业务随行的基本概念【业务随行连载02】

书接上文，在上文中聊到了传统园区中关于移动办公的解决方案以及和业务随行之间的区别进行了总结，今天一起学习一下华为智简园区及业务随行的基本概念。

认证与策略执行

• 认证点：负责对终端进行身份认证，并通过认证过程从iMaster NCE-Campus获得终端的授权结果，如终端所属的安全组等。
• 策略执行点：先从iMaster NCE-Campus获得安全组间策略控制矩阵，在收到流量后，根据流量的源、目的IP地址对应的源、目的安全组执行策略，如果策略允许该流量，则进行转发，否则进行丢弃。
• iMaster NCE-Campus：充当认证服务器，同时也是业务随行的策略控制中心，维护全网的安全组之间的策略控制矩阵。
• 执行点设备负责执行基于安全组的业务策略。执行业务策略的前提条件是执行点设备可以识别报文的源组/目的组信息，而IP地址与安全组的映射关系可以通过认证或由iMaster NCE-Campus推送方式获取。
• 认证点设备和策略执行点设备是两种设备角色。根据管理员的配置和设备的能力，同一台物理设备既可以同时担任这两种角色，也可以只担任其中的一种角色。

安全组

安全组是对“网络中进行通信的对象”进行抽象化、逻辑化而得到的一个集合。

管理员通过定义安全组，可以将网络中流量的源端或目的端通过组的形式描述和组织起来。管理员要想控制它们之间的互访，就需要先把它们在控制器上定义出来。

网络对象因为其在网络访问上的“共通性”而被网络管理员划分为同一个安全组，基于安全组配置的策略而获得相同的权限。例如“研发组”（个人主机的集合）、“打印机组”（全网所有打印机的集合）、“数据库服务器组”（服务器IP+端口的集合）。相对于为每个用户部署网络访问策略，基于安全组的网络控制方案能够极大的减少管理员的工作量。

安全组如何划分？

安全组里面的成员，可以是PC、手机等网络终端设备，既可通过管理员配置静态添加，也可通过认证动态添加。

• 静态安全组：通过静态绑定IP地址的方式定义安全组。
• 动态安全组：根据特定条件授权给用户，符合条件的用户授权到指定安全组。
• 动态授权加入的成员优先级高于静态绑定的成员，例如：静态的将IP1的用户绑定到安全组1，同时通过RADIUS授权该用户到安全组2，最终设备将会将该用户归入安全组2。

同一个安全组既可以与多条授权规则绑定来表示动态用户，也可以与多个IP地址或IP网段绑定来表示静态资源，它们的区别在于：

• 动态安全组的用户IP地址是不固定的，是在用户认证之后动态地与安全组关联，在用户注销后，也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。而网络设备需要通过作为用户的认证点设备，或者由控制器推送IP与安全组的映射关系，即IP-安全组（IP-Group）表项。
• 静态资源的IP地址是固定的，是由管理员通过配置绑定的，用户IP与安全组的映射关系由管理员在控制器上定义后同步给策略执行点。使用固定IP地址的终端可以配置为静态安全组，包括服务器，网络设备的接口，以及使用固定的IP地址免认证接入的特殊用户等所有可用IP地址描述的网络成员。

如果一个IP地址同时以认证方式和静态绑定方式分别加入了不同组，则以认证方式授权的动态组为优先。同一个IP地址，只能加入一个安全组中。

特殊的安全组

• unknown组（缺省）：未知用户，未通过动态方式也未通过静态方式加入任何安全组的用户或者资源均默认归于这个组。
• any组（缺省）：所有用户或资源，通常用来配置默认规则。any组只能做目的组，不支持配置为源组。
• 逃生安全组（指定）：当策略执行点设备与控制器之间的IP-Group通道故障时，对于未识别的流量，按照逃生组所配置的策略进行控制。只允许配置一个逃生组，且逃生组必须要配置静态成员。

动态安全组

• 动态加入用户的IP地址是不固定的，是在用户认证之后动态地与安全组关联，在用户注销后，也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。
• 网络设备若要获得这种映射关系，需要自己成为认证点设备或由iMaster NCE-Campus推送。

静态安全组

• 静态资源的IP地址是固定的，是由管理员通过配置绑定的。
• 在预部署阶段，iMaster NCE-Campus与网络设备间通过NETCONF协议部署控制策略时，安全组与这种IP地址的绑定关系就会同步给所有执行点设备。

UCL用户控制列表组

UCL（User Control List，用户控制列表）组

• UCL组是一种用户类别的标记。借助UCL组管理员可以将具有相同网络访问策略的一类用户划分为同一个组，然后为其部署一组网络访问策略，即能满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略，基于UCL组的网络控制方案能够极大的减少管理员的工作量。
• UCL组在iMaster NCE-Campus上被称为“安全组”。

UCL组的配置（交换机）

创建UCL组：

[Huawei] ucl-group group-index [ name group-name ]

配置静态UCL组：

[Huawei] ucl-group ip ip-address mask-length ip-mask group-index name group-name

资源组

安全组的不足

• 对于静态的服务器资源，可以通过在安全组中绑定IP地址段的方式呈现（静态安全组），安全组和IP地址的静态绑定关系最终会通过NETCONF协议下发到设备上。
• 但是对于使用相同IP地址的不同服务资源，无法通过静态安全组进行区分。

面对安全组的问题，通过资源组进行解决

• 对于哑终端、数据中心服务器资源、免认证用户，这些用户或资源接入网络的时候不需要经过认证，所以无法通过AAA授权，这种情况可以通过在资源组里绑定静态IP地址的方式指定成员。
• 注意：使用资源组时，在策略执行点设备上会根据每个IP地址生成一条策略，而不是一个资源组生成一条策略，可能会导致策略数过多。
• 资源组：
  • 资源组之间允许IP地址重复；
  • 在配置策略控制矩阵时，资源组只能作为策略的目的组（不支持作为源组）；策略下发的时候，针对交换机设备，需要分解成对应的IP地址下发，而不是使用安全组（UCL组）模型。

策略控制矩阵

安全组定义完成之后，管理员就可以基于组来定义全网的组间策略。策略控制矩阵是用于承载组间策略的配置，组间策略主要控制组到组之间的访问权限。

• 当一个源安全组存在到多个目的组的策略时，需要通过优先级区分对不同策略的匹配顺序，比如目的组为资源组的时候，由于目的地址可能存在重复，所以需要通过手动调整策略的优先级实现对某策略的优先匹配。

• 对于未知用户的处理：
  • 在策略执行过程中，如果执行点设备没有查询到某IP地址对应的安全组，则执行点设备会认为该IP地址属于一个默认存在的安全组unknown组，并以此组来匹配安全组策略（缺省策略为permit）。
  • 安全组在策略控制矩阵中的匹配顺序（以销售组访问服务器组的流量为例）：
  • 首先精确匹配销售组到服务器组的策略。如果策略控制矩阵中没有配置这两个组间的动作，则继续向下匹配。
  • 再匹配销售组到any组的策略。如果策略控制矩阵中没有配置这两个组间的动作，则继续向下匹配。
  • 最后匹配any组到any组的策略。策略控制矩阵中缺省存在any组到any组的策略，且缺省动作为允许，即在没有任何策略匹配的情况下，缺省放行所有流量。