【视频】! 【极简X课堂】准入管控,哑终端管理再也不烦skr人-行业技术前线
本期主播:胖丁
大家好广陵传 !欢迎收看本期的课程,胖丁又重出江湖,给大家带来新鲜干货啦!
延续上期《【极简x】snmp、netconf、openflow的江湖回忆录》,本期继续打造极简X课堂专题,本期以软文形式推送开心鬼上错身,请笑纳~
1无管控不业务
由于现在很多业务不属于网络中心管辖,但是接入到网络中需要网络的人来进行现场协作处理,这样就造成多业务上线牵扯面会比以前加大很多,只要有一方或者一个环节出现问题,就会导致整个业务无法成功上线。
以福建XX高校为例:为了管理简单一般的教师的办公PC和学生电脑采取的的是动态IP分配,接入交换机上开启ip source guard来防止随意配置静态IP地址导致的IP地址冲突,同时需要进行认证才能上外网。但业务终端繁多,摄像头,门禁,电子公告栏等终端需要采用静态IP地址方便进行资产管理和访问,这些哑终端需要进行免认证。
如果是这类终端接入,目前学校的做法的步骤如下:
1、业务部门向网络中心申请一个静态IP地址,需要提交申请表格描述终端的信息。陈蓓琪
2、网络部门为终端分配一个ip地址,通过excel将对应的终端和IP地址记录起来。
3、需要协调运维人员到现场找到这个物联终端接入的交换机和端口。如果能找到mac地址通过show mac,找不到mac地址则需要通过网线的标记来找对应的网口(网线密集,找起来费时)。
4、网络中心为这个终端单独划分一个vlan,这个vlan在不同的区域会分配不同,需要网络中心进行统筹规划。
5、关闭这个端口的ip source guard检查。
6、根据这个终端的特性为其分配访问策略。
7、若需要访问外网则需要免认证,配置acl来deny掉其不能访问的网段。
8、若不需要访问外网,就通过配置安全通道来放通其需要访问的服务器。
9、业务部门自己也根据自己申请的ip地址保存一份终端和ip地址对应关系使用excel记录。
整个过程的评估:
1、整个过程花费时间:整个操作过程需要1个小时,但如果加上运维人员协调以及路上的时间,都有可能有一两天才能完成一个终端的接入。
2、协作的人:运维人员找端口,网络中心分配vlan,ip地址圣战士丹拜因,配置安全策略,
3、操作步骤:见上文
4、使用的工具:excel记录终端ip地址,使用crt 来telnet操作交换机配置七夫呈祥。
5、移动距离:运维人员需要到现场进行部署。
新增一个终端,网络中心操作繁琐而且耗时长,且还需要使用原始的excel工具来手工记录,且上面所述是正常两个部门都有人、有时间支撑的情况下,如果网络中心忙或者没时间到现佩恩·贝格利场,则整个过程都无法进行下去钱钟书故居 。
2专治各种“疑难杂症”
准入管控功能价值点:
1、新业务终端入网无需重新规划端口,业务弹性扩展,终端快速接入。
2、根据需求,针对业务子网开启准入管控,哑终端审批后方可入网。
3、业界首创实现动静态IP的可视化管理
直观的IP地址管理,IP地址是否空闲一目了然,告别IP地址EXCEL表格维护。
IP冲突(静态/动态)直观告警,标红提示
更多的信息判断终端是否合法白色恋人简谱,保障业务安全
直观的统计业务网内设备数量,设备接入位置,最近上线时间,辅助资产定位。
3“药方”作用成分
1、SDN控制器针对业务子网开启策略随行的准入管控功能,开启后,ONC下发流表以及基于子网的arp学习关闭命令至业务网关N18k
2、终端入网,发起网关arp请求
3、网关设备收到入网终端的arp请求,由于该网段属于需准入管控网段洪永时,N18k将arp报文发送至控制器处理
4、控制器收到入网终端的arp请求报文后形成待审批记录(该条目直观显示IP+MAC+设备厂商+接入位置+最近上线时间等信息)
5、管理员对条目审批通过点翠头面,ONC下发静态arp绑定命令至业务网关N18k
6、哑终端顺利入网
7、查看IP地址管理页面,可以可视化查看IP地址分配情况(包括已分配、未分配、冲突等状态)
4“药方”用法用量
1、在ONC控制器上,开启基于业务网的策略随行功能
2、选中需要开启准入管控功能的业务子网(例如打印机、一卡通子网),点击按钮开启准入管控功能
3、没有了….
(啥? 这就操作完了? 没错,就是这么简单!)
5一步药到病除
终端入网后,ONC端产生审批记录,管理员选择需要审批的条目审批入网
当需要入网的终端与已经审批入网的终端存在地址冲突情况,审批条目中会对终端标识为“IP冲突”,管理员需要判断该终端是否合法,再进行相应审批操作。
6“服用”案例
准入管控功能可是个“明星”功能,自带“流量”的它已被应用于多所高校。
佛山某大学面临的问题:
1、智能水表、电表、门禁、电子显示屏等智能终端,分属后勤、教务等强势部门,接入开通急,工作比较被动红楼玉女。
2、网络中心只有2个人,每次他的人员要下去,找端口,分配地址,配置设备,忙不过来。
上海某大学面临的问题:
1、智能水电表、打印机、门禁、图书馆智能终端的安全接入管控问题,动静态IP地址混用,分配管理困难问题。
2、配合各类终端以及用户认证使用习惯,学校希望在扁平化改造割接中能够平滑,对业务运营不造成影响。
当以上问题遇到极简X解决方案的准入管控功能,就都不再是问题了!
胖丁画外音
好的,今天的课程就到这里,请仔细研读正文文字部分桃色情人,感谢你的参与。
别忘了参加下方问答,赢红包哦~
题目一:极简X解决方案准入管控功能,不能应用于解决如下哪个问题?【单选】
A、若新增业务或哑终端,运维人员需要找端口、划分vlan、配置安全策略等,哑终端入网困难
B、哑终端通常只需要被特定服务器或运维人员访问,认证用户不能访问,而配置访问策略较为繁琐
C、管理员通过excel表格记录哑终端ip与mac对应关系,记录繁琐且易错
D、哑终端无审批情况下接入网络即可正常入网,没有很好的管控措施李微然,存在安全隐患
题目二:极简X解决方案准入管控功能说法正确的是?【多选】
A、ONC上开启某网段准入管控功能后,终端只要以该网段地址接入网络,均可以正常入网
B、ONC上开启某网段准入管控功能后,ONC会下发流表以及arp禁止学习命令到N18k
C、ONC上开启某网段准入管控功能后,终端以该网段地址接入网络,N18k会将其IP报文发送至控制器处理
D、管理员对条目审批通过后,ONC下发静态arp绑定命令至业务网关N18k
1、关注公众号,并按顺序将答案发送给我们,前5名答对的用户我们将每人送出10元红包。
2、问题答案及获奖名单将在第三天推文公布,敬请留意
精彩回顾
充电十分钟
RG-SAM对接运营商radius-server【极简X】snmp、netconf、openflow的江湖回忆录
校园IT运维方案
十分钟与你唠嗑极简网络解决方案
纯干货!路由器出口特性简介