This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置防火墙分割
虚拟路由转发 (VRF) 防火墙分段 提供了多个路由域通过一个通用接口访问 Internet 的路由域,每个域的流量与其他域的流量隔离。例如,员工和访客可以通过相同的界面访问互联网,而无需访问彼此的流量。
- 本地访客用户Internet 接入
- 定义应用程序的员工-用户Internet 访问
- 员工-用户可以继续将所有其他流量固定到 MCN
- 允许用户为特定路由域添加特定路由。
- 启用后,此功能将应用于所有路由域。
您还可以创建多个访问接口,以容纳单独的面向公共的 IP 地址。任一选项都为每个用户组提供所需的安全性。
在路由域上启用互联网接入
您可以通过 Citrix SD-WAN Orchestrator 服务在路由域上启用互联网接入。此选项在相应路由域的所有路由表上自动创建默认路由 (0.0.0.0/0)。您可以为所有路由域启用 Internet 接入,也可以不启用任何路由域。如果需要接入 Internet,则无需在所有路由域之间创建独占静态路由。
有关更多信息,请参阅 访问接口。
用例
以下是防火墙分段支持的用例:
- 客户在一个分支站点有多个路由域,而无需包含数据中心 (MCN) 的所有域。他们需要能够以安全的方式隔离不同客户的流量
- 客户必须能够为多个路由域提供单个可访问的防火墙公有 IP 地址,才能在一个站点访问Internet (超出 VRF lite 版)。
- 客户需要为支持不同服务的每个路由域提供 Internet 路由。
- 分支站点上的多个路由域。
- 不同路由域的Internet 接入。
分支站点上的多个路由域
通过虚拟转发和路由防火墙分段增强功能,您可以:
- 在分支站点提供支持至少两个用户组(如员工和来宾)的安全连接的基础结构。该基础架构最多可支持 254 个路由域。
- 隔离每个路由域的流量与任何其他路由域的流量。
-
为每个路由域提供互联网接入,
-
一个通用的访问接口是必需的,并且可以接受
-
具有单独面向公众的 IP 地址的每个组的访问接口
-
- 员工的流量可以直接路由到本地Internet (特定应用程序)
- 员工的流量可以路由或回溯到 MCN 进行广泛筛选(0 路由)
- 路由域的流量可以直接路由到本地Internet (0 路由)
- 如有必要,支持每个路由域的特定路由
- 路由域基于 VLAN 的路由域
- 删除 RD 必须驻留在 MCN 的要求
- 现在只能在分支站点配置路由域
- 允许您将多个 RD 分配给访问接口(一旦启用)
- 为每个 RD 分配一条 0.0.0.0 路径
- 允许为 RD 添加特定路由
- 允许来自不同 RD 的流量使用相同的接入界面退出到Internet
- 允许您为每个 RD 配置不同的访问接口
- 必须是唯一的子网(RD 分配给 VLAN)
- 每个 RD 可以使用相同的 FW 默认区域
- 通过路由域隔离流量
- 出站流将 RD 作为流头的组成部分。允许 SD-WAN 将返回流映射到正确的路由域。
配置多个路由域的先决条件:
- Internet 访问配置并分配给 WAN 链接。
- 为 NAT 配置的防火墙,并应用了正确的策略。
- 全局添加第二个路由域。
- 添加到站点的每个路由域。
- 有关在路由域上配置 Internet 服务的信息,请参阅 WAN 链接。
部署方案
限制
-
必须先将 Internet 服务添加到 WAN 链接,然后才能为所有路由域启用 Internet 访问。(在此之前,启用此选项的复选框显示为灰色)。
为所有路由域启用互联网访问后,自动添加动态 NAT 规则。
- 访问接口 (AI):每个子网的单个 AI。
- 多个 AI 需要为每个 AI 单独的 VLAN。
-
如果一个站点中有两个路由域并有一个 WAN 链接,则两个域使用相同的公有 IP 地址。
-
如果为所有路由域启用 Internet 访问,则所有站点都可以路由到 Internet。(如果一个路由域不需要 Internet 访问,则可以使用防火墙阻止其流量。)
- WAN 链接是共享的,以便访问Internet 。
- 每个路由域没有 QoS;先到先得。
共享
共享
在本文中
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.