20190众锐于的参考学习企业

延时文字轻量级准入交换事业部许健LOOPDETECTION主目录CONTENTS12345传统准入问题准入管控方案环路检测自动化运维友商竞争分析TRADITIONALACCESSPROBLEMADMISSIONCONTROLSCHEMEAUTOMATEDOPERATIONANDMAINTENANCECOMPETITIONANALYSIS延时符传统准入问题第一部分传统方式管理边界安全—私接手工维护边界安全—准入传统准入问题RESEARCHIDEAS延时符静态IP+MAC手动绑定，效率低且容易出错。终端用户迁移时，需要重新进行IP地址分配静态IP+MAC绑定策略灵活性差，终端出现迁移时需人工修订绑定策略。IP地址多是用EXCEL记录基础网段信息，没有真正做到IP地址的管理效率低，易出错维护成本高迁移灵活性传统方式管理准入管控方案第二部分轻量级准入管控接入模式网关模式旁挂模式静态/动态IP场景各个模式的应用场景3.终端替换比如为更换新办公pc，控制器界面提示ip为x.x.x.x的PC1mac将变更为为A，是否允许.准入方案ADMISSIONCONTROLSCHEME2.手动导入IP+MAC客户还可以通过搜集“ip+mac+终端名称”关系，通过EXCLE表格导入到SDN控制器中1.IP+MAC绑定SDN控制器处于默认放通模式，放通时间窗口用户可设置，放通期间终端入网控制器搜集IP和MAC并自动完成IP+MAC绑定.DHCPserverInternet核心设备接入设备PC1PC24.用户搬迁控制器界面UI列表提示mac为A的终端ip地址由x.x.x.x变更为y.y.y.y，是否允许.5.新增终端完成静态ip配置后，控制器界面提示ip+mac的新终端接入网络，是否允许.接入模式ACCESSMODE延时符开启准入管控接入设备通过流表deny指定业务网(Vlan)的IP报文在业务网关联的端口上开启端口安全保护1234ARP报文packet-in到控制器在接入设备上监听ARP报文，Packet-in至控制器以发现终端，能够发现IP+MAC+VLAN控制器下发安全绑定审批通过的终端会在接入设备对应的端口上添加端口安全的IP+MAC绑定表项以及静态MAC地址运维通过监听ARP来获取信息VSU终端汇聚交换机接入交换机SDN控制器终端核心交换机接入模式ACCESSMODE延时符VSU终端汇聚交换机接入交换机SDN控制器终端核心交换机流表1OpenFlow协议流表2ARPpackinONCdenyipanyNetconf协议端口安全防护（IP+MAC+PORT+VLAN强绑定）STEP1.开启准入管控接入模式ACCESSMODE延时符VSU终端汇聚交换机接入交换机SDN控制器终端核心交换机STEP2.用户接入与审批PacketinARP-RARPIP+MAC+VLAN端口安全保护：MAC:MAC_AIP:xxx.xxxIPIPIPMAC……xxx.xxxMAC_A静态安全表项优先级高于Openflow流表denyipany网关模式GATEWAYMODE延时符开启准入管控网关设备关闭指定业务网(vlan)的ARP学习1234ARP报文packet-in到控制器在网关设备上监听ARP报文，Packet-in至控制器提供IP+MAC+端口(网关设备上收到ARP的端口)信息控制器下发安全绑定审批通过的终端会在网关设备上添加静态ARP运维通过监听ARP来获取信息通过接收MAC变化trap通过来获取信息VSU汇聚交换机接入交换机SDN控制器终端核心交换机网关模式GATEWAYMODE延时符STEP1.开启准入管控VSU汇聚交换机接入交换机SDN控制器终端核心交换机流表ARPpackinONCOpenFlow协议Netconf协议ARP学习网关模式GATEWAYMODE延时符VSU终端汇聚交换机接入交换机SDN控制器终端核心交换机PacketinARP-RARPIP+MAC+VLANMAC:MAC_AIP:xxx.xxxIPIPIPMAC……xxx.xxxMAC_ASTEP2.