淺談基于意圖的網(wǎng)絡(luò)(IBN)
在園區(qū)網(wǎng)絡(luò)中,有許多新興趨勢影響著未來網(wǎng)絡(luò)建模的方式,這些趨勢包括移動性、物聯(lián)網(wǎng)(IoT)以及跨有線和無線連接的統(tǒng)一安全性。
為了適應這些趨勢,需要一個網(wǎng)絡(luò)的新時代,使用基于意圖的網(wǎng)絡(luò),將基于策略的自動化從網(wǎng)絡(luò)邊緣遷移到公共和私有云。SD-Access就是一個例子。
基于意圖的網(wǎng)絡(luò)就是告訴控制器最終的目標,并允許基于控制器的網(wǎng)絡(luò)計算出低層設(shè)備和配置細節(jié)。這與通用分組無線業(yè)務(wù)(GPRS)的工作原理類似。用戶輸入目的地,軟件計算最佳路線,并考慮從用戶提取的參數(shù)。
基于意圖的網(wǎng)絡(luò)需要滿足從訪問控制到服務(wù)質(zhì)量(QoS)等多種要素。
1. 移動性
傳統(tǒng)的園區(qū)網(wǎng)絡(luò)過去只包括公司擁有的設(shè)備。相比之下,現(xiàn)在的網(wǎng)絡(luò)由一系列設(shè)備組成,例如自帶設(shè)備(BYOD)和智能可穿戴設(shè)備等等。
一般的用戶會將2.7臺設(shè)備帶到工作場所,因此需要訪問云端的公司系統(tǒng)以及私有數(shù)據(jù)中心的應用程序工作負載。現(xiàn)在,用戶需要在所有設(shè)備之間實現(xiàn)無縫移動,同時仍保持相同的安全性和訪問控制水平。
2. 物聯(lián)網(wǎng)
園區(qū)內(nèi)的企業(yè)物聯(lián)網(wǎng)包括在辦公樓內(nèi)可以找到的所有東西,目前面臨的挑戰(zhàn)是如何在這些設(shè)備之間實現(xiàn)不可穿透的安全措施。
過去12個月內(nèi)的大部分攻擊都涉及某種不安全的物聯(lián)網(wǎng)設(shè)備。通常情況下,該設(shè)備尚未由I.T部門管理或獲得,導致安全泄漏。在某些情況下,感染的物聯(lián)網(wǎng)設(shè)備可直接訪問互聯(lián)網(wǎng)或企業(yè)網(wǎng)絡(luò),從而導致惡意軟件和黑客行為。
最近被稱為fishbowl的公開攻擊引發(fā)了數(shù)據(jù)外泄事件。這種不安全的物聯(lián)網(wǎng)設(shè)備使得黑客從一個北美賭場中偷取了10G的數(shù)據(jù)。fishbowl上有一個傳感器用于監(jiān)測,參與者損害了傳感器在網(wǎng)絡(luò)中的橫向移動以訪問關(guān)鍵資產(chǎn)。記住,黑客并不需要豐富的資源,他們擁有易于使用的黑客工具,不斷尋找一切微小的漏洞滲透到網(wǎng)絡(luò)中。
3. 安全
在這個時代,大多數(shù)網(wǎng)絡(luò)都是融合的,沒有網(wǎng)絡(luò)可以100%安全,攻擊最終都會發(fā)生。你的網(wǎng)絡(luò)會受到影響只是時間問題。但是,通過分段網(wǎng)絡(luò),管理員可以限制攻擊半徑,分段可確保受感染的主機無法繼續(xù)向前擴散。
傳統(tǒng)分段
分段問題已存在多年。然而,考慮到今天的網(wǎng)絡(luò)需要支持移動性、物聯(lián)網(wǎng)以及有線和無線連接之間的統(tǒng)一安全性,傳統(tǒng)分段工具并不適用。
大多數(shù)網(wǎng)絡(luò)使用虛擬局域網(wǎng)(VLAN)進行分段。但是,VLAN以及其他協(xié)議(例如生成樹協(xié)議(STP))在設(shè)計時并未考慮到安全性。90年代創(chuàng)建了分段廣播域。每個VLAN都是一個單獨的廣播域,分隔的VLAN劃分廣播域。但是,隨著時間的推移,管理員轉(zhuǎn)而使用具有訪問控制的VLAN。
管理員會將VLAN與IP子網(wǎng)相關(guān)聯(lián),以實施子網(wǎng)控制。最終,隨著網(wǎng)絡(luò)規(guī)模的擴大,VLAN不能匹配擴大的規(guī)模。此外,基于IP地址的策略執(zhí)行僵化,缺乏靈活性。
另一個主要的問題是管理。網(wǎng)絡(luò)十分復雜,大多數(shù)網(wǎng)絡(luò)仍然是基于有限或無自動化的命令行界面(CLI),這帶來了嚴峻的挑戰(zhàn)。由于每個網(wǎng)絡(luò)都是獨特的,操作成為了一種負擔。廠商可以使用最先進的網(wǎng)絡(luò)分段技術(shù),但除非能夠通過單個按鈕輕松進行移除和部署,否則將不會被采用。
