網(wǎng)絡分段是IT圈中的一個熱門話題，所以在博客中討論這一重要的行業(yè)趨勢恰逢其時。本文將定義網(wǎng)絡分段，解釋使用網(wǎng)絡分段的原因，并探討相關的使用場景和技術。

什么是網(wǎng)絡分段？

網(wǎng)絡分段是一種將一個大型網(wǎng)絡分隔成多個較小的邏輯網(wǎng)絡或網(wǎng)段的做法。使用網(wǎng)絡分段的原因有很多，但主要是為了提高網(wǎng)絡安全性和/或改善用戶體驗。

如何使用VLAN和VXLAN？

網(wǎng)絡分段主要通過兩種方法實現(xiàn)，不過這兩種方法非常相似。幾十年來，虛擬局域網(wǎng)（VLAN）一直是主要的網(wǎng)絡隔離方法，所以它不是一個新的概念。隨著技術的發(fā)展，VLAN固有的限制就變得十分明顯——每個管理域最大只能支持4094個VLAN網(wǎng)絡。為克服這一限制，提出來了虛擬可擴展局域網(wǎng)（VXLAN）的技術，將每個管理域的網(wǎng)絡數(shù)量擴大到1600萬個。另一種網(wǎng)絡分段的方法是IP子網(wǎng)，即使用IP地址將網(wǎng)絡劃分為更小的子網(wǎng)絡并通過網(wǎng)絡設備連接。這種方法不僅能提高網(wǎng)絡性能，還能將網(wǎng)絡威脅限定在特定VLAN或子網(wǎng)內(nèi)。

通過監(jiān)控東西向流量提高安全性

除了擴展可用網(wǎng)絡以外，網(wǎng)絡分段還能帶來許多其他好處。首先是提高IT安全性。通過網(wǎng)絡分段，可以將網(wǎng)絡中某一網(wǎng)段的任何惡意軟件或漏洞控制在該網(wǎng)段內(nèi)，使其更難擴散到整個網(wǎng)絡。

通過減少第2層工作負載提高性能

其次，網(wǎng)絡分段可以提升用戶體驗。您可以利用分段為終端用戶提供更加個性化的體驗。網(wǎng)絡分段還可以通過消除或降低網(wǎng)絡擁塞和干擾來確保一組或多組設備的性能（帶寬）。另一個實現(xiàn)性能優(yōu)勢的方法是將訪客用戶與支持關鍵業(yè)務數(shù)據(jù)流量的企業(yè)用戶部署在不同的網(wǎng)絡分段中，這樣可以讓從事關鍵業(yè)務活動的設備不再與訪問如流媒體視頻等應用的訪客來競爭網(wǎng)絡流量。

以防火墻為終結點的網(wǎng)絡隔離可提高網(wǎng)絡安全性

將網(wǎng)絡劃分為多個網(wǎng)段后，進入的威脅就無法橫向移動從而輕易的擴散到到其他設備上。由于將威脅隔離在一個較小的網(wǎng)絡中而非一整個大型網(wǎng)絡，因此更加便于確定威脅的來源。對于IT安全方面帶來的好處則是將某些設備和用戶與其他設備和用戶相隔離可以更容易地實現(xiàn)安全合規(guī)。與訪客設備甚至內(nèi)部BYOD設備相比，IT所擁有和管理的設備通常風險較低，因此可以將它們放置在專屬的網(wǎng)段中。

有了網(wǎng)絡分段，即便這些高風險設備中的一臺受到威脅，威脅也無法擴散到位于其他網(wǎng)段上更為關鍵的IT資源。當這些被隔離的流量試圖穿越防火墻時，可以對其進行攔截和報告，從而在遭受入侵時更快速地發(fā)出警報。

您還可以確定哪些物聯(lián)網(wǎng)設備比網(wǎng)絡上的其他設備面臨更高的風險，并將它們置于單獨的網(wǎng)段中。您甚至可以將每一種物聯(lián)網(wǎng)設備都放在它們自己的網(wǎng)絡中，與其他設備和需要保護的網(wǎng)絡資源分開。雖然網(wǎng)絡上的任何一臺設備遭到入侵都不是好事，但網(wǎng)絡分段可以讓您將這些設備與其他設備相隔離，防止威脅擴散?；ヂ?lián)網(wǎng)上有很多關于物聯(lián)網(wǎng)僵尸網(wǎng)絡的報道，因此您需要考慮支持物聯(lián)網(wǎng)的網(wǎng)絡分段。

通過網(wǎng)絡分段改善用戶體驗

IT安全場景適用于各行各業(yè)，而用戶體驗場景則更具有行業(yè)特點。網(wǎng)絡分段對于多住戶單元（MDU）領域非常重要。多住戶單元是指任何以多住戶居住為特征的環(huán)境，如公寓大樓、老年生活社區(qū)、房車公園等。高等教育機構的宿舍也屬于這種環(huán)境。

此類物業(yè)越來越多地采用可管理的企業(yè)級網(wǎng)絡代替每個住戶單獨接入互聯(lián)網(wǎng)服務提供商的傳統(tǒng)模式。企業(yè)級網(wǎng)絡在這種類似于郊區(qū)社區(qū)的環(huán)境中的優(yōu)勢十分明顯，因為以往這種環(huán)境中的居民一旦離開單元范圍，就會斷開與網(wǎng)絡的連接。在部署企業(yè)級網(wǎng)絡后，網(wǎng)絡管理員就可以利用統(tǒng)一的基礎設施提供這些額外的優(yōu)勢。

