AgileController-Campus业务随行培训

1、Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 0修订记录课程编码课程编码适用产品适用产品产品版本产品版本课程版本课程版本ISSUE开发开发/优化者优化者时间时间审核人审核人开发类型（新开发开发类型（新开发/优化）优化）本页不打印Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. 业务随行产品培训Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved

2、. Page 2 前言l第一段结构：随着企业的发展，和BYOD的兴起，用户的接入位置和接入方式不再固定，用户的IP也不再固定，但是传统网络中通过ACL(IP)、VLAN(IP)来管理用户的策略，导致用户的策略要经常的变更，难以维护。为了解决这个问题，华为推出了以Agile Controller为核心的业务随行解决方案。l第二段固定：本课程介绍业务随行特性软硬件组成和常见组网应用。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 3 目标l学完本课程后，您将能够:p了解业务随行的应用场景p了解业务随行的功

3、能实现p掌握业务随行配置部署方法p掌握业务随行故障处理方法Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 4 目录l业务随行应用场景应用场景l业务随行功能实现l业务随行配置部署l业务随行故障处理Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 5业务随行：以业务和体验为中心策略随行 体验随身 BeijingShenzhenSilicon valleyPolicies, resourcesAgile Contro

4、llerWAN/InternetUser XXXLocation XXXPolicies, resourcesPolicies, resources1.优先级2.带宽1.权限(Permit/Deny)2.业务流3.安全（IPS/AV/应用安全）体验有保障接入无差别Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 6敏捷交换机/随板AC数据中心AgileControllerWAN/InternetWAN/InternetVIP员工远程接入出差用户企业分支企业园区业务随行：方案部署逻辑图VIP优先级保障权限

5、策略带宽保障执行点设备NGFWSVN业务流策略VIP远程接入资源保障1、组/策略定义和下发同步2、用户认证上线，用户组识别3、策略执行交换机：S12700/S9700/S7700/S5720HINGFW：USG6300/6500/6600系列SVN：SVN5800系列安全保障认证点设备Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 7应用场景一：移动办公业务随行西安园区北京园区南京园区出差接入权限策略、QoS策略、带宽策略、安全策略接入权限策略、QoS策略、带宽策略、安全策略接入权限策略、QoS策略、

6、带宽策略、安全策略接入权限策略、QoS策略、带宽策略、安全策略应用场景：移动办公场景下，用户会在不同地方接入企业网络，而用户须要获得一致的策略和体验，也就是策略随行体验随身。客户诉求：因为同一个用户会在不同的地方接入，而不同的用户可能在一个物理位置接入，使得网络设备的配置非常复杂，部署大量的静态VLAN或ACL等。尤其是须要进行调整时，对于IT部门来说是非常复杂的工作。敏捷园区方案：在Controller上统一部署用户组和组间策略，下发至全网设备。用户上线自然获取其统一的策略和体验。价值：做到移动办公场景下策略随行体验随身。Copyright 2014 Huawei Technologies

7、Co., Ltd. All rights reserved. Page 8应用场景二：临时团队随时建立销售员工研发员工外包员工访客VIP数据中心应用场景：临时团队在同一个物理区域办公（接入同一交换机和AP），而不同角色可以获取不同权限，并实现不同角色之间的互访与隔离。临时团队随时建立，随时解散。研发销售VIP访客服务器研发允许允许禁止允许允许销售允许禁止允许允许允许VIP允许允许允许允许允许访客禁止禁止禁止禁止允许服务器允许允许允许允许允许客户诉求：接入交换机配置VLAN和ACL，将VLAN或ACL与用户绑定，实现基于源用户的权限控制。问题1：须要更改交换机配置，且配置复杂，工作量大，增删用户

8、类型时难以维护。问题2：如果只下发ACL，那么无法做到VLAN内的用户互访隔离。问题3：随着用户类型增加，接入交换机上的预配置VLAN和IP网段成倍增加。敏捷园区方案：因为Controller上已经定义好用户组和组间策略，并已下发给交换机和其它网络设备。不同角色的用户上线时关联至不同的组，自然就获取不同的用户权限，以及相互之间的互访与隔离。价值：临时团队随时建立随时解散，不须要临时对网络设备进行任何配置。源组目的组Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 9应用场景三：VIP用户体验保障WAN/

