1.1 部署模板说明三种内置模板:单臂部署模板、网关部署模板-单物理出口、网关部署模板-多物理出口
安全资源池最常见部署方式为单臂模式部署,单臂部署最为简单高效。简单来说,用单臂部署模板或者网关部署模板,取决于交换机上有没有VRF
没有VRF的场景下,推荐使用单臂部署模板,交换机引流只需配置基于网口的策略路由。
有VRF场景下,交换机不支持基于网口的策略路由,必须使用网关部署模板,在反复测试后,采用了”LAN口新建VLAN,WAN口直连路由”(出网新建VLAN,入网直连路由)的方案。
在【安全架构】页面,对租户进行引流配置
【安全架构】页面,用户可根据业务情况选择不同的引流模板,以单臂引流模板为例;用户了自行配置单个或多个引流口,配置单个或多个子接口;
引流配置时配置子接口,支持ipv4和ipv6格式地址,支持路由转发和vlan直连的引流方式
将租户资产引流至不同引流模板的子接口
1.2单臂部署模板在没有VRF的场景下,在常见的使用单臂部署模板的形式最为简单,交换机配置基于网口的策略路由。
单臂部署有两种引流方式,物流转发和vlan直连,推荐路由转发的引流方式。
原因:vlan直连需要租户将租户网关ip填写成CSSP上的ip,一旦安全资源池故障,租户直接断网;而若配置路由转发则可以通过交换机配置NQA逃生机制,保证业务稳定性。
步骤1. 管理员可根据业务情况选择不同的引流模板,选择物理出口需要桥接的真实网口,支持添加多个物理出口;
步骤2.配置对接的子接口,子接口支持单个或者多个;
名称 | 内容 |
| |
| 若需要资源池剥离VLAN标签,在此处填写VLAN ID号,例如使用Trunk口对接,需要资源池把VLAN标签剥离; 若无需资源池剥离VLAN标签,则此处可以保持为空,默认为Trunk all,例如使用Access口或者路由口对接,数据进来没有VLAN标签,或使用Trunk口对接,需要后端的边界路由器剥离标签。 |
| 引流方式分为两种:路由转发和VLAN直连。 注意:VLAN直连的模式在实际交付和使用的场景下存在诸多限制和弊端,推荐使用路由转发的引流方式
路由转发:租户网络连接引流模板核心路由,租户流量通过核心路由转发。
优点:引流模板可集中配置引流子接口,租户引流配置简单。
VLAN直连:租户网络直连物理出口VLAN,租户流量直达租户边界路由。 优点:租户流量通过VLAN隔离,网络安全性高,组网更灵活。 |
| 填写CSSP本端引流对接的IPv4地址和子网掩码。 |
| |
| |
1.3网关部署模板-单物理出口在VRF的场景下,核心交换机的VRF无物理网口,故VRF场景下的核心交换机不支持基于网口的路由策略,所以无法配置单臂部署。
在交付过程中发现,“出网新建VLAN,入网直连路由”(交换机与CSSP互联的LAN口通过VLAN互联,WAN口直连路由)的引流交付方式最为方便,能够满足绝大多数场景。
引流方式是:CSSP集群业务口与交换机通过二层互联,交换机上配置策略路由,将对应租户流量通过路由转发引流至对应的子接口。
路由配置:LAN口明细路由,Wan口0.0.0.0/0默认路由
1.3.1出网新建VLAN无安全资源池场景下,某市局的PC需要访问其他市局业务或访问互联网时,用户VLAN绑定的VRF路由指向互联VLAN,通过互联VLAN实现与其他租户的访问。
当使用安全资源池时,安全资源池通过trunk口与核心交换机连接。为需要引流VRF新建一个VLAN,在用户VRF增加策略路由,指向新建的VLAN,即下一跳指向安全资源池的互联IP,在完成流量清洗后,安全资源池匹配静态路由将数据发到新建VLAN的核心交换机,此时在新建VLAN绑定VRF静态路由指向之前的互联VLAN,实现用户出网方向的流量清洗。
1.3.2入网直连路由当其他市局租户需要访问该市局的业务时,是通过互联VLAN直接指向该租户的VRF网关地址,当前统一定为254
在部署安全资源池后,安全资源池物理接口新建子接口,该子接口IP与租户VLAN同网段,当前统一定为253,互联VLAN配置策略路由,指向安全资源池的租户同VLAN的子接口地址253,VLAN子接口配置对端地址为网关254,当数据流经过安全资源池清洗发送到254后,通过直连路由到达租户服务器。
1.4网关部署模板-多物理出口多物理出口一般的应用场景是一个(一组)物理接口进,一个(一组)物理接口出
配置思路跟单物理出口类似,不再赘述
1.5 服务链配置
服务链是用配置策略的方式,灵活定义流量走向,实现对租户业务的防护。
给租户分配第一个下一代防火墙应用时会自动配置一条服务链,配置租户流量过防火墙,保障用户访问安全。
【编辑服务链】左上角有对服务链的配置说明
用户可自行在【安全架构】页面,选中需要配置的租户,编辑租户对服务链进行新增、删除和编辑操作
点击编辑,安全架构页面从下往上弹出服务链的可视化窗口。
服务链配置说明:
(1)「租户全部业务系统」包含租户所有的业务IP,后续添加的业务IP会自动合入;
(2)服务链双向有效,源和目的互换也不影响配置结果;
(3)服务节点的应用有顺序区分,请尽量选择规格一致的应用。
(4)服务链源配置互联网时,目的不能配置应用IP和EIP,只能配置应用的发布IP
1.6 租户区域展示
1.7 租户流量走势租户访问外部业务流量走向如图所示:
公网用户访问租户业务系统,反之
租户访问自身云业务系统的流量走势如图所示:
外部业务访问租户流量走向如图所示:
租户间相互访问流量走向如图所示:
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-9-30 22:17
