共计 2617 个字符,预计需要花费 7 分钟才能阅读完成。
摘要: 业务随行是一种不论用户身处何地、应用哪个 IP 地址,都能够保障该用户取得雷同的网络拜访策略的解决方案。
本文分享自华为云社区《数通 Datacom 认证新知识点:业务随行》,原文作者:迷图小书童。
一、性能个性概述
所谓业务随行,顾名思义,指的是在园区中,无论某个人员如何在网络中挪动,从什么中央接入,又换到了什么中央、IP 地址是否有变动,它的权限都是统一的,也就是权限跟着人走。所谓权限,简略地说,指的是用户是否被容许拜访某个 / 某些特定资源,或者其余用户组。
业务随行计划实质上是一种 IP 地址与策略解耦的计划。换句话说,即用户无论在接入网络时应用什么 IP 地址、在何处接入,他所取得的权限都是统一的。
业务随行计划将一个网络中的用户依据理论需要划分成组,例如教育园区中的老师组与学生组等。网络管理员为用户调配账号,并且依据具体的规定将账号绑定到组。当用户接入网络时,网络设备会对用户进行身份认证,并且依据认证后果将用户绑定到相应的组。与此同时,网络设备上会保护网络管理员事后下发的组间通信矩阵(策略管制矩阵)。这样一来,当已认证用户的流量达到该网络设备时,设施即可通过流量的源、目标来匹配源、目标组,并在通信矩阵中进行查问,从而判断流量是否非法。
二、业务随行中的基本概念
1 平安组
平安组是指网络中通信对象的汇合。用户可依据理论需要,在 iMaster NCE 上创立平安组。例如在办公园区网络中,用户能够依据须要设置市场用户平安组、研发用户平安组、销售用户平安组等等。这些平安组都是基于天然语义定义的,十分直观。
平安组既能够依据 5W1H 条件受权给用户,合乎 5W1H 条件的用户受权到指定平安组(动静平安组),也能够通过动态绑定 IP 地址的形式定义平安组(动态平安组)。
上图展现的是在 iMaster NCE 上创立一个动静平安组。以下是创立一个动态平安组:
动态平安组定义完后,与动静平安组一样都会呈现在通信矩阵中,能够作为源或目标平安组。
2 资源组
对于动态的服务器资源,能够通过在平安组中绑定 IP 地址段的形式进行表白,平安组和 IP 地址的动态绑定关系最终会通过 netconf 协定下发到设施上。然而对于 IP 地址集有重合的服务资源,无奈通过平安组进行辨别。资源组能够解决这个问题,资源组之间容许 IP 地址容许反复,资源组能够作为组间策略的目标地址。
在 iMaster NCE 上创立资源组的页面如下:
资源组只在通信矩阵中作为目标平安组,不作为源平安组。应用资源组的毛病在于,在执行点设施上会依据每个 IP 地址生成一条策略,而不是一个资源组生成一条策略,导致策略数过多。
3 策略管制
平安组定义实现之后,管理员就能够基于组来定义全网的组间策略。策略矩阵用于承载组间策略的配置。组间权限策略次要控制组到组之间的拜访权限。
4 认证点、策略执行点与 iMaster NCE
- 认证点: 负责对终端进行身份认证,并通过认证过程从 iMaster NCE 取得终端的受权后果,如终端所属的平安组等。若网络中部署了策略联动,则认证点指的是认证控制点。
- iMaster NCE: 充当认证服务器,同时也是业务随行的策略控制中心,保护全网的平安组之间的通信矩阵。
- 策略执行点: 先从 iMaster NCE 取得平安组间通信矩阵,在收到流量后,依据流量的源、目标 IP 地址对应的源、目标平安组执行策略,如果策略容许该流量,则进行转发,否则进行抛弃。
三、施行步骤概述
四、工作机制概述
1 创立用户及平安组
1)网络管理员在 iMaster NCE 中定义平安组。
网络管理员能够抉择创立动静平安组或动态平安组。动静平安组用于当网络设备对用户进行认证时,通过控制器配置的受权规定动静地将用户绑定到相应的平安组。而动态平安组则由管理员手工绑定 IP 地址或地址段。
例如在上图所示的例子中,咱们创立了 Group1、Group2 及 Server 平安组。其中 Group1 及 Group2 是动静平安组。而 Server 是动态平安组,能够由管理员定义动态关系映射,例如将 10.1.1.1 这台服务器的 IP 地址映射到 Server 组。在理论利用中,Group1 及 Group2 组名能够结合实际状况定义,例如教育园区中,能够定义 Teacher 和 Student 组。
2)网络管理员在 iMaster NCE 中创立用户账号,并配置受权规定(依据 5W1H 条件),将用户绑定到对应的用户组。
2 定义并部署组间策略
1)网络管理员在 iMaster NCE 中定义组间策略,也即组间通信矩阵。例如容许 Group1 及 Group2 拜访 Server,禁止 Group1 拜访 Group2 等。
2)部署策略:策略执行点网络设备与 iMaster NCE 实现对接。iMaster NCE 主动将平安组、组间策略下发至该网络设备。
iMaster NCE 会将组 Group1、2 及 Server(的名字及组 ID),以及以上所定义的组间策略下发到网络设备上。这个动作为后续的零碎主动运行做好筹备工作。下图中的策略执行点,指的是执行策略(权限策略)的网络设备。
3 零碎主动运行
- 认证:用户尝试接入网络,iMaster NCE 校验身份凭证。
- 受权:iMaster NCE 依据 5W1H 条件,匹配受权策略,受权用户所属平安组,执行点设施将用户所用的 IP 地址动静增加到指定组中。控制器会对立保护所有在线用户的信息(用户名、IP 地址等)与用户组的映射关系。
- 执行:网络设备依据本地及 iMaster NCE 中保留的 IP 地址与组的对应关系,辨认报文的源目标组信息,进而匹配和执行组策略。
具体示例如下:
- 用户接入(以 User1 为例),交换机 Core 作为认证点设施,对用户发动认证,它负责与 iMaster NCE 交互用户认证信息。
- iMaster NCE 判断该用户的登录条件,将该用户与对应受权后果中绑定的平安组(Group1)进行关联。
- 用户认证通过,iMaster NCE 通知认证点 Core 该用户所属平安组。
- 认证点 Core 上报用户以后应用的实在 IP 地址 168.1.1。
- iMaster NCE 将 IP 地址与组 Group1 关联,并记录到在线用户信息表中。
- User2 同理。此时,认证点设施 Core 曾经保护了对于 User1 及 User2 的在线用户表项,包含这两个用户的 IP 地址、MAC 地址以及所属的平安组等。
- 此时 User1 向 User2 发送数据,Core 收到用户的业务报文,辨认报文的源组和目标组,执行组间策略。在本例中,User1 发往 User2 的流量将被 Core 抛弃。
点击关注,第一工夫理解华为云陈腐技术~