智简园区SVF技术白皮书

1、华为智简园区 SVF技术白皮书华为智简园区 SVF 技术白皮书前言前言摘要SVF 是一种纵向虚拟化技术，在纵向纬度把多台设备虚拟化成一台逻辑设备，屏蔽网络内部连线的复杂度，实现统一管理和控制目的。关键词SVF、纵向堆叠、有线无线融合、冗余备份华为智简园区 SVF 技术白皮书目录目录 HYPERLINK l _bookmark0 前言i HYPERLINK l _bookmark1 概述1 HYPERLINK l _bookmark2 产生背景1 HYPERLINK l _bookmark5 技术实现2 HYPERLINK l _bookmark6 客户价值4 HYPERLINK l _book

2、mark11 方案原理7 HYPERLINK l _bookmark12 基本概念7 HYPERLINK l _bookmark13 拓扑及连接规则8 HYPERLINK l _bookmark16 统一设备管理10 HYPERLINK l _bookmark20 统一配置13 HYPERLINK l _bookmark22 统一用户管理14 HYPERLINK l _bookmark24 报文转发原理15 HYPERLINK l _bookmark27 组合接入场景建议17 HYPERLINK l _bookmark28 典型组网应用19 HYPERLINK l _bookmark29 中小

3、型有线园区网19 HYPERLINK l _bookmark30 大型有线无线园区网20 HYPERLINK l _bookmark31 特大型有线无线园区网21 HYPERLINK l _bookmark33 跨区域大型园区网22 HYPERLINK l _bookmark35 SVF 网络穿透二层网络23 HYPERLINK l _bookmark37 A 缩 略语24华为智简园区 SVF 技术白皮书1 概述 1 概 述产生背景 HYPERLINK l _bookmark3 如图 1-1 所示，CSS/CSS2 和 iStack 作为一种网络设备虚拟化技术，具有很强的横向整合作用，即在不改

4、变网络物理拓扑连接条件下，将网络同一层的多台设备横向整合虚拟化为一台设备，不仅摒弃了复杂的二层双上行链路加环网协议的组网，提高了网络故障的收敛时间（将环网协议收敛时间转换为Trunk 收敛时间），从逻辑上简化了网络架构同时也简化了网络的管理成本。图1-1 网络架构演进在规模较大的企业园区网中，通常交换机位置分布较广，接入层业务简单，配置归一化程度高，整个网络存在大量的接入设备，虽然可以通过 iStack 技术进行一部分简化，但是整个网络仍然有大量的接入点，此时这个网络系统的管理点数量仍相当可观，网络部署及管理仍然比较困难，需要进一步的优化。 HYPERLINK l _bookmark4 如图1

5、-2 所示，华为公司推出的SVF 是一种纵向虚拟化技术，将控制设备（SVF-Parent） 以下的接入设备（SVF-Client）进行虚拟化，把众多接入交换机 AS 视为有线端口的集合，无线 AP 视为无线接口的集合，在垂直方向将 SVF 管理区域内的汇聚层设备和接入层设备虚拟化成一台逻辑设备，减少网络管理节点，实现网络集中统一控制和管理。图1-2 SVF 网络虚拟化概述技术实现SVF 适用于接入设备分布广，设备/端口数量多，并且接入设备业务简单、配置归一化程度高的网络应用场景，它具有如下优点：统一设备管理集中控制控制设备（SVF-Parent）和接入设备（SVF-Client）虚拟化为一台逻

6、辑设备，统一 设备的管理平面、控制平面、转发平面，减少设备的管理层级和节点数目。零配置接入控制设备上集中配置，接入设备“0”配置，连上线自动加入 SVF 系统，自动获取配置、版本/补丁等文件，实现即插即用。简化维护控制设备上统一执行版本/补丁升级；统一查询 AS 的端口状态、CPU 及内存占用率等信息；统一对有线/无线用户进行管理。统一业务配置SVF 系统面向业务的模板化配置，不仅智能化，而且更加贴近用户的理解。只要在控制设备集中配置，无需登陆到接入设备逐一配置，系统自动识别各接入设备和其端口角色，把配置自动下发到所有接入设备，避免了接入设备的重复配置工作量，大幅提高工作效率。统一策略部署SV