用户接入与审批网关仅当有终端的静态ARP表项时，才会进行ARP应答旁挂模式BYPASSMODE延时符旁挂设备接入网关和准入设备通过两个接口互联1234网关设备配置策略引流在网关设备所有三层接口上配置PBR，将访问内网用户终端（IP属于受控范围）的三层报文转发至准入设备控制器下发安全绑定报文从RoutedPort进入后查询S57H上的邻居路由表（邻居路由表即为实现准入管控的硬件表项，包含了IP+MAC的绑定关系）流量打通合法用户的邻居路由表由控制器下发静态ARP生成，当报文查找到邻居路由表后，从Trunk口转发出去VSU终端汇聚交换机接入交换机SDN控制器终端核心交换机准入设备S57HRoutedPortTrunkVSU终端接入交换机SDN控制器终端核心交换机RoutedPortTrunk准入设备S57HInternet汇聚交换机旁挂模式BYPASSMODE延时符流表ARPpackinONCOpenFlow协议配置PBR、VLANSTEP1.开启准入管控vlan2vlan2汇聚交换机VSU终端接入交换机SDN控制器终端核心交换机RoutedPortTrunk准入设备S57HInternet旁挂模式BYPASSMODE延时符PacketinIP+MACMAC:MAC_AIP:xxx.xxxARPARP-RIPMAC……xxx.xxxMAC_A57H邻居路由表IPSTEP2.外部流量导通注意：旁挂模式阻断的是外网进入内网的流量内网向外网发送IP报文是正常的，但是通信是双向的，由于内网收不到外网的数据，因此同样是处于通信中断的状态。DHCPserver接入交换机（接入模式）网关（网关模式）静态/动态IP场景延时符用户终端DHCP应答DHCP请求放通DHCP报文准入之前先进行dhcp动态地址分配（需要创建DHCP地址池）问题1动态获取IP场景，用户不能再采用IP+MAC绑定的方式行不通。问题2PC1通过DHCP获取IP1，PC1下线后，IP1被分配给PC2。ONC无法感知PC1释放IP1，提示地址冲突问题3动态地址：管控自动审批入网对应的业务网审批用户规则为仅MAC合法同一个业务网下，该终端的IP发生变化，控制器可以自动审批入网，无需人工介入开启IP地址管理将DHCP报文packin到ONC中进行IP地址管理接入和网关设备非我司产品，无法进行IP地址管理旁挂模式支持IP地址管理接下页静态/动态IP场景延时符如果是动态入网，则还需新增一条trunk链路(见拓扑蓝色连线)，1/0/3配置为镜像目的口，将DHCP报文镜像至准入设备，准入设备将报文pack-in至控制器，实现DHCP终端上下线同步。不同模式的应用场景APPLICATIONSCENARIO延时符布署在网关上，能够对漫游中的移动终端进行准入控制。准入控制的严格程度：中网关模式如果用户现有网络中的网关设备非我司产品，可通过“代理网关”的方式，在不改变现有网络的基础上，实现准入控制。准入控制的严格程度：中旁挂模式部署在接入交换机上，用户终端的位置无法随意迁移。准入控制的严格程度：高接入模式环路检测第三部分环路检测场景RLDP环路检测LOOPDETECTIONSCENARIORAPIDLINKDETECTIONPROTOCOL风暴流量超限检测STORMFLOWOVERRUNDETECTION环路场景LOOPDETECTIONSCENARIO延时符接入交换机单个端口下环路单台接入或汇聚交换机的两个端口环路(含VSU)两台接入或汇聚交换机之间端口形成环路接入交换机与上联交换机端口之间形成环路RLDP检测延时符两种协议报文故障处理检测方式两种功能Probe、Echo主动式链路故障检测端口环路检测警告设置端口违例关闭端口所在svi关闭端口学习转发RLDPRLDP协议包含两种协议报文。Probe报文为探测报文，由端口发送；Echo报文为响应报文，可由端口接收。是锐捷网络自主开发的一个用于快速检测以太网链路故障的链路协议由设备端口周期性地发送探测报文，根据端口对响应报文的接收情况进行故障检测。