1、Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 0修訂記錄課程編碼課程編碼適用產(chǎn)品適用產(chǎn)品產(chǎn)品版本產(chǎn)品版本課程版本課程版本ISSUE開發(fā)開發(fā)/優(yōu)化者優(yōu)化者時(shí)間時(shí)間審核人審核人開發(fā)類型（新開發(fā)開發(fā)類型（新開發(fā)/優(yōu)化）優(yōu)化）本頁不打印Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. 業(yè)務(wù)隨行產(chǎn)品培訓(xùn)Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved

2、. Page 2 前言l第一段結(jié)構(gòu)：隨著企業(yè)的發(fā)展，和BYOD的興起，用戶的接入位置和接入方式不再固定，用戶的IP也不再固定，但是傳統(tǒng)網(wǎng)絡(luò)中通過ACL(IP)、VLAN(IP)來管理用戶的策略，導(dǎo)致用戶的策略要經(jīng)常的變更，難以維護(hù)。為了解決這個(gè)問題，華為推出了以Agile Controller為核心的業(yè)務(wù)隨行解決方案。l第二段固定：本課程介紹業(yè)務(wù)隨行特性軟硬件組成和常見組網(wǎng)應(yīng)用。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 3 目標(biāo)l學(xué)完本課程后，您將能夠:p了解業(yè)務(wù)隨行的應(yīng)用場景p了解業(yè)務(wù)隨行的功

3、能實(shí)現(xiàn)p掌握業(yè)務(wù)隨行配置部署方法p掌握業(yè)務(wù)隨行故障處理方法Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 4 目錄l業(yè)務(wù)隨行應(yīng)用場景應(yīng)用場景l(fā)業(yè)務(wù)隨行功能實(shí)現(xiàn)l業(yè)務(wù)隨行配置部署l業(yè)務(wù)隨行故障處理Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 5業(yè)務(wù)隨行：以業(yè)務(wù)和體驗(yàn)為中心策略隨行 體驗(yàn)隨身 BeijingShenzhenSilicon valleyPolicies, resourcesAgile Contro

4、llerWAN/InternetUser XXXLocation XXXPolicies, resourcesPolicies, resources1.優(yōu)先級2.帶寬1.權(quán)限(Permit/Deny)2.業(yè)務(wù)流3.安全（IPS/AV/應(yīng)用安全）體驗(yàn)有保障接入無差別Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 6敏捷交換機(jī)/隨板AC數(shù)據(jù)中心AgileControllerWAN/InternetWAN/InternetVIP員工遠(yuǎn)程接入出差用戶企業(yè)分支企業(yè)園區(qū)業(yè)務(wù)隨行：方案部署邏輯圖VIP優(yōu)先級保障權(quán)限

5、策略帶寬保障執(zhí)行點(diǎn)設(shè)備NGFWSVN業(yè)務(wù)流策略VIP遠(yuǎn)程接入資源保障1、組/策略定義和下發(fā)同步2、用戶認(rèn)證上線，用戶組識(shí)別3、策略執(zhí)行交換機(jī)：S12700/S9700/S7700/S5720HINGFW：USG6300/6500/6600系列SVN：SVN5800系列安全保障認(rèn)證點(diǎn)設(shè)備Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 7應(yīng)用場景一：移動(dòng)辦公業(yè)務(wù)隨行西安園區(qū)北京園區(qū)南京園區(qū)出差接入權(quán)限策略、QoS策略、帶寬策略、安全策略接入權(quán)限策略、QoS策略、帶寬策略、安全策略接入權(quán)限策略、QoS策略、

