拆解物联网系列：可扩展性挑战以及您可以做些什么

物联网 (IoT) 给网络工程师带来了许多挑战。在我之前的博文中，我解释了思科如何帮助解决迄今为止最大的物联网挑战：安全性。在这篇博文中，我们将介绍下一个挑战：可扩展性。

如下图所示，未来几年内将有数百亿台设备上线，这带来了巨大的物联网可扩展性问题。

组织如何可能扩展安全和网络策略以解决所有这些设备？如果我们必须按照过去几十年配置网络设备的方式来配置 IoT 设备，那么我们将无法满足 IoT 推动的可扩展性要求。 “传统”方式——手动、逐盒配置——速度慢且容易出错。

答案？自动化。使用自动化大规模部署策略可加快配置速度并使软件管理变得更加容易。这可以通过软件定义的访问来实现。

幕后：在 Cisco DNA 中心扩展物联网

请允许我解释一下。假设您想将网络策略应用于您的 IoT 设备。所有物联网设备都必须在自己的 VLAN 上，与网络上的其他设备分开。目的是防止攻击者使用 IoT 设备作为进入企业网络其余部分的立足点。

使用 Cisco DNA Center，添加新的虚拟网络就像命名网络并选择应在其上的用户、设备和/或应用程序组一样简单。这些表示为可扩展组。网络运营商只需将适当的图标从屏幕左侧拖放到右侧，然后单击保存，即可选择属于新虚拟网络的每个组。只需点击几下，物联网设备就可以有效地进行分段，以便它们只能与虚拟网络中指定的其他设备进行通信。无需分配 VLAN 和 DHCP 范围、程序 ACL 等。作为网络运营商，您无需掌握网络策略和访问控制列表的语言，即可几乎立即创建您的网络。

可扩展组标签 (SGT) 使这个过程变得如此简单。可扩展组是用于“分组”用户和/或设备的逻辑策略对象。 SGT 标识您要将策略应用于的任何内容：端点、用户或应用程序。 SGT 用于管理独立于 IP 地址的“基于组的策略”。这意味着策略应用于可扩展组，而不是单个 IP 地址。过去，网络运营商经常将策略应用于设备 IP 地址，因为它们无处不在、端到端且一致，但这种方法变得混乱。通过将策略主要应用于 SGT，除了对虚拟网络进行分段之外，您还可以在物联网软件定义接入网络的策略表达式中实现可扩展、有效和灵活的表达。

上述过程与用于管理企业网络上的设备的过程相同。然而，物联网设备通常不具备所有更高的功能和计算资源，例如数据中心的交换机。它们通常重量更轻，外形更小，功耗更低，硬件功能更小。

为了在这个软件定义的世界中发挥作用，我们需要适应和协调这两个约束：一个是提供分段和策略，另一个是允许硬件尽可能保持轻量级。这就是思科软件定义访问扩展节点的用武之地。它们的工作原理如下：

• 扩展节点使用静态分配的 802.1Q 中继端口（单个或多个 VLAN）连接到单个边缘节点
• 然后可以将扩展节点上的交换机端口静态分配给 Cisco DNA Center 中的适当 IP 池
• SGT 映射是通过连接的边缘节点上 Cisco DNA Center 中的池到组映射完成的
• 在边缘节点执行基于可扩展组 ACL 的流量策略实施

当网络运营商不得不手动配置单个盒子时，扩展企业网络已经很困难了。物联网几乎是不可能的。幸运的是，思科使用软件定义的访问和自动化解决了企业网络中的这一挑战。现在，这些相同的解决方案可以应用于物联网。有了思科作为您的合作伙伴，您可以使用与企业网络相同的管理界面来高效地扩展。

想了解更多？查看我们的点播网络研讨会思科物联网：推动公共安全、石油和天然气以及制造行业的转型。不要忘记查看思科物联网博客，了解企业物联网面临的其他主要挑战，包括安全性。