孫 兵

(華為技術有限公司，江蘇 南京 210012)

0 引 言

企業(yè)網(wǎng)絡，終端由原來的有線連接接入、向WiFi無線連接演進，終端類型由PC機向便攜機、PAD和智能手機擴展，辦公地點由固定場所辦公到移動辦公和在家遠程辦公拓展，接入終端設備歸屬由公司資產(chǎn)到個人資產(chǎn)，企業(yè)網(wǎng)絡由辦公網(wǎng)向物聯(lián)網(wǎng)延伸。企業(yè)網(wǎng)絡終端接入連接無線化、移動化、物聯(lián)化，接入終端類型豐富、接入地點多樣，導致傳統(tǒng)基于IP地址ACL、VLAN的網(wǎng)絡策略控制方式不能適應新的網(wǎng)絡場景變化，因為終端的IP地址和VLAN會變化，傳統(tǒng)的網(wǎng)絡策略會隨之變化，這樣給企業(yè)IT運維人員的網(wǎng)絡策略管理帶來很大的復雜度。因此，迫切需要一種更加簡單高效、與網(wǎng)絡拓撲和IP /VLAN等網(wǎng)絡自身分配規(guī)劃無關的策略控制方案。

1 基于VxLAN的網(wǎng)絡分組策略方案

1.1 方案概述

新一代網(wǎng)絡策略控制方案的目標是設計一種能夠滿足無論用戶身處何地、使用哪個IP地址，都可以保證該用戶獲得相同的網(wǎng)絡訪問權限的技術解決方案。用戶從認證設備接入時，會關聯(lián)映射一個安全組(又稱策略組)，用以設置該用戶的安全策略；當該用戶從其他設備(非認證點)其他地點接入網(wǎng)絡，會執(zhí)行相同的安全策略。該解決方案中的一項關鍵技術是，需要將用戶與安全組的關聯(lián)映射信息同步到其他設備上。同步方法有如下幾種:

(1)SDN方案的控制器Controller全局同步；

(2)通過專用協(xié)議在設備之間進行擴散同步(帶外方式)；

(3)通過用戶流量報文將安全組信息攜帶到其他設備(帶內(nèi)方式)。

上述方案前兩種需要額外增加同步機制和協(xié)議，第一種方案在Controller和網(wǎng)絡設備之間增加同步機制，第二種方案在網(wǎng)絡設備之間增加機制，方案復雜度相對高，且網(wǎng)絡規(guī)模大、設備數(shù)量多，同步機制本身的性能和網(wǎng)絡帶寬開銷會是問題。第三種方案不需要增加設備間額外的同步機制，僅僅在正常的用戶業(yè)務流量報文中增加安全組字段，沿途策略點設備進行解析識別和策略執(zhí)行處理即可。該文設計的技術方案屬于上述第三種方案，由VxLAN報文頭攜帶安全組通過網(wǎng)絡擴散到不同的網(wǎng)元設備中。

文獻[1-8]主要介紹傳統(tǒng)網(wǎng)絡策略的關鍵技術，仍然基于IP五元組來定義網(wǎng)絡策略，并結合集中策略管理和QOS聯(lián)動形成增值業(yè)務。文獻[9]中IETF定義了VxLan協(xié)議報文頭部包含的策略組ID格式，可作為文中方案的詳細實現(xiàn)參考。文獻[10-15]重點論述了網(wǎng)絡策略集中管理的架構，包括SDN方案架構等，解決網(wǎng)絡策略跨設備同步的問題。

1.2 方案場景

基于VxLAN的網(wǎng)絡分組策略方案場景如圖1所示。

圖1 基于VxLAN的網(wǎng)絡業(yè)務策略應用場景

(1)用戶認證通過網(wǎng)關設備認證上線，網(wǎng)關攜帶用戶ID向控制器請求認證結果，控制器分配用戶ID與安全組ID的映射關系，并下發(fā)至用戶認證網(wǎng)關設備。

(2)用戶在網(wǎng)關設備通過認證，用戶終端訪問報文經(jīng)由網(wǎng)關設備時，在VxLAN頭部打上安全組ID標識Group Policy ID，然后轉發(fā)出去，訪問相應的用戶業(yè)務。

(3)沿途VxLAN網(wǎng)關設備會解析報文中VxLAN頭部攜帶的安全組Group Policy ID信息，根據(jù)安全組查詢訪問策略，實施安全組間的網(wǎng)絡訪問控制。

該方案可以在企業(yè)網(wǎng)絡中實現(xiàn)與IP地址、MAC地址、VLAN等網(wǎng)絡屬性無關的網(wǎng)絡訪問策略控制，替代的是使用安全組間的訪問策略來控制，例如企業(yè)普通員工組不能訪問人力資產(chǎn)組的信息資產(chǎn)，只有財務組員工才能訪問財務數(shù)據(jù)庫服務器，等等。