控制器分析引擎
如果希望基于控制器的架構(gòu)能夠在園區(qū)網(wǎng)絡(luò)中普及,則需要控制器完全自動化,監(jiān)控和故障排除的問題需要做到毫不費力。
問題是,我們正在使用Syslog、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)和Netflow等技術(shù)來執(zhí)行監(jiān)控和故障排除,這些是30年前創(chuàng)建的技術(shù),我們需要通過SNMP來監(jiān)控網(wǎng)絡(luò)。 SNMP采用pull模式運行,在中央處理器(CPU)的利用率等問題上面臨著很大的挑戰(zhàn)。
當今的網(wǎng)絡(luò)極其需要一個控制器大數(shù)據(jù)分析引擎,通過push模式進行操作,該模式可以積累和管理來自所有設(shè)備的數(shù)據(jù)。它可以提供洞察力,并預測事情的發(fā)展,實現(xiàn)網(wǎng)絡(luò)自愈。
前進之路 - 宏觀和微觀分段
VLAN是單一的平面層分段。考慮到今天的園區(qū)網(wǎng)絡(luò),我們需要將這個平面層模式變成兩層模式。這可以通過引入虛擬網(wǎng)絡(luò)(VN)來實現(xiàn),也稱為宏分段。
園區(qū)中的虛擬網(wǎng)絡(luò)類似于虛擬路由和轉(zhuǎn)發(fā)(VRF),VRF做的事情就是讓虛擬網(wǎng)絡(luò)在轉(zhuǎn)發(fā)層分段。定義如何進行分段需要基于不同組織的結(jié)構(gòu)和業(yè)務(wù)線。
根據(jù)定義,VN不能相互通信,任何交叉VN通信都應該通過有狀態(tài)的防火墻。狀態(tài)防火墻監(jiān)控活動連接的狀態(tài)以及穿越它的網(wǎng)絡(luò)連接的特性。虛擬可擴展LAN(VXLAN)用于創(chuàng)建宏分段(VN)。
安全組標簽可以提供微分段。我們進一步將微分段嵌入VN中,然后可以在微分段之間定義過濾器。
VXLAN中需要擴展,這就是所謂的VXLAN組策略選項(VXLAN-GPO)。這定義了在VXLAN頭中嵌入微分段標簽的方式。宏觀和微觀分段是數(shù)據(jù)平面的分段,下面來看看控制平面。
控制平面 - 定位器/ID分離協(xié)議(LISP)
由于數(shù)據(jù)平面轉(zhuǎn)發(fā)已經(jīng)處理完成,現(xiàn)在我們需要一個良好的控制計劃來在大型園區(qū)網(wǎng)絡(luò)中分發(fā)信息。
邊界網(wǎng)關(guān)協(xié)議(BGP)是分布式狀態(tài)協(xié)議。它在數(shù)據(jù)中心運行良好,但并沒有體現(xiàn)在園區(qū)網(wǎng)絡(luò)中,因為超過60%的網(wǎng)絡(luò)是無線的。用戶一直在從一個AP移動到另一個AP,從無線移動到有線網(wǎng)絡(luò)。結(jié)束主機的移動通常是使用/32來尋址的,但BGP并不擅長以這種方式處理頻繁的移動。
在這種情況下,LISP是完美結(jié)合控制和數(shù)據(jù)平面的最佳選擇。 LISP是一種與域名系統(tǒng)(DNS)類似的基于需求的協(xié)議,它帶來了基于IP地址并且是使用集中式控制平面的路由優(yōu)勢。
無線的進展
傳統(tǒng)上,無線技術(shù)是一種頂級網(wǎng)絡(luò),采用無線接入點(CAPWAP)的控制和配置。但是,無線技術(shù)需要使用VXLAN隧道以及從接入點開始的覆蓋。因此,需要使用VXLAN進行隧道傳輸,而不使用CAPWAP作為數(shù)據(jù)平面。
考慮到時間的需求,我們必須改變有線和無線工作方式。如果攜帶用戶組標簽信息,則無論用戶在AP還是有線交換機上,都必須以相同的方式攜帶它。標簽不應該基于進入網(wǎng)絡(luò)的媒介而改變。
有線和無線是進入網(wǎng)絡(luò)的不同方式,用戶本身不會改變,這被稱為基于身份的分段。用戶根據(jù)用戶分析功能進行識別。因此,一旦為用戶分配了標簽形式的配置文件,無論用戶的位置如何移動,該標簽仍然存在。
未來的挑戰(zhàn)
下一個重大挑戰(zhàn)是如何保護分布在所有園區(qū)網(wǎng)絡(luò)中的基于組的策略。安全需要跨越廣域網(wǎng)(WAN)擴展到公共、私有和多云場景。提供所有高級WAN功能(如路徑選擇和加密),同時仍能擴展一致的基于組的策略。
