軟件定義LAN，或SD-LAN，其實就是將軟件定義的網(wǎng)絡(luò)原理應用于非數(shù)據(jù)中心LAN。

這些原則包括分離網(wǎng)絡(luò)的邏輯控制（管理什么與什么通信的策略規(guī)范）與數(shù)據(jù)包的實際處理。在實踐中，這意味著控制平面（在虛擬機或云中運行的管理平臺）指導網(wǎng)絡(luò)活動或轉(zhuǎn)發(fā)數(shù)據(jù)平面，主要是物理和虛擬交換機。通常，控制平面具有API，可啟用自動化以編程方式控制網(wǎng)絡(luò)策略。

邏輯平面和數(shù)據(jù)平面的分離以令人興奮的新方式支持LAN虛擬化。不過，重要的是要記住，這不是IT部門第一次對LAN進行虛擬化。

在SD-LAN之前：虛擬LAN

虛擬LAN (VLAN) 已經(jīng)存在了幾十年，并且一直以來主要用于園區(qū)LAN中。網(wǎng)絡(luò)工程師長期以來一直在部署VLAN以在2層網(wǎng)絡(luò)對網(wǎng)絡(luò)進行分段。例如，通過一個VLAN上的端口連接的系統(tǒng)不能直接與其他VLAN上的端口通信，而是通過路由器或防火墻訪問它們。

VLAN創(chuàng)建獨立的網(wǎng)絡(luò)域，覆蓋公共物理網(wǎng)絡(luò)之上的多個邏輯LAN。網(wǎng)絡(luò)團隊可以通過以下方式使用VLAN來隔離流量：

• 針對不同部門；
• 針對不同類別的設(shè)備，例如IP電話VoIP流量；
• 活著 針對不同的安全域，例如用于與網(wǎng)絡(luò)管理相關(guān)的流量的VLAN。

通過打破網(wǎng)絡(luò)使用和網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間的緊密耦合，VLAN為SD-LAN鋪平了道路。

SD-LAN

VLAN是2層網(wǎng)絡(luò)機制，它完全體現(xiàn)在以太網(wǎng)幀頭中并部署在交換機端口級別。SD-LAN更進一步，它不僅僅依賴于以太網(wǎng)或其他2層網(wǎng)絡(luò)協(xié)議，而是將LAN完全虛擬化，從而將策略控制從交換機上解除，只留下強制執(zhí)行。

完全實現(xiàn)的SD-LAN系統(tǒng)著眼于2層網(wǎng)絡(luò)之外的標準，以做出有關(guān)訪問和可視性的決策。例如，它應該考慮用戶、進程、程序和設(shè)備身份。它還可能會考慮IP地址、設(shè)備位置甚至一天中的時間。無論系統(tǒng)支持哪種因素，網(wǎng)絡(luò)工程師都可以使用它們來定義管理對數(shù)據(jù)網(wǎng)絡(luò)的訪問，以及網(wǎng)絡(luò)節(jié)點允許活動范圍的策略。

零信任、SDP和SD-LAN

目前SD-LAN最令人興奮的方面是它的實用程序-用于實現(xiàn)零信任網(wǎng)絡(luò)訪問 (ZTNA) 架構(gòu)。通過全面的SD-LAN策略，可在園區(qū)網(wǎng)絡(luò)級別實施基本的零信任方法，以阻止除明確允許之外的所有內(nèi)容。也就是說，SD-LAN可以作為軟件定義邊界 (SDP) 的園區(qū)面。

在部署零信任策略后，SD-LAN默認情況下會阻止大多數(shù)橫向網(wǎng)絡(luò)流量，例如筆記本電腦A與筆記本電腦B通信。這反過來又會阻止來自受感染的設(shè)備大量惡意軟件在環(huán)境中傳播。

以現(xiàn)在的經(jīng)典場景為例，攻擊者使用損壞的物聯(lián)網(wǎng)設(shè)備作為平臺攻擊工作站。而SD-LAN會阻止該過程。那些損壞的掛鐘或自動售貨機只能看到它們的管理工作站并與之通信，而不是整個網(wǎng)段。如果攻擊中涉及的端口、協(xié)議或流量違反了管理連接的任何訪問規(guī)則，他們甚至可能無法破壞該管理工作站。

SD-LAN的優(yōu)點

SD-LAN有很多優(yōu)點。在操作方面，帶有API的控制器的存在可幫助實現(xiàn)更廣泛和更有效的LAN操作自動化。

改進的管理意味著更好地發(fā)現(xiàn)、繪制和審核網(wǎng)絡(luò)當前狀態(tài)的能力。例如，網(wǎng)絡(luò)團隊可以跟蹤網(wǎng)絡(luò)上的內(nèi)容、每個實體的行為方式以及偏離政策的內(nèi)容。

而且，正如部署零信任所表明的那樣，SD-LAN能夠顯著地改善企業(yè)網(wǎng)絡(luò)的基本安全狀況。即使企業(yè)沒有完全部署零信任，也可能實現(xiàn)顯著的改進。

SD-LAN的挑戰(zhàn)

SD-LAN也面臨很多挑戰(zhàn)。其中一些挑戰(zhàn)包括：

• 利用現(xiàn)有基礎(chǔ)設(shè)施部署SD-LAN的能力；
• 升級任何無法正確整合的東西的費用；
• 以及 讓員工有時間重新開發(fā)核心技能并利用SD-LAN的所有潛能。

而且，與更通用的零信任策略一樣，當在園區(qū)網(wǎng)絡(luò)中實現(xiàn)ZTNA時，大多數(shù)企業(yè)面臨的主要挑戰(zhàn)是了解要部署哪些策略——什么需要與什么通信。

隨著企業(yè)開始廣泛轉(zhuǎn)向更高的網(wǎng)絡(luò)自動化和更嚴格的安全性，SD-LAN將成為推進企業(yè)目標的越來越重要的工具。