9、InternetVIP数据中心敏捷交换机/随板AC认证交换机根据Controller下发的策略为VIP用户分配更高的带宽NGFW根据Controller下发的策略将VIP用户流量送入高优先级队列调度为VIP用户保证VPN接入资源，当SVN资源用尽可以自动强制普通用户下线，保证VIP用户接入WAN/Internet通过Controller和网络设备的协作为VIP用户分配更多的资源保障，集中式的控制使得VIP用户得到端到端一致的体验保障。带宽优先级VPN资源VIP用户VPN远程接入Copyright 2014 Huawei Technologies Co., Ltd. All rights res

10、erved. Page 10 目录l业务随行应用场景l业务随行功能实现l业务随行配置部署l业务随行故障处理Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 11业务随行逻辑架构Agile ControllerCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 12业务随行主要概念安全组策略矩阵用户优先级5W1H授权IP-Group查询Copyright 2014 Huawei Technologies Co., L

11、td. All rights reserved. Page 13业务随行部署三步曲1. 在Controller中定义安全组2. 向组中添加成员：动态类型：特定用户（使用授权策略描述）静态类型：固定IP地址或网段1. 在Controller中定义组策略体验策略（VIP组转发优先级）权限策略（组间是否允许互访）2. 部署组策略执行点设备与Controller对接Controller自动将安全组和组策略下发至执行点1. 认证：用户尝试接入网络，Controller校验身份凭证。2. 授权：Controller根据5W1H条件，匹配授权策略，授权用户所属安全组，执行点设备将用户所用的IP地址动态添加到

12、指定组中。3. 执行：网络设备根据本地及Controller中保存的IP地址与组的对应关系，识别报文的源目的组信息，进而匹配和执行组策略。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 14业务随行Step1：在Controller中定义组并向组中加入成员员工VIP外包园区/分支旅途/酒店在家便携机 /PC智能终端哑终端WhoWhatWhere上班时间节假日白天/晚上When用户资源How有线无线VPN认证授权规则绑定组认证授权规则绑定组IP绑定组绑定组财经部外包员工研发部VIP BYOD办公组VPN

13、办公组邮件服务器语音服务器 代码服务器InternetCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 15业务随行Step2：在Controller中定义组间策略A A研发研发B B外包外包C邮件邮件D D语音语音E E代码代码F F测试测试G G公网公网0 0未未知知AnyAnyA A研发研发禁止允许B B外包外包允许允许允许禁止C邮件邮件仅允许源端口25/110其他禁止允许D D语音语音禁止允许E E代码代码允许禁止F F测试测试允许允许禁止G G公网公网仅允许目的端口25/110其他禁止禁止禁止

14、禁止0 0未知未知禁止禁止允许Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 16业务随行Step2：Controller向执行点推送安全组与组策略Campus Controller安全组安全组组组名名GroupIGroupID D研发10外包11邮件12组策略（权限）组策略（权限）邮邮件件语语音音研研发发外外包包 将执行点与Controller进行对接。对接成功后，Controller自动推送安全组和组策略。 推送的内容仅包含组名、GroupID，以及通过“IP绑定组”方式加入该组的IP地址成员。

15、组策略本身不与IP地址关联。 维护阶段，管理员只需在Controller上修改，就可以实现全网执行点的安全组和策略更新。组策略（体验）组策略（体验）VIPVIP组组优先优先级级CEOCEO6CTOCTOCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 17业务随行Step3：系统自动运行，大功告成服务器ControllerDCBranch防火墙防火墙认证点交换机1. 用户接入，向Controller统一认证。以分支接入为例。2. Controller判断该用户的登录条件，将该用户与对应授权策略中绑定的组

16、进行关联。3. 认证通过，Controller通知认证点该用户所属组。4. 认证点上报用户当前使用的真实IP地址。5. Controller将IP地址与组关联，并记录到在线用户信息表中。6. 认证点收到用户的业务报文，识别报文的源组和目的组，执行组间策略。7. 非认证点收到用户的业务报文，向Controller查询报文的源组和目的组信息。8. 非认证点执行组间策略。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 18关键技术解析：用户认证工作流程关键技术解析：用户认证工作流程终端认证点Controll

17、er（Radius服务器组件）终端认证点Controller（Radius服务器组件）Portal服务器802.1X/MAB/PPPoE/ PPP(L2TP VPN)/CA(SSL VPN)用户提供身份凭证（用户名/密码，证书等）。具体使用协议依所用认证方式而定。请求Controller校验身份凭证的正确性认证成功/失败RADIUS查询本地用户数据库或外部用户数据库（AD/LDAP）认证成功/失败认证成功则允许终端接入网络HTTPCHAPRADIUSPortal用户提供身份凭证（用户名/密码)CHAP认证交互请求Controller校验身份凭证的正确性查询本地用户数据库或外部用户数据库（AD/

18、LDAP）认证成功/失败认证成功则允许终端接入网络认证成功/失败认证成功/失败Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 19关键技术解析：上线用户身份判断与授权工作流程1. 用户通过认证点认证成功后，Controller根据用户的登录条件匹配授权策略。2. 根据授权策略中的配置，Controller将上线用户添加到指定的安全组中，并将该用户所属的安全组信息作为授权结果通过Radius报文中的扩展属性下发给认证点。3. 认证点向Controller上报该用户的IP地址。4. 认证点本地将用户的IP

19、地址与GroupID进行关联，形成在线用户信息表。5. Controller集中了全网在线用户的信息，进而可以对在线用户进行管理，例如权限变更，强制下线等。同时这些用户信息还可以供执行点查询。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 20关键技术解析：认证点（以交换机为例）如何识别组信息服务器Controller场景场景源组来源源组来源目的组来源目的组来源用户访问数据中心静态资源控制Controller在认证过程中下发源用户所属的组信息在Controller中将静态资源的IP地址与组绑定。在预部

20、署阶段，Controller向执行点同步安全组时将IP与组的绑定关系下发至交换机上。交换机收到业务报文后根据目的IP查询静态绑定关系即可获得目的组信息。同一认证点交换机下用户互访控制Controller在认证过程中下发源用户所属的组信息Controller在认证过程中下发目的用户所属的组信息。认证授权Controller中内置一个“未知组”（0号组）。执行点设备对于无法获取组信息的IP地址，将按照其属于未知组处理。对于本地认证用户（假设为A组）访问一个非本地认证用户的流量，交换机无法识别报文的目的IP地址所属的组信息。因此该条流量会根据“A访问未知组”的规则来进行处理。此类流量最终可以由防火墙

21、来进行控制。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 21关键技术解析：非认证点（以防火墙为例）如何识别组信息服务器Controller场景场景源组来源源组来源目的组来源目的组来源用户访问数据中心静态资源控制防火墙向Controller查询报文的源IP地址所属的组信息。查询结果会在防火墙本地缓存，因此仅首包会触发查询。在Controller中将静态资源的IP地址与组绑定。在预部署阶段，Controller向执行点同步安全组时将IP与组的绑定关系下发至防火墙上。防火墙收到业务报文后根据目的IP查询

22、静态绑定关系即可获得目的组信息。跨认证点交换机用户互访控制防火墙向Controller查询报文的源IP地址和目的IP地址所属的组信息。查询结果会在防火墙本地缓存，因此仅首包会触发查询。防火墙作为VPN用户的认证点时，源用户信息无需向Controller查询，在认证授权过程中即可由Controller向其主动下发该用户的组信息。防火墙只有在本地（本地认证上线用户、本地缓存的以前的查询结果、本地保存的IP地址与组的静态绑定关系）无法查询到组信息时，才会向Controller进行主动查询。Copyright 2014 Huawei Technologies Co., Ltd. All rights

23、reserved. Page 22业务随行设备配套列表设备类型设备版本号设备型号NGFWV1R1C20及以上USG6310、USG6320、USG6330、USG6350USG6360、USG6370、USG6380、USG6390V1R1C20及以上USG6530、USG6550、USG6570、USG6510-SJJV1R1C20及以上USG6620、USG6630、USG6650、USG6660USG6670、USG6680SVNV1R1C20及以上SVN5630、SVN5660、SVN5830、SVN5850SVN5860、SVN5880、SVN5880-C盒式交换机V2R6C00及以

