华为Agile Controller配置手册园区版.docx

上传人:b****5 文档编号:12362870 上传时间:2023-04-18 格式:DOCX 页数:146 大小:473.91KB
下载 相关 举报
华为Agile Controller配置手册园区版.docx_第1页
第1页 / 共146页
华为Agile Controller配置手册园区版.docx_第2页
第2页 / 共146页
华为Agile Controller配置手册园区版.docx_第3页
第3页 / 共146页
华为Agile Controller配置手册园区版.docx_第4页
第4页 / 共146页
华为Agile Controller配置手册园区版.docx_第5页
第5页 / 共146页
点击查看更多>>
下载资源
资源描述

华为Agile Controller配置手册园区版.docx

《华为Agile Controller配置手册园区版.docx》由会员分享,可在线阅读,更多相关《华为Agile Controller配置手册园区版.docx(146页珍藏版)》请在冰豆网上搜索。

华为Agile Controller配置手册园区版.docx

华为AgileController配置手册园区版

产品名称

密级

AgileController-Campus

秘密

产品版本

共55页

V100R002C00

AgileController-Campus

V100R002C00配置手册

(仅供内部使用)

拟制:

汪敦全、丁凌风、蒲俊杰

日期:

2014-4-2

审核:

日期:

审核:

日期:

批准:

日期:

华为技术有限公司

版权所有XX

日期

修订版本

描述

作者

2014-04-02

1.0

初稿

2014-05-20

1.1

3.2和4.6章节中增加终端安全和USB管控的License;

产品更名调整

汪敦全

2014-07-03

1.1

丁凌风

2014-11-23

1.2

在2.2和4.2章节增加E9000刀片服务器的配置说明

汪敦全

2015-5-8

2.0

增加AgileController-CampusV100R002的配置说明

汪敦全

表目录

图目录

AgileController-CampusV100R002C00配置手册

关键词:

准入控制、补丁管理、软件分发、安全接入控制网关、WEB认证客户端。

摘要:

本文描述了AgileController-CampusV100R002C00的结构、配置、组网等内容,对AgileController系统的销售、部署具有指导作用。

文档管理:

本文档由AgileController-CampusV100R002C00团队编写和修订,研发、电信设计(投标办)、成套、技术支援等部门共同参与审核,在试验局申请阶段提供第一稿,每季度至少更新一次。

本文档纳入配置管理,经相关部门评审通过后在文档中心归档,同时通过市场技术资料平台3MS.HUAWEI.COM数据库进行发布,相关部门的资料接收人应做好保密工作,不得随意扩散。

文档使用:

本文档属于公司内部使用的机密资料,不可直接传给局方和落入竞争对手手中,否则,要追究相关部门和人员的责任(警告、罚款、降薪、劝退)。

1AgileController-CampusV100R002C00总体介绍

华为AgileController-Campus作为企业园区的控制器,实现整个园区网络全网策略控制,同时实现网络的协同整体防护。

提供统一的策略引擎,在整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式多维度的认证和授权,满足企业接入认证多层次、泛终端接入的需求。

同时系统提供全生命流程的访客管理,给访客提供一个随时随地上网的空间,提高访客工作效率,提升企业品牌形象,降低IT运维的压力。

华为AgileController-Campus包括接入认证、访客管理、业务随行、业务编排、安全协防组件构成。

其中安全协防为独立组件,在界面进行SSO集成,在系统部署配置原则上存在差异,该组件单独进行描述。

在V100R002版本中,安全协防组件不再发货。

1.1系统网络逻辑结构及接口关系

1.1.1AgileController-Campus服务器网络实体组成

图1AgileController-Campus系统网络实体组成

Controller支持集中部署和分布式部署,集中部署可将SM/SC部署在单台服务器。

同时支持多个SC分布式部署。

⏹SM:

ServiceManager(业务管理器)

负责对AgileController-Campus的业务配置管理以及对业务控制器进行管理。

采用B/S架构,系统管理员通过WEB管理界面可以完成终端用户管理、策略配置等业务管理工作。

作为业务业务管理器,SM将管理其下的各个业务业务控制器SC向已经连接的节点发送实时指令,完成各种业务。

⏹SC:

ServiceController(业务控制器)

负责接入认证以及设备配置管理,分为RadiusServer、PortalServer、AuthsServer、NetworkServer组件。

RadiusServer:

提供标准的Radius服务,整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式等多种维度的认证和授权。

PortalServer:

