行业关键词
企业的不断扩张引发了对于前所未有的网络灵活性和安全性的要求。怎样在不中断现有基础设施的情况下满足这些要求?
今天的企业园区网络
从以太网交换面世以来,园区LAN 的设计已经经历了巨大的发展变化。很多技术改进和丰富的实际经验共同构建了今天的网络设计理念。
随着园区LAN 的扩建,企业迫切需要对网络进行划分――按照用户、地点或者职能。最初,虚拟LAN(VLAN)和生成树协议为将LAN 划分为多个虚拟网络提供了一种有效的机制,可以满足企业对于划分多个使用共同基础设施的群组的需求。但是,这个解决方案很难扩展。
随着能够执行路由任务的多层交换机的出现,可扩展性和可用性变成了比将网络划分为多个虚拟实体更加重要的设计标准。因此,今天的园区LAN 是一个汇集了交换式和路由式平台的服务的网络,可以实现最佳的模块性、可扩展性和高可用性。
以前的园区设计方案都没有为区分网络中的流量提供一种便捷的方法,因而无法为园区中的封闭用户群组提供一个安全的、独立的环境。
思科园区虚拟专用网(VPN)解决方案一方面保留了当今园区设计的优点,另一方面又通过在现有的LAN 上叠加VPN 机制,添加了将网络划分为多个安全虚拟网络的功能和优势。与此同时,这个解决方案还解决了分布式地部署服务和安全策略的问题。通过集中管理共享服务和应用安全策略,可以大幅度地降低维护园区的不同群组共享的安全策略和服务所需要的资本和运营开支。
挑战
在所有企业中都存在拥有不同需求的用户群组。这些群组之间的很多差异都转变成了不同的网络需求。在有些企业中,不同群组的需求只是略微有所不同。但是在其他一些企业中,这些需求的差异如此之大,以至于不同的群组需要被IT 视为完全不同的客户。在区别对待不同群组时,IT 部门需要:
在群组之间确保完全的保密性
为每个群组提供独立的路由域和地址空间
为每个群组部署不同的计费机制
为每个群组执行不同的安全策略
有效地管理和扩展所有上述能力
保持这些群组的独立性和安全性是IT 部门面临的一个艰巨的挑战,尤其是伴随着无线网络和用户移动的出现。设想一下不同企业的不同网络需求。一个极端是这样一些企业:尽管他们希望划分用户群组,但是这并不是他们的首要任务。这种企业的流量划分问题看起来可以方便地通过选择适当的布线和防火墙位置解决。例如,这些公司可能希望来宾只能从特定区域(包括大厅或者来宾会议室)访问网络,
以便利用防火墙将他们与网络其他部分隔开。这种做法可以有效地区分来宾和员工。但是,在需要将用户进一步区分为来宾、承包商、工程师、管理层、薪酬人员时,这种区别方式就会变得有些复杂。在遇到这种情况时,防火墙的物理位置就无法以可扩展的方式解决这个问题。
另外一个极端是一些拥有很多用户群组的企业。机场和大学都是这种机构的典型例子,它们在一个共同的园区LAN 中有很多不同的(常常是互相竞争的)客户。
机场(与其他企业一样)在他们的LAN 上开展所有的内部业务。所有这些业务――包括行李领取、安全、空中客流控制、地面客流控制、维护、财务等――都需要访问LAN。另外,机场还为每家使用该机场的航空公司建立了单独的物理网络。设想一下为每家航空公司建立的全网状连接的光纤网络。这不仅非常昂贵,而且很难维护。另外,如果需要在机场内部转移某个航空公司的位置,这种方式提供的灵活性极为有限。但是,全球大多数机场都采用了这种方式。使用这种独立网络的目的是保护每家航空公司的私密和安全。在这些网络中,光纤只铺设到特定的地点,因此机场的某些特定区域只供固定的航空公司使用。
