登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

11-安全配置指导

目录

30-IP-SGT策略随行配置

本章节下载 30-IP-SGT策略随行配置  (395.73 KB)

30-IP-SGT策略随行配置

  录

1 IP-SGT策略随行

1.1 IP-SGT策略随行简介

1.1.1 概述

1.1.2 体系架构

1.1.3 安全组

1.1.4 工作机制

1.2 IP-SGT策略随行配置限制和指导

1.3 IP-SGT策略随行配置任务简介

1.4 IP-SGT策略随行配置准备

1.5 开启IP-SGT策略随行功能

1.6 配置IP-SGT按需地址网段

1.7 配置IP-SGT逃生功能

1.8 开启IP-SGT策略随行告警功能

1.9 IP-SGT策略随行显示和维护

1.10 IP-SGT策略随行典型配置举例

1.10.1 IP-SGT策略随行基本配置举例

 

1 IP-SGT策略随行

1.1  IP-SGT策略随行简介

1.1.1  概述

传统网络中,只有接入认证设备能接收并执行EIA服务器下发的访问策略来限制在本设备上线用户的访问权限,其它位置的设备无法接收和执行EIA服务器下发的访问策略。同时,传统网络一般是基于地理位置(比如VLAN或IP网段等)做权限划分,如果用户移动后IP地址发生变化,则无法保证用户依然能够获得相同的网络访问权限。

IP-SGT(IP address-Security Group Tag,IP地址-安全组)策略随行通过将用户角色与安全组绑定,解耦用户与IP地址的关联关系,完成相同用户在不同隔离域的认证上线,从而实现了基于用户角色的策略划分,解决用户跨隔离域的策略随行问题。

1.1.2  体系架构

图1-1 IP-SGT策略随行体系架构

 

图1-1IP-SGT策略随行体系架构中的主要设备角色:

·     统一数字底盘:统一数字底盘是指在物理服务器上安装的数字管理平台,可以通过在统一数字底盘上部署控制器、EIA服务器等组件,完成用户认证以及策略下发。

¡     控制器:纳管设备,创建安全组并配置组间策略。

¡     EIA服务器:完成用户认证、授权和计费;选择已被控制器纳管的设备进行订阅,向订阅设备推送IP-SGT映射关系。

·     DHCP服务器:负责为用户分配IP地址,可以作为统一数字底盘组件出现。

·     认证点设备:负责对接入用户进行认证。

·     执行点设备:EIA服务器的订阅设备,接收EIA服务器推送的IP-SGT映射表项,控制用户访问权限。认证点设备和执行点设备可以是同一设备,也可以是不同设备。

·     终端:请求接入局域网的用户设备,由局域网中的认证点设备对其进行认证。

1.1.3  安全组

说明

·     在微分段特性中,安全组可理解为微分段。创建安全组时设置的标签ID值即为下发设备的微分段ID。微分段的详细介绍请参见“安全配置指导”的“微分段”

·     微分段实现用户与安全组(微分段)关联,以及与IP地址段解耦,使用相同的账号/密码在不同的隔离域认证上线,EIA服务器根据帐号/密码授权同一个微分段ID,从而实现跨隔离域的网随人动和策略随行。

 

安全组是一种基于逻辑分组的安全隔离方案,我们可以将某一区域内具有相同安全隔离需求的通信对象(个人终端、打印机或服务器等)划分到一个安全组,然后为其部署组间策略,属于同一安全组的用户在任何位置接入时都可以得到相同的访问权限。

IP-SGT策略随行实现了基于安全组的跨隔离域,安全组的组间策略不再需要根据每个IP地址段配置策略,有效地减少了组间策略的配置矩阵规模。相对于传统的接入控制方式(VLAN+ACL),基于安全组的网络管理方案极大地减少了管理员的工作量。

1.1.4  工作机制

说明

除特殊说明外,本文中提及的认证点设备只进行用户认证,IP-SGT策略随行功能仅在执行点设备上开启。

 

以认证点和执行点非同一台设备为例,IP-SGT策略随行工作机制如图1-2所示

图1-2 IP-SGT工作机制示意图

 

(1)     管理员在控制器上完成安全组和GBP(Group Based Policy,组策略)的定义,并将安全组和组策略信息同步给EIA服务器。组策略的详细介绍请参见“安全配置指导”的“微分段”。

(2)     控制器在自动化部署阶段将组策略信息下发给认证点和执行点设备。

(3)     EIA服务器与执行点设备之间建立IP-SGT通道。

(4)     用户发起认证。

(5)     认证成功后,EIA服务器根据用户的登录信息为用户授权微分段ID,即将其加入特定的安全组。

(6)     认证成功后,客户端从DHCP服务器上获取到IP地址。

(7)     认证点设备将用户IP地址上报给EIA服务器。

注意

·     对于Portal认证用户,由于其认证前已从DHCP服务器获得IP地址,会在认证过程中上报IP地址。

·     对于802.1X、MAC地址认证及Web认证用户,认证通过获得IP地址后,通过计费报文上报IP地址。

(8)     EIA服务器记录并维护用户IP地址与微分段ID的映射表项。

(9)     EIA服务器将收集到的IP-SGT映射表项通过IP-SGT通道推送给执行点设备,执行点设备收到表项后上报给路由管理模块,由路由管理模块下发FIB转发表,驱动根据FIB转发表将IP-SGT映射表项通过硬件资源存储起来。当用户下线后,EIA服务器通知执行点设备删除对应的IP-SGT映射表项。

(10)     客户端发起业务流量。

(11)     执行点设备收到流量报文时,会识别报文的源或目的IP地址,并查询FIB转发表获取到对应的微分段ID,然后执行相应的组策略来控制不同安全组间的网络访问权限。

1.2  IP-SGT策略随行配置限制和指导

本特性使用的EIA服务器和控制器必须为我司的iMC EIA服务器和SeerEngine-Campus控制器,使用的DHCP服务器必须是支持紧耦合的vDHCP服务器或微软DHCP服务器。

1.3  IP-SGT策略随行配置任务简介

IP-SGT策略随行配置任务如下:

(1)     开启IP-SGT策略随行功能

(2)     (可选)配置IP-SGT按需地址网段

(3)     (可选)配置IP-SGT逃生功能

(4)     开启IP-SGT策略随行告警功能