CHƯƠNG 3 : SDN TRONG CÁC MÔI TRƯỜNG KHÁC
3.3. Campus Network
3.3.1. SDN trong khn viên: Áp dụng chính sách
Sau đây là mơ tả giá trị của quản lí và triển khai chính sách tập trung, Campus networks là một trong những lĩnh vực mà khả năng này dễ dàng được hiện thực hóa. Sự linh hoạt của SDN trong việc vận dụng các quy tắc luồng dựa trên các định nghĩa chính
sách khiến nó rất phù hợp với việc áp dụng chính sách trong khn viên. Ý tưởng chung về việc áp dụng chính sách như sau:
• Người dùng kết nối mạng và cố gắng gửi lưu lượng truy cập vào mạng.
• Khơng có chính sách nào được áp dụng cho người dùng này, vì vậy các gói ban đầu của người dùng được chuyển tiếp đến bộ điều khiển. Tại thời điểm này, người dùng khơng có quyền truy cập hoặc chỉ có quyền truy cập hạn chế vào mạng.
• Bộ điều khiển tham khảo cơ sở dữ liệu chính sách để xác định mức độ ưu tiên và quyền truy cập thích hợp cho người dùng này.
• Bộ điều khiển tải xuống các quy tắc luồng thích hợp cho người dùng này. • Người dùng hiện giờ có quyền truy cập phù hợp với nhóm mà họ thuộc về, cũng như các thơng tin đầu vào khác như vị trí của người dùng, thời gian trong ngày, v.v.
Hệ thống này cung cấp các cấp độ truy cập khác nhau cần thiết trong campus networks. Chức năng này tương tự như những gì các sản phẩm Network Access Control (NAC) cung cấp ngày nay. Tuy nhiên, ứng dụng dựa trên SDN này có thể đơn giản, mở,
dựa trên phần mềm và linh hoạt trong đó các chính sách có thể được thể hiện bằng ngơn ngữ tinh tế và tiêu chuẩn của quy trình.
Loại kiểm soát truy cập sử dụng SDN này nên được áp dụng ở biên của mạng, nơi có số lượng người dùng và do đó, số lượng mục nhập luồng sẽ khơng vượt quá giới hạn của bảng phần cứng thực tế của thiết bị mạng biên. Sau cạnh, lớp tập trung mạng tiếp theo được gọi là lớp phân bố hay lớp tập hợp. Việc áp dụng chính sách ở lớp này của
mạng sẽ có dạng khác. Thay vào đó, chính sách SDN trong các thiết bị này phải liên quan đến các lớp lưu lượng hoặc lưu lượng đã được tổng hợp theo một số cách khác, chẳng hạn như tunnel hoặc MPLS LSP.
Các luồng cũng có thể được thiết lập cho các loại lưu lượng khác nhau, đặt mức độ ưu tiên phù hợp cho từng loại lưu lượng. Ví dụ về các loại lưu lượng truy cập khác
nhau là HTTP so với email. Ví dụ: lưu lượng truy cập HTTP có thể được đặt ở mức độ ưu tiên thấp hơn trong giờ hành chính, giả định lưu lượng truy cập dựa trên cơng việc của tổ chức không dựa trên giao thức HTTP.