7、F 系统对用户在控制设备上集中认证和策略授权，用户策略可以下发到控制设备本地执行，也可以从控制设备下发到远端接入设备执行。用户策略集中统一下发，不仅易于用户管理，还避免了逐一对整网各接入设备进行用户策略的配置。有线无线深度融合SVF-Parent 支持随板 AC 功能，能够真正把无线融入 Fabric 网络构架，此网络架构继承了随板 AC 无线流量转发无瓶颈的优点，实现有线无线网络深度融合，不但节省了客户设备投资，还大大提升了客户体验。天然高可靠性SVF 系统利用 CSS/CSS2、iStack 堆叠和端口聚合捆绑技术做设备及链路的冗余备份， 华为领先的 CSS2 技术可实现主控 1+N 备份

8、，SVF 系统在最极端情况可故障至只剩 1 块主控板，系统仍能够正常运行。整个网络要保证是树形结构，用户误连接会自动检测出告警，并阻塞错误连接端口，避免对现有网络业务造成影响。丰富的产品形态产品形态多样化支持 SVF-Parent 的任意一款形态设备和支持 SVF-Client 任意一款形态设备可灵活搭配。端口类型多样化控制设备和接入设备之间的端口可自由选择千兆或万兆端口；接入边缘端口具有百兆、千兆或万兆能力，端口类型丰富可灵活选择。拥有成本低节省投资SVF 技术将相对高端的设备和相对低端的设备虚拟化，从而扩展高端设备的端口密度和带宽，不仅节省投资，而且可以提升网络整体业务接入的能力。同时 S

9、VF 具有强大的扩展能力，随着网络发展可轻松便捷的增加设备，提高端口密度和带宽能力， 节省前期投资成本。保护投资原有网络中支持 SVF 功能的硬件设备，只需要进行设备软件升级就支持 SVF 虚拟化。SVF 还支持穿透第三方或不支持 SVF 功能的设备，与旧有设备共存，并不需要替换掉原有设备，保护客户既有的投资。客户价值简化网络管理在接入设备分布广，设备数量多，并且接入业务简单、配置归一化程度高的园区网中， 可虚拟成一个或几个 SVF 系统进行管理。网络拓扑能够自动发现和生成，接入设备可预配置即插即用，统一设备管理、统一用户管理、统一配置、统一维护，使得网络管理和维护更加高效。 HYPERLIN

10、K l _bookmark7 如图 1-3 所示，内存及 CPU 高等关键告警由 SVF-Parent 送到 eSight 网管集中呈现。一旦网络发生故障时，关键告警信息无需比对各接入设备的时间戳，可快速识别出故障发生点。图1-3 简化网络管理有线无线深度融合SVF 系统携带 ENP 单板可融合无线业务，真正实现有线无线业务深度融合。SVF 虚拟化设备的管理平面、控制平面及转发平面都实现了统一，不仅无线业务的转发带宽不存在瓶颈，还提升了网络管理员的工作效率和体验。SVF 系统支持无线业务直接从ENP 单板接入，新部署的 SVF 有线无线网络或用户量大的网络建议使用该场景。SVF 也支持从非 E

11、NP 单板接入，但仍需要携带 ENP 单板，无线流量被重定向到 ENP 单板处理，原有的 SVF 有线网络增加无线业务，无线用户接入比较分散，接入设备比较多，为了尽量减少原有网络的变动，建议使用该场景。可视化管理 HYPERLINK l _bookmark8 如图 1-4 所示，华为 eSight 网管可对 SVF 系统进行可视化管理。图形化呈现整网 SVF- Parent、AS、AP 之间的连接关系。网管实时监控设备和链路的状态变化，当有 AS/AP 设备接入或退出，拓扑中 AS/AP 设备做相应的增加或删除；当网络链路的状态发生变化，拓扑中的链路也会相应的显示正常或故障，可帮助管理员快速识

12、别网络的变化。图1-4 拓扑监控 SVF 系统整网状态 HYPERLINK l _bookmark9 如图 1-5 所示，网络管理员可以根据管理维护需要，在 SVF-Parent 面板上很直观地点击下连 SVF-Client 混堆口，展开拓扑就能够看到混堆口下连 SVF-Client 成员的运行状态以及成员之间的连接状态，按需对有线无线设备实行集中统一监控。图1-5 面板集中管理 SVF 系统设备 HYPERLINK l _bookmark10 如图 1-6 所示，网管能对有线无线用户做统一管理，有线用户显示接入的 AS 端口，无线用户显示接入的 AP，集中呈现用户的特征信息。在用户出现接入故

