华为Agile Controller配置手册(园区版)
Agile Controller-Campus V100R002C00 配置手册
(仅供内部使用)
拟制: 汪敦全、丁凌风、蒲俊
杰
日期:2014-4-2
审核: 日期:审核: 日期:批准: 日期:
华为技术有限公司
版权所有侵权必究
目录
1Agile Controller-Campus V100R002C00总体介绍 (9)
1.1系统网络逻辑结构及接口关系 (10)
1.1.1Controller服务器网络实体组成 (10)
1.1.2Controller安全协防组件网络实体组成 (11)
1.2组网方式和配置原则介绍 (11)
1.2.1Controller服务器的组网和配置原则 (11)
1.2.2802.1X准入控制的组网和配置原则 (17)
1.2.3硬件SACG准入控制的组网和配置原则 (20)
2产品基本配置说明 (24)
2.1系统配置简介 (24)
2.2SM&SC组件的服务器和客户端配置说明 (26)
2.2.1服务器配置 (27)
2.2.2客户端配置 (32)
2.2.3服务器软硬件配置说明 (32)
1.单服务器方案配置说明 (33)
2.服务器备份方案配置说明 (34)
3.数据库镜像方案配置说明 (35)
2.3安全协防组件设备配置说明 (35)
3报价项配置说明 (38)
3.1配置概述 (38)
3.2Agile Controller-Campus 软件报价说明 (38)
3.2.1接入控制报价项 (38)
3.2.2访客管理报价项 (39)
3.2.3业务随行报价项 (40)
3.2.1业务编排报价项 (40)
3.3安全协防软件报价说明 (40)
3.3.1SecView报价项 (43)
3.3.2iRadar报价项 (43)
3.4SM&SC组件的业务整机报价项说明 (43)
3.5安全协防组件的业务整机服务器报价项说明 (49)
3.7存储设备报价项说明 (52)
4产品配置说明 (52)
4.1产品配置清单和配置说明 (52)
4.2业务整机的配置说明 (54)
4.3存储配置说明 (69)
4.4组件|附件-Agile Controller-软件 (73)
4.5组件|License配置说明 (76)
4.5.1License包配置说明 (76)
4.5.2License报价项配置说明 (77)
4.5.3接入控制服务License配置说明 (77)
4.5.4访客管理特性License配置说明 (78)
4.5.5业务随行特性License配置说明 (79)
4.5.6业务编排特性License配置说明 (79)
4.5.7安全协防特性License配置说明 (80)
4.5.8定制开发License配置说明 (82)
4.6外部成套电缆配置说明 (82)
5资料配置说明 (84)
6部分配件说明 (84)
6.1市场建议 (84)
6.2用户自备硬件说明 (84)
6.3合同预审要求 (85)
7扩容和升级改造方法与配置说明 (85)
7.1扩容方法与配置说明 (85)
7.1.1扩容的方法与原则 (85)
7.1.2扩容设备的清单 (85)
7.1.3可扩容部分的说明 (85)
7.1.4扩容所涉及的机柜、母板插框、单板等的配置原则 (86)
7.1.5扩容中需特别注意的问题 (86)
7.2升级改造方法与配置说明 (86)
7.2.1升级改造方法 (86)
7.2.2升级设备的清单 (86)
7.2.3可升级部分的说明 (86)
7.2.4更换部件注意事项 (86)
8.1附录I:缩略语清单 (87)
表目录
表1 集中组网推荐配置表 (25)
表2 分布式组网分支机构推荐配置表 (25)
表3 AnyOffice客户端的运行环境 (32)
图目录
图1 Agile Controller-Campus系统网络实体组成 (10)
图2 单服务器集中组网方案 (12)
图3 双服务器集中组网方案 (13)
图4 三服务器集中组网方案 (14)
图5 业务控制器分布式组网方案 (16)
图6 在接入层交换机上实施802.1X (18)
图7 在汇聚层交换机上实施802.1X (19)
图8 SACG直挂路由模式部署方案 (20)
图9 SACG侧挂路由模式部署方案 (21)
图10 SACG透明/混合模式部署方案 (22)
图11 SACG侧挂侧挂核心交换机示意图 (23)
Agile Controller-Campus V100R002C00配置手册关键词:准入控制、补丁管理、软件分发、安全接入控制网关、WEB认证客户端。
摘要:本文描述了Agile Controller-Campus V100R002C00的结构、配置、组网等内容,对Agile Controller 系统的销售、部署具有指导作用。
文档管理:本文档由Agile Controller-Campus V100R002C00 团队编写和修订,研发、电信设计(投标办)、成套、技术支援等部门共同参与审核,在试验局申请阶段提供第一稿,每季度至少更新一次。本文档纳入配置管理,经相关部门评审通过后在文档中心归档,同时通过市场技术资料平台https://www.360docs.net/doc/ed5257614.html,数据库进行发布,相关部门的资料接收人应做好保密工作,不得随意扩散。
文档使用:本文档属于公司内部使用的机密资料,不可直接传给局方和落入竞争对手手中,否则,要追究相关部门和人员的责任(警告、罚款、降薪、劝退)。
1 Agile Controller-Campus V100R002C00总体介绍
华为Agile Controller-Campus作为企业园区的控制器,实现整个园区网络全网策略控制,同时实现网络的协同整体防护。提供统一的策略引擎,在整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式多维度的认证和授权,满足企业接入认证多层次、泛终端接入的需求。同时系统提供全生命流程的访客管理,给访客提供一个随时随地上网的空间,提高访客工作效率,提升企业品牌形象,降低IT运维的压力。
华为Agile Controller-Campus包括接入认证、访客管理、业务随行、业务编排、安全协防组件构成。其中安全协防为独立组件,在界面进行SSO集成,在系统部署配置原则上存
在差异,该组件单独进行描述。
在V100R002版本中,安全协防组件不再发货。
1.1 系统网络逻辑结构及接口关系
1.1.1Agile Controller-Campus服务器网络实体组成
终端PC/AnyOffice客户端
图1Agile Controller-Campus系统网络实体组成
Controller支持集中部署和分布式部署,集中部署可将SM/SC部署在单台服务器。同时支持多个SC分布式部署。
?SM:Service Manager (业务管理器)
负责对Agile Controller-Campus的业务配置管理以及对业务控制器进行管理。采用B/S架构,系统管理员通过WEB管理界面可以完成终端用户管理、策略配置等业务管理工作。作为业务业务管理器,SM将管理其下的各个业务业务控制器SC向已经连接的节点发送实时指令,完成各种业务。
?SC:Service Controller (业务控制器)
负责接入认证以及设备配置管理,分为RadiusServer、PortalServer、AuthsServer 、NetworkServer组件。
RadiusServer:提供标准的Radius服务,整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式等多种维度的认证和授权。
PortalServer:提供标准的Portal认证服务,提供WEB认证页面,跟接入设备进行Portal协议对接。
AuthsServer:提供基本认证服务平台(提供基本的SACG接入控制以及终端升级等功能)。
NetworkServer:提供网络设备配置功能,在业务随行、业务编排功能中,通过NetwokServer完成设备业务配置,支持XMPP、Telnet、SNMP协议。
1.1.2Agile Controller-Campus安全协防组件网络实体组成【V100R002版本不再
提供】
安全协防组件在界面以SSO方式集成到Agile Controller-Campus中, 安全协防组件包括SecView、iRadar、关联分析机、日志采集机。
1.2 组网方式和配置原则介绍
1.2.1Controller服务器的组网和配置原则
1. 单服务器集中组网方案
图2单服务器集中组网方案
1)组网方式:
说明:使用一台服务器,安装全部软件模块,包括数据库,业务管理器以及业务控制器,适合较小型网络,以及不需要数据库备份的局点。
服务器数量:1台
服务器1安装组件:数据库,业务管理器SM,业务控制器SC
2)选择该方案,需要满足如下条件:
●终端数量:
建议单服务器集中组网时,被管理终端的数量小于2000。
当终端数量大于2000终端时,网络的规模已经比较大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,但是从可靠性的角度考虑,不推荐使用该方案。
●网络环境:
A)适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园
