Citrix SD-WAN

Konfigurieren der Firewall-Segmentierung

October 28, 2021

Beitrag von:

Die Firewallsegmentierung von Virtual Route Forwarding (VRF) bietet mehrere Routingdomänen Zugriff auf das Internet über eine gemeinsame Schnittstelle, wobei der Datenverkehr jeder Domäne von dem der anderen isoliert ist. Beispielsweise können Mitarbeiter und Gäste über dieselbe Schnittstelle auf das Internet zugreifen, ohne auf den Verkehr des anderen zugreifen zu müssen.

Internet-Zugang für lokale Gastbenutzer
Internetzugriff für Mitarbeiter/Benutzer für definierte Anwendungen
Mitarbeiter-Benutzer können weiterhin den gesamten anderen Traffic zum MCN abstecken
Erlauben Sie dem Benutzer, bestimmte Routen für bestimmte Routingdomänen hinzuzufügen.
Wenn diese Option aktiviert ist, gilt diese Funktion für alle Routingdomänen.

Sie können auch mehrere Zugriffsschnittstellen erstellen, um separate öffentliche IP-Adressen aufzunehmen. Beide Optionen bieten die erforderliche Sicherheit, die für jede Benutzergruppe erforderlich ist.

Hinweis

Weitere Informationen finden Sie unter So konfigurieren Sie VRFs.

So konfigurieren Sie Internetdienste für alle Routingdomänen:

Erstellen Sie Internetdienst für eine Site. Navigieren Sie zu Verbindungen > Region anzeigen > Site anzeigen > [Sitename] > Internetdienst > Abschnitt > WAN-Links, und aktivieren Sie unter WAN-Links das Kontrollkästchen Verwenden.

Hinweis

Sie sollten sehen, dass 0.0.0.0/0 Routen hinzugefügt wurden, eine pro Routingdomäne, unter Verbindungen > Region anzeigen > Site anzeigen >[Sitename] > Routen.

Es ist nicht mehr erforderlich, alle Routingdomänen am MCN aktiviert zu haben.
Wenn Sie Routingdomänen am MCN deaktivieren, wird die folgende Meldung angezeigt, wenn die Domänen an einem Zweigstandort verwendet werden:
Sie können bestätigen, dass jede Routingdomäne den Internetdienst verwendet, indem Sie die Spalte Routingdomäne in der Tabelle Flows der Webverwaltungsschnittstelle unter Monitor > Flowsüberprüfen.
Sie können auch die Routing-Tabelle für jede Routingdomäne unter Monitor > Statistiken > Routenüberprüfen.

Anwendungsfälle

In früheren Citrix SD-WAN-Releases hatten virtuelles Routing und Weiterleitung die folgenden Probleme, die behoben wurden.

Kunden haben mehrere Routingdomänen an einem Zweigstandort, ohne dass alle Domänen im Rechenzentrum (MCN) einbezogen werden müssen. Sie müssen in der Lage sein, den Datenverkehr verschiedener Kunden auf sichere Weise zu isolieren
Kunden müssen über eine einzige zugängliche öffentliche IP-Adresse mit Firewall verfügen, damit mehrere Routingdomänen an einem Standort auf das Internet zugreifen können (über VRF Lite hinaus).
Kunden benötigen eine Internetroute für jede Routingdomäne, die verschiedene Dienste unterstützt.
Mehrere Routingdomänen an einem Zweigstandort.
Internetzugang für verschiedene Routingdomänen.

Mehrere Routingdomänen an einem Zweigstandort

Mit den Verbesserungen der Segmentierung der Virtual Forwarding und Routing Firewall können Sie:

Stellen Sie am Zweigstandort eine Infrastruktur bereit, die sichere Konnektivität für mindestens zwei Benutzergruppen wie Mitarbeiter und Gäste unterstützt. Die Infrastruktur kann bis zu 16 Routingdomänen unterstützen.
Isolieren Sie den Traffic jeder Routingdomäne vom Traffic einer anderen Routingdomäne.
Bereitstellung eines Internetzugangs für jede Routing-Domäne,
- Ein gemeinsames Access Interface ist erforderlich und akzeptabel
- Ein Access Interface für jede Gruppe mit separaten öffentlichen IP-Adressen
Der Verkehr für den Mitarbeiter kann direkt ins lokale Internet geleitet werden (bestimmte Anwendungen)
Der Verkehr für den Mitarbeiter kann zur umfassenden Filterung zum MCN weitergeleitet oder zurücktransportiert werden (0-Route)
Der Verkehr für die Routing-Domäne kann direkt ins lokale Internet geleitet werden (0-Route)
Unterstützt bei Bedarf bestimmte Routen pro Routingdomäne
Routingdomänen sind VLAN-basiert
Entfernt die Anforderung, dass der RD im MCN wohnen muss
Routingdomäne kann jetzt nur an einem Zweigstandort konfiguriert werden
Ermöglicht es Ihnen, einer Zugriffsschnittstelle mehrere RD zuzuweisen (sobald aktiviert)
Jeder RD wird eine 0.0.0.0-Route zugewiesen
Ermöglicht das Hinzufügen bestimmter Routen für eine RD
Ermöglicht dem Datenverkehr von verschiedenen RD, über dieselbe Zugriffsschnittstelle ins Internet zu gelangen
Ermöglicht die Konfiguration einer anderen Zugriffsschnittstelle für jede RD
Muss eindeutige Subnetze sein (RD wird einem VLAN zugewiesen)
Jeder RD kann dieselbe FW-Standardzone verwenden
Der Verkehr wird durch die Routing-Domäne isoliert
Ausgehende Flows haben den RD als Komponente des Flow-Headers. Ermöglicht SD-WAN, Rückflüsse der korrekten Routing-Domäne zuzuordnen.

Voraussetzungen für die Konfiguration mehrerer Routingdomänen:

Der Internetzugang ist konfiguriert und einem WAN-Link zugewiesen.
Für NAT konfigurierte Firewall und korrekte Richtlinien wurden angewendet.
Zweite Routing-Domäne wurde global hinzugefügt.
Jede Routingdomäne, die einem Standort hinzugefügt wird.
Stellen Sie unter Sites > Site-Name > WAN-Links > [WL2-Name] > Access Interfacesicher, dass das Kontrollkästchen verfügbar ist und der Internetdienst korrekt definiert wurde. Wenn Sie das Kontrollkästchen nicht aktivieren können, ist der Internetdienst weder definiert noch einer WAN-Verbindung für die Site zugewiesen.

Bereitstellungsszenarien

lokalisiertes Bild

Einschränkungen

Der Internetdienst muss zum WAN-Link hinzugefügt werden, bevor Sie den Internetzugang für alle Routingdomänen aktivieren können. (Bis Sie dies tun, ist das Kontrollkästchen zum Aktivieren dieser Option ausgegraut).

Nachdem Sie den Internetzugang für alle Routingdomänen aktiviert haben, fügen Sie automatisch eine Dynamic-NAT-Regel hinzu.
Bis zu 16 Routing-Domains pro Standort.
Zugriffsschnittstelle (KI): Einzelne KI pro Subnetz.
Für mehrere KIs ist ein separates VLAN für jede KI erforderlich.
Wenn Sie zwei Routingdomänen an einem Standort haben und über einen einzigen WAN-Link verfügen, verwenden beide Domänen dieselbe öffentliche IP-Adresse.
Wenn der Internetzugang für alle Routingdomänen aktiviert ist, können alle Websites zum Internet weiterleiten. (Wenn eine Routing-Domäne keinen Internetzugang benötigt, können Sie die Firewall verwenden, um den Datenverkehr zu blockieren.)
Keine Unterstützung für dasselbe Subnetz in mehreren Routingdomänen.
Es gibt keine Audit-Funktion
Die WAN-Verbindungen werden für den Internetzugang freigegeben.
Kein QOS pro Routingdomäne; First come first serve.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Konfigurieren der Firewall-Segmentierung

October 28, 2021

Beitrag von:

October 28, 2021

Beitrag von: