- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
25-微分段配置
本章节下载: 25-微分段配置 (257.20 KB)
目 录
微分段(Microsegment),也叫基于精细分组的安全隔离,其实质就是基于对报文进行分组后的组标识来进行流量控制。例如,将数据中心网络中的服务器按照一定的原则进行分组,然后基于分组来部署流量控制策略,从而达到简化运维、安全管控的目的。
微分段功能在IP网络中可以使用。
按照一定的原则对网络终结点(例如一个或一组服务器)划分的组。每个微分段都拥有一个全局唯一的ID。
GBP(Group Based Policy,组策略),基于微分段的流量控制策略,可以通过如下任意一个配置实现:
· 策略路由:一个策略路由节点对应一个GBP,通过策略路由中的apply动作对微分段间的互通进行控制。
· QoS策略:QoS策略中的一个CB对对应一个GBP,通过流行为中的动作对微分段间的互通进行控制。
· 报文过滤:一个报文过滤对应一个GBP,通过ACL规则中的permit或deny动作对微分段间的互通进行控制。
有关策略路由的详细介绍,请参见“三层技术-IP路由配置指导”中的“策略路由”。有关QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS策略”和“流量过滤”。有关报文过滤的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
如图1-1所示,微分段功能由配置微分段、ACL和GBP共同组成。其中,GBP可以选择使用QoS策略、报文过滤或策略路由。
微分段功能不对微分段内成员间的互通进行控制,而对微分段间的互通进行控制。其控制策略生效的位置是分组流量转发链路的源端设备,因此若需要对双向流量进行控制,则需要在两端设备上都部署微分段功能,中间节点则不需要。
微分段功能支持在IP网络中部署。在不同网络中微分段功能的基本配置大致相同,不同之处在于:在IP网络中,所有配置均需配置在三层网关设备上。
选择不同配置作为GBP时,其流量控制动作是不同的:
· 选择QoS策略作为GBP时,流量控制动作为流行为中的filter deny或filter permit。
· 选择报文过滤作为GBP时,流量控制动作为ACL规则中的deny或permit。
· 选择策略路由作为GBP时,流量控制动作为apply next-hop或apply output-interface null0。
微分段功能在IP网络中的基本运行机制相同。如图1-2所示,本节以IP网络中Host A至Host D的单向流为例,并选择QoS策略作为GBP讲述微分段功能的运行机制。
(1) Device A收到Host A发送给Host D的报文后,从报文中获取到源IP地址(192.168.1.2)和目的IP地址(192.168.1.5)。
(2) Device A根据报文的源IP地址(192.168.1.2),按照最长匹配原则查找FIB表项,获取源端Host A所属的微分段ID(微分段1)。
(3) Device A根据报文的目的IP地址(192.168.1.5),按照最长匹配原则查找FIB表项,获取目的端Host D所属的微分段ID(微分段2)。
(4) Device A根据源端Host A所属的微分段ID(微分段1)和目的端Host D所属的微分段ID(微分段2)查找ACL规则,对命中ACL的报文执行QoS策略中指定的如下动作:
¡ filter permit,允许报文通过。
¡ filter deny,禁止报文通过。
图1-2 三层报文在IP网络中进行转发示意图
对于跨设备转发流量也是同理,这里不再赘述。
仅以下单板支持微分段功能:
· SH系列接口板
· FD系列接口板
配置微分段功能,需要注意的是:
· 请在网络部署起始阶段配置本功能,否则路由条数太多,可能会导致微分段功能使能失败。
· 如果组网中应用了ARP代理、ND代理等涉及三层业务流量的代理功能,则配置微分段功能不生效。
· 对设备网关地址应用微分段功能不生效。
· 使用微分段对VLAN中的流量进行控制时,仅普通VLAN支持微分段功能。
· 对于设备出方向上匹配到ACL规则的流量,无法应用微分段功能。
· 将用户配置的缺省路由添加到微分段(通过member命令)后,设置指导报文转发的缺省下一跳功能(通过apply default-next-hop命令)不可用。
使用微分段对跨VPN互访的流量进行控制时,为了保证单向的流量正常转发,需要注意的是:
· 当指导流量转发的路由是网段路由时,需要在流量入VPN的设备(即源端PE)上,将网段路由的目的IP也作为成员加入微分段中。
· 当指导流量转发的路由是主机路由时,需要在流量出VPN的设备(即目的端PE)上,将主机路由的目的IP也作为成员加入微分段中。
微分段配置任务如下:
(1) 配置微分段
(2) 配置ACL
(3) 配置GBP
请选择以下一项任务进行配置:
¡ 配置策略路由
¡ 配置QoS策略
¡ 配置报文过滤
微分段功能可以应用在IP网络中,有关各自网络的基础配置,本模块的配置步骤中略。
对双向流量都进行控制时,对于IP网络,需要在两端设备上都配置微分段,且微分段的配置需完全一致。
(1) 进入系统视图。
system-view
(2) 创建微分段,并进入微分段视图。
microsegment microsegment-id [ name microsegment-name ]
缺省情况下,不存在微分段。
(3) 向微分段中添加成员。
member ipv4 ipv4-address { mask | mask-length } [ vpn-instance vpn-instance-name ]
member ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]
缺省情况下,微分段中不存在成员。
(4) 退回系统视图。
