业务随行原理
《业务随行》属于博主的“园区网”专栏,若想成为HCIE,对于园区网相关的知识需要非常了解,更多关于园区网的内容博主会更新在“园区网”专栏里,请持续关注!
一.前言
- 在园区网络中,为实现用户不同的网络访问需求,可以在接入设备上为用户部署不同的网络访问策略。
- 在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现,该方案存在诸多缺陷。例如,ACL与用户的关联只在认证点设备上生效,灵活性差;VLAN和ACL需要在大量的认证点设备上提前配置,部署和维护工作量巨大等。
- 移动办公场景下,希望员工从网络中的任意位置、任意VLAN、任意IP网段接入的同时还可以始终控制其网络访问权限。因此引入了业务随行,解决传统解决方案下移动办公体验糟糕的问题。
二.业务随行技术背景与基本概念
1.用户在网络中的移动性需求
- 场景介绍
- 在大型园区中普遍存在用户移动性需求,例如:移动办公。
- 从园区网络管理角度要求:不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略
- 方案挑战
- 如何保证用户可以在园区网络中任意位置接入?
- 如何保证用户接入园区网络的安全性?
- 用户的信息是否能够集中管理?
- 网络配置及配置下发是否做到足够简单?
- 策略调整是否能够简化?
2.传统方案:通过NAC技术结合VLAN和ACL实现
- 在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。这带来如下问题:
- 员工移动办公希望打破这一局限性,允许员工从网络中的任意位置、任意VLAN、任意IP网段接入时,享有一致的网络访问权限。同时管理员还希望有一种简单的,与网络拓扑和IP地址分配无关的策略管控方法。
3.业务随行概述
- 业务随行是园区网络中一种不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。通过iMaster NCE-Campus控制器和交换机,让网络权限自动跟随“人”移动,以此解决移动办公体验糟糕的问题。
- 业务随行从三个方面解决传统园区问题:
- 业务策略与IP地址解耦
- 用户信息集中管理
- 策略集中管理
- 业务随行的优点:
- 简化网络规划:管理员配置策略时无需关注用户的IP地址。
- 增强控制能力:实现网络设备上认证用户信息的相互同步。
- 管理效率提升:管理员无需逐台设备重复配置。
4.业务随行的基本流程
- 业务随行基于安全组进行策略管理及权限控制。
- 划分安全组,安全组即拥有相同网络访问策略的一组用户,
- 定义基于安全组的权限控制策略,将策略下发到网络设备。
- 用户执行准入认证后,获得授权的安全组。
- 用户的流量进入网络后,网络设备根据流量对应的源、目的安全组执行策略。
- 业务随行提出了安全组的概念,安全组仅与用户身份有关,与用户VLAN、IP等网络信息完全解耦。
- 用户策略管理与权限控制都基于安全组执行。
5.业务随行的基本概念
(1)认证与策略执行
(2)安全组
- 安全组是对“网络中进行通信的对象”进行抽象化、逻辑化而得到的一个集合。
- 借助安全组,管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署组网络访问策略,能满足该类别所有用户的网络访问需求。
- 动态安全组
- 动态加入用户的IP地址是不固定的,是在用户认证之后动态地与安全组关联,在用户注销后,也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。
- 网络设备若要获得这种映射关系,需要自己成为认证点设备或由iMaster NCE-Campus推送。
- 静态安全组
- 静态资源的IP地址是固定的,是由管理员通过配置绑定的。
- 在预部署阶段,iMaster NCE-Campus与网络设备间通过NETCONF协议部署控制策略时,安全组与这种IP地址的绑定关系就会同步给所有执行点设备。
(3)UCL组
(4)资源组
(5)策略控制矩阵
- 安全组定义完成之后,管理员就可以基于组来定义全网的组间策略。
- 策略控制矩阵是用于承载组间策略的配置,组间策略主要控制组到组之间的访问权限。
(6)IP-Group表项订阅
三.业务随行基本原理
1.业务随行工作原理概述
2.工作过程详解
四.业务随行方案设计
1.安全组设计
2.权限控制设计
3.用户认证设计
- 业务随行和传统方案相比,在用户认证阶段没有差别。
- 当用户通过认证后,传统方案会下发ACL、VLAN等信息,而业务随行会下发安全组信息(即UCL组)。
4.认证点和策略执行点位置选择
- 一般认证点选择用户网关设备,并且网关设备同时作为策略执行点,部署业务随行功能。
- 主要原因:
- 接入交换机数量较多,在每台接入交换机上配置认证功能较为繁琐,管理起来也较为麻烦。
- 控制器需要向策略执行点设备同步权限策略,如果选用接入交换机作为认证点,则策略执行点设备的数0量会大幅增加(因为接入交换机数量较多),不仅增加了控制器上设备管理的工作量和难度,还延长了每次同步策略的时间。
- 对于用户网关以下的二层网络中能够互通的用户,如果想要进行互访控制,可以部署二层隔离使用户在二层不能互通,流量必须经过用户网关。
5.典型业务随行设计方案
五.总结
- 业务随行将基于IP的策略抽象为基于“用户语言”的策略,而这种策略部署方式是基于安全组实现的。业务随行通过安全组实现了策略和IP地址的解耦,能够让网络管理员无须感知用户具体IP地址即可实现安全组的策略管控。
- 将相同类型和权限的网络对象抽象成安全组,安全组里的成员既可以是PC、手机等终端,也可以是打印机、服务器。通过安全组完成网络对象的分类后,通过安全组策略定义该安全组能享受的网络服务,包括访问权限、应用控制等。