- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
傳統園區網絡中,我們一般是基於地理位置做網絡劃分。在移動性很頻繁的場景中,企業如何保證一致性的用戶體驗是個很大挑戰。用戶一旦移動後,傳統的方案會導致IP地址變化,針對IP地址作安全策略的防火牆等主流安全設備,必須調整相應的安全策略,這給不同品牌的網絡產品和安全產品聯動提出了前所未有的挑戰,如何保證用戶在移動後,用戶仍然享有同樣的安全防護權限?這是傳統網絡和安全同時需要亟待解決的艱難問題。
在園區網絡中除了傳統PC、筆記本、PAD和phone這些智能終端,基於以太網的物聯網終端(寬帶物聯終端)也在大規模增長。還有一些啞終端比如辦公網中的打印機、IP電話、攝像頭、智能插座等等。大量物聯終端接入網絡時,如何提供批量、快速的部署,和統一簡單的管理,也是一大挑戰。
傳統園區網絡運維是一個效率低,高成本的一個狀態。相信對於大部分的網絡運維工程師來說,麵對業務種類越來越多,規模越來越大的園區網絡,如何應對各種安全威脅,實現業務快速部署上線,快速處理故障,也是一大挑戰。
圖1 園區網絡運維麵臨各種各樣的問題
以上這些問題就是我們傳統園區網絡中遇到的挑戰,接下來我們看一下BOB登陆 全新的智能園區解決方案是如何解決我們遇到的這些挑戰。
什麼是AD-Campus?簡單來說是一個SDN架構的解決方案,是一個應用驅動的智能園區網絡,目的是弱化底層物理網絡,使運維人員更專注於網絡應用,自上而下的驅動整個園區網絡的運維,它具有對網絡進行全局統一管理、控製和智能分析、業務編排的能力。其整體的方案架構如下:
圖2AD-Campus方案架構
物理層包括交換機、路由器、無線AC和AP,以及服務器等硬件設備;網絡層在underlay網絡基礎上抽象出Overlay網絡,實現各個業務的邏輯隔離。再往上是控製器層:包含網絡控製平台,網絡分析平台和終端接入認證係統,主要實現網絡自動部署,策略下發,用戶管理和運維等工作。頂端是管理編排層:依賴於我們的平台SNACenter,可以安裝多個組件,為管理員提供統一的業務配置與網絡狀態呈現的入口,為我們網絡的設計、策略、部署和保障提供交互和呈現的界麵。
前文我們討論了傳統園區網絡中,因人員移動導致的IP變更帶來的安全策略和體驗上的挑戰。AD-Campus方案是構造一個無狀態的網絡,其核心是位址分離,IP地址與位置解耦,讓IP地址可以在任意位置接入,無需改變網絡的配置。
圖3傳統園區網與AD-Campus網絡的名址綁定
名址綁定實現的原理如下圖所示,
圖4名址綁定原理
① 終端首次上線,向DHCP服務器申請IP地址
② NAS捕獲終端的IP地址並上報EIA(認證係統)
③ 控製器操作DHCP服務器設置靜態綁定表
④ 後續再上線,永遠申請相同的IP地址,即實現首次隨機分配,永久使用。
除了用戶和IP綁定,在某些場合可能不需要做非常強的捆綁,AD-Campus可以提供業務和IP網段的綁定,或者用戶組和IP網段的綁定,比如:財務的人員可能也分布在網絡不同的位置,我們也可以將其分配在同一個網段內;最終實現通過IP段標識用戶組或業務組。
上文介紹的網隨人動1.0,核心是用戶強關聯IP地址或網段;那針對已建成的園區網絡,IP地址已經規劃完畢,不想再做重複規劃,怎麼辦?針對於互聯網行業緊急項目較多,需要頻繁召集臨時項目組,相應的權限也需要頻繁改動的場景,怎麼辦?AD-Campus網絡網隨人動2.0-微分段方案可以完美解決;
微分段定義:MicroSegment園區網裏代表用戶所屬角色或者安全子組SGT(SegmentTag);
圖5微分段方案
網隨人動2.0實現原理如下:
圖6網隨人動2.0工作原理
微分段方案工作流程如下:
n SDN創建安全組時自動生成SGT,維護SGT-VXLAN映射關係表,維護SGT策略。
n SDN向EIA交互SGT。
n SDN向Leaf設備下發SGT-VXLAN的映射關係,下發SGT-SGT的訪問策略。
n 用戶認證通過,EIA通過Radius報文中的UserGroup向Leaf下發授權SGT。
n 建立VXLAN<->SGT的靜態映射關係,將授權SGT寫入ARP表,建立動態/靜態AC表項。
在微分段方案中,網絡中的流量控製在設備的源Leaf上,對於被拒絕的流量,在流量進入設備上聯的leaf設備上即被丟棄,相對於在目的設備上做管控的方案相比,可以大大減少網路裏的無效流量。
微分段方案能夠實現更靈活的分組和更精細的權限控製。一個部門裏所有的員工部門的基本權限,領導既有此部門的基本權限,也有領導獨有的單獨權限,針對此需求,微分段安全子組的能力可以將這部分有特殊權限的成員授權安全子組,安全子組既有繼承父組的能力,又可以分配某些特權。
在多園區場景中,微分段也可以支持單角色對應多個Vxlan網關,多園區的Vxlan可以不用保持一致,用戶在跨園區移動中能夠保持權限一致。
AD-Campus園區網絡極簡部署、物聯網自動上線、AI運維特性見下期分享。