微分段提高用戶隱私和安全性

IT團隊和托管服務提供商可以利用這種統(tǒng)一基礎設施為住戶提供個人專屬網(wǎng)絡。MDU物業(yè)中的每個單元都有自己的個人專屬網(wǎng)絡（VLAN/VXLAN），住戶只能看到自己的設備，而看不到鄰居的設備。由于只有單個單元而非整個物業(yè)內(nèi)的設備能夠響應廣播幀，因此這種隔離提高了線路資源的利用率。用戶的設備和流量與鄰居隔離，而且他們也看不到鄰居的設備和流量，所以這一功能還能保護住戶的隱私。

最重要的是，當住戶訪問物業(yè)內(nèi)的任何設施時，他們的SSID會跟隨他們，在整個物業(yè)內(nèi)提供端到端個人專屬無線網(wǎng)絡。這能給住戶帶來很好的用戶體驗，有助于物業(yè)吸引和留住住戶。對于高等教育機構來說，個人專屬網(wǎng)絡是滿足學生對Wi-Fi高期望的絕佳方式。

如何使用RUCKUS進行網(wǎng)絡分段

RUCKUS Networks支持所有IEEE行業(yè)標準，具備實現(xiàn)網(wǎng)絡分段所需的一切功能。RUCKUS使用VLAN和VXLAN實現(xiàn)網(wǎng)絡分段，網(wǎng)絡上最多可有4094個VLAN和1600萬個 VXLAN。如前文所述，這一限制并非RUCKUS特有，而是IEEE 802.1Q標準所規(guī)定的。VXLAN可以在單個管理域上擴展到1600萬個 “網(wǎng)絡”，這能夠帶來一個額外的好處——這些網(wǎng)絡可以跨越多個物理網(wǎng)段和地理區(qū)域。由于VXLAN是在三層網(wǎng)絡上實現(xiàn)二層網(wǎng)絡的分區(qū)，因此是可以支持這樣的網(wǎng)絡設計的。

RUCKUS網(wǎng)絡分段引擎的核心是我們的Cloudpath注冊系統(tǒng)，它通過云服務（也支持本地部署）來提供安全登錄和網(wǎng)絡接入。Cloudpath系統(tǒng)的美妙之處在于，您可以在沒有RUCKUS接入點、SmartZone控制器或ICX交換機的情況下使用它，但只有與RUCKUS融合控制器、RUCKUS接入點和ICX交換機搭配使用時，才能充分發(fā)揮Cloudpath的技術優(yōu)勢。

基于完整的RUCKUS網(wǎng)絡，管理員就可以利用VLAN或VXLAN根據(jù)自己的需求和能力完成網(wǎng)絡分段。在使用Cloudpath進行網(wǎng)絡分段時，您還能為每臺設備關聯(lián)用戶身份。

您可在RUCKUS解決方案頁面了解更多有關網(wǎng)絡分段的信息，包括視頻，解決方案簡介以及更多內(nèi)容您還可以訪問我們最新的 AVE Union案例分享（AVE Union是一個使用VLAN為住戶提供個人專屬網(wǎng)絡的MDU物業(yè)）。網(wǎng)絡分段能夠為企業(yè)機構帶來許多優(yōu)勢。如果您有興趣在您的環(huán)境中使用這項技術，請隨時聯(lián)系您的RUCKUS合作伙伴。

網(wǎng)絡分段（微隔離）的3大優(yōu)勢是什么？

網(wǎng)絡分段的三個主要目的是：

增強安全性：網(wǎng)絡分段可將扁平網(wǎng)絡劃分為多個子網(wǎng)或網(wǎng)段，從而減少攻擊面。分段限制了攻擊者在網(wǎng)絡內(nèi)的橫向移動。即便攻擊者入侵網(wǎng)絡，他們也只能訪問網(wǎng)絡中的有限部分，而不是整個系統(tǒng)。這正是微分段能達到的效果，通過在工作負載層面應用安全策略來實現(xiàn)更加精細化的安全保護。它同時也是“最小權限”策略的關鍵組成部分，該策略規(guī)定每個網(wǎng)段除所需要的訪問權限外，不得擁有任何其他權限。這種方法對于保護信用卡信息等敏感數(shù)據(jù)尤其重要，符合支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS）等標準。

提高性能：網(wǎng)絡分段可提高網(wǎng)絡性能。通過隔離網(wǎng)絡流量，可以確保關鍵服務獲得所需的帶寬。這一點在需要高效管理如東西向流量（數(shù)據(jù)中心服務器之間的流量）等各類流量的數(shù)據(jù)中心環(huán)境中尤其有用。網(wǎng)絡分段還能通過限制網(wǎng)段間的不必要流量，幫助減少擁塞。

提高控制和監(jiān)控力度：網(wǎng)絡分段可提高網(wǎng)絡可視性與控制。通過將網(wǎng)絡劃分成較小的部分，可以更容易地監(jiān)控流量、識別異常情況并發(fā)現(xiàn)潛在漏洞，同時還能對不同網(wǎng)段設置不同的信任級別，實現(xiàn)更加精準的訪問控制，例如可以將帶有敏感數(shù)據(jù)的終端與泄露風險較高的終端隔離。軟件定義網(wǎng)絡（SDN）和虛擬化等技術可以使這一過程更加易于管理和靈活。

結論

請記住，雖然網(wǎng)絡分段可以顯著提高您的網(wǎng)絡安全態(tài)勢，但它并不是包治百病的靈丹妙藥。網(wǎng)絡分段應與防火墻、身份驗證機制和強大的安全策略一同組成一套多層防御策略。