安全組策略方案中，能夠做到不關心用戶終端的IP地址/VLAN、接入位置、接入方式(有線/無線/VPN等)，因此網(wǎng)絡規(guī)劃變化(IP網(wǎng)段或VLAN變化)或者接入位置接入方式發(fā)生變化(用戶出差、在家遠程辦公等)，都不需要更改原先的安全組間策略配置，這相對傳統(tǒng)基于IP五元組的ACL控制方式有著極大的優(yōu)勢。此外安全組方案模型中，用戶ID與安全組ID是多對一映射模型，例如財務組包含100個員工、HR組包括200個員工，因此經(jīng)過匯聚后的組間策略數(shù)量規(guī)模會大大減少，降低企業(yè)IT人員的網(wǎng)絡訪問策略日常管理維護復雜度。

1.3 方案原理

(1)方案架構。

圖2 基于VxLAN的網(wǎng)絡業(yè)務策略組網(wǎng)架構

圖2為典型Spine-Leaf架構VxLAN組網(wǎng)，可使用集中式或分布式網(wǎng)關。Spine節(jié)點的設備使用設備間集群技術增加可靠性。Leaf設備作為VxLAN二層網(wǎng)關，用于傳統(tǒng)網(wǎng)絡與VxLAN網(wǎng)絡的二層互通。Spine設備作為VxLAN三層網(wǎng)關，負責不同網(wǎng)段的VxLAN網(wǎng)絡之間的通信，以及不同網(wǎng)段的VxLAN網(wǎng)絡與非VxLAN網(wǎng)絡之間的通信。

VxLAN攜帶用戶訪問策略，通過VNI(VxLAN network identifier)攜帶安全組/策略組ID，接入交換機類似數(shù)據(jù)中心中的TOR(top of rack)設備，作為VxLAN網(wǎng)關的VTEP(VxLAN tunnel endpoint)，且是VxLAN二層網(wǎng)關。匯聚/核心交換機作為VxLAN三層網(wǎng)關。

二層廣播抑制問題，對于ARP的廣播請求報文，通過SDN Controller代理應答的方式進行處理。流程如下：

(a)SDN Controller在用戶上線認證時緩存其{IP,MAC}映射關系，生成ARP緩存表。

(b)二層網(wǎng)關收到ARP請求報文，直接上送SDN Controller處理。

(c)SDN Controller向該接入設備下發(fā)對應的ARP表項，如果Controller上ARP表項則進行廣播處理。

(d)SDN Controller也可以選擇將ARP廣播報文修改為單播報文發(fā)給被請求設備，這樣可保證整個ARP請求/應答鏈路上的設備都能使用ARP報文實現(xiàn)其他功能。

(e)ARP報文上送和下發(fā)可使用SDN OpenFlow協(xié)議。

通過在相同VNI之間建立VxLAN隧道實現(xiàn)相同安全組內(nèi)用戶互訪；不同VNI之間的互訪原本存在VxLAN三層網(wǎng)關上實現(xiàn)，可在三層網(wǎng)關引入安全組間策略，即利用源VNI和目的VNI之間的組間策略進行網(wǎng)絡隔離或放行策略控制。

(2)方案流程。

基于VxLAN的網(wǎng)絡分組策略方案流程如圖3所示。

圖3 基于VxLAN的網(wǎng)絡業(yè)務策略方案流程時序圖

(a)控制器根據(jù)管理員配置，生成安全組與VNI的映射關系，依據(jù)安全組間策略生成VNI之間的互訪策略，并將VNI互訪策略下發(fā)到策略執(zhí)行點。

(b)控制器與認證點設備交互，完成對接入用戶的認證，依據(jù)認證結果將用戶劃分到對應的安全組。認證點建議使用接入交換機，這樣便于直接獲取用戶終端接入的物理端口。

(c)控制器根據(jù)用戶所屬安全組，向接入設備下發(fā){Port,VNI}映射關系，接入設備依據(jù)該映射關系在對應端口上配置VNI，保證接入用戶的所有流量都走該VNI標識的VxLAN隧道。

