交换

园区网络虚拟化

Downloads

无论规模如何或有什么安全需求,企业现在都能在单一物理网络上,受益于支持多个封闭用户组的虚拟化园区网络。

综述

随着对园区网络的需求日益复杂,可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。网络虚拟化提供了多个解决方案,能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时,实现服务和安全策略的集中。为达到出色效果,这些解决方案必须包括网络虚拟化的三个主要方面:访问控制、路径隔离和服务边缘。通过实施这些解决方案,网络虚拟化即能与思科系统公司®的服务导向网络架构(SONA)相结合,为迁移到智能化信息网络的企业创建一个强大的框架。

SONA网络利用NAC和IEEE 802.1x协议提供身份识别服务,从而实现最优访问控制。在用户获准接入网络后,三个路径隔离解决方案—GRE隧道、VRF-lite和MPLS VPN—能在保留当前园区网设计优势的同时,在现有局域网上叠加分区机制,将网络划分为安全、虚拟的网络。这些解决方案解决了与分布部署服务和安全策略相关的问题。最后,共享服务和安全策略实施的集中化,大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支。这种集中化有助于在园区中实施一致的策略。

挑战

园区网络的设计建议一直缺乏一种对网络流量分区,以便为封闭用户组提供安全独立环境的方式(表1)。有许多因素都在推动对于创建封闭用户组的需要,包括:

  • 企业中存在不同级别的访问权限:几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。
  • 法规遵从性:部分企业受法律或规定的要求,必须对较大的机构进行分区。例如,在金融公司中,银行业务必须与证券交易业务分开。
  • 过大的企业需要简化网络:对于非常大型的园区网络,如机场、医院或大学来说,过去,为保证不同用户组或部门间的安全性,就必须构建和管理不同的物理网络,这种做法既昂贵又难以管理。
  • 网络整合:在合并和收购时,通常需要迅速集成所收购公司的网络。
  • 外包:随着外包和离岸外包的普及,子承包商必须证明各客户的信息间完全隔离。尤其当一家承包商服务于相互竞争的公司时,这尤为重要。
  • 提供网络服务的企业:零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入;同样,服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。

表1. 不同垂直行业中网络分区的应用示例
垂直行业 网络虚拟化应用示例
制造业 生产工厂(自动装置,生产环境自动化等),管理,销售,视频监视。
金融业 交易大厅,管理,合并。
政府 支持不同部门的共同建筑物和设施。在部分国家,法律要求这些部门采用不同网络。
医疗 总体趋势是在进行治疗的同时提供宾馆式服务。须隔离医护人员、核磁共振成像(MRI)和其他技术设备、病人互联网接入,以及为病人提供的广播和电视等媒体服务。
商业智能楼宇:多企业园区 不同部门共享部分资源。多个公司位于同一园区,其中不同建筑物分属不同部门,但全使用相同的核心和互联网接入机制。园区所有者管理建筑物自动化体系,覆盖所有建筑物。
零售 售货亭,分支机构中的公共无线局域网,RF识别,WLAN设备(例如,不支持任何WLAN安全特性的较早的WLAN条码阅读器)。
教育 学生、教授、管理人员和外部研究团队间需要隔离。此外,分布于多个建筑物的各院系可能需要访问各自的服务器区域。而某些资源(例如互联网、电子邮件和新闻)可能需要共享或通过一个服务区访问。此外,建筑物自动化体系也必须分开。

园区局域网的发展

网络虚拟化—允许多个用户组访问同一物理网络,但从逻辑上对它们进行一定程度的隔离,以便它们无法查看其他组—这是多年来网络经理面临的挑战。在上世纪90年代,L2交换是园区局域网的标志性特征,虚拟局域网(VLAN)是在一个通用基础设施中将局域网划分为不同工作组的标准。此解决方案安全高效,但无法很好地扩展,而且随着园区局域网的发展,其管理也非易事。

核心和分布层中L3交换的出现,在VLAN方式的基础上对可扩展性、性能和故障排除进行了优化。过去几年中,所构建的基于L3的园区网络已经证实,它们便于扩展、功能强大,具有高性能。但在网络分区和封闭用户组方面,L3园区方式有着重大缺陷和限制。在此情况下,添加封闭用户组即意味着增加成本和复杂度。

解决方案:网络虚拟化

因此我们需要一个便于扩展的解决方案,来保持用户组完全隔离,实现服务和安全策略的集中,并保留园区网设计的高可用性、安全性和可扩展性优势。为支持此解决方案,网络设计必须高效地解决以下问题:

  • 访问控制:确保能识别合法用户和设备,对其分类,并允许其接入获得访问授权的网络部分。
  • 路径隔离:确保各用户或设备都能高效地分配到正确、安全的可用资源集—即正确的VPN。
  • 服务边缘:确保合法的用户和设备能访问相应的正确服务,并集中实施策略。

思科®解决方案能通过几个方式实现网络虚拟化。虚拟化技术使单一物理设备或资源能作为它自己的多个物理版本,在网络中共享。网络虚拟化是思科SONA框架的一个重要组件。思科SONA使用虚拟化技术来改进服务器和存储局域网(SAN)等网络资产的使用。例如,一个物理防火墙能配置为执行多个虚拟防火墙的功能,帮助企业优化资源和安全投资。其他虚拟化战略包括集中策略管理、负载均衡和动态分配等。虚拟化能提高灵活性和网络效率,降低资本和运营开支。

访问控制:身份验证和接入层安全

接入层安全对于保护园区局域网免遭外部威胁十分重要。通过在威胁进入园区前即采取防御措施的特性,能对思科网络虚拟化解决方案构成补充。IEEE 802.1X即是这样一种技术,它是端口安全的标准。802.1X在用户及其相关的VPN间形成强大的连接,防止在未授权情况下访问禁止接入的资源。另一种补充技术是思科网络准入控制(NAC)。NAC的职责是在边缘防御威胁,在有害流量到达分布层或核心层前即将其删除。NAC有助于确保用户不会使园区基础设施遭受到任何病毒、蠕虫等威胁。

路径隔离:L3 VPN

为支持园区网络虚拟化,思科提供了三个非常适用于典型园区网络设计,并混合使用了L2和L3技术的解决方案:

  • GRE隧道
  • VRF-lite
  • MPLS VPN

GRE隧道

GRE隧道为在园区网络上创建封闭用户组提供了一种相当简单且高效的方法。GRE隧道非常适于作为托管“访客”接入的企业解决方案,使公司能为访客或来访者提供全球互联网接入,而又能防止这些用户访问内部资源。在图1中,GRE隧道与Cisco VRF-lite特性共用,为访客接入创建了一个简单、易于管理的解决方案。

图1. 结合使用GRE隧道和VRF-lite

图1. 结合使用GRE隧道和VRF-lite

该解决方案的优势包括:

  • 能跨越典型的多层园区网络(无需园区级VLAN)。
  • 访客用户流量与其他公司局域网流量隔离。
  • 所有访客流量的进入点位于中央位置,使安全性和服务质量(QoS)策略更易于管理。
  • 甚至能通过广域网扩展到分支机构。

在将GRE隧道作为支持封闭用户组的解决方案时,需要注意的一个因素是隧道本身较难配置和管理,因此不建议解决方案部署超过两条隧道。此类网络虚拟化适用于需要星型拓扑的场合。

VRF-lite

VRF-lite是一个思科特性,通常称为多VRF客户边缘,通过使用单一路由设备支持多个虚拟路由器,来提供园区分区解决方案。VRF-lite是MPLS的轻量版本。

利用VRF-lite,网络经理能灵活地为任意特定VPN使用任意IP地址空间,而无论它是否与其他VPN的地址空间重叠或冲突。这种灵活性在很多场合都非常实用。例如,当所收购公司的网络合并到一个共享局域网中,所收购的网络能作为独立VPN进入基础设施,几乎或完全不会干扰网络上的日常业务流程。

VRF-lite能用作端到端解决方案,如图2所示,也能与另一解决方案共用来支持封闭用户组,这将在下一部分中讨论。总体来说,VRF-lite的可扩展性高于GRE隧道,但它最适用于有四或五个分区的网络。每次添加用户组时,它都需要人工重配置,因此相当耗费劳力。

