- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
31-IP-SGT策略隨行配置
本章節下載: 31-IP-SGT策略隨行配置 (326.42 KB)
目 錄
傳統網絡中,隻有接入認證設備能接收並執行EIA服務器下發的訪問策略來限製在本設備上線用戶的訪問權限,其它位置的設備無法接收和執行EIA服務器下發的訪問策略。同時,傳統網絡一般是基於地理位置(比如VLAN或IP網段等)做權限劃分,如果用戶移動後IP地址發生變化,則無法保證用戶依然能夠獲得相同的網絡訪問權限。
IP-SGT(IP address-Security Group Tag,IP地址-安全組)策略隨行通過將用戶角色與安全組綁定,解耦用戶與IP地址的關聯關係,完成相同用戶在不同隔離域的認證上線,從而實現了基於用戶角色的策略劃分,解決用戶跨隔離域的策略隨行問題。
圖1-1 IP-SGT策略隨行體係架構
如圖1-1,IP-SGT策略隨行體係架構中的主要設備角色:
· 統一數字底盤:統一數字底盤是指在物理服務器上安裝的數字管理平台,可以通過在統一數字底盤上部署控製器、EIA服務器等組件,完成用戶認證以及策略下發。
¡ 控製器:納管設備,創建安全組並配置組間策略。
¡ EIA服務器:完成用戶認證、授權和計費;選擇已被控製器納管的設備進行訂閱,向訂閱設備推送IP-SGT映射關係。
· DHCP服務器:負責為用戶分配IP地址,可以作為統一數字底盤組件出現。
· 認證點設備:負責對接入用戶進行認證。
· 執行點設備:EIA服務器的訂閱設備,接收EIA服務器推送的IP-SGT映射表項,控製用戶訪問權限。認證點設備和執行點設備可以是同一設備,也可以是不同設備。
· 終端:請求接入局域網的用戶設備,由局域網中的認證點設備對其進行認證。
· 在微分段特性中,安全組可理解為微分段。創建安全組時設置的標簽ID值即為下發設備的微分段ID。微分段的詳細介紹請參見“安全配置指導”的“微分段”
· 微分段實現用戶與安全組(微分段)關聯,以及與IP地址段解耦,使用相同的賬號/密碼在不同的隔離域認證上線,EIA服務器根據賬號/密碼授權同一個微分段ID,從而實現跨隔離域的網隨人動和策略隨行。
安全組是一種基於邏輯分組的安全隔離方案,管理員可以將某一區域內具有相同安全隔離需求的通信對象(個人終端、打印機或服務器等)劃分到一個安全組,然後為其部署組間策略,屬於同一安全組的用戶在任何位置接入時都可以得到相同的訪問權限。
IP-SGT策略隨行實現了基於安全組的跨隔離域,安全組的組間策略不再需要根據每個IP地址段配置策略,有效地減少了組間策略的配置矩陣規模。相對於傳統的接入控製方式(VLAN+ACL),基於安全組的網絡管理方案極大地減少了管理員的工作量。
除特殊說明外,本文中提及的認證點設備隻進行用戶認證,IP-SGT策略隨行功能僅在執行點設備上開啟。
以認證點和執行點非同一台設備為例,IP-SGT策略隨行工作機製如圖1-2所示。
圖1-2 IP-SGT工作機製示意圖
(1) 管理員在控製器上完成安全組和GBP(Group Based Policy,組策略)的定義,並將安全組和組策略信息同步給EIA服務器。組策略的詳細介紹請參見“安全配置指導”的“微分段”。
(2) 控製器在自動化部署階段將組策略信息下發給認證點和執行點設備。
(3) EIA服務器與執行點設備之間建立IP-SGT通道。
(4) 用戶發起認證。
(5) 認證成功後,EIA服務器根據用戶的登錄信息為用戶授權微分段ID,即將其加入特定的安全組。
(6) 認證成功後,客戶端從DHCP服務器上獲取到IP地址。
(7) 認證點設備將用戶IP地址上報給EIA服務器。
· 對於Portal認證用戶,由於其認證前已從DHCP服務器獲得IP地址,會在認證過程中上報IP地址。
· 對於802.1X、MAC地址認證及Web認證用戶,認證通過獲得IP地址後,通過計費報文上報IP地址。
(8) EIA服務器記錄並維護用戶IP地址與微分段ID的映射表項。
(9) EIA服務器將收集到的IP-SGT映射表項通過IP-SGT通道推送給執行點設備,執行點設備收到表項後上報給路由管理模塊,由路由管理模塊下發FIB轉發表,驅動根據FIB轉發表將IP-SGT映射表項通過硬件資源存儲起來。當用戶下線後,EIA服務器通知執行點設備刪除對應的IP-SGT映射表項。
(10) 客戶端發起業務流量。
(11) 執行點設備收到流量報文時,會識別報文的源或目的IP地址,並查詢FIB轉發表獲取到對應的微分段ID,然後執行相應的組策略來控製不同安全組間的網絡訪問權限。
本特性使用的EIA服務器和控製器必須為H3C的iMC EIA服務器和SeerEngine-Campus控製器,使用的DHCP服務器必須是支持緊耦合的vDHCP服務器或微軟DHCP服務器。
IP-SGT策略隨行配置任務如下:
(1) 開啟IP-SGT策略隨行功能
(2) 開啟IP-SGT策略隨行告警功能
基礎組網配置、802.1X認證以及IP-SGT策略隨行功能可以由管理員通過控製器自動化部署直接將配置下發給設備,也可以在設備上手工配置。
控製器和EIA服務器上相關功能的詳細介紹請參見《AD-Campus配置指導》。
在配置IP-SGT策略隨行前,需要完成以下任務:
· 統一數字底盤屬於雲平台服務器,執行點設備必須與統一數字底盤建立雲平台連接才能相互通信,詳細介紹請參見“網絡管理和監控配置指導”的“雲平台連接”。
· 在認證點設備和EIA服務器上完成用戶認證上線所需的相關配置,本功能支持的認證方式包括:802.1X、MAC地址認證、Web認證和Portal認證,具體配置根據所選的認證方式請參見“安全配置指導”的相關模塊手冊。
開啟IP-SGT策略隨行功能後,設備將作為策略執行點設備接收EIA服務器推送的IP-SGT映射表項,並在收到流量報文時,識別報文的源或目的IP地址,然後通過查詢FIB轉發表獲取到對應的微分段ID,並執行對應的組策略。
system-view
(2) 開啟IP-SGT策略隨行功能。
ipsgt enable
缺省情況下,IP-SGT策略隨行功能處於關閉狀態。
開啟IP-SGT模塊的告警功能後,該模塊會生成告警信息,用於報告該模塊的重要事件(例如執行點設備與EIA服務器之間建立連接或者連接斷開)。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
(1) 進入係統視圖。
system-view
(2) 開啟IP-SGT策略隨行告警功能。
snmp-agent trap enable ipsgt
缺省情況下,IP-SGT策略隨行告警功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP-SGT的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除IP-SGT報文統計信息。
表1-1 IPSGT策略隨行顯示和維護
|
操作 |
命令 |
|
顯示IP-SGT策略隨行的運行狀態 |
display ipsgt state |
|
顯示IP-SGT策略隨行的報文統計信息 |
display ipsgt statistics |
|
顯示當前設備上的IP-SGT映射表項信息 |
display ipsgt map [ ip [ ipv4-address ] | ipv6 [ ipv6-address ] | microsegment microsegment-id ] [ vpn-instance vpn-instance-name ] |
|
清除IP-SGT策略隨行的報文統計信息 |
reset ipsgt statistics |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
