ADCampus解決方案微分段技術(shù)白皮書(shū)Copyright?DATE\@"yyyy"2020新華三技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。非經(jīng)本公司書(shū)面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。本文檔中的信息可能變動(dòng)，恕不另行通知。目錄1技術(shù)背景 22微分段定義 23微分段的價(jià)值 33.1降低網(wǎng)絡(luò)設(shè)備TCAM資源 33.2靈活分組 33.3安全子組 43.4對(duì)接第三方認(rèn)證能力 53.5多園區(qū)業(yè)務(wù)跟隨 64微分段方案的基本原理 64.1微分段有線方案整體架構(gòu) 64.2微分段無(wú)線方案整體架構(gòu) 94.3微分段靜態(tài)VXLAN整體架構(gòu) 94.4微分段方案MacPortal+認(rèn)證 114.5微分段的WEBPortal+認(rèn)證 115方案組網(wǎng)模型 125.1靜態(tài)VXLAN組網(wǎng)模型 125.2動(dòng)態(tài)VXLAN組網(wǎng)模型 135.3混合組網(wǎng) 146總結(jié) 14技術(shù)背景ADCampus方案推出了網(wǎng)隨人動(dòng)，業(yè)務(wù)隨行的方案。但是純粹網(wǎng)隨人動(dòng)的方案也會(huì)帶來(lái)一個(gè)問(wèn)題，針對(duì)精細(xì)的用戶(hù)分組來(lái)說(shuō)，為每個(gè)角色分配一個(gè)網(wǎng)段將會(huì)帶來(lái)較大的網(wǎng)絡(luò)開(kāi)銷(xiāo)。同時(shí)針對(duì)傳統(tǒng)網(wǎng)絡(luò)改造、IP網(wǎng)絡(luò)已經(jīng)分配好的場(chǎng)景、公共機(jī)場(chǎng)景、舊網(wǎng)改造中靜態(tài)IP場(chǎng)景，網(wǎng)隨人動(dòng)帶來(lái)較大的網(wǎng)絡(luò)改造復(fù)雜度。網(wǎng)隨人動(dòng)2.0方案在現(xiàn)有網(wǎng)隨人動(dòng)基礎(chǔ)上，通過(guò)微分段做了精細(xì)劃分，推出了業(yè)務(wù)隨行方案，可以支持安全組子組，支持在相同網(wǎng)絡(luò)下更加精細(xì)化的網(wǎng)絡(luò)安全策略，同時(shí)可以繼承網(wǎng)隨人動(dòng)1.0的名址綁定能力。微分段定義分段Segment=廣播域或者子網(wǎng)或者VLAN。分段Segment微分段MicroSegment=終端或者終端的集合。在園區(qū)網(wǎng)里面代表用戶(hù)所屬于的角色或者安全組SGT(SegmentTag)。微分段MircoSegment微分段的價(jià)值降低網(wǎng)絡(luò)設(shè)備TCAM資源傳統(tǒng)的基于網(wǎng)段定義角色的方式不能滿(mǎn)足用戶(hù)更加精細(xì)化的安全業(yè)務(wù)需求。舊網(wǎng)改造過(guò)程中對(duì)傳統(tǒng)網(wǎng)絡(luò)的改造要求較多，并且網(wǎng)絡(luò)比不上用戶(hù)業(yè)務(wù)的變化靈活。同時(shí)，基于網(wǎng)絡(luò)的IP做策略，特別是IPV6的引入，極大增加了網(wǎng)絡(luò)的硬件TCAM資源負(fù)擔(dān)。而基于微分段的安全策略，可以極大減輕TCAM負(fù)擔(dān)。微分段SGT位寬只有12bits相對(duì)IPV6可以極大減輕TCAM資源靈活分組微分段的引入可以實(shí)現(xiàn)靈活安全分組，方便業(yè)務(wù)改造。即可以支持單角色SGT對(duì)應(yīng)單個(gè)VXLAN網(wǎng)關(guān)，也可以支持對(duì)應(yīng)多個(gè)VXLAN子網(wǎng)，同時(shí)可以支持多個(gè)角色對(duì)應(yīng)單個(gè)VXLAN網(wǎng)關(guān)，在多園區(qū)場(chǎng)景還可以支持單角色對(duì)應(yīng)多個(gè)VXLAN網(wǎng)關(guān)。如圖所示。微分段實(shí)現(xiàn)網(wǎng)隨人動(dòng)方案微分段實(shí)現(xiàn)業(yè)務(wù)隨行方案安全子組微分段支持精細(xì)化安全子組能力。安全子組可以為某個(gè)組織架構(gòu)配置某個(gè)安全組，并且分配某個(gè)網(wǎng)段，挑出某些特定人員，授權(quán)安全子組，安全子組即有繼承父組的能力，又可以分配某些特權(quán)。 