锐捷网络极简X SDN——内网安全与协防方案部署指导（试点）

Ⅰ 方案介绍

一、方案概述

以XXXXXX人民医院的拓扑为例，传统的安全部署均部署在出口或者服务器区，这种安全的部署可以有效的进行南北向的安全防护，但是对于东西向的防护与传播无能力为。这种部署模式会出现几种典型问题：

1、安全防御系统大多部署在出口/数据中心区域，可以有效的防止南北向扩散，对于东西向防御能力弱；

2、受病毒感染主机不能及时做隔离、及时阻止病毒的传播，导致病毒横向扩散严重。

3、投资了大量的安全资金后，但是安全的利用率不足。

对于问题3，我司已经推出了ServiceChain方案，将安全设备资源池化，提高设备的整体利用率和部署的灵活性；

对于内网安全，导入BDS对内网设备的日志进行分析，如果有出现异常终端则需要进行隔离，由于涉及到可视化，需要在SDN控制器上实现对安全态势感知平台BDS的对接呈现，并完成隔离策略下发到设备。

Ⅱ 方案原理

一、内网安全溯源

通过BDS-TSP探针，采集设备流量，进行内网安全分析，识别失陷终端

二、BDS和SDN联动，实现对失陷终端的阻断

BDS和SDN控制器的联动由BDS的自动阻断功能出发，根据失陷终端的IP/MAC调用SDN控制器的接口进行接入设备查询，并下发对应的ACL到接入设备上。整体流程如下：

（1）信息查询

BDS在呈现失陷终端更多维信息时，通过IP/MAC向SDN控制器发起终端信息查询，可以获取包括终端接入位置信息、终端用户信息等。而SDN控制器是通过SNMP/SSH通道，定时采集设备的arp/mac表来获取整网的终端信息，其中采集频率默认是：ARP表15分钟，MAC表5分钟，并根据拓扑的链路信息，排除内联口的mac地址，来获取到终端的接入位置

（2）策略下发

BDS在执行失陷终端自动阻断功能时，调用SDN控制器的接口，下发阻断ACL/ACE到对应的交换机设备上。

（3）策略回收

当失陷终端恢复正常后，BDS可撤销阻断，调用SDN控制器的接口，对其所下发的阻断ACL/ACE做撤销删除操作

Ⅲ 方案组件

1、安全协防方案主要组件为INC、BDS、接入汇聚核心交换机。

产品型号

软件版本

功能说明

交换机

11.x 12.x系列交换机：需要同时支持SSH、SNMP、SFLOW和全局ACL即可

Ⅳ 方案限制

一、INC上失陷终端位置识别限制

BDS阻断失陷终端，INC下发对应ACL，需要INC上能够检测到终端在线信息（BDS阻断某个失陷终端，需要该终端，在INC上在线，否则BDS会阻断失败），而要计算到正确的接入位置，需要全网设备的SNMP/SSH都在线（SNMP协议用来发现终端位置，SSH协议用来下发/撤销ACL）、学习完整的ARP、MAC表项以及链路都学习齐全。

接入位置识别异常的情况，主要包括以下几种：

1、ARP/MAC采集时间未到，无法获取到终端信息

 采集时间，ARP表默认是15分钟，MAC表默认是5分钟，此时，如果BDS阻断终端失败，可以在INC上查看对应终端是否正常在线，在终端流量正常的情况下，等待相应时间，正常情况下，INC能够采集到对应的终端信息，届时，BDS再做相应的操作即可

2、设备SNMP/SSH不在线，采集不到终端，无法获取到终端信息

 SNMP不在线，则无法获取到终端位置信息，SSH不在线，则对应ACL无法下发

3、设备SNMP/SSH不在线，终端接入位置计算不正确

以主机1为例，它的接入位置在位置1

场景1：接入设备1的SNMP不在线则在接入设备1采集不到主机1的MAC表，则学习到的接入位置是位置2

场景2：汇聚设备1的SNMP不在线由于核心设备1的位置3学习到的主机MAC地址不能被排除掉，则学习到的接入位置是位置1和位置3，此时,INC上显示的终端接入位置信息，则位置1和位置3中，随机选择一个

