园区网络虚拟化无论规模如何或有什么安全需求,企业现在都能在单一物理网络上,受益于支持多个封闭用户组的虚拟化园区网络。综述随着对园区网络的需求日益复杂,可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。网络虚拟化提供了多个解决方案,能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时,实现服务和安全策略的集中。为达到出色效果,这些解决方案必须包括网络虚拟化的三个主要方面:访问控制、路径隔离和服务边缘。通过实施这些解决方案,网络虚拟化即能与思科系统公司®的服务导向网络架构(SONA)相结合,为迁移到智能化信息网络的企业创建一个强大的框架。SONA 网络利用 NAC 和 IEEE 802.1x 协议提供身份识别服务,从而实现最优访问控制。在用户获准接入网络后,三个路径隔离解决方案—GRE 隧道、VRF-lite和 MPLS VPN—能在保留当前园区网设计优势的同时,在现有局域网上叠加分区机制,将网络划分为安全、虚拟的网络。这些解决方案解决了与分布部署服务和安全策略相关的问题。最后,共享服务和安全策略实施的集中化,大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支。这种集中化有助于在园区中实施一致的策略。挑战园区网络的设计建议一直缺乏一种对网络流量分区,以便为封闭用户组提供安全独立环境的方式(表 1)。有许多因素都在推动对于创建封闭用户组的需要,包括: 企业中存在不同级别的访问权限:几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。 法规遵从性:部分企业受法律或规定的要求,必须对较大的机构进行分区。例如,在金融公司中,银行业务必须与证券交易业务分开。 过大的企业需要简化网络:对于非常大型的园区网络,如机场、医院或大学来说,过去,为保证不同用户组或部门间的安全性,就必须构建和管理不同的物理网络,这种做法既昂贵又难以管理。 网络整合:在合并和收购时,通常需要迅速集成所收购公司的网络。 外包:随着外包和离岸外包的普及,子承包商必须证明各客户的信息间完全隔离。尤其当一家承包商服务于相互竞争的公司时,这尤为重要。 提供网络服务的企业:零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入;同样,服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。 表 1. 不同垂直行业中网络分区的应用示例垂直行业网络虚拟化应...
