锐捷网络极简X SDN——策略随行方案部署:①安全策略管控(子网隔离、业务资源隔离、终端组隔离等策略)

最新推荐文章于 2024-03-05 07:48:39 发布
最新推荐文章于 2024-03-05 07:48:39 发布
阅读量944 收藏 20
点赞数 23
分类专栏: 锐捷网络 文章标签: 网络 运维 子网策略 锐捷网络 SDN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/135087943
版权
本文介绍了极简X方案中的网络策略,包括全局网段策略ACL、业务子网隔离策略(包括子网隔离和完全隔离)、子网策略例外口、业务资源访问策略以及终端组访问策略。这些策略通过SDN控制器实现,用于控制不同业务子网间的访问,确保网络安全。
摘要由CSDN通过智能技术生成

目录

00  全局网段策略ACL

场景描述

工作原理

配置步骤介绍

配置命令详解

01  业务子网隔离策略

①  子网隔离策略

②  完全隔离子网策略

③  子网策略例外口

02  业务资源访问策略

03  终端组访问策略

04  各策略优先级说明


 

00  全局网段策略ACL

场景描述

在高校或企业SDN应用场景中,需要基于网段应用ACL,将ACL直接应用于全局,基于源IP或者网段策略生效,下方章节介绍的隔离策略都使用全局网段策略ACL实现。

工作原理

在设备上配置IP访问列表,添加基于源IP或者网段的规则,并全局应用生效。用户在WEB认证或者DOT1X认证后通过用户组信息获取对应网段的IP地址,实现基于网段ACL对用户的策略控制。如果想让某些端口不受全局网段策略ACL的控制,可以在这些接口上独立开启全局网段策略例外口功能。

网段策略ACL仅支持默认in方向的应用;

网段策略ACL不受到全局ACL例外口配置限制,配置例外口后全局网段策略ACL仍然生效;

网段策略ACL可以在二层口上生效,也可以在路由口上生效。即可以在以下类型的端口上都生效:acess、 trunk、 hibird、 路由口、ap口(二层或三层)。在SVI口和ap成员口上不生效。

