业务随行:用户的网络访问策略还能这么玩
摘要:业务随行是一种不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。
一、功能特性概述
所谓业务随行,顾名思义,指的是在园区中,无论某个人员如何在网络中移动,从什么地方接入,又换到了什么地方、IP地址是否有变化,它的权限都是一致的,也就是权限跟着人走。所谓权限,简单地说,指的是用户是否被允许访问某个/某些特定资源,或者其他用户组。
业务随行方案本质上是一种IP地址与策略解耦的方案。换句话说,即用户无论在接入网络时使用什么IP地址、在何处接入,他所获得的权限都是一致的。
业务随行方案将一个网络中的用户根据实际需求划分成组,例如教育园区中的老师组与学生组等。网络管理员为用户分配账号,并且根据具体的规则将账号绑定到组。当用户接入网络时,网络设备会对用户进行身份认证,并且根据认证结果将用户绑定到相应的组。与此同时,网络设备上会维护网络管理员预先下发的组间通信矩阵(策略控制矩阵)。这样一来,当已认证用户的流量到达该网络设备时,设备即可通过流量的源、目的来匹配源、目的组,并在通信矩阵中进行查询,从而判断流量是否合法。
二、业务随行中的基本概念
1 安全组
安全组是指网络中通信对象的集合。用户可根据实际需求,在iMaster NCE上创建安全组。例如在办公园区网络中,用户可以根据需要设置市场用户安全组、研发用户安全组、销售用户安全组等等。这些安全组都是基于自然语义定义的,非常直观。
安全组既可以根据5W1H条件授权给用户,符合5W1H条件的用户授权到指定安全组(动态安全组),也可以通过静态绑定IP地址的方式定义安全组(静态安全组)。
上图展示的是在iMaster NCE上创建一个动态安全组。以下是创建一个静态安全组:
静态安全组定义完后,与动态安全组一样都会出现在通信矩阵中,可以作为源或目的安全组。
2 资源组
对于静态的服务器资源,可以通过在安全组中绑定IP地址段的方式进行表达,安全组和IP地址的静态绑定关系最终会通过netconf协议下发到设备上。但是对于IP地址集有重合的服务资源,无法通过安全组进行区分。资源组可以解决这个问题,资源组之间允许IP地址允许重复,资源组可以作为组间策略的目的地址。
在iMaster NCE上创建资源组的页面如下:
资源组只在通信矩阵中作为目的安全组,不作为源安全组。使用资源组的缺点在于,在执行点设备上会根据每个IP地址生成一条策略,而不是一个资源组生成一条策略,导致策略数过多。
3 策略控制
安全组定义完成之后,管理员就可以基于组来定义全网的组间策略。策略矩阵用于承载组间策略的配置。组间权限策略主要控制组到组之间的访问权限。
4 认证点、策略执行点与iMaster NCE
- 认证点:负责对终端进行身份认证,并通过认证过程从iMaster NCE获得终端的授权结果,如终端所属的安全组等。若网络中部署了策略联动,则认证点指的是认证控制点。
- iMaster NCE:充当认证服务器,同时也是业务随行的策略控制中心,维护全网的安全组之间的通信矩阵。
- 策略执行点:先从iMaster NCE获得安全组间通信矩阵,在收到流量后,根据流量的源、目的IP地址对应的源、目的安全组执行策略,如果策略允许该流量,则进行转发,否则进行丢弃。
三、实施步骤概述
四、工作机制概述
1 创建用户及安全组
1)网络管理员在iMaster NCE中定义安全组。
网络管理员可以选择创建动态安全组或静态安全组。动态安全组用于当网络设备对用户进行认证时,通过控制器配置的授权规则动态地将用户绑定到相应的安全组。而静态安全组则由管理员手工绑定IP地址或地址段。
例如在上图所示的例子中,我们创建了Group1、Group2及Server安全组。其中Group1及Group2是动态安全组。而Server是静态安全组,可以由管理员定义静态关系映射,例如将10.1.1.1这台服务器的IP地址映射到Server组。在实际应用中,Group1及Group2组名可以结合实际情况定义,例如教育园区中,可以定义Teacher和Student组。
2)网络管理员在iMaster NCE中创建用户账号,并配置授权规则(根据5W1H条件),将用户绑定到对应的用户组。
2 定义并部署组间策略
1)网络管理员在iMaster NCE中定义组间策略,也即组间通信矩阵。例如允许Group1及Group2访问Server,禁止Group1访问Group2等。
2)部署策略:策略执行点网络设备与iMaster NCE实现对接。iMaster NCE自动将安全组、组间策略下发至该网络设备。
iMaster NCE会将组Group1、2及Server(的名字及组ID),以及以上所定义的组间策略下发到网络设备上。这个动作为后续的系统自动运行做好准备工作。下图中的策略执行点,指的是执行策略(权限策略)的网络设备。
3 系统自动运行
- 认证:用户尝试接入网络,iMaster NCE校验身份凭证。
- 授权:iMaster NCE根据5W1H条件,匹配授权策略,授权用户所属安全组,执行点设备将用户所用的IP地址动态添加到指定组中。控制器会统一维护所有在线用户的信息(用户名、IP地址等)与用户组的映射关系。
- 执行:网络设备根据本地及iMaster NCE中保存的IP地址与组的对应关系,识别报文的源目的组信息,进而匹配和执行组策略。
具体示例如下:
- 用户接入(以User1为例),交换机Core作为认证点设备,对用户发起认证,它负责与iMaster NCE交互用户认证信息。
- iMaster NCE判断该用户的登录条件,将该用户与对应授权结果中绑定的安全组(Group1)进行关联。
- 用户认证通过,iMaster NCE通知认证点Core该用户所属安全组。
- 认证点Core上报用户当前使用的真实IP地址168.1.1。
- iMaster NCE将IP地址与组Group1关联,并记录到在线用户信息表中。
- User2同理。此时,认证点设备Core已经维护了关于User1及User2的在线用户表项,包括这两个用户的IP地址、MAC地址以及所属的安全组等。
- 此时User1向User2发送数据,Core收到用户的业务报文,识别报文的源组和目的组,执行组间策略。在本例中,User1发往User2的流量将被Core丢弃。
本文分享自华为云社区《数通Datacom认证新知识点:业务随行》,原文作者:迷图小书童 。