智简园区业务随行技术白皮书

1、华为智简园区业务随行技术白皮书华为智简园区业务随行技术白皮书摘要摘要业务随行是华为公司推出的智简园区解决方案的一个子方案。它采用集中控制的方式， 将用户身份与网络拓扑、IP 地址解耦，从而可以灵活制定用户的访问控制权限和体验保证。本文详细介绍智简园区业务随行解决方案的基本工作原理和典型应用华为智简园区业务随行技术白皮书目录目录 HYPERLINK l _bookmark0 摘要i HYPERLINK l _bookmark1 概述1 HYPERLINK l _bookmark2 产生背景1 HYPERLINK l _bookmark3 解决思路2 HYPERLINK l _bookmark4

2、方案简介2 HYPERLINK l _bookmark6 方案原理5 HYPERLINK l _bookmark7 整体架构5 HYPERLINK l _bookmark9 组件及组件间的通信接口6 HYPERLINK l _bookmark10 安全组的划分7 HYPERLINK l _bookmark11 用户 IP 地址与安全组的动态关联9 HYPERLINK l _bookmark12 安全组权限策略的定义和执行10 HYPERLINK l _bookmark13 安全组体验策略的定义和执行11 HYPERLINK l _bookmark14 基于VxLAN 的增强12 HYPERLI

3、NK l _bookmark15 方案特点16 HYPERLINK l _bookmark16 典型组网应用18 HYPERLINK l _bookmark17 用户访问数据中心权限控制18 HYPERLINK l _bookmark19 基于用户与应用的QoS19 HYPERLINK l _bookmark21 跨部门/公司协作办公21 HYPERLINK l _bookmark23 流量应用安全防护23 HYPERLINK l _bookmark25 A 缩 略语25华为智简园区业务随行技术白皮书1 概述 1 概 述产生背景随着企业无线网络的建设与推广，以及 VPN 等远程接入技术的成熟应

4、用，企业园区网络的边界在消失，企业员工的办公位置变得更加灵活。员工接入位置的大范围移动，一方面提高了企业的生产效率，另外一方面也带来了企业网络管理和网络安全上的挑战。移动办公使得员工主机的 IP 地址经常发生变化，而传统园区中基于 IP 地址来进行员工权限控制和流量体验保障的方法无法适应这种变化。权限控制在传统园区网络中，控制用户网络访问权限主要是通过 NAC 技术结合 VLAN 和 ACL 技术来实现的。这些技术要求：管理员如果希望保证员工在园区内的一致网络权限，必须要求员工从指定的交换机、VLAN 或网段接入上线。用于控制权限的 ACL 需要管理员提前配置好，而且其中至少需要配置禁止或允许

5、访问的目的 IP 地址范围。因此，在用户使用的 IP 地址范围不固定的前提下，ACL 不能用于流量的源和目的都是用户主机时的控制。ACL 与用户的关联只在认证点设备上生效。因此对于非认证点设备，例如部署在企业园区边界的防火墙设备，必须基于 IP 地址来配置策略。VLAN 和 ACL 需要在大量的认证点交换机上提前配置，存在很大的部署和维护工作量。在需要对配置进行变更时，对企业网络管理员是一个很大的负担。员工移动办公希望打破这一局限性，允许员工从网络中的任意位置，任意 VLAN，任意IP 网段接时，享有一致的网络访问权限。同时管理员还希望有一种简单的，与网络拓扑和 IP 地址分配无关的策略管控方

6、法。体验保障用户的网络访问体验也是提升企业员工工作效率和满意度的重要因素。传统的做法是使用 QoS 来对网络流量进行带宽保证和转发调度。但是 QoS 通常只关注流量的业务类型（通过目的 IP 或目的端口来识别），而不能基于流量的用户身份来实施。如果用户主机的 IP 地址不能固定在某一网段的话，就无法保证特定用户（例如某部门， 某岗位，或某项目成员）的流量在园区内和园区出口得到优先的转发。解决思路业务随行方案是华为公司推出的围绕用户提供权限控制和体验保证的企业网络解决方案。业务随行方案向园区中引入了基于 SDN 思想的创新产品 Agile Controller，来解决传统园区遇到的问题：业务策略