同样,大学也拥有很多需要保持独立的设施。他们还拥有大量由私人资金赞助的研究小组。在很多情况下,资助机构要求项目网络必须与学校网络的其他部分隔离,但是仍然可以访问大学的所有网络资源。如果大学必须部署多个包含专防火墙和路由设备的独立物理网络,无疑需要投入大量的资金。
园区VPN 可以为企业节约大量资本和运营开支的另外一个例子是商务中心。商务中心需要在一个物理区域――相当于一个园区――中为不同的公司提供办公空间。这些公司向商务中心租用物理空间,以及网络基础设施和语音、视频、监控和寻呼服务。在某些情况下,他们甚至还可以租用服务器群。
由于数据中心前端需要足够的智能,所以为每个客户部署一个专用数据中心可能会非常昂贵。很多客户可能只需要一个服务器群,这使得为每个客户部署一个专用数据中心变得更加没有必要。
传统的划分机制
过去,可以用于划分园区LAN 的机制包括VLAN 和分布式访问控制列表(ACL)。这两种解决方案都存在自己的可扩展性限制和管理问题。它们只能实现有限的划分,而且不能为不同的内部客户提供完全私有的、独立的网络。
使用VLAN
对于一个很小的园区,IT 可能愿意为其建立一个相对较大的生成树域。在这种情况下,VLAN 可以实现端到端的跨越,而且用户群组可以直接与VLAN 关联,以实现隔离。但是,实践证明,这种解决方案在达到一定范围之后就将很难扩展。
端到端VLAN 不能有效扩展的主要原因是它们需要依靠生成树协议避免出现拓扑环路。生成树协议所基于的原则是:跟踪整个网络的拓扑从而建立单个树。如果发生故障或者拓扑发生变化,生成树协议就需要将这种变化反映到整个网络之中。因此,这会产生与网络规模成比例的收敛延时。如果超出一定的网络规模,所产生的延时可能会让人无法接受。端到端VLAN 不能扩展的另外一个原因是单个广播域(VLAN)的创建会不可避免地形成一个统一的故障域。换句话说,VLAN 中发生的单个故障会影响整个VLAN。当VLAN 为端到端跨越时,就无法控制故障的影响范围,因而会波及整个网络。生成树协议的诊断和管理需要全面的文档和深入的网络知识。当STP 只限于网络的一小部分(例如一个配线间)时,这是一个可以实现的目标。但是,如果将生成树域扩展到一个大型网络,它就会变得非常难以维护和诊断。
使用ACL
对于一个需要用现有的ACL 机制保护供某个特定群组使用的网络资源的IT 部门,群组用户必须位于特定的子网中,因而与明确的网络设备关联。如果满足这些条件(即用户不具备移动性),那么网络管理员的任务就是在适当的网络设备上添加适当的ACL。但是,如果您将这种方式扩展到多个用户群组,结果就是会有数量难以控制的ACL 散布在整个园区中。
随着用户在园区中的移动性的增强,这种方式的可扩展性问题变得更加明显。因为ACL 需要依靠地址识别用户,所以必须要在整个园区中为每个群组创建子网,再在每个分布层交换机为每个群组创建不同的ACL。为每个群组创建一个子网并不是问题,因为路由协议可以做到有效的扩展,但是为了保护群组安全而对ACL 进行的部署和维护工作可能会非常费时。利用ACL 划分用户群组不仅相当繁琐,而且不能提供用户群组所需得的自治能力。某些用户群组可能需要选择他们自己的IP 寻址机制(可能会与网络中的其他网络重叠)。另外一些用户群组可能需要在他们自己的专用防火墙上控制他们的安全策略。与此同时,企业可能需要在每个VPN 的基础上,根据它的业务模式部署计费和记帐机制,还可能需要能够在不同的VPN 之间共享集中资源(例如防火墙设备、服务器群集、WAN 和互联网接入)
正确的解决方案
要保持用户群组的完全独立和集中管理服务、安全策略,以及保存现有园区设计的高可用性和可扩展性,需要使用一个可扩展的解决方案。这样的解决方案可以通过在园区LAN 的路由式基础设施上建立基于多协议标签交换(MPLS)的第三层VPN 实现。
