【IT168 资讯】在传统的园区网时代,基于SNMP简单网络管理协议的园区网管理技术大行其道,其主要集中于底层设备的管理,比如拓扑搜索是否正确,多厂商设备能否统一管理等。关注于设备本身和网络通讯是否正常,是传统园区网管理的主要特征。
随着以太网技术、IP技术、虚拟化技术的不断融合,园区网得以不断发展,其网络环境、用户模型、业务模型都发生了巨大的变化,用户对园区网络的移动性、安全性、业务质量等方面也有了更高的要求。与此同时,园区网管理与以往相比也有了很大的不同,它不再局限于设备的管理,而是更关注接入、安全、业务、流量等方面的管理。具体包括以下几个方面:
除传统的有线接入外,WLAN、物联网等技术的应用越来越广泛,接入终端类型越来越多,且办公室、无线、SOHO等接入场景不固定。
如何对不同的园区网络进行管理,以便为用户提供始终如一的IT服务?企业内部员工、合作伙伴、外来访客等人员众多且角色复杂,存在病毒传播、黑客攻击、信息泄露、非法接入、违规上网等行为与潜在威胁。如何防范与化解?
不同的业务部门有不同的访问权限和业务系统,如何将用户和业务相互隔离并下发正确的权限,使恰当的人访问恰当的资源?
不同的业务系统对网络带宽、数据传输能力有不同的要求。如何判断网络中存在的瓶颈,对业务性能加以优化?
更灵活、更安全、更精细的园区网管理
图1. 园区网新一代管理模型
如图1所示。为满足园区网在移动性、安全性、高质量等方面管理需求,其管理必须具备更灵活、更安全、更精细的特征,具体包括以下几个方面:
第一个层面,实现有线无线一体化管理
有线与无线网络的融合使两个网络之间的界限变得越来越模糊。此时,无线网络带来的特殊业务、非法无线设备接入时的信息泄露、基于用户的安全防护等问题,都给网管带来了新的管理挑战。
很多企业将无线与有线网络分开管理,分别使用专门的管理工具软件。这不仅带来重复投资浪费,且与有线网管隔裂的无线网管难以对无线用户做到更精细的管理与控制,如判断某个MAC地址的无线用户是否有非法上网行为,发现无线用户漫游到某个交换机端口并在端口上设置安全规则对用户进行控制……,等等。因此,只有有线无线一体化的网管才能将这些问题有效的解决。
有线无线一体化管理要求在同一个管理平台上实现两者的融合,在底层将MIB、命令行格式等打通,在功能上将拓扑、告警、性能等相互兼容,在技术上则需要将ACL、QoS等应用到无线网络中,实现设备的一体化管理。这样,用户可以在同一套软件、同一个拓扑上查看有线和无线设备的状态,在利用成熟的有线管理技术的同时,还可以对无线设备和无线业务进行单独配置,实现AC、Fat AP、Fit AP、移动终端的统一管理;另外,无线网络的AP数量众多,可能存在非法AP设备接入的问题,管理软件还应提供Rouge AP防护、热点覆盖、无线定位等多种业务功能,并对海量设备提供批量配置升级、策略模板等功能,提升管理效率,降低维护成本。
第二个层面,实现可信可控可审计的安全接入
对园区网而言,安全问题非常重要。一旦在网络内发生病毒和蠕虫肆虐,破坏程度和范围将持续扩大,严重时会引起系统崩溃、网络瘫痪,使用户蒙受严重损失。此外,对于有业务和应用隔离需求的用户来说,频繁的业务变化要求网络基础设施具备动态、易于调整的特点,而传统通过物理方式隔离的管理方案无法满足需求。网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等,都大大增加了用户在网络投资、建设和运维、管理方面的负担。这就需要园区网管理能够基于用户身份进行隔离和权限下发,并实现事前认证、事中控制和事后的审计;
首先从控制用户安全接入网络的角度入手,集成终端安全检查、用户身份认证、动态访问授权、用户行为审计等功能,通过智能客户端、安全策略服务器、智能联动设备以及第三方软件的联动,对访问园区网的用户终端强制实施安全检查,严格控制终端用户的网络使用行为,以加强用户终端的主动防御能力,为网管人员提供有效、易用的管理工具和手段。
园区网管理还应该保证访问网络的用户正确获得访问相关资源的权限,对认证用户动态下发VPN、VLAN、ACL等安全控制策略,根据业务和应用划分访问权限和业务流向,进行横向安全隔离,同时也能根据需要提供灵活的互访控制。管理软件还应该考虑与部署在Internet出口的行为审计系统联动,将审计信息中的IP地址与用户身份信息的自动关联,实现基于用户的行为审计,进一步加强整网的稳定和安全。
第三个层面,实现端到端的业务感知与性能优化
随着IP电话、视频会议等带宽敏感型业务和无线局域网、城域以太网的应用越来越广泛,带宽丰富的园区网开始出现带宽不够用、性能瓶颈等情况。从网络的角度感知业务、保障业务的传输质量变得重要起来。这需要园区网管理在关键业务出现不正常时,能够对端到端的业务流量进行分析,判断出流量瓶颈并进行性能优化。
园区网管理要能满足企业对业务流量的感知和分析需求。对于各种业务在网络中的运行情况,管理软件提供基于NetStream/sFlow/DIG等多种技术的流量分析功能,通过各种可视化的流量视图,对业务流量中的接口、应用、主机、会话、IP组、7层应用等进行分析,从而找出流量瓶颈,规划接口带宽,建立各种业务的流量分布模型。需要指出的是,MPLS VPN、IPv6等技术在园区网内的应用越来越广泛,管理软件必须考虑对MPLS和IPv6的支持,以便在需要时分析出每个VPN或IPv6网络的流量分布情况。
同时还应该能满足企业对业务传输质量的性能优化和测量需求,这要求管理软件能够与路由、交换设备配合,完成流量性能优化的配置,通过方便、易用的图形化界面,让管理员可以实现对指定的关键业务、关键用户进行端到端服务保证,真正实现QoS的所见即可得。对于某些业务(如IP语音的时延、抖动、丢包等),通过对关键指标的测量,就可以知道传输质量能否满足要求,这要求管理软件可以提供图形化的SLA(服务水平协议)工具,有效审计和判断QoS实施效果。
小结和展望
园区网的新一代管理具有更灵活、更安全、更精细的特点,这要求管理平台、终端软件、安全设备等各种资源之间能够实现智能联动,从而为一体化、可信任、业务隔离、精细感知的园区网管理打下基础。此外,与数据中心有关的标准化、虚拟化、自动化等技术正方兴未艾,使园区网架构向扁平化方向发展;FCoE技术的引入也使存储设备成为园区网管理的对象,而虚拟交换机、虚拟服务器等虚拟设备的广泛应用将对园区网管理带来新的挑战。从封闭到融合、从静态到动态、从物理到虚拟,将成为园区网新的发展方向。