• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

vBRAS-CP分权分域管理白皮书-6W100

手册下载

vBRAS-CP分权分域管理白皮书-6W100-整本手册.pdf  (249.79 KB)

  • 发布时间:2021/12/17 16:21:55
  • 浏览量:
  • 下载量:

vBRAS-CP分权分域管理技术白皮书

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。



概述

1.1  产生背景

基于转发与控制分离的vBRAS系统架构包括vBRAS-CP(简称CP)和vBRAS-UP(简称UP)两种角色,由二者共同实现BRAS功能。

·     CPControl Plane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。它CTRL-VMBRAS-VMFWD-VMDB-VM四种类型的VM组成,其中CTRL-VM负责vBRAS-CP管理、配置管理、地址管理、License管理、CP灾备、弹性扩缩容和UP管理等功能。

·     UPUser Plane,用户平面):负责完成用户业务流量转发和流量控制等转发平面功能。

目前,vBRAS-CP的系统管理员可以在CTRL-VM上对UP进行统一管理,包括对UP扩缩容的管理,以及对CPUP间通信通道的管理。随之日益丰富的BRAS业务的产生,要求运营商对网络中的UP资源可以更加灵活的部署以及更加精细化的管理,因此vBRAS-CP分权分域管理技术应需而生。

1.2  技术优点

vBRAS-CP分权分域管理技术实现了不同用户对不同地区UP资源的灵活管控,具有如下优点:

·     配置简单

基于RBAC的用户角色机制,系统管理员只需要在CTRL-VM上进行UP管理组相关用户角色的配置,并将此类用户角色授权给不同的用户,便可达到分权分域的目的。关于“UP管理组”的详细介绍,请参见“2.1.2  UP管理组

·     扩展性强

vBRAS-CP分权分域管理技术可以实现自动对CPUP上配置文件中UP相关命令行的过滤和鉴权,便于实现对后续新增的UP相关命令行的管控。

·     安全性

仅允许和UP管理组关联的区域管理员执行与该UP管理组内UP设备匹配的相关的配置,其他未关联用户没有执行和查看相关配置的权限,从而实现区域性的UP控制。

vBRAS-CP分权分域管理技术实现

2.1  概念介绍

2.1.1  分权分域

分域是指,系统管理员将设备节点、业务或数据划分到不同管理域,并为区域管理员授权不同管理域。区域管理员只能对本区域内的设备、业务或数据进行管理。

分权是指,区域管理员对用户可执行的命令行操作权限的划分,即不同职责(岗位)的用户对区域内被管理对象的命令行操作权限不同。

简单的说,分权是指控制能使用的命令行范围,例如允许配置某功能,分域是指控制能使用的资源范围,例如能使用哪些接口、能查看哪些用户数据等。

2.1.2  UP管理组

vBRAS-CP分权分域的核心思想就是基于UP管理组对UP实现分权分域的管理。UP管理组是由系统管理员创建并分配UP管理权限的配置集合。系统管理员通过在UP管理组中添加UP IDUP配置资源前缀以及UP备份策略模板编号,可以将指定的UP、指定的UP配置资源前缀以及指定的UP备份策略模板配置权限分配给指定的用户。通过设置UP管理组可查看CP中配置范围的权限,可以限制用户能查看CP中所有的配置或者仅能查看与UP相关的所有配置。

UP管理组涉及到的基本概念如下:

·     系统管理员与区域管理员

系统管理员是指以network-admin用户角色登录CP的用户。区域管理员是由系统管理员创建的,以具有特定UP管理权限的用户角色登录CP的用户。

·     UP ID

UP IDUP的唯一标识。系统管理员将UP ID加入到UP管理组后,仅关联了该UP管理组的区域管理员可以执行与该UP设备匹配的相关的配置。

·     UP配置资源前缀

UP配置资源前缀是用于匹配UP相关配置命令的字符串,它为UP相关的配置命令中字符串参数从左至右一位或多位。例如,将agent agent-name命令中的agent-name配置为BinJiang-UP1,则UP配置资源前缀可以是BBinBinJiang等。系统管理员将UP配置资源前缀加入到UP管理组后,对于区域管理员,仅关联了该UP管理组的区域管理员可以执行匹配了UP配置资源前缀的相关配置。

·     UP备份策略模板编号

UP备份策略模板用于定义UP备份模式,以及指定UP设备的主用接口和备用接口。每个UP备份策略模板由一个编号唯一标识。系统管理员将UP备份策略模板编号加入到UP管理组后,对于区域管理员,仅关联了该UP管理组的区域管理员可以执行匹配了该编号的UP备份策略模板相关配置。

