业务随行是如何工作的?
业务随行是如何工作的?
安全组
业务随行处理流程中有一个重要概念:安全组,也叫做UCL组。
安全组是对“网络中进行通信的对象”进行抽象化、逻辑化而得到的一个集合。安全组里面的成员,可以是PC、手机等网络终端设备,既可通过管理员配置静态添加,也可通过认证动态添加。
借助安全组,管理员可以将具有相同网络访问策略的一类用户划分为同一个组,然后为其部署一组网络访问策略,能满足该类别所有用户的网络访问需求。网络对象因为其在网络访问上的“共通性”而被网络管理员划分为同一个安全组,基于安全组配置的策略而获得相同的权限。例如“研发组”(个人主机的集合)、“打印机组”(全网所有打印机的集合)、“数据库服务器组”(服务器IP+端口的集合)。相对于为每个用户部署网络访问策略,基于安全组的网络控制方案能够极大的减少管理员的工作量。
实现机制
业务随行实现机制如下图所示,可以分为6步。
业务随行实现机制示意图
管理员在控制器中创建用户账号、定义UCL组,同时将用户账号加入其所属的UCL组,所有用户必须在认证通过后才可接入网络。然后为用户统一定义基于UCL组的网络访问策略(即组策略)。
控制器将管理员配置的UCL组下发给所有关联的交换机(执行点和认证点设备),从而实现交换机对用户所属UCL组的识别。
执行点设备向控制器发起建立IP-GROUP通道。
用户启动认证,在认证过程中,控制器根据用户的登录信息,将其与UCL组关联。认证成功后,控制器收集所有上线用户的IP地址。
控制器通过IP-GROUP通道向执行点设备推送UCL组表项信息(该用户所属组作为授权结果),记录源/目的IP与UCL组的映射关系。
用户访问网络。当执行点设备收到用户报文后,会尝试识别报文的源/目的IP对应的安全组,对报文执行基于UCL组的策略。
业务随行,NAC,策略联动是什么关系?
业务随行、NAC、策略联动都是进行用户接入控制的一种技术。
业务随行基于安全组对用户进行管理,保证安全组在不同位置、不同时间可以访问同一资源。
NAC(Network Admission Control)称为网络接入控制,通过对接入网络的客户端和用户的认证保证网络的安全,是一种“端到端”的安全技术。
策略联动是通过在网关设备上统一管理用户的访问策略并且在网关设备和认证接入设备执行用户的访问策略,来解决大型园区策略强度与复杂度之间矛盾的一种解决方案,是为了网络规模较大时,简化配置的一种方案。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 业务随行是如何工作的?
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm