1、华为Agile Controller配置手册园区版产品名称密级Agile Controller-Campus秘密产品版本共55页V100R002C00Agile Controller-CampusV100R002C00 配置手册(仅供内部使用)拟制:汪敦全、丁凌风、蒲俊杰日期:2014-4-2审核:日期:审核:日期:批准:日期:华为技术有限公司版权所有 XX日期修订版本描述作者2014-04-021.0初稿2014-05-201.13.2和4.6章节中增加终端安全和USB管控的License;产品更名调整汪敦全2014-07-031.1丁凌风2014-11-231.2在2.2和4.2章节增加E
2、9000刀片服务器的配置说明汪敦全2015-5-82.0增加Agile Controller-Campus V100R002的配置说明汪敦全表目录图目录 Agile Controller-Campus V100R002C00配置手册关 键 词:准入控制、补丁管理、软件分发、安全接入控制网关、 WEB认证客户端。摘 要:本文描述了Agile Controller-Campus V100R002C00的结构、配置、组网等内容,对Agile Controller 系统的销售、部署具有指导作用。文档管理:本文档由Agile Controller-Campus V100R002C00 团队编写和修订,研
3、发、电信设计(投标办)、成套、技术支援等部门共同参与审核,在试验局申请阶段提供第一稿,每季度至少更新一次。本文档纳入配置管理,经相关部门评审通过后在文档中心归档,同时通过市场技术资料平台3MS.HUAWEI.COM数据库进行发布,相关部门的资料接收人应做好保密工作,不得随意扩散。文档使用:本文档属于公司内部使用的机密资料,不可直接传给局方和落入竞争对手手中,否则,要追究相关部门和人员的责任(警告、罚款、降薪、劝退)。1Agile Controller-Campus V100R002C00总体介绍华为Agile Controller-Campus作为企业园区的控制器,实现整个园区网络全网策略控制
4、,同时实现网络的协同整体防护。提供统一的策略引擎,在整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式多维度的认证和授权,满足企业接入认证多层次、泛终端接入的需求。同时系统提供全生命流程的访客管理,给访客提供一个随时随地上网的空间,提高访客工作效率,提升企业品牌形象,降低IT运维的压力。华为Agile Controller-Campus包括接入认证、访客管理、业务随行、业务编排、安全协防组件构成。其中安全协防为独立组件,在界面进行SSO集成,在系统部署配置原则上存在差异,该组件单独进行描述。在V100R002版本中,安全协防组件不再发货。1.1系统网络逻辑结构及接
5、口关系1.1.1Agile Controller-Campus服务器网络实体组成图1 Agile Controller-Campus系统网络实体组成Controller支持集中部署和分布式部署,集中部署可将SM/SC部署在单台服务器。同时支持多个SC分布式部署。SM:Service Manager (业务管理器)负责对Agile Controller-Campus的业务配置管理以及对业务控制器进行管理。采用B/S架构,系统管理员通过WEB管理界面可以完成终端用户管理、策略配置等业务管理工作。作为业务业务管理器,SM将管理其下的各个业务业务控制器SC向已经连接的节点发送实时指令,完成各种业务。S
6、C:Service Controller (业务控制器)负责接入认证以及设备配置管理,分为RadiusServer、PortalServer、AuthsServer 、NetworkServer组件。RadiusServer:提供标准的Radius服务,整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式等多种维度的认证和授权。PortalServer:提供标准的Portal认证服务,提供WEB认证页面,跟接入设备进行Portal协议对接。AuthsServer:提供基本认证服务平台(提供基本的SACG接入控制以及终端升级等功能)。NetworkServer:提供网
7、络设备配置功能,在业务随行、业务编排功能中,通过NetwokServer完成设备业务配置,支持XMPP、Telnet、SNMP协议。1.1.2Agile Controller-Campus安全协防组件网络实体组成【V100R002版本不再提供】安全协防组件在界面以SSO方式集成到Agile Controller-Campus中, 安全协防组件包括SecView、iRadar、关联分析机、日志采集机。1.2组网方式和配置原则介绍1.2.1Controller服务器的组网和配置原则1. 单服务器集中组网方案图2 单服务器集中组网方案1)组网方式:说明:使用一台服务器,安装全部软件模块,包括数据库,
8、业务管理器以及业务控制器,适合较小型网络,以及不需要数据库备份的局点。服务器数量:1台服务器1安装组件:数据库,业务管理器SM,业务控制器SC2)选择该方案,需要满足如下条件:终端数量:建议单服务器集中组网时,被管理终端的数量小于2000。当终端数量大于2000终端时,网络的规模已经比较大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,但是从可靠性的角度考虑,不推荐使用该方案。网络环境:A)适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。B)适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps
9、。能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。小型多分支机构的定义:分支机构到总部的带宽=2Mbps,分支机构的终端数量=100分支机构到总部的带宽=10Mbps,分支机构的终端数量=500评估模型:需要计算终端对带宽的需求,需要保证在一般情况下(包括认证阶段,以及平时的业务阶段对带宽的占用率1%,认证阶段= 20000终端网络环境:存在多个分支结构,分支机构是典型的园区网,或者是银行的市级分行;分支机构到总部的网络带宽有限,评估采用集中组网,可能会占用大量分支机构之间的网络带宽;分支机构到总部之间的网络质量难以保障,总部和分支机构之间的网络可能中断,使得分支机构的终端
10、无法连接总部数据中心。方案的风险以及可靠性:方案的鞥小以及可靠性参照集中组网方案。3)分布式部署环境下数据同步对带宽的需求假设系统中存在10万账号,按照这样的规模计算,一个账号的数据量200字节,总量=20M字节,加上安全策略等各种缓存数据,估计数据量=30M字节。假设分支机构到总部之间的网络带宽是2Mbps,业务控制器SC从总部区所有的缓存数据,假设占用全部带宽,所需要的时间=30M*8bit/2Mbps=120秒。所需要的时间约等于2分钟。业务控制器SC每四个小时从总部同步一次数据,因此数据同步部分对分支机构到总部之间的网络占用=2/(4*60)*100%=0.83%1.2.2802.1X
11、准入控制的组网和配置原则1. 在接入层交换机上实施802.1X图6 在接入层交换机上实施802.1X1)方案说明:在最靠近终端的交换机上启用802.1X,终端正常接入网络前,需要先部署安全代理(一般情况下,不支持Windows自带的安全代理,除非在服务器端进行特殊的配置)。该部署方案能够达到的控制效果,与交换机的特性有关,一般来说可以区分两种类型的交换机:只支持端口关闭的802.1X交换机只支持端口关闭的交换机,有两种选择:第一种是身份认证通过后,开通交换机端口,而不管安全检查的结果是否满足企业的安全策略(可以选择使用其他的准入控制设备配合实现隔离和控制)。第二种是只有身份认证和安全认证通过后
12、开通交换机端口,其余情况均关闭交换机端口。这时候,终端无法通过网络实施修复,例如没有安装杀毒软件,被隔离的时候,只能通过光盘/U盘的方式,在终端安装杀毒软件,并且想办法更新病毒库。支持GUEST VLAN和动态VLAN的802.1X交换机支持GUEST VLAN和动态VLAN的交换机,通过配置,可以使得没有部署安全代理的终端能够访问GUEST VLAN,通过GUEST VLAN部署AnyOffice客户端。在认证过程中,根据安全检查的结果,给交换机下发隔离域VLAN或者认证后域VLAN,实现对问题终端的隔离。支持动态ACL的802.1X交换机支持动态ACL的交换机,通过配置,可以在认证成功后,
13、向交换机下发ACL控制用户的访问权限。2)配置原则:当满足如下条件,可以使用在接入层交换机上实施802.1X:客户要求终端在接入前,不允许访问任何网络资源,包括邻居的终端;客户具备实施和管理802.1X的能力,包括部署AnyOffice客户端的能力;客户的所有接入层交换机都支持802.1X,不存在使用HUB的情况;3)其他局限性:对于只支持端口关闭的802.1X交换机,部署AnyOffice客户端比较困难,目前主要有两种方式:第一种:通过U盘/光盘等物理介质的方式,手工在终端PC上安装AnyOffice客户端;第二种:由专门的部门负责安装软件,例如在一个受控的区域内,交换机不启用802.1X,
14、使得终端在没有部署AnyOffice客户端的时候也能够接入网络,通过网络下载并且安装AnyOffice客户端,或者使用克隆工具重新安装系统。2. 在汇聚层交换机上实施802.1X图7 在汇聚层交换机上实施802.1X1)方案说明:在汇聚层交换机上实施802.1X(一般来说,汇聚层交换机都能够支持802.1X),这时候,下层交换机之间的终端在没有认证前可以互相访问。在汇聚层交换机上实施802.1X,可以减少802.1X的控制点,降低实施的复杂性。2)配置原则:当满足如下条件,可以使用在汇聚层交换机上实施802.1X:客户允许终端在认证前,可以访问接入交换机之间的终端;客户具备实施和管理802.1
