- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
30-IP-SGT策略隨行配置
本章節下載: 30-IP-SGT策略隨行配置 (344.95 KB)
目 錄
傳統網絡中,隻有接入認證設備能接收並執行EIA服務器下發的訪問策略來限製在本設備上線用戶的訪問權限,其它位置的設備無法接收和執行EIA服務器下發的訪問策略。同時,傳統網絡一般是基於地理位置(比如VLAN或IP網段等)做權限劃分,如果用戶移動後IP地址發生變化,則無法保證用戶依然能夠獲得相同的網絡訪問權限。
IP-SGT(IP address-Security Group Tag,IP地址-安全組)策略隨行通過將用戶角色與安全組綁定,解耦用戶與IP地址的關聯關係,完成相同用戶在不同隔離域的認證上線,從而實現了基於用戶角色的策略劃分,解決用戶跨隔離域的策略隨行問題。
圖1-1 IP-SGT策略隨行體係架構
如圖1-1,IP-SGT策略隨行體係架構中的主要設備角色:
· 統一數字底盤:統一數字底盤是指在物理服務器上安裝的數字管理平台,可以通過在統一數字底盤上部署控製器、EIA服務器等組件,完成用戶認證以及策略下發。
¡ 控製器:納管設備,創建安全組並配置組間策略。
¡ EIA服務器:完成用戶認證、授權和計費;選擇已被控製器納管的設備進行訂閱,向訂閱設備推送IP-SGT映射關係。
· DHCP服務器:負責為用戶分配IP地址,可以作為統一數字底盤組件出現。
· 認證點設備:負責對接入用戶進行認證。
· 執行點設備:EIA服務器的訂閱設備,接收EIA服務器推送的IP-SGT映射表項,控製用戶訪問權限。認證點設備和執行點設備可以是同一設備,也可以是不同設備。
· 終端:請求接入局域網的用戶設備,由局域網中的認證點設備對其進行認證。
· 在微分段特性中,安全組可理解為微分段。創建安全組時設置的標簽ID值即為下發設備的微分段ID。微分段的詳細介紹請參見“安全配置指導”的“微分段”
· 微分段實現用戶與安全組(微分段)關聯,以及與IP地址段解耦,使用相同的賬號/密碼在不同的隔離域認證上線,EIA服務器根據帳號/密碼授權同一個微分段ID,從而實現跨隔離域的網隨人動和策略隨行。
安全組是一種基於邏輯分組的安全隔離方案,我們可以將某一區域內具有相同安全隔離需求的通信對象(個人終端、打印機或服務器等)劃分到一個安全組,然後為其部署組間策略,屬於同一安全組的用戶在任何位置接入時都可以得到相同的訪問權限。
IP-SGT策略隨行實現了基於安全組的跨隔離域,安全組的組間策略不再需要根據每個IP地址段配置策略,有效地減少了組間策略的配置矩陣規模。相對於傳統的接入控製方式(VLAN+ACL),基於安全組的網絡管理方案極大地減少了管理員的工作量。
除特殊說明外,本文中提及的認證點設備隻進行用戶認證,IP-SGT策略隨行功能僅在執行點設備上開啟。
以認證點和執行點非同一台設備為例,IP-SGT策略隨行工作機製如圖1-2所示。
圖1-2 IP-SGT工作機製示意圖
(1) 管理員在控製器上完成安全組和GBP(Group Based Policy,組策略)的定義,並將安全組和組策略信息同步給EIA服務器。組策略的詳細介紹請參見“安全配置指導”的“微分段”。
(2) 控製器在自動化部署階段將組策略信息下發給認證點和執行點設備。
(3) EIA服務器與執行點設備之間建立IP-SGT通道。
(4) 用戶發起認證。
(5) 認證成功後,EIA服務器根據用戶的登錄信息為用戶授權微分段ID,即將其加入特定的安全組。
(6) 認證成功後,客戶端從DHCP服務器上獲取到IP地址。
(7) 認證點設備將用戶IP地址上報給EIA服務器。
· 對於Portal認證用戶,由於其認證前已從DHCP服務器獲得IP地址,會在認證過程中上報IP地址。
· 對於802.1X、MAC地址認證及Web認證用戶,認證通過獲得IP地址後,通過計費報文上報IP地址。
(8) EIA服務器記錄並維護用戶IP地址與微分段ID的映射表項。
(9) EIA服務器將收集到的IP-SGT映射表項通過IP-SGT通道推送給執行點設備,執行點設備收到表項後上報給路由管理模塊,由路由管理模塊下發FIB轉發表,驅動根據FIB轉發表將IP-SGT映射表項通過硬件資源存儲起來。當用戶下線後,EIA服務器通知執行點設備刪除對應的IP-SGT映射表項。
(10) 客戶端發起業務流量。
(11) 執行點設備收到流量報文時,會識別報文的源或目的IP地址,並查詢FIB轉發表獲取到對應的微分段ID,然後執行相應的組策略來控製不同安全組間的網絡訪問權限。
本特性使用的EIA服務器和控製器必須為我司的iMC EIA服務器和SeerEngine-Campus控製器,使用的DHCP服務器必須是支持緊耦合的vDHCP服務器或微軟DHCP服務器。
IP-SGT策略隨行配置任務如下:
(1) 開啟IP-SGT策略隨行功能
(2) (可選)配置IP-SGT按需地址網段
(3) (可選)配置IP-SGT逃生功能
(4) 開啟IP-SGT策略隨行告警功能
基礎組網配置、802.1X認證以及IP-SGT策略隨行功能可以由管理員通過控製器自動化部署直接將配置下發給設備,也可以在設備上手工配置。
控製器和EIA服務器上相關功能的詳細介紹請參見《AD-Campus配置指導》。
· 統一數字底盤屬於雲平台服務器,執行點設備必須與統一數字底盤建立雲平台連接才能相互通信,詳細介紹請參見“網絡管理和監控配置指導”的“雲平台連接”。
· 在認證點設備和EIA服務器上完成用戶認證上線所需的相關配置,本功能支持的認證方式包括:802.1X、MAC地址認證、Web認證和Portal認證,具體配置根據所選的認證方式請參見“安全配置指導”的相關模塊手冊。
開啟IP-SGT策略隨行功能後,設備將作為策略執行點設備接收EIA服務器推送的IP-SGT映射表項,並在收到流量報文時,識別報文的源或目的IP地址,然後通過查詢FIB轉發表獲取到對應的微分段ID,並執行對應的組策略。
表1-1 開啟IP-SGT策略隨行功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟IP-SGT策略隨行功能 |
