园区网络虚拟化无论规模如何或有什么安全需求,企业现在都能在单一物理网络上,受益于支持多个封闭用户组的虚拟化园区网络综述随着对园区网络络的需求日益益复杂,可扩扩展解决方案案也越来越需需要将多个网网络用户组进进行逻辑分区区网络虚拟拟化提供了多多个解决方案案,能在保持持现有园区设设计的高可用用性、可管理理性、安全性性和可扩展性性优势的同时时,实现服务务和安全策略略的集中为为达到出色效效果,这些解解决方案必须须包括网络虚虚拟化的三个个主要方面::访问控制、路路径隔离和服服务边缘通通过实施这些些解决方案,网网络虚拟化即即能与思科系系统公司®的的服务导向网网络架构(SSONA)相相结合,为迁迁移到智能化化信息网络的的企业创建一一个强大的框框架SONA网络利利用NAC和和IEEE 802.11x协议提供供身份识别服服务,从而实实现最优访问问控制在用用户获准接入入网络后,三三个路径隔离离解决方案——GRE隧道道、VRF--lite和和MPLS VPN—能能在保留当前前园区网设计计优势的同时时,在现有局局域网上叠加加分区机制,将将网络划分为为安全、虚拟拟的网络这这些解决方案案解决了与分分布部署服务务和安全策略略相关的问题题。
最后,共共享服务和安安全策略实施施的集中化,大大大减少了在在园区网中维维护不同群组组的安全策略略和服务所需需的资本和运运营开支这这种集中化有有助于在园区区中实施一致致的策略挑战园区网络的设计计建议一直缺缺乏一种对网网络流量分区区,以便为封封闭用户组提提供安全独立立环境的方式式(表1)有有许多因素都都在推动对于于创建封闭用用户组的需要要,包括: · 企业中存在不同同级别的访问问权限:几乎乎每个企业都都需要解决方方案来为客户户、厂商、合合作伙伴以及及园区局域网网上的员工授授予不同的访访问级别 · 法规遵从性:部部分企业受法法律或规定的的要求,必须须对较大的机机构进行分区区例如,在在金融公司中中,银行业务务必须与证券券交易业务分分开 · 过大的企业需要要简化网络::对于非常大大型的园区网网络,如机场场、医院或大大学来说,过过去,为保证证不同用户组组或部门间的的安全性,就就必须构建和和管理不同的的物理网络,这这种做法既昂昂贵又难以管管理 · 网络整合:在合合并和收购时时,通常需要要迅速集成所所收购公司的的网络 · 外包:随着外包包和离岸外包包的普及,子子承包商必须须证明各客户户的信息间完完全隔离。
尤尤其当一家承承包商服务于于相互竞争的的公司时,这这尤为重要 · 提供网络服务的的企业:零售售连锁公司为为其他公司支支持售货亭或或为加油站提提供互联网接接入;同样,服服务于多家航航空公司和零零售商的机场场能使用单一一网络来提供供隔离服务和和共享服务 表1. 不同垂垂直行业中网网络分区的应应用示例垂直行业网络虚拟化应用用示例制造业生产工厂(自动动装置,生产产环境自动化化等),管理理,销售,视视频监视 金融业交易大厅,管理理,合并政府支持不同部门的的共同建筑物物和设施在在部分国家,法法律要求这些些部门采用不不同网络医疗总体趋势是在进进行治疗的同同时提供宾馆馆式服务须须隔离医护人人员、核磁共共振成像(MMRI)和其其他技术设备备、病人互联联网接入,以以及为病人提提供的广播和和电视等媒体体服务 商业智能楼宇::多企业园区区不同部门共享部部分资源多多个公司位于于同一园区,其其中不同建筑筑物分属不同同部门,但全全使用相同的的核心和互联联网接入机制制园区所有有者管理建筑筑物自动化体体系,覆盖所所有建筑物零售售货亭,分支机机构中的公共共无线局域网网,RF识别别,WLANN设备(例如如,不支持任任何WLANN安全特性的的较早的WLLAN条码阅阅读器)。
教育学生、教授、管管理人员和外外部研究团队队间需要隔离离此外,分分布于多个建建筑物的各院院系可能需要要访问各自的的服务器区域域而某些资资源(例如互互联网、电子子邮件和新闻闻)可能需要要共享或通过过一个服务区区访问此外外,建筑物自自动化体系也也必须分开园区局域网的发发展网络虚拟化—允允许多个用户户组访问同一一物理网络,但但从逻辑上对对它们进行一一定程度的隔隔离,以便它它们无法查看看其他组—这这是多年来网网络经理面临临的挑战在在上世纪900年代,L22交换是园区区局域网的标标志性特征,虚虚拟局域网((VLAN))是在一个通通用基础设施施中将局域网网划分为不同同工作组的标标准此解决决方案安全高高效,但无法法很好地扩展展,而且随着着园区局域网网的发展,其其管理也非易易事核心和分布层中中L3交换的的出现,在VVLAN方式式的基础上对对可扩展性、性性能和故障排排除进行了优优化过去几几年中,所构构建的基于LL3的园区网网络已经证实实,它们便于于扩展、功能能强大,具有有高性能但但在网络分区区和封闭用户户组方面,LL3园区方式式有着重大缺缺陷和限制在在此情况下,添添加封闭用户户组即意味着着增加成本和和复杂度。