1234RAPIDLINKDETECTIONPROTOCOL丰富的故障处理手段环路故障RAPIDLINKDETECTIONPROTOCOL延时符1接入交换机端口发送Probe探测报文2Probe探测报文进入HUB3Probe探测报文从上联口转发出去4交换机收到了自己发送的Probe报文接入交换机HUBProbe端口环路检测原理：RLDP在某个端口上收到了本机发出的RLDP报文，则该端口将被认为是出现了环路故障。链路故障RAPIDLINKDETECTIONPROTOCOL延时符1汇聚交换机端口发送Probe探测报文2下联接入交换机收到Probe报文3接入交换机从上联口发送Echo报文4汇聚交换机收到了接入交换机发送的Echo报文汇聚交换机接入交换机接入交换机ProbeEcho链路检测原理：设备的端口在发出RLDP探测报文文后，就一直无法接收到响应报文或邻居的探测报文，那么该链路将被认为是双向故障的。双活终端汇聚交换机接入交换机SDN控制器终端非法接入DHCPserver核心交换机HUB环路场景LOOPDETECTIONSCENARIO延时符环路故障定位（设备、端口、VLAN）链路故障定位环路影响抑制控制面。设备CPU管理通道保证，正常协议报文通道不被挤占转发面。接入交换机下联端口环路RLDP报文丢失，环路探测失效风暴流量超限检测延时符设备端开启环路检测并设置默认水线后，PD为每个设备端口设置1条FP表项，匹配目的MAC未hitL2entry的报文（即未知名单播报文、未知名二层组播报文、未知名三层组播报文和广播报文），动作为METER限速，限制为控制器设置的流量水线，红色报文DROP。同时有COUNTER动作，统计红色报文个数，也就是统计触发环路流量检测水线的报文个数。每个交换机需单独占用1个FPSILCE做风暴流量检测和限速。检测原理限制控制器设置的环路流量检测水线需保证小于风暴控制水线（如果用户开启了风暴控制），才能检测出环路。目前暂定环路检测默认水线为：汇聚设备为端口当前link最大速率5%，接入设备为端口当前link最大速率3%。自动化运维第四部分IP地址可视化阻止私设IPIP冲突位置提醒终端健康监测IPADDRESSVISUALIZATIONILLEGALIPADDRESSIPCONFLICTSNOTIFICATIONDEVICEHEALTHMONITOR用户信息查询USERINFOINQUIRY自动化运维延时符SDN控制器整网静态IP资源统一闭环管理IP资源利用率显示，空闲IP一目了然私设IP地址无法入网，防止私设IP。冲突IP位置提醒终端IP在线时间排序显示，定期回收长时间不在线IP资源整网终端用户信息实时查询，包括IP/MAC/VLAN/接入设备/端口等信息准入认证后，所有的IP+MAC+终端等信息会在控制器保存一份，做UI展示直观的IP地址管理可用IP地址一目了然IP冲突直观告警，标红提示友商竞争分析第五部分准入管控方案对比轻量级准入方案与H3C对比环路检测方案对比准入管控方案对比延时符核心用例准入管控Dot1x/Web认证静态IP+MAC绑定启动准入管控管理员通过ONC提供的web界面进行相关操作，管控原理为网关ARP学习控制或接入的IP+MAC绑定管理员在相关的NAS交换机上开启认证功能，管控原理相似。管理员在相关的NAS交换机上开启IP+MAC绑定功能(例如端口安全)，管控原理相似。监控网络，发现终端接入网络并提供终端信息通过监控终端的ARP报文来识别终端接入网络，合法性信息为从ARP报文中抽取的IP+MAC信息，以及接入设备和端口终端主动发起认证行为按计划接入，无需动态监控。由用户向网络管理员申请分类(审批)终端管理员通过ONC提供的Web界面进行相关操作，合法终端添加网关的静态ARP或者接入的IP+MAC绑定表项依靠用户填写的账号密码进行校验管理员自行收集相关信息，转换为IP+MAC表项监控终端通过监控终端的ARP报文来更新终端在线时间或者是位置变更。认证行为触发更新终端在线/离线状态或者是位置变化无需监控，终端变动后续还需要和管理员申请并由管理员完成操作准入管控方案对比延时