網(wǎng)絡(luò)分段是IT圈中的一個(gè)熱門(mén)話題，所以在博客中討論這一重要的行業(yè)趨勢(shì)恰逢其時(shí)。本文將定義網(wǎng)絡(luò)分段，解釋使用網(wǎng)絡(luò)分段的原因，并探討相關(guān)的使用場(chǎng)景和技術(shù)。

什么是網(wǎng)絡(luò)分段？

網(wǎng)絡(luò)分段是一種將一個(gè)大型網(wǎng)絡(luò)分隔成多個(gè)較小的邏輯網(wǎng)絡(luò)或網(wǎng)段的做法。使用網(wǎng)絡(luò)分段的原因有很多，但主要是為了提高網(wǎng)絡(luò)安全性和/或改善用戶體驗(yàn)。

如何使用VLAN和VXLAN？

網(wǎng)絡(luò)分段主要通過(guò)兩種方法實(shí)現(xiàn)，不過(guò)這兩種方法非常相似。幾十年來(lái)，虛擬局域網(wǎng)（VLAN）一直是主要的網(wǎng)絡(luò)隔離方法，所以它不是一個(gè)新的概念。隨著技術(shù)的發(fā)展，VLAN固有的限制就變得十分明顯——每個(gè)管理域最大只能支持4094個(gè)VLAN網(wǎng)絡(luò)。為克服這一限制，提出來(lái)了虛擬可擴(kuò)展局域網(wǎng)（VXLAN）的技術(shù)，將每個(gè)管理域的網(wǎng)絡(luò)數(shù)量擴(kuò)大到1600萬(wàn)個(gè)。另一種網(wǎng)絡(luò)分段的方法是IP子網(wǎng)，即使用IP地址將網(wǎng)絡(luò)劃分為更小的子網(wǎng)絡(luò)并通過(guò)網(wǎng)絡(luò)設(shè)備連接。這種方法不僅能提高網(wǎng)絡(luò)性能，還能將網(wǎng)絡(luò)威脅限定在特定VLAN或子網(wǎng)內(nèi)。

通過(guò)監(jiān)控東西向流量提高安全性

除了擴(kuò)展可用網(wǎng)絡(luò)以外，網(wǎng)絡(luò)分段還能帶來(lái)許多其他好處。首先是提高IT安全性。通過(guò)網(wǎng)絡(luò)分段，可以將網(wǎng)絡(luò)中某一網(wǎng)段的任何惡意軟件或漏洞控制在該網(wǎng)段內(nèi)，使其更難擴(kuò)散到整個(gè)網(wǎng)絡(luò)。

通過(guò)減少第2層工作負(fù)載提高性能

其次，網(wǎng)絡(luò)分段可以提升用戶體驗(yàn)。您可以利用分段為終端用戶提供更加個(gè)性化的體驗(yàn)。網(wǎng)絡(luò)分段還可以通過(guò)消除或降低網(wǎng)絡(luò)擁塞和干擾來(lái)確保一組或多組設(shè)備的性能（帶寬）。另一個(gè)實(shí)現(xiàn)性能優(yōu)勢(shì)的方法是將訪客用戶與支持關(guān)鍵業(yè)務(wù)數(shù)據(jù)流量的企業(yè)用戶部署在不同的網(wǎng)絡(luò)分段中，這樣可以讓從事關(guān)鍵業(yè)務(wù)活動(dòng)的設(shè)備不再與訪問(wèn)如流媒體視頻等應(yīng)用的訪客來(lái)競(jìng)爭(zhēng)網(wǎng)絡(luò)流量。

以防火墻為終結(jié)點(diǎn)的網(wǎng)絡(luò)隔離可提高網(wǎng)絡(luò)安全性

將網(wǎng)絡(luò)劃分為多個(gè)網(wǎng)段后，進(jìn)入的威脅就無(wú)法橫向移動(dòng)從而輕易的擴(kuò)散到到其他設(shè)備上。由于將威脅隔離在一個(gè)較小的網(wǎng)絡(luò)中而非一整個(gè)大型網(wǎng)絡(luò)，因此更加便于確定威脅的來(lái)源。對(duì)于IT安全方面帶來(lái)的好處則是將某些設(shè)備和用戶與其他設(shè)備和用戶相隔離可以更容易地實(shí)現(xiàn)安全合規(guī)。與訪客設(shè)備甚至內(nèi)部BYOD設(shè)備相比，IT所擁有和管理的設(shè)備通常風(fēng)險(xiǎn)較低，因此可以將它們放置在專屬的網(wǎng)段中。

有了網(wǎng)絡(luò)分段，即便這些高風(fēng)險(xiǎn)設(shè)備中的一臺(tái)受到威脅，威脅也無(wú)法擴(kuò)散到位于其他網(wǎng)段上更為關(guān)鍵的IT資源。當(dāng)這些被隔離的流量試圖穿越防火墻時(shí)，可以對(duì)其進(jìn)行攔截和報(bào)告，從而在遭受入侵時(shí)更快速地發(fā)出警報(bào)。

