- 1、本文档共159页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
敏捷园区网解决方案技术主打胶片;目录;敏捷园区网一期解决方案全景图及适用场景概览;目录;业务随行子目录;业务随行:自由移动下的网络挑战 ;;业务随行核心需求;传统技术能否实现策略随行和体验随身?;技术分析:“动态VLAN+静态ACL”能否实现策略随行?;技术分析: “动态VLAN+静态ACL”能否实现策略随行?;技术分析:“动态VLAN+动态ACL”能否实现策略随行;技术分析:“静态VLAN+动态ACL”能否实现策略随行?;技术分析: “基于IP的重定向/策略路由”能否实现策略随行?;技术分析: “基于IP的QoS”能否实现体验随身?;传统技术的关键问题与局限性总结;业务随行子目录;业务随行的三大技术突破;业务随行系统架构图;;业务随行部署三步曲;;业务随行Step2:在Controller中定义组间策略;业务随行Step2:Controller向执行点推送安全组与组策略;;业务随行实施效果对比;业务随行关键???术汇总;关键技术解析(认证):用户认证工作流程;关键技术解析(授权):上线用户身份判断与授权工作流程;关键技术解析——执行:交换机执行策略机制;关键技术解析——执行:防火墙执行策略机制;工作流程:用户访问静态资源控制;工作流程:用户访问用户控制;工作流程:用户流量安全防护;工作流程:多设备协作实现“体验随身”;西安园区;产品支持情况;业务随行子目录;业务随行典型组网;;场景:用户访问数据中心权限控制;场景:跨部门/公司协作办公;场景:流量应用安全防护;平滑演进:业务随行基础阶段?标准阶段;目录;MSV业务链子目录;为什么要用Service-Chaining业务链?;;MSV业务链子目录;MSV业务链方案总体部署;MSV业务链方案总体架构;MSV业务链方案总体流程;Controller配置元素;Controller配置下发流程;Controller适配第三方设备流程;编排设备业务流处理流程;GRE隧道故障联动流程;
Controller侧配置;Agile Controller上MSV业务链配置如图所示:
首先增加业务链所需的资源,包括编排设备、业务设备及自动创建隧道口使用的IP地址池:
如左图所示,编排设备列表中显示了注册到Agile Controller的所有编排设备,选择一个编排设备(即交换机)并拖拽到右侧编排设备示意图中;
业务设备列表中显示了注册到Agile Controller的所有业务设备,选择;
点击按钮3时,将会出现右上图所示窗口,列表展示出当前已经注册到Agile Controller的业务设备,用户可以选择其中若干个作为业务设备。;Agile Controller上MSV业务链增加业务流配置如图所示:
如左上图所示,设置业务流名称和描述,点击按钮1来选择业务流的定义方式。
选择ACL方式时。点击按钮2出现左上图所示列表规则,可配置五元组信息(协议、源IP、源端口、目的IP、目的端口)来定义业务流;
选择UCL方式时。出现列表规则,可选择已有安全组。;Agile Controller上MSV业务链增加业务链配置如图所示:
在业务链配置页面中,从区域1中选择编排设备,拖拽到右侧的拖拽区,从区域2中选择业务流,拖拽到右侧的拖拽区,点击按钮3选择GRE隧道故障处理方式;
在右侧的拖拽区中,选择需要使用的业务设备形成业务链,可以拖拽来调整业务设备的顺序;
已创建的业务链在下图中以列表的形式显示出来。;MSV业务链子目录;MSV业务链典型场景一—用户访问数据中心(方式一);MSV业务链典型场景一(续)—用户访问数据中心(方式二);MSV业务链典型场景二—用户访问Internet;MSV业务链典型场景三—Internet访问数据中心;MSV业务链典型场景四—用户访问用户;MSV业务链场景限制一—禁止同一流量两次经过同一防火墙;场景限制说明:
典型场景:
防火墙置于内网和Internet之间时,通常会进行NAT地址转换处理。由于NAT会造成流量IP层信息的变化,直接造成了MSV业务链功能中需要按照NAT转换前后的信息定义两条业务流策略来对应一条真实流量,给用户带来配置困难和其他问题。
问题:
对NAT转换前后的信息需要定义两条业务流策略来对应一条真实流量,配置变复杂,从内到外访问时定义的两条业务流匹配规则在经过源NAT地址转换后收敛为一条业务流匹配规则(例如业务流1:IP段1?百度服务器,业务流2:IP段2?百度服务器,通过一个NAT地址池1转换后,变为业务流3:NAT地址池1?百度服务器),后续流量无法精确匹配。
场景限制:
防火墙如果做NAT,必须将其置于核心层交换机靠近Internet侧的最外端,从内到外的流量不需要关注NAT转换,从外到内的流量需要配置NAT转换前的业务流进行首次(到防火墙)引流,由于是N
文档评论(0)