HCIE-Datacom 论述【Y园区】
1. 如图,终端 PC1、PC2 已经通过准入 (认证成功),两终端安全组之间禁止互访,但在测试时发现终端可以互访,请结合准入认证和业务随行,写出至少2 种导致出现该情况的原因。
- 在此场景下,可能存在以下三种原因导致出现该情况:
- 传统园区网络场景下,未部署IP-Group订阅功能
- 由于中间是传统园区网络,而认证点被分散在两台接入设备上,每台接入设备只会记录自己下游源终端设备的IP-Group表项信息,没有目的终端的IP-Group信息,所以不能直接按照策略矩阵进行组间策略执行,无法确定目的终端所属的安全组,因为中间是传统网络,而并非是VxLAN场景下,所以数据包无法携带源终端所属的安全组信息,此时如果需要两台终端设备获取到正确的权限,则需要在NCE-Capmus上部署IP-Group订阅功能。由控制器将目的终端的IP和安全组的对应关系推送到其他设备上,此时其他设备就可以学习到目的终端所属的安全组,拥有了目的终端的IP-Group表项后,就可以根据数据报文的源目IP和IP-Group表项,匹配对应的安全策略来控制数据报文的放行或禁止。
- 在此场景中,可能是NCE-Capmus上没有为ACC1和ACC2部署IP-Group订阅功能,导致两台接入设备上的IP-Group表项不同步,所以策略矩阵无法限制两台终端设备之间的互访。