7、与IP 地址解耦管理员可以在Agile Controller 上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计，敏捷设备在进行策略匹配时，可以先根据报文的源/目的 IP 地址匹配源/目的安全组，再根据报文的源/目的安全组去匹配管理员预定义的组间策略。通过这样的创新，我们可以将传统网络中基于用户和 IP 地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的 IP 地址， 实现业务策略与 IP 地址的完全解耦。用户信息集中管理Agile Controller 实现用户认证与上线信息的集中管理，获取到全网用户和IP 地址的对应关系。而

8、网络中的非认证点设备就可以根据报文的源/目的 IP 地址，通过向 Controller 主动查询来获取报文的源/目的安全组信息。策略集中管理Agile Controller 不仅是园区的认证中心，同时也是业务策略的管理中心。管理员可以在Controller 上统一管理全网策略。管理员只需要配置一次，就可以将这些业务策略自动下发到全网的执行点设备上。这些策略包括权限策略（例如禁止 A 组访问 B 组）和体验保证策略（例如控制 A 组的转发带宽和转发优先级）。方案简介在业务随行方案中的核心设备角色有三种：Agile Controller园区网络认证、授权与业务策略管理的核心。可以与网络设备联动完成

9、用户认证和策略下发。认证点设备认证点设备负责响应客户端的认证请求，与 AAA 服务器交互完成用户认证过程，并根据服务器的认证结果 决定是否允许该用户终端的流量通过该设备接入网络。执行点设备执行点设备负责执行基于安全组的业务策略。执行业务策略的前提条件是执行点设备可以识别报文的源组/目的组信息，而 IP 地址与安全组的映射关系可以通过认证、静态配置、主动向 Controller 查询三种方式获取。认证点设备和执行点设备是两种设备角色。根据管理员的配置和设备的能力，同一台物理设备既可以同时担 任这两种角色，也可以只担任其中的一种角色。本方案的典型组网如 HYPERLINK l _bookmark5

10、 图 1-1 所示。图1-1 业务随行方案工作流程图DCWAN/InternetControllerNGFWNGFW核心交换机汇聚交换机SVNNGFW远程接入总部园区NGFW核心交换机分支园区静态资源边界设备认证点设备认证点设备接入层用户终端其中：用户终端负责发起认证。接入层负责二层透明转发用户流量。认证点设备负责对用户进行认证，控制其访问权限。有线网络中使用汇聚交换机或者核心交换机作为认证点设备都可以。建议使用核心交换机，这样认证点更少，流量更易控制，策略更易管理。边界设备负责保证特定用户在出口的转发优先级。静态资源是用户可以访问的服务器资源，在 Controller 可以以安全组的形式管理

11、。在业务随行方案中，交换机、防火墙/SVN 都可以同时担任认证点设备和执行点设备。同时防火墙/SVN 还可以作为非认证点执行业务策略。例如 HYPERLINK l _bookmark5 图 1-1 中的“边界设备层”中的防火墙。园区内的用户并不需要在这些防火墙上认证上线，但是这些防火墙仍然可以执行针对这些用户的业务策略。华为智简园区业务随行技术白皮书2 方案原理 2 方案原理整体架构策略执行点Controller管理员认证点用户本方案的工作流程图如 HYPERLINK l _bookmark8 图 2-1 所示。图2-1 业务随行方案工作流程图1、定义用户与组2、定义组策略2、下发组策略3、校

12、验用户身份，下发用户的组信息3、上报用户IP地址3、收集所有在线用户信息起业务流量4、主动查询IP地址 对应的GroupID 4、发3、发起认证4、如果本地没有用户信息则触发主动查询4、执行用户组策略管理员在 Controller 中统一定义用户和安全组。所有用户必须至 Controller 中认证通过后才可接入网络。管理员在 Controller 中统一定义基于组的权限控制和体验保证策略，并下发给所有关联的执行点设备。执行点设备还可以在本地部署部分基于安全组的业务策略。在认证过程中，Controller 根据用户的登录条件，将其与安全组关联。认证成功后， Controller 将该用户所属组

