摘要:业务随行是一种不论用户身处何地、应用哪个IP地址,都能够保障该用户取得雷同的网络拜访策略的解决方案。

本文分享自华为云社区《数通Datacom认证新知识点:业务随行》,原文作者:迷图小书童 。

一、性能个性概述

所谓业务随行,顾名思义,指的是在园区中,无论某个人员如何在网络中挪动,从什么中央接入,又换到了什么中央、IP地址是否有变动,它的权限都是统一的,也就是权限跟着人走。所谓权限,简略地说,指的是用户是否被容许拜访某个/某些特定资源,或者其余用户组。

业务随行计划实质上是一种IP地址与策略解耦的计划。换句话说,即用户无论在接入网络时应用什么IP地址、在何处接入,他所取得的权限都是统一的。

业务随行计划将一个网络中的用户依据理论需要划分成组,例如教育园区中的老师组与学生组等。网络管理员为用户调配账号,并且依据具体的规定将账号绑定到组。当用户接入网络时,网络设备会对用户进行身份认证,并且依据认证后果将用户绑定到相应的组。与此同时,网络设备上会保护网络管理员事后下发的组间通信矩阵(策略管制矩阵)。这样一来,当已认证用户的流量达到该网络设备时,设施即可通过流量的源、目标来匹配源、目标组,并在通信矩阵中进行查问,从而判断流量是否非法。

二、业务随行中的基本概念

1 平安组

平安组是指网络中通信对象的汇合。用户可依据理论需要,在iMaster NCE上创立平安组。例如在办公园区网络中,用户能够依据须要设置市场用户平安组、研发用户平安组、销售用户平安组等等。这些平安组都是基于天然语义定义的,十分直观。

平安组既能够依据5W1H条件受权给用户,合乎5W1H条件的用户受权到指定平安组(动静平安组),也能够通过动态绑定IP地址的形式定义平安组(动态平安组)。

上图展现的是在iMaster NCE上创立一个动静平安组。以下是创立一个动态平安组:

动态平安组定义完后,与动静平安组一样都会呈现在通信矩阵中,能够作为源或目标平安组。

2 资源组

对于动态的服务器资源,能够通过在平安组中绑定IP地址段的形式进行表白,平安组和IP地址的动态绑定关系最终会通过netconf协定下发到设施上。然而对于IP地址集有重合的服务资源,无奈通过平安组进行辨别。资源组能够解决这个问题,资源组之间容许IP地址容许反复,资源组能够作为组间策略的目标地址。

在iMaster NCE上创立资源组的页面如下:

资源组只在通信矩阵中作为目标平安组,不作为源平安组。应用资源组的毛病在于,在执行点设施上会依据每个IP地址生成一条策略,而不是一个资源组生成一条策略,导致策略数过多。

3 策略管制

平安组定义实现之后,管理员就能够基于组来定义全网的组间策略。策略矩阵用于承载组间策略的配置。组间权限策略次要控制组到组之间的拜访权限。

4 认证点、策略执行点与iMaster NCE

  • 认证点:负责对终端进行身份认证,并通过认证过程从iMaster NCE取得终端的受权后果,如终端所属的平安组等。若网络中部署了策略联动,则认证点指的是认证控制点。
  • iMaster NCE:充当认证服务器,同时也是业务随行的策略控制中心,保护全网的平安组之间的通信矩阵。

  • 策略执行点:先从iMaster NCE取得平安组间通信矩阵,在收到流量后,依据流量的源、目标IP地址对应的源、目标平安组执行策略,如果策略容许该流量,则进行转发,否则进行抛弃。

三、施行步骤概述

四、工作机制概述

1 创立用户及平安组

1)网络管理员在iMaster NCE中定义平安组。

网络管理员能够抉择创立动静平安组或动态平安组。动静平安组用于当网络设备对用户进行认证时,通过控制器配置的受权规定动静地将用户绑定到相应的平安组。而动态平安组则由管理员手工绑定IP地址或地址段。

例如在上图所示的例子中,咱们创立了Group1、Group2及Server平安组。其中Group1及Group2是动静平安组。而Server是动态平安组,能够由管理员定义动态关系映射,例如将10.1.1.1这台服务器的IP地址映射到Server组。在理论利用中,Group1及Group2组名能够结合实际状况定义,例如教育园区中,能够定义Teacher和Student组。

2)网络管理员在iMaster NCE中创立用户账号,并配置受权规定(依据5W1H条件),将用户绑定到对应的用户组。

2 定义并部署组间策略

1)网络管理员在iMaster NCE中定义组间策略,也即组间通信矩阵。例如容许Group1及Group2拜访Server,禁止Group1拜访Group2等。

2)部署策略:策略执行点网络设备与iMaster NCE实现对接。iMaster NCE主动将平安组、组间策略下发至该网络设备。

iMaster NCE会将组Group1、2及Server(的名字及组ID),以及以上所定义的组间策略下发到网络设备上。这个动作为后续的零碎主动运行做好筹备工作。下图中的策略执行点,指的是执行策略(权限策略)的网络设备。

3 零碎主动运行

  • 认证:用户尝试接入网络,iMaster NCE校验身份凭证。
  • 受权:iMaster NCE依据5W1H条件,匹配受权策略,受权用户所属平安组,执行点设施将用户所用的IP地址动静增加到指定组中。控制器会对立保护所有在线用户的信息(用户名、IP地址等)与用户组的映射关系。
  • 执行:网络设备依据本地及iMaster NCE中保留的IP地址与组的对应关系,辨认报文的源目标组信息,进而匹配和执行组策略。

具体示例如下:

  • 用户接入(以User1为例),交换机Core作为认证点设施,对用户发动认证,它负责与iMaster NCE交互用户认证信息。
  • iMaster NCE判断该用户的登录条件,将该用户与对应受权后果中绑定的平安组(Group1)进行关联。
  • 用户认证通过,iMaster NCE通知认证点Core该用户所属平安组。
  • 认证点Core上报用户以后应用的实在IP地址168.1.1。

  • iMaster NCE将IP地址与组Group1关联,并记录到在线用户信息表中。
  • User2同理。此时,认证点设施Core曾经保护了对于User1及User2的在线用户表项,包含这两个用户的IP地址、MAC地址以及所属的平安组等。
  • 此时User1向User2发送数据,Core收到用户的业务报文,辨认报文的源组和目标组,执行组间策略。在本例中,User1发往User2的流量将被Core抛弃。

点击关注,第一工夫理解华为云陈腐技术~