Citrix SD-WAN

区域

您可以在网络中配置区域并定义策略以控制流量进出区域的方式。默认情况下,将创建以下区域:

  • Internet_Zone
    • 适用于使用受信任界面进出 Internet 服务的流量。
  • Untrusted_Internet_Zone

    • 适用于使用不受信任界面进出 Internet 服务的流量。
  • Default_LAN_Zone

    • 适用于流入或流出具有可配置区域的对象(其中尚未设置区域)的流量。

您可以创建自己的区域并将它们分配给以下类型的对象:

  • 虚拟网络接口 (VNI)

  • 内联网服务

  • GRE 通道

  • 局域网 IPsec 通道

数据包的目标区域根据目标路由匹配确定。SD-WAN 设备在路由表中查找目标子网时,数据包将匹配一个路由,路由分配了一个区域。

  • 源区

    • 非虚拟路径:通过在接收虚拟网络接口数据包确定。

    • 虚拟路径:通过数据包流头中的源区域字段确定。

    • 虚拟网络接口-在源站点上接收数据包。

  • 目的地区

    • 通过数据包的目标路由查找确定。

与 SD-WAN 中的远程站点共享的路由会维护有关目标区域的信息,包括通过动态路由协议(BGP、OSPF)学习的路由。利用这种机制,区域在 SD-WAN 网络中具有全局意义,并允许在网络中进行端到端过滤。使用区域为网络管理员提供了根据客户、业务单位或部门分割网络流量的有效方法。

SD-WAN 防火墙的功能允许用户筛选单个区域内的服务之间的流量,或创建可在不同区域内的服务之间应用的策略,如下图所示。在下面的例子中,我们有区域 _A 和区域 B,每个区域都有一个 LAN 虚拟网络接口。

本地化后的图片

区域