• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

ADCampus方案几种逃生机制的对比分析

 

 

1       ADCampus方案逃生机制的产生背景

1.1     ADCampus方案介绍

身处数字化经济时代,每天都能看到各种创新应用的产生,园区网络的建设需求也随着各种应用的使用而日新月异,这对传统园区网络的建设和管理造成了极大的冲击。于是H3C应用驱动园区网解决方案(ADCampus)应运而生。ADCampus方案在园区业务部署、终端管控及运维管理等方面给用户带来的极大便利,提供了网随人动、全程自动化、智慧物联、先知保障、多园区管理等特性,大大降低了园区运维的复杂度,从而满足了用户在数字化经济时代对智能化、移动化的新园区网络建设以及物联网建设的新诉求。

1.2     ADCampus方案逃生机制的产生背景

ADCampus方案典型组网中,终端认证成功后,用户才能加入到规划好的业务安全组,进行用户间互访及访问外部网络。如果认证服务器突然不可达或者状态异常,这将导致用户无法正常接入ADCampus网络,进而无法访问网络资源。为了解决上述问题,ADCampus方案引入了逃生机制,可以在上述场景下为用户提供特定的访问资源权限。

2       ADCampus方案逃生机制介绍

2.1     ADCampus方案认证用户进入逃生

ADCampus方案逃生机制所使用的安全组称之为逃生安全组。处于逃生状态时,除了业务安全组中的已上线用户,其他用户将全部进入逃生安全组。

ADCampus 方案中,Leaf 进入逃生状态有两种方式:

Ÿ   自动方式:Leaf检测到所有认证服务器均不可达后,Leaf自动进入逃生状态;

Ÿ   手工方式:当认证服务器可达但是认证用户又无法认证上线时,管理员手工配置Leaf进入逃生状态。此时Leaf设备不再向认证服务器发起认证,将所有接入用户放入Critical-VSI,不走认证流程。

Leaf进入逃生状态后,对于不同初始状态的用户的处理是有差异的,用户的初始状态可分为如下几种:

Ÿ   新上线的用户,包括MAC Portal认证用户、802.1x认证用户、MAC认证用户;

Ÿ   业务安全组中已上线的用户,包括无感知用户、802.1x认证用户以及MAC认证用户;

Ÿ   业务安全组内Portal认证未完成的用户,即无感知失效用户;

Ÿ   BYOD安全组内未完成Portal认证的用户,即未注册用户。

本章节将具体介绍Leaf进入逃生状态后,处于上述初始状态的用户如何进入逃生。

2.1.1          新上线的用户进入逃生

当认证服务器均不可达时,对于新上线的用户接入Leaf,会进入逃生安全组,获取逃生安全组内的IP地址,访问逃生安全组的可访问网络资源。处理过程如图1所示。

1 新上线的用户进入逃生

2.1.2          业务安全组中已上线的用户进入逃生

当认证服务器均不可达时,对于业务安全组中已上线的无感知用户及MAC认证用户,如果用户租约未到期,用户可以继续访问原业务安全组的相关资源,不影响用户使用;如果用户租约到期,但可以成功续租,仍可以继续访问原业务安全组的相关资源,不影响用户使用;如果用户租约到期,且无法正常续租,则用户在租约到期后需要重新上线,此时会进入逃生安全组,获取逃生安全组内的IP地址,访问逃生安全组的可访问网络资源。而对于业务安全组中已上线的用户主动下线或者闲置时长到期,用户需要重新上线,此时会进入逃生安全组,获取逃生安全组内的IP地址,访问逃生安全组的可访问网络资源。处理过程如图2所示。

2 业务安全组中已上线的用户进入逃生

2.1.3          业务安全组内Portal认证未完成的用户进入逃生

    当认证服务器均不可达时,对于业务安全组内Portal认证未完成的用户,Leaf设备会强制用户下线,用户重新进行认证后,会进入逃生安全组。此时,如果用户的原业务安全组的IP地址租约未到期,需要等原业务安全组内IP地址租约到期后重新获取逃生安全组的IP地址,或者可以提供禁用/启用网卡的方式触发逃生安全组IP地址的申请以及获取逃生IP地址,然后访问逃生安全组的可访问网络资源。处理过程如图3所示。

3 业务安全组内Portal认证未完成的用户进入逃生

2.1.4          BYOD安全组内未完成Portal认证的用户进入逃生

当认证服务器均不可达时,对于BYOD安全组内未完成Portal认证的用户,Leaf设备会强制用户下线,用户重新进行认证后,会进入逃生安全组。待BYOD安全组租约1分钟到期后,通过重新获取逃生安全组的IP地址,访问逃生安全组的可访问网络资源。处理过程如图4所示。

4 BYOD安全组内未完成Portal认证的用户进入逃生

2.2     ADCampus方案认证用户退出逃生

Leaf进入逃生状态分自动方式、手工方式两种,Leaf退出逃生状态也分为自动、手工两种:

