iMaster NCE-Campus V300R019C10 业务随行技术白皮书

iMaster NCE-Campus V300R019C10 业务随行技术白皮书文档版本01发布日期2020-07-08华为技术有限公司版权所有 华为技术有限公司2020。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明 和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼 邮编：518129网址：客户服务邮箱：support客户服务电话：4008302118文档版本01 (2020-07-08)版权所有 华为技术有限公司iiMaster NCE-Campus V300R019C10 业务随行技术白皮书目 录目 录1 概述11.1 产生背景11.2 解决思路21.3 方案简介22 方案原理42.1 整体架构42.2 安全组的定义52.3 资源组的定义62.4 策略控制矩阵62.5 安全组表项订阅82.6 基于VxLAN的增强92.7 非业务随行设备作为认证点113 方案特点124 典型组网应用144.1 用户访问数据中心权限控制144.2 跨部门/公司协作办公155 A 缩略语17文档版本01 (2020-07-08)版权所有 华为技术有限公司iiiMaster NCE-Campus V300R019C10 业务随行技术白皮书1 概述1 概述1.1 产生背景1.2 解决思路1.3 方案简介1.1 产生背景随着企业无线网络的建设与推广，以及VPN等远程接入技术的成熟应用，企业园区网络的边界在消失，企业员工的办公位置变得更加灵活。员工接入位置的大范围移动，一方面提高了企业的生产效率，另外一方面也带来了企业网络管理和网络安全上的挑战。移动办公使得员工主机的IP地址经常发生变化，而传统园区中基于IP地址来进行员工权限控制和流量体验保障的方法无法适应这种变化。在传统园区网络中，控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。这些技术要求：l 管理员如果希望保证员工在园区内的一致网络权限，必须要求员工从指定的交换机、VLAN或网段接入上线。l 用于控制权限的ACL需要管理员提前配置好，而且其中至少需要配置禁止或允许访问的目的IP地址范围。因此，在用户使用的IP地址范围不固定的前提下，ACL不能用于流量的源和目的都是用户主机时的控制。l ACL与用户的关联只在认证点设备上生效。因此对于非认证点设备，例如部署在企业园区边界的防火墙设备，必须基于IP地址来配置策略。l VLAN和ACL需要在大量的认证点交换机上提前配置，存在很大的部署和维护工作量。在需要对配置进行变更时，对企业网络管理员是一个很大的负担。员工移动办公希望打破这一局限性，允许员工从网络中的任意位置，任意VLAN，任意IP网段接时，享有一致的网络访问权限。同时管理员还希望有一种简单的，与网络拓扑和IP地址分配无关的策略管控方法。1.2 解决思路业务随行方案是华为公司推出的围绕用户提供权限控制的企业网络解决方案，基于以下思路，解决传统园区面临的挑战。l 业务策略与IP地址解耦iMaster NCE-Campus引入安全组这一关键模型，管理员可以动态方式在认证流程中基于5W1H将终端用户划分到不同的安全组，并在交换机设备上基于安全组定义控制策略。业务流量报文在交换机策略控制点设备进行策略匹配时，可以先根据报文的源/目的IP地址匹配源/目的安全组，再根据报文的源/目的安全组去匹配管理员预定义的组间策略。通过这样的创新方案，我们可以将传统网络中基于用户和IP地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址，实现业务策略与IP地址的完全解耦。l 用户信息集中管理iMaster NCE-Campus实现用户认证与上线信息的集中管理，获取到全网用户和IP地址的对应关系。l 策略集中管理iMaster NCE-Campus不仅是园区的认证中心，同时也是业务策略的管理中心。管理员可以在iMaster NCE-Campus上统一管理全网策略。管理员只需要配置一次，就可以将这些业务策略自动下发到全网的执行点设备上。1.3 方案简介在业务随行方案中的核心设备角色有三种：l iMaster NCE-Campus园区网络认证、授权与业务策略管理的核心。可以与网络设备联动完成用户认证和策略下发。l 认证点设备认证点设备负责响应客户端的认证请求，与AAA服务器交互完成用户认证过程，并根据服务器的认证结果 决定是否允许该用户终端的流量通过该设备接入网络。l 策略执行点设备执行点设备负责执行基于安全组的业务策略。执行业务策略的前提条件是执行点设备可以识别报文的源组/目的组信息，而IP地址与安全组的映射关系可以通过认证、静态配置、或者由iMaster NCE-Campus推送三种方式获取。认证点设备和执行点设备是两种设备角色。根据管理员的配置和设备的能力，同一台物理设备既可以同时担 任这两种角色，也可以只担任其中的一种角色。本方案的典型组网如图1-1所示。图1-1 业务随行方案工作流程图其中：l NCE-Campus：1. 负责与认证设备联动完成终端设备的认证准入，并授权安全组；2. 支持配置下发ACL/UCL等策略；3.支持为策略执行点同步IPGROUP表项；l 核心交换机/策略执行设备：1. 支持配置用户ACL，部署访问策略，并基于安全组执行访问控制；2. 支持配置IPGROUP表项；l 汇聚交换机/认证设备：1. 支持终端的接入认证在业务随行方案中，只能选择交换机担任策略执行设。文档版本01 (2020-07-08)版权所有 华为技术有限公司3iMaster NCE-Campus V300R019C10 业务随行技术白皮书2 方案原理2 方案原理2.1 整体架构2.2 安全组的定义2.3 资源组的定义2.4 策略控制矩阵2.5 安全组表项订阅2.6 基于VxLAN的增强2.7 非业务随行设备作为认证点2.1 整体架构本方案的工作流程图如图2-1所示。图2-1 业务随行方案工作流程图1. 管理员在iMaster NCE-Campus中统一定义用户和安全组，可以基于网络业务定义安全组，为后续组间策略控制做好规划准备。2. 管理员在iMaster NCE-Campus中统一定义基于组的权限控制，并部署到所有关联的策略执行点设备上。并且iMaster NCE-Campus支持基于矩阵的配置方式。3. 在认证过程中，iMaster NCE-Campus根据用户的登录条件，将其与安全组关联。认证成功后，iMaster NCE-Campus将该用户所属组作为授权结果下发给认证点。对于802.1X认证这种认证时终端尚未获取IP地址的场景，认证点会在用户认证成功，获取IP地址之后，自动感知用户的真实IP地址，并将其上报给iMaster NCE-Campus。iMaster NCE-Campus收集所有上线用户的IP地址同步至业务随行组间，用户后续将IPGroup信息同步至策略执行点设备。4. 在认证点设备与策略执行点设备分离的场景，后续策略匹配时设备需要有终端IP地址与安全组的映射关系，以便在策略执行时，基于流量识别相关的源/目的安全组，因此需要用户操作订阅所需要的IPGroup表项。5. 用户发起业务流量。当流量到达策略执行点时，策略执行点设备会识别报文的源/目的IP对应的安全组，执行基于组的策略。2.2 安全组的定义管理员通过定义安全组，可以将网络中流量的源端或目的端通过组的形式描述和组织起来。例如用户主机，IP电话，服务器，网络设备的接口等等任何拥有IP地址，可能发起或接收IP报文的终端。管理员要想控制它们之间的互访，就需要先把它们在iMaster NCE-Campus上定义出来。安全组可以理解为一个具有相同网络访问权限的网络资源的集合，网络成员加入安全组的方式，主要分为两大类：l 动态加入：终端用户基于5W1H认证授权时，可以指定安全组。l 静态加入：作为动态接入的补充，对于一些非认证终端，无法采用第一种方式进行安全组。使用固定的IP地址的终端，包括数据中心的服务器，网络设备的接口，以及使用固定的IP地址免认证接入的特殊用户等所有可用IP地址描述的网络成员。两种加入方式它们在应用应用场景下的主要区别在于：l 动态加入用户的IP地址是不固定的，是在用户认证之后动态地与安全组关联，在用户注销后，也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。而策略执行点设备需要通过作为用户的认证点设备，或者由iMaster NCE-Campus主动推送，才可以获取这种映射关系。l 静态资源的IP地址是固定的，是由管理员通过配置绑定的，并且在预部署阶段，iMaster NCE-Campus与网络设备间通过Netconf协议部署控制策略时，安全组与这种IP地址的绑定的关系就会同步给所有执行点设备。如果一个IP同时以认证方式和静态绑定方式分别加入了不同组，则以认证方式授权的动态组为优先。除了上述用于标记不同网络业务的安全组外，还有一些特殊的安全组：l Unknown组：用于表示未知用户，即未通过动态方式也未通过静态方式加入任何安全组的用户或者资源均默认归于这个组；l Any组：表示所有用户和资源，通过用户配置默认的控制规则；l 逃生组：设备检测到IP-Group通道断开的时候，对于未识别的流量，按照逃生组所配置的策略进行控制。管理员可以选择一个安全组设置为逃生组。2.3 资源组的定义对一些对外提供多个服务的服务器资源，如同一个服务器即部署了学生管理系统，又提供了教师管理系统， 对外提供的IP地址相同，只是端口号等要素不同，因此无法将两个系统加入到不同的安全组下。为了解决此场景，业务随行方案提出了资源组的定义：l 不同资源组间，IP地址允许重复；l 资源组在配置策略矩阵时，只能作为策略的目的组（不支持作为源组）；l 策略下发的时候，针对交换机设备，需要分解成对应的IP地址下发，而不是使用ucl group模型。2.4 策略控制矩阵上面安全组和资源组的定义，只是配置策略控制规则的前提，用户最终的目的就是管控不同业务网络之间的访问权限。在业务随行方案中提供了基于矩阵的策略控制新思路，用户可以更直观地定义控制策略。首先，租户管理员可以基于组来定义全网的权限策略。策略矩阵用于承载组间策略的配置。策略矩阵定义完毕后，可以基于策略矩阵配置源安全组到目的安全组或者资源组的策略。组