30-IP-SGT策略随行配置
本章节下载: 30-IP-SGT策略随行配置 (395.68 KB)
目 录
传统网络中,只有接入认证设备能接收并执行EIA服务器下发的访问策略来限制在本设备上线用户的访问权限,其它位置的设备无法接收和执行EIA服务器下发的访问策略。同时,传统网络一般是基于地理位置(比如VLAN或IP网段等)做权限划分,如果用户移动后IP地址发生变化,则无法保证用户依然能够获得相同的网络访问权限。
IP-SGT(IP address-Security Group Tag,IP地址-安全组)策略随行通过将用户角色与安全组绑定,解耦用户与IP地址的关联关系,完成相同用户在不同隔离域的认证上线,从而实现了基于用户角色的策略划分,解决用户跨隔离域的策略随行问题。
图1-1 IP-SGT策略随行体系架构
如图1-1,IP-SGT策略随行体系架构中的主要设备角色:
· 统一数字底盘:统一数字底盘是指在物理服务器上安装的数字管理平台,可以通过在统一数字底盘上部署控制器、EIA服务器等组件,完成用户认证以及策略下发。
¡ 控制器:纳管设备,创建安全组并配置组间策略。
¡ EIA服务器:完成用户认证、授权和计费;选择已被控制器纳管的设备进行订阅,向订阅设备推送IP-SGT映射关系。
· DHCP服务器:负责为用户分配IP地址,可以作为统一数字底盘组件出现。
· 认证点设备:负责对接入用户进行认证。
· 执行点设备:EIA服务器的订阅设备,接收EIA服务器推送的IP-SGT映射表项,控制用户访问权限。认证点设备和执行点设备可以是同一设备,也可以是不同设备。
· 终端:请求接入局域网的用户设备,由局域网中的认证点设备对其进行认证。
· 在微分段特性中,安全组可理解为微分段。创建安全组时设置的标签ID值即为下发设备的微分段ID。微分段的详细介绍请参见“安全配置指导”的“微分段”
· 微分段实现用户与安全组(微分段)关联,以及与IP地址段解耦,使用相同的用户名/密码在不同的隔离域认证上线,EIA服务器根据帐号/密码授权同一个微分段ID,从而实现跨隔离域的网随人动和策略随行。
安全组是一种基于逻辑分组的安全隔离方案,我们可以将某一区域内具有相同安全隔离需求的通信对象(个人终端、打印机或服务器等)划分到一个安全组,然后为其部署组间策略,属于同一安全组的用户在任何位置接入时都可以得到相同的访问权限。
IP-SGT策略随行实现了基于安全组的跨隔离域,安全组的组间策略不再需要根据每个IP地址段配置策略,有效地减少了组间策略的配置矩阵规模。相对于传统的接入控制方式(VLAN+ACL),基于安全组的网络管理方案极大地减少了管理员的工作量。
除特殊说明外,本文中提及的认证点设备只进行用户认证,IP-SGT策略随行功能仅在执行点设备上开启。
以认证点和执行点非同一台设备为例,IP-SGT策略随行工作机制如图1-2所示。
图1-2 IP-SGT工作机制示意图
(1) 管理员在控制器上完成安全组和GBP(Group Based Policy,组策略)的定义,并将安全组和组策略信息同步给EIA服务器。组策略的详细介绍请参见“安全配置指导”的“微分段”。
(2) 控制器在自动化部署阶段将组策略信息下发给认证点和执行点设备。
(3) EIA服务器与执行点设备之间建立IP-SGT通道。
(4) 用户发起认证。
(5) 认证成功后,EIA服务器根据用户的登录信息为用户授权微分段ID,即将其加入特定的安全组。
(6) 认证成功后,客户端从DHCP服务器上获取到IP地址。
(7) 认证点设备将用户IP地址上报给EIA服务器。
· 对于Portal认证用户,由于其认证前已从DHCP服务器获得IP地址,会在认证过程中上报IP地址。
· 对于802.1X、MAC地址认证及Web认证用户,认证通过获得IP地址后,通过计费报文上报IP地址。
(8) EIA服务器记录并维护用户IP地址与微分段ID的映射表项。
(9) EIA服务器将收集到的IP-SGT映射表项通过IP-SGT通道推送给执行点设备,执行点设备收到表项后上报给路由管理模块,由路由管理模块下发FIB转发表,驱动根据FIB转发表将IP-SGT映射表项通过硬件资源存储起来。当用户下线后,EIA服务器通知执行点设备删除对应的IP-SGT映射表项。
(10) 客户端发起业务流量。
(11) 执行点设备收到流量报文时,会识别报文的源或目的IP地址,并查询FIB转发表获取到对应的微分段ID,然后执行相应的组策略来控制不同安全组间的网络访问权限。
本特性使用的EIA服务器和控制器必须为H3C的iMC EIA服务器和SeerEngine-Campus控制器,使用的DHCP服务器必须是支持紧耦合的vDHCP服务器或微软DHCP服务器。
IP-SGT策略随行配置任务如下:
(1) 开启IP-SGT策略随行功能
(2) (可选)配置IP-SGT按需地址网段
(3) (可选)配置IP-SGT逃生功能
(4) 开启IP-SGT策略随行告警功能
基础组网配置、802.1X认证以及IP-SGT策略随行功能可以由管理员通过控制器自动化部署直接将配置下发给设备,也可以在设备上手工配置。
控制器和EIA服务器上相关功能的详细介绍请参见《AD-Campus配置指导》。
· 统一数字底盘属于云平台服务器,执行点设备必须与统一数字底盘建立云平台连接才能相互通信,详细介绍请参见“网络管理和监控配置指导”的“云平台连接”。
· 在认证点设备和EIA服务器上完成用户认证上线所需的相关配置,本功能支持的认证方式包括:802.1X、MAC地址认证、Web认证和Portal认证,具体配置根据所选的认证方式请参见“安全配置指导”的相关模块手册。
