摘要:業務隨行是一種不管用戶身處何地、使用哪個IP地址,都可以保證該用戶獲得相同的網絡訪問策略的解決方案。
一、功能特性概述
所謂業務隨行,顧名思義,指的是在園區中,無論某個人員如何在網絡中移動,從什么地方接入,又換到了什么地方、IP地址是否有變化,它的權限都是一致的,也就是權限跟着人走。所謂權限,簡單地說,指的是用戶是否被允許訪問某個/某些特定資源,或者其他用戶組。
業務隨行方案本質上是一種IP地址與策略解耦的方案。換句話說,即用戶無論在接入網絡時使用什么IP地址、在何處接入,他所獲得的權限都是一致的。
業務隨行方案將一個網絡中的用戶根據實際需求划分成組,例如教育園區中的老師組與學生組等。網絡管理員為用戶分配賬號,並且根據具體的規則將賬號綁定到組。當用戶接入網絡時,網絡設備會對用戶進行身份認證,並且根據認證結果將用戶綁定到相應的組。與此同時,網絡設備上會維護網絡管理員預先下發的組間通信矩陣(策略控制矩陣)。這樣一來,當已認證用戶的流量到達該網絡設備時,設備即可通過流量的源、目的來匹配源、目的組,並在通信矩陣中進行查詢,從而判斷流量是否合法。
二、業務隨行中的基本概念
1 安全組
安全組是指網絡中通信對象的集合。用戶可根據實際需求,在iMaster NCE上創建安全組。例如在辦公園區網絡中,用戶可以根據需要設置市場用戶安全組、研發用戶安全組、銷售用戶安全組等等。這些安全組都是基於自然語義定義的,非常直觀。
安全組既可以根據5W1H條件授權給用戶,符合5W1H條件的用戶授權到指定安全組(動態安全組),也可以通過靜態綁定IP地址的方式定義安全組(靜態安全組)。
上圖展示的是在iMaster NCE上創建一個動態安全組。以下是創建一個靜態安全組:
靜態安全組定義完后,與動態安全組一樣都會出現在通信矩陣中,可以作為源或目的安全組。
2 資源組
對於靜態的服務器資源,可以通過在安全組中綁定IP地址段的方式進行表達,安全組和IP地址的靜態綁定關系最終會通過netconf協議下發到設備上。但是對於IP地址集有重合的服務資源,無法通過安全組進行區分。資源組可以解決這個問題,資源組之間允許IP地址允許重復,資源組可以作為組間策略的目的地址。
在iMaster NCE上創建資源組的頁面如下:
資源組只在通信矩陣中作為目的安全組,不作為源安全組。使用資源組的缺點在於,在執行點設備上會根據每個IP地址生成一條策略,而不是一個資源組生成一條策略,導致策略數過多。
3 策略控制
安全組定義完成之后,管理員就可以基於組來定義全網的組間策略。策略矩陣用於承載組間策略的配置。組間權限策略主要控制組到組之間的訪問權限。
4 認證點、策略執行點與iMaster NCE
- 認證點:負責對終端進行身份認證,並通過認證過程從iMaster NCE獲得終端的授權結果,如終端所屬的安全組等。若網絡中部署了策略聯動,則認證點指的是認證控制點。
- iMaster NCE:充當認證服務器,同時也是業務隨行的策略控制中心,維護全網的安全組之間的通信矩陣。
- 策略執行點:先從iMaster NCE獲得安全組間通信矩陣,在收到流量后,根據流量的源、目的IP地址對應的源、目的安全組執行策略,如果策略允許該流量,則進行轉發,否則進行丟棄。
三、實施步驟概述
四、工作機制概述
1 創建用戶及安全組
1)網絡管理員在iMaster NCE中定義安全組。
網絡管理員可以選擇創建動態安全組或靜態安全組。動態安全組用於當網絡設備對用戶進行認證時,通過控制器配置的授權規則動態地將用戶綁定到相應的安全組。而靜態安全組則由管理員手工綁定IP地址或地址段。
例如在上圖所示的例子中,我們創建了Group1、Group2及Server安全組。其中Group1及Group2是動態安全組。而Server是靜態安全組,可以由管理員定義靜態關系映射,例如將10.1.1.1這台服務器的IP地址映射到Server組。在實際應用中,Group1及Group2組名可以結合實際情況定義,例如教育園區中,可以定義Teacher和Student組。
2)網絡管理員在iMaster NCE中創建用戶賬號,並配置授權規則(根據5W1H條件),將用戶綁定到對應的用戶組。
2 定義並部署組間策略
1)網絡管理員在iMaster NCE中定義組間策略,也即組間通信矩陣。例如允許Group1及Group2訪問Server,禁止Group1訪問Group2等。
2)部署策略:策略執行點網絡設備與iMaster NCE實現對接。iMaster NCE自動將安全組、組間策略下發至該網絡設備。
iMaster NCE會將組Group1、2及Server(的名字及組ID),以及以上所定義的組間策略下發到網絡設備上。這個動作為后續的系統自動運行做好准備工作。下圖中的策略執行點,指的是執行策略(權限策略)的網絡設備。
3 系統自動運行
- 認證:用戶嘗試接入網絡,iMaster NCE校驗身份憑證。
- 授權:iMaster NCE根據5W1H條件,匹配授權策略,授權用戶所屬安全組,執行點設備將用戶所用的IP地址動態添加到指定組中。控制器會統一維護所有在線用戶的信息(用戶名、IP地址等)與用戶組的映射關系。
- 執行:網絡設備根據本地及iMaster NCE中保存的IP地址與組的對應關系,識別報文的源目的組信息,進而匹配和執行組策略。
具體示例如下:
- 用戶接入(以User1為例),交換機Core作為認證點設備,對用戶發起認證,它負責與iMaster NCE交互用戶認證信息。
- iMaster NCE判斷該用戶的登錄條件,將該用戶與對應授權結果中綁定的安全組(Group1)進行關聯。
- 用戶認證通過,iMaster NCE通知認證點Core該用戶所屬安全組。
- 認證點Core上報用戶當前使用的真實IP地址168.1.1。
- iMaster NCE將IP地址與組Group1關聯,並記錄到在線用戶信息表中。
- User2同理。此時,認證點設備Core已經維護了關於User1及User2的在線用戶表項,包括這兩個用戶的IP地址、MAC地址以及所屬的安全組等。
- 此時User1向User2發送數據,Core收到用戶的業務報文,識別報文的源組和目的組,執行組間策略。在本例中,User1發往User2的流量將被Core丟棄。
本文分享自華為雲社區《數通Datacom認證新知識點:業務隨行》,原文作者:迷圖小書童 。