25-IP-SGT策略随行配置
本章节下载: 25-IP-SGT策略随行配置 (326.42 KB)
目 录
传统网络中,只有接入认证设备能接收并执行EIA服务器下发的访问策略来限制在本设备上线用户的访问权限,其它位置的设备无法接收和执行EIA服务器下发的访问策略。同时,传统网络一般是基于地理位置(比如VLAN或IP网段等)做权限划分,如果用户移动后IP地址发生变化,则无法保证用户依然能够获得相同的网络访问权限。
IP-SGT(IP address-Security Group Tag,IP地址-安全组)策略随行通过将用户角色与安全组绑定,解耦用户与IP地址的关联关系,完成相同用户在不同隔离域的认证上线,从而实现了基于用户角色的策略划分,解决用户跨隔离域的策略随行问题。
图1-1 IP-SGT策略随行体系架构
如图1-1,IP-SGT策略随行体系架构中的主要设备角色:
· 统一数字底盘:统一数字底盘是指在物理服务器上安装的数字管理平台,可以通过在统一数字底盘上部署控制器、EIA服务器等组件,完成用户认证以及策略下发。
¡ 控制器:纳管设备,创建安全组并配置组间策略。
¡ EIA服务器:完成用户认证、授权和计费;选择已被控制器纳管的设备进行订阅,向订阅设备推送IP-SGT映射关系。
· DHCP服务器:负责为用户分配IP地址,可以作为统一数字底盘组件出现。
· 认证点设备:负责对接入用户进行认证。
· 执行点设备:EIA服务器的订阅设备,接收EIA服务器推送的IP-SGT映射表项,控制用户访问权限。认证点设备和执行点设备可以是同一设备,也可以是不同设备。
· 终端:请求接入局域网的用户设备,由局域网中的认证点设备对其进行认证。
· 在微分段特性中,安全组可理解为微分段。创建安全组时设置的标签ID值即为下发设备的微分段ID。微分段的详细介绍请参见“安全配置指导”的“微分段”
· 微分段实现用户与安全组(微分段)关联,以及与IP地址段解耦,使用相同的账号/密码在不同的隔离域认证上线,EIA服务器根据账号/密码授权同一个微分段ID,从而实现跨隔离域的网随人动和策略随行。
安全组是一种基于逻辑分组的安全隔离方案,管理员可以将某一区域内具有相同安全隔离需求的通信对象(个人终端、打印机或服务器等)划分到一个安全组,然后为其部署组间策略,属于同一安全组的用户在任何位置接入时都可以得到相同的访问权限。
IP-SGT策略随行实现了基于安全组的跨隔离域,安全组的组间策略不再需要根据每个IP地址段配置策略,有效地减少了组间策略的配置矩阵规模。相对于传统的接入控制方式(VLAN+ACL),基于安全组的网络管理方案极大地减少了管理员的工作量。
除特殊说明外,本文中提及的认证点设备只进行用户认证,IP-SGT策略随行功能仅在执行点设备上开启。
以认证点和执行点非同一台设备为例,IP-SGT策略随行工作机制如图1-2所示。
图1-2 IP-SGT工作机制示意图
(1) 管理员在控制器上完成安全组和GBP(Group Based Policy,组策略)的定义,并将安全组和组策略信息同步给EIA服务器。组策略的详细介绍请参见“安全配置指导”的“微分段”。
(2) 控制器在自动化部署阶段将组策略信息下发给认证点和执行点设备。
(3) EIA服务器与执行点设备之间建立IP-SGT通道。
(4) 用户发起认证。
(5) 认证成功后,EIA服务器根据用户的登录信息为用户授权微分段ID,即将其加入特定的安全组。
(6) 认证成功后,客户端从DHCP服务器上获取到IP地址。
(7) 认证点设备将用户IP地址上报给EIA服务器。
· 对于Portal认证用户,由于其认证前已从DHCP服务器获得IP地址,会在认证过程中上报IP地址。
· 对于802.1X、MAC地址认证及Web认证用户,认证通过获得IP地址后,通过计费报文上报IP地址。
(8) EIA服务器记录并维护用户IP地址与微分段ID的映射表项。
(9) EIA服务器将收集到的IP-SGT映射表项通过IP-SGT通道推送给执行点设备,执行点设备收到表项后上报给路由管理模块,由路由管理模块下发FIB转发表,驱动根据FIB转发表将IP-SGT映射表项通过硬件资源存储起来。当用户下线后,EIA服务器通知执行点设备删除对应的IP-SGT映射表项。
(10) 客户端发起业务流量。
(11) 执行点设备收到流量报文时,会识别报文的源或目的IP地址,并查询FIB转发表获取到对应的微分段ID,然后执行相应的组策略来控制不同安全组间的网络访问权限。
本特性使用的EIA服务器和控制器必须为H3C的iMC EIA服务器和SeerEngine-Campus控制器,使用的DHCP服务器必须是支持紧耦合的vDHCP服务器或微软DHCP服务器。
IP-SGT策略随行配置任务如下:
(1) 开启IP-SGT策略随行功能
(2) 开启IP-SGT策略随行告警功能
基础组网配置、802.1X认证以及IP-SGT策略随行功能可以由管理员通过控制器自动化部署直接将配置下发给设备,也可以在设备上手工配置。
控制器和EIA服务器上相关功能的详细介绍请参见《AD-Campus配置指导》。
在配置IP-SGT策略随行前,需要完成以下任务:
· 统一数字底盘属于云平台服务器,执行点设备必须与统一数字底盘建立云平台连接才能相互通信,详细介绍请参见“网络管理和监控配置指导”的“云平台连接”。
· 在认证点设备和EIA服务器上完成用户认证上线所需的相关配置,本功能支持的认证方式包括:802.1X、MAC地址认证、Web认证和Portal认证,具体配置根据所选的认证方式请参见“安全配置指导”的相关模块手册。
开启IP-SGT策略随行功能后,设备将作为策略执行点设备接收EIA服务器推送的IP-SGT映射表项,并在收到流量报文时,识别报文的源或目的IP地址,然后通过查询FIB转发表获取到对应的微分段ID,并执行对应的组策略。
system-view
(2) 开启IP-SGT策略随行功能。
ipsgt enable
缺省情况下,IP-SGT策略随行功能处于关闭状态。
开启IP-SGT模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件(例如执行点设备与EIA服务器之间建立连接或者连接断开)。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
(1) 进入系统视图。
system-view
(2) 开启IP-SGT策略随行告警功能。
snmp-agent trap enable ipsgt
缺省情况下,IP-SGT策略随行告警功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP-SGT的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IP-SGT报文统计信息。
表1-1 IPSGT策略随行显示和维护
操作 |
命令 |
显示IP-SGT策略随行的运行状态 |
display ipsgt state |
显示IP-SGT策略随行的报文统计信息 |
display ipsgt statistics |
显示当前设备上的IP-SGT映射表项信息 |
display ipsgt map [ ip [ ipv4-address ] | ipv6 [ ipv6-address ] | microsegment microsegment-id ] [ vpn-instance vpn-instance-name ] |
清除IP-SGT策略随行的报文统计信息 |
reset ipsgt statistics |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!