软件定义LAN,或SD-LAN,其实就是将软件定义的网络原理应用于非数据中心LAN。
这些原则包括分离网络的逻辑控制(管理什么与什么通信的策略规范)与数据包的实际处理。在实践中,这意味着控制平面(在虚拟机或云中运行的管理平台)指导网络活动或转发数据平面,主要是物理和虚拟交换机。通常,控制平面具有API,可启用自动化以编程方式控制网络策略。
逻辑平面和数据平面的分离以令人兴奋的新方式支持LAN虚拟化。不过,重要的是要记住,这不是IT部门第一次对LAN进行虚拟化。
在SD-LAN之前:虚拟LAN
虚拟LAN (VLAN) 已经存在了几十年,并且一直以来主要用于园区LAN中。网络工程师长期以来一直在部署VLAN以在2层网络对网络进行分段。例如,通过一个VLAN上的端口连接的系统不能直接与其他VLAN上的端口通信,而是通过路由器或防火墙访问它们。
VLAN创建独立的网络域,覆盖公共物理网络之上的多个逻辑LAN。网络团队可以通过以下方式使用VLAN来隔离流量:
- 针对不同部门;
- 针对不同类别的设备,例如IP电话VoIP流量;
- 活着 针对不同的安全域,例如用于与网络管理相关的流量的VLAN。
通过打破网络使用和网络基础设施之间的紧密耦合,VLAN为SD-LAN铺平了道路。
SD-LAN
VLAN是2层网络机制,它完全体现在以太网帧头中并部署在交换机端口级别。SD-LAN更进一步,它不仅仅依赖于以太网或其他2层网络协议,而是将LAN完全虚拟化,从而将策略控制从交换机上解除,只留下强制执行。
完全实现的SD-LAN系统着眼于2层网络之外的标准,以做出有关访问和可视性的决策。例如,它应该考虑用户、进程、程序和设备身份。它还可能会考虑IP地址、设备位置甚至一天中的时间。无论系统支持哪种因素,网络工程师都可以使用它们来定义管理对数据网络的访问,以及网络节点允许活动范围的策略。
零信任、SDP和SD-LAN
目前SD-LAN最令人兴奋的方面是它的实用程序-用于实现零信任网络访问 (ZTNA) 架构。通过全面的SD-LAN策略,可在园区网络级别实施基本的零信任方法,以阻止除明确允许之外的所有内容。也就是说,SD-LAN可以作为软件定义边界 (SDP) 的园区面。
在部署零信任策略后,SD-LAN默认情况下会阻止大多数横向网络流量,例如笔记本电脑A与笔记本电脑B通信。这反过来又会阻止来自受感染的设备大量恶意软件在环境中传播。
以现在的经典场景为例,攻击者使用损坏的物联网设备作为平台攻击工作站。而SD-LAN会阻止该过程。那些损坏的挂钟或自动售货机只能看到它们的管理工作站并与之通信,而不是整个网段。如果攻击中涉及的端口、协议或流量违反了管理连接的任何访问规则,他们甚至可能无法破坏该管理工作站。
SD-LAN的优点
SD-LAN有很多优点。在操作方面,带有API的控制器的存在可帮助实现更广泛和更有效的LAN操作自动化。
改进的管理意味着更好地发现、绘制和审核网络当前状态的能力。例如,网络团队可以跟踪网络上的内容、每个实体的行为方式以及偏离政策的内容。
而且,正如部署零信任所表明的那样,SD-LAN能够显著地改善企业网络的基本安全状况。即使企业没有完全部署零信任,也可能实现显着的改进。
SD-LAN的挑战
SD-LAN也面临很多挑战。其中一些挑战包括:
- 利用现有基础设施部署SD-LAN的能力;
- 升级任何无法正确整合的东西的费用;
- 以及 让员工有时间重新开发核心技能并利用SD-LAN的所有潜能。
而且,与更通用的零信任策略一样,当在园区网络中实现ZTNA时,大多数企业面临的主要挑战是了解要部署哪些策略——什么需要与什么通信。
随着企业开始广泛转向更高的网络自动化和更严格的安全性,SD-LAN将成为推进企业目标的越来越重要的工具。