今天的企业园区网络
从以太网交换面世以来,园区LAN 的设计已经经历了巨大的发展变化。很多技术改进和丰富的实际经验共同构建了今天的网络设计理念。
随着园区LAN 的扩建,企业迫切需要对网络进行划分――按照用户、地点或者职能。最初,虚拟LAN(VLAN)和生成树协议为将LAN 划分为多个虚拟网络提供了一种有效的机制,可以满足企业对于划分多个使用共同基础设施的群组的需求。但是,这个解决方案很难扩展。
随着能够执行路由任务的多层交换机的出现,可扩展性和可用性变成了比将网络划分为多个虚拟实体更加重要的设计标准。因此,今天的园区LAN 是一个汇集了交换式和路由式平台的服务的网络,可以实现最佳的模块性、可扩展性和高可用性。
以前的园区设计方案都没有为区分网络中的流量提供一种便捷的方法,因而无法为园区中的封闭用户群组提供一个安全的、独立的环境。
思科园区虚拟专用网(VPN)解决方案一方面保留了当今园区设计的优点,另一方面又通过在现有的LAN 上叠加VPN 机制,添加了将网络划分为多个安全虚拟网络的功能和优势。与此同时,这个解决方案还解决了分布式地部署服务和安全策略的问题。通过集中管理共享服务和应用安全策略,可以大幅度地降低维护园区的不同群组共享的安全策略和服务所需要的资本和运营开支。
挑战
在所有企业中都存在拥有不同需求的用户群组。这些群组之间的很多差异都转变成了不同的网络需求。在有些企业中,不同群组的需求只是略微有所不同。但是在其他一些企业中,这些需求的差异如此之大,以至于不同的群组需要被IT 视为完全不同的客户。在区别对待不同群组时,IT 部门需要:
在群组之间确保完全的保密性
为每个群组提供独立的路由域和地址空间
为每个群组部署不同的计费机制
为每个群组执行不同的安全策略
有效地管理和扩展所有上述能力
保持这些群组的独立性和安全性是IT 部门面临的一个艰巨的挑战,尤其是伴随着无线网络和用户移动的出现。设想一下不同企业的不同网络需求。一个极端是这样一些企业:尽管他们希望划分用户群组,但是这并不是他们的首要任务。这种企业的流量划分问题看起来可以方便地通过选择适当的布线和防火墙位置解决。例如,这些公司可能希望来宾只能从特定区域(包括大厅或者来宾会议室)访问网络,
以便利用防火墙将他们与网络其他部分隔开。这种做法可以有效地区分来宾和员工。但是,在需要将用户进一步区分为来宾、承包商、工程师、管理层、薪酬人员时,这种区别方式就会变得有些复杂。在遇到这种情况时,防火墙的物理位置就无法以可扩展的方式解决这个问题。
另外一个极端是一些拥有很多用户群组的企业。机场和大学都是这种机构的典型例子,它们在一个共同的园区LAN 中有很多不同的(常常是互相竞争的)客户。
机场(与其他企业一样)在他们的LAN 上开展所有的内部业务。所有这些业务――包括行李领取、安全、空中客流控制、地面客流控制、维护、财务等――都需要访问LAN。另外,机场还为每家使用该机场的航空公司建立了单独的物理网络。设想一下为每家航空公司建立的全网状连接的光纤网络。这不仅非常昂贵,而且很难维护。另外,如果需要在机场内部转移某个航空公司的位置,这种方式提供的灵活性极为有限。但是,全球大多数机场都采用了这种方式。使用这种独立网络的目的是保护每家航空公司的私密和安全。在这些网络中,光纤只铺设到特定的地点,因此机场的某些特定区域只供固定的航空公司使用。
同样,大学也拥有很多需要保持独立的设施。他们还拥有大量由私人资金赞助的研究小组。在很多情况下,资助机构要求项目网络必须与学校网络的其他部分隔离,但是仍然可以访问大学的所有网络资源。如果大学必须部署多个包含专防火墙和路由设备的独立物理网络,无疑需要投入大量的资金。
