淺談基於意圖的網路

在園區網路中，有許多新興趨勢影響著未來網路建模的方式，這些趨勢包括移動性、物聯網（IoT）以及跨有線和無線連接的統一安全性。

為了適應這些趨勢，需要一個網路的新時代，使用基於意圖的網路，將基於策略的自動化從網路邊緣遷移到公共和私有雲。SD-Access就是一個例子。

基於意圖的網路就是告訴控制器最終的目標，並允許基於控制器的網路計算出低層設備和配置細節。這與通用分組無線業務（GPRS）的工作原理類似。用戶輸入目的地，軟體計算最佳路線，並考慮從用戶提取的參數。

基於意圖的網路需要滿足從訪問控制到服務質量（QoS）等多種要素。

1.移動性

傳統的園區網路過去只包括公司擁有的設備。相比之下，現在的網路由一系列設備組成，例如自帶設備（BYOD）和智能可穿戴設備等等。

一般的用戶會將2.7台設備帶到工作場所，因此需要訪問雲端的公司系統以及私有數據中心的應用程序工作負載。現在，用戶需要在所有設備之間實現無縫移動，同時仍保持相同的安全性和訪問控制水平。

2.物聯網

園區內的企業物聯網包括在辦公樓內可以找到的所有東西，目前面臨的挑戰是如何在這些設備之間實現不可穿透的安全措施。

過去12個月內的大部分攻擊都涉及某種不安全的物聯網設備。通常情況下，該設備尚未由I.T部門管理或獲得，導致安全泄漏。在某些情況下，感染的物聯網設備可直接訪問互聯網或企業網路，從而導致惡意軟體和黑客行為。

最近被稱為fishbowl的公開攻擊引發了數據外泄事件。這種不安全的物聯網設備使得黑客從一個北美賭場中偷取了10G的數據。fishbowl上有一個感測器用於監測，參與者損害了感測器在網路中的橫向移動以訪問關鍵資產。記住，黑客並不需要豐富的資源，他們擁有易於使用的黑客工具，不斷尋找一切微小的漏洞滲透到網路中。

3.安全

在這個時代，大多數網路都是融合的，沒有網路可以100％安全，攻擊最終都會發生。你的網路會受到影響只是時間問題。但是，通過分段網路，管理員可以限制攻擊半徑，分段可確保受感染的主機無法繼續向前擴散。

傳統分段

分段問題已存在多年。然而，考慮到今天的網路需要支持移動性、物聯網以及有線和無線連接之間的統一安全性，傳統分段工具並不適用。

大多數網路使用虛擬區域網（VLAN）進行分段。但是，VLAN以及其他協議（例如生成樹協議（STP））在設計時並未考慮到安全性。90年代創建了分段廣播域。每個VLAN都是一個單獨的廣播域，分隔的VLAN劃分廣播域。但是，隨著時間的推移，管理員轉而使用具有訪問控制的VLAN。

管理員會將VLAN與IP子網相關聯，以實施子網控制。最終，隨著網路規模的擴大，VLAN不能匹配擴大的規模。此外，基於IP地址的策略執行僵化，缺乏靈活性。

另一個主要的問題是管理。網路十分複雜，大多數網路仍然是基於有限或無自動化的命令行界面（CLI），這帶來了嚴峻的挑戰。由於每個網路都是獨特的，操作成為了一種負擔。廠商可以使用最先進的網路分段技術，但除非能夠通過單個按鈕輕鬆進行移除和部署，否則將不會被採用。

控制器分析引擎

如果希望基於控制器的架構能夠在園區網路中普及，則需要控制器完全自動化，監控和故障排除的問題需要做到毫不費力。

問題是，我們正在使用Syslog、簡單網路管理協議（SNMP）和Netflow等技術來執行監控和故障排除，這些是30年前創建的技術，我們需要通過SNMP來監控網路。 SNMP採用pull模式運行，在中央處理器（CPU）的利用率等問題上面臨著很大的挑戰。

當今的網路極其需要一個控制器大數據分析引擎，通過push模式進行操作，該模式可以積累和管理來自所有設備的數據。它可以提供洞察力，並預測事情的發展，實現網路自愈。

前進之路 - 宏觀和微觀分段

VLAN是單一的平面層分段。考慮到今天的園區網路，我們需要將這個平面層模式變成兩層模式。這可以通過引入虛擬網路（VN）來實現，也稱為宏分段。

園區中的虛擬網路類似於虛擬路由和轉發（VRF），VRF做的事情就是讓虛擬網路在轉發層分段。定義如何進行分段需要基於不同組織的結構和業務線。

根據定義，VN不能相互通信，任何交叉VN通信都應該通過有狀態的防火牆。狀態防火牆監控活動連接的狀態以及穿越它的網路連接的特性。虛擬可擴展LAN（VXLAN）用於創建宏分段（VN）。

安全組標籤可以提供微分段。我們進一步將微分段嵌入VN中，然後可以在微分段之間定義過濾器。

VXLAN中需要擴展，這就是所謂的VXLAN組策略選項（VXLAN-GPO）。這定義了在VXLAN頭中嵌入微分段標籤的方式。宏觀和微觀分段是數據平面的分段，下面來看看控制平面。

控制平面 - 定位器/ID分離協議（LISP）

由於數據平面轉發已經處理完成，現在我們需要一個良好的控制計劃來在大型園區網路中分發信息。

邊界網關協議（BGP）是分散式狀態協議。它在數據中心運行良好，但並沒有體現在園區網路中，因為超過60％的網路是無線的。用戶一直在從一個AP移動到另一個AP，從無線移動到有線網路。結束主機的移動通常是使用/32來定址的，但BGP並不擅長以這種方式處理頻繁的移動。

在這種情況下，LISP是完美結合控制和數據平面的最佳選擇。 LISP是一種與域名系統（DNS）類似的基於需求的協議，它帶來了基於IP地址並且是使用集中式控制平面的路由優勢。

無線的進展

傳統上，無線技術是一種頂級網路，採用無線接入點（CAPWAP）的控制和配置。但是，無線技術需要使用VXLAN隧道以及從接入點開始的覆蓋。因此，需要使用VXLAN進行隧道傳輸，而不使用CAPWAP作為數據平面。

考慮到時間的需求，我們必須改變有線和無線工作方式。如果攜帶用戶組標籤信息，則無論用戶在AP還是有線交換機上，都必須以相同的方式攜帶它。標籤不應該基於進入網路的媒介而改變。

有線和無線是進入網路的不同方式，用戶本身不會改變，這被稱為基於身份的分段。用戶根據用戶分析功能進行識別。因此，一旦為用戶分配了標籤形式的配置文件，無論用戶的位置如何移動，該標籤仍然存在。

未來的挑戰

下一個重大挑戰是如何保護分布在所有園區網路中的基於組的策略。安全需要跨越廣域網（WAN）擴展到公共、私有和多雲場景。提供所有高級WAN功能（如路徑選擇和加密），同時仍能擴展一致的基於組的策略。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！