網絡分段是IT圈中的一個熱門話題，所以在博客中討論這一重要的行業趨勢恰逢其時。本文將定義網絡分段，解釋使用網絡分段的原因，并探討相關的使用場景和技術。

什么是網絡分段？

網絡分段是一種將一個大型網絡分隔成多個較小的邏輯網絡或網段的做法。使用網絡分段的原因有很多，但主要是為了提高網絡安全性和/或改善用戶體驗。

如何使用VLAN和VXLAN？

網絡分段主要通過兩種方法實現，不過這兩種方法非常相似。幾十年來，虛擬局域網（VLAN）一直是主要的網絡隔離方法，所以它不是一個新的概念。隨著技術的發展，VLAN固有的限制就變得十分明顯——每個管理域最大只能支持4094個VLAN網絡。為克服這一限制，提出來了虛擬可擴展局域網（VXLAN）的技術，將每個管理域的網絡數量擴大到1600萬個。另一種網絡分段的方法是IP子網，即使用IP地址將網絡劃分為更小的子網絡并通過網絡設備連接。這種方法不僅能提高網絡性能，還能將網絡威脅限定在特定VLAN或子網內。

通過監控東西向流量提高安全性

除了擴展可用網絡以外，網絡分段還能帶來許多其他好處。首先是提高IT安全性。通過網絡分段，可以將網絡中某一網段的任何惡意軟件或漏洞控制在該網段內，使其更難擴散到整個網絡。

通過減少第2層工作負載提高性能

其次，網絡分段可以提升用戶體驗。您可以利用分段為終端用戶提供更加個性化的體驗。網絡分段還可以通過消除或降低網絡擁塞和干擾來確保一組或多組設備的性能（帶寬）。另一個實現性能優勢的方法是將訪客用戶與支持關鍵業務數據流量的企業用戶部署在不同的網絡分段中，這樣可以讓從事關鍵業務活動的設備不再與訪問如流媒體視頻等應用的訪客來競爭網絡流量。

以防火墻為終結點的網絡隔離可提高網絡安全性

將網絡劃分為多個網段后，進入的威脅就無法橫向移動從而輕易的擴散到到其他設備上。由于將威脅隔離在一個較小的網絡中而非一整個大型網絡，因此更加便于確定威脅的來源。對于IT安全方面帶來的好處則是將某些設備和用戶與其他設備和用戶相隔離可以更容易地實現安全合規。與訪客設備甚至內部BYOD設備相比，IT所擁有和管理的設備通常風險較低，因此可以將它們放置在專屬的網段中。

有了網絡分段，即便這些高風險設備中的一臺受到威脅，威脅也無法擴散到位于其他網段上更為關鍵的IT資源。當這些被隔離的流量試圖穿越防火墻時，可以對其進行攔截和報告，從而在遭受入侵時更快速地發出警報。

您還可以確定哪些物聯網設備比網絡上的其他設備面臨更高的風險，并將它們置于單獨的網段中。您甚至可以將每一種物聯網設備都放在它們自己的網絡中，與其他設備和需要保護的網絡資源分開。雖然網絡上的任何一臺設備遭到入侵都不是好事，但網絡分段可以讓您將這些設備與其他設備相隔離，防止威脅擴散。互聯網上有很多關于物聯網僵尸網絡的報道，因此您需要考慮支持物聯網的網絡分段。

通過網絡分段改善用戶體驗

IT安全場景適用于各行各業，而用戶體驗場景則更具有行業特點。網絡分段對于多住戶單元（MDU）領域非常重要。多住戶單元是指任何以多住戶居住為特征的環境，如公寓大樓、老年生活社區、房車公園等。高等教育機構的宿舍也屬于這種環境。

此類物業越來越多地采用可管理的企業級網絡代替每個住戶單獨接入互聯網服務提供商的傳統模式。企業級網絡在這種類似于郊區社區的環境中的優勢十分明顯，因為以往這種環境中的居民一旦離開單元范圍，就會斷開與網絡的連接。在部署企業級網絡后，網絡管理員就可以利用統一的基礎設施提供這些額外的優勢。

