Agile Controller-Campus V100R002C00配置手册 秘密
PortalServer:提供标准的Portal认证服务,提供WEB认证页面,跟接入设备进行Portal协议对接。
AuthsServer:提供基本认证服务平台(提供基本的SACG接入控制以及终端升级等功能)。
NetworkServer:提供网络设备配置功能,在业务随行、业务编排功能中,通过NetwokServer完成设备业务配置,支持XMPP、Telnet、SNMP协议。 1.1.2 Agile Controller-Campus安全协防组件网络实体组成【V100R002版本不再
提供】
安全协防组件在界面以SSO方式集成到Agile Controller-Campus中, 安全协防组件包括SecView、iRadar、关联分析机、日志采集机。 1.2 组网方式和配置原则介绍
1.2.1 Controller服务器的组网和配置原则
1. 单服务器集中组网方案
2016-1-14 华为机密,未经许可不得扩散 第11页, 共87页
Agile Controller-Campus V100R002C00配置手册 秘密
图2 单服务器集中组网方案
1)组网方式:
说明:使用一台服务器,安装全部软件模块,包括数据库,业务管理器以及业务控制器,适合较小型网络,以及不需要数据库备份的局点。 服务器数量:1台
服务器1安装组件:数据库,业务管理器SM,业务控制器SC
2)选择该方案,需要满足如下条件:
? 终端数量:
建议单服务器集中组网时,被管理终端的数量小于2000。 当终端数量大于2000终端时,网络的规模已经比较大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,但是从可靠性的角度考虑,不推荐使用该方案。 ? 网络环境:
A)适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。 B)适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。 小型多分支机构的定义:
分支机构到总部的带宽=2Mbps,分支机构的终端数量<=100 分支机构到总部的带宽=10Mbps,分支机构的终端数量<=500 评估模型:
需要计算终端对带宽的需求,需要保证在一般情况下(包括认证阶段,以及平时的业务阶段对带宽的占用率<1%,认证阶段<5%) 假设分支机构到总部的带宽=2Mbps 5%的带宽=2000Kbps*5%=100Kbps 1%待带宽=2000Kbps*1%=20Kbps
查询下表的数据,400终端可以满足认证阶段对带宽的需求。
2016-1-14 华为机密,未经许可不得扩散 第12页, 共87页
Agile Controller-Campus V100R002C00配置手册 秘密
下表中的数据可以用于评估分支机构到总部的流量,以判断Agile Controller 系统对分支结构到总部之间网络带宽的影响,进而判断是否适合采用集中式部署。
数据模型.xls
? 该方案的优点和局限性:
单服务器集中组网方案,由于只有一台服务器,只能安装一个数据库,无法提供数据库热备功能,当数据库发生故障的时候,会影响如下业务: A)管理员无法通过操作界面管理相关业务;
B)业务控制器SC不重启的情况下,即使数据库暂时无法工作,提供基本的准入控制业务依然可以工作(即已有用户可以正常认证);
C)当业务控制器SC重启的情况下,业务控制器SC无法提供任何服务; 单服务器集中组网方案,由于只有一台服务器,只能部署一个业务控制器SC,无法提供业务控制器失效转移功能,当业务控制器SC发生故障的时候,无法提供终端的身份认证和准入控制等基本服务。
2. 双服务器集中组网方案
图3 双服务器集中组网方案
1)组网方式
说明:使用两台服务器,集中部署。安装两个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另一个业务控制器能够继续工作。 服务器数量:2台
服务器1安装组件:业务管理器SM、业务控制器SC 服务器2安装组件:业务控制器SC、数据库DB
2)选择该方案,需要满足如下条件:
2016-1-14 华为机密,未经许可不得扩散 第13页, 共87页
Agile Controller-Campus V100R002C00配置手册 秘密
? 终端数量:
建议双服务器集中组网时,被管理终端的数量小于10000。
当终端数量大于10000终端时,网络的规模已经非常大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,两个服务器能够支撑20000终端,但是从可靠性的角度考虑,1万终端以上的网络不建议使用该方案。
? 网络环境:
适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。
适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。 小型多分支机构的定义参见单服务器集中组网方案的说明。 ? 该方案的优点和局限性:
双服务器集中组网方案,由于只有两台服务器,无法部署数据库镜像方案,无法提供数据库热备功能,当数据库发生故障的时候,会影响如下业务:
A)管理员无法通过管理界面登录管理界面管理相关业务; B)业务控制器SC不重启的情况下,虽然能够提供基本的准入控制业务,但是终端的违规信息无法上报服务器并且写入数据库,需要等到数据库恢复正常后才能上报;
C)当业务控制器SC重启的情况下,业务控制器SC无法提供任何服务;
3. 三服务器集中组网方案
图4 三服务器集中组网方案
1)组网方式
说明:使用三台服务器,集中部署。安装三台SQL SERVER 数据库,该数据库组成数据库镜像,提供数据库备份方案。安装三个业务控制器SC,提供资源池模
2016-1-14 华为机密,未经许可不得扩散 第14页, 共87页
Agile Controller-Campus V100R002C00配置手册 秘密
式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另两个业务控制器能够继续工作。 服务器数量:3台
服务器1安装组件:业务管理器SM、业务控制器SC、见证数据库 服务器2安装组件:业务控制器SC、主数据库 服务器3安装组件:业务控制器SC、镜像数据库 2)选择该方案,需要满足如下条件:
? 终端数量:
建议三服务器集中组网时,被管理终端的数量小于20000。 当终端数大于20000终端时,不能采用此方案。 ? 网络环境:
适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。
适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps。能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。 小型多分支机构的定义参见单服务器集中组网方案的说明。 ? 该方案的优点和局限性:
数据库提供了热备功能,当一个数据库发生故障的时候,业务不中断。 系统提供了业务控制器失效转移功能,当单个业务控制器发生故障,不能提供服务的时候,终端能够从另一个业务控制器获得准入控制等服务,业务不中断。
具体实施的时候,可以在分阶段上线过程中,观察违规信息数据量增长的情况,决定是否需要引入扩展数据库,存储违规信息。
4. 多服务器集中组网方案 1)组网说明
当终端的数量超过2万,则需要使用更多的业务控制器SC,分担业务压力。 2)组网方式1 说明:采用Windows平台,使用四台服务器,集中部署。安装四台SQL SERVER 数据库,其中三台数据库组成数据库镜像,提供数据库备份方案,另外一个数据库用于作为违规信息的扩展数据源。安装四个业务控制器SC,提供资源池模式的负载均衡和失效转移方案,允许一个业务控制器发生故障的时候,另三个业务控制器能够继续工作。 服务器数量:4台
服务器1安装组件:业务管理器SM、业务控制器SC、见证数据库 服务器2安装组件:业务控制器SC、主数据库 服务器3安装组件:业务控制器SC、镜像数据库 服务器4…N安装组件:业务控制器SC
2)组网方式2
说明:采用Linux平台,针对SM提供数据库和SM管理的双机高可靠性。
2016-1-14 华为机密,未经许可不得扩散 第15页, 共87页