24、上5720HI框式交换机V2R6C00及以上S12700V2R6C00及以上S9700V2R6C00及以上S7700Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 23业务随行硬件基本参数部件名称最小内存推荐内存CPU（闲时）C PU(忙时)磁盘空间组件个数SM组件1024M=1.2G=5%=50%1.5G1AuthServer组件（SC服务器）512M=1.4G=5%=50%1.5G=50RadiusServer组件（SC服务器）512M1.2G=5%=50%1.5G=50PortalServer组

25、件（SC服务器）512M=1.2G=5%=50%1.5G=50NetworkServer组件（SC服务器）512M=1.2G=5%=50%1.5G=2个，支持1主1备数据库组件2G2G=5%=50%300G3个，支持数据库镜像Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 24业务随行软件性能指标部件名称性能项指标值说明AuthsServer组件本地账号认证50次认证/秒防火墙接入认证外部数据源账号40次认证/秒RadiusServer组件本地账号1000次认证/秒PAP/CHAP/EAP-MD5协议

26、本地账号100次认证/秒EAP-PEAP-MSCHAPV2/EAP-PEAP-GTC/EAP-TLS协议外部数据源账号50次认证/秒PortalServer组件本地账号40次认证/秒=5%外部数据源账号NetworkServer组件设备注册2000台/分钟IP-Group查询性能能够查询到1000个IP地址对应的Group信息IP-Group查询1000个IP/秒数据库组件2G2G=5%Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 25 目录l业务随行应用场景l业务随行功能实现l业务随行配置部署l业

27、务随行故障处理Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 26业务随行典型组网园区互园区互联网边联网边界防火界防火墙墙Internet资源SVNInternet出口区出口区DCCampusBranch财经部财经部外包外包财经部财经部财经部财经部分支分支WAN边界边界防火防火墙墙交换机交换机A交换机交换机B交换机交换机C园区园区WAN边界边界防火防火墙墙核心防火核心防火墙墙外包外包外包外包SM+Witness DBAgile ControllerSCSC+Mirror DB策略控制点策略控制点认证认

28、证点点SC+Master DBCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 27配置思路配置前准备配置和部署安全组配置和部署安全组策略配置授权规则Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 28配置前准备-设备配置S7700radius-server template test S7700-radius-testradius-server authentication 2 1812

29、S7700-radius-testradius-server accounting 2 1813 S7700-radius-testradius-server shared-key cipher Huawei123 S7700aaa S7700-aaaauthentication-scheme test S7700-aaa-authen-testauthentication-mode radius S7700-aaa-authen-testquit S7700-aaaaccounting-scheme testS7700-aaa-accounting-testaccount

30、ing-mode radius S7700-aaadomain defaultS7700-aaa-domain-defaultauthentication-scheme test S7700-aaa-domain-defaultaccounting-scheme testS7700-aaa-domain-defaultradius-server test 配置启用配置启用RADIUS 认证认证S7700group controller 2 Password Huawei123 配置和配置和Agile Controller的连接参数（的连接参数（XMPP）S7700authe

31、ntication unified-mode 启用交换机的启用交换机的Unified模式模式配置配置Agile Controller XMPP 连接参数连接参数配置配置Agile Controller RADIUS连接参数连接参数交换机交换机防火墙防火墙Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 29配置前准备-Controller管理设备说明：名称：必须填写，不允许重名IP：必须填写，不允许重复描述：可选协议参数：根据业务需要，设置认证参数、XMPP参数、SNMP参数、TELNET参数。XMPP

32、参数：用于controller与华为敏捷设备（交换机、防火墙）通信SNMP参数：用于controller与所有支持SNMP协议的设备通讯TELNET参数：用于controller与所有支持TELNET协议的设备通讯Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 30XMPP协议介绍nXMPP（Extensible Messaging and Presence Protocol，前称Jabber）是一种以XML为基础的开放式实时通信协议，是经由互联网工程工作小组（IETF）通过的互联网标准(RFC 39

