软件定义LAN对园区虚拟化意味着什么

日期: 2022-06-03 作者:John Burke翻译:邹铮 来源:TechTarget中国 英文

软件定义LAN,或SD-LAN,其实就是将软件定义的网络原理应用于非数据中心LAN。

这些原则包括分离网络的逻辑控制(管理什么与什么通信的策略规范)与数据包的实际处理。在实践中,这意味着控制平面(在虚拟机或云中运行的管理平台)指导网络活动或转发数据平面,主要是物理和虚拟交换机。通常,控制平面具有API,可启用自动化以编程方式控制网络策略。

逻辑平面和数据平面的分离以令人兴奋的新方式支持LAN虚拟化。不过,重要的是要记住,这不是IT部门第一次对LAN进行虚拟化。

SD-LAN之前:虚拟LAN

虚拟LAN (VLAN) 已经存在了几十年,并且一直以来主要用于园区LAN中。网络工程师长期以来一直在部署VLAN以在2层网络对网络进行分段。例如,通过一个VLAN上的端口连接的系统不能直接与其他VLAN上的端口通信,而是通过路由器或防火墙访问它们。

VLAN创建独立的网络域,覆盖公共物理网络之上的多个逻辑LAN。网络团队可以通过以下方式使用VLAN来隔离流量:

  • 针对不同部门;
  • 针对不同类别的设备,例如IP电话VoIP流量;活着
  • 针对不同的安全域,例如用于与网络管理相关的流量的VLAN。

通过打破网络使用和网络基础设施之间的紧密耦合,VLAN为SD-LAN铺平了道路。

SD-LAN

VLAN是2层网络机制,它完全体现在以太网帧头中并部署在交换机端口级别。SD-LAN更进一步,它不仅仅依赖于以太网或其他2层网络协议,而是将LAN完全虚拟化,从而将策略控制从交换机上解除,只留下强制执行。

完全实现的SD-LAN系统着眼于2层网络之外的标准,以做出有关访问和可视性的决策。例如,它应该考虑用户、进程、程序和设备身份。它还可能会考虑IP地址、设备位置甚至一天中的时间。无论系统支持哪种因素,网络工程师都可以使用它们来定义管理对数据网络的访问,以及网络节点允许活动范围的策略。

零信任、SDPSD-LAN

目前SD-LAN最令人兴奋的方面是它的实用程序-用于实现零信任网络访问 (ZTNA) 架构。通过全面的SD-LAN策略,可在园区网络级别实施基本的零信任方法,以阻止除明确允许之外的所有内容。也就是说,SD-LAN可以作为软件定义边界 (SDP) 的园区面。

在部署零信任策略后,SD-LAN默认情况下会阻止大多数横向网络流量,例如笔记本电脑A与笔记本电脑B通信。这反过来又会阻止来自受感染的设备大量恶意软件在环境中传播。

以现在的经典场景为例,攻击者使用损坏的物联网设备作为平台攻击工作站。而SD-LAN会阻止该过程。那些损坏的挂钟或自动售货机只能看到它们的管理工作站并与之通信,而不是整个网段。如果攻击中涉及的端口、协议或流量违反了管理连接的任何访问规则,他们甚至可能无法破坏该管理工作站。

SD-LAN的优点

SD-LAN有很多优点。在操作方面,带有API的控制器的存在可帮助实现更广泛和更有效的LAN操作自动化。

改进的管理意味着更好地发现、绘制和审核网络当前状态的能力。例如,网络团队可以跟踪网络上的内容、每个实体的行为方式以及偏离政策的内容。

而且,正如部署零信任所表明的那样,SD-LAN能够显著地改善企业网络的基本安全状况。即使企业没有完全部署零信任,也可能实现显着的改进。

SD-LAN的挑战

SD-LAN也面临很多挑战。其中一些挑战包括:

  • 利用现有基础设施部署SD-LAN的能力;
  • 升级任何无法正确整合的东西的费用;以及
  • 让员工有时间重新开发核心技能并利用SD-LAN的所有潜能。

而且,与更通用的零信任策略一样,当在园区网络中实现ZTNA时,大多数企业面临的主要挑战是了解要部署哪些策略——什么需要与什么通信。

随着企业开始广泛转向更高的网络自动化和更严格的安全性,SD-LAN将成为推进企业目标的越来越重要的工具。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 思科推出Catalyst、Nexus交换机的云管理

    思科将Nexus数据中心和Catalyst园区交换机添加到其不断增长的基于云的管理选项组合中,并推出AppDy […]

  • 思科为ThousandEyes添加自动化测试

    思科为其ThousandEyes互联网智能平台发布了两项更新,以提高视频会议连接质量并简化故障排除。 据思科称 […]

  • 6种企业网络拓扑

    没有两个网络的设计和构建是相同的。一家企业的网络部署目标可能与另一家企业截然不同。网络专业人员需要根据业务目标 […]

  • 7种类型的网络及其用例

    计算机网络是一个互连的设备系统,表示为网络节点,它们彼此共享信息、数据和资源。 根据网络类型,设备可以像计算机 […]