13、作为授权结果下发给认证点。对于 802.1X 认证这种认证时终端尚未获取 IP 地址的场景，认证点会在用户认证成功，获取 IP 地址之后，自动感知用户的真实IP 地址，并将其上报给 Controller。Controller 收集所有上线用户的 IP 地址。用户发起业务流量。当流量到达执行点时，执行点会尝试识别报文的源/目的 IP 对应的安全组，执行基于组的策略。如果执行点设备同时也是认证点设备，则在认证过程当中，该设备已经获得了本机接入用户的安全组信息。对于边界防火墙/SVN 这种非认证点的执行点设备，其可以主动向 Controller 查询报文的源/目的 IP 对应的安全组信息。 说明非认

14、证点设备主动向 Controller 查询某个 IP 地址所属的安全组，会消耗设备自身的性能。实际应用中，非认证点设备只需要对内网接入用户的 IP 地址进行查询。除此之外的公网地址，或者企业未使用的私网地址网段，非认证点设备都不需要进行查询。因此 Controller 中提供企业私网地址范围的配置。配置之后，非认证点只会对该范围内的 IP 地址进行查询。对于其他 IP 地址，如果其也没有在静态资源类安全组中绑定，则非认证点会直接按照未知组来匹配策略。组件及组件间的通信接口业务随行方案中涉及的网络组件，如果从设备角色上来看，分为 Controller，认证点和执行点三种角色；如果从设备类型上来看

15、，分为 Agile Controller，交换机，NGFW，SVN 这几种物理设备。其中 Controller 这个角色只能由华为公司的 Agile Controller 产品担任，认证点角色可以由华为公司的敏捷交换机、NGFW、SVN 甚至任何支持 RADIUS 认证以及实时计费功能的第三方网络设备。执行点角色只能由华为公司的敏捷交换机、NGFW、SVN 产品担任。针对这三种角色和设备类型的详细说明如下：Agile Controller 是一个软件包，各个子软件包可以安装在通用的 Windows Server 上。根据网络规模和服务器的性能不同，各个组件既可以安装在同一服务器上，也可以安装在

16、不同的服务器上。这些组件包括：业务管理器（Service Manager，SM）：提供 Web 配置管理界面，协调组件合作。Radius 服务器：负责用户认证。Portal 服务器：负责提供 Portal 认证网页。XMPP 策略服务器：负责向执行点设备下发安全组策略。认证点设备主要需要通过 Radius 协议和Portal 协议与 Controller 通信。其物理实体可能是交换机、NGFW 或 SVN。各种产品类型支持的认证方式不同。交换机支持802.1X、MBA 和Portal 三种认证方式，NGFW 和 SVN 支持通过 L2TP VPN 和 SSL VPN 对远程接入用户进行认证。执

17、行点设备主要需要通过 XMPP 协议与 Controller 通信。其物理实体可能是交换机、NGFW 或 SVN。区别在于：交换机只能在做认证点的时候同时作为执行点，并且只能用于执行本地用户之间， 以及本地用户至固定的 IP 网段的策略。而且交换机只支持权限控制策略。防火墙和 SVN 可以主动向 Controller 查询得到全网上线用户的安全组信息，因此防火墙和 SVN 不管是不是认证点，都可以作为执行点执行任意两个组间的策略。并且防火墙和 SVN 除了权限控制策略之外，还支持体验保证策略，以及基于安全组的策略路由。安全组的划分管理员通过定义安全组，可以将网络中流量的源端或目的端通过组的形式

18、描述和组织起来。例如用户主机，IP 电话，服务器，网络设备的接口等等任何拥有 IP 地址，可能发起或接收 IP 报文的终端。管理员要想控制它们之间的互访，就需要先把它们在Controller 上定义出来。安全组根据表示的网络对象不同，主要分为两大类：动态用户组：需要认证之后才可以接入网络的用户及终端。静态资源组：使用固定的 IP 地址的终端，包括数据中心的服务器，网络设备的接口，以及使用固定的 IP 地址免认证接入的特殊用户等所有可用 IP 地址描述的网络成员。同一个安全组既可以与多条授权规则绑定来表示动态用户，又同时可以与多个 IP 地址或 IP 网段绑定来表示静态资源，它们的区别在于：动态

