安全策略需要如影隨形
那么可否設(shè)計(jì)出一種“如影隨形”的智能網(wǎng)絡(luò)訪問控制管理方式呢?為此,思科在新的Catalyst 6500 Sup 2T管理引擎及6900系列線卡上新增設(shè)了通過ASIC實(shí)現(xiàn)的SGT(安全組標(biāo)簽)與SGACL(安全組訪問控制列表)功能。
要想實(shí)現(xiàn)“如影隨形”的訪問控制,最簡(jiǎn)捷的方式就是通過交換機(jī)ASIC芯片為用戶的流量打上標(biāo)記,并在后續(xù)的轉(zhuǎn)發(fā)控制中依據(jù)該標(biāo)記來(lái)執(zhí)行動(dòng)作,思科把這種安全標(biāo)記稱為SGT。這樣無(wú)論用戶是從外網(wǎng),還是從內(nèi)網(wǎng)的不同區(qū)域進(jìn)行訪問均可以迅速對(duì)用戶身份進(jìn)行判斷并標(biāo)記對(duì)應(yīng)的流量,再依據(jù)相應(yīng)管理權(quán)限進(jìn)行管理,對(duì)應(yīng)的安全管理策略稱為SGACL。SGT和SGACL的靈活應(yīng)用能改變當(dāng)前基于IP地址的傳統(tǒng)ACL復(fù)雜部署方式,用戶不再需要在每臺(tái)交換機(jī)上依據(jù)源目的地址等元素進(jìn)行大量的ACL手工配置,而是通過思科ISE(身份服務(wù)引擎)根據(jù)用戶身份驗(yàn)證來(lái)實(shí)現(xiàn)SGT/SGACL的動(dòng)態(tài)綁定和下發(fā),極大簡(jiǎn)化了安全管理部署,結(jié)合ISE的豐富特性,更能真正實(shí)現(xiàn)任何時(shí)間,任何地點(diǎn),任何設(shè)備的無(wú)邊界網(wǎng)絡(luò)智能安全管理目標(biāo)。
當(dāng)Sup 2T及6900線卡開啟SGT和SGACL功能后,憑借其基于ASIC的強(qiáng)大處理能力,可以依據(jù)用戶、接入點(diǎn)、接入設(shè)備類型等規(guī)則設(shè)計(jì)自動(dòng)的為用戶流量打上相應(yīng)的安全組標(biāo)簽。安全組標(biāo)簽十分小巧,僅需要4個(gè)字節(jié)的長(zhǎng)度,并且完全在硬件層面處理完成,因此在網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)過程中,幾乎不會(huì)對(duì)數(shù)據(jù)轉(zhuǎn)輸性能造成影響。
在實(shí)際驗(yàn)證測(cè)試中,我們通過不同的路由地址發(fā)出標(biāo)有不同SGT標(biāo)記的數(shù)據(jù)報(bào)文,并對(duì)這些數(shù)據(jù)報(bào)文通過SGACL進(jìn)行統(tǒng)計(jì)分析。測(cè)試結(jié)果表明,6500在開啟SGACL后,數(shù)據(jù)包丟包率為“0”,使能SGT/SGACL之后沒有影響正常業(yè)務(wù)轉(zhuǎn)發(fā)性能。并且可以及時(shí)準(zhǔn)確的對(duì)SGT標(biāo)記源目標(biāo)進(jìn)行分析并按SGACL的規(guī)則進(jìn)行歸類。(摘錄SGT命令行顯示如下:)
CNW.6506.S2T.VSS#sho cts role sgt-map all
Active IP-SGT Bindings Information
IP Address SGT Source
============================================
12.12.12.12 1212 INTERNAL
12.45.0.0/24 1245 CLI
12.45.0.254 1212 INTERNAL
12.49.0.0/24 1249 CLI
12.49.0.254 1212 INTERNAL
100.1.1.1 1212 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 2
Total number of INTERNAL bindings = 4
Total number of active bindings = 6
為用戶的數(shù)據(jù)流進(jìn)行SGT標(biāo)記只是基礎(chǔ),我們還需要為不同SGT的用戶進(jìn)行不同的訪問權(quán)限管理。在這里就需要應(yīng)用到Sup 2T及6900線卡的SGACL功能了。SGACL功能把普通ACL和用戶SGT關(guān)聯(lián)起來(lái),可依據(jù)SGT對(duì)用戶訪問請(qǐng)求進(jìn)行有效的安全策略管理。我們通過SGACL的管理容量表了解到其可以支持至少32000條SGACL的策略管理。