13、障的时候，能够快速查看用户从哪个 AS 或者 AP 接入，提高网络管理人员排障的效率，并能够对无线用户的故障进行诊断操作。另外网管提供图形化模板配置，通过模板配置矩阵，网络管理人员能够直观看到业务的正常运行涉及的模板配置信息。图1-6 有线无线用户统一管理华为智简园区 SVF 技术白皮书2 方案原理 2 方案原理基本概念图2-1 SVF 系统设备及端口角色SVF 设备角色SVF-Parent：SVF 管理系统中的控制器，也称为控制设备，既是整个系统的集中控制和管理点，也是业务集中配置点。通常作为下面接入用户的三层网关，当然也可以不做用户网关。SVF-Parent 可以是单机，也可以是 CSS/

14、CSS2 或 iStack 堆叠。SVF-Client：SVF 管理系统中的接入设备，包括有线接入交换机 AS 和无线 AP。AS 又可细分为一级 AS 和二级 AS，直接与 SVF-Parent 相连 AS 叫一级 AS，与一级 AS 相连的 AS 叫二级 AS。一级 AS 或二级 AS 可以是单机，也可以是 iStack 堆叠。SVF 端口角色混堆口：SVF-Parent 和一级 AS、一级 AS 和二级 AS 之间的互联口，又叫 Fabric-port，混堆口的成员口数量范围是 18 个，为了保证设备互联带宽和链路可靠性，建议成员口的数量为两个或两个以上。SVF-Parent 框式交换机

15、单板接口或盒式交换机的面板及插卡接口都可以做混堆口，SVF-Client 盒式交换机面板接口及插卡接口均可用作上行混堆口。用户侧端口：边缘设备上连接用户的接口，可以连接有线终端如 PC，也可以连接无线AP。拓扑及连接规则SVF 管理系统只支持树形组网结构，SVF-Parent 可管理两层 AS 设备，每层都可以接入无线 AP 和有线客户端。在 SVF 融合无线组网中，框式 ENP 单板和盒式ENP 交换机都支持 AP 接入。若没有无线业务，带框式ENP 单板不是必需的。SVF 技术支持穿透中间二层网络，可管理一层 AS，AS 上可以连接 AP 或有线终端。穿透设备可以是第三方设备。中间二层网络

16、上行需要配置聚合口与 SVF-Parent 混堆口互联，中间二层网络下行口与 AS 也配置聚合口互联，上下行聚合口都需要配置管理 VLAN 和数据 VLAN，保证 SVF-Parent 与 AS 之间二层网络互通，由网络管理员保证配置。SVF-Parent 和SVF-Client 之间有第三方的二层设备时，拓扑无法显示准确的连接端口， 与之相连的 SVF-Parent 混堆口，只能显示为虚连接。 HYPERLINK l _bookmark14 如图 2-2 所示，SVF-Parent 控制设备可以是单机或堆叠，AS 接入交换机可以是单机或堆叠；混堆口的聚合成员口可以是一个或多个。可综合网络规模

17、、业务需求、可靠性要求及投资成本等，选择合适的 SVF 组网。图2-2 SVF 组网能力 HYPERLINK l _bookmark15 如图 2-3 所示，SVF 典型错误连线场景如下。用户连线错误会自动提示告警，提醒用户重新调整连线，并对错误连接端口阻塞进行网络隔离，保障网络业务稳定运行。图2-3 典型错误连线场景统一设备管理SVF 管理技术使用私有的 ASDP 和 LBNT 协议完成 AS 发现和拓扑收集。ASDP 称为 AS 发现协议，SVF-Parent 使用 ASDP 协议发现 AS 和向接入设备传递必要的网络参数， 同时 AS 通过 ASDP 协议自动完成上连混堆口的聚合互联。L

