超级会员免费看
网络安全与漫游技术深度解析
1. 消除接入层边缘 VLAN 的思考
在行业内,关于摆脱 VLAN 分段,转而依靠接入层边缘的状态防火墙来控制用户访问权限的讨论十分热烈。这一想法有诸多优点,它能解决 IPv6 相关问题,还能简化网络设计。然而,对于如今的企业网络而言,存在一些重大挑战使得该想法难以实现。
许多供应商声称其 AP 和边缘交换机中的“状态”防火墙能够解决这些挑战,但目前这些解决方案在企业网络中并不足以解决问题,主要存在以下两个方面的问题:
- 身份验证问题 :在网络中,除了接入层边缘,其他地方也需要用户身份信息。例如,网页内容过滤就需要在网络的其他位置获取用户身份。在严格的企业环境中,活动目录集成有助于解决此类问题,但对于非域设备以及万物互联的组织来说,问题依旧存在。现有的一些解决方案,如 Radius 计费集成或域控制器上的代理,通常只是针对特定点的解决方案,不仅效果不佳,而且支持范围有限,并且它们是针对单个设备的,无法用于多个设备的身份确定。数据中心防火墙在这方面也存在不足,因为在可能无法获取用户身份的情况下,很难基于身份编写访问控制列表(ACL)。这就不可避免地需要更多的身份验证手段,如强制网络门户、VPN 客户端等。
- ACL 的可扩展性问题 :尝试编写复杂的 ACL 来控制客户端的访问权限时,会发现 ACL 很快就会变得难以管理。无法为每个潜在客户端能够访问的每个资源和端口有效地编写 ACL,而且这些 ACL 会占用网络设备中宝贵的 TCAM 空间,效率低下。
针对这些问题,一种解决方案是进行身份交换。思科有一对名为 SGT 和 SXP 的技术,结合 ISE 或
订阅专栏 解锁全文
扫一扫
99
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