19、用户的 IP 地址是不固定的，是在用户认证之后动态地与安全组关联，在用户注销后，也会动态地解除关联。用户 IP 与安全组之间的映射关系只在用户在线期间有效。而网络设备需要通过作为用户的认证点设备，或者向 Controller 主动查询， 才可以获取这种映射关系。静态资源的 IP 地址是固定的，是由管理员通过配置绑定的，并且在预部署阶段， Controller 与网络设备间通过 XMPP 协议同步策略时，安全组与这种 IP 地址的绑定的关系就会同步给所有执行点设备。如果一个 IP 同时以认证方式和静态绑定方式分别加入了不同组，则以认证方式授权的动态组为优先。授权规则是 Controller 中将

20、管理员指定特征的用户与安全组进行关联的配置，它包含的参数如下图所示。其中“授权结果”参数可以指定符合条件的用户应该被分配的安全组。图2-2 业务随行方案工作流程图在业务随行 1.0 中的安全组采用扁平化的结构，各个安全组之间不存在嵌套关系，相互独立。一台 IP 地址在同一时间内只能属于一个安全组。因此对用户和资源分类后需要保证各个分类之间不会存在重叠。在业务随行 2.0 中，为了简化管理员的配置，允许安全组绑定的 IP 地址或端口范围间存在嵌套（完全的包含与被包含）关系。如果管理员单独为子组配置了业务策略，则该部分策略将被优先执行。子组不受这部分策略管理的流量，将按照管理员为父组配置的业务策略

21、处理，从而实现子组可以继承父组的权限。多级嵌套安全组的典型用法如下图所示。通过子组的方式可以很方便地定义一个网段内的特殊 IP，或者一个 IP 的特殊端口等网络对象。图2-3 安全组嵌套用户 IP 地址与安全组的动态关联业务随行的三个设备角色中都需要将用户 IP 地址与安全组进行动态关联。下面将分别进行说明。认证点设备、Controller 关联用户 IP 地址与安全组的方法当用户在 Controller 认证通过时，Controller 根据用户信息将该用户划入管理员指定的安全组，并将安全组的 GroupID 通过 Radius 协议的扩展属性通知给认证点设备。根据不同的认证方式，认证点会向

22、 Controller 上报这个用户的 IP 地址，并且通过计费报文持续向 Controller 上报该用户的在线状态：对于 Portal 认证、L2TP VPN 认证和 SSL VPN 认证，认证点在用户认证过程中上报。对于 802.1X 认证和MAB 认证，认证点在用户认证通过，获取 IP 地址后上报。 说明Controller 只会向用户当前接入的认证点设备主动通知其所属的安全组，不会向其他认证点或者执行点通知。当用户下线后，认证点设备会自动地删除本地保存的该用户的 IP 地址与安全组的关联关系，并向 Controller 发送停止计费报文。而 Controller 根据该用户的停止计费

23、报文， 自动删除已下线用户的 IP 地址与安全组的关联关系。执行点设备关联用户IP 地址与安全组的方法执行点设备上缓存的用户 IP 地址和安全组的映射关系主要有三个来源：执行点设备同时也是部分用户的认证点，通过认证过程会缓存这些用户的 IP 地址和安全组的映射关系。执行点设备在预部署阶段通过 XMPP 协议从 Controller 接收下来的管理员静态配置的安全组与 IP 地址的绑定关系（静态资源类安全组）。执行点设备主动查询，向 Controller 获取到非本地用户的 IP 地址和安全组的映射关系。安全组权限策略的定义和执行执行点设备在收到报文之后，首先会根据“ HYPERLINK l _

24、bookmark11 2.4 HYPERLINK l _bookmark11 用户 IP 地址与安全组的动态关联”中提供的关联机制，识别报文的源组和目的组。在识别过程中，如果执行点设备因为各种原因（例如主动查询因为网络故障失败，或者该用户并未进行认证，其 IP 地址也没有包含在某个静态资源组中），没有查询到某 IP 地址对应的安全组，则执行点设备会认为该 IP 地址属于一个默认存在的安全组“未知组”（GroupID 为 0），并以此组来匹配安全组策略。在确定了报文的源组和目的组之后，执行点设备就会进行安全组的策略匹配。业务随行方案除了支持将安全组策略的源组和目的组条件指定为某一个安全组，还支持

