-
-
-
-
-
-
-
-
-
-
-
-
用例 11:使用侦听策略隔离网络流量
-
-
-
感谢您提供反馈。
此内容已由机器动态翻译。
这是一个充满活力的世界。(Haftungsausschluss)
文章a été traduit automatiquement de manière dynamicity。(非responsabilité条款)
Este artículo lo ha traducido una máquina de forma dinámica。(通报法律)
此内容已动态机器翻译。放弃
このコンテンツは動的に機械翻訳されています。免責事項
此内容已由机器动态翻译。
此内容已由机器动态翻译。
此内容已由机器动态翻译。
这篇文章已由机器翻译。
Dieser Artikel wurde maschinell übersetzt。(Haftungsausschluss)
这篇文章叫做été traduit automation。(非responsabilité条款)
艺术是传统的自动艺术。(通报法律)
この記事は機械翻訳されています。免責事項
이 기사는 기계 번역되었습니다.
我想买一条自动的artigo。
这篇文章已经过机器翻译.放弃
翻译失败!
用例 11:使用侦听策略隔离网络流量
**注
意**不再推荐使用影子虚拟服务器模拟多租户隔离的流量隔离解决方案。或者,Citrix建议您对此类部署使用 Citrix ADC管理分区功能。有关更多信息,请参阅管理员分区。
数据中心的一项常见安全要求是保持各种应用程序或租户的流量之间的网络路径隔离。一个应用程序或租户的流量必须与其他应用程序或租户的流量隔离开来。例如,金融服务公司希望将其保险部门申请的流量与其金融服务申请的流量分开。过去,通过物理分离网络服务设备(如防火墙,负载均衡器和IdP),以及在交换结构中进行网络监控和逻辑分离,这很容易实现。
随着数据中心架构向多租户虚拟化数据中心发展,数据中心聚合层中的网络服务正在整合。这种发展使得网络路径隔离成为网络服务设备的关键组件,并推动了ADC能够隔离L4至地级级流量的要求。此外,特定租户的所有流量必须在到达服务层之前通过防火墙。
为了满足隔离网络路径的要求,Citrix ADC设备可识别网络域并控制跨域的流量。Citrix ADC解决方案有两个主要组件:侦听策略和影子虚拟服务器。
为每个要隔离的网络路径分配一个虚拟服务器,其上定义了侦听策略,以便虚拟服务器仅侦听来自指定网络域的流量。
要隔离流量,监听策略可以基于多个客户端参数或其组合,并且可以为策略分配优先级。下表列出了用于识别流量的侦听策略中可以使用的参数。
| 类别 | 参数 |
|---|---|
| 以太网协议 | 源MAC地址,目标MAC地址 |
| 网络接口 | 网络ID,接收吞吐量,发送吞吐量,传输吞吐量 |
| IP协议 | 源IP地址,目标IP地址 |
| IPv6协议 | 源IPv6地址,目标IPv6地址 |
| TCP协议 | 源端口、目标端口、最大段大小、有效载荷和其他选项 |
| 联合民主党协议 | 源端口,目标端口 |
| 虚拟局域网 | ID |
表 1.用于定义侦听策略的客户端参数
在Citrix ADC设备上,为每个域配置了一个虚拟服务器,并具有一个监听策略,指定虚拟服务器仅侦听该域的流量。还为每个域配置了一个卷影负载平衡虚拟服务器,该服务器侦听发往任何域的流量。每个卷影负载平衡虚拟服务器都有一个通配符(*)IP地址和端口,其服务类型设置为任何。
在每个域中,域的防火墙作为服务绑定到卷影负载平衡虚拟服务器,后者通过防火墙转发所有流量。本地流量将转发到其目的地,并将发往另一个域的流量转发到该域的防火墙。卷影负载平衡虚拟服务器配置为MAC模式重定向。
如何隔离网络路径
下图显示了跨域的典型流量。考虑网络域 1.内以及网络域 1.和网络域 2.之间的流量流量。
图 1.隔离网络路径
网域 1 内的流量
网络域 1.有三个 VLAN:VLAN 11、VLAN 110和 VLAN120以下步骤描述流量流量。
- 来自VLAN 11的客户端发送从VLAN 120中的服务池可用服务的请求。
- 负载平衡虚拟服务器 LB-VIP1配置为侦听来自 VLAN 11的流量,接收请求并将请求转发到 VLAN 110.VLAN 110中的虚拟服务器将请求转发到卷影负载平衡虚拟服务器 FW-VIP-1
- FW-VIP-1,配置为侦听来自110年VLAN的流量,接收请求并将其转发120到VLAN。
- 120中VLAN的负载平衡虚拟服务器负载平衡到其中一个物理服务器(App11, App12或App13)的请求。
- 物理服务器发送的响应以同一路径返回到11中VLAN的客户端。
此配置可确保始终在Citrix ADC内部隔离来自客户端的所有流量。
网络域 1 和网络域 2 之间的流量
网络域1有三个VLAN: VLAN 11日VLAN 110和VLAN 120。网络域2还有三个VLAN: VLAN 22日VLAN 210和VLAN 220。以下步骤描述了从VALN 11到22 VLAN的流量。
- 来自VLAN 11的客户端(属于网络域1)发送从属于网络域的VLAN 220中的服务池可用服务的请求。
- 在网络域1中,负载平衡虚拟服务器LB-VIP1(配置为侦听来自VLAN 11的流量)接收请求并将请求转发110到VLAN。
- 卷影负载平衡虚拟服务器FW-VIP-1(配置为侦听发往任何其他域的VLAN 110流量)接收请求并将其转发到防火墙虚拟服务器FW-VIP-2,因为请求发送到网络域2中的物理服务器。
- 在网络域2中,FW-VIP-2将请求转发220到VLAN。
- VLAN 220中的负载平衡虚拟服务器负载平衡到其中一个物理服务器(附录21、附录22)或 附件23)的请求。
- 物理服务器发送的响应通过网络域2中的防火墙返回,然后返回到网络域1以访问11中VLAN的客户端。