6、帶寬策略、安全策略接入權(quán)限策略、QoS策略、帶寬策略、安全策略應(yīng)用場景：移動(dòng)辦公場景下，用戶會(huì)在不同地方接入企業(yè)網(wǎng)絡(luò)，而用戶須要獲得一致的策略和體驗(yàn)，也就是策略隨行體驗(yàn)隨身。客戶訴求：因?yàn)橥粋€(gè)用戶會(huì)在不同的地方接入，而不同的用戶可能在一個(gè)物理位置接入，使得網(wǎng)絡(luò)設(shè)備的配置非常復(fù)雜，部署大量的靜態(tài)VLAN或ACL等。尤其是須要進(jìn)行調(diào)整時(shí)，對于IT部門來說是非常復(fù)雜的工作。敏捷園區(qū)方案：在Controller上統(tǒng)一部署用戶組和組間策略，下發(fā)至全網(wǎng)設(shè)備。用戶上線自然獲取其統(tǒng)一的策略和體驗(yàn)。價(jià)值：做到移動(dòng)辦公場景下策略隨行體驗(yàn)隨身。Copyright 2014 Huawei Technologies

7、Co., Ltd. All rights reserved. Page 8應(yīng)用場景二：臨時(shí)團(tuán)隊(duì)隨時(shí)建立銷售員工研發(fā)員工外包員工訪客VIP數(shù)據(jù)中心應(yīng)用場景：臨時(shí)團(tuán)隊(duì)在同一個(gè)物理區(qū)域辦公（接入同一交換機(jī)和AP），而不同角色可以獲取不同權(quán)限，并實(shí)現(xiàn)不同角色之間的互訪與隔離。臨時(shí)團(tuán)隊(duì)隨時(shí)建立，隨時(shí)解散。研發(fā)銷售VIP訪客服務(wù)器研發(fā)允許允許禁止允許允許銷售允許禁止允許允許允許VIP允許允許允許允許允許訪客禁止禁止禁止禁止允許服務(wù)器允許允許允許允許允許客戶訴求：接入交換機(jī)配置VLAN和ACL，將VLAN或ACL與用戶綁定，實(shí)現(xiàn)基于源用戶的權(quán)限控制。問題1：須要更改交換機(jī)配置，且配置復(fù)雜，工作量大，增刪用戶

8、類型時(shí)難以維護(hù)。問題2：如果只下發(fā)ACL，那么無法做到VLAN內(nèi)的用戶互訪隔離。問題3：隨著用戶類型增加，接入交換機(jī)上的預(yù)配置VLAN和IP網(wǎng)段成倍增加。敏捷園區(qū)方案：因?yàn)镃ontroller上已經(jīng)定義好用戶組和組間策略，并已下發(fā)給交換機(jī)和其它網(wǎng)絡(luò)設(shè)備。不同角色的用戶上線時(shí)關(guān)聯(lián)至不同的組，自然就獲取不同的用戶權(quán)限，以及相互之間的互訪與隔離。價(jià)值：臨時(shí)團(tuán)隊(duì)隨時(shí)建立隨時(shí)解散，不須要臨時(shí)對網(wǎng)絡(luò)設(shè)備進(jìn)行任何配置。源組目的組Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 9應(yīng)用場景三：VIP用戶體驗(yàn)保障WAN/

9、InternetVIP數(shù)據(jù)中心敏捷交換機(jī)/隨板AC認(rèn)證交換機(jī)根據(jù)Controller下發(fā)的策略為VIP用戶分配更高的帶寬NGFW根據(jù)Controller下發(fā)的策略將VIP用戶流量送入高優(yōu)先級隊(duì)列調(diào)度為VIP用戶保證VPN接入資源，當(dāng)SVN資源用盡可以自動(dòng)強(qiáng)制普通用戶下線，保證VIP用戶接入WAN/Internet通過Controller和網(wǎng)絡(luò)設(shè)備的協(xié)作為VIP用戶分配更多的資源保障，集中式的控制使得VIP用戶得到端到端一致的體驗(yàn)保障。帶寬優(yōu)先級VPN資源VIP用戶VPN遠(yuǎn)程接入Copyright 2014 Huawei Technologies Co., Ltd. All rights res