开启IP-SGT策略随行功能后,设备将作为策略执行点设备接收EIA服务器推送的IP-SGT映射表项,并在收到流量报文时,识别报文的源或目的IP地址,然后通过查询FIB转发表获取到对应的微分段ID,并执行对应的组策略。
表1-1 开启IP-SGT策略随行功能
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启IP-SGT策略随行功能 |
ipsgt enable |
缺省情况下,IP-SGT策略随行功能处于关闭状态 |
缺省情况下,EIA服务器推送的所有IP-SGT映射表项会在设备上通过硬件资源存储起来,当接收到来自对应IP地址的报文时可以直接通过查询FIB转发表匹配微分段ID并执行相应的组策略,转发效率高。但如果设备处于报文交互较少的链路(比如东西向流量),将推送的所有IP-SGT映射表项都存储起来会浪费大量硬件资源。
因此,用户可以通过本功能指定按需地址网段,设备硬件不会立即存储该网段的IP-SGT映射表项,只有当流量报文中用户的IP地址属于该网段时,设备才会存储其对应的IP-SGT映射表项,后续相同流量过来就可以直接匹配微分段规则,从而节省了硬件资源。
表1-2 配置IP-SGT按需地址网段
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IP-SGT按需地址网段 |
ipsgt on-demand { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ] |
缺省情况下,未配置IP-SGT按需地址网段 |
在认证点和执行点设备分离场景中,当认证点设备无法与EIA服务器通信时,若开启了用户认证逃生功能(Critical微分段等),用户仍可以访问部分资源。但由于EIA服务器无法授权微分段,因此即使执行点设备与EIA服务器间的IP-SGT订阅通道正常,EIA服务器也不会向执行点设备下发逃生用户的IP-SGT映射表项。
当逃生用户流量命中按需地址网段时,由于执行点设备驱动未存储该用户的IP-SGT映射表项,因此无法通过匹配表项来快速完成硬件转发,反而需要将流量上送CPU通过软件完成转发。当逃生用户流量过大时,容易对CPU造成冲击。
在执行点设备通过静态配置(微分段视图下执行member命令)将用户加入指定微分段后,IP-SGT模块将自动生成用户的IP-SGT映射表项,并上报给路由管理模块,由路由管理模块下发FIB转发表,驱动根据FIB转发表将IP-SGT映射表项通过硬件资源存储起来,后续相同流量过来就可以直接在设备上匹配微分段规则通过硬件完成转发,从而避免大量流量上送CPU。member命令的详细介绍,请参见“安全命令参考”中的“微分段”。
但当执行点设备存储的逃生用户表项数过大时,容易消耗大量硬件资源,影响用户其它正常业务处理,此时可以通过ipsgt max-critical-map命令限制可存储的IP-SGT逃生用户映射表项数的最大值。
当认证模块的逃生功能和IP-SGT逃生功能同时开启时:
· 在认证点和执行点设备分离场景中,IP-SGT逃生功能优先生效。
· 在认证点和执行点设备合一场景中,认证模块的Critical微分段逃生功能优先生效;当认证模块配置的逃生功能为Critical VLAN或Critical VSI时,IP-SGT逃生功能优先生效。
表1-3 配置IP-SGT逃生功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建微分段,并进入微分段视图 |
microsegment microsegment-id [ name microsegment-name ] |
缺省情况下,不存在微分段 |
向微分段中添加成员 |
member ipv4 ipv4-address { mask | mask-length } [ vpn-instance vpn-instance-name ] member ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ] |
缺省情况下,微分段中不存在成员 |
配置设备可存储的IP-SGT逃生映射表项的最大数目 |
ipsgt max-critical-map max-number |
缺省情况下,未配置设备可存储的IP-SGT逃生映射表项的最大数目 |
开启IP-SGT模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件(例如执行点设备与EIA服务器之间建立连接或者连接断开)。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
表1-4 配置IP-SGT策略随行告警功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启IP-SGT策略随行告警功能 |
snmp-agent trap enable ipsgt |
缺省情况下,IP-SGT策略随行告警功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP-SGT的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IP-SGT报文统计信息。
表1-5 IPSGT策略随行显示和维护
操作 |
