Konfigurieren der Firewall-Segmentierung

Virtual Route Forwarding (VRF) Firewall-Segmentierung bietet mehrere Routingdomänen Zugriff auf das Internet über eine gemeinsame Schnittstelle, wobei der Datenverkehr jeder Domäne von dem der anderen isoliert ist. Zum Beispiel können Mitarbeiter und Gäste über die gleiche Schnittstelle auf das Internet zugreifen, ohne dass jeder Zugriff auf den Verkehr des anderen erfolgt.

  • Lokaler Gast-User Internetzugang
  • Internet-Zugang für Mitarbeiter und Benutzer für definierte Anwendungen
  • Mitarbeiter-Benutzer können alle anderen Traffic an den MCN weiterführen
  • Erlauben Sie dem Benutzer, bestimmte Routen für bestimmte Routingdomänen hinzuzufügen.
  • Wenn diese Funktion aktiviert ist, gilt diese Funktion für alle Routingdomänen.

Sie können auch mehrere Zugriffsschnittstellen erstellen, um separate öffentliche IP-Adressen aufzunehmen. Beide Optionen bieten die erforderliche Sicherheit für jede Benutzergruppe.

Hinweis

Weitere Informationen finden Sie unter VorgehensweiseVRFs konfigurieren.

So konfigurieren Sie Internetdienste für alle Routingdomänen:

  1. Erstellen Sie Internetdienst für eine Site. Navigieren Sie zu Verbindungen > Region anzeigen> Website anzeigen > [Sitename] > > Internet Service > Abschnitt > WAN-Links, und aktivieren Sie unter WAN-Links das Kontrollkästchen Verwenden.

    lokalisierte Grafik

    Hinweis

    Sie sollten sehen, dass 0.0.0.0/0 Routen hinzugefügt werden, eine pro Routingdomäne, unter Verbindungen > Region anzeigen > Website anzeigen > [Sitename] > Routen.

    lokalisierte Grafik

    Es ist nicht mehr erforderlich, alle Routingdomänen im MCN aktiviert zu haben.

  2. Wenn Sie Routingdomänen am MCN deaktivieren, wird die folgende Meldung angezeigt, wenn die Domänen an einem Zweigstandort verwendet werden:

    lokalisierte Grafik

  3. Sie können bestätigen, dass jede Routingdomäne den Internetdienst verwendet, indem Sie die Spalte Routingdomäne in der Tabelle Flows der Webverwaltungsschnittstelle unter Monitor > Flows aktivieren.

    lokalisierte Grafik

  4. Sie können auch die Routingtabelle für jede Routingdomäne unter Monitor > Statistik > Routen überprüfen.

    lokalisierte Grafik

Anwendungsfälle

In früheren Citrix SD-WAN-Versionen hatten virtuelle Routing und Weiterleitung die folgenden Probleme, die behoben wurden.

  • Kunden verfügen über mehrere Routingdomänen an einem Zweigstandort, ohne dass alle Domänen im Rechenzentrum (MCN) berücksichtigt werden müssen. Sie benötigen die Möglichkeit, den Datenverkehr verschiedener Kunden auf sichere Weise zu isolieren.
  • Kunden müssen in der Lage sein, über eine einzige zugängliche öffentliche IP-Adresse mit Firewall zu verfügen, damit mehrere Routingdomänen an einem Standort auf das Internet zugreifen können (über VRF lite hinaus).
  • Kunden benötigen für jede Routingdomäne eine Internetroute, die verschiedene Dienste unterstützt.
  • Mehrere Routingdomänen an einem Zweigstandort.
  • Internetzugang für verschiedene Routingdomänen.