园区VPN 可以为企业节约大量资本和运营开支的另外一个例子是商务中心。商务中心需要在一个物理区域――相当于一个园区――中为不同的公司提供办公空间。这些公司向商务中心租用物理空间,以及网络基础设施和语音、视频、监控和寻呼服务。在某些情况下,他们甚至还可以租用服务器群。
由于数据中心前端需要足够的智能,所以为每个客户部署一个专用数据中心可能会非常昂贵。很多客户可能只需要一个服务器群,这使得为每个客户部署一个专用数据中心变得更加没有必要。
传统的划分机制
过去,可以用于划分园区LAN 的机制包括VLAN 和分布式访问控制列表(ACL)。这两种解决方案都存在自己的可扩展性限制和管理问题。它们只能实现有限的划分,而且不能为不同的内部客户提供完全私有的、独立的网络。
使用VLAN
对于一个很小的园区,IT 可能愿意为其建立一个相对较大的生成树域。在这种情况下,VLAN 可以实现端到端的跨越,而且用户群组可以直接与VLAN 关联,以实现隔离。但是,实践证明,这种解决方案在达到一定范围之后就将很难扩展。
端到端VLAN 不能有效扩展的主要原因是它们需要依靠生成树协议避免出现拓扑环路。生成树协议所基于的原则是:跟踪整个网络的拓扑从而建立单个树。如果发生故障或者拓扑发生变化,生成树协议就需要将这种变化反映到整个网络之中。因此,这会产生与网络规模成比例的收敛延时。如果超出一定的网络规模,所产生的延时可能会让人无法接受。端到端VLAN 不能扩展的另外一个原因是单个广播域(VLAN)的创建会不可避免地形成一个统一的故障域。换句话说,VLAN 中发生的单个故障会影响整个VLAN。当VLAN 为端到端跨越时,就无法控制故障的影响范围,因而会波及整个网络。生成树协议的诊断和管理需要全面的文档和深入的网络知识。当STP 只限于网络的一小部分(例如一个配线间)时,这是一个可以实现的目标。但是,如果将生成树域扩展到一个大型网络,它就会变得非常难以维护和诊断。
使用ACL
对于一个需要用现有的ACL 机制保护供某个特定群组使用的网络资源的IT 部门,群组用户必须位于特定的子网中,因而与明确的网络设备关联。如果满足这些条件(即用户不具备移动性),那么网络管理员的任务就是在适当的网络设备上添加适当的ACL。但是,如果您将这种方式扩展到多个用户群组,结果就是会有数量难以控制的ACL 散布在整个园区中。
随着用户在园区中的移动性的增强,这种方式的可扩展性问题变得更加明显。因为ACL 需要依靠地址识别用户,所以必须要在整个园区中为每个群组创建子网,再在每个分布层交换机为每个群组创建不同的ACL。为每个群组创建一个子网并不是问题,因为路由协议可以做到有效的扩展,但是为了保护群组安全而对ACL 进行的部署和维护工作可能会非常费时。利用ACL 划分用户群组不仅相当繁琐,而且不能提供用户群组所需得的自治能力。某些用户群组可能需要选择他们自己的IP 寻址机制(可能会与网络中的其他网络重叠)。另外一些用户群组可能需要在他们自己的专用防火墙上控制他们的安全策略。与此同时,企业可能需要在每个VPN 的基础上,根据它的业务模式部署计费和记帐机制,还可能需要能够在不同的VPN 之间共享集中资源(例如防火墙设备、服务器群集、WAN 和互联网接入)
正确的解决方案
要保持用户群组的完全独立和集中管理服务、安全策略,以及保存现有园区设计的高可用性和可扩展性,需要使用一个可扩展的解决方案。这样的解决方案可以通过在园区LAN 的路由式基础设施上建立基于多协议标签交换(MPLS)的第三层VPN 实现。
| 第 [1] [2] [3] [4] 页 下一页 |
