传统三层组网架构(核心、汇聚、接入)已经非常成熟,在各行各业稳定运行了很多年。三层架构在扩展性和性能上都能做到兼顾,通过VLAN将广播域限制在一个比较小的规模内,大大提高了数据的路由交换效率。但随着时代的发展,新的场景和需求又带来新的挑战。
比如VLAN网络划分导致业务部门搬家所有终端和网络都要重新规划。每个VLAN规模都限制在253台终端的C地址段。不同楼栋、楼层和园区都使用的是不同的VLAN。业务没有办法跨VLAN迁移,跨VLAN就意味着换网段。
另一个VLAN导致的安全问题是,通过VLAN进行网段划分,终端在安全隔离上天生具有脆弱性。同网段的终端的通讯不经过网关,导致主机与主机间的病毒传播无法阻断,病毒可以顺着网络横向传播,感染同网段的所有主机。防火墙一般部署在网络边界处,对于不经过网关的流量无法做到阻断。当VLAN数量过多之后,为了制定不同VLAN间的访问策略,在交换机上写ACL策略也将因为VLAN数过多无法操作。在安全隔离上,如果想限制不同VLAN间的互访,除了写ACL策略就只能把网关架上防火墙上或让网络流量经过防火墙,通过防火墙策略进行阻断。传统路由策略只能做到让网络通,实际上无法做到VLAN间的隔离。网关如果都在核心交换机上,核心交换机会自动转发VLAN间的流量。为了隔离VLAN只能上防火墙或写ACL,但都会非常困难。可以说交换机不太适合做隔离,它天生就是用来做寻址和数据交换的。
在传统三层可网管关交换机的硬件基础上有没有可能实际大二层网络?比如用一个16位掩码的B类地址分一个大的网络,实现65535台主机间的通信。这样做有两个效果,一是它的优点,它可以做到大家都在一个网段内,如果是搬家或移动位置此时是不用变动网段的。另一个是它的缺点,当网段过大、主机过多之后,冲突域变大。那么发生广播风暴之后全网流量都会变大,甚至会导致网络瘫痪。如果出现环路也很难排查。所以没有人会在三层架构下搞一个特别大的网段。
新的大二层网络架构都是为了解决网络交换机的极简化配置、网络功能定义、机随人走等新问题。比如VxLan技术,通过SDN软件定义网络,将所有交换机变成二层通讯设备,扁平化整个网络。由SDN控制器去定义网络属性,到底是内外还是外网,而不是由硬件布线的形式去定义内网和外网。VxLan技术对交换机有要求,只有支持VxLan的交换机才能实现组网,与传统网络交换机不同。如果想在传统网络上实现VxLan的效果,则只能通过智能网关设备来实现SDN。把传统网络改造成大VLAN,通过QINQ技术实现内外层VLAN划分,让交换机上的每个口都是一个独立VLAN,从而解决冲突域的问题。同时将网关从汇聚和核心上转移至智能网关上,由智能网关来做各IP间的身份认证和隔离。
这项技术如果能在医疗行业应用开,则可解决一套物理网络上跑多套隔离要求业务的效果。通过智能网关设备定义出内网区域、外网区域、设备网区域等网络区域,不同区域的访问关系由智能网关的策略路由进行定义。可以做到端到端的隔离,在横向网络上做到病毒免疫,因为每个交换机口都是一个VLAN,终端和终端间要经过智能网络的路由关系来决定通或者不通。同时IP与VLAN解绑,大家可以在同一个B类网段,但实际上并不属于一个VLAN。同时可以做到机随人走,设备搬家后IP不变,插上网线即可通过MAC自动识别原有身份。
大二层网络要实现的效果:
所有设备在一个大的网段,但没有冲突域
设备不会因为搬家改变位置而改变IP配置
设备与设备间天然隔离,彼此间没有访问需求
全文完。
如果转发本文,文末务必注明:“转自微信公众号:生有可恋”。
