16 ADCampus解决方案微分段技术白皮书1.0

ADCampus解决方案微分段技术白皮书Copyright©DATE\@"yyyy"2020新华三技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。目录1技术背景 22微分段定义 23微分段的价值 33.1降低网络设备TCAM资源 33.2灵活分组 33.3安全子组 43.4对接第三方认证能力 53.5多园区业务跟随 64微分段方案的基本原理 64.1微分段有线方案整体架构 64.2微分段无线方案整体架构 94.3微分段静态VXLAN整体架构 94.4微分段方案MacPortal+认证 114.5微分段的WEBPortal+认证 115方案组网模型 125.1静态VXLAN组网模型 125.2动态VXLAN组网模型 135.3混合组网 146总结 14技术背景ADCampus方案推出了网随人动，业务随行的方案。但是纯粹网随人动的方案也会带来一个问题，针对精细的用户分组来说，为每个角色分配一个网段将会带来较大的网络开销。同时针对传统网络改造、IP网络已经分配好的场景、公共机场景、旧网改造中静态IP场景，网随人动带来较大的网络改造复杂度。网随人动2.0方案在现有网随人动基础上，通过微分段做了精细划分，推出了业务随行方案，可以支持安全组子组，支持在相同网络下更加精细化的网络安全策略，同时可以继承网随人动1.0的名址绑定能力。微分段定义分段Segment=广播域或者子网或者VLAN。分段Segment微分段MicroSegment=终端或者终端的集合。在园区网里面代表用户所属于的角色或者安全组SGT(SegmentTag)。微分段MircoSegment微分段的价值降低网络设备TCAM资源传统的基于网段定义角色的方式不能满足用户更加精细化的安全业务需求。旧网改造过程中对传统网络的改造要求较多，并且网络比不上用户业务的变化灵活。同时，基于网络的IP做策略，特别是IPV6的引入，极大增加了网络的硬件TCAM资源负担。而基于微分段的安全策略，可以极大减轻TCAM负担。微分段SGT位宽只有12bits相对IPV6可以极大减轻TCAM资源灵活分组微分段的引入可以实现灵活安全分组，方便业务改造。即可以支持单角色SGT对应单个VXLAN网关，也可以支持对应多个VXLAN子网，同时可以支持多个角色对应单个VXLAN网关，在多园区场景还可以支持单角色对应多个VXLAN网关。如图所示。微分段实现网随人动方案微分段实现业务随行方案安全子组微分段支持精细化安全子组能力。安全子组可以为某个组织架构配置某个安全组，并且分配某个网段，挑出某些特定人员，授权安全子组，安全子组即有继承父组的能力，又可以分配某些特权。 安全子组场景如图6所示，某部门可以访问某连续网段中的大部分服务器，但是其中还有部分服务器不允许访问，即黑名单服务器；该部门中除了部分特权用户外，禁止访问某高密服务器区。对接第三方认证能力由于微分段方案认证不再授权VXLAN，与网络解耦，针对于传统Portal认证系统，微分段可以做到认证过程中IP地址不必切换，解决第三方AAA的对接问题。针对于1X和MAC等认证，也可以通过第三方认证系统进行认证，减少ADCampus方案的耦合性。兼容第三方认证系统多园区业务跟随另外，微分段方案在多园区场景可以实现用户在不同园区业务拉通。由于微分段方案授权的不再是VXLAN网络，而是SGT角色。那么可以支持在不同园区授权相同的角色，保证不同园区的业务拉通能力。同理也可以保证用户在不同园区出差的业务随行能力。如图所示。多场所的业务随行微分段方案的基本原理微分段有线方案整体架构非微分段方案：认证授权VXLAN，基于IP做策略微分段有线方案：认证授权SGT,基于SGTID做策略实现方式如下。SDN控制通道：SDN向LEAF配置ACL:SGTxxx->SGTxxxpermitSDN向Leaf下发SGT->VXLAN映射，可以选择多个SGTID对一个VXLAN（业务随行）或者一对一（网随人动），在不同场所下也可以选择一个SGTID对应多个场所的VXLANID。