Esta publicación se describe cómo el FW reenvía el tráfico de diferentes sistemas virtuales.
Si no se configuran sistemas virtuales en el FW, el FW reenvía paquetes según las políticas y varias tablas (como sesión, dirección MAC y tabla de enrutamiento) del sistema público. Una vez configurados los sistemas virtuales en el FW, cada sistema virtual funciona como un dispositivo dedicado y tiene sus propias políticas y tablas para el procesamiento de paquetes. En este caso, después de recibir un paquete, el FW primero debe determinar el sistema virtual de destino del paquete. Este proceso se denomina clasificación de tráfico.
El FW admite clasificación de tráfico basada en interfaz, basada en VLAN y basada en VNI. Cuando las interfaces FW funcionan en la Capa 3, se aplica la clasificación de tráfico basada en interfaces. Cuando las interfaces FW funcionan en la Capa 2, se aplica la clasificación de tráfico basada en VLAN. Cuando los sistemas virtuales y VXLAN funcionan juntos, se aplica la clasificación de tráfico basada en el identificador de red VXLAN (VNI).
Clasificación de tráfico basada en interfaz
Una vez que una interfaz está vinculada a un sistema virtual, todos los paquetes recibidos en esta interfaz pertenecen al sistema virtual vinculado y el FW procesa los paquetes según la configuración del sistema virtual.
En la Figura 1, los tres sistemas virtuales, VSYSA, VSYSB y VSYSC, tienen sus interfaces internas dedicadas, que son respectivamente GigabitEthernet 1/0/1, GigabitEthernet 1/0/2 y GigabitEthernet 1/0/3. Después de recibir los paquetes, el FW los reenvía a sus sistemas virtuales para el enrutamiento y la coincidencia de políticas.
Figura 1 Clasificación de tráfico basada en interfaz
Clasificación de tráfico basada en VLAN
Si una VLAN está vinculada a un sistema virtual, el FW reenvía paquetes de esta VLAN al sistema virtual vinculado.
En la Figura 2, la interfaz interna GigabitEthernet 1/0/1 del FW es una interfaz troncal de capa 2 y está configurada para permitir paquetes de VLAN10, VLAN20 y VLAN30, que están vinculados a VSYSA, VSYSB y VSYSC respectivamente. Después de recibir un paquete en GigabitEthernet 1/0/1, el FW verifica la etiqueta de VLAN contenida en el encabezado del paquete para determinar la VLAN de origen del paquete y luego reenvía el paquete al sistema virtual al que está vinculada la VLAN.
Una vez que el paquete ingresa al sistema virtual, el FW verifica la tabla de direcciones MAC para obtener la interfaz de salida y luego reenvía o descarta el paquete según la política entre zonas.
Figura 2 Clasificación de tráfico basada en VLAN
Clasificación de tráfico basada en VNI
Si un VNI está vinculado a un sistema virtual, el FW reenvía paquetes de este VXLAN al sistema virtual vinculado.
Como se muestra en la Figura 3, después de identificar que la dirección IP de destino de un paquete recibido es la dirección IP de Nve1, GigabitEthernet 1/0/1 del FW envía el paquete a Nve1 para su desencapsulado. Según el VNI en el encabezado de VXLAN y el enlace entre el VNI y el sistema virtual, el FW determina el sistema virtual al que se enviará el paquete después de desencapsular el paquete.
Después de que el paquete ingresa al sistema virtual, el sistema virtual busca en su tabla de enrutamiento la interfaz de salida para determinar la relación entre zonas de las interfaces de entrada y salida, y luego reenvía o descarta el paquete según la política entre zonas.
Solo el módulo USG6000 y NGFW admiten esta función.
Figura 3 Clasificación de tráfico basada en VNI
Saludos.
FIN.
También te puede interesar:
Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei
Conoce como operar y mantener la solución NIP6000 de Huawei
Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei
Una introducción a las zonas de seguridad en un firewall de Huawei
Guía de dimensionamiento firewall USG6000 Series NGFW
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente