S5700, S6700 业务随行安全组

小乔

安全组
安全组就是对“网络中进行通信的对象”进行抽象化、逻辑化而得到的一个集合。安全组里面的成员，可以是PC、手机等网络终端设备，既可通过管理员配置静态添加，也可通过认证动态添加。

借助安全组，管理员可以将具有相同网络访问策略的一类用户划分为同一个组，然后为其部署一组网络访问策略，能满足该类别所有用户的网络访问需求。网络对象因为其在网络访问上的“共通性”而被网络管理员划分为同一个安全组，基于安全组配置的策略而获得相同的权限。例如“研发组”（个人主机的集合）、“打印机组”（全网所有打印机的集合）、“数据库服务器组”（服务器IP+端口的集合）。相对于为每个用户部署网络访问策略，基于安全组的网络控制方案能够极大的减少管理员的工作量。

安全组的划分
管理员通过定义安全组，可以将网络中流量的源端或目的端通过组的形式描述和组织起来。例如用户主机，IP电话，服务器，网络设备的接口这类拥有IP地址、可能发起或接受IP报文的终端。管理员要想控制它们之间的互访，就需要先把它们在控制器上定义出来。

安全组主要分为如下几类：

动态用户组：需要认证之后才可以接入网络的用户及终端。
推送用户组：在认证点认证后，通过IP-GROUP通道推送组策略到执行点上来控制接入网络的用户及终端的访问权限。Agile Controller-Campus不支持推送用户组。
静态资源组：使用固定的IP地址的终端。包括数据中心的服务器，网络设备的接口，以及使用固定的IP地址免认证接入的特殊用户。
逃生资源组：为保证IP-GROUP通道故障后，用户仍拥有访问网络的逃生成员。Agile Controller-Campus不支持逃生资源组。
同一个安全组既可以与多条授权规则绑定来表示动态用户，也可以与多个IP地址或IP网段绑定来表示静态资源，它们的区别在于：

动态用户的IP地址是不固定的，是在用户认证之后动态地与安全组关联，在用户注销后，也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。而网络设备需要通过作为用户的认证点设备，或者向控制器主动查询，才可以获取这种映射关系。
推送用户组中的用户的IP地址是不固定的，是在用户认证之后动态地与安全组关联，在用户注销后，也会动态地解除关联。用户IP与安全组之间的映射关系只在用户在线期间有效。而执行点设备需要与控制器建立IP-GROUP通道，接收推送的组策略才可以获取这种映射关系。
静态资源的IP地址是固定的，是由管理员通过配置绑定的，并且在预部署阶段，控制器与网络设备间通过XMPP（Extensible Messaging and Presence Protocol）协议同步策略时，安全组与这种IP地址的绑定关系就会同步给所有执行点设备。
逃生资源的IP地址是固定的，是由管理员通过配置绑定的，并且在预部署阶段，控制器与执行点设备建立IP-GROUP通道后，通道发生故障时，逃生资源组与这种IP地址的绑定关系就会在执行点设备生效。
如果一个IP地址同时以认证方式和静态绑定方式分别加入了不同组，则以优先级最大的安全组生效，优先级为：动态用户组 > 推送用户组 > 静态资源组 > 逃生资源组。

安全组成员的加入
安全组成员可以通过多种途径加入：

用户认证：管理员在控制器上配置用户授权规则关联安全组。用户认证接入后，控制器自动将用户的IP地址与用户对应的安全组进行关联。
授权规则由两部分组成：

授权条件：用各种登录条件来描述某类特定用户。
授权结果：满足授权条件的用户登录时将与授权结果中指定的安全组关联，即赋予该用户相应的身份和权限。
用于描述用户的授权条件支持以下项目，管理员可以根据自己的需求来选择配置：

用户信息
用户组（例如人力资源部、市场部、后勤部等）
角色（例如研发人员、服务人员、销售人员、财经人员等）
账号（接入网络时使用的用户名）
位置信息
接入设备组（从哪台设备接入网络，用于表示其接入的物理位置，例如某办公室，某办公楼等）
终端IP地址范围（采用哪个网段的IP地址接入网络）
SSID（使用WLAN网络中的哪个SSID接入网络）
其他信息
终端设备组（使用什么终端接入网络。例如是Windows操作系统的PC类终端还是Android操作系统的智能终端）
时间段（用户在线的时间范围）
定制条件（通过认证报文中携带的Radius属性来判断当前用户的登录环境）
静态配置：管理员在控制器上配置IP、网段或“IP+端口”关联安全组。管理员通过这种方法可以将哑终端、服务器这类不进行认证就可以接入网络的对象添加到指定的安全组中。
第三方系统：通过控制器开放的第三方接口，第三方软件系统也可以根据自己的应用场景和算法向安全组中动态添加或删除成员。
业务随行解决方案中的一项关键技术是，把用户与安全组的关联信息，同步到其他设备上。常用的组同步方法有：

通过控制器全局同步。
通过专用协议在设备之间进行扩散同步。
通过用户流量将组信息携带到其他设备。
这里介绍第3种同步方法，即由VXLAN报文头携带用户组到其他设备。步骤如下：

用户上线时，由控制器分配用户与安全组的映射关系，并下发至网关。
用户报文进入网关，加上安全组信息后转发。
目的网关判断该用户要访问的不同安全组的资源或用户，然后根据报文中携带的安全组信息，以及目的资源的安全组信息，查找策略矩阵，获得互访策略并执行。