10、erved. Page 10 目錄l業(yè)務(wù)隨行應(yīng)用場景l(fā)業(yè)務(wù)隨行功能實(shí)現(xiàn)l業(yè)務(wù)隨行配置部署l業(yè)務(wù)隨行故障處理Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 11業(yè)務(wù)隨行邏輯架構(gòu)Agile ControllerCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 12業(yè)務(wù)隨行主要概念安全組策略矩陣用戶優(yōu)先級5W1H授權(quán)IP-Group查詢Copyright 2014 Huawei Technologies Co., L

11、td. All rights reserved. Page 13業(yè)務(wù)隨行部署三步曲1. 在Controller中定義安全組2. 向組中添加成員：動(dòng)態(tài)類型：特定用戶（使用授權(quán)策略描述）靜態(tài)類型：固定IP地址或網(wǎng)段1. 在Controller中定義組策略體驗(yàn)策略（VIP組轉(zhuǎn)發(fā)優(yōu)先級）權(quán)限策略（組間是否允許互訪）2. 部署組策略執(zhí)行點(diǎn)設(shè)備與Controller對接Controller自動(dòng)將安全組和組策略下發(fā)至執(zhí)行點(diǎn)1. 認(rèn)證：用戶嘗試接入網(wǎng)絡(luò)，Controller校驗(yàn)身份憑證。2. 授權(quán)：Controller根據(jù)5W1H條件，匹配授權(quán)策略，授權(quán)用戶所屬安全組，執(zhí)行點(diǎn)設(shè)備將用戶所用的IP地址動(dòng)態(tài)添加到

12、指定組中。3. 執(zhí)行：網(wǎng)絡(luò)設(shè)備根據(jù)本地及Controller中保存的IP地址與組的對應(yīng)關(guān)系，識(shí)別報(bào)文的源目的組信息，進(jìn)而匹配和執(zhí)行組策略。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 14業(yè)務(wù)隨行Step1：在Controller中定義組并向組中加入成員員工VIP外包園區(qū)/分支旅途/酒店在家便攜機(jī) /PC智能終端啞終端WhoWhatWhere上班時(shí)間節(jié)假日白天/晚上When用戶資源How有線無線VPN認(rèn)證授權(quán)規(guī)則綁定組認(rèn)證授權(quán)規(guī)則綁定組IP綁定組綁定組財(cái)經(jīng)部外包員工研發(fā)部VIP BYOD辦公組VPN

13、辦公組郵件服務(wù)器語音服務(wù)器 代碼服務(wù)器InternetCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 15業(yè)務(wù)隨行Step2：在Controller中定義組間策略A A研發(fā)研發(fā)B B外包外包C郵件郵件D D語音語音E E代碼代碼F F測試測試G G公網(wǎng)公網(wǎng)0 0未未知知AnyAnyA A研發(fā)研發(fā)禁止允許B B外包外包允許允許允許禁止C郵件郵件僅允許源端口25/110其他禁止允許D D語音語音禁止允許E E代碼代碼允許禁止F F測試測試允許允許禁止G G公網(wǎng)公網(wǎng)僅允許目的端口25/110其他禁止禁止禁止

14、禁止0 0未知未知禁止禁止允許Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 16業(yè)務(wù)隨行Step2：Controller向執(zhí)行點(diǎn)推送安全組與組策略Campus Controller安全組安全組組組名名GroupIGroupID D研發(fā)10外包11郵件12組策略（權(quán)限）組策略（權(quán)限）郵郵件件語語音音研研發(fā)發(fā)外外包包 將執(zhí)行點(diǎn)與Controller進(jìn)行對接。對接成功后，Controller自動(dòng)推送安全組和組策略。 推送的內(nèi)容僅包含組名、GroupID，以及通過“IP綁定組”方式加入該組的IP地址成員。

15、組策略本身不與IP地址關(guān)聯(lián)。 維護(hù)階段，管理員只需在Controller上修改，就可以實(shí)現(xiàn)全網(wǎng)執(zhí)行點(diǎn)的安全組和策略更新。組策略（體驗(yàn)）組策略（體驗(yàn)）VIPVIP組組優(yōu)先優(yōu)先級級CEOCEO6CTOCTOCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 17業(yè)務(wù)隨行Step3：系統(tǒng)自動(dòng)運(yùn)行，大功告成服務(wù)器ControllerDCBranch防火墻防火墻認(rèn)證點(diǎn)交換機(jī)1. 用戶接入，向Controller統(tǒng)一認(rèn)證。以分支接入為例。2. Controller判斷該用戶的登錄條件，將該用戶與對應(yīng)授權(quán)策略中綁定的組

16、進(jìn)行關(guān)聯(lián)。3. 認(rèn)證通過，Controller通知認(rèn)證點(diǎn)該用戶所屬組。4. 認(rèn)證點(diǎn)上報(bào)用戶當(dāng)前使用的真實(shí)IP地址。5. Controller將IP地址與組關(guān)聯(lián)，并記錄到在線用戶信息表中。6. 認(rèn)證點(diǎn)收到用戶的業(yè)務(wù)報(bào)文，識(shí)別報(bào)文的源組和目的組，執(zhí)行組間策略。7. 非認(rèn)證點(diǎn)收到用戶的業(yè)務(wù)報(bào)文，向Controller查詢報(bào)文的源組和目的組信息。8. 非認(rèn)證點(diǎn)執(zhí)行組間策略。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 18關(guān)鍵技術(shù)解析：用戶認(rèn)證工作流程關(guān)鍵技術(shù)解析：用戶認(rèn)證工作流程終端認(rèn)證點(diǎn)Controll

17、er（Radius服務(wù)器組件）終端認(rèn)證點(diǎn)Controller（Radius服務(wù)器組件）Portal服務(wù)器802.1X/MAB/PPPoE/ PPP(L2TP VPN)/CA(SSL VPN)用戶提供身份憑證（用戶名/密碼，證書等）。具體使用協(xié)議依所用認(rèn)證方式而定。請求Controller校驗(yàn)身份憑證的正確性認(rèn)證成功/失敗RADIUS查詢本地用戶數(shù)據(jù)庫或外部用戶數(shù)據(jù)庫（AD/LDAP）認(rèn)證成功/失敗認(rèn)證成功則允許終端接入網(wǎng)絡(luò)HTTPCHAPRADIUSPortal用戶提供身份憑證（用戶名/密碼)CHAP認(rèn)證交互請求Controller校驗(yàn)身份憑證的正確性查詢本地用戶數(shù)據(jù)庫或外部用戶數(shù)據(jù)庫（AD/

18、LDAP）認(rèn)證成功/失敗認(rèn)證成功則允許終端接入網(wǎng)絡(luò)認(rèn)證成功/失敗認(rèn)證成功/失敗Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 19關(guān)鍵技術(shù)解析：上線用戶身份判斷與授權(quán)工作流程1. 用戶通過認(rèn)證點(diǎn)認(rèn)證成功后，Controller根據(jù)用戶的登錄條件匹配授權(quán)策略。2. 根據(jù)授權(quán)策略中的配置，Controller將上線用戶添加到指定的安全組中，并將該用戶所屬的安全組信息作為授權(quán)結(jié)果通過Radius報(bào)文中的擴(kuò)展屬性下發(fā)給認(rèn)證點(diǎn)。3. 認(rèn)證點(diǎn)向Controller上報(bào)該用戶的IP地址。4. 認(rèn)證點(diǎn)本地將用戶的IP

19、地址與GroupID進(jìn)行關(guān)聯(lián)，形成在線用戶信息表。5. Controller集中了全網(wǎng)在線用戶的信息，進(jìn)而可以對在線用戶進(jìn)行管理，例如權(quán)限變更，強(qiáng)制下線等。同時(shí)這些用戶信息還可以供執(zhí)行點(diǎn)查詢。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 20關(guān)鍵技術(shù)解析：認(rèn)證點(diǎn)（以交換機(jī)為例）如何識(shí)別組信息服務(wù)器Controller場景場景源組來源源組來源目的組來源目的組來源用戶訪問數(shù)據(jù)中心靜態(tài)資源控制Controller在認(rèn)證過程中下發(fā)源用戶所屬的組信息在Controller中將靜態(tài)資源的IP地址與組綁定。在預(yù)部

