评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置VN互通
大中型园区网络虚拟化方案中,VN间是通过VPN实现三层隔离的,默认情况下VN间不能进行互访。实现VN间子网互访主要有两种方式,通过Border进行互访和通过防火墙进行互访。两种方式对应的场景参考表4-8。
表5-6 虚拟网络互访方式及对应的适用场景
互访方式 |
适用场景 |
|---|---|
通过Border进行互访 |
VN间互访如果不需要通过防火墙进行高级的安全策略控制,安全控制需求较低,仅需结合业务随行进行策略控制,可在Border节点上互相引入需访问的网段路由。 |
通过防火墙进行互访 |
VN间互访如果安全控制需求高,可通过防火墙配置高级的互访安全控制策略。 |
VN间子网通过Border进行互访
VN间子网如果通过Border进行互访,首先在Border节点上互相引入需访问的网段路由,然后互访流量到达Border节点即可根据引入的路由在VN间转发,如图5-16所示。
- 相同Edge节点的不同VN子网用户互访:互访流量需要通过该Edge节点与Border节点间的VXLAN隧道发送至Border节点,然后根据VN引入的路由在VN间转发。
- 跨Edge节点的不同VN子网用户互访:互访流量需要通过不同Edge节点与Border节点间的VXLAN隧道发送至Border节点,然后根据VN引入的路由在VN间转发。
VN间子网通过防火墙进行互访
VN间子网如果通过防火墙进行互访,首先在防火墙的安全区域间配置互相访问的控制策略,然后互访流量到达防火墙即可根据互访策略在VN间转发,如图5-17所示。
- 相同Edge节点的不同VN子网用户互访:互访流量需要通过该Edge节点与Border节点间的VXLAN隧道发送至Border节点;Border节点再根据引入的外部网络路由将其转发至防火墙;最后,防火墙根据安全区域间的互访控制策略在VN间转发。
- 跨Edge节点的不同VN子网用户互访:互访流量需要通过不同Edge节点与Border节点间的VXLAN隧道发送至Border节点;Border节点再根据引入的外部网络路由将其转发至防火墙;最后,防火墙根据安全区域间的互访控制策略在VN间转发。
