评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
微分段简介
定义
微分段(Microsegmentation),也称为基于精细分组的安全隔离,是指将数据中心网络中的服务器按照一定的原则进行分组,然后基于分组来部署流量控制策略,从而达到简化运维、安全管控的目的。
目的
在数据中心网络中,随着数据存储以及应用的增多、网络内部流量的增大,企业面临的安全性风险也在不断增加。传统技术中可以通过划分业务子网、配置ACL等方式,来实现业务之间的隔离,但是存在如下问题:
- 通过VLAN、VNI等方式划分业务子网实现的业务隔离,是基于子网的(即子网A与子网B之间进行隔离),其不能实现同一子网内不同服务器之间的隔离。同时,当不同子网共用同一个网关设备时,由于在网关设备上存在到各子网之间的路由信息,因此这种情况下,也无法实现不同子网内不同服务器之间的隔离。
- 通过配置ACL规则可以实现不同服务器之间的隔离。但是数据中心网络中,服务器的数量非常庞大,若要实现服务器之间的隔离,则需要部署海量的ACL规则,配置维护相当复杂,且网络设备的ACL资源有限,不能满足客户的需求。
微分段技术的出现,很好的解决了上述问题。在VXLAN网络中,微分段提供了比子网粒度更细的分组规则(比如IP地址或IP段),其部署简单方便,只需按照规则将VXLAN网络中的服务器划分为不同的分组,然后基于分组来部署流量控制策略,就可以实现服务器与服务器之间的业务隔离。
受益
通过微分段特性,可以在VXLAN网络中实现不同服务器之间的业务隔离,确保了用户对网络的安全管控。同时,其配置和维护简单,可以降低用户的配置和维护成本。