25、将匹配条件配置为 Any 来进行任意源或任意目的流量的匹配。Any 组是一个特殊的安全组，用于控制某个安全组在访问其他安全组时的默认规则，进而对策略数量进行精简，减少管理员的配置工作量。比如当前有 100 个静态资源类安全组，A 组到这 100 个安全组中的 90 个都是禁止的， 只有 10 个是允许的。如果依次配置 A 组到这些组之间的规则，需要配置 100 条。有了Any 组之后，我们可以只配置 A 到被允许的 10 个安全组的允许规则，然后再配置一条A 组到 Any 组的禁止规则。由于 A 到 Any 组的规则生效优先级比 A 到任意一个特定安全组的规则都低，所以就可以通过这 11 条规

26、则完成所需的控制效果。针对 A 组访问 B 组的流量，执行点按照如下优先级顺序匹配：首先精确匹配 A 组到 B 组的策略。如果策略矩阵中没有配置这两个组间的动作。则继续向下匹配。再匹配 A 组到 Any 组的策略。如果策略矩阵中没有配置这两个组间的动作。则继续向下匹配。最后匹配 Any 组到 Any 组的策略。策略矩阵中没有该条策略的配置，网络设备中内置该条策略的动作。交换机的动作为允许，即在没有任何策略匹配的情况下，将默认转发流量。防火墙的默认动作为禁止，即在没有任何策略匹配的情况下，将默认丢弃流量，可以修改为允许。业务随行方案完全基于逻辑组来配置权限策略。策略本身完全与 IP 地址解耦。因

27、此管理员在规划安全组权限策略时，只需要考虑两个逻辑组之间的互访关系。管理员在 Agile Controller 上可以通过一个非常直观的“策略矩阵”来配置权限策略。其中策略矩阵的行代表流量的源组，列代表流量的目的组。图2-4 策略矩阵在业务随行 2.0 中，由于安全组间可以存在嵌套关系，因而出现了子组策略和父组策略谁更优先生效的问题。为了避免传统 ACL 中经常出现的冗余策略（两条策略匹配了相同流量，而且策略定义的流量处理方法也相同。则匹配流量范围更小的策略属于冗余策略） 和无效策略（两条策略匹配了相同流量，而且策略定义的流量处理方法不同，则只有配置顺序在前的策略可以生效。则匹配流量范围更小，

28、且配置顺序在后的策略属于无效策略）问题。Controller 可以根据策略匹配的流量范围大小自动对策略进行排序。在管理员配置了冗余策略或无效策略时，还会对管理员进行提示，以图形化的方式帮助管理员正确配置策略。安全组体验策略的定义和执行业务随行 1.0 方案主要提供三种体验保障功能：用户限速：通过 Controller 统一配置，在用户接入认证时，Controller 会向认证点设备通过 RADIUS 下发该用户的带宽阈值。这样可以限制每个用户的内网总带宽，以避免用户运行消耗大带宽的应用导致园区网络拥塞。该策略由用户的认证点设备执行。队列优先调度：通过 Controller 统一配置，网络设备将

29、 VIP 安全组的流量按照指定优先级进行转发。SSL VPN 优先接入：通过 Controller 统一配置，SSL VPN 网关允许部分安全组用户抢占已上线普通用户的资源，优先接入网关。业务随行 2.0 中，又对体验保证功能进行了增强，新增了以下内容：新增了体验通道的概念。即 1.0 仅允许管理员定义 VIP 用户这类高优先级用户的体验策略，2.0 则允许管理员定义高中低三种服务等级，可以为三类不同等级的用户配置体验策略。每个体验通道都可以配置四个参数：总带宽、每 IP 带宽、转发优先级、报文优先级重标记。图2-5 体验保证通道基于 VxLAN 的增强智简园区 6.0 中，基于 VxLAN

