有了 IPv6,围绕这项技术的思路比 IPv4 有了新的思路。由于该协议取消了广播,是否有必要创建不同的 VLAN?有些人会争辩说,您可以在不同的 VLAN 上应用不同的 ACL,但是 SDN 也在改变我们管理设备的方式。
我想知道是否有办法使用 SDN 技术来标记 Meraki 设备上的端口,以便与安全性结合使用 - 即标记为“通用客户端”的端口无法访问标记为“高安全性”的服务器
这样,我们可以通过一个大 LAN 保持网络简单,同时保持安全。
-- 编辑 -- 让我重新表述我的问题,因为我认为这个问题令人困惑。由于 IPv6 没有广播,我们是否需要通过创建 VLAN 来分离 L2 广播域?甚至在新的 SDN 技术出现之前,我们就有隔离端口(如 ASA5505)、VACLS 和专用 VLAN 等技术,以阻止主机在同一 LAN 中相互通信。
随着 SDN 与 Meraki 供应商的标记端口的兴起,是唯一让我们拥有一个大型内部企业 LAN、安全边界的东西 - SDN 可以在 IPv6 网络中解决哪些问题?已经了解在 ISP 和内部网络之间有两个不同的网段。
无需为 IPv6 创建新 VLAN。IPv4 和 IPv6 可以在单个 L2 段中完美共存。在以太网上,每个都使用自己的以太网类型,并且以某种方式将它们混合起来实际上是不可能的。
不过,引入 IPv6 可能是审查您的网络布局的好时机。无论如何,ACL 实现的安全性都需要重新设计,所以也许一个新的 VLAN可能是一个好主意。
PS:随着您的 -EDIT- 问题发生了很大变化。这实际上与 IPv6 和 VLAN 无关,而是“当我们拥有 SDN 时,我们还需要 VLAN 吗?”
这取决于。可能,您没有软件一次定义整个网络,仍然需要在 VLAN 上运行部分。此外,当您不能简单地将端口放入一个或另一个区域时,仅按端口组实施分区可能会很复杂。这一切加起来取决于您的 SDN 模型和架构,所以我想说没有简单的答案。
不要忘记第 2 层域上的设备(例如 VLAN)直接通信而无需通过第 3 层设备(例如路由器或防火墙)。应该限制与同一 VLAN 上的另一台主机通信的主机可以简单地在其接口上设置不同的网络地址(非常容易,因为 IPv6 允许同一接口上的任意数量的地址)通过以下方式绕过基于网络的安全性在正确的网络上也有一个地址。
当前的最佳实践也是将 VLAN 限制在单个接入交换机上,并且不将接入交换机相互连接。这将防止许多生成树问题。更进一步,还建议您在接入交换机上运行第 3 层,以完全防止生成树问题。
鉴于此,在整个网络中使用一个非常大的 VLAN 确实是个坏主意。