Silver Peak SD-WAN Zone Based Firewall 配置方法

Silver Peak 自身集成了 ZBFW 的功能,但是该功能使用的逻辑和我们平常使用的 FW 逻辑稍有不同,Silver Peak 的 ZBFW 策略配置不是 end-to-end 的。我们用实验来加以理解,拓扑如下:

在 LAN 的部分我们定义了两个 Zone,分别是位于 DC LAN 的 Server Zone 和位于两个 Branch LAN 的 User Zone。

在 WAN 的部分我们定义了两个 Zone,分别是 Internet Zone 和 MPLS Zone。

然后我们将 Zone 定义到对应的物理接口上,以 ECV-DC-1 为例:

接着使用 template 里的 Security Policies 定义 ZBFW 的策略,我们希望实现以下流量控制:

  • Server Zone 可以到达 User Zone
  • User Zone 不能到达 Server Zone
  • Server 和 User Zone 都能到达 Internet Zone

这种配置策略的思路是基于 end-to-end 的,也就是说是基于下图代表的数据流方向:

我们来验证一下,首先从 Server ping Internet,可以 ping 通

从 Server ping User,ping 不通

在 Flow 里面我们看到 Security 下显示被 Deny,这里需要注意的是 Ingress Zone 是 Server Zone 然而 Egress Zone 是 default,这和我们预先的出现偏差,按照之前的理解 Egress Zone 应该是 User Zone 才对,因为我们要去的目的地址是在 User Zone 里面。

Inter Zone 失败了,我们再来测试一下 Intra Zone, 从 Branch 1 ping Branch 2

结果遇到同样的问题。之所以这样是因为 Silver Peak ZBFW 的配置逻辑不是 end-to-end 的,我们看一下下面的数据流模型:

Server 到 User 的数据经过了 overly tunnel,如果我们仔细观察 BIO 的配置我们可以看到 BIO 里也有一个 Zone 的选项,而且默认值就是 default。

这也就能解释刚刚我们看到的 egress zone 为 default,因为数据是从 Server 流到了 overly tunnel,而 overly 的 zone 刚好就是 default。接下来我们创建一个新的 Zone 取名为 Overly Zone 并将它配置在我们的 BIO 里。

修改 ZBFW 策略

测试从 DC 到 Internet, Branch 1 和 2 (Inter Zone)

测试从 Branch 1 到 Branch 1 (Intra Zone)

在 Flow 里面可以看到 Overly Zone 已经生效

发表评论

电子邮件地址不会被公开。