30、网络，对业务随行方案做了增强，安全组在设备间通过VxLAN 报文头传递，不需要通过控制面同步。智简园区 6.0 之前，对于跨网关（跨区域或跨园区）的场景，由于敏捷交换机无法相互之间同步 IP-group 映射表项，网络策略要通过防火墙绕行流量来执行。在 VxLAN 增强方案中，则通过 VxLAN 报文来携带报文源用户组信息，在目的区域网关上执行互访策略。用户网关之间创建 VxLAN 隧道，用户间路由转发通过 VxLAN 隧道用户报文到网关后，获取源用户的安全组ID。基于目的 IP 路由转发，走 VxLAN 隧道，将源用户安全组ID 携带到 VxLAN 头中，送到目的端用户的网关。目的端用户网关

31、解 VxLAN 封装，取出源用户安全组 ID。基于目的 IP 获取本地用户的安全组 ID，根据组间策略控制流量的转发。源安全组嵌入在 VxLAN 头部（draft-smith-vxlan-group-policy-04），其中 G bit 位置为 1 时，Group Policy ID 即为安全组ID。图2-6 VxLANGroup Policy 封装头图2-7 VxLAN 网络业务随行VxLAN 网络业务随行执行过程：终端通过MAC/802.1x/portal 认证接入网络，IAE 授权终端安全组。终端访问目的主机，在认证设备上入 VxLAN 隧道，VxLAN 隧道头中“Group Poli

32、cy ID”以授权的安全组ID 封装，同时“G”bit 置 1。VxLAN 封装的报文到对端 VTEP 后，取出 Group Policy ID（源）。剥 VxLAN 封装后，查目的主机对应的 Group ID，查找组策略，根据匹配规则的动作决定报文是否丢弃。策略联动Edge 节点（策略联动中作为控制设备）和 Access 节点（策略联动中作为接入设备）间配置策略联动，用户认证点在Edge。图2-8 策略联动流程接入设备（access）和控制设备（edge）间建立 CAPWAP 隧道，用于策略联动控制报文。接入设备探测到有新用户接入，建立用户关联表，保存用户与接入端口等基本信息。接入设备向控制

33、设备发送用户关联请求消息。控制设备建立用户关联表，保存用户与接入设备的对应关系，并向接入设备发送用户关联回应消息用于通知接入设备关联成功。用户向控制设备发起认证，接入设备转发用户和控制设备之间的认证报文。控制设备删除用户关联表项，在认证成功后，控制设备上生成完整的用户表项，同时向接入设备发送用户授权请求通知并下发用户的网络访问策略。接入设备保存用户关联表项，打开指定的用户网络访问权限并向控制设备发送用户授权请求回应消息。用户访问网络资源，在 edge 设备上根据 VLAN 进入虚拟网络，封装 VxLAN 报文。华为智简园区业务随行技术白皮书3 方案特点 3 方案特点华为智简园区业务随行解决方案

34、可以满足企业用户的以下核心需求：控制用户可访问的 IP 网段【权限控制】控制不同用户间的互访【权限控制】控制单用户在认证点设备上的上下行带宽阈值【体验保障】控制任意组间流量或指定应用流量在网络出口设备上的带宽和转发优先级【体验保障】实现特定用户在 SSL VPN 上优先接入【体验保障】通过业务随行，可以给企业网络的部署管理带来以下好处：简化二层网络中的 VLAN 部署和 IP 地址规划方案传统 VLAN 规划需要考虑每个接入交换机下可能接入的用户类型和用户人数，为不同类型的用户预留相应的 VLAN 以及 DHCP 地址池。这导致 VLAN 数量多，配置管理复杂， 而且 VLAN 规划、IP 地

35、址与业务策略规划强耦合。部署业务随行之后，二层网络采用二层隔离技术来隔离用户，三层网络采用 IP 无关的安全组策略控制用户互访。用户权限与 VLAN 和 IP 地址无关，任意用户可以接入任意VLAN，使用任意网段的 IP 地址，而其端到端的权限仍然可以得到控制。所以部署业务随行之后，VLAN 的部署规划被大大简化，VLAN 回归到了“隔离广播域” 这一本职工作。传统网络中，业务策略的变更会导致管理员要去大量接入交换机上修改VLAN 的配置，而接入交换机和 VLAN 的增加或删除，也会导致管理员同步修改网络中防火墙上的包过滤策略。而部署业务随行之后，就不会再有这样的问题。 说明传统网络同样可以使

