-
-
-
-
-
-
-
-
-
-
-
用例11:使用监听策略隔离网络流量
-
-
-
谢谢你的反馈
此内容已被机器动态翻译。
diesel Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde。(Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique。(非条款responsabilité)
Este artículo lo ha traducido una máquina形式上dinámica。(通报法律)
此内容已动态机器翻译。放弃
このコンテンは動的に機械翻訳されています。免責事項
이콘텐츠는동적으로기계번역되었습니다。책임부iot
此内容已被机器动态翻译。
此内容已被机器动态翻译。
这篇文章是机器翻译的。
柴油Artikel wurde maschinell übersetzt。(Haftungsausschluss)
Ce article a été traduit automatiquement。(非条款responsabilité)
Este artículo ha sido traducido automáticamente。(通报法律)
この記事は機械翻訳されています。免責事項
이기사는기계번역되었습니다。책임부iot
Este artigo foi traduzido automaticamente。
这篇文章已经过机器翻译.放弃
翻译失败!
用例11:使用监听策略隔离网络流量
请注意
不再推荐使用影子虚拟服务器模拟多租户隔离的流量隔离解决方案。或者,Citrix建议您使用Citrix ADC Admin Partitioning特性进行此类部署。有关更多信息,请参见管理分区.
数据中心的一个常见安全需求是在各种应用程序或租户的流量之间保持网络路径隔离。一个应用程序或租户的流量必须与其他应用程序或租户的流量隔离。例如,一家金融服务公司希望将其保险部门应用程序的流量与其金融服务应用程序的流量分开。在过去,这可以通过防火墙、负载平衡器和IdP等网络服务设备的物理分离以及交换结构中的网络监控和逻辑分离轻松实现。
随着数据中心架构向多租户虚拟化数据中心的发展,数据中心汇聚层的网络业务正在得到整合。这种发展使得网络路径隔离成为网络服务设备的关键组件,并推动了adc能够在L4到L7级别隔离流量的需求。此外,特定租户的所有流量在到达服务层之前都必须通过防火墙。
为了满足隔离网络路径的需求,Citrix ADC设备可以识别网络域并控制跨域的流量。Citrix ADC解决方案有两个主要组件:侦听策略和影子虚拟服务器。
每个被隔离的网络路径都被分配了一个虚拟服务器,该服务器上定义了侦听策略,以便该虚拟服务器只侦听来自指定网络域的流量。
为了隔离流量,侦听策略可以基于多个客户端参数或它们的组合,并为策略分配优先级。监听策略中可用于识别流量的参数如下表所示。
| 类别 | 参数 |
|---|---|
| 以太网协议 | 源MAC地址,目的MAC地址 |
| 网络接口 | 网络ID,接收吞吐量,发送吞吐量,传输吞吐量 |
| IP协议 | 源IP地址,目的IP地址 |
| IPv6协议 | 源IPv6地址,目的IPv6地址 |
| TCP协议 | 源端口,目的端口,最大段大小,有效载荷和其他选项 |
| UDP协议 | 源端口、目的端口 |
| VLAN | ID |
表1。用于定义监听策略的客户端参数
在Citrix ADC设备上,为每个域配置了一个虚拟服务器,并使用侦听策略指定虚拟服务器只侦听该域的流量。还为每个域配置了一个影子负载均衡虚拟服务器,它侦听发送到任何域的流量。每个影子负载均衡虚拟服务器都有一个通配符(*)的IP地址和端口,服务类型设置为ANY。
在每个域中,该域的防火墙作为服务绑定到影子负载均衡虚拟服务器,影子负载均衡虚拟服务器通过防火墙转发所有流量。本地流量被转发到目的域,去往另一个域的流量被转发到该域的防火墙。影子负载均衡虚拟服务器配置为MAC模式重定向。
网络路径是如何隔离的
下图为跨域的典型流量流。考虑网络域1内以及网络域1和网络域2之间的流量。
图1。隔离网络路径
网络域1内的流量
网络域1包含三个VLAN: VLAN11、VLAN110和VLAN120。下面的步骤描述了流量。
- 来自VLAN 11的客户端向VLAN 120的服务池发送服务请求。
- 负载均衡虚拟服务器LB-VIP1(配置为监听VLAN 11的流量)接收请求并将请求转发给VLAN 110。VLAN 110中的虚拟服务器将请求转发给影子负载均衡虚拟服务器FW-VIP-1。
- FW-VIP-1配置为监听VLAN 110的流量,接收请求后转发给VLAN 120。
- VLAN 120中的负载均衡虚拟服务器将请求负载均衡到物理服务器App11、App12或App13之一。
- 物理服务器发送的响应通过相同的路径返回到VLAN 11中的客户端。
此配置确保来自客户端的所有流量始终在Citrix ADC内隔离。
网络域1和网络域2之间的流量
网络域1包含三个VLAN: VLAN 11、VLAN 110和VLAN 120。Network Domain 2也划分了VLAN 22、VLAN 210和VLAN 220。下面以valn11到VLAN 22的流量为例进行说明。
- VLAN 11中的客户端(属于网络域1)向VLAN 220中的服务池(属于网络域2)发送服务请求。
- 在Network Domain 1中,负载均衡虚拟服务器LB-VIP1(配置为监听VLAN 11的流量)接收请求并将请求转发给VLAN 110。
- 影子负载均衡虚拟服务器FW-VIP-1被配置为监听VLAN 110到任何其他域的流量,它接收请求并将其转发给防火墙虚拟服务器FW-VIP-2,因为请求的目的地是网络域2中的物理服务器。
- 在Network Domain 2中,FW-VIP-2将请求转发给VLAN 220。
- VLAN 220中的负载均衡虚拟服务器将请求负载均衡到物理服务器App21、App22或App23之一。
