针对企业园区终端接入面临的一系列挑战,需要有一种极简、智能、安全的园区网络终端接入自动化解决方案,实现终端设备的即插即用、安全可信、可视可管等。下面基于园区终端接入自动化解决方案总体架构,介绍园区终端接入自动化的关键技术。
(一)总体架构
园区终端接入自动化解决方案总体架构,如下图所示:
图 园区终端接入自动化解决方案总体架构图
园区终端接入自动化解决方案,总体架构由端、边、管、云四层组成。以下分别介绍每一层的功能,以及园区终端接入自动化解决方案相关的关键技术:
终端设备层是园区网络的“神经末梢”,联接着物理世界和数字世界。这些终端根据行业不同部署在不同环境中,有室内也有室外,有固定的也有移动的,根据场景不同需要选择合适的网络联接方式。
边缘接入层
边缘接入层实现终端设备的接入网络构建,以及边缘数据采集,协议的转换和适配,以及满足本地业务存活需求具备的本地容器能力,或本地数据分析与处理能力。边缘接入层的也被看作园区终端接入网络的“边缘神经”。
网络层是园区终端接入网络的“神经网络”,主要是保障终端设备数据高效,可靠,安全的传输。不同的行业按需选择广域网络建设、园区网络、或运营商网络,实现终端设备数据的回传。
数字平台层是整张园区终端接入网络的“神经中枢”,分为网络使能平台,以及终端管理平台等。其中网络使能平台是园区终端端网管理的核心,实现对终端、边缘网关、企业网络的整网管理与运维。
(二)终端设备即插即用
端设备即插即用,主要体现在终端设备自动发现、业务识别、入网引导、接入认证、获得业务证书进行二次认证,以及配网自动 化,无需传统开局方式的复杂网络设备配置、复杂的终端接入配置,只需要终端设备能够连入网络,就可以自动做到终端设备接入、认证和上网,具体步骤如下:
开局阶段首次认证,包括链路自动发现,和本地认证过程。主要实现终端设备的自动发现,终端设备自动识别,对于终端设备的本地接入认证过程。完成首次认证后,设备接入网络,但只获得有限的本地网络访问权限,无法访问终端设备业务。终端设备需在PKI 上申请合法的 PKI 证书,用于访问业务的二次认证过程。
完成本地认证的终端设备,仍然没有访问业务的权限,只能具备访问网络中的部分区域的网络设备的能力,因此只有有限的部分访问权限。此时终端设备和业务网络之间访问是隔离的,这样可以避免终端仿冒设备会对网络构成安全威胁。终端设备访问相应的业务则需要再进行数据证书二次认证。建议由 SDN 控制器引导终端设备,到 PKI 服务器上申请数字证书,基于电子身份规约的业务识别能力,发放业务(比如:便捷通行)对应的 PKI 证书给终端设备, 并重新引导网络策略,完成终端设备的二次接入认证。
终端设备证书采用 PKI 数字证书进行二次接入认证,AAA 服务器校验证书合法性后,决定准许访问业务。SDN 控制器在发放终端设备的二次认证数字证书时,也会发放新的网络接入点(比如:指定引导到新 AP 或者SSID),终端设备即可访问新的 AP 或者 SSID。
园区终端接入自动化基于终端设备的电子身份规约。其中,电 子身份规约标识,包含:设备版本号、厂家信息、产品名称、终端 类型、SN、标识符、安全启动、加密算法、传输加密及 option 字段。通过生态集成,构建终端和网络设备的电子身份规约的标记和识别 能力。电子身份规约的携带,可以通过以下几种报文:
即插即用过程中,园区终端设备通过自动发现,基于电子身份规约,完成终端识别、自动引导入网。具体方式如下:
通常,园区终端入网认证方式有两种:管理员审批入网和管理员免审批入网。前者在园区终端首次认证时,会将终端信息上报给管理员,管理员通过手动方式选择终端是否可以审批通过。后者免认证方式,则需要管理员通过描述终端上二维码信息,将终端的身份信息录入平台白名单,设备在认证时,完成白名单审核,即可认证通过。无论哪种方式,相对于传统 PC 终端需要安装下载数字证书等方式,园区终端的认证过程结合园区终端数量多、配置麻烦的特征,实现更加简易,基本实现无需在终端上的人工配置,就可以完成接入认证。
① 在数字平台上,先调用 SDN 控制器接口导入园区终端设备的白名单和对应的终端组;
② 在 SDN 控制器界面上,配置哪些终端组需要审批准入,此处可以选择数字平台自定义的终端组,也可以选择未识别的终端组;
③ 终端接入网络,设备发现和认证报文中携带电子身份规约, 认证点提取电子身份证书到 Radius 私有属性中触发 MAC 认证;
④ SDN 控制器识别 MAC 地址需要进行审批准入,则加入待审批列表并呈现终端的电子身份(MAC、接入位置、厂商、产品名称、终端类型、SN),然后通知给数字平台审批;
