这篇文章已经过机器翻译.放弃
配置防火墙分割
虚拟路由转发 (VRF) 防火墙分段 提供了多个路由域通过一个通用接口访问 Internet 的路由域,每个域的流量与其他域的流量隔离。例如,员工和访客可以通过相同的界面访问互联网,而无需访问彼此的流量。
- 本地访客用户Internet 接入
- 定义应用程序的员工-用户Internet 访问
- 员工-用户可以继续将所有其他流量固定到 MCN
- 允许用户为特定路由域添加特定路由。
- 启用后,此功能将应用于所有路由域。
您还可以创建多个访问接口,以容纳单独的面向公共的 IP 地址。任一选项都为每个用户组提供所需的安全性。
在路由域上启用互联网接入
您可以通过 Citrix SD-WAN Orchestrator 服务在路由域上启用互联网接入。此选项在相应路由域的所有路由表上自动创建默认路由 (0.0.0.0/0)。您可以为所有路由域启用 Internet 接入,也可以不启用任何路由域。如果需要接入 Internet,则无需在所有路由域之间创建独占静态路由。
有关更多信息,请参阅 访问接口。
用例
以下是防火墙分段支持的用例:
- 客户在一个分支站点有多个路由域,而无需包含数据中心 (MCN) 的所有域。他们需要能够以安全的方式隔离不同客户的流量
- 客户必须能够为多个路由域提供单个可访问的防火墙公有 IP 地址,才能在一个站点访问Internet (超出 VRF lite 版)。
- 客户需要为支持不同服务的每个路由域提供 Internet 路由。
- 分支站点上的多个路由域。
- 不同路由域的Internet 接入。
分支站点上的多个路由域
通过虚拟转发和路由防火墙分段增强功能,您可以:
- 在分支站点提供支持至少两个用户组(如员工和来宾)的安全连接的基础结构。该基础架构最多可支持 254 个路由域。
- 隔离每个路由域的流量与任何其他路由域的流量。
-
为每个路由域提供互联网接入,
-
一个通用的访问接口是必需的,并且可以接受
-
具有单独面向公众的 IP 地址的每个组的访问接口
-
- 员工的流量可以直接路由到本地Internet (特定应用程序)
- 员工的流量可以路由或回溯到 MCN 进行广泛筛选(0 路由)
- 路由域的流量可以直接路由到本地Internet (0 路由)
- 如有必要,支持每个路由域的特定路由
- 路由域基于 VLAN 的路由域
- 删除 RD 必须驻留在 MCN 的要求
- 现在只能在分支站点配置路由域
- 允许您将多个 RD 分配给访问接口(一旦启用)
- 为每个 RD 分配一条 0.0.0.0 路径
- 允许为 RD 添加特定路由
- 允许来自不同 RD 的流量使用相同的接入界面退出到Internet
- 允许您为每个 RD 配置不同的访问接口
- 必须是唯一的子网(RD 分配给 VLAN)
- 每个 RD 可以使用相同的 FW 默认区域
- 通过路由域隔离流量
- 出站流将 RD 作为流头的组成部分。允许 SD-WAN 将返回流映射到正确的路由域。
配置多个路由域的先决条件:
- Internet 访问配置并分配给 WAN 链接。
- 为 NAT 配置的防火墙,并应用了正确的策略。
- 全局添加第二个路由域。
- 添加到站点的每个路由域。
- 有关在路由域上配置 Internet 服务的信息,请参阅 WAN 链接。
部署方案
限制
-
必须先将 Internet 服务添加到 WAN 链接,然后才能为所有路由域启用 Internet 访问。(在此之前,启用此选项的复选框显示为灰色)。
为所有路由域启用互联网访问后,自动添加动态 NAT 规则。
- 访问接口 (AI):每个子网的单个 AI。
- 多个 AI 需要为每个 AI 单独的 VLAN。
-
如果一个站点中有两个路由域并有一个 WAN 链接,则两个域使用相同的公有 IP 地址。
-
如果为所有路由域启用 Internet 访问,则所有站点都可以路由到 Internet。(如果一个路由域不需要 Internet 访问,则可以使用防火墙阻止其流量。)
- WAN 链接是共享的,以便访问Internet 。
- 每个路由域没有 QoS;先到先得。