軟件定義LAN對(duì)園區(qū)虛擬化意味著什么
軟件定義LAN,或SD-LAN,其實(shí)就是將軟件定義的網(wǎng)絡(luò)原理應(yīng)用于非數(shù)據(jù)中心LAN。
這些原則包括分離網(wǎng)絡(luò)的邏輯控制(管理什么與什么通信的策略規(guī)范)與數(shù)據(jù)包的實(shí)際處理。在實(shí)踐中,這意味著控制平面(在虛擬機(jī)或云中運(yùn)行的管理平臺(tái))指導(dǎo)網(wǎng)絡(luò)活動(dòng)或轉(zhuǎn)發(fā)數(shù)據(jù)平面,主要是物理和虛擬交換機(jī)。通常,控制平面具有API,可啟用自動(dòng)化以編程方式控制網(wǎng)絡(luò)策略。
邏輯平面和數(shù)據(jù)平面的分離以令人興奮的新方式支持LAN虛擬化。不過(guò),重要的是要記住,這不是IT部門第一次對(duì)LAN進(jìn)行虛擬化。
在SD-LAN之前:虛擬LAN
虛擬LAN (VLAN) 已經(jīng)存在了幾十年,并且一直以來(lái)主要用于園區(qū)LAN中。網(wǎng)絡(luò)工程師長(zhǎng)期以來(lái)一直在部署VLAN以在2層網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)進(jìn)行分段。例如,通過(guò)一個(gè)VLAN上的端口連接的系統(tǒng)不能直接與其他VLAN上的端口通信,而是通過(guò)路由器或防火墻訪問(wèn)它們。
VLAN創(chuàng)建獨(dú)立的網(wǎng)絡(luò)域,覆蓋公共物理網(wǎng)絡(luò)之上的多個(gè)邏輯LAN。網(wǎng)絡(luò)團(tuán)隊(duì)可以通過(guò)以下方式使用VLAN來(lái)隔離流量:
- 針對(duì)不同部門;
- 針對(duì)不同類別的設(shè)備,例如IP電話VoIP流量;
- 活著 針對(duì)不同的安全域,例如用于與網(wǎng)絡(luò)管理相關(guān)的流量的VLAN。
通過(guò)打破網(wǎng)絡(luò)使用和網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間的緊密耦合,VLAN為SD-LAN鋪平了道路。
SD-LAN
VLAN是2層網(wǎng)絡(luò)機(jī)制,它完全體現(xiàn)在以太網(wǎng)幀頭中并部署在交換機(jī)端口級(jí)別。SD-LAN更進(jìn)一步,它不僅僅依賴于以太網(wǎng)或其他2層網(wǎng)絡(luò)協(xié)議,而是將LAN完全虛擬化,從而將策略控制從交換機(jī)上解除,只留下強(qiáng)制執(zhí)行。
完全實(shí)現(xiàn)的SD-LAN系統(tǒng)著眼于2層網(wǎng)絡(luò)之外的標(biāo)準(zhǔn),以做出有關(guān)訪問(wèn)和可視性的決策。例如,它應(yīng)該考慮用戶、進(jìn)程、程序和設(shè)備身份。它還可能會(huì)考慮IP地址、設(shè)備位置甚至一天中的時(shí)間。無(wú)論系統(tǒng)支持哪種因素,網(wǎng)絡(luò)工程師都可以使用它們來(lái)定義管理對(duì)數(shù)據(jù)網(wǎng)絡(luò)的訪問(wèn),以及網(wǎng)絡(luò)節(jié)點(diǎn)允許活動(dòng)范圍的策略。
零信任、SDP和SD-LAN
目前SD-LAN最令人興奮的方面是它的實(shí)用程序-用于實(shí)現(xiàn)零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 架構(gòu)。通過(guò)全面的SD-LAN策略,可在園區(qū)網(wǎng)絡(luò)級(jí)別實(shí)施基本的零信任方法,以阻止除明確允許之外的所有內(nèi)容。也就是說(shuō),SD-LAN可以作為軟件定義邊界 (SDP) 的園區(qū)面。
在部署零信任策略后,SD-LAN默認(rèn)情況下會(huì)阻止大多數(shù)橫向網(wǎng)絡(luò)流量,例如筆記本電腦A與筆記本電腦B通信。這反過(guò)來(lái)又會(huì)阻止來(lái)自受感染的設(shè)備大量惡意軟件在環(huán)境中傳播。
以現(xiàn)在的經(jīng)典場(chǎng)景為例,攻擊者使用損壞的物聯(lián)網(wǎng)設(shè)備作為平臺(tái)攻擊工作站。而SD-LAN會(huì)阻止該過(guò)程。那些損壞的掛鐘或自動(dòng)售貨機(jī)只能看到它們的管理工作站并與之通信,而不是整個(gè)網(wǎng)段。如果攻擊中涉及的端口、協(xié)議或流量違反了管理連接的任何訪問(wèn)規(guī)則,他們甚至可能無(wú)法破壞該管理工作站。
SD-LAN的優(yōu)點(diǎn)
SD-LAN有很多優(yōu)點(diǎn)。在操作方面,帶有API的控制器的存在可幫助實(shí)現(xiàn)更廣泛和更有效的LAN操作自動(dòng)化。
改進(jìn)的管理意味著更好地發(fā)現(xiàn)、繪制和審核網(wǎng)絡(luò)當(dāng)前狀態(tài)的能力。例如,網(wǎng)絡(luò)團(tuán)隊(duì)可以跟蹤網(wǎng)絡(luò)上的內(nèi)容、每個(gè)實(shí)體的行為方式以及偏離政策的內(nèi)容。
而且,正如部署零信任所表明的那樣,SD-LAN能夠顯著地改善企業(yè)網(wǎng)絡(luò)的基本安全狀況。即使企業(yè)沒(méi)有完全部署零信任,也可能實(shí)現(xiàn)顯著的改進(jìn)。
SD-LAN的挑戰(zhàn)
SD-LAN也面臨很多挑戰(zhàn)。其中一些挑戰(zhàn)包括:
- 利用現(xiàn)有基礎(chǔ)設(shè)施部署SD-LAN的能力;
- 升級(jí)任何無(wú)法正確整合的東西的費(fèi)用;
- 以及 讓員工有時(shí)間重新開(kāi)發(fā)核心技能并利用SD-LAN的所有潛能。
而且,與更通用的零信任策略一樣,當(dāng)在園區(qū)網(wǎng)絡(luò)中實(shí)現(xiàn)ZTNA時(shí),大多數(shù)企業(yè)面臨的主要挑戰(zhàn)是了解要部署哪些策略——什么需要與什么通信。
隨著企業(yè)開(kāi)始廣泛轉(zhuǎn)向更高的網(wǎng)絡(luò)自動(dòng)化和更嚴(yán)格的安全性,SD-LAN將成為推進(jìn)企業(yè)目標(biāo)的越來(lái)越重要的工具。