2025年针对前端设备的接入设计方案.pdf

该【2025年针对前端设备的接入设计方案 】是由【小屁孩】上传分享，文档一共【4】页，该文档可以免费在线阅读，需要了解更多关于【2025年针对前端设备的接入设计方案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..操千曲尔后晓声,观千剑尔后识器。——刘勰全网业务随性架构设计对于传统的园区网络(包括校园网络)而言,“业务”即指用户依靠网络设备获取内部资源而受到的策略,“随行”则意味着用户无论从何地、何时、哪一种终端接入网络,都可以保持用户本身自始不变的资源访问权限。其中,业务随行由两个核心概念组成:如何设置策略+如何进行统一的认证准入。大多数IT从业者对于“业务随行”的理解,大多数还保留在“为出差人员设计的移动办公方案”,然而这一概念早已不再是这样传统意义上的局限性理解。当前园区网络的“业务随行”应当指,有线无线一体化认证加持下,为所有入网用户提供固定资源访问权限的动态身份管理指令。,IP地址就如同某个学生或者教师的当前住址,学生升学毕业,宿舍自然会有别的人来使用。IP地址(尤其是私网地址)不会专属于一个人唯一所有,随着时间的流逝在不断的进行重新分配。但是在短暂周期内,只要一个人当前拥有一个IP地址,我们可以认为这个IP地址在这个时间范围内就具有唯一性,我们可以根据IP地址找到这个人所在的物理位置,直至找到这个人本身。IP地址在某段时间范围内具有一定的身份标示意义和地理位置意义。因此,传统的用户身份管理,顺理成章的采用IP紧耦合的方式来对入网用户进行权限管理。在校园网中,往往还会附加一条,采用“静态IP+静态VLAN”的方式来防止入网用户身份的变化,例如在教育城域网中,学校教职工通常采用固定的教育网IP来访问教育资源池,在学校内部同样存在类似手段。然而,基于“静态IP+静态VLAN”的方式过于笨重和强限制性,学校管理者几乎无法保障地理位置随意变动的入网用户实现业务随行。,校园管理者无法自由灵活的变更原始策略,否则会带来巨大的工作量。那么“根据认证信息动态分配VLAN+VLAN提前配置绑定静态ACL”的工作方式就会略微改善这种不便捷性。原理如下::..百川东到海,何时复西归?少壮不努力,老大徒伤悲。——汉乐府校园管理者需要提前为不同用户创建不同的VLAN中,并且在网关交换中匹配ACL策略。认证服务器对用户进行准入放通时,用户将会自动归入到对应VLAN中,此时ACL自动生效,对用户行使访问控制策略。这样的方式虽然免除了静态VLAN的繁琐性,但是仍然需要依赖静态ACL来实现访问控制策略。,校园管理者想要随时变更校园用户的资源访问权限,几乎需要更改全网接入交换机的ACL策略。因此,由认证服务器下发ACL“即动态ACL”似乎可以解决其中的繁琐性。校园管理员只需提前在认证服务器上为每类用户创建好ACL即可,用户在通过的认证的同时,ACL也同步下发到交换机。但是其中致命性的问题有两点,ACL在随用户下发时交换机需要复制每一个用户的ACL策略到规则库中,这就意味着每10个用户接入,就会给交换机带来1000条的策略负担。另一个问题是,动态ACL解决了所有用户访问内网资源的权限性问题,但是没有解决用户与用户之间的访问权限,这对于校园内网环境是极为危险的。2SDN理念下的业务随行实现SDN理念是当下园区网解决方案中最热门的概念,其概念的核心,是将“管理”和“控制”解耦。在SDN理念下的园区网络中,交换机设备以及无线设备、物联网设备,只是作为数据流量的转发角色,而所有的控制策略和路由策略全部由SDN的大脑核心网络控制器来实现。:..臣心一片磁针石,不指南方不肯休。——文天祥基于信锐全系智能交换机以及企业级无线AP设备,搭配NAC网络控制器以及软件控制器SAC,搭配网络控制器内置认证服务器以及策略随行控制引擎实现跨校区校园网络用户的业务随行方案。校园网用户在任意校区通过有线端/无线端认证策略后,即可在XX、XX等多个校区进行漫游,并保有自身角色所设置的访问权限。3基于策略随行引擎实现IP解耦基于前面的讨论,无论是传统的“静态IP+静态VALN”,还是“动态VALN”、“动态ACL”实现的用户身份访问策略绑定,都依赖于对于IP的紧密耦合,而这则是导致业务随性实现难得首要因素。信锐SDN三网合一校园园区网络解决方案,从网络控制器的控制层面实现用户与IP的解耦,动态划分用户组并匹配策略,真正实现校园网络用户的统一认证以及业务随行。4全园区业务随行架构信锐所采用的SDN理念校园园区网解决方案,将用户的访问权限管理从IP中解耦出:..海纳百川,有容乃大;壁立千仞,无欲则刚。——林则徐来,所有校园网用户在通过接入层交换机以及无线AP认证后,将由网络控制器统一规划好的用户组权限进行准入准出、访问管理。管理以及策略下发流程原理如图所示:基于前文的讨论,传统的资源访问控制策略主要基于三种方式,“静态IP+静态VLAN”、“动态VLAN+静态ACL”、“动态ACL”,而这三种方式同样基于IP来进行用户权限管理。信锐SDN网络控制器,配合内置认证服务器,在用户终端接入网络时,会首先对用户进行特征识别,认证通过后,再基于特征识别的结果匹配用户组。匹配完成后,网络控制器对用户下发用户属性(其中包含业务网络归属、所属角色类别、用户组、所属VLAN、所属IP段等信息)。在用户成功入网时,将被分配各自归属的用户组,此前交换机会先收到控制器下发的用户组策略并存入策略条目。交换机将依据用户组策略对入网用户行使针对性的资源访问权限控制。