带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第一章思科全数字化网络架构和软件定义访问简介1.2(一)-阿里云开发者社区

开发者社区> 人民邮电出版社> 正文

带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第一章思科全数字化网络架构和软件定义访问简介1.2(一)

简介: 《思科软件定义访问 : 实现基于业务意图的园区网络》第一章思科全数字化网络架构和软件定义访问简介1.2
+关注继续查看

1.2    传统网络面临的挑战

 

在本节中,我们将在许多常见用例的背景下探讨现代网络所面临的挑战,具体如下。

 

1.  网络设计部署

·实现的复杂性。  

·  无线网络的注意事项。

 

2.   服务部署

·   网络分段。

·   访问控制策略。

·  用户和设备的上线和管理。

 

3.   网络运维

·   解决问题缓慢。

 

1.2.1         网络设计部署面临的挑战

 

1.  设计实施的复杂性

随着时间的推移,网络运营者必须通过采用新的功能和设计方法来适应新的网络服务,但都要基于传统网络的基础结构。此外,必须不断优化网络以获得高可用性,支持新的应用,从而产生网络“雪花”效应——世界上没有完全相同的两片雪花。尽管这可能满足网络    功能的目标,但也使网络变得复杂而难以理解,须进行故障排除、预测和升级。

一个部署缓慢的网络将大大阻碍企业快速创新的能力和采用诸如视频、协作和连接工作场所等新技术的进程。如果网络的变化和适应速度很慢,采用上述任何一种创新能力都会受到阻碍。事实证明,IT     很难对“雪花”网络设计及其潜在变体进行自动化,这限制了在当今网络中为了提高企业的运营效率而采用自动化的能力。太多的网络变体和组合使得采用新的功能和服务具有挑战性。

2.   集成无线网络服务

目前部署无线网络的主要挑战之一是不容易实现网络分段。虽然无线局域网可以利用多个 SSID来进行无线空中接口的流量分离,但是受限于可以部署的数量,并且 SSID最终会在无线控制器上映射回 VLAN。无线控制器本身没有 VRF或者三层网络分段的概念,所以部署真正的融合有线和无线网络的虚拟化解决方案非常具有挑战性。因此,传统的无线网络需要

单独管理,难以进行网络分段。

 

1.2.2         提供网络服务面临的挑战

 

1.  网络分段

让我们来看看目前可用的一些选项及其创建网络分段时面临的挑战。

(1)  虚拟局域网。

最简单的网络分段形式是基于   VLAN。你可能还不习惯将其视为网络分段技术,但这就是 VLAN的用途之一:将网络在二层域分段。通过将用户和设备放置在不同的VLAN中,我们可以在三层网络边界上对它们之间的通信强制执行控制。对于无线网络,不同的 SSID可能用于分离空中接口的流量,但随后这些流量被映射到有线侧的 VLAN

使用 VLAN作为网络分段方法的挑战来自于两个方面:它们的跨度以及随之而来的拓扑相关性问题。就跨度而言,大多数企业选择将单个 VLAN限制在相对较小的区域(例如限于一个配线间)。因此,许多企业最终在典型的网络部署中需要管理成百上千个 VLAN,从而使IP地址规划变得无比复杂,以至于极其难以部署和管理。

使用 VLAN进行网络分段的主要挑战:

① 在冗余网络设计中,跨越范围广泛的VLAN容易受到二层环路的影响;

② 大型二层网络的设计非常低效(通常有50%的端口处于阻塞状态);

③ 不受控制的二层环路可能随时产生,大型二层网络设计面临极大的崩溃风险;

④        VLAN内部通信流量进行过滤的机制通常比在三层网络边界上可用的机制要有限得多。

VLAN    确实是很简单的网络分段方法,但在现有网络的情况下,简单也许不是最好的解决方案——一个扁平的二层网络设计将企业暴露在可能会造成网络中断的许多潜在事件中,此外,管理数以百计的 VLAN对于大多数企业来说也是一项令人生畏的任务。