提供标准的Portal认证服务,提供WEB认证页面,跟接入设备进行Portal协议对接。

AuthsServer:

提供基本认证服务平台(提供基本的SACG接入控制以及终端升级等功能)。

NetworkServer:

提供网络设备配置功能,在业务随行、业务编排功能中,通过NetwokServer完成设备业务配置,支持XMPP、Telnet、SNMP协议。

1.1.2AgileController-Campus安全协防组件网络实体组成【V100R002版本不再提供】

安全协防组件在界面以SSO方式集成到AgileController-Campus中,安全协防组件包括SecView、iRadar、关联分析机、日志采集机。

1.2组网方式和配置原则介绍

1.2.1Controller服务器的组网和配置原则

1.单服务器集中组网方案

图2单服务器集中组网方案

1)组网方式:

说明:

使用一台服务器,安装全部软件模块,包括数据库,业务管理器以及业务控制器,适合较小型网络,以及不需要数据库备份的局点。

服务器数量:

1台

服务器1安装组件:

数据库,业务管理器SM,业务控制器SC

2)选择该方案,需要满足如下条件:

●终端数量:

建议单服务器集中组网时,被管理终端的数量小于2000。

当终端数量大于2000终端时,网络的规模已经比较大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,但是从可靠性的角度考虑,不推荐使用该方案。

●网络环境:

A)适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。

B)适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。

能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。

小型多分支机构的定义:

分支机构到总部的带宽=2Mbps,分支机构的终端数量<=100

分支机构到总部的带宽=10Mbps,分支机构的终端数量<=500

评估模型:

需要计算终端对带宽的需求,需要保证在一般情况下(包括认证阶段,以及平时的业务阶段对带宽的占用率<1%,认证阶段<5%)

假设分支机构到总部的带宽=2Mbps

5%的带宽=2000Kbps*5%=100Kbps

1%待带宽=2000Kbps*1%=20Kbps

查询下表的数据,400终端可以满足认证阶段对带宽的需求。

下表中的数据可以用于评估分支机构到总部的流量,以判断AgileController系统对分支结构到总部之间网络带宽的影响,进而判断是否适合采用集中式部署。

●该方案的优点和局限性:

单服务器集中组网方案,由于只有一台服务器,只能安装一个数据库,无法提供数据库热备功能,当数据库发生故障的时候,会影响如下业务:

A)管理员无法通过操作界面管理相关业务;

B)业务控制器SC不重启的情况下,即使数据库暂时无法工作,提供基本的准入控制业务依然可以工作(即已有用户可以正常认证);

C)当业务控制器SC重启的情况下,业务控制器SC无法提供任何服务;

单服务器集中组网方案,由于只有一台服务器,只能部署一个业务控制器SC,无法提供业务控制器失效转移功能,当业务控制器SC发生故障的时候,无法提供终端的身份认证和准入控制等基本服务。

2.双服务器集中组网方案

图3双服务器集中组网方案

1)组网方式

说明:

使用两台服务器,集中部署。

安装两个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另一个业务控制器能够继续工作。

服务器数量:

2台

服务器1安装组件:

业务管理器SM、业务控制器SC

服务器2安装组件:

业务控制器SC、数据库DB

2)选择该方案,需要满足如下条件:

●终端数量:

建议双服务器集中组网时,被管理终端的数量小于10000。

当终端数量大于10000终端时,网络的规模已经非常大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,两个服务器能够支撑20000终端,但是从可靠性的角度考虑,1万终端以上的网络不建议使用该方案。

●网络环境:

适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。

适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。

能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。

小型多分支机构的定义参见单服务器集中组网方案的说明。

●该方案的优点和局限性:

双服务器集中组网方案,由于只有两台服务器,无法部署数据库镜像方案,无法提供数据库热备功能,当数据库发生故障的时候,会影响如下业务:

A)管理员无法通过管理界面登录管理界面管理相关业务;

B)业务控制器SC不重启的情况下,虽然能够提供基本的准入控制业务,但是终端的违规信息无法上报服务器并且写入数据库,需要等到数据库恢复正常后才能上报;

C)当业务控制器SC重启的情况下,业务控制器SC无法提供任何服务;

3.三服务器集中组网方案

图4三服务器集中组网方案

1)组网方式

说明:

使用三台服务器,集中部署。

安装三台SQLSERVER数据库,该数据库组成数据库镜像,提供数据库备份方案。

安装三个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另两个业务控制器能够继续工作。

服务器数量:

3台

服务器1安装组件:

