【最强大脑】之【点石成金】【第三期】深入浅出SACG原理与配置

[复制链接]
发表于 : 2014-12-10 14:31:01 最新回复:2015-11-25 11:42:28
4846 7
最强大脑
最强大脑 官方号

【最强大脑】前期曾发过一篇Agile Controller技术连载5】最强大脑,Agile Controller-Campus应用场景之准入控制(SACG接入)文章,25楼的兄弟留言说想继续了解SACG的原理和配置,今天【最强大脑】就跟大家来聊聊SACG的原理和配置那些事儿。

 

SACG方案只对终端用户访问资源方向的业务流做控制,判断终端用户是否具备访问请求资源的权限,对资源返回终端用户的业务流并不处理。

ControllerSACG上配置了联动功能之后,SACG上的ACL30993999901ACL将作为Controller下发策略给SACG的容器,每条ACL对应Controller中的一个角色(Role),通过这些ACL来控制终端用户是否具备访问指定资源的权限。启用SACG联动功能后ACL30993999内容无法在防火墙上修改,之前的配置也将清除。

通过SACG应用场景那篇文章,大家都知道在Controller上可以规划前域、隔离域和后域。那么这901ACL是如何跟Controller上的前域、隔离域和后域对应起来的呢?

咱们先来做个实验,根据下面这个SACG旁挂的典型组网来配前域、隔离域和后域,分别看看这些配置在SACG中是如何体现的。

 

 

? Controller上配置前域:

 

从上面的配置可以看出,角色0对应的ACL3099表示缺省角色,角色中的规则表示允许所有用户访问前域中的内容。

 

? 配置隔离域和后域:

隔离域和后域均属于受控域,在Controller的受控域上分别创建“隔离域”和“后域”,隔离域包括补丁服务器192.168.10.154,后域包括财务系统192.168.10.253

在隔离域中选择只允许访问隔离域中的资源192.168.10.154,禁止访问其他。

 

 

可以看到隔离域对应两个角色,一个是允许访问隔离域资源(Role 4),另一个是禁止访问隔离域资源(Role 3同样,后域资源分别对应Role 5Role 6两个角色。

下面来看看用户上线后角色是如何分配的。

账号身份认证和安全认证均通过后,Controller会将该账号具备的权限通过角色的方式下发到SACG。在SACG查看如下: 

<sysname> display right-manager online-users

  User name     : test1

  Ip address    : 10.10.10.10        

  ServerIp      : 192.168.12.153  

  Login time    : 21:09:28 2014/12/2 ( Hour:Minute:Second Year/Month/Day)

-----------------------------------------

  Role id      Role name

     1          DefaultDeny  //默认禁止

     6          Permit_1    //允许访问的后域资源

   255          Last       //缺省允许访问的前域资源

 

 角色ID由大到小匹配,以上信息表示test1账号允许访问前域和后域资源,禁止访问其他资源。通过上面的实验相信您对ControllerSACG的联动原理已有一定的了解,下面咱们来看看SACG又是如何配置的呢?

咱们依旧以前文中的旁挂组网来说明。主要包括三块的配置:

? SACG连接的核心交换机

核心交换机的主要配置是要通过策略路由实现将终端用户访问资源的业务流重定向到SACG

定义一条ACL,匹配从终端用户上行的数据流。

[Quidway] acl number 3000

[Quidway-acl-adv-3000] rule 0 permit ip source 10.10.10.0 0.0.0.255

[Quidway-acl-adv-3000] quit

 

Ethernet 1/0/1接口中,将来自终端用户所在网段10.10.10.0/24的报文重定向至SACG,即10.1.1.2。  

[Quidway] interface Ethernet 1/0/1

[Quidway-Ethernet1/0/1] traffic-redirect inbound ip-group 3000 next-hop 10.1.1.2

[Quidway-Ethernet1/0/1] quit

[Quidway]

 

? SACG

SACG上主要是要启用跟Controller联动的功能以及配置与Controller联动的参数。

[USG] right-manager server-group

[USG -rightm] default acl 3099

[USG -rightm] local ip 10.2.1.2       //Controller通信的接口IP地址

[USG-rightm] server ip 192.168.12.153 port 3288 shared-key Admin@123

//192.168.12.153SCIP地址,3288是与Controller通信的端口,无需修改;shared-key是与Controller通信的密钥,与Controller添加SACG时配置一致。

[Eudemon-rightm] right-manager authentication url http:// 192.168.12.153:8084/auth   //指定Web推送页面,在未安装AnyOffice时给客户端推送

 

? Controller

Controller上添加SACGIP地址为SACG上配置的local ipKeySACG上配置的shared-key

 

ControllerSACG的详细配置流程如下图所示,详细操作指导请参见SACG配置

 

 

【最强大脑汇总贴】学习Controller技术哪家强?资料技术贴帮你忙!最强大脑全新设计的三大系列,王者归来。   

  • x
  • 常规:

点评 回复

跳转到指定楼层
员Lemon
员Lemon  专家 发表于 2014-12-10 15:02:31 已赞(0) 赞(0)

多谢分享~~
  • x
  • 常规:

点评 回复

eSight_Network
eSight_Network   发表于 2014-12-10 15:02:31 已赞(0) 赞(0)

顶,果然是深入浅出,解释的入木三分呀!

