Citrix SD-WAN

配置防火墙分割

虚拟路由转发 (VRF) 防火墙分段 提供了多个路由域通过一个通用接口访问 Internet 的路由域,每个域的流量与其他域的流量隔离。例如,员工和访客可以通过相同的界面访问互联网,而无需访问彼此的流量。

  • 本地访客用户互联网接入
  • 定义应用程序的员工-用户互联网访问
  • 员工-用户可以继续将所有其他流量固定到 MCN
  • 允许用户为特定路由域添加特定路由。
  • 启用后,此功能将应用于所有路由域。

您还可以创建多个访问接口,以容纳单独的面向公共的 IP 地址。任一选项都为每个用户组提供所需的安全性。

注意

有关更多信息,请参阅如何操作配置 VRF

要为所有路由域配置 Internet 服务,请执行以下操作:

  1. 为网站创建互联网服务。导航到连接 > 查看区域 > 查看网站 > [站点名称] > Internet 服务 > 部分 > WAN 链接,然后在 WAN 链接下选择使用复选框。

    本地化后的图片

    注意

    您应该看到在连接 > 查看区域 > 查看站点 > [站点名称] > 路由下添加了 0.0.0.0/0 路由,每个路由域一个路由。

    本地化后的图片

    不再需要在 MCN 上启用所有路由域。

  2. 如果在 MCN 上禁用路由域,则如果分支站点正在使用域,则会显示以下消息:

    本地化后的图片

  3. 您可以通过在监视器> 流程 下检查 Web 管理界面的 流量 表中的 路由域 列来确认每个路由域正在使用 Internet 服务。

    本地化后的图片

  4. 您还可以在 监视器 > 统计信息 > 路由 下检查每个路由域的 由表。

    本地化后的图片

用例

在以前的 Citrix SD-WAN 版本中,虚拟路由和转发存在以下问题,这些问题已得到解决。

  • 客户在一个分支站点有多个路由域,而无需包含数据中心 (MCN) 的所有域。他们需要能够以安全的方式隔离不同客户的流量
  • 客户必须能够为多个路由域提供单个可访问的防火墙公有 IP 地址,才能在一个站点访问互联网(超出 VRF lite 版)。
  • 客户需要为支持不同服务的每个路由域提供 Internet 路由。
  • 分支站点上的多个路由域。
  • 不同路由域的互联网接入。

分支站点上的多个路由域

通过虚拟转发和路由防火墙分段增强功能,您可以:

  • 在分支站点提供支持至少两个用户组(如员工和来宾)的安全连接的基础结构。该基础架构最多可支持 16 个路由域。
  • 隔离每个路由域的流量与任何其他路由域的流量。
  • 为每个路由域提供互联网接入,

    • 一个通用的访问接口是必需的,并且可以接受

    • 具有单独面向公众的 IP 地址的每个组的访问接口

  • 员工的流量可以直接路由到本地互联网(特定应用程序)
  • 员工的流量可以路由或回溯到 MCN 进行广泛筛选(0 路由)
  • 路由域的流量可以直接路由到本地互联网(0 路由)
  • 如有必要,支持每个路由域的特定路由
  • 路由域基于 VLAN 的路由域
  • 删除 RD 必须驻留在 MCN 的要求
  • 现在只能在分支站点配置路由域
  • 允许您将多个 RD 分配给访问接口(一旦启用)
  • 为每个 RD 分配一条 0.0.0.0 路径
  • 允许为 RD 添加特定路由
  • 允许来自不同 RD 的流量使用相同的接入界面退出到互联网
  • 允许您为每个 RD 配置不同的访问接口
  • 必须是唯一的子网(RD 分配给 VLAN)
  • 每个 RD 可以使用相同的 FW 默认区域
  • 通过路由域隔离流量
  • 出站流将 RD 作为流头的组成部分。允许 SD-WAN 将返回流映射到正确的路由域。

配置多个路由域的先决条件:

  • Internet 访问配置并分配给 WAN 链接。
  • 为 NAT 配置的防火墙,并应用了正确的策略。
  • 全局添加第二个路由域。
  • 添加到站点的每个路由域。
  • 站点 > 站点名称 > W AN 链接 > WL2 [名称] > 访问接口 中,确保复选框可用且已正确定义 Internet 服务。如果无法选中该复选框,则 Internet 服务不会定义或分配给该站点的 WAN 链接。

部署方案

本地化后的图片

本地化后的图片

限制

  • 必须先将 Internet 服务添加到 WAN 链接,然后才能为所有路由域启用 Internet 访问。(在此之前,启用此选项的复选框显示为灰色)。

    为所有路由域启用 Internet 访问后,自动添加动态 NAT 规则。

  • 每个站点最多可达 16 个路由域。
  • 访问接口 (AI):每个子网的单个 AI。
  • 多个 AI 需要为每个 AI 单独的 VLAN。
  • 如果一个站点中有两个路由域并有一个 WAN 链接,则两个域使用相同的公有 IP 地址。

  • 如果为所有路由域启用 Internet 访问,则所有站点都可以路由到 Internet。(如果一个路由域不需要 Internet 访问,则可以使用防火墙阻止其流量。)
  • 不支持多个路由域中的同一子网。

  • 没有审核功能

  • WAN 链接是共享的,以便访问互联网。
  • 每个路由域没有 QoS;先到先得。
配置防火墙分割