- 博客(12)
- 收藏
- 关注
RSS订阅原创 关于MUD(三)
前面提到,除了基于MUD的Declared模式,思科的IOT方案还有学习模式,两种模式结合,实现对设备接入网络后的自动化策略。学习模式有四种信息来源:1、 ISE内置的设备指纹信息,ISE已经可以识别很多设备,2、 与IND集成,学习到工业设备信息,思科提到这是个bonus。3、思科还有一个cyber vision产品,通过cyber vision对工业协议的DPI能力,可以得到更多的设备信息,如资产属性,资产行为,资产价值,网络统计信息等等。都可以用来辅助实现网络策略的决策。4、除此之外,还
2020-12-04 11:00:49
622
原创 关于MUD(二)
所谓的IBN中的intent,实际上就是通过用户分组的方式,实现组间访问的策略控制,替代了传统的ACL功能,ACL的方式,可读性差,容易出错,基本上没法管理。这么看思科的Intent based network,并没有很高大上的虚幻概念,本质上是用户分组,然后是通过SGT,在报文总携带分组信息,在对端设备上基于组间策略做微分段,这几个步骤。这么看仅仅是一个业务策略自动化的过程。所以,园区的方案也好,物联网方案也好,从网络的底层逻辑看,无外乎是谁可以访问谁,谁不能访问谁的问题,这是网络的最基础逻辑,也是安
2020-12-03 12:05:06
510
原创 关于MUD(一)
作为一个网络设备厂商,思科的物联网方案,对网络连接,安全,可视化等方面的思考更为深入,也在这些方向上提出了一些方案。按思科的观点,如果要实现物联网的安全,就要了解更多接入网络的设备信息,比如:谁? 什么类型,位置,接入方式(有线,无线,其他),它的行为,合规性,是否访问还是的网络资源,是否必需, 设备行为正常与否?知道这些,网络可以做两件事,大大提升网络的安全性:第一件事、实现对物联网设备的状态可视化第二件事,基于意图,自动执行网络策略,实现segmentation,降低网络安全风险。MUD就是
2020-12-02 10:23:23
1678
1
原创 IT和OT融合,思科的理解和方案
关于IO和IT融合,思科的分析挺透彻,简单记录一下自己的理解,不保证准确。阻碍IT和OT融合的根本原因,不是技术障碍,而是组织目标的分歧。IT部门和OT部门,有着完全不同的诉求,概括起来是开源和节流的差异。OT部门是为赚钱服务的,所以OT的诉求,是安全生产,提高生产效率,提高产品质量,降低浪费。他们对系统的考虑,是安全可靠,容易替换,简单操作,不改变原有习惯。 担心IT带来的安全问题,复杂问题,对IT的依赖问题,出故障后的响应问题等等。IT部门是成本中心,不是挣钱的组织,他们的需求,是安全,简化管理
2020-11-24 11:32:33
2983
原创 什么是边缘计算,为什么需要边缘计算,看思科的边缘计算理解
这篇是边缘计算比较基础的理解,但是还比较清晰,先看一张图广义上来说,工业界定义的边缘计算,也是高通的定义,只要不是在云数据中心中的计算,都是边缘计算。不过,思科给出了自己的理解,最边缘的传感器和智能设备,准确来讲是Smarter things,更聪明的物,在运营商区域机房内的服务器,叫Service Providers Edge,通常是内容分发网络,比如akamai的加速服务器。 真正的边缘,是城域网之下,可以在IoT网关里,也可以在路由器交换机里。为什么需要边缘计算,其实也是老生常谈,无外乎是时延,
2020-11-19 10:25:30
3707
6
原创 思科SD Access园区方案分析——WLAN接入
前一篇网络Fabric部分,没提无线部分,本篇无线部分简单写写。关于无线的AP是如何纳入Fabric的,和我自己瞎想的不同,AP设备并没有支持LISP,也就没有路由表。无线网络是通过WLC网关设备,和LISP服务器通信,通告终端的位置信息的。数据面上,无线数据流也不再使用CAPWAP隧道,而是通过统一的VXLAN技术,和有线网络架构统一。数据面的报文转发,AP的实现和交换机不一样,因为AP本身不支持LISP,实际上AP无法一步到位封装对端的隧道地址,这里采用了一种分段VXLAN的机制,AP封装VXLA
2020-11-18 09:37:53
412
1
原创 思科SD Access园区方案分析——关于LISP