网段策略ACL只支持关联IP标准ACL或者IP扩展ACL,设备只允许应用一条ACL基于网段策略生效。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
你可知这世上再难遇我
关注
  • 23
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
锐捷网络极简X SDN——RG INC PRO基础功能介绍:安全策略管控
君逍遥o
12-07 928
在设备上配置IP访问列表,添加基于源IP或者网段的规则,并全局应用生效。用户在WEB认证或者DOT1X认证后通过用户信息获取对应网段的IP地址,实现基于网段ACL对用户的策略控制。如果想让某些端口不受全局网段策略ACL的控制,可以在这些接口上独立开启全局网段策略例外口功能。
锐捷网络极简X SDN——RG INC PRO基础功能介绍:高校典型配置举例
君逍遥o
12-05 1038
极简X方案整网推荐一个supervlan业务网,所有需要终端任意接入网络业务子网都必须在这个supervlan业务网下(业务网的网关IP为supervlan网关,则终端可任意vlan接入)
锐捷网络极简X是什么?
科技峰行者的博客
03-22 1804
3月6日,以“携手同心,逆风飞飏”为主题的锐捷网络2019年合作伙伴大会在南京召开。本次大会上,锐捷网络全面回顾了2018年“做精做强”战略下的成果与收获,重磅发布了下一代创新产品和解决方案,携手8000多家合作伙伴畅谈增长之路,共谋美好未来。而在众多的新品发布中,锐捷极简X吸引了老孙的注意,这款号称为物联网“量身定制”的网络方案将会使网络中心服务效率大幅提升,并使网络中心由被动到主动服务转型,那...
是否为网络设备实施了统一的速度限制和流量控制策略
ZOMO的博客
03-05 763
互联网发展迅猛的时代背景下, 用户对于网络速度和稳定性的需求越来越高;为了保障用户的网络体验和提高网络的承载能力,很多企业和服务提供商都实行了限速制度来降低高峰时期的网络拥堵现象.
18.RIP、ACL实验配置
qq_41116260的博客
11-02 552
18.RIP、ACL实验配置
(2021年整理)锐捷网络准入控制及终端安全方案 (2).pdf
06-04
(2021年整理)锐捷网络准入控制及终端安全方案 (2).pdf(2021年整理)锐捷网络准入控制及终端安全方案 (2).pdf(2021年整理)锐捷网络准入控制及终端安全方案 (2).pdf(2021年整理)锐捷网络准入控制及终端安全方案 (2).pdf...
(2021年整理)锐捷网络准入控制及终端安全方案.docx
06-04
锐捷网络准入控制及终端安全方案是一套针对企业网络环境设计的综合安全策略,旨在确保在网络从有线向无线转型的过程中,实现有线无线一体化的准入控制,保障网络安全。该方案着重解决多用户角色、多分支异构和多终端...
(2021年整理)锐捷网络准入控制及终端安全方案 (2).docx
06-04
锐捷网络准入控制及终端安全方案是一套综合性的网络安全策略,旨在解决企业在网络从有线向无线转型过程中面临的挑战。方案的核心目标是确保只有经过验证的合法用户和安全的终端设备能够接入网络,并且根据用户角色和...
锐捷网络信息安全实验室解决方案
06-06
RG-LIMP实验室综合管理系统是锐捷网络信息安全实验室解决方案的实验管理平台的核心件,主要负责实验室的设备管理、资源管理和实验管理等。 RG-RCMS实验室机架控制和管理服务器 RG-RCMS实验室机架控制和管理...
2024锐捷网络安全认证RCNA-Security学习资料合集.zip
最新发布
07-09
2024锐捷网络安全认证RCNA-Security学习资料合集.zip,原厂培训资料,内容丰富,欢迎下载学习!
基于SDN的动态负载均衡策略_刘毅.pdf
11-21
针对SDN中静态网络结构不能适应动态流量变化所引起的控制器负载不均衡问题,提出一种阶段式动态负载均衡策略。阶段一,以控制器负载均值化为目标,确定迁入控制器候选集,且综合考虑时延、负载,设计指标函数,选取待迁移交换机;阶段二,考虑网络节点间的连通性,以最小迁移代价为目标,提出改进的EMD模型,并用线性逼近算法快速求解,实现了交换机的快速并行迁移。实验结果表明,与现有的负载均衡策略相比,改善了迁入控制器和交换机的选取过程,优化了网络性能,控制器的负载均衡度提升了约31.4%。
防御网络攻击的SDN安全策略
2301_76161259的博客
03-23 881
最近,微软宣布了它在内部使用了一种自行开发且基于OpenFlow的网络分流聚合平台(称为分布式以太网监控,DEMON)。这个工具可用于处理微软云网络的大规模流量。以前,其内部的成千上万个连接与网络流已经超出了传统分流与捕捉机制(如SPAN或端口镜像)的处理能力。通过使用可编程的灵活交换机和其他网络设备,让它们作为数据包拦截和重定向平台,安全团队就可以检测和防御目前的各种常见攻击。许多行业将SDN驱动的安全分析技术称为软件定义监控(SDM)。
锐捷网络极简X SDN——准入管控方案部署指导:接入+核心模式(Supervlan)
君逍遥o
12-18 1338
动态IP地址哑终端准入管控场景的特殊性l、由于哑终端没有认证终端属性也没有AM规则等,常规接入网络将获取临时地址或者是普通地址,无法拿到该业务子网定义的网段IP,并且如何保证每次都能获取到同样的固定IP,以便准入管控确认终端身份是合法的,这些是动态IP场景下需要特殊考虑的。2、极简X方案要求人工主动收集这部分的动态准入终端的IP,MAC,名称等信息,通过Excel模板导入ONC控制器,下发设备端进行绑定生效。3、该场景终端支持泛载接入。
锐捷极简X 大二层扁平化网络部署指导——功能原理及规划:通用场景 地址管理
君逍遥o
11-15 758
DHCP server在极简场景中同通用场景类似,这边不对原理相同的部分做做过多介绍。 建议将DHCP Server配置在N18K上,也可将N18K配置为DHCP Relay。 需要注意的差异点为: 1、DHCP租期建议配置为2h,目的是能够快速回收未使用的dhcp 地址资源,避免在人流量过多的区域网关的ip地址资源被占满。 2、当用户的dhcp租期耗尽时或者N18K收到dhcp release报文,N18K会将该用户进行认证踢线处理,避免出现地址分配给其他终端以后之前用户在线条目保留导致新用户无法
锐捷极简X 大二层扁平化网络部署指导——方案规划及实施注意点
君逍遥o
12-01 1528
接入、汇聚设备需要关闭NAS认证相关功能(包含aaa、web认证、802.1x认证等配置),以及接口安全、防欺骗类安全功能(dhcp snooping、arp-check、ip source-guard)等等,这类功能在极简网络中已经无需在接入、汇聚设备开启。如果未关闭,可能会造成安全功能和极简方案存在冲突或者未知的BUG,影响现网业务
Cisco/Ruijie/H3C/华为 AAA认证配置( Tacacs+、Radius)
热门推荐
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
【研究方向是SDN该怎么做?】软件定义网络SDN)的安全挑战和机遇
谈论现实
12-20 1049
软件定义网络SDN)的安全挑战和机遇 目录软件定义网络SDN)的安全挑战和机遇写在前面的话SDN是什么?有必要研究SDN的安全问题吗?SDN的优点与缺点SDN中的集中化对于攻击者和防御者,谁的好处更多?攻击者和防御者的灵活性和适应性SDN是更复杂,还是更简单?研究方向安全SDN配置的自动派生SDN环境中的安全操作基于SDN的安全性SDN的安全架构总结 写在前面的话 看个数据: 2016年,市场研究公司国际数据公司(IDC)预测,到2020年,SDN网络应用的市场规模将达到35亿美元。 这个数据在工业
SDN核心技术剖析和实战指南》
Howie66的博客
07-15 4229
SDN(Software Defined Networking)--软件定义网络,是一种新兴的基于软件的网络架构及技术。   NFV(Network Function Virtualization)--网络功能虚拟化       SDN典型架构:应用层、控制层、基础设施层   应用层--不同业务和应用
网络系列--SDN安全
Cheney ' blog
05-02 1346
本文分析了当前SDN安全相关的研究论文,综合各类观点总结出本篇文章 文章目录一:网络空间安全概述1.1:网络空间1.2:网络空间安全1.3:网络空间安全形势二:SDN概述2.1:简介2.2:技术优势2.3:发展现状三:SDN安全问题3.1:SDN安全模型与传统网络安全模型对比3.2:OpenFlow协议安全性3.3:SDN各层/接口面临的安全问题四:SDN安全机制4.1:解决方案:4.1.1 SDN安全控制器的设计与开发4.1.2 可合安全模块库的开发和部署4.1.3 控制器DoS/DDoS攻击防御4.
锐捷网络网络安全融合策略:规避风险与业务驱动
网络安全融合之道是当前信息技术...综上,网络安全融合之道是企业面对快速发展的网络环境,平衡技术进步与安全需求的关键路径,它涵盖了技术架构、业务应用、安全策略和实践等多个层面,以确保网络的稳定和安全运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值