2.1.3  RBAC

RBAC的基本思想就是给用户指定角色,这些角色中定义了允许用户操作哪些系统功能以及资源对象。vBRAS-CP分权分域是由RBAC配合UP管理组实现的,它需要系统管理员通过配置特定的用户角色来建立UP管理组与用户角色之间的关联。分配给区域管理员的用户角色中可以定义多条用户角色规则,以及多种类型的资源控制策略。

RBAC涉及到的基本概念如下:

·     用户角色规则

一个用户角色中可以包含多条用户角色规则,每条规则定义了是允许或禁止用户对某命令、特性、特性组、Web菜单、XML元素或者OID进行操作。

·     资源控制策略

资源控制策略规定了用户对系统资源的操作权限,包括如下几类:

¡     接口策略:定义用户允许操作的接口,包括创建并进入接口视图、删除接口。

¡     VPN策略:定义用户允许操作的VPN实例,包括创建并进入VPN视图、删除和应用VPN实例。

¡     UP管理组策略:定义用户允许操作的UP管理组,包括创建并进入UP管理组视图、删除和应用UP管理组。该类策略在在分配给区域管理员的用户角色中必须配置

2.2  运行机制

vBRAS-CP分权分域技术在CTRL-VM上实现,通过RBAC为登录设备的用户授权区域管理员角色,能够控制区域管理员的命令行操作权限,以及对UP数据的显示进行和过滤,其运行机制如下:

2.2.1  通过RBAC实现分权分域

1所示,通过RBAC实现分权分域的基本流程如下:

(1)     系统管理员在CTRL-VM上创建UP管理组,并在UP管理组中添加UP相关配置,如添加UP IDUP配置资源前缀以及UP备份策略模板编号。

(2)     系统管理员创建用户角色,并按需为该角色配置若干用户角色规则来限制用户对命令行的操作权限,以及配置UP管理组策略来允许角色操作某个UP管理组。

(3)     用户登录CTRL-VM时,将被授权指定的用户角色。具体的授权方式包括两种方式,具体请查看RBAC配置指导。由于同一用户可被赋予多个角色,因此可以同时拥有多个区域的UP管理权限。

图1 通过RBAC实现分权分域示意图

 

2.2.2  控制命令行的操作权限

系统管理员通过创建用户角色,并引用已创建且分配了UP管理权限的UP管理组,被赋予该用户角色的区域管理员即可拥有对应UP管理权限。

RBAC模块中资源控制策略需要与用户角色规则相配合才能生效。在用户执行命令的过程中,系统对该命令涉及的系统资源使用权限进行动态检测,因此只有用户同时拥有执行该命令的权限和使用该资源的权限时,才能执行该命令。

命令行的操作权限包括对命令行的执行和查看。区域管理员登录设备后,系统将会对它的命令行操作权限进行双重控制与过滤,基本过程如下:

(1)     RBAC模块根据用户被赋予的用户角色中定义的用户角色规则判断该用户是否能执行相关命令行:

¡     若能执行相关命令行,则需要继续依据步骤(2)进行判断。

¡     若不能执行相关命令行,则不允许执行或查看。

(2)     RBAC模块根据用户被赋予的用户角色中UP管理组策略判断该用户是否具有执行该UP管理组命令行的权限:

¡     若配置了UP管理组策略,则

-     UP管理组策略中设置了可以查看所有配置,则允许查看CP中的所有配置,但没有执行的权限。

-     UP管理组策略中限制了仅可以查看UP相关配置的权限,则需要继续依据步骤(3)进行判断。

-     UP管理组策略中没有限制可查看的范围,则允许执行和查看。

¡     若没有配置UP管理组策略,则允许执行和查看。

(3)     UP管理组中基于组内定义的UP IDUP配置资源前缀和UP备份策略模板编号判断该用户是否拥有对相关配置的查看权限:

¡     若能匹配上指定UP IDUP配置资源前缀或UP备份策略模板编号,则由业务模块返回相关UP的配置文件。

¡     若没有匹配上指定UP IDUP配置资源前缀或UP备份策略模板编号,则不显示相关UP的配置文件。

2.2.3  UP数据的显示过滤

区域管理员登录设备后,查询各业务数据时,系统将基于UP管理组中定义的UP ID信息对显示信息进行过滤,基本过程如下:

(1)     业务模块通过RBAC模块获取用户的UP管理权限。

(2)     RBAC模块查询该用户角色的UP管理组中定义的UP ID列表,并反馈给业务模块。

(3)     业务模块获取指定UP ID的业务数据后在控制台显示。

典型组网应用

2所示,某省中心下属分布着多个区县边缘云,通过省中心系统管理员赋予区县的区域管理员不同的权限,不同的区县的区域管理员登录后只能配置自己权限范围内的命令,查看自己权限范围内的配置和运行信息,不能对其它区县的区域管理员创建的配置进行查看和修改。

图2 典型组网

 

新华三官网
联系我们