軟件定義LAN對園區虛擬化意味著什麼

2022.06.04
軟件定義LAN對園區虛擬化意味著什麼

邏輯平面和數據平面的分離以令人興奮的新方式支持LAN虛擬化。不過,重要的是要記住,這不是IT部門第一次對LAN進行虛擬化。

CASB和SASE:有什麼區別?

軟件定義LAN,或SD-LAN,其實就是將軟件定義的網絡原理應用於非數據中心LAN。

這些原則包括分離網絡的邏輯控制(管理什麼與什麼通信的策略規範)與數據包的實際處理。在實踐中,這意味著控制平面(在虛擬機或云中運行的管理平台)指導網絡活動或轉發數據平面,主要是物理和虛擬交換機。通常,控制平面具有API,可啟用自動化以編程方式控製網絡策略。

邏輯平面和數據平面的分離以令人興奮的新方式支持LAN虛擬化。不過,重要的是要記住,這不是IT部門第一次對LAN進行虛擬化。

在SD-LAN之前:虛擬LAN

虛擬LAN (VLAN) 已經存在了幾十年,並且一直以來主要用於園區LAN中。網絡工程師長期以來一直在部署VLAN以在2層網絡對網絡進行分段。例如,通過一個VLAN上的端口連接的系統不能直接與其他VLAN上的端口通信,而是通過路由器或防火牆訪問它們。

VLAN創建獨立的網絡域,覆蓋公共物理網絡之上的多個邏輯LAN。網絡團隊可以通過以下方式使用VLAN來隔離流量:

  • 針對不同部門;
  • 針對不同類別的設備,例如IP電話VoIP流量;
  • 活著針對不同的安全域,例如用於與網絡管理相關的流量的VLAN。

通過打破網絡使用和網絡基礎設施之間的緊密耦合,VLAN為SD-LAN鋪平了道路。

SD-LAN

VLAN是2層網絡機制,它完全體現在以太網幀頭中並部署在交換機端口級別。SD-LAN更進一步,它不僅僅依賴於以太網或其他2層網絡協議,而是將LAN完全虛擬化,從而將策略控制從交換機上解除,只留下強制執行。

完全實現的SD-LAN系統著眼於2層網絡之外的標準,以做出有關訪問和可視性的決策。例如,它應該考慮用戶、進程、程序和設備身份。它還可能會考慮IP地址、設備位置甚至一天中的時間。無論系統支持哪種因素,網絡工程師都可以使用它們來定義管理對數據網絡的訪問,以及網絡節點允許活動範圍的策略。

零信任、SDP和SD-LAN

目前SD-LAN最令人興奮的方面是它的實用程序-用於實現零信任網絡訪問(ZTNA) 架構。通過全面的SD-LAN策略,可在園區網絡級別實施基本的零信任方法,以阻止除明確允許之外的所有內容。也就是說,SD-LAN可以作為軟件定義邊界(SDP) 的園區面。

在部署零信任策略後,SD-LAN默認情況下會阻止大多數橫向網絡流量,例如筆記本電腦A與筆記本電腦B通信。這反過來又會阻止來自受感染的設備大量惡意軟件在環境中傳播。

以現在的經典場景為例,攻擊者使用損壞的物聯網設備作為平台攻擊工作站。而SD-LAN會阻止該過程。那些損壞的掛鐘或自動售貨機只能看到它們的管理工作站並與之通信,而不是整個網段。如果攻擊中涉及的端口、協議或流量違反了管理連接的任何訪問規則,他們甚至可能無法破壞該管理工作站。

SD-LAN的優點

SD-LAN有很多優點。在操作方面,帶有API的控制器的存在可幫助實現更廣泛和更有效的LAN操作自動化。

改進的管理意味著更好地發現、繪製和審核網絡當前狀態的能力。例如,網絡團隊可以跟踪網絡上的內容、每個實體的行為方式以及偏離政策的內容。

而且,正如部署零信任所表明的那樣,SD-LAN能夠顯著地改善企業網絡的基本安全狀況。即使企業沒有完全部署零信任,也可能實現顯著的改進。

SD-LAN的挑戰

SD-LAN也面臨很多挑戰。其中一些挑戰包括:

  • 利用現有基礎設施部署SD-LAN的能力;
  • 升級任何無法正確整合的東西的費用;
  • 以及讓員工有時間重新開發核心技能並利用SD-LAN的所有潛能。

而且,與更通用的零信任策略一樣,當在園區網絡中實現ZTNA時,大多數企業面臨的主要挑戰是了解要部署哪些策略——什麼需要與什麼通信。

隨著企業開始廣泛轉向更高的網絡自動化和更嚴格的安全性,SD-LAN將成為推進企業目標的越來越重要的工具。