Ÿ   自动方式:当Leaf检测到认证服务器可达,Leaf会自动退出逃生状态,以逃生安全组内用户的MAC重新向认证服务器发起认证;

Ÿ   手工方式:取消手工逃生命令,此时Leaf自动将Critical-VSI内用户的MAC删除,即强制逃生用户下线,由用户流量重新触发认证。

本章节将具体介绍Leaf退出逃生状态后,用户如何退出逃生状态。

2.2.1          逃生安全组内的无感知、802.1xMAC认证用户退出逃生

当认证服务器重新可达后,对于逃生安全组内的无感知用户(即逃生前用户状态为无感知生效)、802.1x认证用户和MAC认证用户,会触发重新认证,进入业务安全组。等待用户重新获取业务安全组的IP地址后,正常访问网络。处理过程如图5所示。

5 逃生安全组内的无感知、802.1xMAC认证用户退出逃生

2.2.2          逃生安全组内的无感知失效用户退出逃生

当认证服务器重新可达后,对于逃生安全组内的无感知失效用户(即逃生前用户状态为无感知失效),会触发重新认证,进入业务安全组,获取业务安全组的IP地址。待用户通过弹出的页面完成进一步认证后,正常访问网络。处理过程如图6所示。

6 逃生安全组内的无感知失效用户退出逃生

2.2.3          逃生安全组内的未注册用户进入逃生

当认证服务器重新可达后,对于逃生安全组内的未注册用户,会触发重新认证,进入BYOD安全组,获取BYOD安全组的IP地址。待用户通过弹出的页面完成进一步认证后,就可以正常访问网络。处理过程如图7所示。

7 逃生安全组内的未注册用户退出逃生

3       ADCampus方案几种逃生机制的对比分析

ADCampus方案几种逃生机制的区别主要在于获取逃生IP的方式不同。逃生IP可以采用集中式地址分配或本地地址分配两种。本地地址分配方式还有从同一网段地址池分配和从不同网段地址池分配两种。本章将对比分析以上三种逃生机制。

3.1     集中式逃生地址分配

如果LeafDHCP服务器间存在冗余链路,建议部署集中式逃生DHCP服务器,由逃生DHCP服务器为用户提供逃生IP。在ADCampus控制器上创建逃生安全组后,逃生安全组对应的子网会下发至逃生DHCP服务器上(集中式逃生DHCP服务器可以使用新华三的vDHCP,也可以使用第三方DHCP Server 例如Microsoft DHCP Serverr)。由逃生DHCP服务器提供逃生IP的优势在于有一套成熟的DHCP管理平台,用户可通过DHCP管理平台管理逃生IP的分配,比本地地址分配方式(LeafDHCP Server)更益于客户使用。

8 集中式逃生DHCP服务器

3.2     本地逃生地址分配(同一网段地址池)

本地地址分配方式即用Leaf作为DHCP Server为逃生安全组内的用户分配IP地址。用Leaf做逃生DHCP Server时无需考虑Leaf到集中式DHCP服务器的通信是否正常,但为了避免不同LeafCritical-VSI内分配的用户IP冲突,每台Leaf上的Critical-VSI网段相同但对应地址池范围应不同。所以相比集中式逃生DHCP服务器而言,本地地址分配逃生的方式所用的逃生安全组地址池往往会比集中式会规划的更大。而且考虑到Leaf既做DHCP Server分配IP又负责报文转发,在大量逃生用户接入时Leaf可能存在性能瓶颈,这是存在的不足之处。

9 本地逃生IP分配(同一网段地址池)

3.3     本地逃生地址分配(不同网段地址池)

相比所有Leaf使用同一网段地址池分配逃生的方案,不同Leaf使用不同网段地址池的方案更加灵活,可以灵活调整不同Leaf上逃生IP地址池的大小,可以将多个不连续的网段分配给不同的Leaf使用。另外,还可以根据Leaf下挂业务用户的类型,灵活规划逃生时的可访问资源。和使用同一网段地址池本地分配逃生地址的方案一样,Leaf可能存在性能瓶颈,大量逃生用户接入可能导致Leaf异常。而且由于不同Leaf下的逃生用户的可访问资源可能不同,这种情况下就无法做到灵活接入。

10 本地逃生IP分配(不同网段地址池)

4       总结

在当前的ADCampus方案中,逃生机制起着不可或缺的作用,为ADCampus网络提供可靠性。通过使用逃生机制,将保障用户网络在认证服务器无法访问时仍可以正常使用,做到了最大限度地满足用户需求,实现用户网络影响最小化。当故障恢复后,用户也可以简单快速地恢复原网络的使用,达到正常访问网络的目的。

感谢您对本刊物的关注,如果您在阅读时有何感想,请点击反馈。
新华三官网
联系我们