华为Agile Controller配置手册园区版.docx
《华为Agile Controller配置手册园区版.docx》由会员分享,可在线阅读,更多相关《华为Agile Controller配置手册园区版.docx(146页珍藏版)》请在冰豆网上搜索。
华为AgileController配置手册园区版
产品名称
密级
AgileController-Campus
秘密
产品版本
共55页
V100R002C00
AgileController-Campus
V100R002C00配置手册
(仅供内部使用)
拟制:
汪敦全、丁凌风、蒲俊杰
日期:
2014-4-2
审核:
日期:
审核:
日期:
批准:
日期:
华为技术有限公司
版权所有XX
日期
修订版本
描述
作者
2014-04-02
1.0
初稿
2014-05-20
1.1
3.2和4.6章节中增加终端安全和USB管控的License;
产品更名调整
汪敦全
2014-07-03
1.1
丁凌风
2014-11-23
1.2
在2.2和4.2章节增加E9000刀片服务器的配置说明
汪敦全
2015-5-8
2.0
增加AgileController-CampusV100R002的配置说明
汪敦全
表目录
图目录
AgileController-CampusV100R002C00配置手册
关键词:
准入控制、补丁管理、软件分发、安全接入控制网关、WEB认证客户端。
摘要:
本文描述了AgileController-CampusV100R002C00的结构、配置、组网等内容,对AgileController系统的销售、部署具有指导作用。
文档管理:
本文档由AgileController-CampusV100R002C00团队编写和修订,研发、电信设计(投标办)、成套、技术支援等部门共同参与审核,在试验局申请阶段提供第一稿,每季度至少更新一次。
本文档纳入配置管理,经相关部门评审通过后在文档中心归档,同时通过市场技术资料平台3MS.HUAWEI.COM数据库进行发布,相关部门的资料接收人应做好保密工作,不得随意扩散。
文档使用:
本文档属于公司内部使用的机密资料,不可直接传给局方和落入竞争对手手中,否则,要追究相关部门和人员的责任(警告、罚款、降薪、劝退)。
1AgileController-CampusV100R002C00总体介绍
华为AgileController-Campus作为企业园区的控制器,实现整个园区网络全网策略控制,同时实现网络的协同整体防护。
提供统一的策略引擎,在整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式多维度的认证和授权,满足企业接入认证多层次、泛终端接入的需求。
同时系统提供全生命流程的访客管理,给访客提供一个随时随地上网的空间,提高访客工作效率,提升企业品牌形象,降低IT运维的压力。
华为AgileController-Campus包括接入认证、访客管理、业务随行、业务编排、安全协防组件构成。
其中安全协防为独立组件,在界面进行SSO集成,在系统部署配置原则上存在差异,该组件单独进行描述。
在V100R002版本中,安全协防组件不再发货。
1.1系统网络逻辑结构及接口关系
1.1.1AgileController-Campus服务器网络实体组成
图1AgileController-Campus系统网络实体组成
Controller支持集中部署和分布式部署,集中部署可将SM/SC部署在单台服务器。
同时支持多个SC分布式部署。
⏹SM:
ServiceManager(业务管理器)
负责对AgileController-Campus的业务配置管理以及对业务控制器进行管理。
采用B/S架构,系统管理员通过WEB管理界面可以完成终端用户管理、策略配置等业务管理工作。
作为业务业务管理器,SM将管理其下的各个业务业务控制器SC向已经连接的节点发送实时指令,完成各种业务。
⏹SC:
ServiceController(业务控制器)
负责接入认证以及设备配置管理,分为RadiusServer、PortalServer、AuthsServer、NetworkServer组件。
RadiusServer:
提供标准的Radius服务,整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式等多种维度的认证和授权。
PortalServer:
提供标准的Portal认证服务,提供WEB认证页面,跟接入设备进行Portal协议对接。
AuthsServer:
提供基本认证服务平台(提供基本的SACG接入控制以及终端升级等功能)。
NetworkServer:
提供网络设备配置功能,在业务随行、业务编排功能中,通过NetwokServer完成设备业务配置,支持XMPP、Telnet、SNMP协议。
1.1.2AgileController-Campus安全协防组件网络实体组成【V100R002版本不再提供】
安全协防组件在界面以SSO方式集成到AgileController-Campus中,安全协防组件包括SecView、iRadar、关联分析机、日志采集机。
1.2组网方式和配置原则介绍
1.2.1Controller服务器的组网和配置原则
1.单服务器集中组网方案
图2单服务器集中组网方案
1)组网方式:
说明:
使用一台服务器,安装全部软件模块,包括数据库,业务管理器以及业务控制器,适合较小型网络,以及不需要数据库备份的局点。
服务器数量:
1台
服务器1安装组件:
数据库,业务管理器SM,业务控制器SC
2)选择该方案,需要满足如下条件:
●终端数量:
建议单服务器集中组网时,被管理终端的数量小于2000。
当终端数量大于2000终端时,网络的规模已经比较大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,但是从可靠性的角度考虑,不推荐使用该方案。
●网络环境:
A)适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。
B)适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。
能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。
小型多分支机构的定义:
分支机构到总部的带宽=2Mbps,分支机构的终端数量<=100
分支机构到总部的带宽=10Mbps,分支机构的终端数量<=500
评估模型:
需要计算终端对带宽的需求,需要保证在一般情况下(包括认证阶段,以及平时的业务阶段对带宽的占用率<1%,认证阶段<5%)
假设分支机构到总部的带宽=2Mbps
5%的带宽=2000Kbps*5%=100Kbps
1%待带宽=2000Kbps*1%=20Kbps
查询下表的数据,400终端可以满足认证阶段对带宽的需求。
下表中的数据可以用于评估分支机构到总部的流量,以判断AgileController系统对分支结构到总部之间网络带宽的影响,进而判断是否适合采用集中式部署。
●该方案的优点和局限性:
单服务器集中组网方案,由于只有一台服务器,只能安装一个数据库,无法提供数据库热备功能,当数据库发生故障的时候,会影响如下业务:
A)管理员无法通过操作界面管理相关业务;
B)业务控制器SC不重启的情况下,即使数据库暂时无法工作,提供基本的准入控制业务依然可以工作(即已有用户可以正常认证);
C)当业务控制器SC重启的情况下,业务控制器SC无法提供任何服务;
单服务器集中组网方案,由于只有一台服务器,只能部署一个业务控制器SC,无法提供业务控制器失效转移功能,当业务控制器SC发生故障的时候,无法提供终端的身份认证和准入控制等基本服务。
2.双服务器集中组网方案
图3双服务器集中组网方案
1)组网方式
说明:
使用两台服务器,集中部署。
安装两个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另一个业务控制器能够继续工作。
服务器数量:
2台
服务器1安装组件:
业务管理器SM、业务控制器SC
服务器2安装组件:
业务控制器SC、数据库DB
2)选择该方案,需要满足如下条件:
●终端数量:
建议双服务器集中组网时,被管理终端的数量小于10000。
当终端数量大于10000终端时,网络的规模已经非常大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,两个服务器能够支撑20000终端,但是从可靠性的角度考虑,1万终端以上的网络不建议使用该方案。
●网络环境:
适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。
适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。
能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。
小型多分支机构的定义参见单服务器集中组网方案的说明。
●该方案的优点和局限性:
双服务器集中组网方案,由于只有两台服务器,无法部署数据库镜像方案,无法提供数据库热备功能,当数据库发生故障的时候,会影响如下业务:
A)管理员无法通过管理界面登录管理界面管理相关业务;
B)业务控制器SC不重启的情况下,虽然能够提供基本的准入控制业务,但是终端的违规信息无法上报服务器并且写入数据库,需要等到数据库恢复正常后才能上报;
C)当业务控制器SC重启的情况下,业务控制器SC无法提供任何服务;
3.三服务器集中组网方案
图4三服务器集中组网方案
1)组网方式
说明:
使用三台服务器,集中部署。
安装三台SQLSERVER数据库,该数据库组成数据库镜像,提供数据库备份方案。
安装三个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另两个业务控制器能够继续工作。
服务器数量:
3台
服务器1安装组件:
业务管理器SM、业务控制器SC、见证数据库
服务器2安装组件:
业务控制器SC、主数据库
服务器3安装组件:
业务控制器SC、镜像数据库
2)选择该方案,需要满足如下条件:
●终端数量:
建议三服务器集中组网时,被管理终端的数量小于20000。
当终端数大于20000终端时,不能采用此方案。
●网络环境:
适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。
适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。
能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。
小型多分支机构的定义参见单服务器集中组网方案的说明。
●该方案的优点和局限性:
数据库提供了热备功能,当一个数据库发生故障的时候,业务不中断。
系统提供了业务控制器失效转移功能,当单个业务控制器发生故障,不能提供服务的时候,终端能够从另一个业务控制器获得准入控制等服务,业务不中断。
具体实施的时候,可以在分阶段上线过程中,观察违规信息数据量增长的情况,决定是否需要引入扩展数据库,存储违规信息。
4.多服务器集中组网方案
1)组网说明
当终端的数量超过2万,则需要使用更多的业务控制器SC,分担业务压力。
2)组网方式1
说明:
采用Windows平台,使用四台服务器,集中部署。
安装四台SQLSERVER数据库,其中三台数据库组成数据库镜像,提供数据库备份方案,另外一个数据库用于作为违规信息的扩展数据源。
安装四个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另三个业务控制器能够继续工作。
服务器数量:
4台
服务器1安装组件:
业务管理器SM、业务控制器SC、见证数据库
服务器2安装组件:
业务控制器SC、主数据库
服务器3安装组件:
业务控制器SC、镜像数据库
服务器4…N安装组件:
业务控制器SC
2)组网方式2
说明:
采用Linux平台,针对SM提供数据库和SM管理的双机高可靠性。
使用两台服务器和磁盘阵列组成SM双机,安装Oracle+RAC集群数据库,提供数据库备份方案。
同时双机上安装业务控制器SC,承担SC的业务控制业务。
再部署两台服务器,安装业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,其他业务控制器能够继续工作。
服务器数量:
4台
服务器1安装组件:
业务管理器SM主机、业务控制器SC、Oracle+RAC数据库
服务器2安装组件:
业务控制器SM备机、业务控制器SC、Oracle+RAC数据库
服务器3安装组件:
业务控制器SC
服务器4…N安装组件:
业务控制器SC
5.业务控制器SC分布式组网方案:
图5业务控制器分布式组网方案
1)组网方式
说明:
对于企业存在多个分支机构,分支机构的终端规模比较大,并且分支机构之间的网络带宽比较小的情况,可以使用分布式组网方案。
首先需要识别总部和分支机构,对于每个分支机构,配置1~2个业务控制器SC(根据客户是否需要在分支机构实现业务控制器备份决定)。
总部不单独配置业务控制器SC,直接使用数据中心的AgileController-Campus服务器作为业务控制器SC(假设总部与数据中心在一个区域)。
服务器数量:
●分支机构:
可以选择不提供失效转移功能,部署1台业务控制器;可以选择使用总部的业务控制器提供失效转移功能,部署1台业务控制器;可以选择分支机构本地提供失效转移功能,部署2台业务控制器。
●总部:
参照集中组网方案,如果分支机构选择总部的业务控制器提供失效转移功能,配置服务器的时候,终端数量=总部终端数量+最大分支机构的终端数量。
服务器安装组件:
●分支结构:
只安装业务控制器SC
●总部:
参照集中组网方案
2)选择该方案,需要满足如下条件:
●终端数量:
整个企业(包括总部和所有分支机构)被管理终端数量的范围:
>=20000终端
●网络环境:
存在多个分支结构,分支机构是典型的园区网,或者是银行的市级分行;
分支机构到总部的网络带宽有限,评估采用集中组网,可能会占用大量分支机构之间的网络带宽;
分支机构到总部之间的网络质量难以保障,总部和分支机构之间的网络可能中断,使得分支机构的终端无法连接总部数据中心。
●方案的风险以及可靠性:
方案的鞥小以及可靠性参照集中组网方案。
3)分布式部署环境下数据同步对带宽的需求
假设系统中存在10万账号,按照这样的规模计算,一个账号的数据量<200字节,总量<=20M字节,加上安全策略等各种缓存数据,估计数据量<=30M字节。
假设分支机构到总部之间的网络带宽是2Mbps,业务控制器SC从总部区所有的缓存数据,假设占用全部带宽,所需要的时间=30M*8bit/2Mbps=120秒。
所需要的时间约等于2分钟。
业务控制器SC每四个小时从总部同步一次数据,因此数据同步部分对分支机构到总部之间的网络占用=2/(4*60)*100%=0.83%
1.2.2802.1X准入控制的组网和配置原则
1.在接入层交换机上实施802.1X
图6在接入层交换机上实施802.1X
1)方案说明:
在最靠近终端的交换机上启用802.1X,终端正常接入网络前,需要先部署安全代理(一般情况下,不支持Windows自带的安全代理,除非在服务器端进行特殊的配置)。
该部署方案能够达到的控制效果,与交换机的特性有关,一般来说可以区分两种类型的交换机:
●只支持端口关闭的802.1X交换机
只支持端口关闭的交换机,有两种选择:
第一种是身份认证通过后,开通交换机端口,而不管安全检查的结果是否满足企业的安全策略(可以选择使用其他的准入控制设备配合实现隔离和控制)。
第二种是只有身份认证和安全认证通过后开通交换机端口,其余情况均关闭交换机端口。
这时候,终端无法通过网络实施修复,例如没有安装杀毒软件,被隔离的时候,只能通过光盘/U盘的方式,在终端安装杀毒软件,并且想办法更新病毒库。
●支持GUESTVLAN和动态VLAN的802.1X交换机
支持GUESTVLAN和动态VLAN的交换机,通过配置,可以使得没有部署安全代理的终端能够访问GUESTVLAN,通过GUESTVLAN部署AnyOffice客户端。
在认证过程中,根据安全检查的结果,给交换机下发隔离域VLAN或者认证后域VLAN,实现对问题终端的隔离。
●支持动态ACL的802.1X交换机
支持动态ACL的交换机,通过配置,可以在认证成功后,向交换机下发ACL控制用户的访问权限。
2)配置原则:
当满足如下条件,可以使用在接入层交换机上实施802.1X:
●客户要求终端在接入前,不允许访问任何网络资源,包括邻居的终端;
●客户具备实施和管理802.1X的能力,包括部署AnyOffice客户端的能力;
●客户的所有接入层交换机都支持802.1X,不存在使用HUB的情况;
3)其他局限性:
对于只支持端口关闭的802.1X交换机,部署AnyOffice客户端比较困难,目前主要有两种方式:
第一种:
通过U盘/光盘等物理介质的方式,手工在终端PC上安装AnyOffice客户端;
第二种:
由专门的部门负责安装软件,例如在一个受控的区域内,交换机不启用802.1X,使得终端在没有部署AnyOffice客户端的时候也能够接入网络,通过网络下载并且安装AnyOffice客户端,或者使用克隆工具重新安装系统。
2.在汇聚层交换机上实施802.1X
图7在汇聚层交换机上实施802.1X
1)方案说明:
在汇聚层交换机上实施802.1X(一般来说,汇聚层交换机都能够支持802.1X),这时候,下层交换机之间的终端在没有认证前可以互相访问。
在汇聚层交换机上实施802.1X,可以减少802.1X的控制点,降低实施的复杂性。
2)配置原则:
当满足如下条件,可以使用在汇聚层交换机上实施802.1X:
●客户允许终端在认证前,可以访问接入交换机之间的终端;
●客户具备实施和管理802.1X的能力,包括部署AnyOffice客户端的能力;
●接入层的交换机/HUB等设备,包括无线AP等,必须支持802.1X组播报文透传;
3)其他限制和局限性:
为了在汇聚层交换机实施802.1X,要求该交换机支持MACBASED的802.1X。
从目前获得的资料来看,只有国内厂商的交换机才支持该特性。
CISCO交换机没有发现能够支持该特性,海外其他厂商的交换机不清楚能否支持MACBASE的802.1X特性。
3.接入层/汇聚层混合实施802.1X
当客户的网络比较复杂的时候,如果强烈要求实施802.1X,也可以采用在接入层/汇聚层混合的方式,方案与配置原则与前面章节一致,这时候802.1X的管理会比较复杂。
