准入服务器授权动态ACL策略。本地配置静态ACL策略的本质是把用户的策略映射到用户使用的IP地址,然后基于IP地址规划ACL规则,实现对用户的权限做管控。本地配置静态ACL策略适用于用户网络较小,用户终端位置固定,策略诉求简单的场景,当随着网络规模增加,策略诉求复杂时,其配置将会变得非常复杂并且难以维护。因此对于大中型园区,建议使用准入服务器授权动态ACL策略,这样不需要终端和IP、VLAN信息强绑定,IP和VLAN的规划相对灵活,如图2-57所示。当用户分类很多时,建议限制用户的接入位置,使不同权限的用户从管理员指定的区域接入,以保证这些区域的设备上只需要配置相关策略,否则策略配置和运维难度非常大。
业务随行方案设计
区别于传统基于IP的ACL控制,业务随行是一种基于用户语言的解决方案,将不同类型和权限的网络对象逻辑划分为不同安全组,安全组与之前所做的用户分类、服务器分类是一一对应的。然后通过定义安全组与安全组间的互访策略,进行接入控制,如图2-58所示。
iMaster NCE-Campus可以通过一个非常直观的“策略矩阵”来配置安全组策略,向策略控制点下发。假设A、C为用户组,B、D为服务器组。需求是A除了B之外,其他组都可以访问;C除了D和同组成员外,其他组都不可以访问,则策略设计如表2-28所示。其中B、D之间的互访不经过园区网络,无需规划,下表中用NA表示。 为空的四个单元格,既可以不配,也可以明确配置为允许或禁止,不影响管控效果。
源安全组/目的安全组 |
A |
B |
C |
D |
|---|---|---|---|---|
A |
允许 |
禁止 |
允许 |
允许 |
B |
空 |
NA |
空 |
NA |
C |
禁止 |
禁止 |
允许 |
允许 |
D |
空 |
NA |
空 |
NA |
另外,iMaster NCE-Campus还提供一种简化策略配置的方法,即通过配置某组到Any组的规则(即该组的默认权限),来减少管理员需要定义的策略的数量。如表2-28,针对A组的策略,可以配置A组到Any组的规则是允许,这样只需要配置一条A组到B组的禁止策略就可以。
终端识别设计
在大中型园区网络中,接入终端除了PC、手机之外,还有IP话机、打印机、IP摄像头等哑终端。大量不同类型的终端需要接入到园区网络中,这就给园区内网终端管理带来了很大的难度。终端识别方案通过多样化的终端识别方法,iMaster NCE-Campus可查看整个园区网络终端的类型、操作系统等摘要信息。基于这些摘要信息,可以对终端进行多维度的精细化管理,比如根据终端类型进行流量统计和呈现,下发指定的授权策略等。另外,对于通常采用MAC认证的园区IP话机、打印机、IP摄像头等哑终端设备,还可以实现基于终端识别的自动准入,从而减少管理员手动配置工作量。
终端识别方法设计
当园区网络管理员想通过iMaster NCE-Campus呈现终端的类型,基于终端类型做接入管理,需要完成如下工作:
- 收集网络中有哪些类型的终端,比如PC,手机,打印机,IP摄像头,门禁等。
- 网络是否部署Portal认证。
- 终端是动态DHCP分配IP地址,还是静态分配IP地址。
利用上述搜集的信息,根据表2-65逐项遍历,选择需要采用的终端识别方法。终端识别方法支持多选,推荐开启被动指纹识别的5个识别方法:MAC OUI,HTTP UserAgent,DHCP Option,LLDP,mDNS。NMAP扫描方法识别周期长,推荐默认关闭,如果存在被动指纹识别方法无法满足终端识别的场景,再开启NMAP识别方法。
识别方法 |
可识别的终端类型 |
适用场景 |
|---|---|---|
MAC OUI |
所有IP终端(仅识别设备厂商) |
通用场景(认证场景、非认证场景、动态IP场景、静态IP场景) |
HTTP UserAgent |
手机、平板型号、PC、工作站 音视频智能终端 |
仅Portal认证的终端场景 |
DHCP Option |
手机、平板型号、PC、工作站 IP摄像头、IP话机、打印机等 |
仅终端是动态IP分配的场景 |
LLDP |
IP话机、IP摄像头、网络设备等 |
通用场景(认证场景、非认证场景、动态IP场景、静态IP场景) |
mDNS |
苹果终端、打印机、IP摄像头等 |
通用场景(认证场景、非认证场景、动态IP场景、静态IP场景) |
SNMP Query |
网络设备、打印机 |
私有云本地部署场景 |
NMAP |
PC、工作站 如打印机、话机、IP摄像头等 |
私有云本地部署场景 |
大中型园区网络虚拟化方案中,每种终端识别方法配置过程如表2-66所示。
终端管控策略设计
通过终端识别,iMaster NCE-Campus可以基于终端类型、操作系统或者生产厂商等类型对不同终端下发管控策略。管理员需要完成如下工作:
- 网络开启终端识别功能。
- 配置用户接入认证,认证授权规则基于终端识别的类型匹配。
- 基于终端识别的类型,在iMaster NCE-Campus上规划相应的授权策略,在用户认证通过后下发。
表2-67给出了基于终端类型、操作系统或者生产厂商等类型来进行策略授权的样例。对于采用MAC认证的哑终端,如打印机、IP话机、IP摄像头等,可以采用基于终端识别的自动准入功能,无需管理员手动在iMaster NCE-Campus中录入终端的MAC地址,实现了哑终端的即插即用、自动准入。
条件 |
准入策略 |
授权策略 |
|---|---|---|
操作系统1 |
用户准入 |
授权ACL 1 |
操作系统2 |
用户准入 |
授权ACL 2 |
终端类型:打印机 |
自动准入 |
授权VLAN10 |
终端类型:IP摄像头 |
自动准入 |
授权VLAN20 |
终端类型:IP话机 |
自动准入 |
授权VLAN30 ; DSCP 48 |
终端类型:门禁 |
自动准入 |
授权VLAN40 |
生产厂商1 |
用户准入 |
授权ACL 100 |
终端识别功能和授权VLAN策略一起用时,对于802.1X和MAC认证场景,可以通过关闭预连接,来防止终端IP地址二次分配的体验问题。