18、BNT 称为基于 LLDP 网络拓扑协议，SVF-Parent 向 AS 收集邻居信息和计算整网拓扑。AS 和 AP 都会跟 SVF- Parent 建立 CAPWAP 控制通道，并在 SVF-Parent 注册，接受 SVF-Parent 控制和管理。这样 SVF-Parent 对下挂 AS 和 AP 设备实现集中统一管理，使得虚拟化成一台逻辑设备。自动发现在 SVF-Parent 设备上配置管理 VLAN 及管理 VLAN 的 IP 地址池。指定与一级 AS 连接的下行混堆口， HYPERLINK l _bookmark17 如图 2-4 过程所示。一级 AS 采用空配置，不需要管理员额外

19、配置， 当连接一级 AS 时，ASDP 探测到连接的 AS，通过 ASDP 协商交互检查连线的正确性， 如果连线错误提示告警且阻塞错误连接端口。若连线正确就向 AS 下发管理 VLAN。AS 通过ASDP 协议与 SVF-Parent 协商，AS 的上行成员口会自动加到混堆口中进行汇聚，从 SVF-Parent 获取的管理 VLAN 会自动加到混堆口上，AS 上连混堆口是自动聚合的，无需人为手工指定，这样 AS 和 SVF-Parent 完成了二层互通，如 HYPERLINK l _bookmark17 图 2-4 过程所示。AS 设备通过 DHCP 协议向 SVF-Parent 设备申请 I

20、P 地址，然后 AS 与 SVF-Parent 建立 CAPWAP 管理隧道，AS 在 SVF-Parent 自动完成注册。当一级 AS 在 SVF-Parent 上完成注册后，在 SVF-Parent 上配置一级 AS 下行混堆口， 通过上述类似 SVF-Parent 发现一级 AS 的过程，一级 AS 和二级 AS 互联混堆口自动聚 HYPERLINK l _bookmark17 合，如图 2-4 过程所示。然后二级 AS 和 SVF-Parent 建立 CAPWAP 隧道，并且 AS 在 SVF-Parent 上自动注册，这样纵向网络的多台设备就虚拟成一台逻辑设备，如 HYPERLINK

21、 l _bookmark17 图 2- HYPERLINK l _bookmark17 4 过程所示。SVF 系统对 AS 设备是逐层发现的，首先会发现一级 AS，然后再发现二级 AS，最多不超过两层，达到压缩网络层级的目的。AS 用户侧端口可连接 AP，AP 也是 SVF 管理的范畴，将管理 VLAN 加入连接 AP 的用户侧端口，AP 从 SVF-Parent 获取 IP 地址，AP 与 SVF-Parent 建立 CAPWAP 控制隧道，然后在 SVF-Parent 上注册。AS 堆叠功能有堆叠卡和业务口两种方式，如果 AS 是业务口堆叠，首先需要该 AS 接入点自己堆叠成功成为一个接入

22、点，再和其他的设备进行混堆口连线，加入到 SVF 系统中，而堆叠卡堆叠无此要求。图2-4 SVF-Client 自动发现拓扑收集 HYPERLINK l _bookmark18 如图 2-5 所示，SVF 系统通过 ASDP 协议完成 SVF-Client 发现后，SVF-Parent 和 SVF- Client 就实现了二层链路的互通，SVF-Parent 和各 AS 自动建立 CAPWAP 控制隧道。当 AS 和邻居设备端口连接 UP，就可以通过标准的 LLDP 协议发现直连设备的邻居互联信息，每一台设备在本地保存其收集到的邻居信息。当 SVF-Client 在 SVF-Parent 上注

23、册成功后，SVF-Parent 采用私有的 LBNT 协议向 AS 收集邻居信息，SVF-Parent 收集到所有 AS 的邻居信息，就能计算出整网的拓扑结构。当拓扑发生变化，如链路 UP 或DOWN，AS 加入或退出，会触发拓扑重新计算。图2-5 拓扑收集设备集中管理SVF-Parent 和 AS 通过 CAPWAP 隧道交互控制信息，SVF-Parent 对 AS 实现了集中控制和管理。当 AS 在 SVF-Parent 注册成功后，AS 判断是否要从 SVF-Parent 下载升级版本及补丁文件。SVF 系统可以对 AS 进行版本/补丁的批量升级，也可以对指定的设备进行升级。在 SVF-