20、署階段，Controller向執(zhí)行點(diǎn)同步安全組時(shí)將IP與組的綁定關(guān)系下發(fā)至交換機(jī)上。交換機(jī)收到業(yè)務(wù)報(bào)文后根據(jù)目的IP查詢靜態(tài)綁定關(guān)系即可獲得目的組信息。同一認(rèn)證點(diǎn)交換機(jī)下用戶互訪控制Controller在認(rèn)證過程中下發(fā)源用戶所屬的組信息Controller在認(rèn)證過程中下發(fā)目的用戶所屬的組信息。認(rèn)證授權(quán)Controller中內(nèi)置一個(gè)“未知組”（0號(hào)組）。執(zhí)行點(diǎn)設(shè)備對于無法獲取組信息的IP地址，將按照其屬于未知組處理。對于本地認(rèn)證用戶（假設(shè)為A組）訪問一個(gè)非本地認(rèn)證用戶的流量，交換機(jī)無法識(shí)別報(bào)文的目的IP地址所屬的組信息。因此該條流量會(huì)根據(jù)“A訪問未知組”的規(guī)則來進(jìn)行處理。此類流量最終可以由防火墻

21、來進(jìn)行控制。Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 21關(guān)鍵技術(shù)解析：非認(rèn)證點(diǎn)（以防火墻為例）如何識(shí)別組信息服務(wù)器Controller場景場景源組來源源組來源目的組來源目的組來源用戶訪問數(shù)據(jù)中心靜態(tài)資源控制防火墻向Controller查詢報(bào)文的源IP地址所屬的組信息。查詢結(jié)果會(huì)在防火墻本地緩存，因此僅首包會(huì)觸發(fā)查詢。在Controller中將靜態(tài)資源的IP地址與組綁定。在預(yù)部署階段，Controller向執(zhí)行點(diǎn)同步安全組時(shí)將IP與組的綁定關(guān)系下發(fā)至防火墻上。防火墻收到業(yè)務(wù)報(bào)文后根據(jù)目的IP查詢

22、靜態(tài)綁定關(guān)系即可獲得目的組信息?？缯J(rèn)證點(diǎn)交換機(jī)用戶互訪控制防火墻向Controller查詢報(bào)文的源IP地址和目的IP地址所屬的組信息。查詢結(jié)果會(huì)在防火墻本地緩存，因此僅首包會(huì)觸發(fā)查詢。防火墻作為VPN用戶的認(rèn)證點(diǎn)時(shí)，源用戶信息無需向Controller查詢，在認(rèn)證授權(quán)過程中即可由Controller向其主動(dòng)下發(fā)該用戶的組信息。防火墻只有在本地（本地認(rèn)證上線用戶、本地緩存的以前的查詢結(jié)果、本地保存的IP地址與組的靜態(tài)綁定關(guān)系）無法查詢到組信息時(shí)，才會(huì)向Controller進(jìn)行主動(dòng)查詢。Copyright 2014 Huawei Technologies Co., Ltd. All rights

23、reserved. Page 22業(yè)務(wù)隨行設(shè)備配套列表設(shè)備類型設(shè)備版本號(hào)設(shè)備型號(hào)NGFWV1R1C20及以上USG6310、USG6320、USG6330、USG6350USG6360、USG6370、USG6380、USG6390V1R1C20及以上USG6530、USG6550、USG6570、USG6510-SJJV1R1C20及以上USG6620、USG6630、USG6650、USG6660USG6670、USG6680SVNV1R1C20及以上SVN5630、SVN5660、SVN5830、SVN5850SVN5860、SVN5880、SVN5880-C盒式交換機(jī)V2R6C00及以