命令 |
显示IP-SGT策略随行的运行状态 |
display ipsgt state |
显示IP-SGT策略随行的报文统计信息 |
display ipsgt statistics |
显示设备上配置的IP-SGT按需地址网段信息 |
display ipsgt on-demand [ ip [ ipv4-address { mask-length | mask } ] | ipv6 [ ipv6-address prefix-length ] ] [ vpn-instance vpn-instance-name ] |
显示当前设备上的IP-SGT映射表项信息 |
display ipsgt map [ ip [ ipv4-address ] | ipv6 [ ipv6-address ] | microsegment microsegment-id ] [ vpn-instance vpn-instance-name ] |
清除IP-SGT策略随行的报文统计信息 |
reset ipsgt statistics |
(1) 组网由接入层(Access)、汇聚层(Leaf)和核心层(Spine)组成。汇聚层与核心层之间采用VXLAN组网,汇聚层与接入层之间采用VLAN组网,通过Overlay技术实现大二层,同时采用分布式网关达到终端IP地址与位置解耦。
(2) 接入设备作为认证点设备,完成用户认证;Spine和Leaf设备作为执行点设备,接收从EIA服务器推送的IP-SGT映射信息,并执行相应的组策略。
(3) 客户端采用有线方式接入,通过802.1X完成用户认证。
(4) 将Host C和Host D所在网段192.168.1.0/24设置为IP-SGT按需地址网段。
图1-3 IP-SGT策略随行基本组网图
IP-SGT策略随行功能以及按需网段可以由管理员从EIA服务器上直接下发给执行点设备,也可以在执行点设备上手工配置,两种方式下配置的按需网段可以同时生效。
(1) 在控制器及EIA服务器上完成基本组网以及设备纳管等配置,详细步骤请参见《AD-Campus配置指导》。
(2) 配置认证点设备Device A、Device B。
802.1X认证功能的相关配置请参考“安全配置指导”中的“802.1X”。
(3) 在执行点设备上手工配置IP-SGT策略随行功能,以Device C为例。
# 指定统一数字底盘北向接口地址,与统一数字底盘建立云平台连接。
<DeviceC> system-view
[DeviceC] cloud-management server domain 10.1.1.1
# 开启IP-SGT策略随行功能。
[DeviceC] ipsgt enable
# 配置IP-SGT按需地址网段192.168.1.0/24。
[DeviceC] ipsgt on-demand ip 192.168.1.0 24
(1) 执行display cloud-management state命令查看云平台连接的状态,确认设备与云平台服务器已经建立云连接并进入Established状态,详细介绍请参见“网络管理和监控配置指导”的“云平台连接”。
# 查看当前云平台连接的状态。
<DeviceC> display cloud-management state
Cloud connection state : Established
Device state : Request_success
Cloud server address : 10.1.1.1
Cloud server domain name : 10.1.1.1
Cloud server port : 443
Connected at : Mon Jan 24 07:47:24 2022
Duration : 00d 03h 38m 17s
Process state : Message received
Failure reason : N/A
(2) 执行display ipsgt state命令查看当前IP-SGT策略随行功能的运行状态。
# 查看当前IP-SGT策略随行功能的运行状态。
<DeviceC> display ipsgt state
Global IP-SGT parameters:
IP-SGT: Enabled
Connection status with:
EIA server: Connected
IPv4 routing management: Connected
IPv6 routing management: Connected
IP-SGT URL:
http://10.1.1.1/ipsgtmgr/vim active
IP-SGT URL:
http://10.1.1.1/ipsgtmgr/vim active
(3) 执行display ipsgt map命令查看当前用户IP地址和微分段ID的映射关系。
# 显示用户IP地址和微分段ID的映射关系。
<DeviceC> display ipsgt map
Total IPv4 IP-SGT entries: 1
Microsegment ID:1
IPv4 address Vpn instance
192.168.2.1 N/A
Total IPv6 IP-SGT entries: 0
设备将根据微分段ID对应的组策略对用户业务流量进行控制。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!