IP-SGT策略随行技术白皮书

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文中的内容为通用性技术信息，某些信息可能不适用于您所购买的产品。

1 概述··· 1

1.1 产生背景·· 1

1.2 技术优点·· 1

2 IP-SGT策略随行技术实现··· 1

2.5 按需存储IP-SGT映射表项·· 5

3 应用限制··· 6

4 典型组网应用··· 6

4.1 安全组与VLAN解耦场景（以AP本地转发模式为例）·· 6

4.2 多园区跨隔离域（IP-Transit）场景·· 7

1 概述

1.1 产生背景

传统网络中，只有接入认证设备能接收并执行EIA服务器下发的访问策略，以限制在本设备上线用户的访问权限，其它位置的设备无法接收和执行EIA服务器下发的访问策略。同时，传统网络一般基于地理位置（比如VLAN或IP网段等）进行权限划分，如果用户移动后IP地址发生变化，则无法保证用户依然能够获得相同的网络访问权限。

IP-SGT（IP address-Security Group Tag，IP地址-安全组）策略随行通过将用户角色与安全组绑定，解耦用户与IP地址的关联关系，使得相同用户在不同隔离域认证上线后能够获得相同的访问权限，从而实现了基于用户角色的策略划分。同时，IP-SGT策略随行利用EIA服务器向订阅设备推送用户与安全组的映射信息，摆脱认证点即策略执行点的局限性，解决用户跨隔离域的策略随行问题。

1.2 技术优点

IP-SGT策略随行技术具有如下优点：

· 利用安全组规划权限，提升管理效率。

· 实现认证用户信息的同步分享，增强网络控制能力。

· 认证点和策略执行点可分离，提高组网灵活性。

· 在无线业务中，将安全组与VLAN解耦，提升安全组规格。

· 突破园区地域限制，支持多园区跨隔离域（IP-Transit）场景策略随行。

2 IP-SGT策略随行技术实现

2.1 基本概念

2.1.1 隔离域

“隔离域”用于隔离用户网络，一个隔离域内的IP地址段相同，不同隔离域的IP地址段不同。隔离域一般根据物理位置划分，例如公司的一个园区、医院的一个院区或学校的一个校区等。

2.1.2 微分段

微分段（Microsegment），也叫基于精细分组的安全隔离，其实质就是基于对报文进行分组后的组标识来进行流量控制。例如，将数据中心网络中的服务器按照一定的原则进行分组，然后基于分组来部署流量控制策略，从而达到简化运维、安全管控的目的。

每个微分段都拥有一个全局唯一的ID。

2.1.3 安全组

· 在安全组特性实现过程中，安全组也可以被称为微分段。创建安全组时设置的“标签”ID值即为EIA服务器下发给设备的授权微分段ID。

· 微分段技术可以实现用户与安全组（微分段）关联，并将用户与IP地址段解耦。同一用户使用相同的账号/密码在不同的隔离域认证上线时，EIA服务器会根据帐号/密码授权同一个微分段ID，从而实现跨隔离域的网随人动和策略随行。

安全组是一种基于逻辑分组的安全隔离方案。可以将某一区域内具有相同安全隔离需求的通信对象（个人终端、打印机或服务器等）划分到一个安全组。在不同的安全组之间部署组间策略，以控制不同安全组之间的访问。属于同一安全组的用户在任何位置接入时都可以得到相同的访问权限。

安全组支持跨隔离域划分，不同隔离域内的用户可以属于同一安全组。安全组的组间策略不再需要根据每个IP地址段配置策略，有效地减少了组间策略的配置矩阵规模。相对于传统的接入控制方式（VLAN+ACL），基于安全组的网络管理方案极大地减少了管理员的工作量。

2.2 体系架构

图2-1 IP-SGT策略随行体系架构

如图2-1所示，IP-SGT策略随行体系架构中的设备角色包括：

· 统一数字底盘：是指在物理服务器上安装的数字管理平台，可以通过在统一数字底盘上部署控制器、EIA服务器等组件，完成用户认证以及策略下发。

¡ 控制器：纳管设备，创建安全组并配置组策略。

¡ EIA服务器：完成用户认证、授权和计费；选择已被控制器纳管的设备进行订阅，向订阅设备推送IP-SGT映射表项。

· DHCP服务器：负责为用户分配IP地址。DHCP服务器可以部署在单独的物理服务器上，也可以是统一数字底盘的一个组件。

· 认证点设备：负责对接入用户进行认证。认证点设备可以部署在接入层、汇聚层或核心层。

· 执行点设备：EIA服务器的订阅设备，接收EIA服务器推送的IP-SGT映射表项，控制用户访问权限。执行点设备可以部署在汇聚层或核心层。认证点设备和执行点设备可以是同一设备，也可以是不同设备。

