这是大约20年前将我的第一个以太网电缆插入交换机时。这是我们新的首席执行官。她知道她要在一楼的大多数人与大多数人分享她的交通。当时是一个网络工程师,我有五个楼层照顾。
每层有一些虚拟LAN(VLAN)是传统日子中的常见设计实践。本质上,每楼的几个广播域被视为正常。通过基于VLAN的方法,我们曾经访问同一子网上的不同人。尽管人们在不同的层面工作,但如果在同一个子网中,他们都对待同样的对待。
Port-By-Port和VLAN-BY-VLAN强制执行
我曾经在逐个端口和VLAN-BY-VLAN上定义访问控制策略。我会将VLAN与IP子网相关联以强制执行子网控制,而不管用户是谁。当用户连接到不同的子网时,IP访问控制列表会发生什么,这些控制列表与上一个VLAN和子网相关联?当用户从一个子网移动到另一个子网时,与早期子网相关联的策略最终会丢失。优先级用于由子网和网络工程师定义。
事实上,细分不是vlans引入的目的。它们主要是为了划分广播域。分割在稍后阶段推出,但今天,它有许多有趣的口味和SD-WAN是其中之一。
我在Active Directory(广告)中设置了组策略,以控制我的用户可以做的事情。一切都在很好的工作,只要没有人想从家里移动或工作。实际上,网络在做什么以及业务如何运作之间存在巨大差距。那时,差距不可能弥合。
让我们更轻松地制作政策和安全强行
但是,当我今天看网络网络时,虽然我们已经取得了巨大的改进,但我仍然看到我们有许多安全和策略执法挑战。实际上,市场对需求做出了反应,并努力使政策实例化更容易。在网络中反映意图有一个介绍,思科提供了基于意图的网络解决方案。
基于Intent的网络是关于通知网络关于最终状态并允许网络弄清楚配置细节。这一趋势的另一个例子是身份。我们需要具有更好的身份意识,以便我们可以做出除应用端点之外的决定。
公司像CATO网络一样通过将路由和数据包流绑定到广告标识,通过向右方向向我们转向我们。路由引擎摘要从网络和应用程序架构创建策略。这将身份感知到网络世界,并根据用户身份启用以可商业化的路由策略。这是在我的工程日期间等待填补的差距。
然而,仍然有一些缺陷使我们成为一个充满挑战的道路。让我们讨论一些让我们推向这条道路的痛苦剧集。
路由只是作品
数据包最终将到达最终目的地。实际上真的很简单。网络设备具有与其他网络设备连接的接口。当数据包进入一个接口时,网络设备需要找到右接口以发送数据包。网络设备如何执行此操作?嗯,它检查数据包的目标IP字段。
但是,路由基础有几个问题。首先,IP路由是基于目标的。您的邻居决定确定流量进入网络;这不是你的。
其次,在开放系统互连(OSI)模型的上下文中,路由过程在堆栈中降低,并且防止基于堆叠中存在更高的智能的决策。很伤心,但它没有考虑到许多情况,使组织能够更有效地运行。相反,在今天的环境中,路由必须反映业务环境。
使用传统构建的挑战
今天,挑战是大多数人仍在这个新世界中使用传统建筑。毫无疑问,20年前发明的技术不会在今天的网络环境中削减它。
传统建筑的主要挑战之一是商业功能的背景。它仅仅是一个IP地址或应用端点,其作为用户是谁的代理。
真实地,IP地址就像某人的家庭住址,申请是住在房子里的人。他们确实为房子创造了一个身体身份,但不要给你谁生活在房子里的细节,这可能会对安全构成威胁。到目前为止,我们使用IP地址和应用端点作为标识的代理。但是,到目前为止,我们没有对策略决策过程中的一个元素的上下文身份没有可靠的方法。
身份的概念是必须适当管理数据包优先级,路由,丢弃,现在可以包括用户名,部门,业务部门或其他与身份相关的附属的特定信息。现在曲面是的问题,实际是正确的道路?
正确的路径
事实是,我们目前正在转型过程中。SD-WAN迈出了通过应用程序感知路由将网络更接近业务登录。它允许我们通过应用程序类型优先顺序流量。但即使有应用意识,我们仍然不了解应用背后的用户。我们可能知道房主的房子号码,但不是现实地,您对实体的了解越多,安全和策略实施就越多。
策略实施前进的正确方式不再依赖于IP或应用程序作为标识符。我们需要深入挖掘,我们现在已经开始了。我们需要能够根据用户定义策略,而不是端点设备。它是基于用户名,部门,业务部门或其他与身份相关的义务来定义策略的能力,使网络更接近业务逻辑。
这是第一次,现在的政策本质上以商业为中心,管理员可以确保策略定义正确。现在您可以根据您的要求定制网络和安全性。具有身份感知,CEO现在可以选择特定的网络和安全策略,而不是无论设备或位置如何增强VoIP服务。
概要
在传统世界中,该政策尚未建成最佳满意度。然而,现在,身份意识给用户提供了更高的优先级,带宽和更好的确定性。这使我们能够进入一个新的时代,使政策实例化更容易。相关事件的时间表正在以一种新的方式倾斜政策,这是与身份相关的联系;路由实际上可以反映业务环境。