2.1访问权限控制.doc

Agile Controller-Campus V100R002C10 业务随行技术白皮书 文档版本 01 发布日期 2016-04-15 华为技术有限公司  版权所有 ? 华为技术有限公司2016。 保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址： 深圳市龙岗区坂田华为总部办公楼 邮编：518129 网址： 目 录 1 概述 1 1.1 产生背景 1 1.2 技术特点 1 2 策略控制 3 2.1 访问权限控制 3 2.1.1 安全组规划 6 动态安全组规划 6 .1 动态安全组表示用户 6 .2 动态安全组表示静态资源 7 .3 动态安全组定向下发 10 静态安全组规划 10 2.1.2 访问权限策略规划 11 特殊安全组介绍 11 .1 未知组介绍 11 .2 Any组介绍 12 基于安全组和应用的策略配置 12 .1 安全组间基本策略 12 .2 组间精细控制规则 15 策略定向配置 16 .1 通用策略 16 .2 本地策略 18 MPLS VPN网络访问权限策略配置 19 2.2 网络体验保障 19 2.2.1 认证用户带宽控制 19 2.2.2 基于安全组和应用的带宽策略 19 2.2.3 VIP用户优先上线 20 3 典型组网应用 21 3.1 用户访问数据中心权限控制 21 3.2 用户间互访权限控制 22 3.3 网络体验保障组网 23 4 参考文档 24 5 缩略语表/Acronyms and Abbreviations 25 概述 1.1 产生背景 1.2 技术特点 产生背景 随着企业发展，企业的网络扩散到全球各地，不同的员工、合作方从各地接入企业网络办公；随着无线网络的建设与推广，以及VPN等远程接入技术的成熟应用，企业园区网络的边界在消失，企业员工的办公位置变得更加灵活，BYOD逐渐成为网络发展的一个趋势。这一切的变化，都导致员工网络接入位置的会出现大范围移动，怎么保证员工的正常业务并不受接入网络的影响，做到业务随行，这样就给企业网络管理和网络安全上的带来了巨大挑战。从企业的安全要求出发，无论任何员工、任何地点、任何方式、任何时间、任何终端接入网络，他的网络访问策略必然要受控，这就需要网络能够做到员工的访问权限策略随行；另一方面，重要的人员接入网络，要保障他们接入网络后的体验，这需要网络能够做到员工的体验随身。 为了解决企业网络发展带来的问题，华为公司推出了敏捷控制器(Agile Controller)解决方案，通过与网络设备联动，控制员工从不同的企业内部和企业外部网络的访问，保证员工接入网络能够做到业务随行。 技术特点 华为敏捷园区网络中，对于用户在网络上的控制，不再仅仅使用传统的VLAN+ACL的手段，而是定义了一个安全组的概念，所有的策略不再像传统ACL一样基于IP五元组来实现，而是基于安全组。安全组是从安全角度出发，对用户和用户需要访问的资源的一个动态归类，而这个动态的过程，是通过用户接入网络的认证，由Controller根据管理员定制的规则，灵活匹配的。有了安全组以后，策略的定义不再依赖于传统的IP五元组，这样使得网络侧的IP与实际的策略能够解耦出来，不再根据用户接入网络后的IP来控制访问，这样无论用户如何接入网络，他的访问策略都是一致的，做到真正的业务随行。 在实际使用中，管理员可以根据安全需求，在敏捷控制器中划分出不同的安全组，并制定出这些安全组的各种策略，部署到设备。当用户接入网络，敏捷控制器通过灵活的规则定义，让接入网络的用户，动态划分到不同的安全组。这个时候，设备就可以根据已经定义的策略，动态的对用户的网络访问进行控制。这样，无论用户如何接入网络，都能保证用户的业务随着接入网络而动态调整。 策略控制 2.1 访问权限控制 2.2 网络体验保障 访问权限控制 背景信息 企业出于信息资产安全的考虑会对用户进行分类，然后限制不同种类用户可以访问的信息资产的范围，也就是限制用户可