极简网络出口之用户组管理技术解析

随着国内高校信息化水平的提高，高校客户的运维管理人员在网络建设和升级时更加关注用户的体验，同时与运营商的合作模式也逐渐向共赢模式转变。极简网络作为下一代园区网解决方案，目的是帮助客户解决长期存在于传统网络中的诸多问题，例如运维管理工作复杂，终端用户体验保障不足，新业务部署进展缓慢等问题。其中，极简网络出口作为分支方案重点解决客户网络出口升级过程中面临的诸多问题，进而保障用户的极致体验。

高校网络出口应用中，出口带宽大、终端数量的最大值往往达到十万级，同时，多条线路出口要进行选路，而传统基于x-flow的转发只能支持不超过2W用户同时在线，往往不能满足用户实际需求。而锐捷基于RG-RSR77路由器、RG-Newton系列交换机和RG-SAM认证计费系统的解决方案，能够实现基于用户组的管理方式，保障网络高峰期的稳定运行和管理的灵活配置。

用户组定义：用户组是共同具备某些特征的一系列用户的集合，每个用户用其IP地址来标识。每个用户组有唯一的名称，如图1所示。

图1：用户组定义图

实际应用中，用户组的划分可以基于用户的身份、权限等属性，由用户自行决定。比如，电信2M用户划分一个用户组、电信10M用户划分一个用户组、联通用户划分一个用户组，等等。用户组管理具有如下功能： 可以简化配置，方便管理，同一用户组的所有用户都执行相同策略，配置大为简化；比如ACL可以通过用户组来匹配规则，而不用对单个IP配置ACE规则。

结合客户的实际应用场景，极简网络解决方案可以实现用户组管理与SAM认证系统联动，实现SAM服务器主动与RSR77建立连接，通过锐捷的SAM联动私有协议，将用户添加到对应的用户组，可以实现动态的、基于用户角色的访问控制、带宽控制等。

以Internet出口控制为例，如图所示，内部用户访问Internet前先到SAM上去认证，SAM进行合法性检查，并将合法用户所属的用户组（用户的角色）通告给RSR77，管理员事先在RSR77上为每类用户角色创建一个用户组，2M用户认证上线后SAM将用户的IP添加到2M的用户组里面，10M用户上线后将用户的IP添加到10M的用户组里面。

RG-RSR77对用户的业务报文（出网报文）进行控制，它根据用户所属的用户组以及该用户组所具有的权限进行访问控制、出口选择、带宽分配等控制，处理流程如图2所示。比如，电信用户组从线路1访问Internet，联通用户从线路2访问Internet，电信用户组1最大带宽为2M，电信用户组2最大带宽为10M。

图2：RG-RSR77的业务报文处理流程图

综上，极简网络出口场景的用户组管理技术可以帮助客户实现动态的、基于用户角色的访问控制、带宽控制等，同时保证用户在网络高峰期的极致体验。