安全策略需要如影隨形

　　那么可否設計出一種“如影隨形”的智能網絡訪問控制管理方式呢?為此，思科在新的Catalyst 6500 Sup 2T管理引擎及6900系列線卡上新增設了通過ASIC實現的SGT(安全組標簽)與SGACL(安全組訪問控制列表)功能。

　　要想實現“如影隨形”的訪問控制，最簡捷的方式就是通過交換機ASIC芯片為用戶的流量打上標記，并在后續(xù)的轉發(fā)控制中依據該標記來執(zhí)行動作，思科把這種安全標記稱為SGT。這樣無論用戶是從外網，還是從內網的不同區(qū)域進行訪問均可以迅速對用戶身份進行判斷并標記對應的流量，再依據相應管理權限進行管理，對應的安全管理策略稱為SGACL。SGT和SGACL的靈活應用能改變當前基于IP地址的傳統(tǒng)ACL復雜部署方式，用戶不再需要在每臺交換機上依據源目的地址等元素進行大量的ACL手工配置，而是通過思科ISE(身份服務引擎)根據用戶身份驗證來實現SGT/SGACL的動態(tài)綁定和下發(fā)，極大簡化了安全管理部署，結合ISE的豐富特性，更能真正實現任何時間，任何地點，任何設備的無邊界網絡智能安全管理目標。

　　當Sup 2T及6900線卡開啟SGT和SGACL功能后，憑借其基于ASIC的強大處理能力，可以依據用戶、接入點、接入設備類型等規(guī)則設計自動的為用戶流量打上相應的安全組標簽。安全組標簽十分小巧，僅需要4個字節(jié)的長度，并且完全在硬件層面處理完成，因此在網絡數據轉發(fā)過程中，幾乎不會對數據轉輸性能造成影響。

　　在實際驗證測試中，我們通過不同的路由地址發(fā)出標有不同SGT標記的數據報文，并對這些數據報文通過SGACL進行統(tǒng)計分析。測試結果表明，6500在開啟SGACL后，數據包丟包率為“0”，使能SGT/SGACL之后沒有影響正常業(yè)務轉發(fā)性能。并且可以及時準確的對SGT標記源目標進行分析并按SGACL的規(guī)則進行歸類。(摘錄SGT命令行顯示如下：)

CNW.6506.S2T.VSS#sho cts role sgt-map all

Active IP-SGT Bindings Information

IP Address SGT Source

============================================

12.12.12.12 1212 INTERNAL

12.45.0.0/24 1245 CLI

12.45.0.254 1212 INTERNAL

12.49.0.0/24 1249 CLI

12.49.0.254 1212 INTERNAL

100.1.1.1 1212 INTERNAL

IP-SGT Active Bindings Summary

============================================

Total number of CLI bindings = 2

Total number of INTERNAL bindings = 4

Total number of active bindings = 6

　　為用戶的數據流進行SGT標記只是基礎，我們還需要為不同SGT的用戶進行不同的訪問權限管理。在這里就需要應用到Sup 2T及6900線卡的SGACL功能了。SGACL功能把普通ACL和用戶SGT關聯起來，可依據SGT對用戶訪問請求進行有效的安全策略管理。我們通過SGACL的管理容量表了解到其可以支持至少32000條SGACL的策略管理。

　　極小的SGT字節(jié)長度和大容量的SGACL策略管理的有效結合，形成了Sup 2T高效精準的網絡接入管理策略。憑借此策略，無論用戶是在任何地域，采用何種接入方式連入網絡，網絡管理者均可以對用戶真實身分進行準確判定，并高效的按不同組別進行不同權限的分類管理，從而達到了安全策略如影隨形的接入管理效果。自此，網絡管理者將無需再通過防火墻進行復雜的網絡安全策略管理。在Catalyst 6500上，SGT和SGACL既可以通過手動配置實現，更可以通過思科ISE動態(tài)下發(fā)，是安全園區(qū)和BYOD解決方案的重要組件之一。

　　傳輸安全性的可靠保障——MPLS、VPLS疊加MACSec加密測試

　　在企業(yè)園區(qū)網的網絡業(yè)務應用中，不但需要對用戶網絡接入權限進行管理，還需要對網絡傳輸的安全性及可靠性進行保障。在這方面，以往通常是由獨立的VPN(虛擬專用網)產品或防火墻上附帶的VPN功能進行實現的。

　　然而在以往的高可靠性網絡業(yè)務數據傳輸時，無論是采用IPSec VPN還是SSL VPN技術，均有兩個問題始終無法回避：一、接入匹配方式復雜，需求在客戶端進行復雜的網絡接入設置，在多用戶應用時無法很好的進行管理。二、傳輸效率低下，VPN的數據傳輸性能只有網絡傳輸性能的幾分之一，用戶在實際應用時，要不需要多購置VPN網絡設備，要不只能忍受低傳輸速率對企業(yè)業(yè)務的影響。

　　為了解決此類問題，思科將在城域網發(fā)展成熟的三層VPN數據傳輸技術MPLS(多協(xié)議標簽交換)功能同樣引入了全系Catalyst 6500之中。通過LSP(從源端到終端路徑上的結點標簽序列)將私有網絡的不同分支聯結起來，形成一個統(tǒng)一的網絡。MPLS的支持優(yōu)勢在于：支持不同分支間IP地址復用的同時，還可以支持對不同VPN間的互通控制。

　　為了更好的將不同地域分支機構網絡進行整合，新的Catalyst 6500在支持MPLS的基礎上，又增添了VPLS功能。VPLS支持點到點、點到多點、多點到多點的業(yè)務類型，能夠在較大網絡規(guī)模下支持電信級以太網服務實現二層虛擬化。這樣即便網絡用戶所處在于不同的地域，但可以將所有網絡整合在一起，最大限度發(fā)揮網絡整合、統(tǒng)一應用、統(tǒng)一管理的功效。

　　然而不論MPLS還是VPLS虛擬化方式都不能避免另一個問題存在，在異地跨公網進行以太網數據傳輸時，數據有可能被第三方截獲，造成信息泄密。為此，思科將業(yè)界最新的MACSec(802.1ae)二層加密技術引入到Catalyst 6500的SUP2T引擎及6900線卡之中，通過在二層上對所有以太網數據幀進行加密封裝，在傳統(tǒng)以太網上實現媲美光網絡的傳輸安全性。由于MACSec是通過專用ASIC實現，這樣在保證網絡傳輸吞吐量和延遲不受影響的同時，又使網絡數據傳輸的安全性得到了有效保障。