产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: SmartAX MA5800-X17 背景叙述: 在传统园区网络中，控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。这些技术要求：管理员如果希望保证员工在园区内的网络权限一致，必须要求员工从指定的设备、VLAN或网段接入上线。用于控制用户访问权限的ACL需要管理员提前配置好，而且其中至少需要配置禁止或允许访问的目的IP地址范围。因此，在用户使用的IP地址不固定的前提下，ACL不能用于流量的源和目的都是用户主机时的控制。ACL与用户的关联只在认证点设备上生效。因此对于非认证点设备，例如部署在企业园区边界的防火墙设备，必须基于IP地址来配置策略。VLAN和ACL需要在大量的认证点设备上提前配置，部署和维护工作量巨大。员工移动办公希望打破这一局限性，允许员工从网络中的任意位置、任意VLAN、任意IP网段接入的同时还可以始终控制其网络访问权限。因此引入了业务随行，通过控制器和设备，让网络权限自动跟随人移动，以此解决移动办公体验糟糕的问题。 产品问题: 业务策略与IP地址解耦管理员可以在控制器上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计，设备在进行策略匹配时，可以先根据报文的源/目的IP地址去匹配源/目的安全组，再根据报文的源/目的安全组去匹配管理员预定义的组间策略。通过这样的创新，可以将传统网络中基于用户和IP地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址，实现业务策略与IP地址的完全解耦。用户信息集中管理控制器实现用户认证与上线信息的集中管理，获取到全网用户和IP地址的对应关系。而网络中的非认证点设备就可以根据报文的源/目的IP地址，通过向控制器主动查询来获取报文的源/目的安全组信息。策略集中管理控制器不仅是园区的认证中心，同时也是业务策略的管理中心。管理员可以在控制器上统一管理全网策略执行设备上的业务策略。管理员只需要配置一次，就可以将这些业务策略自动下发到全网的执行点设备上。这些策略包括权限策略（例如禁止A组访问B组）和体验保证策略（例如控制A组的转发带宽和转发优先级）。目前用户是学校有多个校区，老师和学生都会去各个学校上课或者是参加些会议，现在每次的用户的策略都是需要重新调整，不能根据用户的位置改变和保持一致的策略。 产品建议: 建议增加可以实现业务随行的策略，这样在整体使用上会方便很多。可以更好的解决用户多个校区使用的问题 。