安全策略需要如影随形
那么可否设计出一种“如影随形”的智能网络访问控制管理方式呢?为此,思科在新的Catalyst 6500 Sup 2T管理引擎及6900系列线卡上新增设了通过ASIC实现的SGT(安全组标签)与SGACL(安全组访问控制列表)功能。
要想实现“如影随形”的访问控制,最简捷的方式就是通过交换机ASIC芯片为用户的流量打上标记,并在后续的转发控制中依据该标记来执行动作,思科把这种安全标记称为SGT。这样无论用户是从外网,还是从内网的不同区域进行访问均可以迅速对用户身份进行判断并标记对应的流量,再依据相应管理权限进行管理,对应的安全管理策略称为SGACL。SGT和SGACL的灵活应用能改变当前基于IP地址的传统ACL复杂部署方式,用户不再需要在每台交换机上依据源目的地址等元素进行大量的ACL手工配置,而是通过思科ISE(身份服务引擎)根据用户身份验证来实现SGT/SGACL的动态绑定和下发,极大简化了安全管理部署,结合ISE的丰富特性,更能真正实现任何时间,任何地点,任何设备的无边界网络智能安全管理目标。
当Sup 2T及6900线卡开启SGT和SGACL功能后,凭借其基于ASIC的强大处理能力,可以依据用户、接入点、接入设备类型等规则设计自动的为用户流量打上相应的安全组标签。安全组标签十分小巧,仅需要4个字节的长度,并且完全在硬件层面处理完成,因此在网络数据转发过程中,几乎不会对数据转输性能造成影响。
在实际验证测试中,我们通过不同的路由地址发出标有不同SGT标记的数据报文,并对这些数据报文通过SGACL进行统计分析。测试结果表明,6500在开启SGACL后,数据包丢包率为“0”,使能SGT/SGACL之后没有影响正常业务转发性能。并且可以及时准确的对SGT标记源目标进行分析并按SGACL的规则进行归类。(摘录SGT命令行显示如下:)
CNW.6506.S2T.VSS#sho cts role sgt-map all
Active IP-SGT Bindings Information
IP Address SGT Source
============================================
12.12.12.12 1212 INTERNAL
12.45.0.0/24 1245 CLI
12.45.0.254 1212 INTERNAL
12.49.0.0/24 1249 CLI
12.49.0.254 1212 INTERNAL
100.1.1.1 1212 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 2
Total number of INTERNAL bindings = 4
Total number of active bindings = 6
为用户的数据流进行SGT标记只是基础,我们还需要为不同SGT的用户进行不同的访问权限管理。在这里就需要应用到Sup 2T及6900线卡的SGACL功能了。SGACL功能把普通ACL和用户SGT关联起来,可依据SGT对用户访问请求进行有效的安全策略管理。我们通过SGACL的管理容量表了解到其可以支持至少32000条SGACL的策略管理。
极小的SGT字节长度和大容量的SGACL策略管理的有效结合,形成了Sup 2T高效精准的网络接入管理策略。凭借此策略,无论用户是在任何地域,采用何种接入方式连入网络,网络管理者均可以对用户真实身分进行准确判定,并高效的按不同组别进行不同权限的分类管理,从而达到了安全策略如影随形的接入管理效果。自此,网络管理者将无需再通过防火墙进行复杂的网络安全策略管理。在Catalyst 6500上,SGT和SGACL既可以通过手动配置实现,更可以通过思科ISE动态下发,是安全园区和BYOD解决方案的重要组件之一。
传输安全性的可靠保障——MPLS、VPLS叠加MACSec加密测试
在企业园区网的网络业务应用中,不但需要对用户网络接入权限进行管理,还需要对网络传输的安全性及可靠性进行保障。在这方面,以往通常是由独立的VPN(虚拟专用网)产品或防火墙上附带的VPN功能进行实现的。
然而在以往的高可靠性网络业务数据传输时,无论是采用IPSec VPN还是SSL VPN技术,均有两个问题始终无法回避:一、接入匹配方式复杂,需求在客户端进行复杂的网络接入设置,在多用户应用时无法很好的进行管理。二、传输效率低下,VPN的数据传输性能只有网络传输性能的几分之一,用户在实际应用时,要不需要多购置VPN网络设备,要不只能忍受低传输速率对企业业务的影响。
为了解决此类问题,思科将在城域网发展成熟的三层VPN数据传输技术MPLS(多协议标签交换)功能同样引入了全系Catalyst 6500之中。通过LSP(从源端到终端路径上的结点标签序列)将私有网络的不同分支联结起来,形成一个统一的网络。MPLS的支持优势在于:支持不同分支间IP地址复用的同时,还可以支持对不同VPN间的互通控制。
为了更好的将不同地域分支机构网络进行整合,新的Catalyst 6500在支持MPLS的基础上,又增添了VPLS功能。VPLS支持点到点、点到多点、多点到多点的业务类型,能够在较大网络规模下支持电信级以太网服务实现二层虚拟化。这样即便网络用户所处在于不同的地域,但可以将所有网络整合在一起,最大限度发挥网络整合、统一应用、统一管理的功效。
然而不论MPLS还是VPLS虚拟化方式都不能避免另一个问题存在,在异地跨公网进行以太网数据传输时,数据有可能被第三方截获,造成信息泄密。为此,思科将业界最新的MACSec(802.1ae)二层加密技术引入到Catalyst 6500的SUP2T引擎及6900线卡之中,通过在二层上对所有以太网数据帧进行加密封装,在传统以太网上实现媲美光网络的传输安全性。由于MACSec是通过专用ASIC实现,这样在保证网络传输吞吐量和延迟不受影响的同时,又使网络数据传输的安全性得到了有效保障。
