浅谈基于意图的网络 (IBN)

在园区网络中，有许多新兴趋势正在影响未来网络的建模方式，包括移动性、物联网 (IoT) 以及跨有线和无线的统一安全性连接。性别。为了适应这些趋势，需要一个新的网络时代——基于意图的网络。 在园区网络中，有许多新兴趋势影响着未来网络的建模方式，包括移动性、物联网 (IoT) 以及跨有线和无线连接的统一安全性。 为了适应这些趋势，需要一个新的网络时代，使用基于意图的网络将基于策略的自动化从网络边缘转移到公共和私有云。 SD-Access 就是一个例子。 基于意图的网络告诉控制器最终目标，并允许基于控制器的网络找出低级设备和配置详细信息。这与通用分组无线服务 (GPRS) 的工作原理类似。用户输入目的地，软件会考虑从用户提取的参数来计算最佳路线。 基于意图的网络需要满足从访问控制到服务质量（QoS）的各种因素。 1. 移动性 传统的园区网络过去只包含公司拥有的设备。相比之下，当今的网络由一系列设备组成，例如自带设备 (BYOD) 和智能可穿戴设备等。 用户平均在工作场所携带 2.7 台设备，因此需要访问云端的企业系统以及私有数据中心的应用程序工作负载。现在，用户需要在所有设备之间无缝移动，同时仍保持相同级别的安全性和访问控制。 2. 物联网 园区企业物联网包括办公楼内可以找到的一切，挑战是在这些设备之间实施坚不可摧的安全措施。 过去 12 个月的大多数攻击都涉及某种不安全的物联网设备。通常，该设备并未由 I.T 部门管理或获取，从而导致安全漏洞。在某些情况下，受感染的物联网设备可以直接访问互联网或企业网络，从而导致恶意软件和黑客攻击。 最近被称为“fishbowl”的公开攻击导致了数据泄露。这种不安全的物联网设备允许黑客从北美赌场窃取 10GB 的数据。鱼缸上有一个用于监视的传感器，攻击者通过在网络中横向移动来访问关键资产来破坏传感器。请记住，黑客不需要大量资源。他们拥有易于使用的黑客工具，并不断寻找渗透网络的小漏洞。 3. 安全性 在当今时代，大多数网络都是融合的，任何网络都不可能是100%安全的，攻击最终会发生。您的网络受到影响只是时间问题。然而，通过对网络进行分段，管理员可以限制攻击半径，而分段可以确保受感染的主机无法进一步传播。传统细分 分割问题已经存在多年了。然而，考虑到当今的网络需要支持移动性、物联网以及跨有线和无线连接的统一安全性，传统的分段工具并不适合。 大多数网络使用虚拟局域网 (VLAN) 进行分段。然而，VLAN 以及生成树协议 (STP) 等其他协议在设计时并未考虑到安全性。分段广播域创建于 20 世纪 90 年代。每个VLAN都是一个单独的广播域，单独的VLAN划分广播域。然而，随着时间的推移，管理员转而使用具有访问控制功能的 VLAN。 管理员将VLAN与IP子网关联起来，实现子网控制。最终，随着网络规模的扩大，VLAN 无法匹配增加的规模。此外，基于IP地址的策略执行比较僵化，缺乏灵活性。 另一个主要问题是管理。网络很复杂，大多数仍然基于命令行界面 (CLI)，自动化程度有限或根本没有自动化，这带来了严峻的挑战。由于每个网络都是独一无二的，因此运营成为一种负担。供应商可以使用最先进的网络分段技术，但除非可以通过一个按钮轻松删除和部署，否则不会被采用。 控制器分析引擎 如果基于控制器的架构要在园区网络中普及，控制器需要完全自动化，并且监控和故障排除问题需要轻松。 问题是，我们正在使用30年前创建的Syslog、简单网络管理协议（SNMP）和Netflow等技术进行监控和故障排除，我们需要SNMP来监控网络。 SNMP以拉模式运行，在CPU利用率等方面面临着巨大的挑战。 当今的网络迫切需要一个控制器大数据分析引擎，以推送模式运行，可以积累和管理来自所有设备的数据。它可以提供洞察并预测事件的发展，从而实现网络自我修复。 前进的方向——宏观和微观细分 VLAN 是单平面层分段。考虑到今天的校园网，我们需要将这种平层模型改为两层模型。这可以通过引入虚拟网络（VN）（也称为宏分段）来实现。 园区内的虚拟网络类似于虚拟路由和转发（VRF）。 VRF所做的就是在转发层对虚拟网络进行分段。定义如何细分需要基于不同组织的结构和业务线。 根据定义，VN 无法相互通信，任何跨 VN 的通信都应通过状态防火墙。状态防火墙监视活动连接的状态以及穿过它的网络连接的特征。虚拟可扩展 LAN (VXLAN) 用于创建宏段 (VN)。 安全组标签可以提供微分段。