Konfigurieren der Firewall-Segmentierung
Die Firewallsegmentierung von Virtual Route Forwarding (VRF) bietet mehrere Routingdomänen Zugriff auf das Internet über eine gemeinsame Schnittstelle, wobei der Datenverkehr jeder Domäne von dem der anderen isoliert ist. Beispielsweise können Mitarbeiter und Gäste über dieselbe Schnittstelle auf das Internet zugreifen, ohne auf den Verkehr des anderen zugreifen zu müssen. Ab SD-WAN 11.5-Version können Sie die Firewallsegmentierung mithilfe des Citrix SD-WAN Orchestrator Service konfigurieren. Weitere Informationen finden Sie unter Firewall-Segmentierung.
- Internet-Zugang für lokale Gastbenutzer
- Internetzugriff für Mitarbeiter/Benutzer für definierte Anwendungen
- Mitarbeiter-Benutzer können weiterhin den gesamten anderen Traffic zum MCN abstecken
- Erlauben Sie dem Benutzer, bestimmte Routen für bestimmte Routingdomänen hinzuzufügen.
- Wenn diese Option aktiviert ist, gilt diese Funktion für alle Routingdomänen.
Sie können auch mehrere Zugriffsschnittstellen erstellen, um separate öffentliche IP-Adressen aufzunehmen. Beide Optionen bieten die erforderliche Sicherheit, die für jede Benutzergruppe erforderlich ist.
Sie können bestätigen, dass jede Routingdomäne den Internetdienst verwendet, indem Sie die Spalte Routingdomäne in der Tabelle Flows der Webverwaltungsschnittstelle unter Monitor > Flowsüberprüfen.
Sie können auch die Routing-Tabelle für jede Routingdomäne unter Monitor > Statistiken > Routenüberprüfen.
Anwendungsfälle
In früheren Citrix SD-WAN-Releases hatten virtuelles Routing und Weiterleitung die folgenden Probleme, die behoben wurden.
- Kunden haben mehrere Routingdomänen an einem Zweigstandort, ohne dass alle Domänen im Rechenzentrum (MCN) einbezogen werden müssen. Sie müssen in der Lage sein, den Datenverkehr verschiedener Kunden auf sichere Weise zu isolieren
- Kunden müssen über eine einzige zugängliche öffentliche IP-Adresse mit Firewall verfügen, damit mehrere Routingdomänen an einem Standort auf das Internet zugreifen können (über VRF Lite hinaus).
- Kunden benötigen eine Internetroute für jede Routingdomäne, die verschiedene Dienste unterstützt.
- Mehrere Routingdomänen an einem Zweigstandort.
- Internetzugang für verschiedene Routingdomänen.
Mehrere Routingdomänen an einem Zweigstandort
Mit den Verbesserungen der Segmentierung der Virtual Forwarding und Routing Firewall können Sie:
- Stellen Sie am Zweigstandort eine Infrastruktur bereit, die sichere Konnektivität für mindestens zwei Benutzergruppen wie Mitarbeiter und Gäste unterstützt. Die Infrastruktur kann bis zu 16 Routingdomänen unterstützen.
- Isolieren Sie den Traffic jeder Routingdomäne vom Traffic einer anderen Routingdomäne.
-
Bereitstellung eines Internetzugangs für jede Routing-Domäne,
-
Ein gemeinsames Access Interface ist erforderlich und akzeptabel
-
Ein Access Interface für jede Gruppe mit separaten öffentlichen IP-Adressen
-
- Der Verkehr für den Mitarbeiter kann direkt ins lokale Internet geleitet werden (bestimmte Anwendungen)
- Der Verkehr für den Mitarbeiter kann zur umfassenden Filterung zum MCN weitergeleitet oder zurücktransportiert werden (0-Route)
- Der Verkehr für die Routing-Domäne kann direkt ins lokale Internet geleitet werden (0-Route)
- Unterstützt bei Bedarf bestimmte Routen pro Routingdomäne
- Routingdomänen sind VLAN-basiert
- Entfernt die Anforderung, dass der RD im MCN wohnen muss
- Routingdomäne kann jetzt nur an einem Zweigstandort konfiguriert werden
- Ermöglicht es Ihnen, einer Zugriffsschnittstelle mehrere RD zuzuweisen (sobald aktiviert)
- Jeder RD wird eine 0.0.0.0-Route zugewiesen
- Ermöglicht das Hinzufügen bestimmter Routen für eine RD
- Ermöglicht dem Datenverkehr von verschiedenen RD, über dieselbe Zugriffsschnittstelle ins Internet zu gelangen
- Ermöglicht die Konfiguration einer anderen Zugriffsschnittstelle für jede RD
- Muss eindeutige Subnetze sein (RD wird einem VLAN zugewiesen)
- Jeder RD kann dieselbe FW-Standardzone verwenden
- Der Verkehr wird durch die Routing-Domäne isoliert
- Ausgehende Flows haben den RD als Komponente des Flow-Headers. Ermöglicht SD-WAN, Rückflüsse der korrekten Routing-Domäne zuzuordnen.
Voraussetzungen für die Konfiguration mehrerer Routingdomänen:
- Der Internetzugang ist konfiguriert und einem WAN-Link zugewiesen.
- Für NAT konfigurierte Firewall und korrekte Richtlinien wurden angewendet.
- Zweite Routing-Domäne wurde global hinzugefügt.
- Jede Routingdomäne, die einem Standort hinzugefügt wird.
- Stellen Sie sicher, dass der Internetdienst richtig definiert wurde.
Bereitstellungsszenarios
Einschränkungen
-
Der Internetdienst muss zum WAN-Link hinzugefügt werden, bevor Sie den Internetzugang für alle Routingdomänen aktivieren können. (Bis Sie dies tun, ist das Kontrollkästchen zum Aktivieren dieser Option ausgegraut).
Nachdem Sie den Internetzugang für alle Routingdomänen aktiviert haben, fügen Sie automatisch eine Dynamic-NAT-Regel hinzu.
- Bis zu 16 Routing-Domains pro Standort.
- Zugriffsschnittstelle (KI): Einzelne KI pro Subnetz.
- Für mehrere KIs ist ein separates VLAN für jede KI erforderlich.
-
Wenn Sie zwei Routingdomänen an einem Standort haben und über einen einzigen WAN-Link verfügen, verwenden beide Domänen dieselbe öffentliche IP-Adresse.
- Wenn der Internetzugang für alle Routingdomänen aktiviert ist, können alle Websites zum Internet weiterleiten. (Wenn eine Routing-Domäne keinen Internetzugang benötigt, können Sie die Firewall verwenden, um den Datenverkehr zu blockieren.)
-
Keine Unterstützung für dasselbe Subnetz in mehreren Routingdomänen.
-
Es gibt keine Audit-Funktion
- Die WAN-Verbindungen werden für den Internetzugang freigegeben.
- Kein QOS pro Routingdomäne; First come first serve.