· 终端：请求接入局域网的用户设备，由局域网中的认证点设备对其进行认证。

2.3 运行机制

IP-SGT策略随行技术的实现主要依靠如下三种机制：

· 动态映射机制：EIA服务器动态记录用户IP地址与安全组之间的映射关系。

· IP-SGT订阅机制：EIA服务器向IP-SGT订阅设备推送IP-SGT映射关系。

· 组间访问控制机制：由控制器定义安全组和组策略，并向认证点和执行点设备下发组间访问控制策略。

除特殊说明外，本文中提及的认证点设备只进行用户认证，IP-SGT策略随行功能仅在执行点设备上开启。

以认证点和执行点非同一台设备为例，IP-SGT策略随行工作机制如图2-2所示。

图2-2 IP-SGT工作机制示意图

(1) 管理员在控制器上完成安全组和组策略的定义，并将安全组和组策略信息同步给EIA服务器。

(2) 控制器在组网自动化部署阶段将组策略信息下发给认证点和执行点设备。

(3) EIA服务器与执行点设备之间建立IP-SGT通道，用于推送IP-SGT映射表项。

(4) 用户发起认证。

(5) 认证成功后，EIA服务器根据用户的登录信息为用户授权微分段ID，即将用户加入特定的安全组。

(6) 认证成功后，客户端从DHCP服务器上获取到IP地址。

(7) 认证点设备将用户IP地址上报给EIA服务器。

· 对于Portal认证用户，由于其认证前已从DHCP服务器获得IP地址，会在认证过程中上报IP地址。

· 对于802.1X、MAC地址认证及Web认证用户，认证通过获得IP地址后，通过计费报文上报IP地址。

(8) EIA服务器记录并维护用户IP地址与微分段ID的映射关系。

(9) EIA服务器将收集到的IP-SGT映射关系通过IP-SGT通道推送给执行点设备。执行点设备收到表项后，将其上报给路由管理模块，由路由管理模块下发FIB转发表，即在用户IP地址对应的FIB转发表项中携带MicroSegID属性。驱动根据FIB转发表通过硬件资源将IP-SGT映射表项存储起来。当用户下线后，EIA服务器通知执行点设备删除对应的IP-SGT映射表项。

(10) 客户端发送业务流量。

(11) 执行点设备收到流量报文时，会识别报文的源或目的IP地址，并查询FIB表获取到对应的微分段ID，然后根据源/目的IP地址所属微分段的组间策略来控制不同安全组间的网络访问权限。

2.4 安全组与VLAN解耦

传统VXLAN组网环境中，由于无线AC不支持授权VSI，因此无线认证用户上线后，EIA服务器需要根据用户所属的安全组先授权一个对应的VLAN。用户匹配上该VLAN所属的以太网服务实例后，进入相应的VXLAN并关联安全组。该场景下，一个VLAN ID只能对应一个安全组。由于留给安全组的VLAN ID只有500个，因此，该场景下的安全组数量不能超过500个。

以太网服务实例下需要定义匹配的VLAN ID并关联VSI，该VSI同时关联用户所属的安全组。该以太网服务实例可以通过控制器下发给与AP相连的Leaf设备接口，也可以在Leaf设备接口上手工配置。

采用IP-SGT策略随行功能后，无线用户不再需要通过授权VLAN去获得安全组信息，即安全组与VLAN解耦。安全组规格不再受VLAN数量限制，可以达到4K，以适应需要规划大量安全组的应用场景。无线用户认证时，AC只返回认证结果，不再授权VLAN。策略执行点可以直接通过IP-SGT通道从EIA服务器上订阅IP-SGT映射表项，从而获取用户IP对应的安全组信息。

2.5 按需存储IP-SGT映射表项

缺省情况下，EIA服务器推送的所有IP-SGT映射表项都会在设备上通过硬件资源存储起来，当接收到来自对应IP地址的报文时可以直接通过查询FIB转发表匹配微分段ID并执行相应的组间策略，以提高转发效率。但如图2-3所示，在南北向流量比较大、东西向用户互访流量比较小的组网中，如果执行点设备处于报文交互较少的链路，在执行点设备上存储所有推送的IP-SGT映射表项，会浪费大量硬件资源。

设备可通过按需地址网段实现按需存储IP-SGT映射表项，在提高转发效率的同时节省硬件资源。采用按需地址网段后，设备不会存储该网段中IP地址对应的IP-SGT映射表项。只有当收到的用户流量报文的源IP地址属于该按需地址网段时，设备才会存储其对应的IP-SGT映射表项。后续收到相同源IP地址的流量后，可以直接通过查询FIB转发表匹配微分段ID和组间策略，根据组间策略处理流量。