安全策略需要如影隨形
那么可否設計出一種“如影隨形”的智能網(wǎng)絡(luò )訪(fǎng)問(wèn)控制管理方式呢?為此,思科在新的Catalyst 6500 Sup 2T管理引擎及6900系列線(xiàn)卡上新增設了通過(guò)ASIC實(shí)現的SGT(安全組標簽)與SGACL(安全組訪(fǎng)問(wèn)控制列表)功能。
要想實(shí)現“如影隨形”的訪(fǎng)問(wèn)控制,最簡(jiǎn)捷的方式就是通過(guò)交換機ASIC芯片為用戶(hù)的流量打上標記,并在后續的轉發(fā)控制中依據該標記來(lái)執行動(dòng)作,思科把這種安全標記稱(chēng)為SGT。這樣無(wú)論用戶(hù)是從外網(wǎng),還是從內網(wǎng)的不同區域進(jìn)行訪(fǎng)問(wèn)均可以迅速對用戶(hù)身份進(jìn)行判斷并標記對應的流量,再依據相應管理權限進(jìn)行管理,對應的安全管理策略稱(chēng)為SGACL。SGT和SGACL的靈活應用能改變當前基于IP地址的傳統ACL復雜部署方式,用戶(hù)不再需要在每臺交換機上依據源目的地址等元素進(jìn)行大量的ACL手工配置,而是通過(guò)思科ISE(身份服務(wù)引擎)根據用戶(hù)身份驗證來(lái)實(shí)現SGT/SGACL的動(dòng)態(tài)綁定和下發(fā),極大簡(jiǎn)化了安全管理部署,結合ISE的豐富特性,更能真正實(shí)現任何時(shí)間,任何地點(diǎn),任何設備的無(wú)邊界網(wǎng)絡(luò )智能安全管理目標。
當Sup 2T及6900線(xiàn)卡開(kāi)啟SGT和SGACL功能后,憑借其基于A(yíng)SIC的強大處理能力,可以依據用戶(hù)、接入點(diǎn)、接入設備類(lèi)型等規則設計自動(dòng)的為用戶(hù)流量打上相應的安全組標簽。安全組標簽十分小巧,僅需要4個(gè)字節的長(cháng)度,并且完全在硬件層面處理完成,因此在網(wǎng)絡(luò )數據轉發(fā)過(guò)程中,幾乎不會(huì )對數據轉輸性能造成影響。
在實(shí)際驗證測試中,我們通過(guò)不同的路由地址發(fā)出標有不同SGT標記的數據報文,并對這些數據報文通過(guò)SGACL進(jìn)行統計分析。測試結果表明,6500在開(kāi)啟SGACL后,數據包丟包率為“0”,使能SGT/SGACL之后沒(méi)有影響正常業(yè)務(wù)轉發(fā)性能。并且可以及時(shí)準確的對SGT標記源目標進(jìn)行分析并按SGACL的規則進(jìn)行歸類(lèi)。(摘錄SGT命令行顯示如下:)
CNW.6506.S2T.VSS#sho cts role sgt-map all
Active IP-SGT Bindings Information
IP Address SGT Source
============================================
12.12.12.12 1212 INTERNAL
12.45.0.0/24 1245 CLI
12.45.0.254 1212 INTERNAL
12.49.0.0/24 1249 CLI
12.49.0.254 1212 INTERNAL
100.1.1.1 1212 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 2
Total number of INTERNAL bindings = 4
Total number of active bindings = 6
為用戶(hù)的數據流進(jìn)行SGT標記只是基礎,我們還需要為不同SGT的用戶(hù)進(jìn)行不同的訪(fǎng)問(wèn)權限管理。在這里就需要應用到Sup 2T及6900線(xiàn)卡的SGACL功能了。SGACL功能把普通ACL和用戶(hù)SGT關(guān)聯(lián)起來(lái),可依據SGT對用戶(hù)訪(fǎng)問(wèn)請求進(jìn)行有效的安全策略管理。我們通過(guò)SGACL的管理容量表了解到其可以支持至少32000條SGACL的策略管理。
