解读软件定义LAN对园区虚拟化意味着什么

2022-7-13 15:41| 发布者: msmkmm2012| 查看: 97| 评论: 0

摘要: 软件定义LAN，或SD-LAN，其就是将软件定义的络原理应用于非数据中心LAN。加速器的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！https://www.tiandiapp.com/ ...

软件定义LAN，或SD-LAN，其就是将软件定义的络原理应用于非数据中心LAN。加速器的具体问题可以到我们网站了解一下，也有业内领域专业的客服为您解答问题，为成功合作打下一个良好的开端！https://www.tiandiapp.com/

这些原则包括分离络的逻辑控制（管理什么与什么通信的策略规范）与数据包的际处理。在践中，这意味着控制平面（在虚拟机或云中运行的管理平台）指导络活动或转发数据平面，主要是物理和虚拟交换机。通常，控制平面具有API，可启用自动化以编程方式控制络策略。

逻辑平面和数据平面的分离以令人兴奋的新方式支持LAN虚拟化。不过，重要的是要记住，这不是IT部门首次对LAN进行虚拟化。

在SD-LAN之前：虚拟LAN 虚拟LAN (VLAN) 已经存在了几十年，并且一直以来主要用于园区LAN中。络工程师长期以来一直在部署VLAN以在2层络对络进行分段。例如，通过一个VLAN上的端口连接的系统不能直接与其他VLAN上的端口通信，而是通过路由器或防火墙访问它们。

VLAN创建单独的络域，覆盖公共物理络之上的多个逻辑LAN。络团队可以通过以下方式使用VLAN来隔离流量：

针对不同部门；针对不同类别的设备，例如IPVIP流量；活着针对不同的安全域，例如用于与络管理相关的流量的VLAN。通过打破络使用和络基础设施之间的紧密耦合，VLAN为SD-LAN铺平了道路。

SD-LAN VLAN是2层络机制，它完全体现在以太帧头中并部署在交换机端口级别。SD-LAN更进一步，它不仅仅依赖于以太或其他2层络协议，而是将LAN完全虚拟化，从而将策略控制从交换机上解除，只留下强制执行。

完全现的SD-LAN系统着眼于2层络之外的标准，以做出有关访问和可视性的决策。例如，它应该考虑用户、进程、程序和设备身份。它还可能会考虑IP地址、设备位置甚至一天中的时间。论系统支持哪种因素，络工程师都可以使用它们来定义管理对数据络的访问，以及络节点允许活动范围的策略。

零信任、SDP和SD-LAN 目前SD-LAN比较令人兴奋的方面是它的用程序-用于现零信任络访问 (ZTNA) 架构。通过全面的SD-LAN策略，可在园区络级别施基本的零信任方法，以阻止除明确允许之外的所有内容。也就是说，SD-LAN可以作为软件定义边界 (SDP) 的园区面。

在部署零信任策略后，SD-LAN默认情况下会阻止大多数横向络流量，例如笔记本电脑A与笔记本电脑B通信。这反过来又会阻止来自受感染的设备大量恶意软件在环境中传播。

以现在的经典场景为例，攻击者使用损坏的物联设备作为平台攻击工作站。而SD-LAN会阻止该过程。那些损坏的挂钟或自动售货机只能看到它们的管理工作站并与之通信，而不是整个段。如果攻击中涉及的端口、协议或流量违反了管理连接的任何访问规则，他们甚至可能法破坏该管理工作站。

SD-LAN的点 SD-LAN有很多点。在操作方面，带有API的控制器的存在可帮助现更广泛和更有效的LAN操作自动化。

改进的管理意味着更好地发现、绘制和审核络当前状态的能力。例如，络团队可以跟踪络上的内容、每个体的行为方式以及偏离政策的内容。

而且，正如部署零信任所表明的那样，SD-LAN能够显著地改善企业络的基本安全状况。即使企业没有完全部署零信任，也可能现显着的改进。

SD-LAN的挑战 SD-LAN也面临很多挑战。其中一些挑战包括：

利用现有基础设施部署SD-LAN的能力；升级任何法正确整合的东西的费用；以及让员工有时间重新开发核心技能并利用SD-LAN的所有潜能。而且，与更通用的零信任策略一样，当在园区络中现ZTNA时，大多数企业面临的主要挑战是了解要部署哪些策略——什么需要与什么通信。

随着企业开始广泛转向更高的络自动化和更严格的安全性，SD-LAN将成为推进企业目标的越来越重要的工具。