Y园区
将汇聚层设备定义为认证点与策略执行点,同时汇聚层设备作为边缘节点Edge。
终端通过认证之后,汇聚设备将具备该终端的IP及安全组对应信息(IP-Group)
当同一台汇聚设备下不同终端进行互访时,因为汇聚设备已经具备了不同终端的IP-Group信息,故
可以直接查找安全策略矩阵去实现业务的控制,允许互访的安全组数据包正常转发,不允许互访的安全组
数据包丢弃。
当不同汇聚设备下不同终端进行互访时,因汇聚设备只能源终端的IP-Group信息,缺少目的终端IP-Group
信息,故无法直接查找策略矩阵实现业务控制。
在虚拟化场景下,汇聚设备作为边缘节点Edge,在转发数据包时,会将终端的IP-Group信息封装入
Vxlan报文中发送给对端汇聚设备。为此,对端设备就能根据目的安全组及Vxlan报文中的源安全组进行
策略矩阵的查找,允许互访的安全组数据包正常转发,不允许互访的安全组数据包丢弃。
方案2:非虚拟化方案
将汇聚层设备定义为认证点与策略执行点,同时汇聚层设备作为边缘节点Edge。
终端通过认证之后,汇聚设备将具备该终端的IP及安全组对应信息(IP-Group)
当同一台汇聚设备下不同终端进行互访时,因为汇聚设备已经具备了不同终端的IP-Group信息,故
可以直接查找安全策略矩阵去实现业务的控制,允许互访的安全组数据包正常转发,不允许互访的安全组
数据包丢弃。
当不同汇聚设备下不同终端进行互访时,因汇聚设备只能源终端的IP-Group信息,缺少目的终端IP-Group
信息,故无法直接查找策略矩阵实现业务控制。
在非虚拟化场景下,可以通过在NCE-Compus上订阅IP-Group信息,由控制器向其它汇聚设备推送
目的终端的IP-Group信息,这样其它汇聚设备就能学习到目的终端所属安全组信息,拥有了目的终端的
IP-Group信息就可以进行策略矩阵的查找,允许互访的安全组数据包正常转发,不允许互访的安全组数据包丢弃。