您可以使用第三方防火墙在 SD-WAN Edge 上通过 VNF 部署和转发流量。
仅操作员可以启用安全 VNF 配置。如果“安全 VNF”(Security VNF) 选项不可用,请与您的操作员联系。
前提条件
确保您配置了:
- SD-WAN Orchestrator 并激活了运行支持部署特定安全 VNF 的软件版本的 SD-WAN Edge。有关支持的软件版本和 Edge 平台的更多信息,请参阅安全 VNF 中的支持列表。
- VNF Manager 附加许可证。
- 配置了 VNF 管理服务。有关更多信息,请参阅配置 VNF 管理服务。
过程
- 在企业门户中,单击。
- 在 Edge 页面中,单击一个 Edge 旁边的设备 (Device) 图标,或者单击一个 Edge 的链接,然后单击设备 (Device) 选项卡。
- 在设备 (Device) 选项卡中,向下滚动到安全 VNF (Security VNF) 部分,然后单击编辑 (Edit)。
- 在 Edge VNF 配置 (Edge VNF Configuration) 窗口中,选中部署 (Deploy) 复选框。
- 在虚拟机配置 (VM Configuration) 中配置以下设置:
- VLAN - 从下拉列表中选择一个要用于 VNF 管理的 VLAN。
- VM-1 IP - 输入虚拟机的 IP 地址,并确保该 IP 地址位于所选 VLAN 的子网范围内。
- VM-1 主机名 (VM-1 Hostname) - 输入虚拟机主机的名称。
- 部署状态 (Deployment State) - 选择以下选项之一:
- 已下载映像并打开电源 (Image Downloaded and Powered On) - 该选项在 Edge 上构建防火墙 VNF 后打开虚拟机电源。只有在选择该选项时,才会通过 VNF 传输流量,这需要为 VNF 插入配置至少一个 VLAN 或路由接口。
- 已下载映像并关闭电源 (Image Downloaded and Powered Off) - 该选项在 Edge 上构建防火墙 VNF 后将虚拟机保持关闭电源状态。如果您打算通过 VNF 发送流量,请不要选择该选项。
- 安全 VNF (Security VNF) - 从下拉列表中选择一个预定义的 VNF 管理服务。您也可以单击新建 VNF 服务 (New VNF Service) 以创建新的 VNF 管理服务。有关更多信息,请参阅配置 VNF 管理服务。
下图显示了将
Check Point 防火墙 (Check Point Firewall) 作为安全 VNF 类型的示例。
如果选择
Palo Alto Networks 防火墙 (Palo Alto Networks Firewall) 以作为安全 VNF,请配置以下其他设置:
- 许可证 (License) - 从下拉列表中选择 VNF 许可证。
- 设备组名称 (Device Group Name) - 输入在 Panorama 服务器上预配置的设备组名称。
- 配置模板名称 (Config Template Name) - 输入在 Panorama 服务器上预配置的配置模板名称。
注: 如果要从 VNF 类型移除
Palo Alto 网络防火墙 (Palo Alto Networks Firewall) 配置的部署,在移除配置之前,请确保已取消激活 Palo Alto 网络的
VNF 许可证 (VNF License)。
如果选择
Fortinet 防火墙 (Fortinet Firewall),请配置以下其他设置:
- 虚拟机内核数 (VM Cores) - 从下拉列表中选择内核数。虚拟机许可证基于虚拟机内核数。确保您的虚拟机许可证与所选的内核数匹配。
- 检查模式 (Inspection Mode) - 选择以下模式之一:
- 代理 (Proxy) - 默认情况下,将选择该选项。基于代理的检查涉及缓冲流量以及检查整体数据以进行分析。
- 流量 (Flow) - 基于流量的检查在流量数据通过 FortiGate 设备时对其进行检查,而不进行任何缓冲。
- 许可证 (License) - 拖放虚拟机许可证。
- 单击更新 (Update)。
结果
将在安全 VNF (Security VNF) 部分中显示配置详细信息。
下一步做什么
如果要将多个流量分段重定向到 VNF,请定义分段和服务 VLAN 之间的映射。请参阅定义分段和服务 VLAN 之间的映射。
您可以将安全 VNF 插入到 VLAN 以及路由接口中,以将来自 VLAN 或路由接口的流量重定向到 VNF。请参阅为 VLAN 配置 VNF 插入。