区网。
B)适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较
小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。能够
容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。
小型多分支机构的定义:
分支机构到总部的带宽=2Mbps,分支机构的终端数量<=100
分支机构到总部的带宽=10Mbps,分支机构的终端数量<=500
评估模型:
需要计算终端对带宽的需求,需要保证在一般情况下(包括认证阶段,
以及平时的业务阶段对带宽的占用率<1%,认证阶段<5%)
假设分支机构到总部的带宽=2Mbps
5%的带宽=2000Kbps*5%=100Kbps
1%待带宽=2000Kbps*1%=20Kbps
查询下表的数据,400终端可以满足认证阶段对带宽的需求。
下表中的数据可以用于评估分支机构到总部的流量,以判断Agile
Controller 系统对分支结构到总部之间网络带宽的影响,进而判断是否
适合采用集中式部署。
数据模型.xls
该方案的优点和局限性:
单服务器集中组网方案,由于只有一台服务器,只能安装一个数据库,
无法提供数据库热备功能,当数据库发生故障的时候,会影响如下业务:
A)管理员无法通过操作界面管理相关业务;
B)业务控制器SC不重启的情况下,即使数据库暂时无法工作,提供基
本的准入控制业务依然可以工作(即已有用户可以正常认证);
C)当业务控制器SC重启的情况下,业务控制器SC无法提供任何服务;
单服务器集中组网方案,由于只有一台服务器,只能部署一个业务控制
器SC,无法提供业务控制器失效转移功能,当业务控制器SC发生故障
的时候,无法提供终端的身份认证和准入控制等基本服务。
2. 双服务器集中组网方案
图3双服务器集中组网方案
1)组网方式
说明:使用两台服务器,集中部署。安装两个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另一个业务控制器能够继续工作。
服务器数量:2台
服务器1安装组件:业务管理器SM、业务控制器SC
服务器2安装组件:业务控制器SC、数据库DB
2)选择该方案,需要满足如下条件:
●终端数量:
建议双服务器集中组网时,被管理终端的数量小于10000。
当终端数量大于10000终端时,网络的规模已经非常大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,两个服务器能够支撑20000终端,但是从可靠性的角度考虑,1万终端以上的网络不建议使用该方案。
●网络环境:
适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区
网。
适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。能够容忍
因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。
小型多分支机构的定义参见单服务器集中组网方案的说明。
●该方案的优点和局限性:
双服务器集中组网方案,由于只有两台服务器,无法部署数据库镜像方
案,无法提供数据库热备功能,当数据库发生故障的时候,会影响如下
业务:
A)管理员无法通过管理界面登录管理界面管理相关业务;
B)业务控制器SC不重启的情况下,虽然能够提供基本的准入控制业务,
但是终端的违规信息无法上报服务器并且写入数据库,需要等到数据库
恢复正常后才能上报;
C)当业务控制器SC重启的情况下,业务控制器SC无法提供任何服务;
3. 三服务器集中组网方案
图4三服务器集中组网方案
1)组网方式
说明:使用三台服务器,集中部署。安装三台SQL SERVER 数据库,该数据库组成数据库镜像,提供数据库备份方案。安装三个业务控制器SC,提供资源池模
式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另两个业务控制器能够继续工作。
服务器数量:3台
服务器1安装组件:业务管理器SM、业务控制器SC、见证数据库
服务器2安装组件:业务控制器SC、主数据库
服务器3安装组件:业务控制器SC、镜像数据库
2)选择该方案,需要满足如下条件:
●终端数量:
建议三服务器集中组网时,被管理终端的数量小于20000。
当终端数大于20000终端时,不能采用此方案。
●网络环境:
适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区