(2) VRF-Lite与 VRF

网络分段的另一种方法是利用三层技术,通过使用虚拟路由转发VRF)来分段网络。这有利于在不需要构建大型复杂的访问控制列表来控制通信流的情况下提供网络分段,因为不同 VRF之间的通信只能在网络管理者规定的网络拓扑上流动(通常是通过路由泄露或通过防火墙。通过 VRF方法进行网络分段面临的挑战:

①   VRF在设备之间使用802.1q中继,这在有限的几个设备上实现时相对简单,但在需要更大的实施范围时就会变得非常烦琐;

② 需要为每个VRF提供单独的路由协议进程,从而增加了CPU负载和复杂性;

③ 典型的经验法则是VRF部署不应超过10个VRF,否则它将变得极其不灵活,无法在更大范围的企业中实现端到端部署。

(3)  VRF结合使用 MPLSVPN

MPLSVPN具有陡峭的学习曲线和相对较高的学习成本,因为它们要求网络管理者熟悉许多新的 MPLS特定功能,包括用于标签分发的 LDP,以及多协议 BGP作为控制平面。此外,当出现问题时,网络管理者需要了解如何调试启用了MPLS的网络。

使用 MPLSVPN进行网络分段的挑战:

① MPLSVPN的扩展性要比VRF好得多,但对于许多网络管理人员来说,MPLS往往过于复杂,尤其是在端到端的网络部署中;

② 并不是所有的网络平台都支持MPLSVPN。

尽管网络具备 VRF的能力已经超过 10年,但是只有很小比例的企业部署了以VRF实现的任何形式的网络分段。这是为什么呢?一言以蔽之,它过于复杂了。

2.   访问控制策略

策略是一个抽象的词汇,对不同的人意味着不同的含义。但是,在网络环境下,每个企业都有其实施的多个策略。在交换机上使用访问控制列表ACL)或防火墙上的安全规则集是安全策略;使用   QoS   将流量分类到不同的类别中并使用队列为应用程序区分优先级是服务质量策略;根据用户角色将终端设备放置到单独的VLAN中是设备级访问控制策略。

今天的网络管理者通常使用几组常用的策略工具:VLAN、子网和访问控制列表。

(1) 是否向网络中添加语音应用?这意味着要创建一组新的语音VLAN    和相关的子网。

(2)  是否添加物联网设备——例如,门锁、身份标识阅读器之类的设备?使用更多的VLAN和子网。 

(3)  添加 IP摄像机和流式视频终端,还是需要更多的 VLAN和子网。

这就是如今的企业网络中存在数以百计甚至上千的 VLAN和子网的原因。设计和维护的复杂程度显而易见,因为这些VLAN的存在,你还需要进一步维护众多的DHCP作用域,甚至需要额外使用 IP地址管理工具来完成随之而来对跨越所有 VLAN和相关功能的大型 IP  地址空间的管理维护工作。

如今,面对众多的内部和外部威胁,网络的安全性十分重要。这使我们有必要在网络设备(包括交换机、路由器和防火墙)上配置和持续维护大规模的访问控制列表,网络三层边界是其最常见的部署位置。目前用于策略管理的传统方法(在设备和防火墙上大规模配置复杂的 ACL)很难实现和维护。

3.  用户和客户端设备上线和管理

无论选择哪种解决方案,是基于二层还是三层进行网络设计,是否采用网络分段方法,用户和设备接入网络总是存在这样或那样的问题。

即使采用将 VLAN或子网静态对应到有线端口或无线SSID这样简单的方法,也存在如下一些常见的难题。

(1)  这种方法本身并不提供真正的安全性,因为任何连接到该端口或 SSID的用户都与其在网络中的“角色”相关联。

(2) 无论是在第一跳的交换机,还是在 10跳以外的防火墙,该用户的 IP地址都将被检查并强制执行相应的安全策略。本质上,IP   地址最终被用作用户身份的代理。然而,这一方法很难扩展和管理。

