什么是網(wǎng)絡(luò)分段？為什么要使用網(wǎng)絡(luò)分段？

網(wǎng)絡(luò)分段是IT圈中的一個熱門話題，所以在博客中討論這一重要的行業(yè)趨勢恰逢其時。本文將定義網(wǎng)絡(luò)分段，解釋使用網(wǎng)絡(luò)分段的原因，并探討相關(guān)的使用場景和技術(shù)。

什么是網(wǎng)絡(luò)分段？

網(wǎng)絡(luò)分段是一種將一個大型網(wǎng)絡(luò)分隔成多個較小的邏輯網(wǎng)絡(luò)或網(wǎng)段的做法。使用網(wǎng)絡(luò)分段的原因有很多，但主要是為了提高網(wǎng)絡(luò)安全性和/或改善用戶體驗。

如何使用VLAN和VXLAN？

網(wǎng)絡(luò)分段主要通過兩種方法實現(xiàn)，不過這兩種方法非常相似。幾十年來，虛擬局域網(wǎng)（VLAN）一直是主要的網(wǎng)絡(luò)隔離方法，所以它不是一個新的概念。隨著技術(shù)的發(fā)展，VLAN固有的限制就變得十分明顯——每個管理域最大只能支持4094個VLAN網(wǎng)絡(luò)。為克服這一限制，提出來了虛擬可擴展局域網(wǎng)（VXLAN）的技術(shù)，將每個管理域的網(wǎng)絡(luò)數(shù)量擴大到1600萬個。另一種網(wǎng)絡(luò)分段的方法是IP子網(wǎng)，即使用IP地址將網(wǎng)絡(luò)劃分為更小的子網(wǎng)絡(luò)并通過網(wǎng)絡(luò)設(shè)備連接。這種方法不僅能提高網(wǎng)絡(luò)性能，還能將網(wǎng)絡(luò)威脅限定在特定VLAN或子網(wǎng)內(nèi)。

通過監(jiān)控東西向流量提高安全性

除了擴展可用網(wǎng)絡(luò)以外，網(wǎng)絡(luò)分段還能帶來許多其他好處。首先是提高IT安全性。通過網(wǎng)絡(luò)分段，可以將網(wǎng)絡(luò)中某一網(wǎng)段的任何惡意軟件或漏洞控制在該網(wǎng)段內(nèi)，使其更難擴散到整個網(wǎng)絡(luò)。

通過減少第2層工作負載提高性能

其次，網(wǎng)絡(luò)分段可以提升用戶體驗。您可以利用分段為終端用戶提供更加個性化的體驗。網(wǎng)絡(luò)分段還可以通過消除或降低網(wǎng)絡(luò)擁塞和干擾來確保一組或多組設(shè)備的性能（帶寬）。另一個實現(xiàn)性能優(yōu)勢的方法是將訪客用戶與支持關(guān)鍵業(yè)務(wù)數(shù)據(jù)流量的企業(yè)用戶部署在不同的網(wǎng)絡(luò)分段中，這樣可以讓從事關(guān)鍵業(yè)務(wù)活動的設(shè)備不再與訪問如流媒體視頻等應(yīng)用的訪客來競爭網(wǎng)絡(luò)流量。

以防火墻為終結(jié)點的網(wǎng)絡(luò)隔離可提高網(wǎng)絡(luò)安全性

將網(wǎng)絡(luò)劃分為多個網(wǎng)段后，進入的威脅就無法橫向移動從而輕易的擴散到到其他設(shè)備上。由于將威脅隔離在一個較小的網(wǎng)絡(luò)中而非一整個大型網(wǎng)絡(luò)，因此更加便于確定威脅的來源。對于IT安全方面帶來的好處則是將某些設(shè)備和用戶與其他設(shè)備和用戶相隔離可以更容易地實現(xiàn)安全合規(guī)。與訪客設(shè)備甚至內(nèi)部BYOD設(shè)備相比，IT所擁有和管理的設(shè)備通常風(fēng)險較低，因此可以將它們放置在專屬的網(wǎng)段中。

有了網(wǎng)絡(luò)分段，即便這些高風(fēng)險設(shè)備中的一臺受到威脅，威脅也無法擴散到位于其他網(wǎng)段上更為關(guān)鍵的IT資源。當(dāng)這些被隔離的流量試圖穿越防火墻時，可以對其進行攔截和報告，從而在遭受入侵時更快速地發(fā)出警報。

