1.2 传统网络面临的挑战

在本节中，我们将在许多常见用例的背景下探讨现代网络所面临的挑战，具体如下。

1. 网络设计部署

·实现的复杂性。

·无线网络的注意事项。

2. 服务部署

·网络分段。

·访问控制策略。

·用户和设备的上线和管理。

3. 网络运维

·解决问题缓慢。

1.2.1 网络设计部署面临的挑战

1. 设计实施的复杂性

随着时间的推移，网络运营者必须通过采用新的功能和设计方法来适应新的网络服务，但都要基于传统网络的基础结构。此外，必须不断优化网络以获得高可用性，支持新的应用，从而产生网络“雪花”效应——世界上没有完全相同的两片雪花。尽管这可能满足网络功能的目标，但也使网络变得复杂而难以理解，须进行故障排除、预测和升级。

一个部署缓慢的网络将大大阻碍企业快速创新的能力和采用诸如视频、协作和连接工作场所等新技术的进程。如果网络的变化和适应速度很慢，采用上述任何一种创新能力都会受到阻碍。事实证明，IT很难对“雪花”网络设计及其潜在变体进行自动化，这限制了在当今网络中为了提高企业的运营效率而采用自动化的能力。太多的网络变体和组合使得采用新的功能和服务具有挑战性。

2. 集成无线网络服务

目前部署无线网络的主要挑战之一是不容易实现网络分段。虽然无线局域网可以利用多个SSID来进行无线空中接口的流量分离，但是受限于可以部署的数量，并且SSID最终会在无线控制器上映射回VLAN。无线控制器本身没有VRF或者三层网络分段的概念，所以部署真正的融合有线和无线网络的虚拟化解决方案非常具有挑战性。因此，传统的无线网络需要单独管理，难以进行网络分段。

1.2.2 提供网络服务面临的挑战

1. 网络分段

让我们来看看目前可用的一些选项及其创建网络分段时面临的挑战。

（1）虚拟局域网。

最简单的网络分段形式是基于VLAN。你可能还不习惯将其视为网络分段技术，但这就是VLAN的用途之一：将网络在二层域分段。通过将用户和设备放置在不同的VLAN中，我们可以在三层网络边界上对它们之间的通信强制执行控制。对于无线网络，不同的SSID可能用于分离空中接口的流量，但随后这些流量被映射到有线侧的VLAN。

使用VLAN作为网络分段方法的挑战来自于两个方面：它们的跨度以及随之而来的拓扑相关性问题。就跨度而言，大多数企业选择将单个VLAN限制在相对较小的区域（例如限于一个配线间）。因此，许多企业最终在典型的网络部署中需要管理成百上千个VLAN，从而使IP地址规划变得无比复杂，以至于极其难以部署和管理。

使用VLAN进行网络分段的主要挑战：

① 在冗余网络设计中，跨越范围广泛的VLAN容易受到二层环路的影响；

② 大型二层网络的设计非常低效（通常有50%的端口处于阻塞状态）；

③ 不受控制的二层环路可能随时产生，大型二层网络设计面临极大的崩溃风险；

④ 对VLAN内部通信流量进行过滤的机制通常比在三层网络边界上可用的机制要有限得多。

VLAN确实是很简单的网络分段方法，但在现有网络的情况下，简单也许不是最好的解决方案——一个扁平的二层网络设计将企业暴露在可能会造成网络中断的许多潜在事件中，此外，管理数以百计的VLAN对于大多数企业来说也是一项令人生畏的任务。

（2）VRF-Lite与VRF。

网络分段的另一种方法是利用三层技术，通过使用虚拟路由转发（VRF）来分段网络。这有利于在不需要构建大型复杂的访问控制列表来控制通信流的情况下提供网络分段，因为不同VRF之间的通信只能在网络管理者规定的网络拓扑上流动（通常是通过路由泄露或通过防火墙）。

通过VRF方法进行网络分段面临的挑战：

① VRF在设备之间使用802.1q中继，这在有限的几个设备上实现时相对简单，但在需要更大的实施范围时就会变得非常烦琐；

② 需要为每个VRF提供单独的路由协议进程，从而增加了CPU负载和复杂性；

③ 典型的经验法则是VRF部署不应超过10个VRF，否则它将变得极其不灵活，无法在更大范围的企业中实现端到端部署。

（3）VRF结合使用MPLS VPN。

MPLS VPN具有陡峭的学习曲线和相对较高的学习成本，因为它们要求网络管理者熟悉许多新的MPLS特定功能，包括用于标签分发的LDP，以及多协议BGP作为控制平面。此外，当出现问题时，网络管理者需要了解如何调试启用了MPLS的网络。

使用MPLS VPN进行网络分段的挑战：

① MPLS VPN的扩展性要比VRF好得多，但对于许多网络管理人员来说，MPLS往往过于复杂，尤其是在端到端的网络部署中；

② 并不是所有的网络平台都支持MPLS VPN。

尽管网络具备VRF的能力已经超过10年，但是只有很小比例的企业部署了以VRF实现的任何形式的网络分段。这是为什么呢？一言以蔽之，它过于复杂了。

2. 访问控制策略

策略是一个抽象的词汇，对不同的人意味着不同的含义。但是，在网络环境下，每个企业都有其实施的多个策略。在交换机上使用访问控制列表（ACL）或防火墙上的安全规则集是安全策略；使用QoS将流量分类到不同的类别中并使用队列为应用程序区分优先级是服务质量策略；根据用户角色将终端设备放置到单独的VLAN中是设备级访问控制策略。

