写点什么

业务随行:用户的网络访问策略还能这么玩

发布于: 2021 年 04 月 02 日

​​​​​​​​摘要: 业务随行是一种不管用户身处何地、使用哪个 IP 地址,都可以保证该用户获得相同的网络访问策略的解决方案。


本文分享自华为云社区《数通Datacom认证新知识点:业务随行》,原文作者:迷图小书童 。

1、功能特性概述


所谓业务随行,顾名思义,指的是在园区中,无论某个人员如何在网络中移动,从什么地方接入,又换到了什么地方、IP 地址是否有变化,它的权限都是一致的,也就是权限跟着人走。所谓权限,简单地说,指的是用户是否被允许访问某个/某些特定资源,或者其他用户组。


业务随行方案本质上是一种 IP 地址与策略解耦的方案。换句话说,即用户无论在接入网络时使用什么 IP 地址、在何处接入,他所获得的权限都是一致的。


业务随行方案将一个网络中的用户根据实际需求划分成组,例如教育园区中的老师组与学生组等。网络管理员为用户分配账号,并且根据具体的规则将账号绑定到组。当用户接入网络时,网络设备会对用户进行身份认证,并且根据认证结果将用户绑定到相应的组。与此同时,网络设备上会维护网络管理员预先下发的组间通信矩阵(策略控制矩阵)。这样一来,当已认证用户的流量到达该网络设备时,设备即可通过流量的源、目的来匹配源、目的组,并在通信矩阵中进行查询,从而判断流量是否合法。



2、业务随行中的基本概念


1、安全组



安全组是指网络中通信对象的集合。用户可根据实际需求,在 iMaster NCE 上创建安全组。例如在办公园区网络中,用户可以根据需要设置市场用户安全组、研发用户安全组、销售用户安全组等等。这些安全组都是基于自然语义定义的,非常直观。


安全组既可以根据 5W1H 条件授权给用户,符合 5W1H 条件的用户授权到指定安全组(动态安全组),也可以通过静态绑定 IP 地址的方式定义安全组(静态安全组)。



上图展示的是在 iMaster NCE 上创建一个动态安全组。以下是创建一个静态安全组:



静态安全组定义完后,与动态安全组一样都会出现在通信矩阵中,可以作为源或目的安全组。


2、资源组


对于静态的服务器资源,可以通过在安全组中绑定 IP 地址段的方式进行表达,安全组和 IP 地址的静态绑定关系最终会通过 netconf 协议下发到设备上。但是对于 IP 地址集有重合的服务资源,无法通过安全组进行区分。资源组可以解决这个问题,资源组之间允许 IP 地址允许重复,资源组可以作为组间策略的目的地址。


在 iMaster NCE 上创建资源组的页面如下:



资源组只在通信矩阵中作为目的安全组,不作为源安全组。使用资源组的缺点在于,在执行点设备上会根据每个 IP 地址生成一条策略,而不是一个资源组生成一条策略,导致策略数过多。


3、策略控制


安全组定义完成之后,管理员就可以基于组来定义全网的组间策略。策略矩阵用于承载组间策略的配置。组间权限策略主要控制组到组之间的访问权限。



4、认证点、策略执行点与 iMaster NCE



  • 认证点:负责对终端进行身份认证,并通过认证过程从 iMaster NCE 获得终端的授权结果,如终端所属的安全组等。若网络中部署了策略联动,则认证点指的是认证控制点。

  • iMaster NCE:充当认证服务器,同时也是业务随行的策略控制中心,维护全网的安全组之间的通信矩阵。



  • 策略执行点:先从 iMaster NCE 获得安全组间通信矩阵,在收到流量后,根据流量的源、目的 IP 地址对应的源、目的安全组执行策略,如果策略允许该流量,则进行转发,否则进行丢弃。

3、实施步骤概述



4、工作机制概述


1、创建用户及安全组



1)网络管理员在 iMaster NCE 中定义安全组。


网络管理员可以选择创建动态安全组或静态安全组。动态安全组用于当网络设备对用户进行认证时,通过控制器配置的授权规则动态地将用户绑定到相应的安全组。而静态安全组则由管理员手工绑定 IP 地址或地址段。


例如在上图所示的例子中,我们创建了 Group1、Group2 及 Server 安全组。其中 Group1 及 Group2 是动态安全组。而 Server 是静态安全组,可以由管理员定义静态关系映射,例如将 10.1.1.1 这台服务器的 IP 地址映射到 Server 组。在实际应用中,Group1 及 Group2 组名可以结合实际情况定义,例如教育园区中,可以定义 Teacher 和 Student 组。


2)网络管理员在 iMaster NCE 中创建用户账号,并配置授权规则(根据 5W1H 条件),将用户绑定到对应的用户组。


2、定义并部署组间策略


1)网络管理员在 iMaster NCE 中定义组间策略,也即组间通信矩阵。例如允许 Group1 及 Group2 访问 Server,禁止 Group1 访问 Group2 等。



2)部署策略:策略执行点网络设备与 iMaster NCE 实现对接。iMaster NCE 自动将安全组、组间策略下发至该网络设备。


iMaster NCE 会将组 Group1、2 及 Server(的名字及组 ID),以及以上所定义的组间策略下发到网络设备上。这个动作为后续的系统自动运行做好准备工作。下图中的策略执行点,指的是执行策略(权限策略)的网络设备。



3、系统自动运行


  • 认证:用户尝试接入网络,iMaster NCE 校验身份凭证。

  • 授权:iMaster NCE 根据 5W1H 条件,匹配授权策略,授权用户所属安全组,执行点设备将用户所用的 IP 地址动态添加到指定组中。控制器会统一维护所有在线用户的信息(用户名、IP 地址等)与用户组的映射关系。

  • 执行:网络设备根据本地及 iMaster NCE 中保存的 IP 地址与组的对应关系,识别报文的源目的组信息,进而匹配和执行组策略。


具体示例如下:


  • 用户接入(以 User1 为例),交换机 Core 作为认证点设备,对用户发起认证,它负责与 iMaster NCE 交互用户认证信息。

  • iMaster NCE 判断该用户的登录条件,将该用户与对应授权结果中绑定的安全组(Group1)进行关联。

  • 用户认证通过,iMaster NCE 通知认证点 Core 该用户所属安全组。

  • 认证点 Core 上报用户当前使用的真实 IP 地址 168.1.1。



  • iMaster NCE 将 IP 地址与组 Group1 关联,并记录到在线用户信息表中。

  • User2 同理。此时,认证点设备 Core 已经维护了关于 User1 及 User2 的在线用户表项,包括这两个用户的 IP 地址、MAC 地址以及所属的安全组等。

  • 此时 User1 向 User2 发送数据,Core 收到用户的业务报文,识别报文的源组和目的组,执行组间策略。在本例中,User1 发往 User2 的流量将被 Core 丢弃。



点击关注,第一时间了解华为云新鲜技术~


发布于: 2021 年 04 月 02 日阅读数: 24
用户头像

提供全面深入的云计算技术干货 2020.07.14 加入

华为云开发者社区,提供全面深入的云计算前景分析、丰富的技术干货、程序样例,分享华为云前沿资讯动态,方便开发者快速成长与发展,欢迎提问、互动,多方位了解云计算! 传送门:https://bbs.huaweicloud.com/

评论

发布
暂无评论
业务随行:用户的网络访问策略还能这么玩