24、上5720HI框式交換機(jī)V2R6C00及以上S12700V2R6C00及以上S9700V2R6C00及以上S7700Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 23業(yè)務(wù)隨行硬件基本參數(shù)部件名稱最小內(nèi)存推薦內(nèi)存CPU（閑時(shí)）C PU(忙時(shí))磁盤空間組件個(gè)數(shù)SM組件1024M=1.2G=5%=50%1.5G1AuthServer組件（SC服務(wù)器）512M=1.4G=5%=50%1.5G=50RadiusServer組件（SC服務(wù)器）512M1.2G=5%=50%1.5G=50PortalServer組

25、件（SC服務(wù)器）512M=1.2G=5%=50%1.5G=50NetworkServer組件（SC服務(wù)器）512M=1.2G=5%=50%1.5G=2個(gè)，支持1主1備數(shù)據(jù)庫組件2G2G=5%=50%300G3個(gè)，支持?jǐn)?shù)據(jù)庫鏡像Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 24業(yè)務(wù)隨行軟件性能指標(biāo)部件名稱性能項(xiàng)指標(biāo)值說明AuthsServer組件本地賬號(hào)認(rèn)證50次認(rèn)證/秒防火墻接入認(rèn)證外部數(shù)據(jù)源賬號(hào)40次認(rèn)證/秒RadiusServer組件本地賬號(hào)1000次認(rèn)證/秒PAP/CHAP/EAP-MD5協(xié)議

26、本地賬號(hào)100次認(rèn)證/秒EAP-PEAP-MSCHAPV2/EAP-PEAP-GTC/EAP-TLS協(xié)議外部數(shù)據(jù)源賬號(hào)50次認(rèn)證/秒PortalServer組件本地賬號(hào)40次認(rèn)證/秒=5%外部數(shù)據(jù)源賬號(hào)NetworkServer組件設(shè)備注冊2000臺(tái)/分鐘IP-Group查詢性能能夠查詢到1000個(gè)IP地址對應(yīng)的Group信息IP-Group查詢1000個(gè)IP/秒數(shù)據(jù)庫組件2G2G=5%Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 25 目錄l業(yè)務(wù)隨行應(yīng)用場景l(fā)業(yè)務(wù)隨行功能實(shí)現(xiàn)l業(yè)務(wù)隨行配置部署l業(yè)

27、務(wù)隨行故障處理Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 26業(yè)務(wù)隨行典型組網(wǎng)園區(qū)互園區(qū)互聯(lián)網(wǎng)邊聯(lián)網(wǎng)邊界防火界防火墻墻Internet資源SVNInternet出口區(qū)出口區(qū)DCCampusBranch財(cái)經(jīng)部財(cái)經(jīng)部外包外包財(cái)經(jīng)部財(cái)經(jīng)部財(cái)經(jīng)部財(cái)經(jīng)部分支分支WAN邊界邊界防火防火墻墻交換機(jī)交換機(jī)A交換機(jī)交換機(jī)B交換機(jī)交換機(jī)C園區(qū)園區(qū)WAN邊界邊界防火防火墻墻核心防火核心防火墻墻外包外包外包外包SM+Witness DBAgile ControllerSCSC+Mirror DB策略控制點(diǎn)策略控制點(diǎn)認(rèn)證認(rèn)

28、證點(diǎn)點(diǎn)SC+Master DBCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 27配置思路配置前準(zhǔn)備配置和部署安全組配置和部署安全組策略配置授權(quán)規(guī)則Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 28配置前準(zhǔn)備-設(shè)備配置S7700radius-server template test S7700-radius-testradius-server authentication 2 1812

29、S7700-radius-testradius-server accounting 2 1813 S7700-radius-testradius-server shared-key cipher Huawei123 S7700aaa S7700-aaaauthentication-scheme test S7700-aaa-authen-testauthentication-mode radius S7700-aaa-authen-testquit S7700-aaaaccounting-scheme testS7700-aaa-accounting-testaccount