配置步骤
要使用侦听策略配置网络路径隔离,请执行以下操作:
- 添加侦听策略表达式。每个表达式都指定流量发往的域。您可以使用VLAN ID或其他参数来识别流量。
- 对于每个网络域,配置两个虚拟服务器,如下所示:
创建负载平衡虚拟服务器,为其指定侦听策略,该策略可识别发往此域的流量。您可以指定之前创建的表达式的名称,也可以在创建虚拟服务器时创建表达式。
创建另一个负载平衡虚拟服务器(称为卷影虚拟服务器),为其指定适用于任何域的流量的侦听策略表达式。在此虚拟服务器上,将服务类型设置为任何,将IP地址和端口设置为星号(*)。在此虚拟服务器上启用基于Mac的转发。
在两个虚拟服务器上启用L2连接选项。
通常,要识别连接,Citrix ADC设备使用4元组的客户端IP地址,客户端端口,目标IP地址和目标端口。启用L2连接选项时,除了正常的4元组之外,还会使用连接的第2层参数(通道号,MAC地址和VLAN ID)。
- 添加表示域中服务器池的服务,并将它们绑定到虚拟服务器。
- 为每个域配置防火墙即服务,并将所有防火墙服务绑定到影子虚拟服务器。
使用命令行界面隔离网络流量
在命令提示符下,键入以下命令:
add policy expression add lb vserver -l2conn ON -listenPolicy 为每个域添加负载平衡虚拟服务器。此虚拟服务器用于同一域的流量。
add lb vserver ANY * * -l2conn ON -m MAC -listenPolicy 为每个域添加卷影负载平衡虚拟服务器。此虚拟服务器用于其他域的流量。
示例:
添加策略表达式e110 client.vlan。Id ==110添加策略表达式e210 client.vlan。Id ==210添加策略表达式e310 client.vlan。Id ==310添加策略表达式e11 client.vlan。Id ==11添加策略表达式e22 client.vlan。Id ==22添加策略表达式e33 client.vlan。id = = 33磅添加vserver LB-VIP1 HTTP 10.1.1.254 80 -persistenceType没有-listenPolicy e11 -cltTimeout 180 -l2Conn加磅vserver LB-VIP2 HTTP 10.2.2.254 80 -persistenceType没有listenPolicy e22 -cltTimeout 180 -l2Conn加磅vserver LB-VIP3 HTTP 10.3.3.254 80 -persistenceType没有listenPolicy e33 -cltTimeout 180 -l2Conn加磅vserverFW-VIP-1 ANY * * -persistenceType NONE -lbMethod ROUNDROBIN - listenPolicy e110 -Listenpriority 1 -m MAC -cltTimeout 120 add lb vserver FW-VIP-2 ANY * * -persistenceType NONE -lbMethod ROUNDROBIN - listenPolicy e210 -Listenpriority 2 -m MAC -cltTimeout 120 add lb vserver FW-VIP-3 ANY * * -persistenceType NONE -lbMethod ROUNDROBIN - listenPolicy e310 -Listenpriority 3 -m MAC -cltTimeout 120 add service RD-1 10.1.1.1 ANY * -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -sp ON -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO add service RD-2 10.2.2.1 ANY * -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -sp ON -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO add service RD-3 10.3.3.1 ANY * -gslb NONE -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -sp ON -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO bind lb vserver FW-VIP-1 RD-1 bind lb vserver FW-VIP-2 RD-2 bind lb vserver FW-VIP-3 RD-3 使用配置实用程序隔离网络流量
- 添加表示服务器的服务,如创建服务中所述。
- 将每个防火墙添加为服务:
- 导航到流量管理 > 负载平衡 > 服务。
- 创建服务,将协议指定为“任意”,将服务器指定为防火墙的IP地址,并将端口指定为80。
- 配置负载平衡虚拟服务器。
- 配置卷影负载平衡虚拟服务器。
- 对于每个网络域,重复步骤 3 和 4。
- 在“负载平衡虚拟服务器”窗格中,打开您创建的虚拟服务器并验证设置。
感谢您提供反馈。
分享:
分享:
此预览产品文档是思杰机密。
您同意根据您的Citrix Beta/Tech预览协议的条款对该文件保密。
预览文档中描述的任何特性或功能的开发、发布和时间安排均由我们自行决定,并可在不另行通知或咨询的情况下进行更改。
本文档仅供参考,不是交付任何材料、代码或功能的承诺、承诺或法律义务,在做出Citrix产品购买决策时不应依赖本文档。
如果您不同意,请选择不同意退出。