- 物理服务器发送的响应通过相同的路径返回,穿过Network Domain 2中的防火墙,然后到达Network Domain 1,到达VLAN 11中的客户端。
配置步骤
使用监听策略配置网络路径隔离,请执行以下操作:
- 添加监听策略表达式。每个表达式都指定了流量要到达的域。可以通过VLAN ID或其他参数来标识流量。
- 对于每个网络域,需要配置两台虚拟服务器,如下所示:
创建一个负载均衡虚拟服务器,为其指定侦听策略,用于识别去往该域的流量。您可以指定前面创建的表达式的名称,也可以在创建虚拟服务器时创建表达式。
创建另一个负载均衡虚拟服务器(称为影子虚拟服务器),为其指定适用于目的地为任何域的流量的侦听策略表达式。在该虚拟服务器上,设置服务类型为ANY, IP地址和端口为*。在虚拟服务器上启用mac转发功能。
在两个虚拟服务器上启用L2 Connection选项。
通常,为了识别连接,Citrix ADC设备使用客户端IP地址、客户端端口、目的IP地址和目的端口的4元组。当您启用L2连接选项时,除了正常的4元组外,还使用连接的第二层参数(通道号、MAC地址和VLAN ID)。
- 在域中添加代表服务器池的服务,并与虚拟服务器绑定。
- 将每个域的防火墙配置为一个服务,并将所有防火墙服务绑定到影子虚拟服务器。
通过命令行接口隔离网络流量
在命令提示符下,输入以下命令:
add policy expression add lb vserver -l2conn ON -listenPolicy 为每个域添加一个负载均衡虚拟服务器。该虚拟服务器用于同一域的流量。
add lb vserver ANY * * -l2conn ON -m MAC -listenPolicy 为每个域添加一个影子负载均衡虚拟服务器。该虚拟服务器用于其他域的流量。
例子:
添加策略表达式e110 client.vlan。add policy expression e210 client.vlan. Id ==110add policy expression e310 client.vlan. Id ==210。add policy expression e11 client.vlan. Id ==310add policy expression e22 client.vlan. Id ==11add policy expression e33 client.vlan. Id ==22。id = = 33磅添加vserver LB-VIP1 HTTP 10.1.1.254 80 -persistenceType没有-listenPolicy e11 -cltTimeout 180 -l2Conn加磅vserver LB-VIP2 HTTP 10.2.2.254 80 -persistenceType没有listenPolicy e22 -cltTimeout 180 -l2Conn加磅vserver LB-VIP3 HTTP 10.3.3.254 80 -persistenceType没有listenPolicy e33 -cltTimeout 180 -l2Conn加磅vserver FW-VIP-1任何* * -persistenceType没有此-lbMethod循环——listenPolicy e110 -Listenpriority 1 - m MAC -cltTimeout 120加磅vserver FW-VIP-2此* * -persistenceType没有-lbMethod循环——listenPolicy e210为-Listenpriority 2 - m MAC -cltTimeout 120加磅vserver FW-VIP-3任何* * -persistenceType没有此-lbMethod循环——listenPolicy e310 -Listenpriority 3 - m MAC -cltTimeout 120添加服务RD-1 10.1.1.1任何* -gslb没有maxclient -maxReq 0 cip禁用切实没有-useproxyport - sp -cltTimeout 120 -svrTimeout 120 -CKA没有-TCPB cmp添加服务RD-2 10.2.2.1任何* -gslb没有maxclient -maxReq 0 cip切实禁用NO -useproxyport NO -sp ON -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO add service RD-3 10.3.3.1 ANY * -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -sp ON -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO bind lb vserver FW-VIP-1 RD-1 bind lb vserver FW-VIP-2 RD-2 bind lb vserver FW-VIP-3 RD-3 使用配置实用程序隔离网络流量
- 添加表示服务器的服务,如创建服务.
- 将每个防火墙添加为一个服务:
- 导航到流量管理>负载均衡>业务.
- 创建一个服务,指定协议为ANY,服务器为防火墙的IP地址,端口为80。
- 配置负载均衡虚拟服务器。
- 配置影子负载均衡虚拟服务器。
- 对于每个网络域,重复步骤3和步骤4。
- 在负载均衡虚拟服务器窗格中,打开您创建的虚拟服务器并验证设置。
谢谢你的反馈
分享
分享
在本文中
此预览版产品文档是Citrix机密文档。
您同意按照您的Citrix Beta/技术预览协议的条款对本文档进行保密。
预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考之用,不构成提供任何材料、代码或功能的承诺、承诺或法律义务,不应作为思杰产品购买决策的依据。
如果不同意,选择“不同意退出”。