您還可以確定哪些物聯(lián)網(wǎng)設(shè)備比網(wǎng)絡(luò)上的其他設(shè)備面臨更高的風(fēng)險，并將它們置于單獨的網(wǎng)段中。您甚至可以將每一種物聯(lián)網(wǎng)設(shè)備都放在它們自己的網(wǎng)絡(luò)中，與其他設(shè)備和需要保護的網(wǎng)絡(luò)資源分開。雖然網(wǎng)絡(luò)上的任何一臺設(shè)備遭到入侵都不是好事，但網(wǎng)絡(luò)分段可以讓您將這些設(shè)備與其他設(shè)備相隔離，防止威脅擴散?；ヂ?lián)網(wǎng)上有很多關(guān)于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的報道，因此您需要考慮支持物聯(lián)網(wǎng)的網(wǎng)絡(luò)分段。

通過網(wǎng)絡(luò)分段改善用戶體驗

IT安全場景適用于各行各業(yè)，而用戶體驗場景則更具有行業(yè)特點。網(wǎng)絡(luò)分段對于多住戶單元（MDU）領(lǐng)域非常重要。多住戶單元是指任何以多住戶居住為特征的環(huán)境，如公寓大樓、老年生活社區(qū)、房車公園等。高等教育機構(gòu)的宿舍也屬于這種環(huán)境。

此類物業(yè)越來越多地采用可管理的企業(yè)級網(wǎng)絡(luò)代替每個住戶單獨接入互聯(lián)網(wǎng)服務(wù)提供商的傳統(tǒng)模式。企業(yè)級網(wǎng)絡(luò)在這種類似于郊區(qū)社區(qū)的環(huán)境中的優(yōu)勢十分明顯，因為以往這種環(huán)境中的居民一旦離開單元范圍，就會斷開與網(wǎng)絡(luò)的連接。在部署企業(yè)級網(wǎng)絡(luò)后，網(wǎng)絡(luò)管理員就可以利用統(tǒng)一的基礎(chǔ)設(shè)施提供這些額外的優(yōu)勢。

微分段提高用戶隱私和安全性

IT團隊和托管服務(wù)提供商可以利用這種統(tǒng)一基礎(chǔ)設(shè)施為住戶提供個人專屬網(wǎng)絡(luò)。MDU物業(yè)中的每個單元都有自己的個人專屬網(wǎng)絡(luò)（VLAN/VXLAN），住戶只能看到自己的設(shè)備，而看不到鄰居的設(shè)備。由于只有單個單元而非整個物業(yè)內(nèi)的設(shè)備能夠響應(yīng)廣播幀，因此這種隔離提高了線路資源的利用率。用戶的設(shè)備和流量與鄰居隔離，而且他們也看不到鄰居的設(shè)備和流量，所以這一功能還能保護住戶的隱私。

最重要的是，當(dāng)住戶訪問物業(yè)內(nèi)的任何設(shè)施時，他們的SSID會跟隨他們，在整個物業(yè)內(nèi)提供端到端個人專屬無線網(wǎng)絡(luò)。這能給住戶帶來很好的用戶體驗，有助于物業(yè)吸引和留住住戶。對于高等教育機構(gòu)來說，個人專屬網(wǎng)絡(luò)是滿足學(xué)生對Wi-Fi高期望的絕佳方式。

如何使用RUCKUS進行網(wǎng)絡(luò)分段

RUCKUS Networks支持所有IEEE行業(yè)標(biāo)準(zhǔn)，具備實現(xiàn)網(wǎng)絡(luò)分段所需的一切功能。RUCKUS使用VLAN和VXLAN實現(xiàn)網(wǎng)絡(luò)分段，網(wǎng)絡(luò)上最多可有4094個VLAN和1600萬個 VXLAN。如前文所述，這一限制并非RUCKUS特有，而是IEEE 802.1Q標(biāo)準(zhǔn)所規(guī)定的。VXLAN可以在單個管理域上擴展到1600萬個 “網(wǎng)絡(luò)”，這能夠帶來一個額外的好處——這些網(wǎng)絡(luò)可以跨越多個物理網(wǎng)段和地理區(qū)域。由于VXLAN是在三層網(wǎng)絡(luò)上實現(xiàn)二層網(wǎng)絡(luò)的分區(qū)，因此是可以支持這樣的網(wǎng)絡(luò)設(shè)計的。