解决方案:网络络虚拟化因此我们需要一一个便于扩展展的解决方案案,来保持用用户组完全隔隔离,实现服服务和安全策策略的集中,并并保留园区网网设计的高可可用性、安全全性和可扩展展性优势为为支持此解决决方案,网络络设计必须高高效地解决以以下问题: · 访问控制:确保保能识别合法法用户和设备备,对其分类类,并允许其其接入获得访访问授权的网网络部分 · 路径隔离:确保保各用户或设设备都能高效效地分配到正正确、安全的的可用资源集集—即正确的的VPN · 服务边缘:确保保合法的用户户和设备能访访问相应的正正确服务,并并集中实施策策略 思科®解决方案案能通过几个个方式实现网网络虚拟化虚虚拟化技术使使单一物理设设备或资源能能作为它自己己的多个物理理版本,在网网络中共享网网络虚拟化是是思科SONNA框架的一一个重要组件件思科SOONA使用虚虚拟化技术来来改进服务器器和存储局域域网(SANN)等网络资资产的使用例例如,一个物物理防火墙能能配置为执行行多个虚拟防防火墙的功能能,帮助企业业优化资源和和安全投资其其他虚拟化战战略包括集中中策略管理、负负载均衡和动动态分配等虚虚拟化能提高高灵活性和网网络效率,降降低资本和运运营开支。
访问控制:身份份验证和接入入层安全接入层安全对于于保护园区局局域网免遭外外部威胁十分分重要通过过在威胁进入入园区前即采采取防御措施施的特性,能能对思科网络络虚拟化解决决方案构成补补充IEEEE 8022.1X即是是这样一种技技术,它是端端口安全的标标准8022.1X在用用户及其相关关的VPN间间形成强大的的连接,防止止在未授权情情况下访问禁禁止接入的资资源另一种种补充技术是是思科网络准准入控制(NNAC)NNAC的职责责是在边缘防防御威胁,在在有害流量到到达分布层或或核心层前即即将其删除NNAC有助于于确保用户不不会使园区基基础设施遭受受到任何病毒毒、蠕虫等威威胁路径隔离:L33 VPN为支持园区网络络虚拟化,思思科提供了三三个非常适用用于典型园区区网络设计,并并混合使用了了L2和L33技术的解决决方案: · GRE隧道 · VRF-litte · MPLS VPPN GRE隧道GRE隧道为在在园区网络上上创建封闭用用户组提供了了一种相当简简单且高效的的方法GRRE隧道非常常适于作为托托管“访客”接接入的企业解解决方案,使使公司能为访访客或来访者者提供全球互互联网接入,而而又能防止这这些用户访问问内部资源。
在在图1中,GGRE隧道与与Ciscoo VRF--lite特特性共用,为为访客接入创创建了一个简简单、易于管管理的解决方方案图1. 结合使使用GRE隧隧道和VRFF-litee该解决方案的优优势包括: · 能跨越典型的多多层园区网络络(无需园区区级VLANN) · 访客用户流量与与其他公司局局域网流量隔隔离 · 所有访客流量的的进入点位于于中央位置,使使安全性和服服务质量(oS)策略略更易于管理理 · 甚至能通过广域域网扩展到分分支机构 在将GRE隧道道作为支持封封闭用户组的的解决方案时时,需要注意意的一个因素素是隧道本身身较难配置和和管理,因此此不建议解决决方案部署超超过两条隧道道此类网络络虚拟化适用用于需要星型型拓扑的场合合VRF-litteVRF-litte是一个思思科特性,通通常称为多VVRF客户边边缘,通过使使用单一路由由设备支持多多个虚拟路由由器,来提供供园区分区解解决方案VVRF-liite是MPPLS的轻量量版本利用VRF-llite,网网络经理能灵灵活地为任意意特定VPNN使用任意IIP地址空间间,而无论它它是否与其他他VPN的地地址空间重叠叠或冲突这这种灵活性在在很多场合都都非常实用。
