支持_2581764_30005_0.jpg)
AD-NET 7.0 探秘之金融AD-Campus新趋势
AD-Campus方案中,认证是一个非常关键的环节。只有认证成功后,用户才能加入规划的业务安全组、进行互访及访问外部网络,因此,认证服务器是AD-Campus方案正常工作的重要组件。
若认证服务器突然不可达,这将导致接入用户不能正常接入AD-Campus网络,进而不能访问网络资源,甚至不能实现用户间互访,如城域网中Leaf与Spine间跨运营商链路中断时,办公网内部也不能进行互访。
认证服务器不可达时,此时新登录的客户无法认证,无法确保用户在网络故障时仍能访问特定资源。但关键业务无法访问,这对金融行业来说是重大事故,带来的损失和影响极大。
针对上述背景,要实现金融行业在极端情况下服务器不可达时,新上线用户仍然能保持之前的权限,AD-Campus引入了新的逃生方案。
什么是逃生
认证逃生是指在设备探测到无法与认证服务器正常交互时,授予用户特定的网络访问权限,以满足用户基本的网络访问需求。这种机制通常应用于网络故障或由于某些原因导致设备无法与认证服务器正常通信的场景。
当前支持的逃生方案主要功能如下:
第一, 允许在线用户继续使用网络:当系统检测到无法与认证服务器正常交互时,已认证的用户可以继续使用网络,且保持原有的权限。
第二, 允许用户接入,不需要认证,使用逃生VXLAN:任何新认证用户均可以直接连接网络访问一些特定资源,无需认证。当认证服务器故障或者由于网络原因导致设备与认证服务器之间无法正常交互时,此方案允许用户接入,但不进行认证,使用预设的逃生VXLAN或自定义逃生策略。
也就是在现有的逃生机制里,已在线用户不会受影响,但故障期间需要重新认证上线的用户,由于无法预知其权限,此时只能统一分配逃生的权限。为了安全起见,逃生权限一般只能访问很受限的资源。
权限保持
在金融行业,有些用户会为认证部署冷备服务器,但是在极端情况下,主备认证服务器都不可达时,仍然会存在极低概率的逃生状态。AD-Campus采用高效机制来保持重认证客户的权限,确保安全与稳定。
• 认证服务器可达时,用户认证通过后,NAS设备(一般是leaf设备)同步记录该用户的授权并保存在设备cache中。
• 正常情况下,用户认证不需要使用该信息;而在NAS判断认证服务器不可用的情况下,用户再次需要认证时,NAS设备会使用本地cache里记录的信息,授权用户使用上一次从认证服务器获取的授权属性正常上线。
用户上线流程:
• 对于NAS设备,802.1x/mac认证用户正常上线后, 设备以接入方式+用户名+Mac为key记录缓存记录服务器授权关键信息(vsi/vlan等), 当用户下次上线遇到服务器不回应的时候, 使用缓存的信息授权给用户,使用户正常上线。
• 对于全新上线终端查不到缓存表项按原逃生流程进入critical vsi/vlan,使用逃生的授权,控制器新用户的访问权限,保证网络的安全。
方案价值
在金融行业,稳定是至关重要的要求。AD-Campus方案给予用户更多的逃生机制的选择,在一般场景下,所有重认证或者新认证的用户都使用逃生权限,限制其对网络资源的访问;而在用户对接入终端足够可信的情况下,可使用权限保持的方式,保证在极端情况下重认证的用户可以保持原权限,保障了关键业务的访问畅通。
AD-NET 7.0 探秘之金融AD-Campus新趋势
_2576805_30005_0.jpg)
_2576794_30005_0.jpg)
