在园区网络中,有许多新兴趋势影响着未来网络建模的方式,这些趋势包括移动性、物联网(IoT)以及跨有线和无线连接的统一安全性。
为了适应这些趋势,需要一个网络的新时代,使用基于意图的网络,将基于策略的自动化从网络边缘迁移到公共和私有云。SD-Access就是一个例子。
基于意图的网络就是告诉控制器最终的目标,并允许基于控制器的网络计算出低层设备和配置细节。这与通用分组无线业务(GPRS)的工作原理类似。用户输入目的地,软件计算最佳路线,并考虑从用户提取的参数。
基于意图的网络需要满足从访问控制到服务质量(QoS)等多种要素。
1.移动性
传统的园区网络过去只包括公司拥有的设备。相比之下,现在的网络由一系列设备组成,例如自带设备(BYOD)和智能可穿戴设备等等。
一般的用户会将2.7台设备带到工作场所,因此需要访问云端的公司系统以及私有数据中心的应用程序工作负载。现在,用户需要在所有设备之间实现无缝移动,同时仍保持相同的安全性和访问控制水平。
2.物联网
园区内的企业物联网包括在办公楼内可以找到的所有东西,目前面临的挑战是如何在这些设备之间实现不可穿透的安全措施。
过去12个月内的大部分攻击都涉及某种不安全的物联网设备。通常情况下,该设备尚未由I.T部门管理或获得,导致安全泄漏。在某些情况下,感染的物联网设备可直接访问互联网或企业网络,从而导致恶意软件和黑客行为。
最近被称为fishbowl的公开攻击引发了数据外泄事件。这种不安全的物联网设备使得黑客从一个北美赌场中偷取了10G的数据。fishbowl上有一个传感器用于监测,参与者损害了传感器在网络中的横向移动以访问关键资产。记住,黑客并不需要丰富的资源,他们拥有易于使用的黑客工具,不断寻找一切微小的漏洞渗透到网络中。
3.安全
在这个时代,大多数网络都是融合的,没有网络可以100%安全,攻击最终都会发生。你的网络会受到影响只是时间问题。但是,通过分段网络,管理员可以限制攻击半径,分段可确保受感染的主机无法继续向前扩散。
传统分段
分段问题已存在多年。然而,考虑到今天的网络需要支持移动性、物联网以及有线和无线连接之间的统一安全性,传统分段工具并不适用。
大多数网络使用虚拟局域网(VLAN)进行分段。但是,VLAN以及其他协议(例如生成树协议(STP))在设计时并未考虑到安全性。90年代创建了分段广播域。每个VLAN都是一个单独的广播域,分隔的VLAN划分广播域。但是,随着时间的推移,管理员转而使用具有访问控制的VLAN。
管理员会将VLAN与IP子网相关联,以实施子网控制。最终,随着网络规模的扩大,VLAN不能匹配扩大的规模。此外,基于IP地址的策略执行僵化,缺乏灵活性。
另一个主要的问题是管理。网络十分复杂,大多数网络仍然是基于有限或无自动化的命令行界面(CLI),这带来了严峻的挑战。由于每个网络都是独特的,操作成为了一种负担。厂商可以使用最先进的网络分段技术,但除非能够通过单个按钮轻松进行移除和部署,否则将不会被采用。
控制器分析引擎
如果希望基于控制器的架构能够在园区网络中普及,则需要控制器完全自动化,监控和故障排除的问题需要做到毫不费力。
问题是,我们正在使用Syslog、简单网络管理协议(SNMP)和Netflow等技术来执行监控和故障排除,这些是30年前创建的技术,我们需要通过SNMP来监控网络。 SNMP采用pull模式运行,在中央处理器(CPU)的利用率等问题上面临着很大的挑战。
当今的网络极其需要一个控制器大数据分析引擎,通过push模式进行操作,该模式可以积累和管理来自所有设备的数据。它可以提供洞察力,并预测事情的发展,实现网络自愈。
前进之路 - 宏观和微观分段
VLAN是单一的平面层分段。考虑到今天的园区网络,我们需要将这个平面层模式变成两层模式。这可以通过引入虚拟网络(VN)来实现,也称为宏分段。
园区中的虚拟网络类似于虚拟路由和转发(VRF),VRF做的事情就是让虚拟网络在转发层分段。定义如何进行分段需要基于不同组织的结构和业务线。
根据定义,VN不能相互通信,任何交叉VN通信都应该通过有状态的防火墙。状态防火墙监控活动连接的状态以及穿越它的网络连接的特性。虚拟可扩展LAN(VXLAN)用于创建宏分段(VN)。
安全组标签可以提供微分段。我们进一步将微分段嵌入VN中,然后可以在微分段之间定义过滤器。
VXLAN中需要扩展,这就是所谓的VXLAN组策略选项(VXLAN-GPO)。这定义了在VXLAN头中嵌入微分段标签的方式。宏观和微观分段是数据平面的分段,下面来看看控制平面。
控制平面 - 定位器/ID分离协议(LISP)
由于数据平面转发已经处理完成,现在我们需要一个良好的控制计划来在大型园区网络中分发信息。
边界网关协议(BGP)是分布式状态协议。它在数据中心运行良好,但并没有体现在园区网络中,因为超过60%的网络是无线的。用户一直在从一个AP移动到另一个AP,从无线移动到有线网络。结束主机的移动通常是使用/32来寻址的,但BGP并不擅长以这种方式处理频繁的移动。
在这种情况下,LISP是完美结合控制和数据平面的最佳选择。 LISP是一种与域名系统(DNS)类似的基于需求的协议,它带来了基于IP地址并且是使用集中式控制平面的路由优势。
无线的进展
传统上,无线技术是一种顶级网络,采用无线接入点(CAPWAP)的控制和配置。但是,无线技术需要使用VXLAN隧道以及从接入点开始的覆盖。因此,需要使用VXLAN进行隧道传输,而不使用CAPWAP作为数据平面。
考虑到时间的需求,我们必须改变有线和无线工作方式。如果携带用户组标签信息,则无论用户在AP还是有线交换机上,都必须以相同的方式携带它。标签不应该基于进入网络的媒介而改变。
有线和无线是进入网络的不同方式,用户本身不会改变,这被称为基于身份的分段。用户根据用户分析功能进行识别。因此,一旦为用户分配了标签形式的配置文件,无论用户的位置如何移动,该标签仍然存在。
未来的挑战
下一个重大挑战是如何保护分布在所有园区网络中的基于组的策略。安全需要跨越广域网(WAN)扩展到公共、私有和多云场景。提供所有高级WAN功能(如路径选择和加密),同时仍能扩展一致的基于组的策略。
往期文章
如何像Facebook一样构建数据中心 – BGP在大规模数据中心中的应用(3)
《NetDevOps入门与实践》新书有奖试读活动
SDNLAB原创文章奖励计划