極小的SGT字節長(cháng)度和大容量的SGACL策略管理的有效結合,形成了Sup 2T高效精準的網(wǎng)絡(luò )接入管理策略。憑借此策略,無(wú)論用戶(hù)是在任何地域,采用何種接入方式連入網(wǎng)絡(luò ),網(wǎng)絡(luò )管理者均可以對用戶(hù)真實(shí)身分進(jìn)行準確判定,并高效的按不同組別進(jìn)行不同權限的分類(lèi)管理,從而達到了安全策略如影隨形的接入管理效果。自此,網(wǎng)絡(luò )管理者將無(wú)需再通過(guò)防火墻進(jìn)行復雜的網(wǎng)絡(luò )安全策略管理。在Catalyst 6500上,SGT和SGACL既可以通過(guò)手動(dòng)配置實(shí)現,更可以通過(guò)思科ISE動(dòng)態(tài)下發(fā),是安全園區和BYOD解決方案的重要組件之一。
傳輸安全性的可靠保障——MPLS、VPLS疊加MACSec加密測試
在企業(yè)園區網(wǎng)的網(wǎng)絡(luò )業(yè)務(wù)應用中,不但需要對用戶(hù)網(wǎng)絡(luò )接入權限進(jìn)行管理,還需要對網(wǎng)絡(luò )傳輸的安全性及可靠性進(jìn)行保障。在這方面,以往通常是由獨立的VPN(虛擬專(zhuān)用網(wǎng))產(chǎn)品或防火墻上附帶的VPN功能進(jìn)行實(shí)現的。
然而在以往的高可靠性網(wǎng)絡(luò )業(yè)務(wù)數據傳輸時(shí),無(wú)論是采用IPSec VPN還是SSL VPN技術(shù),均有兩個(gè)問(wèn)題始終無(wú)法回避:一、接入匹配方式復雜,需求在客戶(hù)端進(jìn)行復雜的網(wǎng)絡(luò )接入設置,在多用戶(hù)應用時(shí)無(wú)法很好的進(jìn)行管理。二、傳輸效率低下,VPN的數據傳輸性能只有網(wǎng)絡(luò )傳輸性能的幾分之一,用戶(hù)在實(shí)際應用時(shí),要不需要多購置VPN網(wǎng)絡(luò )設備,要不只能忍受低傳輸速率對企業(yè)業(yè)務(wù)的影響。
為了解決此類(lèi)問(wèn)題,思科將在城域網(wǎng)發(fā)展成熟的三層VPN數據傳輸技術(shù)MPLS(多協(xié)議標簽交換)功能同樣引入了全系Catalyst 6500之中。通過(guò)LSP(從源端到終端路徑上的結點(diǎn)標簽序列)將私有網(wǎng)絡(luò )的不同分支聯(lián)結起來(lái),形成一個(gè)統一的網(wǎng)絡(luò )。MPLS的支持優(yōu)勢在于:支持不同分支間IP地址復用的同時(shí),還可以支持對不同VPN間的互通控制。
為了更好的將不同地域分支機構網(wǎng)絡(luò )進(jìn)行整合,新的Catalyst 6500在支持MPLS的基礎上,又增添了VPLS功能。VPLS支持點(diǎn)到點(diǎn)、點(diǎn)到多點(diǎn)、多點(diǎn)到多點(diǎn)的業(yè)務(wù)類(lèi)型,能夠在較大網(wǎng)絡(luò )規模下支持電信級以太網(wǎng)服務(wù)實(shí)現二層虛擬化。這樣即便網(wǎng)絡(luò )用戶(hù)所處在于不同的地域,但可以將所有網(wǎng)絡(luò )整合在一起,最大限度發(fā)揮網(wǎng)絡(luò )整合、統一應用、統一管理的功效。
然而不論MPLS還是VPLS虛擬化方式都不能避免另一個(gè)問(wèn)題存在,在異地跨公網(wǎng)進(jìn)行以太網(wǎng)數據傳輸時(shí),數據有可能被第三方截獲,造成信息泄密。為此,思科將業(yè)界最新的MACSec(802.1ae)二層加密技術(shù)引入到Catalyst 6500的SUP2T引擎及6900線(xiàn)卡之中,通過(guò)在二層上對所有以太網(wǎng)數據幀進(jìn)行加密封裝,在傳統以太網(wǎng)上實(shí)現媲美光網(wǎng)絡(luò )的傳輸安全性。由于MACSec是通過(guò)專(zhuān)用ASIC實(shí)現,這樣在保證網(wǎng)絡(luò )傳輸吞吐量和延遲不受影響的同時(shí),又使網(wǎng)絡(luò )數據傳輸的安全性得到了有效保障。
