Konfigurieren der Firewall-Segmentierung
Die Firewallsegmentierung von Virtual Route Forwarding (VRF) bietet mehrere Routingdomänen Zugriff auf das Internet über eine gemeinsame Schnittstelle, wobei der Datenverkehr jeder Domäne von dem der anderen isoliert ist. Beispielsweise können Mitarbeiter und Gäste über dieselbe Schnittstelle auf das Internet zugreifen, ohne auf den Verkehr des anderen zugreifen zu müssen.
- Internet-Zugang für lokale Gastbenutzer
- Internetzugriff für Mitarbeiter/Benutzer für definierte Anwendungen
- Mitarbeiter-Benutzer können weiterhin den gesamten anderen Traffic zum MCN abstecken
- Erlauben Sie dem Benutzer, bestimmte Routen für bestimmte Routingdomänen hinzuzufügen.
- Wenn diese Option aktiviert ist, gilt diese Funktion für alle Routingdomänen.
Sie können auch mehrere Zugriffsschnittstellen erstellen, um separate öffentliche IP-Adressen aufzunehmen. Beide Optionen bieten die erforderliche Sicherheit, die für jede Benutzergruppe erforderlich ist.
Aktivieren des Internetzugriffs auf Routingdomäne (n)
Sie können den Internetzugriff in einer Routingdomäne über den Citrix SD-WAN Orchestrator Service aktivieren. Diese Option erstellt automatisch eine DEFAULT-Route (0.0.0.0/0) auf allen Routingtabellen der jeweiligen Routingdomänen. Sie können den Internetzugriff für alle Routingdomänen oder für keine aktivieren. Es wird vermieden, dass eine exklusive statische Route über alle Routingdomänen hinweg erstellt werden muss, wenn der Internetzugang erforderlich ist.
Weitere Informationen finden Sie unter Access-Schnittstelle.
Anwendungsfälle
Im Folgenden sind die unterstützten Anwendungsfälle für die Firewall-Segmentierung aufgeführt:
- Kunden haben mehrere Routingdomänen an einem Zweigstandort, ohne dass alle Domänen im Rechenzentrum (MCN) einbezogen werden müssen. Sie müssen in der Lage sein, den Datenverkehr verschiedener Kunden auf sichere Weise zu isolieren
- Kunden müssen über eine einzige zugängliche öffentliche IP-Adresse mit Firewall verfügen, damit mehrere Routingdomänen an einem Standort auf das Internet zugreifen können (über VRF Lite hinaus).
- Kunden benötigen eine Internetroute für jede Routingdomäne, die verschiedene Dienste unterstützt.
- Mehrere Routingdomänen an einem Zweigstandort.
- Internetzugang für verschiedene Routingdomänen.
Mehrere Routingdomänen an einem Zweigstandort
Mit den Verbesserungen der Segmentierung der Virtual Forwarding und Routing Firewall können Sie:
- Stellen Sie am Zweigstandort eine Infrastruktur bereit, die sichere Konnektivität für mindestens zwei Benutzergruppen wie Mitarbeiter und Gäste unterstützt. Die Infrastruktur kann bis zu 254 Routingdomänen unterstützen.
- Isolieren Sie den Traffic jeder Routingdomäne vom Traffic einer anderen Routingdomäne.
-
Bereitstellung des Internetzugangs für jede Routingdomäne,
-
Ein gemeinsames Access Interface ist erforderlich und akzeptabel
-
Ein Access Interface für jede Gruppe mit separaten öffentlichen IP-Adressen
-
- Der Verkehr für den Mitarbeiter kann direkt ins lokale Internet geleitet werden (bestimmte Anwendungen)
- Der Verkehr für den Mitarbeiter kann zur umfassenden Filterung zum MCN weitergeleitet oder zurücktransportiert werden (0-Route)
- Der Verkehr für die Routing-Domäne kann direkt ins lokale Internet geleitet werden (0-Route)
- Unterstützt bei Bedarf bestimmte Routen pro Routingdomäne
- Routingdomänen sind VLAN-basiert
- Entfernt die Anforderung, dass der RD im MCN wohnen muss
- Routingdomäne kann jetzt nur an einem Zweigstandort konfiguriert werden
- Ermöglicht es Ihnen, einer Zugriffsschnittstelle mehrere RD zuzuweisen (sobald aktiviert)
- Jeder RD wird eine 0.0.0.0-Route zugewiesen
- Ermöglicht das Hinzufügen bestimmter Routen für eine RD
- Ermöglicht dem Datenverkehr von verschiedenen RD, über dieselbe Zugriffsschnittstelle ins Internet zu gelangen
- Ermöglicht die Konfiguration einer anderen Zugriffsschnittstelle für jede RD
- Muss eindeutige Subnetze sein (RD wird einem VLAN zugewiesen)
- Jeder RD kann dieselbe FW-Standardzone verwenden
- Der Verkehr wird durch die Routing-Domäne isoliert
- Ausgehende Flows haben den RD als Komponente des Flow-Headers. Ermöglicht SD-WAN, Rückflüsse der korrekten Routing-Domäne zuzuordnen.
Voraussetzungen für die Konfiguration mehrerer Routingdomänen:
- Der Internetzugang ist konfiguriert und einem WAN-Link zugewiesen.
- Für NAT konfigurierte Firewall und korrekte Richtlinien wurden angewendet.
- Zweite Routing-Domäne wurde global hinzugefügt.
- Jede Routingdomäne, die einem Standort hinzugefügt wird.
- Informationen zum Konfigurieren von Internetdiensten in den Routingdomänen finden Sie unter WAN-Links.
Bereitstellungsszenarios
Einschränkungen
-
Der Internetdienst muss zum WAN-Link hinzugefügt werden, bevor Sie den Internetzugang für alle Routingdomänen aktivieren können. (Bis Sie dies tun, ist das Kontrollkästchen zum Aktivieren dieser Option ausgegraut).
Nachdem Sie den Internetzugang für alle Routingdomänen aktiviert haben, fügen Sie automatisch eine Dynamic-NAT-Regel hinzu.
- Zugriffsschnittstelle (KI): Einzelne KI pro Subnetz.
- Für mehrere KIs ist ein separates VLAN für jede KI erforderlich.
-
Wenn Sie zwei Routingdomänen an einem Standort haben und über einen einzigen WAN-Link verfügen, verwenden beide Domänen dieselbe öffentliche IP-Adresse.
-
Wenn der Internetzugang für alle Routingdomänen aktiviert ist, können alle Websites zum Internet weiterleiten. (Wenn eine Routing-Domäne keinen Internetzugang benötigt, können Sie die Firewall verwenden, um den Datenverkehr zu blockieren.)
- Die WAN-Verbindungen werden für den Internetzugang freigegeben.
- Kein QOS pro Routingdomäne; First come first serve.