15、X的能力,包括部署AnyOffice客户端的能力;接入层的交换机/HUB等设备,包括无线AP等,必须支持802.1X组播报文透传;3)其他限制和局限性:为了在汇聚层交换机实施802.1X,要求该交换机支持MACBASED的802.1X。从目前获得的资料来看,只有国内厂商的交换机才支持该特性。CISCO交换机没有发现能够支持该特性,海外其他厂商的交换机不清楚能否支持MAC BASE的802.1X特性。3. 接入层/汇聚层混合实施802.1X当客户的网络比较复杂的时候,如果强烈要求实施802.1X,也可以采用在接入层/汇聚层混合的方式,方案与配置原则与前面章节一致,这时候802.1X的管理会比较复
16、杂。1.2.3硬件SACG准入控制的组网和配置原则1. SACG直挂路由模式图8 SACG直挂路由模式部署方案1)组网方式:SACG直挂路由模式如图所示,SACG设备在这种组网模式下,通常充当两种类型的角色,第一是网关,要么是接入终端的网关/服务器设备的接入网关,另一种是互联网出口网关。根据部署的位置,如果作为终端的接入网关,可以控制终端访问网关范围外的网络资源;如果作为服务器设备的接入网关,可以控制终端PC对服务器设备的访问;如果作为企业的互联网出口网关,可以控制终端PC对互联网的访问。这样的部署方式,如果是现成的网络,则需要使用SACG设备替换网关,当网络的规模比较大的时候,可能需要替换比
17、较多的网关,成本较高。如果是新建的网络,则需要购买比较多的SACG设备,作为网关,性价比不高。除了部署在互联网出口位置,作为出口网关外,一般不推荐使用这种部署方案。2. SACG侧挂路由模式图9 SACG侧挂路由模式部署方案1)组网方式:SACG侧挂路由单机模式的组网如图所示,SACG设备侧挂在三层交换机或者路由器上。一般来说,通过在交换机上配置报文重定向,或者在路由器上配置策略路由,把来自终端PC的上行流量重定向到SACG设备,通过SACG设备过滤后,再回到交换机/路由器上执行正常的路由转发。对于来自业务系统,发到终端PC的数据报文,出于对性能的考虑,一般不走SACG,直接通过交换机/路由器
18、发送到合适的设备/终端上。出于成本的考虑,会根据客户的网络环境,把SACG设备侧挂在能够控制终端PC访问业务系统的关键网络设备上,如园区网的核心交换机/路由器,或者数据中心前的交换机/路由器。具体部署的位置,需要根据客户网络的情况,以及客户的业务目标,折中考虑。2)配置原则:满足如下条件,可以考虑采用侧挂路由模式部署方案:对终端之间的互相访问控制要求不严格,需要重点保护企业的业务系统;终端到业务系统之间的数据流量有比较集中的控制点;允许对网络的配置进行少量的调整;3)双机方案建议如果客户的网络是双平面的网络,通常能够找到两个对称的侧挂点,使用两个SACG设备,侧挂在两个对称的侧挂点上。如果客户
19、的网络本身没有提供双平面方案,不建议在同一个设备上部署两个SACG设备。通过配置,可以使得当一个SACG设备发生故障的时候,流量走正常路由,也不会导致网络中断,不会影响该网络的可靠性。3. SACG透明/混合模式图10 SACG透明/混合模式部署方案1)组网方式SACG透明/混合模式组网比较简单,在网络中找到一个控制点,然后把SACG设备直接串接在网络中,如图所示。所有通过SACG的流量,都会受到控制。这样的组网方式简单,而且不需要改变现网的网络拓扑结构,而且部署和实施简单。2)配置原则:当满足下列条件,可以考虑采用透明/混合模式的组网方案:对终端之间的互相访问控制要求不严格,重点保护企业的业
20、务系统;不希望对网络的拓扑和配置进行调整;链路的端口是GE口或者FE口(目前各个型号的SACG设备,没有支持10GE的接口);3)透明模式/混合模式双机方案建议如果客户的网络支持双平面,则可以通过在两个链路上分别部署SACG设备,实现双平面的需求。4)透明模式/混合模式组网局限性吞吐能力局限性:透明模式/混合模式组网的情况下,由于SACG设备串接在两个网络设备之间,网络的吞吐能力的扩展性首先与SACG设备的处理能力。以USG5300系列为例,USG5360产品最大处理能力标称值等于6G,USG5360提供了四个可以做聚合的端口,假设四个可以聚合的端口分为两组,两两聚合成一个2G的端口,分别连接
21、两个网络设备,这样USG5360的最大处理能力为2G。后续如果处理能力不足,将很难通过扩容的方式,提高设备的处理能力。接口数量局限性:SACG设备的接口数量有限,以USG5300系列为例,USG5300设备有6个GE接口,如果客户的网络环境比较复杂,例如没有一个可以串接在两个设备之间的链路用于准入控制,那么SACG设备可能需要连接多个网络设备,SACG设备的接口比较有限,在这种网络环境下,需要比较多的SACG设备。可靠性:由于原来的Eudemon 300/500/1000系列SACG设备已经停产,替换的USG系列产品没有提供BYPASS功能,在透明模式/混合模式下,当SACG设备异常掉电后,网络将会中断。4. 如何选择SACG设备选择SACG设备的时候,需要考察两个指标:第一:需要考察SACG设备的在线用户数,这可以通过SACG上标称支持的在线用户数进行选择。第二:需要考察SACG设备的处理能力,不同的组网方式,对SACG设备的处理能力要求不同,对SACG设备
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1