1.2.3硬件SACG准入控制的组网和配置原则
1.SACG直挂路由模式
图8SACG直挂路由模式部署方案
1)组网方式:
SACG直挂路由模式如图所示,SACG设备在这种组网模式下,通常充当两种类型的角色,第一是网关,要么是接入终端的网关/服务器设备的接入网关,另一种是互联网出口网关。
根据部署的位置,如果作为终端的接入网关,可以控制终端访问网关范围外的网络资源;如果作为服务器设备的接入网关,可以控制终端PC对服务器设备的访问;如果作为企业的互联网出口网关,可以控制终端PC对互联网的访问。
这样的部署方式,如果是现成的网络,则需要使用SACG设备替换网关,当网络的规模比较大的时候,可能需要替换比较多的网关,成本较高。
如果是新建的网络,则需要购买比较多的SACG设备,作为网关,性价比不高。
除了部署在互联网出口位置,作为出口网关外,一般不推荐使用这种部署方案。
2.SACG侧挂路由模式
图9SACG侧挂路由模式部署方案
1)组网方式:
SACG侧挂路由单机模式的组网如图所示,SACG设备侧挂在三层交换机或者路由器上。
一般来说,通过在交换机上配置报文重定向,或者在路由器上配置策略路由,把来自终端PC的上行流量重定向到SACG设备,通过SACG设备过滤后,再回到交换机/路由器上执行正常的路由转发。
对于来自业务系统,发到终端PC的数据报文,出于对性能的考虑,一般不走SACG,直接通过交换机/路由器发送到合适的设备/终端上。
出于成本的考虑,会根据客户的网络环境,把SACG设备侧挂在能够控制终端PC访问业务系统的关键网络设备上,如园区网的核心交换机/路由器,或者数据中心前的交换机/路由器。
具体部署的位置,需要根据客户网络的情况,以及客户的业务目标,折中考虑。
2)配置原则:
满足如下条件,可以考虑采用侧挂路由模式部署方案:
●对终端之间的互相访问控制要求不严格,需要重点保护企业的业务系统;
●终端到业务系统之间的数据流量有比较集中的控制点;
●允许对网络的配置进行少量的调整;
3)双机方案建议
如果客户的网络是双平面的网络,通常能够找到两个对称的侧挂点,使用两个SACG设备,侧挂在两个对称的侧挂点上。
如果客户的网络本身没有提供双平面方案,不建议在同一个设备上部署两个SACG设备。
通过配置,可以使得当一个SACG设备发生故障的时候,流量走正常路由,也不会导致网络中断,不会影响该网络的可靠性。
3.SACG透明/混合模式
图10SACG透明/混合模式部署方案
1)组网方式
SACG透明/混合模式组网比较简单,在网络中找到一个控制点,然后把SACG设备直接串接在网络中,如图所示。
所有通过SACG的流量,都会受到控制。
这样的组网方式简单,而且不需要改变现网的网络拓扑结构,而且部署和实施简单。
2)配置原则:
当满足下列条件,可以考虑采用透明/混合模式的组网方案:
●对终端之间的互相访问控制要求不严格,重点保护企业的业务系统;
●不希望对网络的拓扑和配置进行调整;
●链路的端口是GE口或者FE口(目前各个型号的SACG设备,没有支持10GE的接口);
3)透明模式/混合模式双机方案建议
如果客户的网络支持双平面,则可以通过在两个链路上分别部署SACG设备,实现双平面的需求。
4)透明模式/混合模式组网局限性
吞吐能力局限性:
透明模式/混合模式组网的情况下,由于SACG设备串接在两个网络设备之间,网络的吞吐能力的扩展性首先与SACG设备的处理能力。
以USG5300系列为例,USG5360产品最大处理能力标称值等于6G,USG5360提供了四个可以做聚合的端口,假设四个可以聚合的端口分为两组,两两聚合成一个2G的端口,分别连接两个网络设备,这样USG5360的最大处理能力为2G。
后续如果处理能力不足,将很难通过扩容的方式,提高设备的处理能力。
接口数量局限性:
SACG设备的接口数量有限,以USG5300系列为例,USG5300设备有6个GE接口,如果客户的网络环境比较复杂,例如没有一个可以串接在两个设备之间的链路用于准入控制,那么SACG设备可能需要连接多个网络设备,SACG设备的接口比较有限,在这种网络环境下,需要比较多的SACG设备。
可靠性:
由于原来的Eudemon300/500/1000系列SACG设备已经停产,替换的USG系列产品没有提供BYPASS功能,在透明模式/混合模式下,当SACG设备异常掉电后,网络将会中断。
4.如何选择SACG设备
选择SACG设备的时候,需要考察两个指标:
第一:
需要考察SACG设备的在线用户数,这可以通过SACG上标称支持的在线用户数进行选择。
第二:
需要考察SACG设备的处理能力,不同的组网方式,对SACG设备的处理能力要求不同,对SACG设备