quit
(5) 开启微分段功能。
microsegment enable
缺省情况下,微分段功能处于关闭状态。
配置ACL时需要注意:
· 对双向流量都进行控制时,两端设备上都需要配置ACL,且ACL规则中指定的源、目的微分段互为相反。
· 如果使用策略路由或QoS策略作为GBP实现对流量的控制,则ACL规则中的动作需配置为permit,表示命中该规则的报文会执行策略路由中对应的apply动作或QoS策略中对应的流行为动作。
· 如果使用报文过滤作为GBP实现对流量的控制,则ACL规则中的动作可以配置为permit或deny,表示允许或禁止命中规则的报文通过。
(1) 进入系统视图。
system-view
(2) 创建IPv4或IPv6高级ACL,并进入IPv4或IPv6高级ACL视图。请选择其中一项进行配置。
¡ acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ]
¡ acl [ ipv6 ] { advanced | basic } { acl-number | name acl-name } [ match-order { auto | config } ]
(3) 创建规则。
具体配置ACL规则的命令,请参见“ACL和QoS命令参考”中“ACL”中的rule命令。
rule命令中的destination microsegment microsegment-id和source microsegment microsegment-id必须指定,其他关键字请按需配置。
在策略路由中引用ACL,并指定策略节点的apply动作为具体下一跳(表示允许流量通过)或出接口NULL0(表示禁止流量通过),就能实现控制微分段间是否可以互通的目的。
对双向流量都进行控制时,两端设备上都需要配置策略路由。
(1) 进入系统视图。
system-view
(2) 创建策略节点,并进入策略节点视图。
policy-based-route policy-name [ permit ] node node-number
不指定permit时,缺省的匹配模式即为permit。
(3) 设置匹配ACL的规则。
if-match acl { acl-number | name acl-name }
缺省情况下,未设置ACL匹配规则。
(4) 配置策略节点的动作。下面的方法互斥,请选择其中一项进行配置。
¡ 设置报文转发的下一跳。
apply next-hop ip-address
¡ 设置报文转发的出接口为NULL0。
apply output-interface null0
缺省情况下,未配置策略节点的动作。
(5) 退回系统视图。
quit
(6) 进入接口视图。
interface interface-type interface-number
(7) 对接口转发的报文应用策略路由。
ip policy-based-route policy-name
缺省情况下,未对接口转发的报文应用策略。
在QoS策略的流分类中引用ACL,并配置对应流行为中的动作为流量过滤,就能实现控制微分段间是否可以互通的目的。
QoS策略可以应用在流量入接口的入方向或流量出接口的出方向,建议采用前者。
(1) 进入系统视图。
system-view
(2) 定义类。
a. 创建一个类,并进入类视图。
traffic classifier classifier-name [ operator { and | or } ]
b. 定义匹配数据包的规则。
if-match acl [ ipv6 ] { acl-number | name acl-name }
缺省情况下,未定义匹配数据包的规则。
仅支持引用IPv4或IPv6高级ACL。
c. 退回系统视图。
quit
(3) 定义流行为。
a. 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
b. 配置流量过滤动作。
filter { deny | permit }
缺省情况下,未配置流量过滤动作。
c. 退回系统视图。
quit
(4) 定义策略。
a. 创建策略并进入策略视图。
qos policy policy-name
b. 在策略中为类指定采用的流行为。
classifier classifier-name behavior behavior-name
缺省情况下,未指定类对应的流行为。
c. 退回系统视图。
quit
(5) 在接口上应用QoS策略。
a. 进入接口视图。
interface interface-type interface-number
b. 在接口上应用已创建的QoS策略。
qos apply policy policy-name { inbound | outbound }
缺省情况下,未在接口上应用QoS策略。
在ACL规则中配置动作为permit或deny,然后将此ACL应用在接口上进行报文过滤,就能实现控制微分段间是否可以互通的目的。
报文过滤可以配置在流量入接口的入方向或流量出接口的出方向,建议采用前者。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 在接口上应用ACL进行报文过滤。
packet-filter [ ipv6 ] { acl-number | name acl-name } { inbound | outbound }
缺省情况下,未配置接口的报文过滤。
在完成上述配置后,在任意视图下执行display命令可以显示微分段的运行情况,通过查看显示信息验证配置的效果。
表1-1 微分段显示和维护
|
操作 |
命令 |
|
显示微分段的配置 |
display microsegment [ microsegment-id | name microsegment-name ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
