在園區(qū)網(wǎng)絡(luò)中，有許多新興趨勢影響著未來網(wǎng)絡(luò)建模的方式，這些趨勢包括移動(dòng)性、物聯(lián)網(wǎng)(IoT)以及跨有線和無線連接的統(tǒng)一安全性。

為了適應(yīng)這些趨勢，需要一個(gè)網(wǎng)絡(luò)的新時(shí)代，使用基于意圖的網(wǎng)絡(luò)，將基于策略的自動(dòng)化從網(wǎng)絡(luò)邊緣遷移到公共和私有云。SD-Access就是一個(gè)例子。

基于意圖的網(wǎng)絡(luò)就是告訴控制器最終的目標(biāo)，并允許基于控制器的網(wǎng)絡(luò)計(jì)算出低層設(shè)備和配置細(xì)節(jié)。這與通用分組無線業(yè)務(wù)(GPRS)的工作原理類似。用戶輸入目的地，軟件計(jì)算最佳路線，并考慮從用戶提取的參數(shù)。

基于意圖的網(wǎng)絡(luò)需要滿足從訪問控制到服務(wù)質(zhì)量(QoS)等多種要素。

[[233026]]

1. 移動(dòng)性

傳統(tǒng)的園區(qū)網(wǎng)絡(luò)過去只包括公司擁有的設(shè)備。相比之下，現(xiàn)在的網(wǎng)絡(luò)由一系列設(shè)備組成，例如自帶設(shè)備(BYOD)和智能可穿戴設(shè)備等等。

一般的用戶會(huì)將2.7臺(tái)設(shè)備帶到工作場所，因此需要訪問云端的公司系統(tǒng)以及私有數(shù)據(jù)中心的應(yīng)用程序工作負(fù)載?，F(xiàn)在，用戶需要在所有設(shè)備之間實(shí)現(xiàn)無縫移動(dòng)，同時(shí)仍保持相同的安全性和訪問控制水平。

2. 物聯(lián)網(wǎng)

園區(qū)內(nèi)的企業(yè)物聯(lián)網(wǎng)包括在辦公樓內(nèi)可以找到的所有東西，目前面臨的挑戰(zhàn)是如何在這些設(shè)備之間實(shí)現(xiàn)不可穿透的安全措施。

過去12個(gè)月內(nèi)的大部分攻擊都涉及某種不安全的物聯(lián)網(wǎng)設(shè)備。通常情況下，該設(shè)備尚未由I.T部門管理或獲得，導(dǎo)致安全泄漏。在某些情況下，感染的物聯(lián)網(wǎng)設(shè)備可直接訪問互聯(lián)網(wǎng)或企業(yè)網(wǎng)絡(luò)，從而導(dǎo)致惡意軟件和黑客行為。

最近被稱為fishbowl的公開攻擊引發(fā)了數(shù)據(jù)外泄事件。這種不安全的物聯(lián)網(wǎng)設(shè)備使得黑客從一個(gè)北美賭場中偷取了10G的數(shù)據(jù)。fishbowl上有一個(gè)傳感器用于監(jiān)測，參與者損害了傳感器在網(wǎng)絡(luò)中的橫向移動(dòng)以訪問關(guān)鍵資產(chǎn)。記住，黑客并不需要豐富的資源，他們擁有易于使用的黑客工具，不斷尋找一切微小的漏洞滲透到網(wǎng)絡(luò)中。

3. 安全

在這個(gè)時(shí)代，大多數(shù)網(wǎng)絡(luò)都是融合的，沒有網(wǎng)絡(luò)可以100%安全，攻擊最終都會(huì)發(fā)生。你的網(wǎng)絡(luò)會(huì)受到影響只是時(shí)間問題。但是，通過分段網(wǎng)絡(luò)，管理員可以限制攻擊半徑，分段可確保受感染的主機(jī)無法繼續(xù)向前擴(kuò)散。

傳統(tǒng)分段

分段問題已存在多年。然而，考慮到今天的網(wǎng)絡(luò)需要支持移動(dòng)性、物聯(lián)網(wǎng)以及有線和無線連接之間的統(tǒng)一安全性，傳統(tǒng)分段工具并不適用。

大多數(shù)網(wǎng)絡(luò)使用虛擬局域網(wǎng)(VLAN)進(jìn)行分段。但是，VLAN以及其他協(xié)議(例如生成樹協(xié)議(STP))在設(shè)計(jì)時(shí)并未考慮到安全性。90年代創(chuàng)建了分段廣播域。每個(gè)VLAN都是一個(gè)單獨(dú)的廣播域，分隔的VLAN劃分廣播域。但是，隨著時(shí)間的推移，管理員轉(zhuǎn)而使用具有訪問控制的VLAN。

管理員會(huì)將VLAN與IP子網(wǎng)相關(guān)聯(lián)，以實(shí)施子網(wǎng)控制。最終，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，VLAN不能匹配擴(kuò)大的規(guī)模。此外，基于IP地址的策略執(zhí)行僵化，缺乏靈活性。

另一個(gè)主要的問題是管理。網(wǎng)絡(luò)十分復(fù)雜，大多數(shù)網(wǎng)絡(luò)仍然是基于有限或無自動(dòng)化的命令行界面(CLI)，這帶來了嚴(yán)峻的挑戰(zhàn)。由于每個(gè)網(wǎng)絡(luò)都是獨(dú)特的，操作成為了一種負(fù)擔(dān)。廠商可以使用最先進(jìn)的網(wǎng)絡(luò)分段技術(shù)，但除非能夠通過單個(gè)按鈕輕松進(jìn)行移除和部署，否則將不會(huì)被采用。

控制器分析引擎

如果希望基于控制器的架構(gòu)能夠在園區(qū)網(wǎng)絡(luò)中普及，則需要控制器完全自動(dòng)化，監(jiān)控和故障排除的問題需要做到毫不費(fèi)力。

問題是，我們正在使用Syslog、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)和Netflow等技術(shù)來執(zhí)行監(jiān)控和故障排除，這些是30年前創(chuàng)建的技術(shù)，我們需要通過SNMP來監(jiān)控網(wǎng)絡(luò)。 SNMP采用pull模式運(yùn)行，在中央處理器(CPU)的利用率等問題上面臨著很大的挑戰(zhàn)。

當(dāng)今的網(wǎng)絡(luò)極其需要一個(gè)控制器大數(shù)據(jù)分析引擎，通過push模式進(jìn)行操作，該模式可以積累和管理來自所有設(shè)備的數(shù)據(jù)。它可以提供洞察力，并預(yù)測事情的發(fā)展，實(shí)現(xiàn)網(wǎng)絡(luò)自愈。

前進(jìn)之路 - 宏觀和微觀分段

VLAN是單一的平面層分段。考慮到今天的園區(qū)網(wǎng)絡(luò)，我們需要將這個(gè)平面層模式變成兩層模式。這可以通過引入虛擬網(wǎng)絡(luò)(VN)來實(shí)現(xiàn)，也稱為宏分段。

園區(qū)中的虛擬網(wǎng)絡(luò)類似于虛擬路由和轉(zhuǎn)發(fā)(VRF)，VRF做的事情就是讓虛擬網(wǎng)絡(luò)在轉(zhuǎn)發(fā)層分段。定義如何進(jìn)行分段需要基于不同組織的結(jié)構(gòu)和業(yè)務(wù)線。

根據(jù)定義，VN不能相互通信，任何交叉VN通信都應(yīng)該通過有狀態(tài)的防火墻。狀態(tài)防火墻監(jiān)控活動(dòng)連接的狀態(tài)以及穿越它的網(wǎng)絡(luò)連接的特性。虛擬可擴(kuò)展LAN(VXLAN)用于創(chuàng)建宏分段(VN)。

安全組標(biāo)簽可以提供微分段。我們進(jìn)一步將微分段嵌入VN中，然后可以在微分段之間定義過濾器。

VXLAN中需要擴(kuò)展，這就是所謂的VXLAN組策略選項(xiàng)(VXLAN-GPO)。這定義了在VXLAN頭中嵌入微分段標(biāo)簽的方式。宏觀和微觀分段是數(shù)據(jù)平面的分段，下面來看看控制平面。

控制平面 - 定位器/ID分離協(xié)議(LISP)

由于數(shù)據(jù)平面轉(zhuǎn)發(fā)已經(jīng)處理完成，現(xiàn)在我們需要一個(gè)良好的控制計(jì)劃來在大型園區(qū)網(wǎng)絡(luò)中分發(fā)信息。

邊界網(wǎng)關(guān)協(xié)議(BGP)是分布式狀態(tài)協(xié)議。它在數(shù)據(jù)中心運(yùn)行良好，但并沒有體現(xiàn)在園區(qū)網(wǎng)絡(luò)中，因?yàn)槌^60%的網(wǎng)絡(luò)是無線的。用戶一直在從一個(gè)AP移動(dòng)到另一個(gè)AP，從無線移動(dòng)到有線網(wǎng)絡(luò)。結(jié)束主機(jī)的移動(dòng)通常是使用/32來尋址的，但BGP并不擅長以這種方式處理頻繁的移動(dòng)。

在這種情況下，LISP是完美結(jié)合控制和數(shù)據(jù)平面的最佳選擇。 LISP是一種與域名系統(tǒng)(DNS)類似的基于需求的協(xié)議，它帶來了基于IP地址并且是使用集中式控制平面的路由優(yōu)勢。

無線的進(jìn)展

傳統(tǒng)上，無線技術(shù)是一種頂級網(wǎng)絡(luò)，采用無線接入點(diǎn)(CAPWAP)的控制和配置。但是，無線技術(shù)需要使用VXLAN隧道以及從接入點(diǎn)開始的覆蓋。因此，需要使用VXLAN進(jìn)行隧道傳輸，而不使用CAPWAP作為數(shù)據(jù)平面。

考慮到時(shí)間的需求，我們必須改變有線和無線工作方式。如果攜帶用戶組標(biāo)簽信息，則無論用戶在AP還是有線交換機(jī)上，都必須以相同的方式攜帶它。標(biāo)簽不應(yīng)該基于進(jìn)入網(wǎng)絡(luò)的媒介而改變。

有線和無線是進(jìn)入網(wǎng)絡(luò)的不同方式，用戶本身不會(huì)改變，這被稱為基于身份的分段。用戶根據(jù)用戶分析功能進(jìn)行識(shí)別。因此，一旦為用戶分配了標(biāo)簽形式的配置文件，無論用戶的位置如何移動(dòng)，該標(biāo)簽仍然存在。

未來的挑戰(zhàn)

下一個(gè)重大挑戰(zhàn)是如何保護(hù)分布在所有園區(qū)網(wǎng)絡(luò)中的基于組的策略。安全需要跨越廣域網(wǎng)(WAN)擴(kuò)展到公共、私有和多云場景。提供所有高級WAN功能(如路徑選擇和加密)，同時(shí)仍能擴(kuò)展一致的基于組的策略。