您還可以確定哪些物聯(lián)網(wǎng)設(shè)備比網(wǎng)絡(luò)上的其他設(shè)備面臨更高的風(fēng)險(xiǎn)，并將它們置于單獨(dú)的網(wǎng)段中。您甚至可以將每一種物聯(lián)網(wǎng)設(shè)備都放在它們自己的網(wǎng)絡(luò)中，與其他設(shè)備和需要保護(hù)的網(wǎng)絡(luò)資源分開(kāi)。雖然網(wǎng)絡(luò)上的任何一臺(tái)設(shè)備遭到入侵都不是好事，但網(wǎng)絡(luò)分段可以讓您將這些設(shè)備與其他設(shè)備相隔離，防止威脅擴(kuò)散?；ヂ?lián)網(wǎng)上有很多關(guān)于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的報(bào)道，因此您需要考慮支持物聯(lián)網(wǎng)的網(wǎng)絡(luò)分段。

通過(guò)網(wǎng)絡(luò)分段改善用戶體驗(yàn)

IT安全場(chǎng)景適用于各行各業(yè)，而用戶體驗(yàn)場(chǎng)景則更具有行業(yè)特點(diǎn)。網(wǎng)絡(luò)分段對(duì)于多住戶單元（MDU）領(lǐng)域非常重要。多住戶單元是指任何以多住戶居住為特征的環(huán)境，如公寓大樓、老年生活社區(qū)、房車公園等。高等教育機(jī)構(gòu)的宿舍也屬于這種環(huán)境。

此類物業(yè)越來(lái)越多地采用可管理的企業(yè)級(jí)網(wǎng)絡(luò)代替每個(gè)住戶單獨(dú)接入互聯(lián)網(wǎng)服務(wù)提供商的傳統(tǒng)模式。企業(yè)級(jí)網(wǎng)絡(luò)在這種類似于郊區(qū)社區(qū)的環(huán)境中的優(yōu)勢(shì)十分明顯，因?yàn)橐酝@種環(huán)境中的居民一旦離開(kāi)單元范圍，就會(huì)斷開(kāi)與網(wǎng)絡(luò)的連接。在部署企業(yè)級(jí)網(wǎng)絡(luò)后，網(wǎng)絡(luò)管理員就可以利用統(tǒng)一的基礎(chǔ)設(shè)施提供這些額外的優(yōu)勢(shì)。

微分段提高用戶隱私和安全性

IT團(tuán)隊(duì)和托管服務(wù)提供商可以利用這種統(tǒng)一基礎(chǔ)設(shè)施為住戶提供個(gè)人專屬網(wǎng)絡(luò)。MDU物業(yè)中的每個(gè)單元都有自己的個(gè)人專屬網(wǎng)絡(luò)（VLAN/VXLAN），住戶只能看到自己的設(shè)備，而看不到鄰居的設(shè)備。由于只有單個(gè)單元而非整個(gè)物業(yè)內(nèi)的設(shè)備能夠響應(yīng)廣播幀，因此這種隔離提高了線路資源的利用率。用戶的設(shè)備和流量與鄰居隔離，而且他們也看不到鄰居的設(shè)備和流量，所以這一功能還能保護(hù)住戶的隱私。

最重要的是，當(dāng)住戶訪問(wèn)物業(yè)內(nèi)的任何設(shè)施時(shí)，他們的SSID會(huì)跟隨他們，在整個(gè)物業(yè)內(nèi)提供端到端個(gè)人專屬無(wú)線網(wǎng)絡(luò)。這能給住戶帶來(lái)很好的用戶體驗(yàn)，有助于物業(yè)吸引和留住住戶。對(duì)于高等教育機(jī)構(gòu)來(lái)說(shuō)，個(gè)人專屬網(wǎng)絡(luò)是滿足學(xué)生對(duì)Wi-Fi高期望的絕佳方式。

如何使用RUCKUS進(jìn)行網(wǎng)絡(luò)分段

RUCKUS Networks支持所有IEEE行業(yè)標(biāo)準(zhǔn)，具備實(shí)現(xiàn)網(wǎng)絡(luò)分段所需的一切功能。RUCKUS使用VLAN和VXLAN實(shí)現(xiàn)網(wǎng)絡(luò)分段，網(wǎng)絡(luò)上最多可有4094個(gè)VLAN和1600萬(wàn)個(gè) VXLAN。如前文所述，這一限制并非RUCKUS特有，而是IEEE 802.1Q標(biāo)準(zhǔn)所規(guī)定的。VXLAN可以在單個(gè)管理域上擴(kuò)展到1600萬(wàn)個(gè) “網(wǎng)絡(luò)”，這能夠帶來(lái)一個(gè)額外的好處——這些網(wǎng)絡(luò)可以跨越多個(gè)物理網(wǎng)段和地理區(qū)域。由于VXLAN是在三層網(wǎng)絡(luò)上實(shí)現(xiàn)二層網(wǎng)絡(luò)的分區(qū)，因此是可以支持這樣的網(wǎng)絡(luò)設(shè)計(jì)的。