今天的网络管理者通常使用几组常用的策略工具：VLAN、子网和访问控制列表。

（1）是否向网络中添加语音应用？这意味着要创建一组新的语音VLAN和相关的子网。

（2）是否添加物联网设备——例如，门锁、身份标识阅读器之类的设备？使用更多的VLAN和子网。

（3）添加IP摄像机和流式视频终端，还是需要更多的VLAN和子网。

这就是如今的企业网络中存在数以百计甚至上千的VLAN和子网的原因。设计和维护的复杂程度显而易见，因为这些VLAN的存在，你还需要进一步维护众多的DHCP作用域，甚至需要额外使用IP地址管理工具来完成随之而来对跨越所有VLAN和相关功能的大型IP地址空间的管理维护工作。

如今，面对众多的内部和外部威胁，网络的安全性十分重要。这使我们有必要在网络设备（包括交换机、路由器和防火墙）上配置和持续维护大规模的访问控制列表，网络三层边界是其最常见的部署位置。目前用于策略管理的传统方法（在设备和防火墙上大规模配置复杂的ACL）很难实现和维护。

3. 用户和客户端设备上线和管理

无论选择哪种解决方案，是基于二层还是三层进行网络设计，是否采用网络分段方法，用户和设备接入网络总是存在这样或那样的问题。

即使采用将VLAN或子网静态对应到有线端口或无线SSID这样简单的方法，也存在如下一些常见的难题。

（1）这种方法本身并不提供真正的安全性，因为任何连接到该端口或SSID的用户都与其在网络中的“角色”相关联。

（2）无论是在第一跳的交换机，还是在10跳以外的防火墙，该用户的IP地址都将被检查并强制执行相应的安全策略。本质上，IP地址最终被用作用户身份的代理。然而，这一方法很难扩展和管理。

使用802.1x或其他身份验证方法动态分配VLAN/子网，也存在一些常见的难题。

（1）虽然使用802.1x在无线网络部署中很常见，但在有线网络中并不常见。

（2）许多问题阻碍了部署802.1x解决方案，例如，终端设备对802.1x的支持程度、终端设备上的802.1x配置设置、在设备上基于角色动态切换VLAN/子网、网络设备对于802.1x的支持程度和网络设备上的相关功能特性差异等。

一旦确认了用户/设备的身份，它如何能在网络中进行端到端的承载和处理？IP数据报头中没有用于对此用户/设备进行映射的位置，因此，只能使用IP地址作为身份代理。但是，这会导致用户/设备子网的激增，以及复杂性的问题。大多数企业都希望建立用户/设备标识并将其用于端到端的策略。然而，许多IT人员最终不得不承认，这是一项极其艰巨的任务。

1.2.3 网络运维面临的挑战

如今，许多网络在网络操作和运维方面提供了非常有限的可见性。各种可用的网络监视方法（SNMP、NetFlow和类似方法）以及相关的工具在不同的网络平台上具有不同的可用性，这使得在当前网络部署中提供全面持续的监视、端到端的洞察力变得非常困难。

如果不深入了解网络的运行状态，企业通常会发现自己对于网络问题是被动反应，而不是主动地解决这些问题，无论这些问题是普通的故障还是严重的停机故障，或是由用户增长和应用程序使用模式的变化引起的体验的变化。

如果能够更加了解网络的使用情况以及在网络可见性和监视方面更加积极主动，对于许多企业来讲将具有重大价值。这也就需要一种更全面的、端到端的方法，它允许从底层网络的基础网络交换矩阵实时报告的大量数据中提炼出网络洞察力。

大多数企业缺乏对网络操作和使用的全面可见性，这一点限制了它们主动响应网络变更的能力并使用户故障的解决很缓慢。

1.2.4 当所有问题混合在一起，你该怎么办

如图1-2所示，典型的传统服务部署步骤如下。

（1）将用户映射到微软活动目录（或用于用户身份验证的类似数据库）中的用户组。

（2）如果使用动态身份验证，将这些用户标识链接到AAA服务器［如思科身份服务引擎（ISE）］。这为每个标识提供了对应的VLAN/子网。

（3）为要提供的新服务定义和配置新的VLAN和相关子网。然后，在所有必要的设备（交换机、路由器和无线控制器）上实现这些VLAN和子网。

（4）使用适当的设备或防火墙ACL或网络分段来保护这些子网。如果使用网络虚拟化分段方法，请使用VRF-Lite或MPLS VPN将VRF进行端到端扩展。

（5）要做到这一切，有必要跨多个用户界面工作——活动目录的图形化配置界面、AAA服务器的图形化配置界面、用于无线网络的无线控制器的图形化配置界面、用于有线交换机或路由器的命令行界面（CLI），你需要手动地将所有必要的元素结合在一起来完成所有的工作。

当需要添加另一组用户或终端设备或修改与之相关的策略时，必须重复所有这些步骤。如果需要不断添加/修改用户组和安全策略，此时的工作量将无法想象！所以推出新的网络服务常常需要几天甚至几周的时间！