使用 802.1x或其他身份验证方法动态分配VLAN/子网,也存在一些常见的难题。

(1)  虽然使用 802.1x在无线网络部署中很常见,但在有线网络中并不常见。

(2)  许多问题阻碍了部署 802.1x解决方案,例如,终端设备对802.1x的支持程度、终端设备上的 802.1x配置设置、在设备上基于角色动态切换 VLAN/子网、网络设备对于802.1x的支持程度和网络设备上的相关功能特性差异等。

一旦确认了用户 /设备的身份,它如何能在网络中进行端到端的承载和处理?IP数据报头中没有用于对此用户/设备进行映射的位置,因此,只能使用IP地址作为身份代理。但是,

这会导致用户 /设备子网的激增,以及复杂性的问题。大多数企业都希望建立用户/设备标识并将其用于端到端的策略。然而,许多 IT人员最终不得不承认,这是一项极其艰巨的任务。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
驻云携手阿里云SaaS加速器,为企业提供数字化转型服务
2020年5月28日,驻云宣布与阿里云智能深化战略合作,成为阿里云SaaS加速器伙伴。驻云将以DataFlux为基础,为更广泛的行业和企业提供完整的数字化转型解决方案和服务。
898 0
Java包及访问控制权限--包的定义和导入---package
<h1>1、包的定义</h1> <div> <img src="http://img.blog.csdn.net/20131010083059390" alt=""><br> </div> <div> <img src="http://img.blog.csdn.net/20131010083243359" alt=""><br> </div> <div>其中:  <strong>.
1851 0
这些能力是在直播软件开发公司做产品所必备的能力
这些能力是在直播软件开发公司做产品所必备的能力
459 0
制造业全链数字化业务转型实践| 阿里云Lindorm与Intel、OSIsoft共建IT & OT超融合工业数据云
近日,阿里云Lindorm与Intel、OSIsoft推出了面向工业物联网信息经济(Infonomics)的IT & OT超融合工业数据云解决方案。方案通过云端打通阿里云、Intel的IT技术积累和OSIsoft的OT经验能力,实现对传统技术供需关系的超越,打造数据链和价值链混搭方式连接企业和供应商的开放、安全、共享的制造业数据云社区生态。
6644 0
葛洲坝集团联手阿里云打造数据中台 数字化驱动业务创新
7月11日,在阿里云武汉城市峰会上,大型央企葛洲坝集团首次对外展示数据中台的建设成果,通过基于阿里云中台、大数据、IoT物联网等技术打造的数据中台,数字化管理多元业务,提升运营效率,并进行业务创新。
5175 0
【氚云】徐平俊:缩短业务和数字化距离,实现业务数字原生 行业知识讨论
10月15日,由钛媒体与IT Value共同主办的第十三届全球数字价值峰会正式拉开帷幕。作为目前国内历史最久、影响最大的数字经济企业级峰会,本届峰会吸引了百位头部企业数字化决策者参与,被称为数字化行业风向标。
14 0
如何判断你是个牛×黑客:使用C#加密攻击载荷来绕过杀毒软件
本文讲的是如何判断你是个牛×黑客:使用C#加密攻击载荷来绕过杀毒软件,衡量一个成功黑客和一款牛×的恶意攻击软件的重要指标之一,就是看其能否绕过所有的杀毒软件。 不过万事万物都是个矛盾体,因为一旦一种很牛×的绕过技术被公之于众,那杀毒软件的公司就会对这种技术进行分析并找到应对之策。
1906 0
能在电脑桌面提醒待办事项的日程安排管理软件
很多上班族越来越习惯找寻一款桌面日程安排软件来管理待办日程、提醒任务事项,常见的比如win7系统的便笺、win10系统的便利贴等。
3280 0
472
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载