36、用二层隔离技术来实现不同用户接入同一 VLAN 后的隔离，但是因为VLAN 通常与 IP 地址分配相关，所以这样部署会导致不同用户拥有同一网段的 IP 地址，而园区网络中防火墙上的包过滤策略是基于 IP 地址配置的，所以这种部署方式会导致包过滤策略无法配置。因此，传统网络中不可以让不同权限的用户接入同一 VLAN。而业务随行使得防火墙设备也可以识别报文的用户身份，使得流量全路径上的网络设备都可以脱离用户所属VLAN 和 IP 地址的限制，完全基于用户身份来执行策略，因而可以实现VLAN 与业务无关。减少业务策略的数量传统交换机设备上的 ACL 规则数量是受到硬件芯片限制的。而传统一条 ACL

37、规则只能控制一个网段到另外一个网段的访问。如果要控制 A 类用户或服务器（假设使用 X 个网段）到 B 类用户或服务器（假设使用 Y 个网段）之间的互访，需要配置 X*Y 条规则，这会迅速消耗有限的 ACL 规则数。这使得传统网络中的业务策略很难配置得非常精细。在网络的 IP 地址规划不善，难以聚合时，这个问题会更加突出。而业务随行中，通过敏捷设备的创新软硬件设计，可以将大量网段聚合到了一个安全组中，并基于安全组配置和执行业务策略（在交换机上以 UCL 形式存在），所以以上场景只需要一条规则即可实现A 组到 B 组的策略。这令业务策略的数量得到大幅减少。不仅如此，由于企业网络中大量用户主机需要

38、占用很多离散不可聚合的网段，所以传统网络要通过配置 X*Y 条 ACL 规则的方法来实现用户间的隔离是非常困难的。因此当前大部分需要进行用户隔离的企业都必须使用“独立建网，物理隔离”或者“MPLS VPN 逻辑隔离”的方案。前者成本高昂，设备浪费，后者技术复杂，配置困难。而业务随行让管理员通过简单地配置一条 UCL 就实现两类用户间的隔离，无需进行物理隔离或者 MPLS VPN 隔离，从而减低企业网络的建设成本和管理成本。降低运维管理工作量传统网络中，要开通一类用户的权限，不仅需要在该用户所有可能接入的认证点交换机上逐一配置权限规则，还需要在园区至园区，园区至数据中心等各种路径上沿途的防火墙都

39、配置相应的包过滤策略。这需要管理员手工管理用户与 IP 地址之间的关联关系， 并且保证所有设备上相关的策略一致，无误。这需要浪费大量的管理人力，容易导致配置错误。而业务随行中，要开通一类用户的权限，不管有多少台认证交换机和防火墙，只需要在Controller 上配置一遍权限策略即可。Controller 会自动将相关策略下发给全网所有的执行点设备，保证该用户不管从哪里接入，网络中的沿途设备中都能为其放开权限。这大幅降低了企业网络管理员的运维管理工作量。华为智简园区业务随行技术白皮书4 典型组网应用 4 典型组网应用用户访问数据中心权限控制核心需求企业控制用户访问数据中心的权限，主要存在两大需求

40、：用户可以在任意位置（分支、园区、出差）接入，可以使用多种接入方式（有线、无线、远程），可以使用多种接入认证技术（802.1X/Portal/L2TP VPN/SSL VPN）。根据企业管理的需要，同一用户在不同接入场景下的网络访问权限可以得到精细控制，有些情况需要保持一致，而有些情况需要有所区分。例如一个企业可能要求一个用户不管从有线还是无线，只要是园区内接入的，其权限都是一致的。而该用户如果是从外网通过 VPN 接入的，其权限就要缩小，以保证企业关键数据不会泄露。解决方案典型组网如 HYPERLINK l _bookmark18 图 4-1 所示，业务随行解决方案通过以下措施解决用户访问数