30、ing-mode radius S7700-aaadomain defaultS7700-aaa-domain-defaultauthentication-scheme test S7700-aaa-domain-defaultaccounting-scheme testS7700-aaa-domain-defaultradius-server test 配置啟用配置啟用RADIUS 認(rèn)證認(rèn)證S7700group controller 2 Password Huawei123 配置和配置和Agile Controller的連接參數(shù)（的連接參數(shù)（XMPP）S7700authe

31、ntication unified-mode 啟用交換機(jī)的啟用交換機(jī)的Unified模式模式配置配置Agile Controller XMPP 連接參數(shù)連接參數(shù)配置配置Agile Controller RADIUS連接參數(shù)連接參數(shù)交換機(jī)交換機(jī)防火墻防火墻Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 29配置前準(zhǔn)備-Controller管理設(shè)備說明：名稱：必須填寫，不允許重名IP：必須填寫，不允許重復(fù)描述：可選協(xié)議參數(shù)：根據(jù)業(yè)務(wù)需要，設(shè)置認(rèn)證參數(shù)、XMPP參數(shù)、SNMP參數(shù)、TELNET參數(shù)。XMPP

32、參數(shù)：用于controller與華為敏捷設(shè)備（交換機(jī)、防火墻）通信SNMP參數(shù)：用于controller與所有支持SNMP協(xié)議的設(shè)備通訊TELNET參數(shù)：用于controller與所有支持TELNET協(xié)議的設(shè)備通訊Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 30XMPP協(xié)議介紹nXMPP（Extensible Messaging and Presence Protocol，前稱Jabber）是一種以XML為基礎(chǔ)的開放式實(shí)時(shí)通信協(xié)議，是經(jīng)由互聯(lián)網(wǎng)工程工作小組（IETF）通過的互聯(lián)網(wǎng)標(biāo)準(zhǔn)(RFC 39

33、20、 RFC 3921、RFC3922、RFC3923)nXMPP中定義了三個(gè)角色，客戶端，服務(wù)器，網(wǎng)關(guān)。通信能夠在這三者的任意兩個(gè)之間雙向發(fā)生。服務(wù)器同時(shí)承擔(dān)了客戶端信息記錄，連接管理和信息的路由功能。網(wǎng)關(guān)承擔(dān)著與異構(gòu)即時(shí)通信系統(tǒng)的互聯(lián)互通，異構(gòu)系統(tǒng)可以包括SMS（短信），MSN，ICQ等。基本的網(wǎng)絡(luò)形式是單客戶端通過TCP/IP連接到單服務(wù)器，然后在之上傳輸XML。nXMPP的安全傳輸可以通過增加一個(gè)TLS層來實(shí)現(xiàn)，XMPP的認(rèn)證通過增加一層SASL （簡單驗(yàn)證和安全層）來支持，通過驗(yàn)證之后才能進(jìn)行正常的XMPP消息通信在Agile Controller中，Controller是XMPP

34、 Server，所有的敏捷設(shè)備都是XMPP ClientCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 31XMPP協(xié)議在Controller中的使用三層網(wǎng)絡(luò)三層網(wǎng)絡(luò)ControllerXMPP ServerXMPP ClientXMPP Client交換機(jī)防火墻XMPP交互配置XMPP連接參數(shù)、共享密鑰配置XMPP連接參數(shù)、共享密鑰Controller交換機(jī)向Controller注冊檢查設(shè)備合法性協(xié)商建立TCP長連接部署策略通過XML數(shù)據(jù)格式交互Copyright 2014 Huawei Techn

35、ologies Co., Ltd. All rights reserved. Page 32配置思路配置前準(zhǔn)備配置和部署安全組配置和部署安全組策略配置授權(quán)規(guī)則動(dòng)態(tài)安全組才需要配置Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 33配置安全組增加安全組增加安全組l安全組p表示用戶身份的安全組，是通過認(rèn)證授權(quán)過程中，匹配授權(quán)規(guī)則動(dòng)態(tài)決定，所以這類安全組不需要手動(dòng)綁定IPp表示靜態(tài)資源、服務(wù)器的安全組，是固定的，需要手動(dòng)綁定IP或者IP地址段Copyright 2014 Huawei Technologie

