概述

使用基于组的策略 （GBP） 来支持微分段。

在网络环境中，微分段是指对精细化网络访问策略和细粒度网络访问控制的支持。它将网络细分为更小的独立网段，您可以通过各个安全策略进行控制。微分段增强了防火墙提供的外围安全性，并提供了一种特别有用的技术来遏制网络中的横向威胁。

瞻博网络集团基于组的策略 （GBP） 实施允许您在概念上将客户端分组，从而支持有线和无线客户端的微分段。然后，您可以创建不同的策略以应用于不同的客户端组。策略实施与 ACL 中使用的传统网络结构（如 MAC 或 IP 地址）无关。您可以从同一 VLAN 内或跨 VLAN、或同一交换机内或跨交换机向用户应用相同的安全策略，所有这些都不涉及网络位置。使用 GBP 实施策略是真正实现了与位置无关，不受客户端在物理网络中的驻留位置的束缚。

GBP 基于可扩展组标记 （SGT） 实施策略，您可以通过 CLI 配置静态或通过 RADIUS 身份验证动态分配给各个客户端。基于标记创建策略会使客户端与其网络位置分离。这意味着，与 ACL 和防火墙规则不同，SGT 不受位置限制，可为移动性提供天然支持。GBP 策略不会仅仅因为客户端更改到不同的网络连接点而改变。这简化了网络安全管理，无论客户端身在何处，都能实现无缝连接和一致的策略应用。此外，基于 GBP 的微分段具有高度的可扩展性，因为 GBP 策略应用于组，而不是应用于单个客户端及其无数连接。

注意：SGT 也称为 GBP 标记。我们在本文档中可以互换使用这些术语。

尽管您可以在不同的网络基础架构上启用 GBP，但在 EVPN-VXLAN 网络上运行时将获得最大优势。这是因为 GBP 标记（在 图 1 中显示为组策略 ID）与 VXLAN 帧中的数据一起在带内传输。这样，远程端的交换机就可以看到与用户数据关联的 GBP 标记，并基于此标记应用策略。（有关使用 GBP 时的 VXLAN 标头结构的更多信息，请参阅 I-D.draft-smith-vxlan-group-policy 。）

当支持 GBP 的 EVPN-VXLAN 交换机收到来自客户端的数据包时，交换机会对数据包进行分类以获取 GBP 标记。然后，交换机将整个数据包封装在 VXLAN 中，并将 GBP 标记插入 VXLAN 标头中，然后通过相应的 VXLAN 隧道转发数据包。

当数据包离开隧道的另一端时，远端支持 GBP 的交换机会提取标记，并根据提取的标记和与目标关联的标记做出策略决策。策略本身完全基于 GBP 标记，这些标记与客户端（而非网络位置）相关联。

如果您的网络足够小，无法保证运行 EVPN-VXLAN，您仍然可以利用 GBP 功能。在这种情况下，没有用于承载 GBP 标记的 VXLAN 隧道。因此，您必须在入口处本地实施策略。和以前一样，接入处启用 GBP 的交换机从客户端接收数据包，并对其进行分类以检索分配的标记。然后，同一台交换机会基于此标记以及其他数据包标头信息在本地实施策略。

无论是否使用 EVPN-VXLAN 运行，GBP 支持都有三个不同的方面：

• 标记分配用于配置客户端与组之间的映射。

• 数据包分类对数据平面中的传入数据包进行分类，以获取 GBP 标记（入口处的源标记，出口处的目标标记）。

• 策略实施基于 GBP 标记实施策略。

我们在 GBP 处理中涵盖了所有三个方面。