华为：华为智简园区业务随行技术白皮书（30页）.pdf

1、 华为智简园区业务随行 技术白皮书 华为智简园区业务随行技术白皮书 摘 要 文档版本 01(2019-03-16)版权所有 华为技术有限公司 i 摘摘 要要 业务随行是华为公司推出的智简园区解决方案的一个子方案。它采用集中控制的方式，将用户身份与网络拓扑、IP 地址解耦，从而可以灵活制定用户的访问控制权限和体验保证。本文详细介绍智简园区业务随行解决方案的基本工作原理和典型应用 华为智简园区业务随行技术白皮书 目 录 文档版本 01(2019-03-16)版权所有 华为技术有限公司 ii 目目 录录 摘摘 要要.i 1 1 概述概述.1 1.1 产生背景.1 1.2 解决思路.2 1.3 方案简

2、介.2 2 2 方案原理方案原理.5 2.1 整体架构.5 2.2 组件及组件间的通信接口.6 2.3 安全组的划分.7 2.4 用户 IP 地址与安全组的动态关联.9 2.5 安全组权限策略的定义和执行.10 2.6 安全组体验策略的定义和执行.11 2.7 基于 VxLAN 的增强.12 3 3 方案特点方案特点.16 4 4 典型组网应用典型组网应用.18 4.1 用户访问数据中心权限控制.18 4.2 基于用户与应用的 QoS.19 4.3 跨部门/公司协作办公.21 4.4 流量应用安全防护.23 A 缩略语缩略语.25 华为智简园区业务随行技术白皮书 1 概述 文档版本 01(20

3、19-03-16)版权所有 华为技术有限公司 1 1 概述概述 1.1 产生背景 随着企业无线网络的建设与推广，以及 VPN 等远程接入技术的成熟应用，企业园区网络的边界在消失，企业员工的办公位置变得更加灵活。员工接入位置的大范围移动，一方面提高了企业的生产效率，另外一方面也带来了企业网络管理和网络安全上的挑战。移动办公使得员工主机的 IP 地址经常发生变化，而传统园区中基于 IP 地址来进行员工权限控制和流量体验保障的方法无法适应这种变化。权限控制 在传统园区网络中，控制用户网络访问权限主要是通过 NAC 技术结合 VLAN 和 ACL 技术来实现的。这些技术要求：管理员如果希望保证员工在园

4、区内的一致网络权限，必须要求员工从指定的交换机、VLAN 或网段接入上线。用于控制权限的 ACL 需要管理员提前配置好，而且其中至少需要配置禁止或允许访问的目的 IP 地址范围。因此，在用户使用的 IP 地址范围不固定的前提下，ACL不能用于流量的源和目的都是用户主机时的控制。ACL 与用户的关联只在认证点设备上生效。因此对于非认证点设备，例如部署在企业园区边界的防火墙设备，必须基于 IP 地址来配置策略。VLAN 和 ACL 需要在大量的认证点交换机上提前配置，存在很大的部署和维护工作量。在需要对配置进行变更时，对企业网络管理员是一个很大的负担。员工移动办公希望打破这一局限性，允许员工从网络

5、中的任意位置，任意 VLAN，任意IP 网段接时，享有一致的网络访问权限。同时管理员还希望有一种简单的，与网络拓扑和 IP 地址分配无关的策略管控方法。华为智简园区业务随行技术白皮书 1 概述 文档版本 01(2019-03-16)版权所有 华为技术有限公司 2 体验保障 用户的网络访问体验也是提升企业员工工作效率和满意度的重要因素。传统的做法是使用 QoS 来对网络流量进行带宽保证和转发调度。但是 QoS 通常只关注流量的业务类型（通过目的IP或目的端口来识别），而不能基于流量的用户身份来实施。如果用户主机的 IP 地址不能固定在某一网段的话，就无法保证特定用户（例如某部门，某岗位，或某项目

6、成员）的流量在园区内和园区出口得到优先的转发。1.2 解决思路 业务随行方案是华为公司推出的围绕用户提供权限控制和体验保证的企业网络解决方案。业务随行方案向园区中引入了基于 SDN 思想的创新产品 Agile Controller，来解决传统园区遇到的问题：业务策略与 IP 地址解耦 管理员可以在Agile Controller上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计，敏捷设备在进行策略匹配时，可以先根据报文的源/目的 IP地址匹配源/目的安全组，再根据报文的源/目的安全组去匹配管理员预定义的组间策略。通过这样的创新，我们可以将传统网络中基于用户和 IP 地址