业务管理器SM、业务控制器SC、见证数据库

服务器2安装组件:

业务控制器SC、主数据库

服务器3安装组件:

业务控制器SC、镜像数据库

2)选择该方案,需要满足如下条件:

●终端数量:

建议三服务器集中组网时,被管理终端的数量小于20000。

当终端数大于20000终端时,不能采用此方案。

●网络环境:

适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。

适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。

能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。

小型多分支机构的定义参见单服务器集中组网方案的说明。

●该方案的优点和局限性:

数据库提供了热备功能,当一个数据库发生故障的时候,业务不中断。

系统提供了业务控制器失效转移功能,当单个业务控制器发生故障,不能提供服务的时候,终端能够从另一个业务控制器获得准入控制等服务,业务不中断。

具体实施的时候,可以在分阶段上线过程中,观察违规信息数据量增长的情况,决定是否需要引入扩展数据库,存储违规信息。

4.多服务器集中组网方案

1)组网说明

当终端的数量超过2万,则需要使用更多的业务控制器SC,分担业务压力。

2)组网方式1

说明:

采用Windows平台,使用四台服务器,集中部署。

安装四台SQLSERVER数据库,其中三台数据库组成数据库镜像,提供数据库备份方案,另外一个数据库用于作为违规信息的扩展数据源。

安装四个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另三个业务控制器能够继续工作。

服务器数量:

4台

服务器1安装组件:

业务管理器SM、业务控制器SC、见证数据库

服务器2安装组件:

业务控制器SC、主数据库

服务器3安装组件:

业务控制器SC、镜像数据库

服务器4…N安装组件:

业务控制器SC

2)组网方式2

说明:

采用Linux平台,针对SM提供数据库和SM管理的双机高可靠性。

使用两台服务器和磁盘阵列组成SM双机,安装Oracle+RAC集群数据库,提供数据库备份方案。

同时双机上安装业务控制器SC,承担SC的业务控制业务。

再部署两台服务器,安装业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,其他业务控制器能够继续工作。

服务器数量:

4台

服务器1安装组件:

业务管理器SM主机、业务控制器SC、Oracle+RAC数据库

服务器2安装组件:

业务控制器SM备机、业务控制器SC、Oracle+RAC数据库

服务器3安装组件:

业务控制器SC

服务器4…N安装组件:

业务控制器SC

5.业务控制器SC分布式组网方案:

图5业务控制器分布式组网方案

1)组网方式

说明:

对于企业存在多个分支机构,分支机构的终端规模比较大,并且分支机构之间的网络带宽比较小的情况,可以使用分布式组网方案。

首先需要识别总部和分支机构,对于每个分支机构,配置1~2个业务控制器SC(根据客户是否需要在分支机构实现业务控制器备份决定)。

总部不单独配置业务控制器SC,直接使用数据中心的AgileController-Campus服务器作为业务控制器SC(假设总部与数据中心在一个区域)。

服务器数量:

●分支机构:

可以选择不提供失效转移功能,部署1台业务控制器;可以选择使用总部的业务控制器提供失效转移功能,部署1台业务控制器;可以选择分支机构本地提供失效转移功能,部署2台业务控制器。

●总部:

参照集中组网方案,如果分支机构选择总部的业务控制器提供失效转移功能,配置服务器的时候,终端数量=总部终端数量+最大分支机构的终端数量。

服务器安装组件:

●分支结构:

只安装业务控制器SC

●总部:

参照集中组网方案

2)选择该方案,需要满足如下条件:

●终端数量:

整个企业(包括总部和所有分支机构)被管理终端数量的范围:

>=20000终端

●网络环境:

存在多个分支结构,分支机构是典型的园区网,或者是银行的市级分行;

分支机构到总部的网络带宽有限,评估采用集中组网,可能会占用大量分支机构之间的网络带宽;

分支机构到总部之间的网络质量难以保障,总部和分支机构之间的网络可能中断,使得分支机构的终端无法连接总部数据中心。

●方案的风险以及可靠性:

方案的鞥小以及可靠性参照集中组网方案。

3)分布式部署环境下数据同步对带宽的需求

假设系统中存在10万账号,按照这样的规模计算,一个账号的数据量<200字节,总量<=20M字节,加上安全策略等各种缓存数据,估计数据量<=30M字节。

假设分支机构到总部之间的网络带宽是2Mbps,业务控制器SC从总部区所有的缓存数据,假设占用全部带宽,所需要的时间=30M*8bit/2Mbps=120秒。

所需要的时间约等于2分钟。

业务控制器SC每四个小时从总部同步一次数据,因此数据同步部分对分支机构到总部之间的网络占用=2/(4*60)*100%=0.83%

1.2.2802.1X准入控制的组网和配置原则

1.在接入层交换机上实施802.1X

图6在接入层交换机上实施802.1X

1)方案说明:

在最靠近终端的交换机上启用802.1X,终端正常接入网络前,需要先部署安全代理(一般情况下,不支持Windows自带的安全代理,除非在服务器端进行特殊的配置)。

该部署方案能够达到的控制效果,与交换机的特性有关,一般来说可以区分两种类型的交换机:

●只支持端口关闭的802.1X交换机

只支持端口关闭的交换机,有两种选择:

第一种是身份认证通过后,开通交换机端口,而不管安全检查的结果是否满足企业的安全策略(可以选择使用其他的准入控制设备配合实现隔离和控制)。

第二种是只有身份认证和安全认证通过后开通交换机端口,其余情况均关闭交换机端口。

这时候,终端无法通过网络实施修复,例如没有安装杀毒软件,被隔离的时候,只能通过光盘/U盘的方式,在终端安装杀毒软件,并且想办法更新病毒库。

●支持GUESTVLAN和动态VLAN的802.1X交换机

支持GUESTVLAN和动态VLAN的交换机,通过配置,可以使得没有部署安全代理的终端能够访问GUESTVLAN,通过GUESTVLAN部署AnyOffice客户端。

在认证过程中,根据安全检查的结果,给交换机下发隔离域VLAN或者认证后域VLAN,实现对问题终端的隔离。

●支持动态ACL的802.1X交换机

支持动态ACL的交换机,通过配置,可以在认证成功后,向交换机下发ACL控制用户的访问权限。

2)配置原则:

当满足如下条件,可以使用在接入层交换机上实施802.1X:

●客户要求终端在接入前,不允许访问任何网络资源,包括邻居的终端;

●客户具备实施和管理802.1X的能力,包括部署AnyOffice客户端的能力;

●客户的所有接入层交换机都支持802.1X,不存在使用HUB的情况;

3)其他局限性:

对于只支持端口关闭的802.1X交换机,部署AnyOffice客户端比较困难,目前主要有两种方式:

第一种:

通过U盘/光盘等物理介质的方式,手工在终端PC上安装AnyOffice客户端;

第二种:

由专门的部门负责安装软件,例如在一个受控的区域内,交换机不启用802.1X,使得终端在没有部署AnyOffice客户端的时候也能够接入网络,通过网络下载并且安装AnyOffice客户端,或者使用克隆工具重新安装系统。

2.在汇聚层交换机上实施802.1X

图7在汇聚层交换机上实施802.1X

1)方案说明:

在汇聚层交换机上实施802.1X(一般来说,汇聚层交换机都能够支持802.1X),这时候,下层交换机之间的终端在没有认证前可以互相访问。

在汇聚层交换机上实施802.1X,可以减少802.1X的控制点,降低实施的复杂性。

2)配置原则:

当满足如下条件,可以使用在汇聚层交换机上实施802.1X:

●客户允许终端在认证前,可以访问接入交换机之间的终端;

●客户具备实施和管理802.1X的能力,包括部署AnyOffice客户端的能力;

●接入层的交换机/HUB等设备,包括无线AP等,必须支持802.1X组播报文透传;

3)其他限制和局限性:

为了在汇聚层交换机实施802.1X,要求该交换机支持MACBASED的802.1X。

从目前获得的资料来看,只有国内厂商的交换机才支持该特性。

CISCO交换机没有发现能够支持该特性,海外其他厂商的交换机不清楚能否支持MACBASE的802.1X特性。

3.接入层/汇聚层混合实施802.1X

当客户的网络比较复杂的时候,如果强烈要求实施802.1X,也可以采用在接入层/汇聚层混合的方式,方案与配置原则与前面章节一致,这时候802.1X的管理会比较复杂。

1.2.3硬件SACG准入控制的组网和配置原则

1.SACG直挂路由模式

图8SACG直挂路由模式部署方案

1)组网方式:

SACG直挂路由模式如图所示,SACG设备在这种组网模式下,通常充当两种类型的角色,第一是网关,要么是接入终端的网关/服务器设备的接入网关,另一种是互联网出口网关。

根据部署的位置,如果作为终端的接入网关,可以控制终端访问网关范围外的网络资源;如果作为服务器设备的接入网关,可以控制终端PC对服务器设备的访问;如果作为企业的互联网出口网关,可以控制终端PC对互联网的访问。

