业务随行简介

定义

业务随行是一种不管用户身处何地、使用哪个IP地址，都可以保证该用户获得相同的网络访问策略的解决方案。

背景

在企业网络中，为实现用户不同的网络访问需求，可以在接入设备上为用户部署不同的网络访问策略。在传统园区网络中，控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。这些技术要求：

1. 管理员如果希望保证员工在园区内的网络权限一致，必须要求员工从指定的交换机、VLAN或网段接入上线。
2. 用于控制用户访问权限的ACL需要管理员提前配置好，而且其中至少需要配置禁止或允许访问的目的IP地址范围。因此，在用户使用的IP地址不固定的前提下，ACL不能用于流量的源和目的都是用户主机时的控制。
3. ACL与用户的关联只在认证点设备上生效。因此对于非认证点设备，例如部署在企业园区边界的防火墙设备，必须基于IP地址来配置策略。
4. VLAN和ACL需要在大量的认证点交换机上提前配置，部署和维护工作量巨大。

员工移动办公希望打破这一局限性，允许员工从网络中的任意位置、任意VLAN、任意IP网段接入的同时还可以始终控制其网络访问权限。因此引入了业务随行，通过控制器和敏捷交换机，让网络权限自动跟随人移动，以此解决移动办公体验糟糕的问题。

业务随行从三个方面解决传统园区中遇到的问题：

1. 业务策略与IP地址解耦

   管理员可以在控制器上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计，敏捷设备在进行策略匹配时，可以先根据报文的源/目的IP地址去匹配源/目的安全组，再根据报文的源/目的安全组去匹配管理员预定义的组间策略。

   通过这样的创新，可以将传统网络中基于用户和IP地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址，实现业务策略与IP地址的完全解耦。

2. 用户信息集中管理

   控制器实现用户认证与上线信息的集中管理，获取到全网用户和IP地址的对应关系。而网络中的非认证点设备就可以根据报文的源/目的IP地址，通过向控制器主动查询来获取报文的源/目的安全组信息。

3. 策略集中管理

   控制器不仅是园区的认证中心，同时也是业务策略的管理中心。管理员可以在控制器上统一管理全网策略执行设备上的业务策略。管理员只需要配置一次，就可以将这些业务策略自动下发到全网的执行点设备上。这些策略包括权限策略（例如禁止A组访问B组）和体验保证策略（例如控制A组的转发带宽和转发优先级）。

益处

1. 简化网络规划：管理员配置策略时无需关注用户的IP地址。
2. 增强控制能力：实现网络设备上认证用户信息的相互同步。
3. 管理效率提升：管理员无需逐台设备重复配置。

体系架构

整体架构如图1所示。

图1 业务随行网络架构示意图

• 用户终端负责发起认证。
• 接入层负责二层透明转发用户流量。
• 认证点设备负责对用户进行认证，执行点设备控制用户访问权限。认证点和执行点可以是同一设备，也可以是不同设备。
• 边界设备负责保证特定用户在出口的转发优先级。
• 静态资源是用户可以访问的服务器资源，在控制器中可以以安全组的形式管理。

业务随行方案中的三个核心角色：

• 控制器：负责与网络设备联动完成用户认证和策略下发，实现业务策略与IP地址的完全解耦。仅华为公司产品Agile Controller-Campus或iMaster NCE-Campus支持作为业务随行方案中的控制器。
• 接入设备：对终端进行认证，决定是否允许终端接入网络并对终端的网络访问权限进行控制。包括交换机、防火墙。本手册仅介绍交换机。
• 终端：负责向用户提供人机接口，帮助用户进行认证和资源访问。包括PC、便携机、智能手机、平板电脑、哑终端等终端类型。

工作机制

交换机与Agile Controller-Campus、iMaster NCE-Campus对接差异如所示表1。具体实现机制请参考图2和图3。

表1 对比差异

对比项	场景说明	支持的安全组
Agile Controller-Campus	适用于单认证点的园区接入场景 交换机作为执行点时，必须同时作为认证点，因为交换机单独作为执行点不支持Agile Controller-Campus向其推送组策略	动态用户组、静态资源组
iMaster NCE-Campus	适用于单认证点、多认证点的园区接入场景 可以实现执行点和认证点是不同交换机	动态用户组、推送用户组、静态资源组、逃生资源组

对于Agile Controller-Campus，业务随行的实现机制如图1所示。

图2 业务随行实现机制示意图

1. 管理员在控制器中创建用户账号、定义UCL组（User Control List），同时将用户账号加入其所属的UCL组，所有用户必须在认证通过后才可接入网络。然后为用户统一定义基于UCL组的网络访问策略（即组策略）。
2. 控制器将管理员配置的UCL组和网络访问策略下发给所有关联的交换机，从而实现交换机对用户所属UCL组的识别。交换机还可在本地部署部分基于安全组的业务策略。
3. 用户启动认证，在认证过程中，控制器根据用户的登录信息，将其与UCL组关联。认证成功后，控制器将该用户所属组作为授权结果下发给认证点。控制器收集所有上线用户的IP地址。
4. 用户访问网络。当交换机收到用户报文后，会尝试识别报文的源/目的IP对应的安全组，对报文执行基于UCL组的策略。

对于iMaster NCE-Campus，业务随行的实现机制如图3所示。

图3 业务随行实现机制示意图

1. 管理员在控制器中创建用户账号、定义UCL组，同时将用户账号加入其所属的UCL组，所有用户必须在认证通过后才可接入网络。然后为用户统一定义基于UCL组的网络访问策略（即组策略）。
2. 控制器将管理员配置的UCL组下发给所有关联的交换机（执行点和认证点设备），从而实现交换机对用户所属UCL组的识别。
3. 执行点设备向控制器发起建立IP-GROUP通道。
4. 用户启动认证，在认证过程中，控制器根据用户的登录信息，将其与UCL组关联。认证成功后，控制器收集所有上线用户的IP地址。
5. 控制器通过IP-GROUP通道向执行点设备推送UCL组表项信息（该用户所属组作为授权结果），记录源/目的IP与UCL组的映射关系。
6. 用户访问网络。当执行点设备收到用户报文后，会尝试识别报文的源/目的IP对应的安全组，对报文执行基于UCL组的策略。