思科园区SD-Access方案中,网络Fabric控制面,采用的是LISP,这可能是业界独家吧,为什么不使用万能的BGP,而使用LISP呢? 思科有自己的解释。LISP协议的具体原理比较简单,本文就不拷贝粘贴了,有兴趣的同学可以去网上搜一下,半小时估计就看懂了。从使用的角度,LISP某种程度和DNS类似,采用查询+cache机制,每次转发时,要找MAP server询问对端在哪里,当然如果cache中存在表项,就不用每次都找人问了。这个机制是一种on demand机制,相对应的,BGP和其他路由协议,都算
2020-11-18 09:34:22
1230
原创 思科SD Access园区方案分析——网络Fabric
思科的SD Access是一个面向园区网络解决方案,这些年来,对于园区网络似乎也没有太多革命性的需求和重大的痛点,SD Access方案,和业界的网络方案也基本一致,致力于网络自动化、基于身份策略和安全、基于AI大数据技术的网络运维保障等。今天着重把网络Fabric部分写一下。1、 Fabric这块,思科把网络分为underlay网络和overlay网络,合起来称为网络Fabric, 所谓fabric,来自于full mesh连通性的诉求。underlay网络主要解决基于IP的连通性,技术上
2020-11-18 09:32:13
1245
原创 思科的DUO解决方案到底是什么?
今天看了一下思科的DUO方案,简单理解记录下来,不一定准确。DUO是思科提到是所谓的MFA,多因子认证方案。 其实就类似我们登录网银APP时,还需要一个短信验证码一样,通过第二台设备的实时认证,实现了对用户真实身份的识别。第二因子认证,包括很多方式,包括DUO Push,短信,电话callback,指纹等等等等,最重要的是,这个服务是通用的,不同的应用都可以使用这个身份认证,举个例子,就是国内,任何应用都可以使用运营商的认证短信服务,完成身份认证。 但不同之处在于,在国内我们能使用的,似乎只有短信这一种
2020-11-17 11:19:56
2524
原创 当我们说Multi-Site数据中心解决方案,到底在说啥?
从思科的ACI Multi Site方案简单理解一下这个问题。对思科的ACI multisite解决方案,之前一直确实没有仔细看,思科的ACI的multi-site方案到底是啥,可能只要看看下面这张图,就会比较清楚了。这里有multi pod和multi site两个场景,所谓的multi pod来讲,用户看起来还是一个fabric,Fabric和控制器的比例关系,1:1,一个Fabric也就是一个控制器。对multi site来讲就不一样了,多个site就意味着多个fabric,多个fabric,
2020-11-16 10:42:15
2070
原创 思科工业4.0安全方案分析
简单看了一些思科的工业4.0方案,随手记录一些信息并简单分析,仅供参考。总体来说,思科为工业自动化行业做了深度的定制,方案行业属性很强。思科认为,随着IT,OT,云、IOT技术的融合,必须实现OT和IT的融合,思科的工业4.0安全方案,就是基于IT和OT融合的基本思路构建的。方案的几个关键组件1、Cyber Vision Cisco Cyber Vision is a cyber security solution. It monitors industrial automation assets
2020-11-12 11:14:58
532
原创 物联网解决方案的竞争力问题
最近看了一些物联网解决方案的情况,结合自己的理解,做一个记录1、物联网的市场看,我自己想把它分成三类来看,不一定严谨,仅仅用于问题的思考,一、广义的信息采集类(水电气表等)、二、楼宇自动化,工业自动化,三、消费类智慧家庭,智慧城市等。 第一类,采用NB-IOT,LoRa这类技术是比较合适的,除非在一些无线信号不容易覆盖的地方,可以用其他技术补充,比如电表信息采集,普遍用了PLC技术。第二类,面向传统的楼宇和工控协议总线,以及在上面长期积累的应用和生态,不是传统网络厂家容易进入的,反过来讲,也是个革命的机
2020-11-12 11:03:29
521
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人