De acuerdo

Conoce la clasificación de tráfico para sistemas virtuales en un firewall. Destacado

Última respuesta mzo. 16, 2021 15:46:06 255 1 7 0 0

Esta publicación se describe cómo el FW reenvía el tráfico de diferentes sistemas virtuales.

 

Si no se configuran sistemas virtuales en el FW, el FW reenvía paquetes según las políticas y varias tablas (como sesión, dirección MAC y tabla de enrutamiento) del sistema público. Una vez configurados los sistemas virtuales en el FW, cada sistema virtual funciona como un dispositivo dedicado y tiene sus propias políticas y tablas para el procesamiento de paquetes. En este caso, después de recibir un paquete, el FW primero debe determinar el sistema virtual de destino del paquete. Este proceso se denomina clasificación de tráfico.

 

El FW admite clasificación de tráfico basada en interfaz, basada en VLAN y basada en VNI. Cuando las interfaces FW funcionan en la Capa 3, se aplica la clasificación de tráfico basada en interfaces. Cuando las interfaces FW funcionan en la Capa 2, se aplica la clasificación de tráfico basada en VLAN. Cuando los sistemas virtuales y VXLAN funcionan juntos, se aplica la clasificación de tráfico basada en el identificador de red VXLAN (VNI).

 

Clasificación de tráfico basada en interfaz

Una vez que una interfaz está vinculada a un sistema virtual, todos los paquetes recibidos en esta interfaz pertenecen al sistema virtual vinculado y el FW procesa los paquetes según la configuración del sistema virtual.

 

En la Figura 1, los tres sistemas virtuales, VSYSA, VSYSB y VSYSC, tienen sus interfaces internas dedicadas, que son respectivamente GigabitEthernet 1/0/1, GigabitEthernet 1/0/2 y GigabitEthernet 1/0/3. Después de recibir los paquetes, el FW los reenvía a sus sistemas virtuales para el enrutamiento y la coincidencia de políticas.

 

Figura 1 Clasificación de tráfico basada en interfaz


firewall


Clasificación de tráfico basada en VLAN

Si una VLAN está vinculada a un sistema virtual, el FW reenvía paquetes de esta VLAN al sistema virtual vinculado.

 

En la Figura 2, la interfaz interna GigabitEthernet 1/0/1 del FW es una interfaz troncal de capa 2 y está configurada para permitir paquetes de VLAN10, VLAN20 y VLAN30, que están vinculados a VSYSA, VSYSB y VSYSC respectivamente. Después de recibir un paquete en GigabitEthernet 1/0/1, el FW verifica la etiqueta de VLAN contenida en el encabezado del paquete para determinar la VLAN de origen del paquete y luego reenvía el paquete al sistema virtual al que está vinculada la VLAN.

 

Una vez que el paquete ingresa al sistema virtual, el FW verifica la tabla de direcciones MAC para obtener la interfaz de salida y luego reenvía o descarta el paquete según la política entre zonas.

 

Figura 2 Clasificación de tráfico basada en VLAN


firewall


Clasificación de tráfico basada en VNI

Si un VNI está vinculado a un sistema virtual, el FW reenvía paquetes de este VXLAN al sistema virtual vinculado.

 

Como se muestra en la Figura 3, después de identificar que la dirección IP de destino de un paquete recibido es la dirección IP de Nve1, GigabitEthernet 1/0/1 del FW envía el paquete a Nve1 para su desencapsulado. Según el VNI en el encabezado de VXLAN y el enlace entre el VNI y el sistema virtual, el FW determina el sistema virtual al que se enviará el paquete después de desencapsular el paquete.

 

Después de que el paquete ingresa al sistema virtual, el sistema virtual busca en su tabla de enrutamiento la interfaz de salida para determinar la relación entre zonas de las interfaces de entrada y salida, y luego reenvía o descarta el paquete según la política entre zonas.

 

Solo el módulo USG6000 y NGFW admiten esta función.


b32


Figura 3 Clasificación de tráfico basada en VNI


firewall


Saludos.

 

FIN.


También te puede interesar:


Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Conoce como operar y mantener la solución NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

Guía de dimensionamiento firewall USG6000 Series NGFW


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • convención:

Jazmin
Publicado 2021-3-16 15:46:06
Gracias!!! Conoce la clasificación de tráfico para sistemas virtuales en un firewall.-3832769-1
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.