RUCKUS網(wǎng)絡(luò)分段引擎的核心是我們的Cloudpath注冊(cè)系統(tǒng)，它通過(guò)云服務(wù)（也支持本地部署）來(lái)提供安全登錄和網(wǎng)絡(luò)接入。Cloudpath系統(tǒng)的美妙之處在于，您可以在沒(méi)有RUCKUS接入點(diǎn)、SmartZone控制器或ICX交換機(jī)的情況下使用它，但只有與RUCKUS融合控制器、RUCKUS接入點(diǎn)和ICX交換機(jī)搭配使用時(shí)，才能充分發(fā)揮Cloudpath的技術(shù)優(yōu)勢(shì)。

基于完整的RUCKUS網(wǎng)絡(luò)，管理員就可以利用VLAN或VXLAN根據(jù)自己的需求和能力完成網(wǎng)絡(luò)分段。在使用Cloudpath進(jìn)行網(wǎng)絡(luò)分段時(shí)，您還能為每臺(tái)設(shè)備關(guān)聯(lián)用戶身份。

您可在RUCKUS解決方案頁(yè)面了解更多有關(guān)網(wǎng)絡(luò)分段的信息，包括視頻，解決方案簡(jiǎn)介以及更多內(nèi)容您還可以訪問(wèn)我們最新的 AVE Union案例分享（AVE Union是一個(gè)使用VLAN為住戶提供個(gè)人專屬網(wǎng)絡(luò)的MDU物業(yè)）。網(wǎng)絡(luò)分段能夠?yàn)槠髽I(yè)機(jī)構(gòu)帶來(lái)許多優(yōu)勢(shì)。如果您有興趣在您的環(huán)境中使用這項(xiàng)技術(shù)，請(qǐng)隨時(shí)聯(lián)系您的RUCKUS合作伙伴。

網(wǎng)絡(luò)分段（微隔離）的3大優(yōu)勢(shì)是什么？

網(wǎng)絡(luò)分段的三個(gè)主要目的是：

增強(qiáng)安全性：網(wǎng)絡(luò)分段可將扁平網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)或網(wǎng)段，從而減少攻擊面。分段限制了攻擊者在網(wǎng)絡(luò)內(nèi)的橫向移動(dòng)。即便攻擊者入侵網(wǎng)絡(luò)，他們也只能訪問(wèn)網(wǎng)絡(luò)中的有限部分，而不是整個(gè)系統(tǒng)。這正是微分段能達(dá)到的效果，通過(guò)在工作負(fù)載層面應(yīng)用安全策略來(lái)實(shí)現(xiàn)更加精細(xì)化的安全保護(hù)。它同時(shí)也是“最小權(quán)限”策略的關(guān)鍵組成部分，該策略規(guī)定每個(gè)網(wǎng)段除所需要的訪問(wèn)權(quán)限外，不得擁有任何其他權(quán)限。這種方法對(duì)于保護(hù)信用卡信息等敏感數(shù)據(jù)尤其重要，符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）等標(biāo)準(zhǔn)。

提高性能：網(wǎng)絡(luò)分段可提高網(wǎng)絡(luò)性能。通過(guò)隔離網(wǎng)絡(luò)流量，可以確保關(guān)鍵服務(wù)獲得所需的帶寬。這一點(diǎn)在需要高效管理如東西向流量（數(shù)據(jù)中心服務(wù)器之間的流量）等各類流量的數(shù)據(jù)中心環(huán)境中尤其有用。網(wǎng)絡(luò)分段還能通過(guò)限制網(wǎng)段間的不必要流量，幫助減少擁塞。

提高控制和監(jiān)控力度：網(wǎng)絡(luò)分段可提高網(wǎng)絡(luò)可視性與控制。通過(guò)將網(wǎng)絡(luò)劃分成較小的部分，可以更容易地監(jiān)控流量、識(shí)別異常情況并發(fā)現(xiàn)潛在漏洞，同時(shí)還能對(duì)不同網(wǎng)段設(shè)置不同的信任級(jí)別，實(shí)現(xiàn)更加精準(zhǔn)的訪問(wèn)控制，例如可以將帶有敏感數(shù)據(jù)的終端與泄露風(fēng)險(xiǎn)較高的終端隔離。軟件定義網(wǎng)絡(luò)（SDN）和虛擬化等技術(shù)可以使這一過(guò)程更加易于管理和靈活。

結(jié)論

請(qǐng)記住，雖然網(wǎng)絡(luò)分段可以顯著提高您的網(wǎng)絡(luò)安全態(tài)勢(shì)，但它并不是包治百病的靈丹妙藥。網(wǎng)絡(luò)分段應(yīng)與防火墻、身份驗(yàn)證機(jī)制和強(qiáng)大的安全策略一同組成一套多層防御策略。