分组(Grouping) - “段”的定义:
传统防火墙基于IP地址分组,IP变了策略就失效。
微分段基于策略身份分组。设备可以根据终端的认证信息(如用户名、设备MAC、IP、接入端口、VLAN等)动态地为其分配一个 VN标签。
例如,所有Web服务器可以被分配到一个VN标签,所有数据库服务器被分配到另一个VN标签。这个VN标签就是“微分段”中的“段”。
策略定义(Policy Definition):
管理员不再编写“源IP到目的IP”的策略。
而是编写 “VN到VN” 的策略。例如:
允许 VN_Web 访问 VN_DB 的TCP 1433端口,拒绝 VN_User 访问 VN_Server 的ICMP协议。策略变得非常直观,与底层IP地址的变化完全解耦。
策略实施(Policy Enforcement) - 如何生效:
硬件加速:定义好的“VN到VN”策略会被转换为标准的ACL规则,并通过SDN控制器(如IMC)或直接配置预编译到交换机的TCAM硬件中。
线速处理:当数据包进入交换机ASIC芯片时,交换机会同时检查数据包的VN标签和五元组信息,并与TCAM中的规则进行匹配。由于是硬件处理,整个过程是在纳秒级完成的,不会引入任何延迟,性能无损。
全域生效:一旦策略下发,无论这两台设备在数据中心的哪个位置(只要经过支持微分段的交换机),它们之间的通信都会受到这条策略的控制,实现了真正的“策略随行”。
3. 与传统技术的区别
特性 | 传统ACL防火墙 | 微分段(Microsegmentation) |
|---|---|---|
粒度 | 基于IP/子网(较粗) | 基于安全身份(VM、容器、应用,极细) |
策略管理 | 分散、基于拓扑 | 集中化、与IP和拓扑解耦 |
灵活性 | 差,IP变更需修改策略 | 极高,IP变化自动继承策略 |
性能 | 软件处理可能成为瓶颈 | 硬件TCAM处理,线速性能,无延迟 |
部署 | 网络边界 | 数据中心内部东西向流量 |
总结
对于 H3C S6850-56HF-G:
规格:其微分段能力受限于TCAM大小,可支持数万条高级策略。具体数值请通过
display acl resource命令查询。生效方式:其核心是通过为终端分配VN标签来定义“段”,并通过编写 “VN到VN” 的策略,最终由交换机硬件TCAM实现全线速的策略执行,对性能无任何影响。
价值:它实现了对数据中心内部东西向流量的精细化管理,是构建“零信任”网络架构的关键技术。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论