业务随行的应用场景与原理

业务随行的应用场景与原理
业务随行主要用于园区接入、远程接入和VPN接入场景。
园区接入
园区接入场景主要用于实现基于帐号、终端类型和接入方式的权限控制，与用户在何处登录无关，权限随行。
业务随行只支持敏捷设备，园区接入场景建议使用汇聚交换机作为认证控制点，管理员在Agile Controller-Campus配置的安全组和访问权限控制策略部署到汇聚交换机。

（1）管理员在Agile Controller-Campus上配置安全组、授权规则、访问权限控制策略和安全前域，并将访问权限控制策略和安全前域全网部署。部署访问权限控制策略时，策略使用的安全组一起部署。

• 规划五个安全组，员工组、外包组和BYOD组分别用于接收用PC登录的员工、用PC登录的外包和用移动终端登录的员工；邮件组和Internet组分别绑定邮件服务器IP地址和Internet地址作为资源。
• 授权规则定义用PC登录的员工、用PC登录的外包和用移动终端登录的员工分别映射到员工组、外包组和BYOD组。
• 访问权限控制策略定义安全组之间允许或者禁止访问。
• 安全前域是指用户认证前即可访问的资源，设备检测到用户访问安全前域时直接放行。

（2）用户发起认证，在Agile Controller-Campus上认证通过后，根据所配置的授权规则将指定安全组授权给用户，并将结果返回给汇聚交换机。根据汇聚交换机上的访问权限控制策略，用户所属安全组允许或者禁止访问目标资源。

同一汇聚交换机连接的用户之间终端互访可以直接通过授权给用户的安全组之间访问权限控制策略实现，但不同汇聚交换机之间的终端互访该如何实现呢？

默认情况下交换机只有从该设备认证上线的用户信息，且交换机不支持将IP地址发送到Agile Controller-Campus查询其所属安全组。

这种情况建议分别创建两个安全组，绑定“汇聚SW_1”和“汇聚SW_2”所连接的网段。

    安全组1：绑定IP地址10.10.20.0/24，代表汇聚SW_1所连接的网络资源。

    安全组2：绑定IP地址10.10.10.0/24，代表汇聚SW_2所连接的网络资源。

然后通过配置用户A所属安全组到资源（“安全组2”），用户B所属安全组到资源（“安全组1”）来实现不同汇聚交换机之间的终端互访。

远程接入

远程接入场景主要用于实现领导和普通员工同时接入时，领导享有更高的带宽和优先转发权，同时领导和普通员工远程接入时访问权限保持不变。

远程接入场景建议使用SVN作为认证控制点和带宽控制点；同时在园区与数据中心之间部署防火墙，保护数据中心的同时作为用户Qos策略的执行点，为领导提供高优先级转发权。

（1）管理员在Agile Controller-Campus上配置安全组、授权规则、用户Qos策略、访问权限控制策略、安全前域和内网网段。并将访问权限控制策略、安全前域和内网网段全网部署，用户Qos策略部署到防火墙。部署访问权限控制策略和用户Qos策略时，策略使用的安全组一起部署。

• 规划三个安全组，远程接入组和VIP组分别授权给普通员工和领导，邮件组绑定邮件服务器IP地址作为资源。
• 授权规则定义普通员工通过SVN接入时映射到远程接入组，领导无论采用何种方式接入均映射到VIP组。并且对两个安全组授权不同带宽。
• 用户Qos策略为VIP组指定转发优先级，并部署到出口防火墙。
• 访问权限控制策略决定属于某个安全组的用户访问权限不变，部署到SVN生效。
• 安全前域是指用户认证前即可访问的资源，设备检测到用户访问安全前域时直接放行。
• 内网网段用于反查安全组场景。反查是指设备在没有用户与安全组的关系时，将用户所使用的IP地址发送到Agile      Controller-Campus查询其对应的安全组。如果将所有未识别的IP地址发送到Agile      Controller-Campus查询，对效率和性能有一定影响。内网网段部署在设备本地作为反查的IP地址范围，设备首先在本地查询该IP地址是否在内网网段，如果在内网网段再发送到Agile      Controller-Campus查询安全组。

（2）用户发起认证，在Agile Controller-Campus上认证通过后，根据所配置的授权规则将指定安全组和带宽授权给用户，并将结果返回给SVN。

（3）用户访问邮件系统，当业务流到达SVN时，根据访问权限控制策略给予放行，且领导和普通员工不一样的带宽。

（4）当业务流到达防火墙时，防火墙中默认没有用户所属安全组信息，将源IP地址发送到Agile Controller-Campus查询IP地址所对应的用户以及安全组，并将查询结果返回给防火墙，防火墙根据查询结果判断用户是否属于VIP组，属于VIP组则给予高优先级转发权。

当设备上没有IP地址对应的安全组信息时，只有SVN和防火墙支持将IP地址发送到Agile Controller-Campus查询IP地址所对应的安全组。

VPN接入

VPN接入一般用于有多个分支机构的大型企业，只有接入层和汇聚层，汇聚层交换机作为认证控制点，是MPLS VPN网络中的PE设备。

如下图所示，企业在深圳和北京具有两个分支机构，每个分支机构中都分为绿区和黄区两个VPN网络，绿区允许用户使用固定终端和移动终端接入网络，黄区只允许用户使用固定终端接入网络。

VPN接入场景中，全网统一规划安全组，但需要在不同的VPN网络中配置不同的策略，同一用户在不同VPN网络中接入权限不同。此外，除在整个VPN网络中配置统一策略，还希望可以在某些特定设备上配置设备独有策略。

Agile Controller-Campus中通过全局策略和本地策略实现全网通用策略和部分设备特殊策略的部署。

全局策略：在全网设备或者指定设备组上配置和部署的策略，分别在全网设备和指定设备组内的设备中生效。在VPN接入场景中，分别在绿区和黄区设备组上配置、部署全局策略。

本地策略：本地策略是指在指定设备上配置和部署的策略，只在该设备生效。在设备继承了全局策略仍无法满足需求时配置。

策略匹配优先级

（1）源安全组到目的安全组访问权限控制策略。

在访问权限控制列表中，同一源安全组到不同目的安全组的策略，从上到下优先级依次降低。

    源安全组：用户的授权安全组或者Unknown组。

    当Agile Controller-Campus上未配置该用户到安全组的授权规则时，无法获取用户所属安全组信息，源安全组为Unknown组。

    目的安全组：所访问的目的IP地址所属安全组、Unknown组或者Any组。

    当无法获取目的IP地址所属安全组信息时，使用源安全组到Unknown组的访问权限控制策略；如果未配置源安全组到Unknown组的策略，则匹配源安全组到Any组的策略。

说明：

Unknown组：无法识别的IP地址。如从不同认证控制交换机接入的用户终端互访，无法获取从其他认证控制交换机上线的用户信息，目的安全组为Unknown组；防火墙或者SVN通过IP地址反查安全组时，无法查到IP地址所属安全组，也按Unknown组执行。

Any组：任意资源。一般作为源安全组到其他安全组的最低优先级策略。如定义源安全组A到目的安全组B、目的安全组C允许，到其他安全组禁止，则可通过配置源安全组A到B、C允许，到Any禁止来实现。

（2）交换机或者SVN默认访问权限控制策略。

如果Agile Controller-Campus中的访问权限控制策略均未匹配，则采用认证控制设备交换机或者SVN默认的策略。交换机默认允许所有访问，SVN默认禁止所有访问。

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html