(d)控制器完成所有設備的ARP代答，實現(xiàn)對ARP的廣播抑制。控制器上的ARP緩存表在用戶認證過程中獲取和下發(fā)。

(3)相同網(wǎng)段用戶的安全組互訪。

相同網(wǎng)段用戶的安全組互訪策略如圖4所示。

圖4 相同網(wǎng)段用戶的安全組互訪策略

(a)VxLAN網(wǎng)絡中，不同VNI的流量二層不互通，所以在接入設備就保證了不同安全組用戶之間的隔離。

(b)Site A中兩個相同網(wǎng)段的用戶A1和A3，屬于同一安全組，使用相同的VNI，在NVE1設備上實現(xiàn)互通。

(c)Site B中B2和Site E中E2也是同一安全組中相同網(wǎng)段的用戶，B2和E2使用相同的VNI，VTEP2和VTEP6之間建立VxLAN隧道實現(xiàn)互通，網(wǎng)關只為該隧道提供三層轉發(fā)通道。

(d)Site C中兩個不同安全組的用戶，使用不同的VNI接入NVE3，即使用同一網(wǎng)段也無法互通。

(4)不同網(wǎng)段用戶的安全組互訪。

不同網(wǎng)段用戶的安全組互訪策略如圖5所示。

圖5 不同網(wǎng)段用戶的安全組互訪策略

(a)VxLAN網(wǎng)絡中，不同VNI的流量經(jīng)過三層網(wǎng)關互通，VxLAN網(wǎng)絡與非VxLAN網(wǎng)絡也是通過三層網(wǎng)關互通。三層網(wǎng)關上VxLAN報文處理流程：先剝離外層VxLAN封裝，依據(jù)原始報文走三層流量轉發(fā)，重新進行VxLAN封裝發(fā)出。

(b)在三層網(wǎng)關上執(zhí)行安全組間策略，控制器提前向三層網(wǎng)關設備下發(fā)VNI之間的訪問策略，VxLAN報文在處理流程中，需判斷源VNI與目的VNI的訪問策略，如允許訪問則正常轉發(fā)，否則丟棄報文。源VNI在報文頭部中已攜帶，目的VNI通過報文內(nèi)層頭部目的IP查找獲得。

(c)Site A中兩個相同網(wǎng)段的用戶A1和A3，屬于同一安全組，使用相同的VNI，在網(wǎng)關上實現(xiàn)互通。

(d)Site B中B2和Site E中E2分屬不同安全組，網(wǎng)段也不同，通過三層網(wǎng)關轉發(fā)實現(xiàn)不同VNI之間互通，VNI之間的策略需預設為允許互通。

(e)Site C中兩個不同安全組的用戶，分屬不同安全組，在三層網(wǎng)關轉發(fā)時依據(jù)VNI之間策略，不允許互通。

(5)用戶移動接入與QOS策略。

當用戶接入位置發(fā)生變化時，需要重新上線認證，原端口與VNI的綁定關系刪除，Controller為新接入端口下發(fā){Port，VNI}映射關系，新端口綁定VNI。策略執(zhí)行點設備不感知用戶接入位置的變化。用戶所屬安全組不變，其VNI不變，該用戶的權限也沒有發(fā)生變化。Controller通過QOS策略保證VIP安全組的優(yōu)先級，為VIP安全組對應的VNI下發(fā)QOS策略。VIP用戶在接入Leaf節(jié)點時，根據(jù)VNI的QOS策略，修改內(nèi)外層IP頭部的DSCP，保證VIP用戶在整網(wǎng)中優(yōu)先級。

三層網(wǎng)關除了執(zhí)行不同VNI之間的組間策略，也可以執(zhí)行不同VNI之間的訪問速率控制策略。例如限制Guest-VNI用戶訪問Internet-VNI的速率。

1.4 方案效果評估

以某大型企業(yè)為例(50+分支機構，15萬員工接入，6000+物理服務器、每服務器運行20個虛擬機)來評估方案應用效果。

該企業(yè)原始用戶和業(yè)務訪問策略需求如下：

(1)企業(yè)終端類型分為PC、IP Phone、TC云終端、打印機、物聯(lián)終端；用戶類型分為研發(fā)、市場、財務、人力資源、訪客；

(2)用戶/終端認證前策略：只能訪問指定的認證服務器、客戶端軟件下載服務器，不允許用戶/終端間互訪；

(3)PC策略：允許基于角色(研發(fā)、市場、財務、人力資源)的服務器業(yè)務資源訪問，同一角色內(nèi)用戶間可以互訪，跨角色訪問受控(默認禁止跨角色訪問)；

