您的位置: 网界网 > 网络通信 > 正文

业务随行与传统网络准入控制技术的前世今生

2014年04月01日 15:59:54 | 作者:瞿靖 | 来源: | 查看本文手机版

摘要:敏捷网络在去年发布以来,业务随行、安全协防、iPCA等将SDN创新引入到园区的特性引起业界用户的广泛关注。敏捷网络与传统的方案、技术有什么区别,或者说敏捷在哪里?我们先来说说敏捷网络业务随行和NAC技术的前世今生。

标签
NAC
敏捷网络
INTEROP 2014

敏捷网络在去年发布以来,业务随行、安全协防、iPCA等将SDN[注]创新引入到园区的特性引起业界用户的广泛关注。敏捷网络与传统的方案、技术有什么区别,或者说敏捷在哪里?我们先来说说敏捷网络业务随行和NAC技术的前世今生。 

NAC(Network Access Control)网络准入控制技术通过网络设备和认证服务器间的交互来实现用户的认证、访问权限、带宽等动态控制,而如果你对业务随行特性有所了解,就会发现这套方案也是通过网络设备和控制器(Controller)间的交互来实现用户认证和业务保障,这看起来非常类似,两者之间有什么关系呢?

NAC技术的诞生主要是用于网络的准入和访问控制,其核心功能是:
对用户进行身份鉴别和终端健康检查,并依据结果允许或拒绝用户接入网络。
针对用户角色,比如是办公人员还是访客,实现固定核心资源的访问权限控制。 

可以看出NAC技术更加关注安全,强调用户整个准入过程的可管控及用户入网后访问资源服务器的授权控制。相比而言这个领域并不特别关注用户访问的质量。 

近年来,随着无线网络广泛进入到企业园区和BYOD[注]等新兴技术的发展,用户的接入方式从原来主流的固定PC接入逐渐演变为通过便携、PAD,甚至是手机通过WLAN或者3G移动网络接入。人们的办公行为正在全面移动化,伴随而来的是:
           1)用户可能在园区内任何地点随时接入,将导致接入设备上的策略随着接入人员的变化而急剧膨胀并频繁变更,给管理人员带来繁重工作。
           2)移动化将导致研发、财经、市场、VIP用户等不同身份的人员可能同时在一个办公区接入,这些不同身份的用户间需要网络访问的隔离,甚至需要不同的业务优先级。
           3)用户移动过程中网络访问和业务体验的一致性保障已经提上日程,比如VIP用户在跨广域网访问、出差途中移动办公时都需要获得较高带宽和业务优先级保障。

这些都是围绕着用户移动化,也就是“行”而兴起的需求,对传统NAC技术形成了挑战,而业务随行的出现正是为了解决这些问题。围绕着“随行”设计的解决方案,在传统NAC技术基础之上,更专注于移动化带来用户与用户之间的隔离、安全控制,以及用户业务体验的一致性保障。 

用户间的隔离、安全控制:业务随行用全网识别的用户组来标示不同身份的移动用户,当不同身份的用户接入时,网络将了解信息发送者和接受者的身份,并通过控制器和用户最近的边缘设备智能联动,在不同用户组之间实施隔离策略。 

用户业务体验的一致性保障:网络将能通过控制器协调全网关键设备,智能调整策略来保障用户在网络中各处访问时的体验一致和业务调度,比如VIP用户在公司内部、外部、跨广域网时带宽和业务优先级的保障;访客类用户业务优先级和安全控制策略的一致;校园网中面向不同院系学生自动在电信、联动、Cernet等多互联网出口之间进行分流等。 

为了让策略能够“随行”,业务随行在技术和架构领域做了很多革命性的变更:

基于SDN的策略控制:和传统技术需要在接入设备、出口、数据中心连接点、带宽收敛点等等一一配置和维护不同(+本站微信networkworldweixin),业务随行引入SDN思想,所有用户组、以及和用户权限、体验相关的策略都集中在Controller配置,Controller会和全网设备交互,实现策略的转译和下发。

更多的控制设备:“随行”意味着策略的控制和实施要做到全网的保障,不能像以前一样仅仅聚焦在用户接入认证的单点,业务随行让全网的关键点设备包括接入/核心交换机、无线设备、防火墙、远程接入网关等都和Controller通信,加入到用户自动策略执行的行列。

更丰富的控制策略:除了传统NAC支持的权限策略之外,支持QoS策略、出口选路、业务引流等多样化的策略,在未来还可以像更丰富的应用安全策略等方向演进。

和NAC技术相比,业务随行更加适用于移动化带来的隔离和体验保障场景。它基于SDN思想设计,通过更丰富的策略、更全面的控制、更易用的方式来实现用户策略随行和体验随身,实现的效果是移动办公的人员不管在哪里,使用什么终端接入,体验能够一致。

参考资料

1.SDN:(Software Defined Network,软件定义网络)是一种新型的开放网络创新架构。最初是由美国斯坦福大学研究组提出,OpenFlow通过将网络设备控制面与数据面分离开来,从而实现...详情>>

2.BYOD:(Bring Your Own Device)是指携带自己的设备办公,这些设备包括个人电脑、手机、平板等,使用者可以不受时间、地点、设备、人员、网络环境的限制登陆到公司网络,并进行工...详情>>

[责任编辑:郑楠 zheng_nan@cnw.com.cn]