园区网络虚拟化.doc

园区网络虚拟化 无论规模如何或有什么安全需求，企业现在都能在单一物理网络上，受益于支持多个封闭用户组的虚拟化园区网络。 综述 随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。网络虚拟化提供了多个解决方案，能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时，实现服务和安全策略的集中。为达到出色效果，这些解决方案必须包括网络虚拟化的三个主要方面：访问控制、路径隔离和服务边缘。通过实施这些解决方案，网络虚拟化即能与思科系统公司?的服务导向网络架构(SONA)相结合，为迁移到智能化信息网络的企业创建一个强大的框架。 SONA网络利用NAC和IEEE 802.1x协议提供身份识别服务，从而实现最优访问控制。在用户获准接入网络后，三个路径隔离解决方案—GRE隧道、VRF-lite和MPLS VPN—能在保留当前园区网设计优势的同时，在现有局域网上叠加分区机制，将网络划分为安全、虚拟的网络。这些解决方案解决了与分布部署服务和安全策略相关的问题。最后，共享服务和安全策略实施的集中化，大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支。这种集中化有助于在园区中实施一致的策略。 挑战 园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式（表1）。有许多因素都在推动对于创建封闭用户组的需要，包括： 企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。 法规遵从性：部分企业受法律或规定的要求，必须对较大的机构进行分区。例如，在金融公司中，银行业务必须与证券交易业务分开。 过大的企业需要简化网络：对于非常大型的园区网络，如机场、医院或大学来说，过去，为保证不同用户组或部门间的安全性，就必须构建和管理不同的物理网络，这种做法既昂贵又难以管理。 网络整合：在合并和收购时，通常需要迅速集成所收购公司的网络。 外包：随着外包和离岸外包的普及，子承包商必须证明各客户的信息间完全隔离。尤其当一家承包商服务于相互竞争的公司时，这尤为重要。 提供网络服务的企业：零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入；同样，服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。 表1. 不同垂直行业中网络分区的应用示例 垂直行业 网络虚拟化应用示例 制造业 生产工厂(自动装置，生产环境自动化等)，管理，销售，视频监视。 金融业 交易大厅，管理，合并。 政府 支持不同部门的共同建筑物和设施。在部分国家，法律要求这些部门采用不同网络。 医疗 总体趋势是在进行治疗的同时提供宾馆式服务。须隔离医护人员、核磁共振成像(MRI)和其他技术设备、病人互联网接入，以及为病人提供的广播和电视等媒体服务。 商业智能楼宇：多企业园区 不同部门共享部分资源。多个公司位于同一园区，其中不同建筑物分属不同部门，但全使用相同的核心和互联网接入机制。园区所有者管理建筑物自动化体系，覆盖所有建筑物。 零售 售货亭，分支机构中的公共无线局域网，RF识别，WLAN设备（例如，不支持任何WLAN安全特性的较早的WLAN条码阅读器）。 教育 学生、教授、管理人员和外部研究团队间需要隔离。此外，分布于多个建筑物的各院系可能需要访问各自的服务器区域。而某些资源（例如互联网、电子邮件和新闻）可能需要共享或通过一个服务区访问。此外，建筑物自动化体系也必须分开。 园区局域网的发展 网络虚拟化—允许多个用户组访问同一物理网络，但从逻辑上对它们进行一定程度的隔离，以便它们无法查看其他组—这是多年来网络经理面临的挑战。在上世纪90年代，L2交换是园区局域网的标志性特征，虚拟局域网(VLAN)是在一个通用基础设施中将局域网划分为不同工作组的标准。此解决方案安全高效，但无法很好地扩展，而且随着园区局域网的发展，其管理也非易事。 核心和分布层中L3交换的出现，在VLAN方式的基础上对可扩展性、性能和故障排除进行了优化。过去几年中，所构建的基于L3的园区网络已经证实，它们便于扩展、功能强大，具有高性能。但在网络分区和封闭用户组方面，L3园区方式有着重大缺陷和限制。在此情况下，添加封闭用户组即意味着增加成本和复杂度。 解决方案：网络虚拟化 因此我们需要一个便于扩展的解决方案，来保持用户组完全隔离，实现服务和安全策略的集中，并保留园区网设计的高可用性、安全性和可扩展性优势。为支持此解决方案，网络设计必须高效地解决以下问题： 访问控制：确保能识别合法用户和设备，对其分类，并允许其接入获得访问授权的网络部分。 路径隔离：确保各用户或设备都能高效地分配到正确、安全的可用资源集—即正确的VPN。 服务边缘：确保合法的用户和设备能访