安全子組場(chǎng)景如圖6所示，某部門(mén)可以訪問(wèn)某連續(xù)網(wǎng)段中的大部分服務(wù)器，但是其中還有部分服務(wù)器不允許訪問(wèn)，即黑名單服務(wù)器；該部門(mén)中除了部分特權(quán)用戶(hù)外，禁止訪問(wèn)某高密服務(wù)器區(qū)。對(duì)接第三方認(rèn)證能力由于微分段方案認(rèn)證不再授權(quán)VXLAN，與網(wǎng)絡(luò)解耦，針對(duì)于傳統(tǒng)Portal認(rèn)證系統(tǒng)，微分段可以做到認(rèn)證過(guò)程中IP地址不必切換，解決第三方AAA的對(duì)接問(wèn)題。針對(duì)于1X和MAC等認(rèn)證，也可以通過(guò)第三方認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，減少ADCampus方案的耦合性。兼容第三方認(rèn)證系統(tǒng)多園區(qū)業(yè)務(wù)跟隨另外，微分段方案在多園區(qū)場(chǎng)景可以實(shí)現(xiàn)用戶(hù)在不同園區(qū)業(yè)務(wù)拉通。由于微分段方案授權(quán)的不再是VXLAN網(wǎng)絡(luò)，而是SGT角色。那么可以支持在不同園區(qū)授權(quán)相同的角色，保證不同園區(qū)的業(yè)務(wù)拉通能力。同理也可以保證用戶(hù)在不同園區(qū)出差的業(yè)務(wù)隨行能力。如圖所示。多場(chǎng)所的業(yè)務(wù)隨行微分段方案的基本原理微分段有線方案整體架構(gòu)非微分段方案：認(rèn)證授權(quán)VXLAN，基于IP做策略微分段有線方案：認(rèn)證授權(quán)SGT,基于SGTID做策略實(shí)現(xiàn)方式如下。SDN控制通道：SDN向LEAF配置ACL:SGTxxx->SGTxxxpermitSDN向Leaf下發(fā)SGT->VXLAN映射，可以選擇多個(gè)SGTID對(duì)一個(gè)VXLAN（業(yè)務(wù)隨行）或者一對(duì)一（網(wǎng)隨人動(dòng)），在不同場(chǎng)所下也可以選擇一個(gè)SGTID對(duì)應(yīng)多個(gè)場(chǎng)所的VXLANID。SDN向EIA交互SGT；認(rèn)證通道：用戶(hù)認(rèn)證：EIA向Leaf下發(fā)授權(quán)SGT；Leaf建立Port+VLAN->VXLAN映射關(guān)系，Leaf動(dòng)態(tài)生成IP->SGT映射關(guān)系表，根據(jù)交換機(jī)芯片能力存儲(chǔ)的空間有所不同。報(bào)文基于SGTID執(zhí)行fromSGTID->SGTID的策略。數(shù)據(jù)轉(zhuǎn)發(fā)通道：用戶(hù)授權(quán)后的SGTID通過(guò)EVPN發(fā)布給園區(qū)網(wǎng)所有LEAF，策略執(zhí)行點(diǎn)在Leaf上，如圖所示。微分段方案路由發(fā)布模式以及策略通道說(shuō)明：微分段映射表根據(jù)不同的交換芯片，實(shí)現(xiàn)的方式有所不同，Marvel芯片的實(shí)現(xiàn)方式是基于硬件資源實(shí)現(xiàn)，在網(wǎng)隨人動(dòng)場(chǎng)景與IP解耦場(chǎng)景占用的資源各有不同；而B(niǎo)roadCom芯片使用的是ARP資源，不會(huì)區(qū)分這兩種場(chǎng)景。微分?jǐn)嘤成浔砦⒎侄螆?chǎng)景SDN匹配規(guī)則微分段映射表BroadCom芯片(Leaf)Marvel芯片(Leaf)網(wǎng)隨人動(dòng)網(wǎng)段->角色通過(guò)認(rèn)證獲取角色，刷新ARP.class網(wǎng)段->角色，節(jié)省硬件TTI1資源。網(wǎng)絡(luò)解耦認(rèn)證后動(dòng)態(tài)下發(fā)IP->角色通過(guò)認(rèn)證獲取角色，刷新ARP.class主機(jī)IP->角色，耗費(fèi)硬件TTI1資源。 組間策略表是基于全局PBR下發(fā)。組間策略表優(yōu)先級(jí)VPNFromTo動(dòng)作場(chǎng)景1VPN_1SGT=0AnyPermit未知SGT默認(rèn)為0，全部Permit。2VPN_2SGT_mSGT_nPermit/deny已知角色互訪策略。3VPN_nAnyAnyDeny白名單策略。微分段無(wú)線方案整體架構(gòu)微分段無(wú)線方案的整體架構(gòu)實(shí)現(xiàn)基本原理。