⑤ 管理员在数字平台上核对终端电子身份的正确性后审批准入, 并通知SDN 控制器审批结果;
⑥ SDN 控制器上将终端从待审批列表中加入到已审批列表中, 后续终端MAC 重认证就会成功;
SDN 控制器免审批方案,原理是通过定制的 APP 扫描园区终端上的二维码,将终端的身份信息录入到数字平台,数字平台继而将终端白名单同步给 SDN 控制器。终端关联引导 SSID 后触发认证,由于之前数字平台已经将终端白名单同步给 SDN 控制器,终端直接认证成功。管理员可以在终端列表页面查看到已经认证成功上线的终端信息。
SDN 控制器免审批方案相比于需要管理员审批的方案,省去了客户在 SDN 控制器界面的操作,但是增加了客户扫码录入园区终端资产的工作。从安全性角度看,免审批的方案更安全。
(三)终端设备二次认证
对于园区终端设备,园区终端接入解决方案建议采用二次认证, 最终自动化的实现端到端的网络业务发放。首次认证让园区终端接 入企业局域网,实现基于终端身份识别的认证通道打开,申请合法 的入网数字证书,并对合法终端进行二次引导入网,基于申请的合 法数字证书重新接入业务网络,获得与园区终端业务匹配的网络权 限和QoS 权限,与应用之间网络打通。
这种二次认证方式,给园区终端用户,在安全方面带来如下价
值:
① 园区终端设备由于采用首次认证+二次认证过程,让园区终端更加难以被设备仿冒,杜绝网络侧劫持问题;
② 二次认证后,园区终端根据子系统业务类型,重新引导进入新的一张业务网,各个业务网络之间数据隔离,最大程度降
低了子系统终端被攻破后对整体网络安全性威胁;
③ 终端在整个认证过程流量传输加密,采用防窃取、防篡改机制,保证通信高安全性,降低数据被窃取仿冒的风险。
园区终端接入企业园区网络的二次认证过程,如下图所示:
图 终端接入企业园区网络的二次认证流程图
如上图上图所示:
① 终端上线后,通过引导入网后,在 SDN 控制器上,完成对电子身份规约的审核,完成本地认证,从而获得本地网络访问权限。
② 获得本地网络访问权限的终端,仍然没有访问业务的权限。SDN 控制器会根据终端的电子身份规约,到 PKI 服务器中, 根据终端类型、业务、访问意图,为其申请对应业务网络的
CA 证书,并发放给终端;
③ 由于业务网络是隔离的,比如园区终端视频监控网,和工厂生产内网之间,建议通过 VxLAN 实现虚拟隔离。所以视频类业务终端,可以在报文中携带申请到的 CA 证书,重新联网
认证,并被引导到新的网络接入点上,比如新的 SSID,进行数字证书认证,这个过程称之为二次认证;
④ 二次认证通过后的终端,就可以连入业务网络,比如与接入 网关之间通过 CoAP 协议进行业务交互,并通过接入网关的MQTT 代理协议转换,访问云端的园区终端管理平台等行为。
(四)终端设备可视可管
园区网络建设后,在园区终端的管理运维上,带来如下新问题和挑战:
① 管理难:园区终端运维管理平台维护业务状态,不显示联接。
网络平台仅能看到网络状态,看不见终端状态;终端拓扑需要手工表格维护。端到端管理依然靠人工串起来维护;
② 问题定位定界难:终端业务一旦中断,当前故障分析引擎,
无从定位到底是网络问题还是园区终端问题;
③ 效率低:采用人工报障,手工定位方式,手工查 IP,查位置,查通路,效率低。
在 3.1 节园区终端接入解决方案总体架构图 21 中,园区网络的网络使能平台包括如下部件:
是面向园区解决方案的 SDN 控制器管理控制系统,可以对园区网络和设备进行集中管控,支持网络业务管理、网络安全管理、用户准入管理、网络监控、网络质量分析、网络应用分析、告警和报表等特性,提供大数据分析的能力,同时提供开放的接口、支持与其他平台集成;
是网络的智能分析引擎,将人工智能应用于运维领域,为用户网络提供智能运维服务,辅助客户及时发现网络问题,改善用户体验。
因此,针对园区终端运维管理难的问题,可基于企业现有的园 区网络运维管理平台,集成网络使能平台和园区终端运维管理平台。如下图所示:
图 园区终端可视可管流程图
进一步将以“网络设备管理”为中心转变为以“业务可用性保障” 为中心,打造为园区终端业务的运维支撑平台。
本文发布于:2024-01-30 17:24:57,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170660669921638.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