图2. VRF作为端到端解决方案部署

图2. VRF作为端到端解决方案部署

MPLS VPN

另一种为封闭用户组进行园区网络分区的方法为基于MPLS的L3 VPN。和GRE隧道与VRF-lite一样,MPLS VPN提供了一种安全可靠的方式,在通用物理基础设施上进行网络逻辑分区。

尽管电信运营商使用MPLS技术的时间已有几年,但因为局域网交换机上缺乏对MPLS的支持,它还未在企业网络中广泛部署。而不断改变的业务需求,以及相应的新产品面世,正帮助MPLS成为园区基础设施中的重要技术。随着Cisco Catalyst® 6500系列提供了对于MPLS VPN的支持,对许多大型企业来说,MPLS技术已拥有了廉宜价位。

MPLS VPN具有本文中讨论的其他解决方案的所有优势(参见图3)。此外,任何MPLS VPN都能通过配置,连接至用户和位于网络中任意地点的资源,而不会影响性能或网络设计。相应地,MPLS VPN也是三个思科网络基础设施虚拟化解决方案中可扩展性最高的。当添加或改动用户组时,无需人工重配置,这提高了可扩展性,降低了运营开支。

当在网络边缘使用VLAN,在园区的路由部分使用L3 VPN时,保留了层次化园区网部署的所有优势,同时该解决方案还能在园区局域网中实现端到端、可扩展分区,并支持集中的安全特性和服务。和VRF-lite一样,网络定址灵活性也是MPLS VPN的另一优势。

图3. MPLS VPN支持任意到任意连接

图3. MPLS VPN支持任意到任意连接

统一接入提供灵活性

这三个思科园区网虚拟化解决方案并不限制用户使用任何特定的接入类型。尽管他们在单一物理网络基础设施中工作,但这些解决方案能轻松地支持移动用户。无论使用的解决方案是基于GRE隧道、VRF-lite还是MPLS VPN,用户只要能接入网络,就能透明地与其所属的封闭用户组相关联。

虚拟化服务

虚拟化网络服务是思科网络基础设施虚拟化解决方案和SONA的一个重要组件,能帮助企业高效运营,从而减少其网络上使用的设备数目。思科网络虚拟化解决方案支持集中服务,包括:

  • 集中设备,如防火墙和入侵检测系统(IDS)
  • 安全策略实施
  • 流量监控、记帐和收费
  • 共享的互联网和广域网接入
  • 共享数据中心

这些集中服务大大简化和强化了安全策略实施。通过确保每个VPN使用单一接入点,多个VPN能够共享集中部署的防火墙和入侵检测设备。对不同VPN通用的大量其他服务也能共享,藉此大幅降低了提供这些服务的资本和运营开支。

VPN支持安全功能的集中,这一点很重要,因为在中央地点实施安全策略能够简化管理和缩减运营开支。它还能共享安全设备,如用于Cisco Catalyst 6500系列交换机的思科防火墙服务模块,它具有VPN感知特性,且能在一个设备上并发提供数百个虚拟防火墙。利用能感知VPN的虚拟防火墙,每个用户组都能在各自的虚拟防火墙上实施自己的策略,而企业只需拥有和维护一个防火墙设备,从而降低了总体拥有成本。

总结

在当今不断发展的网络环境中,典型的园区网络设计混合使用部署于网络边缘(接入层)的交换(L2)技术和部署于网络核心(分布层和核心层)的路由(L3)技术。因此,通过VLAN即能在网络接入层(L2)实现网络虚拟化,通过GRE隧道、VRF-lite和基于MPLS的L3 VPN,即能在网络核心(L3)实现网络虚拟化,对路由域分区,从而支持可扩展端到端虚拟化。

凭借思科园区网络虚拟化解决方案(参见图4),企业能在单一物理基础设施上部署多个封闭用户组,并在整个园区局域网中保持高标准的安全性、可扩展性、可管理性和可用性。凭借其虚拟化特性和对于集中服务的支持,这些解决方案成为了思科SONA框架的重要组件。范围广泛的Cisco Catalyst交换机能帮助部署了此框架的企业更好、更高效地利用网络资产,即使对设备、系统、服务和应用的需求有所增长,也能实现成本节约。

图4. 全面的网络虚拟化解决方案

图4. 全面的网络虚拟化解决方案

联系我们