微分段提高用戶隱私和安全性

IT團隊和托管服務提供商可以利用這種統一基礎設施為住戶提供個人專屬網絡。MDU物業中的每個單元都有自己的個人專屬網絡（VLAN/VXLAN），住戶只能看到自己的設備，而看不到鄰居的設備。由于只有單個單元而非整個物業內的設備能夠響應廣播幀，因此這種隔離提高了線路資源的利用率。用戶的設備和流量與鄰居隔離，而且他們也看不到鄰居的設備和流量，所以這一功能還能保護住戶的隱私。

最重要的是，當住戶訪問物業內的任何設施時，他們的SSID會跟隨他們，在整個物業內提供端到端個人專屬無線網絡。這能給住戶帶來很好的用戶體驗，有助于物業吸引和留住住戶。對于高等教育機構來說，個人專屬網絡是滿足學生對Wi-Fi高期望的絕佳方式。

如何使用RUCKUS進行網絡分段

RUCKUS Networks支持所有IEEE行業標準，具備實現網絡分段所需的一切功能。RUCKUS使用VLAN和VXLAN實現網絡分段，網絡上最多可有4094個VLAN和1600萬個 VXLAN。如前文所述，這一限制并非RUCKUS特有，而是IEEE 802.1Q標準所規定的。VXLAN可以在單個管理域上擴展到1600萬個 “網絡”，這能夠帶來一個額外的好處——這些網絡可以跨越多個物理網段和地理區域。由于VXLAN是在三層網絡上實現二層網絡的分區，因此是可以支持這樣的網絡設計的。

RUCKUS網絡分段引擎的核心是我們的Cloudpath注冊系統，它通過云服務（也支持本地部署）來提供安全登錄和網絡接入。Cloudpath系統的美妙之處在于，您可以在沒有RUCKUS接入點、SmartZone控制器或ICX交換機的情況下使用它，但只有與RUCKUS融合控制器、RUCKUS接入點和ICX交換機搭配使用時，才能充分發揮Cloudpath的技術優勢。

基于完整的RUCKUS網絡，管理員就可以利用VLAN或VXLAN根據自己的需求和能力完成網絡分段。在使用Cloudpath進行網絡分段時，您還能為每臺設備關聯用戶身份。

您可在RUCKUS解決方案頁面了解更多有關網絡分段的信息，包括視頻，解決方案簡介以及更多內容您還可以訪問我們最新的 AVE Union案例分享（AVE Union是一個使用VLAN為住戶提供個人專屬網絡的MDU物業）。網絡分段能夠為企業機構帶來許多優勢。如果您有興趣在您的環境中使用這項技術，請隨時聯系您的RUCKUS合作伙伴。

網絡分段（微隔離）的3大優勢是什么？

網絡分段的三個主要目的是：

增強安全性：網絡分段可將扁平網絡劃分為多個子網或網段，從而減少攻擊面。分段限制了攻擊者在網絡內的橫向移動。即便攻擊者入侵網絡，他們也只能訪問網絡中的有限部分，而不是整個系統。這正是微分段能達到的效果，通過在工作負載層面應用安全策略來實現更加精細化的安全保護。它同時也是“最小權限”策略的關鍵組成部分，該策略規定每個網段除所需要的訪問權限外，不得擁有任何其他權限。這種方法對于保護信用卡信息等敏感數據尤其重要，符合支付卡行業數據安全標準（PCI DSS）等標準。

提高性能：網絡分段可提高網絡性能。通過隔離網絡流量，可以確保關鍵服務獲得所需的帶寬。這一點在需要高效管理如東西向流量（數據中心服務器之間的流量）等各類流量的數據中心環境中尤其有用。網絡分段還能通過限制網段間的不必要流量，幫助減少擁塞。

提高控制和監控力度：網絡分段可提高網絡可視性與控制。通過將網絡劃分成較小的部分，可以更容易地監控流量、識別異常情況并發現潛在漏洞，同時還能對不同網段設置不同的信任級別，實現更加精準的訪問控制，例如可以將帶有敏感數據的終端與泄露風險較高的終端隔離。軟件定義網絡（SDN）和虛擬化等技術可以使這一過程更加易于管理和靈活。

結論

請記住，雖然網絡分段可以顯著提高您的網絡安全態勢，但它并不是包治百病的靈丹妙藥。網絡分段應與防火墻、身份驗證機制和強大的安全策略一同組成一套多層防御策略。