(4)TC云終端策略：允許TC間互訪(TC的IP語音業(yè)務)、TC只能訪問服務器桌面云VM資源、TC不能訪問其他業(yè)務服務器VM資源；

(5)IP Phone策略：允許IP Phone間互訪(IP語音業(yè)務)、IP Phone不允許訪問除了語音業(yè)務之外的服務器VM業(yè)務資源；

(6)打印機策略：不允許互訪、只能訪問ePrint打印服務器；

(7)訪客用戶策略：只允許訪問Internet，不能訪問服務器所有企業(yè)業(yè)務資源，禁止訪客間終端互訪。

該企業(yè)的上述策略需求，長期以來通過基于IP網(wǎng)段/IP地址的ACL技術方案來實施控制，因為涉及到50+分支機構，每個機構又有多個辦公樓、多個用戶網(wǎng)關，每個機構又有多種類型終端和用戶接入，IP網(wǎng)段之間的互訪策略關系非常復雜，經(jīng)與企業(yè)IT運維人員現(xiàn)場調研核實，實際有4萬多條ACL網(wǎng)絡訪問策略數(shù)量。分支機構隨著辦公樓宇基建擴展、人員擴充，網(wǎng)絡規(guī)劃調整和網(wǎng)絡IP網(wǎng)段變更時有發(fā)生，按照當前基于ACL的網(wǎng)絡策略模型及方案，會要求IT運維人員能夠在4萬多條已有的ACL策略中進行精準變更，這個ACL策略變更難度和復雜度都非常高，對日常網(wǎng)絡運維是個巨大挑戰(zhàn)。IT運維人員坦言，實際操作中已有的ACL策略根本不敢改變，害怕對已有業(yè)務產(chǎn)生影響，往往是網(wǎng)絡變化時會新增ACL策略，這樣長期累積下來就會導致大量實際無用的僵尸ACL策略存在，無人敢問津，不僅僅網(wǎng)絡策略管理維護難，也存在網(wǎng)絡安全隱患(僵尸ACL策略被惡意利用)。

通過與該企業(yè)IT運維工程師交流，評估應用文中所述分組策略方案，將企業(yè)IT的終端分為PC/TC/IP hone/打印機/訪客Guest幾個組，PC上用戶進一步按照研發(fā)、市場、財務、人力資源分成四個組，服務器側VM同時匹配終端和用戶類型進行相應分組。經(jīng)過細化分析設計、考慮后續(xù)業(yè)務擴展，給該企業(yè)總共設計16個安全策略組，定義組間互訪策略(Permit/Deny)，并預留后續(xù)可能部署的組間訪問速率限制，策略總數(shù)目會降低在512個以內(nèi)。因為是按照終端/用戶/業(yè)務類型分組來定義網(wǎng)絡訪問策略，與IP網(wǎng)段/IP地址無關，因此無論企業(yè)分支機構和總部的物理網(wǎng)絡/IP網(wǎng)段如何變化，都不需要變更512條以內(nèi)的既定組間訪問策略。該方案的實際應用價值獲得該企業(yè)IT運維工程師的高度認可。

1.5 企業(yè)園區(qū)網(wǎng)絡引入VxLAN策略面臨的問題

典型園區(qū)組網(wǎng)普遍采用三層網(wǎng)絡架構，有線無線業(yè)務共存，存在總部與分支互訪、遠程VPN用戶接入等場景。無線接入的AP與接入交換機的互連，SSL VPN設備與出口路由器的互連，都可歸屬同一模式：單端口上多用戶多業(yè)務流量混合承載。

VxLAN組網(wǎng)中，報文進入VxLAN隧道的方式使用二層子接口，進一步通過VLAN關聯(lián)。Spine-Leaf架構VxLAN原本針對數(shù)據(jù)中心網(wǎng)絡場景設計，網(wǎng)絡為VM提供服務，Leaf節(jié)點下面一般直接連接VM或者Open switch，這些設備可以通過Port或VLAN來區(qū)分，因此使用三種二層子接口方式接入VLAN即可滿足數(shù)據(jù)中心網(wǎng)絡場景。

園區(qū)網(wǎng)絡單端口上多用戶流量混合，如用VLAN識別不同用戶，則可以正常接入VxLAN，但需要接入設備具備基于VLAN區(qū)分用戶的能力，在用戶認證過程中與Controller交互，為不同安全組用戶下發(fā)不同功能VLAN。另外一種更有效的方法是直接根據(jù)用戶ID來映射VNI，即認證過程中Controller維護{用戶ID，VNI}的映射關系。

2 結束語

以IP網(wǎng)絡接入的終端數(shù)量類型和承載的業(yè)務等發(fā)生變化，傳統(tǒng)ACL網(wǎng)絡策略模型和方案面臨的重大挑戰(zhàn)作為問題輸入，研究分析給出網(wǎng)絡分組策略方案。用戶和策略分組(安全組)映射關系的網(wǎng)絡級傳播同步機制是方案的關鍵，系統(tǒng)分析策略分組傳播的幾種備選方案，給出性能和通過效率高的帶內(nèi)同步方案(基于VxLAN的帶內(nèi)同步安全組)，詳細分析方案架構、安全組映射和同步流程，結合VxLAN實際部署給出技術參考方案分析和設計。