-
-
配置防火墙分割
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置防火墙分割
虚拟路由转发 (VRF) 防火墙分段 提供了多个路由域通过一个通用接口访问 Internet 的路由域,每个域的流量与其他域的流量隔离。例如,员工和访客可以通过相同的界面访问互联网,而无需访问彼此的流量。
- 本地访客用户互联网接入
- 定义应用程序的员工-用户互联网访问
- 员工-用户可以继续将所有其他流量固定到 MCN
- 允许用户为特定路由域添加特定路由。
- 启用后,此功能将应用于所有路由域。
您还可以创建多个访问接口,以容纳单独的面向公共的 IP 地址。任一选项都为每个用户组提供所需的安全性。
注意
有关更多信息,请参阅如何操作配置 VRF。
要为所有路由域配置 Internet 服务,请执行以下操作:
-
为网站创建互联网服务。导航到 连接 > 查看区域 > 查看网站 > > Internet [站点名称]服务 > 部分 > WAN 链 接 ,然后在 WAN 链接下选择使用 复选框。
注意
您应该在 连接 > 查看 区 域 > 查看 站点 > > 路由下看 到添加了 0.0.0.0/0 条路由,每个 路由域一条。 [站点名称]
不再需要在 MCN 上启用所有路由域。
-
如果在 MCN 上禁用路由域,则如果分支站点正在使用域,则会显示以下消息:
-
您可以通过在监视器> 流程 下检查 Web 管理界面的 流量 表中的 路由域 列来确认每个路由域正在使用 Internet 服务。
-
您还可以在 监视器 > 统计信息 > 路由 下检查每个路由域的 路 由表。
用例
在以前的 Citrix SD-WAN 版本中,虚拟路由和转发存在以下问题,这些问题已得到解决。
- 客户在一个分支站点有多个路由域,而无需包含数据中心 (MCN) 的所有域。他们需要能够以安全的方式隔离不同客户的流量
- 客户必须能够为多个路由域提供单个可访问的防火墙公有 IP 地址,才能在一个站点访问互联网(超出 VRF lite 版)。
- 客户需要为支持不同服务的每个路由域提供 Internet 路由。
- 分支站点上的多个路由域。
- 不同路由域的互联网接入。
分支站点上的多个路由域
通过虚拟转发和路由防火墙分段增强功能,您可以:
- 在分支站点提供支持至少两个用户组(如员工和来宾)的安全连接的基础结构。该基础架构最多可支持 16 个路由域。
- 隔离每个路由域的流量与任何其他路由域的流量。
-
为每个路由域提供互联网接入,
-
一个通用的访问接口是必需的,并且可以接受
-
具有单独面向公众的 IP 地址的每个组的访问接口
-
- 员工的流量可以直接路由到本地互联网(特定应用程序)
- 员工的流量可以路由或回溯到 MCN 进行广泛筛选(0 路由)
- 路由域的流量可以直接路由到本地互联网(0 路由)
- 如有必要,支持每个路由域的特定路由
- 路由域基于 VLAN 的路由域
- 删除 RD 必须驻留在 MCN 的要求
- 现在只能在分支站点配置路由域
- 允许您将多个 RD 分配给访问接口(一旦启用)
- 为每个 RD 分配一条 0.0.0.0 路径
- 允许为 RD 添加特定路由
- 允许来自不同 RD 的流量使用相同的接入界面退出到互联网
- 允许您为每个 RD 配置不同的访问接口
- 必须是唯一的子网(RD 分配给 VLAN)
- 每个 RD 可以使用相同的 FW 默认区域
- 通过路由域隔离流量
- 出站流将 RD 作为流头的组成部分。允许 SD-WAN 将返回流映射到正确的路由域。
配置多个路由域的先决条件:
- Internet 访问配置并分配给 WAN 链接。
- 为 NAT 配置的防火墙,并应用了正确的策略。
- 全局添加第二个路由域。
- 添加到站点的每个路由域。
- 在网 站 > 网站名称 > 广域网链接 > WL2 [名称]> 访问界面, 确保复选框可用且 Internet 服务已正确定义。如果无法选中该复选框,则 Internet 服务不会定义或分配给该站点的 WAN 链接。
部署方案
限制
-
必须先将 Internet 服务添加到 WAN 链接,然后才能为所有路由域启用 Internet 访问。(在此之前,启用此选项的复选框显示为灰色)。
为所有路由域启用 Internet 访问后,自动添加动态 NAT 规则。
- 每个站点最多可达 16 个路由域。
- 访问接口 (AI):每个子网的单个 AI。
- 多个 AI 需要为每个 AI 单独的 VLAN。
-
如果一个站点中有两个路由域并有一个 WAN 链接,则两个域使用相同的公有 IP 地址。
- 如果为所有路由域启用 Internet 访问,则所有站点都可以路由到 Internet。(如果一个路由域不需要 Internet 访问,则可以使用防火墙阻止其流量。)
-
不支持多个路由域中的同一子网。
-
没有审核功能
- WAN 链接是共享的,以便访问互联网。
- 每个路由域没有 QoS;先到先得。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.