网。
适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。能够容忍
因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。
小型多分支机构的定义参见单服务器集中组网方案的说明。
●该方案的优点和局限性:
数据库提供了热备功能,当一个数据库发生故障的时候,业务不中断。
系统提供了业务控制器失效转移功能,当单个业务控制器发生故障,不能提供服务的时候,终端能够从另一个业务控制器获得准入控制等服务,业务不中断。
具体实施的时候,可以在分阶段上线过程中,观察违规信息数据量增长的情况,决定是否需要引入扩展数据库,存储违规信息。
4. 多服务器集中组网方案
1)组网说明
当终端的数量超过2万,则需要使用更多的业务控制器SC,分担业务压力。
2)组网方式1
说明:采用Windows平台,使用四台服务器,集中部署。安装四台SQL SERVER 数据库,其中三台数据库组成数据库镜像,提供数据库备份方案,另外一个数据库用于作为违规信息的扩展数据源。安装四个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另三个业务控制器能够继续工作。
服务器数量:4台
服务器1安装组件:业务管理器SM、业务控制器SC、见证数据库
服务器2安装组件:业务控制器SC、主数据库
服务器3安装组件:业务控制器SC、镜像数据库
服务器4…N安装组件:业务控制器SC
2)组网方式2
说明:采用Linux平台,针对SM提供数据库和SM管理的双机高可靠性。
使用两台服务器和磁盘阵列组成SM双机,安装Oracle+RAC集群数据库,提供数据库备份方案。同时双机上安装业务控制器SC,承担SC的业务控制业务。再部署两台服务器,安装业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,其他业务控制器能够继续工作。
服务器数量:4台
服务器1安装组件:业务管理器SM主机、业务控制器SC、Oracle+RAC数据库服务器2安装组件:业务控制器SM备机、业务控制器SC、Oracle+RAC数据库服务器3安装组件:业务控制器SC
服务器4…N安装组件:业务控制器SC
5. 业务控制器SC分布式组网方案:
图5业务控制器分布式组网方案
1)组网方式
说明:对于企业存在多个分支机构,分支机构的终端规模比较大,并且分支机构之间的网络带宽比较小的情况,可以使用分布式组网方案。首先需要识别总部和分支机构,对于每个分支机构,配置1~2个业务控制器SC(根据客户是否需要在分支机构实现业务控制器备份决定)。总部不单独配置业务控制器SC,直接使用数据中心的Agile Controller-Campus服务器作为业务控制器SC(假设总部与数据中心在一个区域)。
服务器数量:
●分支机构:可以选择不提供失效转移功能,部署1台业务控制器;可以
选择使用总部的业务控制器提供失效转移功能,部署1台业务控制器;
可以选择分支机构本地提供失效转移功能,部署2台业务控制器。
●总部:参照集中组网方案,如果分支机构选择总部的业务控制器提供失
效转移功能,配置服务器的时候,终端数量=总部终端数量+最大分支机
构的终端数量。
服务器安装组件:
●分支结构:只安装业务控制器SC
●总部:参照集中组网方案
2)选择该方案,需要满足如下条件:
●终端数量:
整个企业(包括总部和所有分支机构)被管理终端数量的范围:>= 20000终端
●网络环境:
存在多个分支结构,分支机构是典型的园区网,或者是银行的市级分行;
分支机构到总部的网络带宽有限,评估采用集中组网,可能会占用大量
分支机构之间的网络带宽;
分支机构到总部之间的网络质量难以保障,总部和分支机构之间的网络
可能中断,使得分支机构的终端无法连接总部数据中心。
●方案的风险以及可靠性:
方案的鞥小以及可靠性参照集中组网方案。
3)分布式部署环境下数据同步对带宽的需求
假设系统中存在10万账号,按照这样的规模计算,一个账号的数据量<200字节,总量<=20M字节,加上安全策略等各种缓存数据,估计数据量<=30M字节。
假设分支机构到总部之间的网络带宽是2Mbps,业务控制器SC从总部区所有的缓存数据,假设占用全部带宽,所需要的时间=30M*8bit/2Mbps=120秒。所需要的时间约等于2分钟。
业务控制器SC每四个小时从总部同步一次数据,因此数据同步部分对分支机构到总部之间的网络占用=2/(4*60)*100%=0.83%
1.2.2802.1X准入控制的组网和配置原则
1. 在接入层交换机上实施80
2.1X