SDN向EIA交互SGT；认证通道：用户认证：EIA向Leaf下发授权SGT；Leaf建立Port+VLAN->VXLAN映射关系，Leaf动态生成IP->SGT映射关系表，根据交换机芯片能力存储的空间有所不同。报文基于SGTID执行fromSGTID->SGTID的策略。数据转发通道：用户授权后的SGTID通过EVPN发布给园区网所有LEAF，策略执行点在Leaf上，如图所示。微分段方案路由发布模式以及策略通道说明：微分段映射表根据不同的交换芯片，实现的方式有所不同，Marvel芯片的实现方式是基于硬件资源实现，在网随人动场景与IP解耦场景占用的资源各有不同；而BroadCom芯片使用的是ARP资源，不会区分这两种场景。微分断映射表微分段场景SDN匹配规则微分段映射表BroadCom芯片(Leaf)Marvel芯片(Leaf)网随人动网段->角色通过认证获取角色，刷新ARP.class网段->角色，节省硬件TTI1资源。网络解耦认证后动态下发IP->角色通过认证获取角色，刷新ARP.class主机IP->角色，耗费硬件TTI1资源。 组间策略表是基于全局PBR下发。组间策略表优先级VPNFromTo动作场景1VPN_1SGT=0AnyPermit未知SGT默认为0，全部Permit。2VPN_2SGT_mSGT_nPermit/deny已知角色互访策略。3VPN_nAnyAnyDeny白名单策略。微分段无线方案整体架构微分段无线方案的整体架构实现基本原理。无线认证的NAS点在无线AC上，无线AC将认证授权SGTID转换为本地业务VLAN，数据通道本地转发，报文携带业务VLAN进入LEAF，LEAF将业务VLAN再转换为SGTID的模式，从而实现有线无线一体化的业务随行能力。微分段静态VXLAN整体架构微分段静态VXLAN模式可以支持传统Portal认证，确保认证过程不必切换IP地址，但是该认证模式要求VPN与VXLAN指定位置，适用于各个VPN下的用户基于位置强隔离场景。微分段静态VXLAN整体架构微分段方案MacPortal+认证微分段的MACPortal+认证如图13，微分段认证方式是MACPortal+的基础上，将认证授权由授权VXLAN修改为授权SGTID，通过认证系统的Usergroup方式下发。对于1X以及MAC认证方式也相同。微分段的WEBPortal+认证若是第三方认证系统认证，除可以支持1X认证外，还可以通过不切换IP地址的方式支持WEBPortal+认证，该模式网络需要微分段静态VXLAN结构。微分段的WEBPortal+认证方案组网模型静态VXLAN组网模型静态VXLAN模型如图所示，静态VXLAN组网需要创建VXLAN时指定该VXLAN对应的位置。用户可以在不同VXLAN之间切换，IP地址发生变化，但是可以保障业务不变。该方案的特点是用户认证时不必切换IP地址，用户逃生时也不必切换IP地址，自动进入逃生安全组。该模型在VPN内可以做到业务随行，网络不随行。该组网模型针对于第三方认证系统，需要支持传统Portal认证的模型，可以保证认证过程不必切换IP地址，该模型可以解决超级哑终端掉线问题，可以解决终端是静态IP的逃生问题。动态VXLAN组网模型动态VXLAN模型如图所示，动态VXLAN组网模型与网随人动模型完全相同，创建分布式VXLAN网关，用户认证过程中动态指定AC口到VSI之间关系。该模型特点是用户认证时需要进入BYODVXLAN再根据认证进入业务VXLAN，需要切换IP地址。优势是虚拟VPN，可以在全网跟随用户，更加灵活。但不支持静态IP地址逃生，无法支持第三方认证系统的Portal认证。该模型针对于EIA认证系统支持MACPortal+或者MAC或者1X认证，第三方认证系统支持1X或者MAC认证的场景。混合组网静态VXLAN与动态VXLAN的混合组网通过划分区域方式，将部分区域划分为静态VXLAN，比如解决部分静态IP的逃生问题，解决部分超级哑终端无法上线问题，部分区域划分为动态VXLAN，保障业务随行，VPN随行。总结微分段方案的引入，可以较大降低网络设备的TCAM的资源利用，特别是IPV6的引入，为网络设备支持更多业务提供了便利；可支持安全业务的灵活分组，即可以支持一个VXLAN网关对应多个角色，也可以支