所谓的IBN中的intent,实际上就是通过用户分组的方式,实现组间访问的策略控制,替代了传统的ACL功能,ACL的方式,可读性差,容易出错,基本上没法管理。
这么看思科的Intent based network,并没有很高大上的虚幻概念,本质上是用户分组,然后是通过SGT,在报文总携带分组信息,在对端设备上基于组间策略做微分段,这几个步骤。这么看仅仅是一个业务策略自动化的过程。
所以,园区的方案也好,物联网方案也好,从网络的底层逻辑看,无外乎是谁可以访问谁,谁不能访问谁的问题,这是网络的最基础逻辑,也是安全角度上网络几乎唯一能做的事情。 从这个角度看,网络的业务价值还是很有限的。
要做到上述逻辑,需要一个自动化的流程,
1、 发现设备身份、类型、通信需求,这个过程希望自动化,避免手工操作,尤其是物联网时代海量终端的情况下,手工操作几乎不可接受。 这个自动化过程,就是MUD要完成的。当然由于MUD生态成熟度问题,要结合自动学习的方式。
2、 发现了上述信息,就要自动化分组,自动下发网络策略,实现网络安全的意图,这个过程,实际上就是整体园区方案做的事情,前面SD-Access分析提过,用户分组,SGT携带分组信息,对端设备基于组间策略做微分段。这些都可以自动化完成。当然,基于用户组的意图,还可以自动配置QOS策略。