我在去年的博客(这诚然是有点长,冗长)我讨论身份联网的景观变化。随着身份联网有基于用户和设备的情况下控制网络访问的许多不同的方式。有:
- VLAN分配,其中访问是在第3层边缘控制,或者通过分离该VLAN成分段虚拟网络(的VRF)。
- ACL分配,可以是本地的ACL,由RADIUS属性,或者下载的ACL(DACL)呼吁采取行动。这些ACL在无线局域网控制器(WLC)的情况下,交换机端口或虚拟端口施加侵入。
- 我们刚刚谈到了被称为安全组标记一个新的可扩展执法机制的话题。
这项新技术,安全组标记,将是今天的博客关注的焦点。
安全组标记允许分割,而无需VLAN,并且更重要的是简化防火墙策略和访问列表的运营管理。对于我们在这个博客例子中,有两个开关在接入层,每个由人力资源部负责用户,谁需要访问支付卡行业(PCI)数据的其他用户。这两个用户完全没有必要永远沟通。
该政策是一个简单的。HR允许传达给HR,PCI被允许与PCI通信。然而,他们可能不会彼此交谈,尽管他们可能是在同一个VLAN(接入层,甚至是数据中心在同一个VLAN)。2020欧洲杯预赛
我们的策略:
亚伦Woland
如图一 - 政策
有了这个简单的策略,我们能够使流动如图下图:
- PCI用户试图跟人力资源用户相同的瑞士tch & same VLAN is denied.
- 上开关1 HR用户能够在开关2与HR用户进行通信。
- HR用户被拒绝访问PCI服务器。
- PCI用户被授予访问PCI服务器。
亚伦Woland
Figure2 - 标记在行动
如果好处还没有做出自己丰富已经很明显,让我指出一些出来给你。安全组标记的优点是在整个大多数IT网络运营广泛,可能影响他们如何运作,并为它打开的各种各样的人不实际使用基于VLAN的拓扑结构的新的可能性决定的方式制成。
保护进展
分类端点由上下文,动态地细分成安全组,并保护数据中心应用。2020欧洲杯预赛
简化管理
管理政策,通俗易懂的语言,能够在几分钟内变化,并自动的防火墙规则的管理。
秤广泛地
移除了设计的复杂性,有助于提高网络性能,并确保可靠的资源访问。