Mehrere Routingdomänen an einem Zweigstandort

Mit den Erweiterungen der Segmentierung Virtual Forwarding und Routing Firewall können Sie:

  • Stellen Sie eine Infrastruktur am Standort der Zweigstelle bereit, die sichere Konnektivität für mindestens zwei Benutzergruppen unterstützt, z. B. Mitarbeiter und Gäste. Die Infrastruktur kann bis zu 16 Routingdomänen unterstützen.
  • Isolieren Sie den Datenverkehr jeder Routingdomäne vom Datenverkehr einer anderen Routingdomäne.
  • Bereitstellung des Internetzugangs für jede Routingdomäne

    • Eine gemeinsame Zugriffsoberfläche ist erforderlich und akzeptabel

    • Eine Zugriffsschnittstelle für jede Gruppe mit separaten öffentlichen IP-Adressen

  • Traffic für den Mitarbeiter kann direkt an das lokale Internet weitergeleitet werden (spezifische Anwendungen)
  • Traffic für den Mitarbeiter kann zur umfangreichen Filterung an den MCN weitergeleitet oder rücktransportiert werden (0 Route)
  • Datenverkehr für die Routingdomäne kann direkt an das lokale Internet weitergeleitet werden (0 Route)
  • Unterstützung bestimmter Routen pro Routingdomäne, falls erforderlich
  • Routingdomänen sind VLAN-basiert
  • Entfernt die Anforderung, dass sich die RD am MCN befinden muss
  • Routingdomäne kann jetzt nur an einem Zweigstandort konfiguriert werden
  • Ermöglicht das Zuweisen mehrerer RD zu einer Zugriffsoberfläche (einmal aktiviert)
  • Jeder RD wird eine 0.0.0.0 Route zugewiesen
  • Ermöglicht das Hinzufügen bestimmter Routen für eine RD
  • Ermöglicht Datenverkehr von verschiedenen RD über dieselbe Zugriffsoberfläche in das Internet zu verlassen
  • Ermöglicht das Konfigurieren einer anderen Zugriffsoberfläche für jede RD
  • Muss eindeutige Subnetze sein (RD wird einem VLAN zugewiesen)
  • Jede RD kann dieselbe FW-Standardzone verwenden
  • Der Datenverkehr wird durch die Routingdomäne isoliert
  • Ausgehende Flows haben die RD als Komponente des Flow-Headers. Ermöglicht SD-WAN die Zuordnung von Rückgabeflüssen zur korrekten Routingdomäne.

Voraussetzungen für die Konfiguration mehrerer Routingdomänen:

  • Der Internetzugang wird konfiguriert und einem WAN-Link zugewiesen.
  • Firewall für NAT konfiguriert und korrekte Richtlinien angewendet.
  • Zweite Routingdomäne global hinzugefügt.
  • Jede Routingdomäne, die einem Standort hinzugefügt wird.
  • Stellen Sie unter Sites > Site-Name > WAN-Links > WL2 [Name] > Access Interface sicher, dass das Kontrollkästchen verfügbar ist und der Internetdienst korrekt definiert wurde. Wenn Sie das Kontrollkästchen nicht aktivieren können, ist der Internetdienst weder definiert noch einer WAN-Verbindung für die Site zugewiesen.

Bereitstellungsszenarien

lokalisierte Grafik

lokalisierte Grafik

Einschränkungen

  • Der Internetdienst muss der WAN-Link hinzugefügt werden, bevor Sie den Internetzugriff für alle Routingdomänen aktivieren können. (Bis Sie dies tun, ist das Kontrollkästchen zum Aktivieren dieser Option ausgegraut).

    Nachdem Sie den Internetzugriff für alle Routingdomänen aktiviert haben, fügen Sie automatisch eine Dynamic-NAT-Regel hinzu.

  • Bis zu 16 Routingdomänen pro Site.
  • Access Interface (AI): Einzelne AI pro Subnetz.
  • Für mehrere AI ist ein separates VLAN für jede AI erforderlich.
  • Wenn Sie zwei Routingdomänen an einem Standort haben und über einen einzelnen WAN-Link verfügen, verwenden beide Domänen dieselbe öffentliche IP-Adresse.

  • Wenn der Internetzugriff für alle Routingdomänen aktiviert ist, können alle Sites an das Internet weitergeleitet werden. (Wenn eine Routingdomäne keinen Internetzugang erfordert, können Sie den Datenverkehr mit der Firewall blockieren.)
  • Keine Unterstützung für dasselbe Subnetz in mehreren Routingdomänen.

  • Es gibt keine Überwachungsfunktion

  • Die WAN-Verbindungen werden für den Internetzugang freigegeben.
  • Kein QOS pro Routingdomäne; First come first serve.

Konfigurieren der Firewall-Segmentierung