極小的SGT字節(jié)長(zhǎng)度和大容量的SGACL策略管理的有效結(jié)合,形成了Sup 2T高效精準(zhǔn)的網(wǎng)絡(luò)接入管理策略。憑借此策略,無(wú)論用戶是在任何地域,采用何種接入方式連入網(wǎng)絡(luò),網(wǎng)絡(luò)管理者均可以對(duì)用戶真實(shí)身分進(jìn)行準(zhǔn)確判定,并高效的按不同組別進(jìn)行不同權(quán)限的分類管理,從而達(dá)到了安全策略如影隨形的接入管理效果。自此,網(wǎng)絡(luò)管理者將無(wú)需再通過防火墻進(jìn)行復(fù)雜的網(wǎng)絡(luò)安全策略管理。在Catalyst 6500上,SGT和SGACL既可以通過手動(dòng)配置實(shí)現(xiàn),更可以通過思科ISE動(dòng)態(tài)下發(fā),是安全園區(qū)和BYOD解決方案的重要組件之一。
傳輸安全性的可靠保障——MPLS、VPLS疊加MACSec加密測(cè)試
在企業(yè)園區(qū)網(wǎng)的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用中,不但需要對(duì)用戶網(wǎng)絡(luò)接入權(quán)限進(jìn)行管理,還需要對(duì)網(wǎng)絡(luò)傳輸?shù)陌踩约翱煽啃赃M(jìn)行保障。在這方面,以往通常是由獨(dú)立的VPN(虛擬專用網(wǎng))產(chǎn)品或防火墻上附帶的VPN功能進(jìn)行實(shí)現(xiàn)的。
然而在以往的高可靠性網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)傳輸時(shí),無(wú)論是采用IPSec VPN還是SSL VPN技術(shù),均有兩個(gè)問題始終無(wú)法回避:一、接入匹配方式復(fù)雜,需求在客戶端進(jìn)行復(fù)雜的網(wǎng)絡(luò)接入設(shè)置,在多用戶應(yīng)用時(shí)無(wú)法很好的進(jìn)行管理。二、傳輸效率低下,VPN的數(shù)據(jù)傳輸性能只有網(wǎng)絡(luò)傳輸性能的幾分之一,用戶在實(shí)際應(yīng)用時(shí),要不需要多購(gòu)置VPN網(wǎng)絡(luò)設(shè)備,要不只能忍受低傳輸速率對(duì)企業(yè)業(yè)務(wù)的影響。
為了解決此類問題,思科將在城域網(wǎng)發(fā)展成熟的三層VPN數(shù)據(jù)傳輸技術(shù)MPLS(多協(xié)議標(biāo)簽交換)功能同樣引入了全系Catalyst 6500之中。通過LSP(從源端到終端路徑上的結(jié)點(diǎn)標(biāo)簽序列)將私有網(wǎng)絡(luò)的不同分支聯(lián)結(jié)起來(lái),形成一個(gè)統(tǒng)一的網(wǎng)絡(luò)。MPLS的支持優(yōu)勢(shì)在于:支持不同分支間IP地址復(fù)用的同時(shí),還可以支持對(duì)不同VPN間的互通控制。
為了更好的將不同地域分支機(jī)構(gòu)網(wǎng)絡(luò)進(jìn)行整合,新的Catalyst 6500在支持MPLS的基礎(chǔ)上,又增添了VPLS功能。VPLS支持點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)、多點(diǎn)到多點(diǎn)的業(yè)務(wù)類型,能夠在較大網(wǎng)絡(luò)規(guī)模下支持電信級(jí)以太網(wǎng)服務(wù)實(shí)現(xiàn)二層虛擬化。這樣即便網(wǎng)絡(luò)用戶所處在于不同的地域,但可以將所有網(wǎng)絡(luò)整合在一起,最大限度發(fā)揮網(wǎng)絡(luò)整合、統(tǒng)一應(yīng)用、統(tǒng)一管理的功效。
然而不論MPLS還是VPLS虛擬化方式都不能避免另一個(gè)問題存在,在異地跨公網(wǎng)進(jìn)行以太網(wǎng)數(shù)據(jù)傳輸時(shí),數(shù)據(jù)有可能被第三方截獲,造成信息泄密。為此,思科將業(yè)界最新的MACSec(802.1ae)二層加密技術(shù)引入到Catalyst 6500的SUP2T引擎及6900線卡之中,通過在二層上對(duì)所有以太網(wǎng)數(shù)據(jù)幀進(jìn)行加密封裝,在傳統(tǒng)以太網(wǎng)上實(shí)現(xiàn)媲美光網(wǎng)絡(luò)的傳輸安全性。由于MACSec是通過專用ASIC實(shí)現(xiàn),這樣在保證網(wǎng)絡(luò)傳輸吞吐量和延遲不受影響的同時(shí),又使網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩缘玫搅擞行ПU稀?br />