这样的部署方式,如果是现成的网络,则需要使用SACG设备替换网关,当网络的规模比较大的时候,可能需要替换比较多的网关,成本较高。

如果是新建的网络,则需要购买比较多的SACG设备,作为网关,性价比不高。

除了部署在互联网出口位置,作为出口网关外,一般不推荐使用这种部署方案。

2.SACG侧挂路由模式

图9SACG侧挂路由模式部署方案

1)组网方式:

SACG侧挂路由单机模式的组网如图所示,SACG设备侧挂在三层交换机或者路由器上。

一般来说,通过在交换机上配置报文重定向,或者在路由器上配置策略路由,把来自终端PC的上行流量重定向到SACG设备,通过SACG设备过滤后,再回到交换机/路由器上执行正常的路由转发。

对于来自业务系统,发到终端PC的数据报文,出于对性能的考虑,一般不走SACG,直接通过交换机/路由器发送到合适的设备/终端上。

出于成本的考虑,会根据客户的网络环境,把SACG设备侧挂在能够控制终端PC访问业务系统的关键网络设备上,如园区网的核心交换机/路由器,或者数据中心前的交换机/路由器。

具体部署的位置,需要根据客户网络的情况,以及客户的业务目标,折中考虑。

2)配置原则:

满足如下条件,可以考虑采用侧挂路由模式部署方案:

●对终端之间的互相访问控制要求不严格,需要重点保护企业的业务系统;

●终端到业务系统之间的数据流量有比较集中的控制点;

●允许对网络的配置进行少量的调整;

3)双机方案建议

如果客户的网络是双平面的网络,通常能够找到两个对称的侧挂点,使用两个SACG设备,侧挂在两个对称的侧挂点上。

如果客户的网络本身没有提供双平面方案,不建议在同一个设备上部署两个SACG设备。

通过配置,可以使得当一个SACG设备发生故障的时候,流量走正常路由,也不会导致网络中断,不会影响该网络的可靠性。

3.SACG透明/混合模式

图10SACG透明/混合模式部署方案

1)组网方式

SACG透明/混合模式组网比较简单,在网络中找到一个控制点,然后把SACG设备直接串接在网络中,如图所示。

所有通过SACG的流量,都会受到控制。

这样的组网方式简单,而且不需要改变现网的网络拓扑结构,而且部署和实施简单。

2)配置原则:

当满足下列条件,可以考虑采用透明/混合模式的组网方案:

●对终端之间的互相访问控制要求不严格,重点保护企业的业务系统;

●不希望对网络的拓扑和配置进行调整;

●链路的端口是GE口或者FE口(目前各个型号的SACG设备,没有支持10GE的接口);

3)透明模式/混合模式双机方案建议

如果客户的网络支持双平面,则可以通过在两个链路上分别部署SACG设备,实现双平面的需求。

4)透明模式/混合模式组网局限性

吞吐能力局限性:

透明模式/混合模式组网的情况下,由于SACG设备串接在两个网络设备之间,网络的吞吐能力的扩展性首先与SACG设备的处理能力。

以USG5300系列为例,USG5360产品最大处理能力标称值等于6G,USG5360提供了四个可以做聚合的端口,假设四个可以聚合的端口分为两组,两两聚合成一个2G的端口,分别连接两个网络设备,这样USG5360的最大处理能力为2G。

后续如果处理能力不足,将很难通过扩容的方式,提高设备的处理能力。

接口数量局限性:

SACG设备的接口数量有限,以USG5300系列为例,USG5300设备有6个GE接口,如果客户的网络环境比较复杂,例如没有一个可以串接在两个设备之间的链路用于准入控制,那么SACG设备可能需要连接多个网络设备,SACG设备的接口比较有限,在这种网络环境下,需要比较多的SACG设备。

可靠性:

由于原来的Eudemon300/500/1000系列SACG设备已经停产,替换的USG系列产品没有提供BYPASS功能,在透明模式/混合模式下,当SACG设备异常掉电后,网络将会中断。

4.如何选择SACG设备

选择SACG设备的时候,需要考察两个指标:

第一:

需要考察SACG设备的在线用户数,这可以通过SACG上标称支持的在线用户数进行选择。

第二:

需要考察SACG设备的处理能力,不同的组网方式,对SACG设备的处理能力要求不同,对SACG设备

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 教学研究 > 教学计划

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1