1  功能特性概述

所谓业务随行，顾名思义，指的是在园区中，无论某个人员如何在网络中移动，从什么地方接入，又换到了什么地方、IP地址是否有变化，它的权限都是一致的，也就是权限跟着人走。所谓权限，简单地说，指的是用户是否被允许访问某个/某些特定资源，或者其他用户组。

业务随行方案本质上是一种IP地址与策略解耦的方案。换句话说，即用户无论在接入网络时使用什么IP地址、在何处接入，他所获得的权限都是一致的。

业务随行方案将一个网络中的用户根据实际需求划分成组，例如教育园区中的老师组与学生组等。网络管理员为用户分配账号，并且根据具体的规则将账号绑定到组。当用户接入网络时，网络设备会对用户进行身份认证，并且根据认证结果将用户绑定到相应的组。与此同时，网络设备上会维护网络管理员预先下发的组间通信矩阵（策略控制矩阵）。这样一来，当已认证用户的流量到达该网络设备时，设备即可通过流量的源、目的来匹配源、目的组，并在通信矩阵中进行查询，从而判断流量是否合法。

2  业务随行中的基本概念

1 安全组

安全组是指网络中通信对象的集合。用户可根据实际需求，在iMaster NCE上创建安全组。例如在办公园区网络中，用户可以根据需要设置市场用户安全组、研发用户安全组、销售用户安全组等等。这些安全组都是基于自然语义定义的，非常直观。

安全组既可以根据5W1H条件授权给用户，符合5W1H条件的用户授权到指定安全组（动态安全组），也可以通过静态绑定IP地址的方式定义安全组（静态安全组）。

上图展示的是在iMaster NCE上创建一个动态安全组。以下是创建一个静态安全组：

静态安全组定义完后，与动态安全组一样都会出现在通信矩阵中，可以作为源或目的安全组。

2 资源组

对于静态的服务器资源，可以通过在安全组中绑定IP地址段的方式进行表达，安全组和IP地址的静态绑定关系最终会通过netconf协议下发到设备上。但是对于IP地址集有重合的服务资源，无法通过安全组进行区分。资源组可以解决这个问题，资源组之间允许IP地址允许重复，资源组可以作为组间策略的目的地址。

在iMaster NCE上创建资源组的页面如下：

资源组只在通信矩阵中作为目的安全组，不作为源安全组。使用资源组的缺点在于，在执行点设备上会根据每个IP地址生成一条策略，而不是一个资源组生成一条策略，导致策略数过多。

3 策略控制

安全组定义完成之后，管理员就可以基于组来定义全网的组间策略。策略矩阵用于承载组间策略的配置。组间权限策略主要控制组到组之间的访问权限。

4 认证点、策略执行点与iMaster NCE

• 认证点：负责对终端进行身份认证，并通过认证过程从iMaster NCE获得终端的授权结果，如终端所属的安全组等。若网络中部署了策略联动，则认证点指的是认证控制点。
• iMaster NCE：充当认证服务器，同时也是业务随行的策略控制中心，维护全网的安全组之间的通信矩阵。

• 策略执行点：先从iMaster NCE获得安全组间通信矩阵，在收到流量后，根据流量的源、目的IP地址对应的源、目的安全组执行策略，如果策略允许该流量，则进行转发，否则进行丢弃。

3  实施步骤概述

4   工作机制概述

1 创建用户及安全组

1）网络管理员在iMaster NCE中定义安全组。

网络管理员可以选择创建动态安全组或静态安全组。动态安全组用于当网络设备对用户进行认证时，通过控制器配置的授权规则动态地将用户绑定到相应的安全组。而静态安全组则由管理员手工绑定IP地址或地址段。

例如在上图所示的例子中，我们创建了Group1、Group2及Server安全组。其中Group1及Group2是动态安全组。而Server是静态安全组，可以由管理员定义静态关系映射，例如将10.1.1.1这台服务器的IP地址映射到Server组。在实际应用中，Group1及Group2组名可以结合实际情况定义，例如教育园区中，可以定义Teacher和Student组。

2）网络管理员在iMaster NCE中创建用户账号，并配置授权规则（根据5W1H条件），将用户绑定到对应的用户组。

2 定义并部署组间策略

1）网络管理员在iMaster NCE中定义组间策略，也即组间通信矩阵。例如允许Group1及Group2访问Server，禁止Group1访问Group2等。

2）部署策略：策略执行点网络设备与iMaster NCE实现对接。iMaster NCE自动将安全组、组间策略下发至该网络设备。

iMaster NCE会将组Group1、2及Server（的名字及组ID），以及以上所定义的组间策略下发到网络设备上。这个动作为后续的系统自动运行做好准备工作。下图中的策略执行点，指的是执行策略（权限策略）的网络设备。

3 系统自动运行

• 认证：用户尝试接入网络，iMaster NCE校验身份凭证。
• 授权：iMaster NCE根据5W1H条件，匹配授权策略，授权用户所属安全组，执行点设备将用户所用的IP地址动态添加到指定组中。控制器会统一维护所有在线用户的信息（用户名、IP地址等）与用户组的映射关系。
• 执行：网络设备根据本地及iMaster NCE中保存的IP地址与组的对应关系，识别报文的源目的组信息，进而匹配和执行组策略。

具体示例如下：

• 用户接入（以User1为例），交换机Core作为认证点设备，对用户发起认证，它负责与iMaster NCE交互用户认证信息。
• iMaster NCE判断该用户的登录条件，将该用户与对应授权结果中绑定的安全组（Group1）进行关联。
• 用户认证通过，iMaster NCE通知认证点Core该用户所属安全组。
• 认证点Core上报用户当前使用的真实IP地址168.1.1。

• iMaster NCE将IP地址与组Group1关联，并记录到在线用户信息表中。
• User2同理。此时，认证点设备Core已经维护了关于User1及User2的在线用户表项，包括这两个用户的IP地址、MAC地址以及所属的安全组等。
• 此时User1向User2发送数据，Core收到用户的业务报文，识别报文的源组和目的组，执行组间策略。在本例中，User1发往User2的流量将被Core丢弃。