  • x
  • 常规:

点评 回复

会话
会话   发表于 2015-5-14 14:31:21 已赞(0) 赞(0)


3),在用户身份认证通过前Controller将Role 3下发给用户,禁止访问隔离域;


这句话什么意思,用户还没认证,你咋就关联到隔离域了呢,肯定是查找的前域啊。


【最强大脑】之【点石成金】【第三期】深入浅出SACG原理与配置-1627437-1

  • x
  • 常规:

点评 回复

最强大脑
最强大脑 官方号 发表于 2015-5-14 17:00:43 已赞(0) 赞(0)

回复 4 楼

是这样的。用户身份认证前和认证成功后分别对应不同的角色(Role 3和Role 4),其中Role 3是禁止访问隔离域,Role 4是允许访问隔离域。认证前能否访问隔离域是通过Role事先下发到防火墙的。

  • x
  • 常规:

点评 回复

会话
会话   发表于 2015-5-14 20:10:45 已赞(0) 赞(0)

我发的图已经很明确了,报文来了,如果是没有认证的用户,首先匹配自定义策略,没有就匹配认证前域的ACL3099了,也就是所说角色0,如果用户认证了,那么就是到了图中倒数第二行的认证后域的策略,也就是后域生成的两个角色,可能是允许也可能是拒绝某个或某些IP。


我再给你看一个我找到的PPT:

【最强大脑】之【点石成金】【第三期】深入浅出SACG原理与配置-1629881-1


图中奇数规则和偶数规则都是针对一个IP,我猜就是你配置的时候,假如后域或隔离域指定的IP,为这个域生成两个角色,一个拒绝,一个是允许该IP,取决于你选中的是仅放行此IP流量,还是仅拒绝此IP流量。


那么按你图中的认证后域的用户举例,当用户认证后,下发的ROLE 255规则其实是从角色0复制而来的前域规则,因为从大向小匹配,首先放通前域,然后是下发ROLE 6 和 1给你,因为你选的是仅允许访问该{只允许访问列表中受控域资源(代表Rule 6 permit__1),禁止访问其他(Rule1 defaultdeny)} 。

如果你后域中选中的是{禁止访问列表中的受控域资源,允许访问其他},那么会下发角色, Role 255,Rule 5,和Rule 2。


如果用户还未登陆,也就是未验证,也就是相当于所有用户默认仅下发了rule 0,查看acl 3099。当用户认证时代理软件发现其他策略部通过,导致放到了隔离域,那么会下发rule 255,加两外两个角色。

我是根据图和PPT理解的,我没有试验环境,我又找到了PPT证实了下我的理论!所以我觉得你说认证前就下发了Rule3是不正确的!



【最强大脑】之【点石成金】【第三期】深入浅出SACG原理与配置-1629881-2【最强大脑】之【点石成金】【第三期】深入浅出SACG原理与配置-1629881-3

  • x
  • 常规:

点评 回复

最强大脑
最强大脑 官方号 发表于 2015-5-15 11:18:34 已赞(0) 赞(0)

回复 6 楼

赞,经确认如你所述。

  • x
  • 常规:

点评 回复

chenyifeng6759279
chenyifeng6759279   发表于 2015-11-25 11:42:28 已赞(0) 赞(0)

回复 6 楼

我发的图已经很明确了,报文来了,如果是没有认证的用户,首先匹配自定义策略,没有就匹配认证前域的ACL3099了,也就是所说角色0,如果用户认证了,那么就是到了图中倒数第二行的认证后域的策略,也就是后域生成的两个角色,可能是允许也可能是拒绝某个或某些IP

 

你说的“如果用户认证了,那么就是到了图中倒数第二行的认证后域的策略,也就是后域生成的两个角色,可能是允许也可能是拒绝某个或某些IP”

说的认证指的是身份认证,还是安全认证;又或者是指两者。然后如果身份认证通过,安全认证不通过,是否是下发255 和3 4 两个角色。 

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录