36、s Co., Ltd. All rights reserved. Page 34配置安全組配置靜態(tài)安全組綁定配置靜態(tài)安全組綁定IPl安全組p表示用戶身份的安全組，是通過認(rèn)證授權(quán)過程中，匹配授權(quán)規(guī)則動(dòng)態(tài)決定，所以這類安全組不需要手動(dòng)綁定IPp表示靜態(tài)資源、服務(wù)器的安全組，是固定的，需要手動(dòng)綁定IP或者IP地址段Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 35部署安全組l安全組部署p安全組的部署是一個(gè)自動(dòng)化的過程，Controller會(huì)自動(dòng)向支持業(yè)務(wù)隨行功能的設(shè)備下發(fā)安全組p如果安全組進(jìn)行了增加和刪除

37、，Controller會(huì)向設(shè)備下發(fā)增量的配置，不會(huì)修改設(shè)備原有安全組配置支持業(yè)務(wù)隨行的設(shè)備支持業(yè)務(wù)隨行的設(shè)備Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 36配置思路配置前準(zhǔn)備配置和部署安全組配置和部署安全組策略配置授權(quán)規(guī)則Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 37配置訪問權(quán)限策略l訪問權(quán)限策略pController通過矩陣的方式來定義安全組間的訪問權(quán)限策略，默認(rèn)是允許、禁止p組間的訪問權(quán)限策略與

38、傳統(tǒng)的ACL類似，只是將ACL中的IP換成了安全組，所以權(quán)限也可以指定訪問 的具體協(xié)議和端口，定義一個(gè)模板單擊Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 38配置訪問權(quán)限模板l訪問權(quán)限策略pController通過矩陣的方式來定義安全組間的訪問權(quán)限策略，默認(rèn)是允許、禁止p組間的訪問權(quán)限策略與傳統(tǒng)的ACL類似，只是將ACL中的IP換成了安全組，所以權(quán)限也可以指定訪問 的具體協(xié)議和端口，定義一個(gè)模板Copyright 2014 Huawei Technologies Co., Ltd. All rig

39、hts reserved. Page 39部署訪問權(quán)限策略l訪問權(quán)限策略p訪問權(quán)限的部署是一個(gè)自動(dòng)化的過程，Controller會(huì)自動(dòng)向支持業(yè)務(wù)隨行功能的設(shè)備下發(fā)策略p如果訪問權(quán)限進(jìn)行了增加和刪除，Controller會(huì)向設(shè)備下發(fā)增量的配置，不會(huì)修改設(shè)備原有安全組配置Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 40配置用戶優(yōu)先級QoS策略l用戶QoS優(yōu)先級策略p用戶的QoS優(yōu)先級，主要為了保障企業(yè)重要人員的體驗(yàn)，當(dāng)網(wǎng)絡(luò)發(fā)生擁塞時(shí)，會(huì)優(yōu)先轉(zhuǎn)發(fā)這部分人的流量，保障他們的體驗(yàn)p園區(qū)網(wǎng)絡(luò)中，一般只會(huì)在出口

40、側(cè)會(huì)出現(xiàn)網(wǎng)絡(luò)擁塞，所以配置時(shí)，只需要對出口側(cè)設(shè)備進(jìn)行策略部署1選擇要保證QoS的安全組2選擇安全組轉(zhuǎn)發(fā)優(yōu)先級3選擇要部署的設(shè)備4 部署到QoS保障的設(shè)備，當(dāng)前只支持NGFWCopyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 41配置思路配置前準(zhǔn)備配置和部署安全組配置和部署安全組策略配置授權(quán)規(guī)則Copyright 2014 Huawei Technologies Co., Ltd. All rights reserved. Page 42配置授權(quán)規(guī)則l授權(quán)規(guī)則p用戶的安全組，是通過5W1H條件來匹配，在Controller中，直觀的指定條件，來定義用戶授權(quán)