1.2 传统网络面临的挑战
在本节中,我们将在许多常见用例的背景下探讨现代网络所面临的挑战,具体如下。
1. 网络设计部署
·实现的复杂性。
· 无线网络的注意事项。
2. 服务部署
· 网络分段。
· 访问控制策略。
· 用户和设备的上线和管理。
3. 网络运维
· 解决问题缓慢。
1.2.1 网络设计部署面临的挑战
1. 设计实施的复杂性
随着时间的推移,网络运营者必须通过采用新的功能和设计方法来适应新的网络服务,但都要基于传统网络的基础结构。此外,必须不断优化网络以获得高可用性,支持新的应用,从而产生网络“雪花”效应——世界上没有完全相同的两片雪花。尽管这可能满足网络 功能的目标,但也使网络变得复杂而难以理解,须进行故障排除、预测和升级。
一个部署缓慢的网络将大大阻碍企业快速创新的能力和采用诸如视频、协作和连接工作场所等新技术的进程。如果网络的变化和适应速度很慢,采用上述任何一种创新能力都会受到阻碍。事实证明,IT 很难对“雪花”网络设计及其潜在变体进行自动化,这限制了在当今网络中为了提高企业的运营效率而采用自动化的能力。太多的网络变体和组合使得采用新的功能和服务具有挑战性。
2. 集成无线网络服务
目前部署无线网络的主要挑战之一是不容易实现网络分段。虽然无线局域网可以利用多个 SSID来进行无线空中接口的流量分离,但是受限于可以部署的数量,并且 SSID最终会在无线控制器上映射回 VLAN。无线控制器本身没有 VRF或者三层网络分段的概念,所以部署真正的融合有线和无线网络的虚拟化解决方案非常具有挑战性。因此,传统的无线网络需要
单独管理,难以进行网络分段。
1.2.2 提供网络服务面临的挑战
1. 网络分段
让我们来看看目前可用的一些选项及其创建网络分段时面临的挑战。
(1) 虚拟局域网。
最简单的网络分段形式是基于 VLAN。你可能还不习惯将其视为网络分段技术,但这就是 VLAN的用途之一:将网络在二层域分段。通过将用户和设备放置在不同的VLAN中,我们可以在三层网络边界上对它们之间的通信强制执行控制。对于无线网络,不同的 SSID可能用于分离空中接口的流量,但随后这些流量被映射到有线侧的 VLAN。
使用 VLAN作为网络分段方法的挑战来自于两个方面:它们的跨度以及随之而来的拓扑相关性问题。就跨度而言,大多数企业选择将单个 VLAN限制在相对较小的区域(例如限于一个配线间)。因此,许多企业最终在典型的网络部署中需要管理成百上千个 VLAN,从而使IP地址规划变得无比复杂,以至于极其难以部署和管理。
使用 VLAN进行网络分段的主要挑战:
① 在冗余网络设计中,跨越范围广泛的VLAN容易受到二层环路的影响;
② 大型二层网络的设计非常低效(通常有50%的端口处于阻塞状态);
③ 不受控制的二层环路可能随时产生,大型二层网络设计面临极大的崩溃风险;
④ 对VLAN内部通信流量进行过滤的机制通常比在三层网络边界上可用的机制要有限得多。
VLAN 确实是很简单的网络分段方法,但在现有网络的情况下,简单也许不是最好的解决方案——一个扁平的二层网络设计将企业暴露在可能会造成网络中断的许多潜在事件中,此外,管理数以百计的 VLAN对于大多数企业来说也是一项令人生畏的任务。
(2) VRF-Lite与 VRF。
网络分段的另一种方法是利用三层技术,通过使用虚拟路由转发(VRF)来分段网络。这有利于在不需要构建大型复杂的访问控制列表来控制通信流的情况下提供网络分段,因为不同 VRF之间的通信只能在网络管理者规定的网络拓扑上流动(通常是通过路由泄露或通过防火墙)。通过 VRF方法进行网络分段面临的挑战:
① VRF在设备之间使用802.1q中继,这在有限的几个设备上实现时相对简单,但在需要更大的实施范围时就会变得非常烦琐;
② 需要为每个VRF提供单独的路由协议进程,从而增加了CPU负载和复杂性;