RUCKUS網(wǎng)絡(luò)分段引擎的核心是我們的Cloudpath注冊系統(tǒng)，它通過云服務(wù)（也支持本地部署）來提供安全登錄和網(wǎng)絡(luò)接入。Cloudpath系統(tǒng)的美妙之處在于，您可以在沒有RUCKUS接入點、SmartZone控制器或ICX交換機的情況下使用它，但只有與RUCKUS融合控制器、RUCKUS接入點和ICX交換機搭配使用時，才能充分發(fā)揮Cloudpath的技術(shù)優(yōu)勢。

基于完整的RUCKUS網(wǎng)絡(luò)，管理員就可以利用VLAN或VXLAN根據(jù)自己的需求和能力完成網(wǎng)絡(luò)分段。在使用Cloudpath進行網(wǎng)絡(luò)分段時，您還能為每臺設(shè)備關(guān)聯(lián)用戶身份。

您可在RUCKUS解決方案頁面了解更多有關(guān)網(wǎng)絡(luò)分段的信息，包括視頻，解決方案簡介以及更多內(nèi)容您還可以訪問我們最新的 AVE Union案例分享（AVE Union是一個使用VLAN為住戶提供個人專屬網(wǎng)絡(luò)的MDU物業(yè)）。網(wǎng)絡(luò)分段能夠為企業(yè)機構(gòu)帶來許多優(yōu)勢。如果您有興趣在您的環(huán)境中使用這項技術(shù)，請隨時聯(lián)系您的RUCKUS合作伙伴。

網(wǎng)絡(luò)分段（微隔離）的3大優(yōu)勢是什么？

網(wǎng)絡(luò)分段的三個主要目的是：

增強安全性：網(wǎng)絡(luò)分段可將扁平網(wǎng)絡(luò)劃分為多個子網(wǎng)或網(wǎng)段，從而減少攻擊面。分段限制了攻擊者在網(wǎng)絡(luò)內(nèi)的橫向移動。即便攻擊者入侵網(wǎng)絡(luò)，他們也只能訪問網(wǎng)絡(luò)中的有限部分，而不是整個系統(tǒng)。這正是微分段能達到的效果，通過在工作負載層面應(yīng)用安全策略來實現(xiàn)更加精細化的安全保護。它同時也是“最小權(quán)限”策略的關(guān)鍵組成部分，該策略規(guī)定每個網(wǎng)段除所需要的訪問權(quán)限外，不得擁有任何其他權(quán)限。這種方法對于保護信用卡信息等敏感數(shù)據(jù)尤其重要，符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）等標(biāo)準(zhǔn)。

提高性能：網(wǎng)絡(luò)分段可提高網(wǎng)絡(luò)性能。通過隔離網(wǎng)絡(luò)流量，可以確保關(guān)鍵服務(wù)獲得所需的帶寬。這一點在需要高效管理如東西向流量（數(shù)據(jù)中心服務(wù)器之間的流量）等各類流量的數(shù)據(jù)中心環(huán)境中尤其有用。網(wǎng)絡(luò)分段還能通過限制網(wǎng)段間的不必要流量，幫助減少擁塞。

提高控制和監(jiān)控力度：網(wǎng)絡(luò)分段可提高網(wǎng)絡(luò)可視性與控制。通過將網(wǎng)絡(luò)劃分成較小的部分，可以更容易地監(jiān)控流量、識別異常情況并發(fā)現(xiàn)潛在漏洞，同時還能對不同網(wǎng)段設(shè)置不同的信任級別，實現(xiàn)更加精準(zhǔn)的訪問控制，例如可以將帶有敏感數(shù)據(jù)的終端與泄露風(fēng)險較高的終端隔離。軟件定義網(wǎng)絡(luò)（SDN）和虛擬化等技術(shù)可以使這一過程更加易于管理和靈活。

結(jié)論

請記住，雖然網(wǎng)絡(luò)分段可以顯著提高您的網(wǎng)絡(luò)安全態(tài)勢，但它并不是包治百病的靈丹妙藥。網(wǎng)絡(luò)分段應(yīng)與防火墻、身份驗證機制和強大的安全策略一同組成一套多層防御策略。