当前位置: 首页 > news >正文

业务随行原理

news 2025/2/26 13:59:39

《业务随行》属于博主的“园区网”专栏,若想成为HCIE,对于园区网相关的知识需要非常了解,更多关于园区网的内容博主会更新在“园区网”专栏里,请持续关注!

一.前言

  • 在园区网络中,为实现用户不同的网络访问需求,可以在接入设备上为用户部署不同的网络访问策略。
  • 在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现,该方案存在诸多缺陷。例如,ACL与用户的关联只在认证点设备上生效,灵活性差;VLAN和ACL需要在大量的认证点设备上提前配置,部署和维护工作量巨大等。
  • 移动办公场景下,希望员工从网络中的任意位置、任意VLAN、任意IP网段接入的同时还可以始终控制其网络访问权限。因此引入了业务随行,解决传统解决方案下移动办公体验糟糕的问题。

二.业务随行技术背景与基本概念

1.用户在网络中的移动性需求

  • 场景介绍
    • 在大型园区中普遍存在用户移动性需求,例如:移动办公。
    • 从园区网络管理角度要求:不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略
  • 方案挑战
    • 如何保证用户可以在园区网络中任意位置接入?
    • 如何保证用户接入园区网络的安全性?
    • 用户的信息是否能够集中管理?
    • 网络配置及配置下发是否做到足够简单?
    • 策略调整是否能够简化?

2.传统方案:通过NAC技术结合VLAN和ACL实现

  • 在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。这带来如下问题:

  • 员工移动办公希望打破这一局限性,允许员工从网络中的任意位置、任意VLAN、任意IP网段接入时,享有一致的网络访问权限。同时管理员还希望有一种简单的,与网络拓扑和IP地址分配无关的策略管控方法。

3.业务随行概述

  • 业务随行是园区网络中一种不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。通过iMaster NCE-Campus控制器和交换机,让网络权限自动跟随“人”移动,以此解决移动办公体验糟糕的问题。
  • 业务随行从三个方面解决传统园区问题:
    • 业务策略与IP地址解耦
    • 用户信息集中管理
    • 策略集中管理
  • 业务随行的优点:
    • 简化网络规划:管理员配置策略时无需关注用户的IP地址。
    • 增强控制能力:实现网络设备上认证用户信息的相互同步。
    • 管理效率提升:管理员无需逐台设备重复配置。

4.业务随行的基本流程

  • 业务随行基于安全组进行策略管理及权限控制。
  • 划分安全组,安全组即拥有相同网络访问策略的一组用户,
  • 定义基于安全组的权限控制策略,将策略下发到网络设备。
  • 用户执行准入认证后,获得授权的安全组。
  • 用户的流量进入网络后,网络设备根据流量对应的源、目的安全组执行策略。

  • 业务随行提出了安全组的概念,安全组仅与用户身份有关,与用户VLAN、IP等网络信息完全解耦。
  • 用户策略管理与权限控制都基于安全组执行。

5.业务随行的基本概念

(1)认证与策略执行

(2)安全组

  • 安全组是对“网络中进行通信的对象”进行抽象化、逻辑化而得到的一个集合。
  • 借助安全组,管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署组网络访问策略,能满足该类别所有用户的网络访问需求。

  • 动态安全组
    • 动态加入用户的IP地址是不固定的,是在用户认证之后动态地与安全组关联,在用户注销后,也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。
    • 网络设备若要获得这种映射关系,需要自己成为认证点设备或由iMaster NCE-Campus推送。
  • 静态安全组
    • 静态资源的IP地址是固定的,是由管理员通过配置绑定的。
    • 在预部署阶段,iMaster NCE-Campus与网络设备间通过NETCONF协议部署控制策略时,安全组与这种IP地址的绑定关系就会同步给所有执行点设备。

(3)UCL组

(4)资源组

(5)策略控制矩阵

  • 安全组定义完成之后,管理员就可以基于组来定义全网的组间策略。
  • 策略控制矩阵是用于承载组间策略的配置,组间策略主要控制组到组之间的访问权限。

(6)IP-Group表项订阅

三.业务随行基本原理

1.业务随行工作原理概述

2.工作过程详解

四.业务随行方案设计

1.安全组设计

2.权限控制设计

3.用户认证设计

  • 业务随行和传统方案相比,在用户认证阶段没有差别。
  • 当用户通过认证后,传统方案会下发ACL、VLAN等信息,而业务随行会下发安全组信息(即UCL组)。

4.认证点和策略执行点位置选择

  • 一般认证点选择用户网关设备,并且网关设备同时作为策略执行点,部署业务随行功能。
  • 主要原因:
    • 接入交换机数量较多,在每台接入交换机上配置认证功能较为繁琐,管理起来也较为麻烦。
    • 控制器需要向策略执行点设备同步权限策略,如果选用接入交换机作为认证点,则策略执行点设备的数0量会大幅增加(因为接入交换机数量较多),不仅增加了控制器上设备管理的工作量和难度,还延长了每次同步策略的时间。
  • 对于用户网关以下的二层网络中能够互通的用户,如果想要进行互访控制,可以部署二层隔离使用户在二层不能互通,流量必须经过用户网关。

5.典型业务随行设计方案

五.总结

  • 业务随行将基于IP的策略抽象为基于“用户语言”的策略,而这种策略部署方式是基于安全组实现的。业务随行通过安全组实现了策略和IP地址的解耦,能够让网络管理员无须感知用户具体IP地址即可实现安全组的策略管控。
  • 将相同类型和权限的网络对象抽象成安全组,安全组里的成员既可以是PC、手机等终端,也可以是打印机、服务器。通过安全组完成网络对象的分类后,通过安全组策略定义该安全组能享受的网络服务,包括访问权限、应用控制等。

http://www.mrgr.cn/news/92346.html

相关文章:

  • mac下载MAMP6.8.1
  • 探索超声波的奥秘——定时器与PCA
  • 面试题——简述Vue 3的服务器端渲染(SSR)是如何工作的?
  • MongoDB 面试题目
  • (Arrow)时间处理变得更简单
  • 批量将gitlab仓库转移到gitea中
  • 计算机视觉(opencv-python)入门之图像的读取,显示,与保存
  • 微信小程序网络请求与API调用:实现数据交互
  • 系统调用过程
  • 模型蒸馏与量化技术:让AI模型“瘦身”却不“降智”的底层逻辑
  • 可狱可囚的爬虫系列课程 14:10 秒钟编写一个 requests 爬虫
  • Android AOSP系统裁记录
  • 在 HuggingFace 中使用 SSH 进行下载数据集和模型
  • Java入门基础、JDK安装和配置
  • 音视频入门基础:RTP专题(12)——RTP中的NAL Unit Type简介
  • mamba,mamba2环境搭建
  • Python批量压缩并上载CSV数据文件到Box企业云盘
  • kvaser pythoncan 调用报错(x86 ubuntu工控机)
  • Metal 学习笔记四:顶点函数
  • Python学习第十七天之PyTorch保姆级安装