一文解读业务随行的工作原理【业务随行连载03】

连载第三篇继续，业务随行的基本概念，特别留了个技术点本章介绍。话不多说继续干；

IP-Group表项订阅

网络中，对于认证点设备和策略执行点设备不属于同一设备的场景，需要将认证用户的IP-Group（IP-安全组）信息表项推送到指定的策略执行点设备上。

这需要管理员在控制器上进行订阅配置，即配置哪些网段或者哪些安全组的表项需要推送到哪些策略执行点设备上。

IP-Group表项订阅步骤

用户在认证点设备通过RADIUS协议到认证服务器进行身份认证，认证服务器完成安全组授权，同时记录用户的IP-Group表项信息。

认证服务器通过HTTP2.0通道向IP-Group组件上报IP-Group表项。IP-Group组件将表项信息推送到订阅设备。

在策略执行点设备，IP-Group信息的来源有两种：

• 依赖终端用户接入认证时，认证点获取IP-Group信息：这种场景要求策略执行点与认证点设备合一。
• 依赖iMaster NCE-Campus通过HTTP2.0协议通道推送至策略执行点设备上，这就是提供IP-Group表项订阅能力的使用场景。

由于IP-Group表项订阅的前提是iMaster NCE-Campus上必须生成了IP-Group表项，并且该表项是在终端用户认证过程中产生的，因此IP-Group表项订阅有一些场景的限制，只支持下面两种场景：

• iMaster NCE-Campus做认证服务器：终端准入认证的RADIUS服务器直接采用iMaster NCE-Campus的RADIUS服务器能力，这样iMaster NCE-Campus才能在认证过程中生成IP-Group表项，并同步至业务随行的组件。
• iMaster NCE-Campus做RADIUS中继：终端准入认证的RADIUS服务器采用第三方的认证服务器，但要求iMaster NCE-Campus作为RADIUS中继，这样iMaster NCE-Campus就可以通过解析认证报文等方式获取终端授权报文中的安全组信息，从而生成IP-Group信息。

业务随行工作原理

• 创建用户及安全组。
  • 管理员在控制器中定义安全组。
  • 管理员在控制器中创建用户账号，并配置授权规则、授权结果，将用户授权到对应安全组。
• 定义并部署策略控制矩阵。
  • 管理员在控制器中指定策略执行点设备，并定义策略控制矩阵。
  • 控制器自动将组间策略下发至策略执行点设备。
• 用户启动认证。
  • 在认证过程中，iMaster NCE-Campus根据用户的登录条件，将其与安全组关联。认证成功后，iMaster NCE-Campus将该用户所属组作为授权结果下发给认证点。对于802.1X认证这种认证时终端尚未获取IP地址的场景，认证点会在用户认证成功获取IP地址之后，自动感知用户的真实IP地址，并将其上报给iMaster NCE-Campus。iMaster NCE-Campus收集所有上线用户的IP地址，并将所有用户信息同步给策略执行点设备。
  • 在认证点设备与策略执行点设备分离的场景，由于后续策略匹配时设备需要有终端IP地址与安全组的映射关系，以便在策略执行时，基于流量识别相关的源/目的安全组，因此需要用户操作订阅所需要的IP-Group表项。
• 用户访问网络。
  • 用户发起业务流量，当流量到达策略执行点时，策略执行点设备会识别报文的源/目的IP对应的安全组。
  • 策略执行点根据IP地址与安全组的对应关系（IP-Group信息），识别报文的源、目的组信息，进而匹配和执行组间策略。