例例如,当所收收购公司的网网络合并到一一个共享局域域网中,所收收购的网络能能作为独立VVPN进入基基础设施,几几乎或完全不不会干扰网络络上的日常业业务流程VRF-litte能用作端端到端解决方方案,如图22所示,也能能与另一解决决方案共用来来支持封闭用用户组,这将将在下一部分分中讨论总总体来说,VVRF-liite的可扩扩展性高于GGRE隧道,但但它最适用于于有四或五个个分区的网络络每次添加加用户组时,它它都需要人工工重配置,因因此相当耗费费劳力图2. VRFF作为端到端端解决方案部部署MPLS VPPN另一种为封闭用用户组进行园园区网络分区区的方法为基基于MPLSS的L3 VVPN和GGRE隧道与与VRF-llite一样样,MPLSS VPN提提供了一种安安全可靠的方方式,在通用用物理基础设设施上进行网网络逻辑分区区尽管电信运营商商使用MPLLS技术的时时间已有几年年,但因为局局域网交换机机上缺乏对MMPLS的支支持,它还未未在企业网络络中广泛部署署而不断改改变的业务需需求,以及相相应的新产品品面世,正帮帮助MPLSS成为园区基基础设施中的的重要技术随随着Ciscco Cattalystt® 65000系列提供供了对于MPPLS VPPN的支持,对对许多大型企企业来说,MMPLS技术术已拥有了廉廉宜价位。
MPLS VPPN具有本文文中讨论的其其他解决方案案的所有优势势(参见图33)此外,任任何MPLSS VPN都都能通过配置置,连接至用用户和位于网网络中任意地地点的资源,而而不会影响性性能或网络设设计相应地地,MPLSS VPN也也是三个思科科网络基础设设施虚拟化解解决方案中可可扩展性最高高的当添加加或改动用户户组时,无需需人工重配置置,这提高了了可扩展性,降降低了运营开开支当在网络边缘使使用VLANN,在园区的的路由部分使使用L3 VVPN时,保保留了层次化化园区网部署署的所有优势势,同时该解解决方案还能能在园区局域域网中实现端端到端、可扩扩展分区,并并支持集中的的安全特性和和服务和VVRF-liite一样,网网络定址灵活活性也是MPPLS VPPN的另一优优势图3. MPLLS VPNN支持任意到到任意连接统一接入提供灵灵活性这三个思科园区区网虚拟化解解决方案并不不限制用户使使用任何特定定的接入类型型尽管他们们在单一物理理网络基础设设施中工作,但但这些解决方方案能轻松地地支持移动用用户无论使使用的解决方方案是基于GGRE隧道、VVRF-liite还是MMPLS VVPN,用户户只要能接入入网络,就能能透明地与其其所属的封闭闭用户组相关关联。
虚拟化服务虚拟化网络服务务是思科网络络基础设施虚虚拟化解决方方案和SONNA的一个重重要组件,能能帮助企业高高效运营,从从而减少其网网络上使用的的设备数目思思科网络虚拟拟化解决方案案支持集中服服务,包括:: · 集中设备,如防防火墙和入侵侵检测系统((IDS) · 安全策略实施 · 流量监控、记帐帐和收费 · 共享的互联网和和广域网接入入 · 共享数据中心 这些集中服务大大大简化和强强化了安全策策略实施通通过确保每个个VPN使用用单一接入点点,多个VPPN能够共享享集中部署的的防火墙和入入侵检测设备备对不同VVPN通用的的大量其他服服务也能共享享,藉此大幅幅降低了提供供这些服务的的资本和运营营开支VPN支持安全全功能的集中中,这一点很很重要,因为为在中央地点点实施安全策策略能够简化化管理和缩减减运营开支它它还能共享安安全设备,如如用于Cissco Caatalysst 65000系列交换换机的思科防防火墙服务模模块,它具有有VPN感知知特性,且能能在一个设备备上并发提供供数百个虚拟拟防火墙利利用能感知VVPN的虚拟拟防火墙,每每个用户组都都能在各自的的虚拟防火墙墙上实施自己己的策略,而而企业只需拥拥有和维护一一个防火墙设设备,从而降降低了总体拥拥有成本。
总结在当今不断发展展的网络环境境中,典型的的园区网络设设计混合使用用部署于网络络边缘(接入入层)的交换换(L2)技技术和部署于于网络核心(分分布层和核心心层)的路由由(L3)技技术因此,通通过VLANN即能在网络络接入层(LL2)实现网网络虚拟化,通通过GRE隧隧道、VRFF-litee和基于MPPLS的L33 VPN,即即能在网络核核心(L3)实实现网络虚拟拟化,对路由由域分区,从从而支持可扩扩展端到端虚虚拟化凭借思科园区网网络虚拟化解解决方案(参参见图4),企企业能在单一一物理基础设设施上部署多多个封闭用户户组,并在整整个园区局域域网中保持高高标准的安全全性、可扩展展性、可管理理性和可用性性凭借其虚虚拟化特性和和对于集中服服务的支持,这这些解决方案案成为了思科科SONA框框架的重要组组件范围广广泛的Cissco Caatalysst交换机能能帮助部署了了此框架的企企业更好、更更高效地利用用网络资产,即即使对设备、系系统、服务和和应用的需求求有所增长,也也能实现成本本节约图4. 全面的的网络虚拟化化解决方案。