41、据中心权限控制的问题：5W1H 综合授权用户接入认证时，认证中心根据该用户当前接入的 5W1H 条件，将其分配至某一安全组中。策略自动部署权限策略由 Controller 统一管理。管理员只需关注组间互访关系设计，并选取园区中关键位置设备作为策略执行点（通常为认证点交换机、边界防火墙/SVN），进行策略自动部署。认证点和边界设备进行网络访问控制：有线接入用户：汇聚或核心交换机作为认证点进行控制。无线接入用户：无线流量集中转发，核心交换机随板 AC 作为认证点进行控制。L2TP VPN 接入用户：互联网边界防火墙作为 VPN 网关和认证点进行控制。SSL VPN 接入用户：SVN 作为 VPN

42、网关和认证点进行控制。服务器主动发起访问：DC 边界防火墙进行控制。图4-1 用户访问数据中心权限控制场景基于用户与应用的 QoS核心需求VIP 用户通过 SSL VPN 远程接入园区网络目前在网络体验上存在的两大问题：离自己最近的 SSL VPN 网关上用户已经接满，导致自己必须接入到其他城市的网关，增加了业务在 Internet 上的时延，导致网络体验不佳。由于在 WAN、Internet 边界等位置带宽有限，不同流量抢占带宽经常发生丢包，导致重要用户的关键应用网络体验不佳。而边界设备既无法区分用户，又无法识别应用。解决方案假设企业在多地部署了 SSL VPN 网关，VIP 用户从最近的

43、VPN 网关接入后需要跨广域网访问数据中心资源。如 HYPERLINK l _bookmark20 图 4-2 所示。业务随行解决方案通过以下措施解决 VIP 远程接入用户的端到端体验：SSL VPN 网关自动优选终端上的 SSL VPN 客户端自动探测选择时延最短的 VPN 网关（SVN_nj）接入。VIP 优先接入如果最优网关上用户数已满，该网关自动强制部分普通用户下线，为VIP 用户释放资源， 保证其正常接入。图4-2 VIP 远程接入体验保证场景基于“用户+应用”进行全路径 QoS：SVN 客户端保证最短时延接入，SVN 网关保证指定用户优先接入。SVN 网关保证指定用户优先解密，优先

44、发送。分支 WAN 边界防火墙，保障上行流量在分支 WAN 出口的速率与优先转发。如果广域网运营商可以通过企业对流量的标记进行 QoS，则通过 NGFW 的重标记功能还可以保证指定流量在广域网上的体验。数据中心边界防火墙，保障下行流量在园区 WAN 出口的体验。SVN 保证指定流量优先加密。分支边界防火墙，根据 SVN 对指定流量所标记的外层标签，保障下行流量在分支 Internet 出口的体验。跨部门/公司协作办公核心需求企业实现跨部门/公司协作办公，因为以下两大现状导致网络策略难以部署和维护：不同部门以及其它公司的员工组建成一个团队协作共同开发一个项目。他们需要在一起办公，但是不允许直接进

45、行数据传输。必要的数据共享需要经过数据中心中转， 以方便进行审批与监管。同一项目团队的成员要能分散各地办公。项目周期短，项目团队快速组建和拆除， 成员构成频繁变更。解决方案典型组网如 HYPERLINK l _bookmark22 图 4-3 所示。图4-3 跨部门/公司协作办公场景业务随行解决方案通过以下措施解决跨部门/公司协作办公的问题：业务策略与IP 地址解耦团队成员变更时，只需在 Controller 上修改安全组和授权规则配置，无需修改网络设备上的业务策略。策略自动部署权限策略由 Controller 统一管理。管理员只需关注组间互访关系设计，并选取园区中关键位置设备作为策略执行点（通常为认证点交换机、核心防火墙、边界防火墙/SVN），进行策略自动部署。认证点/边界设备进行网络访问控制：同一认证点下用户互访：认证点（汇聚或核心交换机）进行控制。同一园区跨认证点用户互访：引流至核心防火墙进行控制。跨园区用户互访：流量经过园区边界时由边界防火墙进行控制。VPN 用户访问园区用户： VPN 网关（SVN/边界防火