無(wú)線認(rèn)證的NAS點(diǎn)在無(wú)線AC上，無(wú)線AC將認(rèn)證授權(quán)SGTID轉(zhuǎn)換為本地業(yè)務(wù)VLAN，數(shù)據(jù)通道本地轉(zhuǎn)發(fā)，報(bào)文攜帶業(yè)務(wù)VLAN進(jìn)入LEAF，LEAF將業(yè)務(wù)VLAN再轉(zhuǎn)換為SGTID的模式，從而實(shí)現(xiàn)有線無(wú)線一體化的業(yè)務(wù)隨行能力。微分段靜態(tài)VXLAN整體架構(gòu)微分段靜態(tài)VXLAN模式可以支持傳統(tǒng)Portal認(rèn)證，確保認(rèn)證過(guò)程不必切換IP地址，但是該認(rèn)證模式要求VPN與VXLAN指定位置，適用于各個(gè)VPN下的用戶(hù)基于位置強(qiáng)隔離場(chǎng)景。微分段靜態(tài)VXLAN整體架構(gòu)微分段方案MacPortal+認(rèn)證微分段的MACPortal+認(rèn)證如圖13，微分段認(rèn)證方式是MACPortal+的基礎(chǔ)上，將認(rèn)證授權(quán)由授權(quán)VXLAN修改為授權(quán)SGTID，通過(guò)認(rèn)證系統(tǒng)的Usergroup方式下發(fā)。對(duì)于1X以及MAC認(rèn)證方式也相同。微分段的WEBPortal+認(rèn)證若是第三方認(rèn)證系統(tǒng)認(rèn)證，除可以支持1X認(rèn)證外，還可以通過(guò)不切換IP地址的方式支持WEBPortal+認(rèn)證，該模式網(wǎng)絡(luò)需要微分段靜態(tài)VXLAN結(jié)構(gòu)。微分段的WEBPortal+認(rèn)證方案組網(wǎng)模型靜態(tài)VXLAN組網(wǎng)模型靜態(tài)VXLAN模型如圖所示，靜態(tài)VXLAN組網(wǎng)需要?jiǎng)?chuàng)建VXLAN時(shí)指定該VXLAN對(duì)應(yīng)的位置。用戶(hù)可以在不同VXLAN之間切換，IP地址發(fā)生變化，但是可以保障業(yè)務(wù)不變。該方案的特點(diǎn)是用戶(hù)認(rèn)證時(shí)不必切換IP地址，用戶(hù)逃生時(shí)也不必切換IP地址，自動(dòng)進(jìn)入逃生安全組。該模型在VPN內(nèi)可以做到業(yè)務(wù)隨行，網(wǎng)絡(luò)不隨行。該組網(wǎng)模型針對(duì)于第三方認(rèn)證系統(tǒng)，需要支持傳統(tǒng)Portal認(rèn)證的模型，可以保證認(rèn)證過(guò)程不必切換IP地址，該模型可以解決超級(jí)啞終端掉線問(wèn)題，可以解決終端是靜態(tài)IP的逃生問(wèn)題。動(dòng)態(tài)VXLAN組網(wǎng)模型動(dòng)態(tài)VXLAN模型如圖所示，動(dòng)態(tài)VXLAN組網(wǎng)模型與網(wǎng)隨人動(dòng)模型完全相同，創(chuàng)建分布式VXLAN網(wǎng)關(guān)，用戶(hù)認(rèn)證過(guò)程中動(dòng)態(tài)指定AC口到VSI之間關(guān)系。該模型特點(diǎn)是用戶(hù)認(rèn)證時(shí)需要進(jìn)入BYODVXLAN再根據(jù)認(rèn)證進(jìn)入業(yè)務(wù)VXLAN，需要切換IP地址。優(yōu)勢(shì)是虛擬VPN，可以在全網(wǎng)跟隨用戶(hù)，更加靈活。但不支持靜態(tài)IP地址逃生，無(wú)法支持第三方認(rèn)證系統(tǒng)的Portal認(rèn)證。該模型針對(duì)于EIA認(rèn)證系統(tǒng)支持MACPortal+或者M(jìn)AC或者1X認(rèn)證，第三方認(rèn)證系統(tǒng)支持1X或者M(jìn)AC認(rèn)證的場(chǎng)景?；旌辖M網(wǎng)靜態(tài)VXLAN與動(dòng)態(tài)VXLAN的混合組網(wǎng)通過(guò)劃分區(qū)域方式，將部分區(qū)域劃分為靜態(tài)VXLAN，比如解決部分靜態(tài)IP的逃生問(wèn)題，解決部分超級(jí)啞終端無(wú)法上線問(wèn)題，部分區(qū)域劃分為動(dòng)態(tài)VXLAN，保障業(yè)務(wù)隨行，VPN隨行?？偨Y(jié)微分段方案的引入，可以較大降低網(wǎng)絡(luò)設(shè)備的TCAM的資源利用，特別是IPV6的引入，為網(wǎng)絡(luò)設(shè)備支持更多業(yè)務(wù)提供了便利；可支持安全業(yè)務(wù)的靈活分組，即可以支持一個(gè)VXLAN網(wǎng)關(guān)對(duì)應(yīng)多個(gè)角色，也可以支