场景3：接入设备1、汇聚设备1、核心设备1和汇聚设备2的SNMP/SSH都不在线则学习到的MAC地址是在位置5，则学习到的接入位置是位置5，此时，如果主机1失陷，对应的阻断ACL下发到接入设备2上，则无法实际阻断失陷终端的攻击

二、INC下发到设备的ACL，不支持一致性

当设备端主动删除活修改INC下发的阻断ACL/ACE时，本方案暂不支持该命令的一致性，即控制器不会重新添加/修改该ACL/ACE

三、接入设备型号限制

该方案不支持10.x的设备，主要原因有两个：

（1）10.x的设备，不支持sflow相关配置，BDS无法采集到终端流量信息

（2）10.x设备，不支持全局acl的应用，BDS无法下发阻断acl

四、安全协防方案，目前只能用于underlay场景。
由于overlay场景，INC的snmp对于vxlan mac的读取，目前还未做适配，导致终端位置信息存在异常，因此overlay场景，无法部署安全协防方案

Ⅴ 实施前准备（基础环境准备）

1、RG-INC-PRO已升级至最新版本，或者之后的版本：（该版本只能在RG-ONC-AIO-E\RG-ONC-AIO-H硬件服务器上部署，或者在虚拟机中部署，详细步骤请参考——RG-INC初始化部署与维护——SDN产品介绍与安装章节）

2、RG-BDS升级至支持与INC对接的版本，（具体版本请咨询4008111000 RG-BDS的工程师）

3、交换机与INC、BDS完成对接

3.1 交换机INC对接：请参考“05 RG-INC 基础功能介绍（设备纳管、IP地址监控、免认证、环路监控、分级分权）”章节，

3.2 交换机与BDS对接

3.2.1 交换机配置sflow采样

全局配置

Ruijie(config)# sflow agent address 172.18.159.51 //交换机与BDS通信的源地址

Ruijie(config)# sflow collector 1 destination 10.18.92.39 6343 //采样ID，指向BDS的地址，以及对接的协议端口号

Ruijie(config)# sflow counter interval 30 //采样间隔（秒），依据实际情况修改，推荐为30，测试情况下，可以调短

Ruijie(config)# sflow sampling-rate 8192 //采样率，推荐为8192，测试情况下，可以调小

接口配置（针对接口进行采样）

Ruijie(config)# interface TenGigabitEthernet 0/1

Ruijie(config-if-TenGigabitEthernet 0/1)# sflow flow collector 1 //开启flow采样，采样ID与之前对应

Ruijie(config-if-TenGigabitEthernet 0/1)# sflow counter collector 1 //开启counter采样，采样ID与之前对应**

Ruijie(config-if-TenGigabitEthernet 0/1)# sflow enable //接口是能slow采样

Ruijie(config-if-TenGigabitEthernet 0/1)# end

3.2.2 BDS添加交换机（请联系BDS工程师获取帮助）

4、RG-INC已经完成基本的设备纳管、业务网、业务子网等部署，并且RG-INC可以看到在网的终端设备。如下图

Ⅵ 部署指导

一、BDS和INC对接

1、BDS和单机INC对接

（1）INC上添加BDS ip

（2）BDS上添加INC ip

（3）BDS上测试与INC的连通性

在BDS与OINC相关参数都填写正确的情况下，点击测试，则可返回二者连接成功的提示

2、BDS与集群INC对接

（1）集群INC LVS配置

进入INC部署配置页面，配置LVS虚ip与实ip为同一网段IP，三台INC都做相应配置，使得集群控制器对外呈现统一的虚ip。

（2）INC上添加BDS ip

分别进入这4个（3个集群成员ip+一个对外的虚拟lvs ip） INC ip的web界面，在【admin】->【系统管理】->【访问配置】->“第三方平台访问控制器配置”，添加对应的BDS IP

（3）在BDS上添加集群INC的LVS ip

对于集群控制器，BDS上仅需添加集群INC对外所呈现的LVS ip即可

二、终端失陷，BDS发现失陷终端

三、BDS阻断失陷终端

四、INC下发对应的阻断ACL到接入设备上

五、终端恢复正常后，BDS撤销阻断

六、INC将对应的撤销ACL下发到接入设备上

七：注意事项：

BDS阻断某个失陷终端，需要该终端，在INC上在线，否则BDS会阻断失败