在我上一篇博客中(我承认这篇博客有点冗长),我讨论了身份网络的变化。在身份网络中,基于用户和设备的上下文,有许多不同的方法来控制网络访问。有:
- VLAN分配,在三层边缘控制访问,或通过将该VLAN隔离到分段虚拟网络(vrf)。
- ACL分配,可以是本地ACL,也可以是RADIUS属性调用的ACL,也可以是下载的ACL (dACL)。在无线局域网控制器(Wireless LAN Controller, WLC)的情况下,这些acl应用于交换机端口或虚拟端口的入口。
- 我们刚刚谈到了一种新的可扩展的执行机制,称为安全组标记。
这项新技术,Security Group Tagging,将成为今天博客的重点。
安全组标记允许在不需要vlan的情况下进行分段,更重要的是简化了防火墙策略和访问列表的操作管理。对于本博客中的示例,访问层中有两个交换机,每个交换机有一个来自HR部门的用户,另一个用户需要访问支付卡行业(PCI)数据。这两个用户根本不需要交流。
政策很简单。允许HR与HR通信,允许PCI与PCI通信。然而,它们可能不会彼此通信,即使它们可能位于同一VLAN(访问层或数据中心中的同一VLAN)。雷竞技电脑网站
我们的政策:
亚伦Woland
图1——政策
通过这个SIMPLE策略,我们可以启用如下图所示的流:
- PCI用户试图与同一交换机和同一VLAN上的HR用户通话被拒绝。
- 交换机1上的HR User可以与交换机2上的HR User进行通信。
- 拒绝HR User访问PCI Server。
- 授予PCI User访问PCI Server的权限。
亚伦Woland
图2 -操作中的标签
如果好处还不够明显,让我指出一些给你看。Security Group Tagging在大多数IT网络操作中都具有广泛的优势,可能会影响它们的操作方式和决策方式,因为它开启了使用基于vlan的拓扑结构所无法实现的各种新可能性。
提出保护
根据上下文对端点进行分类,动态划分为安全组,并保护数据中心应用程序。雷竞技电脑网站
简化管理
使用简单语言管理策略,支持分钟更改,并自动管理防火墙规则。
范围广泛的
消除设计复杂性,提高网络性能,保证可靠的资源访问。