24、Parent 上对业务集中配置，SVF-Parent 会保存所有下挂 AS 的配置文件，AS 从 SVF-Parent 获取配置文件。在 SVF-Parent 可统一查询 AS 设备信息，CPU 或内存占用率，端口状态等信息。AS 也能够主动向 SVF-Parent 上报关键的维护信息，如CPU 或内存占用率高等，AS 会主动上报，便于管理员集中监控。预配置 HYPERLINK l _bookmark19 如图 2-6 所示，SVF 管理系统对新加入的 AS 可以是零配置，达到接入设备即插即用目的。网络管理员指定将来准备接入 AS 的 MAC 地址，提前在 SVF-Parent 上做好预配置，

25、当 AS 接入到 SVF 系统时自动下发配置、自动判断是否更新版本/补丁，提高网络管理员开局效率。图2-6 预配置统一配置 HYPERLINK l _bookmark21 如图 2-7 所示，SVF 配置模板可对接入设备进行集中批量配置，无需对每台设备进行重复配置，避免客户重复配置的工作量。同一个配置模板可以下发到多个 AS 上，一个 AS 上也可以下发多个配置模板。面向业务的配置模板简单易懂，为客户屏蔽了特性之间的关联度，大大提高客户感知和体验。配置模板可分为网络管理模板和网络业务模板两大类。网络管理模板作用是对 SVF- Client 设备集中管理和维护。业务模板又可细分为基础网络业务、增

26、强网络业务、接入业务三种，主要用于用户接入和安全防护等。图2-7 模板化配置统一用户管理策略联动交换机支持策略联动功能，它既可以独立使用，也可以和 SVF 叠加使用。在控制设备上对用户进行统一认证，认证成功后对用户进行动态策略授权，用户策略既可以下发到控制设备本地执行，也可以从控制设备下发到远端接入设备执行。如 HYPERLINK l _bookmark23 图 2-8 所示，为了加强 SVF 接入网络安全性或对用户流量做精细化管理，在 SVF 系统中可部署策略联动功能，在 SVF-Parent 集中认证和授权，策略执行点放在 SVF-Parent 称为本地授权，执行点在 SVF-Client

27、 称为远端授权。在同一 SVF 系统内，管理员可以灵活部署本地授权和远端授权。远端授权作为数据转发开关控制点；本地授权可以动态下发 UCL、ACL、CAR、Priority 等策略，主要用于更细化的用户访问策略控制和流量控制等。当 SVF 部署策略联动功能后，用户未认证前接入端口是受控的，可配置免认证规则 free- rule 访问如 DHCP/Radius/portal/eSight 等基础的服务器，访问其他用户及网络侧的数据报文是禁止转发的。当用户认证通过时，SVF-Parent 通过 CAPWAP 控制隧道通知放开 AS 接入端口数据转发权限，这样新认证上线的用户取得相应的访问权限，避免

28、未认证用户接入二层网络进行横向互访。若在 SVF-Parent 上部署本地授权，流量到 SVF- Parent 上转发时可获得更细化的访问策略，对不同用户做更精细化管理。图2-8 策略联动用户信息集中查询有线无线用户可在 SVF-Parent 做集中认证和授权，认证点和策略点高度统一，无需分散管理。在 SVF-Parent 上可查看所有的 AS 和 AP 的接入用户信息，有线用户显示接入设备及端口号，无线用户显示接入的 AP 设备。报文转发原理SVF 系统具有完整的二/三层转发能力，SVF-Parent 能做二/三层转发处理，SVF-Client 在系统中做二层转发的处理。当 SVF-Clie

29、nt 收到待转发的报文，在本机查找转发表得到报文出接口，然后将报文从该出接口发出去。二层报文可以在本地直接转发出去，三层报文需要经过 SVF-Parent 查三层转发表转发出去。SVF 支持分布式和集中式两种转发方式，命令可选择，默认为分布式转发。 HYPERLINK l _bookmark25 如图 2-9 所示，分布式转发方式就是每个设备在本地查找转发表，查到出接口直接发出去。SVF-Client 上同一个 VLAN 广播域内，都可以学到下面接入用户的 MAC，允许本地用户直接互访，Host1 能够直接访问Host2。分布式转发能够充分发挥每个成员处理能力，流量转发不存在迂回，可以最大限度