33、20、 RFC 3921、RFC3922、RFC3923)nXMPP中定义了三个角色，客户端，服务器，网关。通信能够在这三者的任意两个之间双向发生。服务器同时承担了客户端信息记录，连接管理和信息的路由功能。网关承担着与异构即时通信系统的互联互通，异构系统可以包括SMS（短信），MSN，ICQ等。基本的网络形式是单客户端通过TCP/IP连接到单服务器，然后在之上传输XML。nXMPP的安全传输可以通过增加一个TLS层来实现，XMPP的认证通过增加一层SASL （简单验证和安全层）来支持，通过验证之后才能进行正常的XMPP消息通信在Agile Controller中，Controller是XMPP

34、 Server，所有的敏捷设备都是XMPP ClientCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 31XMPP协议在Controller中的使用三层网络三层网络ControllerXMPP ServerXMPP ClientXMPP Client交换机防火墙XMPP交互配置XMPP连接参数、共享密钥配置XMPP连接参数、共享密钥Controller交换机向Controller注册检查设备合法性协商建立TCP长连接部署策略通过XML数据格式交互Copyright 2014 Huawei Techn

35、ologies Co., Ltd. All rights reserved. Page 32配置思路配置前准备配置和部署安全组配置和部署安全组策略配置授权规则动态安全组才需要配置Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 33配置安全组增加安全组增加安全组l安全组p表示用户身份的安全组，是通过认证授权过程中，匹配授权规则动态决定，所以这类安全组不需要手动绑定IPp表示静态资源、服务器的安全组，是固定的，需要手动绑定IP或者IP地址段Copyright 2014 Huawei Technologie

36、s Co., Ltd. All rights reserved. Page 34配置安全组配置静态安全组绑定配置静态安全组绑定IPl安全组p表示用户身份的安全组，是通过认证授权过程中，匹配授权规则动态决定，所以这类安全组不需要手动绑定IPp表示静态资源、服务器的安全组，是固定的，需要手动绑定IP或者IP地址段Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 35部署安全组l安全组部署p安全组的部署是一个自动化的过程，Controller会自动向支持业务随行功能的设备下发安全组p如果安全组进行了增加和删除

37、，Controller会向设备下发增量的配置，不会修改设备原有安全组配置支持业务随行的设备支持业务随行的设备Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 36配置思路配置前准备配置和部署安全组配置和部署安全组策略配置授权规则Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 37配置访问权限策略l访问权限策略pController通过矩阵的方式来定义安全组间的访问权限策略，默认是允许、禁止p组间的访问权限策略与

38、传统的ACL类似，只是将ACL中的IP换成了安全组，所以权限也可以指定访问 的具体协议和端口，定义一个模板单击Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 38配置访问权限模板l访问权限策略pController通过矩阵的方式来定义安全组间的访问权限策略，默认是允许、禁止p组间的访问权限策略与传统的ACL类似，只是将ACL中的IP换成了安全组，所以权限也可以指定访问 的具体协议和端口，定义一个模板Copyright 2014 Huawei Technologies Co., Ltd. All rig

39、hts reserved. Page 39部署访问权限策略l访问权限策略p访问权限的部署是一个自动化的过程，Controller会自动向支持业务随行功能的设备下发策略p如果访问权限进行了增加和删除，Controller会向设备下发增量的配置，不会修改设备原有安全组配置Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 40配置用户优先级QoS策略l用户QoS优先级策略p用户的QoS优先级，主要为了保障企业重要人员的体验，当网络发生拥塞时，会优先转发这部分人的流量，保障他们的体验p园区网络中，一般只会在出口

40、侧会出现网络拥塞，所以配置时，只需要对出口侧设备进行策略部署1选择要保证QoS的安全组2选择安全组转发优先级3选择要部署的设备4 部署到QoS保障的设备，当前只支持NGFWCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 41配置思路配置前准备配置和部署安全组配置和部署安全组策略配置授权规则Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 42配置授权规则l授权规则p用户的安全组，是通过5W1H条件来匹配，在Controller中，直观的指定条件，来定义用户授权