ipsgt enable |
缺省情況下,IP-SGT策略隨行功能處於關閉狀態 |
缺省情況下,EIA服務器推送的所有IP-SGT映射表項會在設備上通過硬件資源存儲起來,當接收到來自對應IP地址的報文時可以直接通過查詢FIB轉發表匹配微分段ID並執行相應的組策略,轉發效率高。但如果設備處於報文交互較少的鏈路(比如東西向流量),將推送的所有IP-SGT映射表項都存儲起來會浪費大量硬件資源。
因此,用戶可以通過本功能指定按需地址網段,設備硬件不會立即存儲該網段的IP-SGT映射表項,隻有當流量報文中用戶的IP地址屬於該網段時,設備才會存儲其對應的IP-SGT映射表項,後續相同流量過來就可以直接匹配微分段規則,從而節省了硬件資源。
表1-2 配置IP-SGT按需地址網段
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置IP-SGT按需地址網段 |
ipsgt on-demand { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ] |
缺省情況下,未配置IP-SGT按需地址網段 |
在認證點和執行點設備分離場景中,當認證點設備無法與EIA服務器通信時,若開啟了用戶認證逃生功能(Critical微分段等),用戶仍可以訪問部分資源。但由於EIA服務器無法授權微分段,因此即使執行點設備與EIA服務器間的IP-SGT訂閱通道正常,EIA服務器也不會向執行點設備下發逃生用戶的IP-SGT映射表項。
當逃生用戶流量命中按需地址網段時,由於執行點設備驅動未存儲該用戶的IP-SGT映射表項,因此無法通過匹配表項來快速完成硬件轉發,反而需要將流量上送CPU通過軟件完成轉發。當逃生用戶流量過大時,容易對CPU造成衝擊。
在執行點設備通過靜態配置(微分段視圖下執行member命令)將用戶加入指定微分段後,IP-SGT模塊將自動生成用戶的IP-SGT映射表項,並上報給路由管理模塊,由路由管理模塊下發FIB轉發表,驅動根據FIB轉發表將IP-SGT映射表項通過硬件資源存儲起來,後續相同流量過來就可以直接在設備上匹配微分段規則通過硬件完成轉發,從而避免大量流量上送CPU。member命令的詳細介紹,請參見“安全命令參考”中的“微分段”。
但當執行點設備存儲的逃生用戶表項數過大時,容易消耗大量硬件資源,影響用戶其它正常業務處理,此時可以通過ipsgt max-critical-map命令限製可存儲的IP-SGT逃生用戶映射表項數的最大值。
當認證模塊的逃生功能和IP-SGT逃生功能同時開啟時:
· 在認證點和執行點設備分離場景中,IP-SGT逃生功能優先生效。
· 在認證點和執行點設備合一場景中,認證模塊的Critical微分段逃生功能優先生效;當認證模塊配置的逃生功能為Critical VLAN時,IP-SGT逃生功能優先生效。
表1-3 配置IP-SGT逃生功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建微分段,並進入微分段視圖 |
microsegment microsegment-id [ name microsegment-name ] |
缺省情況下,不存在微分段 |
|
向微分段中添加成員 |
member ipv4 ipv4-address { mask | mask-length } [ vpn-instance vpn-instance-name ] member ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ] |
缺省情況下,微分段中不存在成員 |
|
配置設備可存儲的IP-SGT逃生映射表項的最大數目 |
ipsgt max-critical-map max-number |
缺省情況下,未配置設備可存儲的IP-SGT逃生映射表項的最大數目 |
開啟IP-SGT模塊的告警功能後,該模塊會生成告警信息,用於報告該模塊的重要事件(例如執行點設備與EIA服務器之間建立連接或者連接斷開)。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
表1-4 配置IP-SGT策略隨行告警功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟IP-SGT策略隨行告警功能 |
snmp-agent trap enable ipsgt |
缺省情況下,IP-SGT策略隨行告警功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP-SGT的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除IP-SGT報文統計信息。
表1-5 IPSGT策略隨行顯示和維護
|
操作 |
命令 |
|
顯示IP-SGT策略隨行的運行狀態 |
display ipsgt state |
|
顯示IP-SGT策略隨行的報文統計信息 |
display ipsgt statistics |
|
顯示設備上配置的IP-SGT按需地址網段信息 |
display ipsgt on-demand [ ip [ ipv4-address { mask-length | mask } ] | ipv6 [ ipv6-address prefix-length ] ] [ vpn-instance vpn-instance-name ] |
|
顯示當前設備上的IP-SGT映射表項信息 |
display ipsgt map [ ip [ ipv4-address ] | ipv6 [ ipv6-address ] | microsegment microsegment-id ] [ vpn-instance vpn-instance-name ] |
|
清除IP-SGT策略隨行的報文統計信息 |
reset ipsgt statistics |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