③ 典型的经验法则是VRF部署不应超过10个VRF,否则它将变得极其不灵活,无法在更大范围的企业中实现端到端部署。
(3) VRF结合使用 MPLSVPN。
MPLSVPN具有陡峭的学习曲线和相对较高的学习成本,因为它们要求网络管理者熟悉许多新的 MPLS特定功能,包括用于标签分发的 LDP,以及多协议 BGP作为控制平面。此外,当出现问题时,网络管理者需要了解如何调试启用了MPLS的网络。
使用 MPLSVPN进行网络分段的挑战:
① MPLSVPN的扩展性要比VRF好得多,但对于许多网络管理人员来说,MPLS往往过于复杂,尤其是在端到端的网络部署中;
② 并不是所有的网络平台都支持MPLSVPN。
尽管网络具备 VRF的能力已经超过 10年,但是只有很小比例的企业部署了以VRF实现的任何形式的网络分段。这是为什么呢?一言以蔽之,它过于复杂了。
2. 访问控制策略
策略是一个抽象的词汇,对不同的人意味着不同的含义。但是,在网络环境下,每个企业都有其实施的多个策略。在交换机上使用访问控制列表(ACL)或防火墙上的安全规则集是安全策略;使用 QoS 将流量分类到不同的类别中并使用队列为应用程序区分优先级是服务质量策略;根据用户角色将终端设备放置到单独的VLAN中是设备级访问控制策略。
今天的网络管理者通常使用几组常用的策略工具:VLAN、子网和访问控制列表。
(1) 是否向网络中添加语音应用?这意味着要创建一组新的语音VLAN 和相关的子网。
(2) 是否添加物联网设备——例如,门锁、身份标识阅读器之类的设备?使用更多的VLAN和子网。
(3) 添加 IP摄像机和流式视频终端,还是需要更多的 VLAN和子网。
这就是如今的企业网络中存在数以百计甚至上千的 VLAN和子网的原因。设计和维护的复杂程度显而易见,因为这些VLAN的存在,你还需要进一步维护众多的DHCP作用域,甚至需要额外使用 IP地址管理工具来完成随之而来对跨越所有 VLAN和相关功能的大型 IP 地址空间的管理维护工作。
如今,面对众多的内部和外部威胁,网络的安全性十分重要。这使我们有必要在网络设备(包括交换机、路由器和防火墙)上配置和持续维护大规模的访问控制列表,网络三层边界是其最常见的部署位置。目前用于策略管理的传统方法(在设备和防火墙上大规模配置复杂的 ACL)很难实现和维护。
3. 用户和客户端设备上线和管理
无论选择哪种解决方案,是基于二层还是三层进行网络设计,是否采用网络分段方法,用户和设备接入网络总是存在这样或那样的问题。
即使采用将 VLAN或子网静态对应到有线端口或无线SSID这样简单的方法,也存在如下一些常见的难题。
(1) 这种方法本身并不提供真正的安全性,因为任何连接到该端口或 SSID的用户都与其在网络中的“角色”相关联。
(2) 无论是在第一跳的交换机,还是在 10跳以外的防火墙,该用户的 IP地址都将被检查并强制执行相应的安全策略。本质上,IP 地址最终被用作用户身份的代理。然而,这一方法很难扩展和管理。
使用 802.1x或其他身份验证方法动态分配VLAN/子网,也存在一些常见的难题。
(1) 虽然使用 802.1x在无线网络部署中很常见,但在有线网络中并不常见。
(2) 许多问题阻碍了部署 802.1x解决方案,例如,终端设备对802.1x的支持程度、终端设备上的 802.1x配置设置、在设备上基于角色动态切换 VLAN/子网、网络设备对于802.1x的支持程度和网络设备上的相关功能特性差异等。
一旦确认了用户 /设备的身份,它如何能在网络中进行端到端的承载和处理?IP数据报头中没有用于对此用户/设备进行映射的位置,因此,只能使用IP地址作为身份代理。但是,
这会导致用户 /设备子网的激增,以及复杂性的问题。大多数企业都希望建立用户/设备标识并将其用于端到端的策略。然而,许多 IT人员最终不得不承认,这是一项极其艰巨的任务。