30、利用每个设备的带宽。对于要求用户能够直接本地互访，不需要进行用户二层隔离访问，不需要对用户流量做访问控制的场景，通常建议使用分布式转发方式。图2-9 分布式转发 HYPERLINK l _bookmark26 如图 2-10 所示，集中式转发方式就是先将报文转发到 SVF-Parent 上，在 SVF-Parent 上查转发表得到出接口，然后将报文从正确的出接口转发出去。SVF-Client 上同一个VLAN 广播域内，不同端口之间是隔离的，下面用户在本地不能直接互访。当Host1 访问 Host2 时，Host1 向Host2 发 ARP 请求，由 Gateway 网关代替Host2 向 H

31、ost1 应答 ARP 响应，但回复的 ARP 应答报文中IP2 对应MAC 是 Gateway 的 MAC3，而不是Host2 实际对应的 MAC2，这样 Host1 向 Host2 发的数据流就送到网关做三层转发。如果需要对流量集中控制或精细化管理，用户二层互访隔离的场景，建议使用集中式转发方式。图2-10 集中式转发组合接入场景建议组合接入场景转发模式策略联动控制认证方式部署免认证规则1、未认证用户不允许接入。2、认证后用户可本地互访。3、认证前用户可访问基础服务器。分布式（可（可1、认证前AS默认关闭数据转发。2、本地策略授权，统一在Parent上控制选）。3、若需不同部门间隔离，可规

32、划不同VLAN选）。Dot1x/MAC/Portal配置免认证规则Free-rule使得基 础服务器可访问。1、未认证用户不允许接入。2、认证后用户互访控制及本地互访隔离。3、认证前用户可访问基础服务器。集中式1、认证前AS默认关闭数据转发。2、本地策略授权，统一在Parent上控制。Dot1x/MAC/Portal配置免认证规则Free-rule使得基 础服务器可访问。华为智简园区 SVF 技术白皮书2 方案原理1、未认证用户不允许接入。2、无认证后用户隔离要求。3、无认证前用户访问基础服务器。分布式或集中式认证前AS默认关闭数据转发。Dot1x/MAC/PortalPortal认证时只需放

33、通Portal Server 地址，其他认证方式无需部署免认证规则Free-rule。用户无认证要求，SVF只简化网络管理分布式或集中式无无无华为智简园区 SVF 技术白皮书3 典型组网应用 3 典型组网应用中小型有线园区网如错误!未找到引用源。所示，中小型园区常见两层组网，典型的是中小企业和企业分支。接入层设备作为二层转发管道，业务配置简单且归一化程度高，汇聚层设备做三层网关， 希望简化网络管理，适用 SVF 场景。图3-1 中小型园区网汇聚层管理点部署：在汇聚层部署框式敏捷交换机或盒式敏捷交换机，作 SVF-Parent 管理所有的接入交换机，可部署华为 eSight 网管系统进行图形化管

34、理。用户 DHCP Server 部署：由于企业人数较少，以汇聚层设备作为DHCP Server，部署简单。可靠性部署：汇聚层设备使用集群以提高设备间备份。用户管理部署：有线用户如果对接入安全要求较高则部署 802.1x 认证，哑终端可采用 MAC 旁路认证。如果要求不高建议使用Portal 认证，认证点部署在 SVF-Parent 管理点上。转发模型部署：有线流量安全要求较高部署集中式转发，SVF-Parent 配置集中转发模式，有线流量在汇聚层集中控制；安全要求不高采用直接采用分布式转发。大型有线无线园区网如错误!未找到引用源。所示，在大型园区网中，三层网关下面接入层可分为两层，通常应用在

35、接入用户较多，规模较大，最为典型的是国内高校和大型企业。为了简化网络管理并且节省投资，希望有线无线网络真正融合，可采用 SVF 场景。图3-2 大型园区网有线无线融合管理点部署：建议部署框式高性能敏捷交换机作为 SVF-Parent，管理所有的接入交换机和无线AP，采用随板 AC 方式，有线无线业务直接接入ENP 单板。用户 DHCP Server 部署：由于园区人数较多，建议部署外置 DHCP Server，为整个园区所有有线和无线用户分配 IP 地址。可靠性部署：汇聚层设备使用集群以提高设备间备份。用户管理部署：无线用户使用 802.1x 认证，如果要求不高建议使用 Portal 认证，认证点部署在SVF-Parent 管理点上。校园网有线用户可选择 PPPoE 认证，认证点在 SVF-Parent 上；企业园区网有线用户可选择 802.1x 认证，为避免未认证用户横向互访，部署策略联动远端授权， 配合 free-rule