认认认认-Campus Controller认认认
图6在接入层交换机上实施802.1X
1)方案说明:
在最靠近终端的交换机上启用802.1X,终端正常接入网络前,需要先部署安全代理(一般情况下,不支持Windows自带的安全代理,除非在服务器端进行特殊的配置)。
该部署方案能够达到的控制效果,与交换机的特性有关,一般来说可以区分两种类型的交换机:
●只支持端口关闭的802.1X交换机
只支持端口关闭的交换机,有两种选择:
第一种是身份认证通过后,开通交换机端口,而不管安全检查的结果是否满足企业的安全策略(可以选择使用其他的准入控制设备配合实现隔离和控制)。
第二种是只有身份认证和安全认证通过后开通交换机端口,其余情况均关闭交换机端口。
这时候,终端无法通过网络实施修复,例如没有安装杀毒软件,被隔离的时候,只能通过光盘/U盘的方式,在终端安装杀毒软件,并且想办法更新病毒库。
●支持GUEST VLAN和动态VLAN的802.1X交换机
支持GUEST VLAN和动态VLAN的交换机,通过配置,可以使得没有部署安全代理的终端能够访问GUEST VLAN,通过GUEST VLAN部署AnyOffice客户端。在认证过程中,根据安全检查的结果,给交换机下发隔离域VLAN或者认证后域VLAN,实现对问题终端的隔离。
●支持动态ACL的802.1X交换机
支持动态ACL的交换机,通过配置,可以在认证成功后,向交换机下发ACL控制用户的访问权限。
2)配置原则:
当满足如下条件,可以使用在接入层交换机上实施802.1X:
●客户要求终端在接入前,不允许访问任何网络资源,包括邻居的终端;
●客户具备实施和管理802.1X的能力,包括部署AnyOffice客户端的能力;
●客户的所有接入层交换机都支持802.1X,不存在使用HUB的情况;
3)其他局限性:
对于只支持端口关闭的802.1X交换机,部署AnyOffice客户端比较困难,目前主要有两
种方式:
第一种:通过U盘/光盘等物理介质的方式,手工在终端PC上安装AnyOffice客户端;
第二种:由专门的部门负责安装软件,例如在一个受控的区域内,交换机不启用802.1X,使得终端在没有部署AnyOffice客户端的时候也能够接入网络,通过网络下载并且安装AnyOffice客户端,或者使用克隆工具重新安装系统。
2. 在汇聚层交换机上实施802.1X
认认认认-Campus Controller认认
图7在汇聚层交换机上实施802.1X
1)方案说明:
在汇聚层交换机上实施802.1X(一般来说,汇聚层交换机都能够支持802.1X),这时候,下层交换机之间的终端在没有认证前可以互相访问。在汇聚层交换机上实施802.1X,可以减少802.1X的控制点,降低实施的复杂性。
2)配置原则:
当满足如下条件,可以使用在汇聚层交换机上实施802.1X:
●客户允许终端在认证前,可以访问接入交换机之间的终端;
●客户具备实施和管理802.1X的能力,包括部署AnyOffice客户端的能力;
●接入层的交换机/HUB等设备,包括无线AP等,必须支持802.1X组播报文透传;
3)其他限制和局限性:
为了在汇聚层交换机实施802.1X,要求该交换机支持MACBASED的802.1X。从目前获
得的资料来看,只有国内厂商的交换机才支持该特性。CISCO交换机没有发现能够支持该特性,海外其他厂商的交换机不清楚能否支持MAC BASE的802.1X特性。
3. 接入层/汇聚层混合实施802.1X
当客户的网络比较复杂的时候,如果强烈要求实施802.1X,也可以采用在接入层/汇聚层混合的方式,方案与配置原则与前面章节一致,这时候802.1X的管理会比较复杂。
1.2.3硬件SACG准入控制的组网和配置原则
1. SACG直挂路由模式
认认认认-Campus Controller认认认
图8SACG直挂路由模式部署方案
1)组网方式:
SACG直挂路由模式如图所示,SACG设备在这种组网模式下,通常充当两种类型的角色,第一是网关,要么是接入终端的网关/服务器设备的接入网关,另一种是互联网出口网关。根据部署的位置,如果作为终端的接入网关,可以控制终端访问网关范围外的网络资源;如果作为服务器设备的接入网关,可以控制终端PC对服务器设备的访问;如果作为企业的互联网出口网关,可以控制终端PC对互联网的访问。
这样的部署方式,如果是现成的网络,则需要使用SACG设备替换网关,当网络的规模比较大的时候,可能需要替换比较多的网关,成本较高。如果是新建的网络,则需要购买比较多的SACG设备,作为网关,性价比不高。除了部署在互联网出口位置,作为出口网关外,一般不推荐使用这种部署方案。
2. SACG侧挂路由模式