2.4.3 网络分段
网络分段是一种将特定组的用户或设备与其他组分开以便实现安全、重叠的IP子网的方法或技术。在软件定义访问网络交换矩阵中,VXLAN 数据平面封装通过在报头中使用虚拟网络标识符(VNI)和可扩展组标签(SGT)字段提供网络分段。软件定义访问网络交换矩阵可以实现层次化的网络分段方法:网络宏分段和网络微分段。
软件定义访问网络分段的几个关键概念如下。
宏分段(如图 2-14所示):在逻辑上将网络拓扑划分为较小的虚拟网络,使用唯一的网络标识符和单独的转发表。
虚拟网络是软件定义访问网络交换矩阵中的逻辑网络实例,提供二层或三层服务并定义三层路由域。VXLANVNI用于提供二层和三层网络分段。
图 2-14网络宏分段和虚拟网络
微分段(如图 2-15所示):通过执行源到目标的访问控制权限在虚拟网络内部逻辑上分隔用户或设备组。这通常是对访问控制列表(ACL)进行的实例化,也称为访问控制策略。
可扩展组是分配给软件定义访问网络交换矩阵中的用户和 /或设备的“组”的逻辑对象ID,用作可扩展组访问控制列表(SGACL)中的源和目标的分类器。可扩展组标签用于提供与地址无关的基于组的策略。
图 2-15网络微分段和可扩展组
2.4.4 与无线局域网络深度融合
目前占据主流的传统的思科统一无线网络(CUWN)提供了一些与软件定义访问相类似的优点:
(1) 隧道叠加网络(通过 CAPWAP封装和独立控制平面实现);
(2) 一定程度的网络基础设施自动化(如无线接入点管理、配置管理等);
(3) 简化的无线用户或设备移动性(也称为客户端漫游);
(4) 集中式管理无线控制器(WLC)。但是 CUWN也进行了一些权衡和妥协:
(1) 只有无线用户才能从CAPWAP叠加网络中受益;
(2) 无线通信流量必须通过隧道到达集中式锚点,这对于许多应用程序来说可能不是最佳的转发路径。
软件定义访问对有线用户有以下独特的优点:
(1)有线用户可以从分布式交换数据平面提供的性能和可扩展性中受益;
(2)有线用户得益于高级 QoS 和创新服务,例如,可在交换机基础架构中使用加密通信流量分析(ETA)。
换言之,每个通信域(有线和无线)都有不同的优点。那么,什么是独特的软件定义访问无线网络?软件定义访问网络交换矩阵提供了分布式有线和集中式无线体系的最佳组合,为有线和无线用户提供通用的叠加平面服务。通过使用软件定义访问网络交换矩阵,客户可以在独立于访问媒体介质的情况下,为所有用户提供通用的策略和一致的体验。
