Reihenfolge der migrierten Netzwerk-Introspektionsregeln in NSX

In NSX-V findet die Umleitung des Datenverkehrs an Partnerdienste auf Regelebene und nicht auf Abschnittsebene statt. Das heißt, dass ein einzelner Abschnitt in NSX-V Regeln zum Umleiten des Netzwerkdatenverkehrs an mehrere Dienstprofile eines einzelnen Partnerdienstes oder mehrerer Partnerdienste enthalten kann.

In NSX findet die Umleitung jedoch auf der Richtlinienebene statt. Wenn daher ein einzelner Firewallabschnitt in NSX-V Regeln für die Umleitung an mehrere Dienstprofile enthält, werden mehrere NSX-Richtlinien erstellt.

In den in diesem Thema beschriebenen Szenarien finden Sie Beispiele für die Reihenfolge der Regeln in NSX.

In diesem Thema werden die folgenden Akronyme verwendet:

SP: Dienstprofil
SG: Sicherheitsgruppe
SC: Dienstkette

Szenario 1: Einzelner Partnerdienst, einzelnes Dienstprofil

Ein einzelner Partnerdienst für die Netzwerk-Introspektion wird ausgeführt. Dieser Partnerdienst enthält ein einzelnes Dienstprofil.

Die Regelkonfiguration in NSX-V lautet wie folgt:

SP1 ist an SG-1 und SG-2 gebunden.
Der Netzwerkdatenverkehr von SG-A an SG-B wird an SP-1 umgeleitet.
Der Netzwerkdatenverkehr von SG-P an SG-Q wird an SP-1 umgeleitet.

Die migrierte Regelkonfiguration in NSX lautet wie folgt:

SC-1 enthält SP-1 im Weiterleitungs- und im umgekehrten Pfad des Datenverkehrs.
Der Netzwerkdatenverkehr von SG-A an SG-B wird an SC-1 umgeleitet. Diese Regel wird auf SG-1 und SG-2 angewendet.
Der Netzwerkdatenverkehr von SG-P an SG-Q wird an SC-1 umgeleitet. Diese Regel wird auf SG-1 und SG-2 angewendet.


NSX-V	NSX
Abschnitt 1 Regel 1: SG-A an SG-B, Umleiten an SP-1 Regel 2: SG-P an SG-Q, Umleiten an SP-1	Richtlinie 1 (Umleiten an SC-1) Regel 1: SG-A an SG-B, Umleiten an SC-1 Regel 2: SG-P an SG-Q, Umleiten an SC-1

Szenario 2: Einzelner Partnerdienst, mehrere Dienstprofile

Ein Partnerdienst verfügt über zwei Dienstprofile, SP-1 und SP 2.

Fall 2A: SP-1 hat eine höhere Priorität als SP-2

In NSX-V ist SP-1 an SG-1 gebunden und SP-2 ist an SG-2 gebunden.

In NSX enthält SC-1 SP-1 und SC-2 enthält SP-2 im Weiterleitungs- und im umgekehrten Pfad des Datenverkehrs.

In diesem Fall werden Regeln, die an SC-1 umleiten, an den Anfang der NSX-Regeltabelle gestellt.


NSX-V	NSX
Abschnitt 1 Regel 1: SG-A an SG-B, Umleiten an SP-1 Regel 2: SG-P an SG-Q, Umleiten an SP-2	Richtlinie 1 (Umleiten an SC-1) Regel 1: SG-A an SG-B, Umleiten an SC-1
	Richtlinie 2 (Umleiten an SC-2) Regel 2: SG-P an SG-Q, Umleiten an SC-2

Fall 2B: SP-2 weist eine höhere Priorität auf als SP-1

In NSX-V ist SP-1 an SG-1 gebunden und SP-2 ist an SG-2 und SG 3 gebunden.

In NSX enthält SC-1 SP-1 und SC-2 enthält SP-2 im Weiterleitungs- und im umgekehrten Pfad des Datenverkehrs.

In diesem Fall werden Regeln, die an SC-2 umleiten, an den Anfang der NSX-Regeltabelle platziert.


NSX-V	NSX
Abschnitt 1 Regel 1: SG-A an SG-B, Umleiten an SP-1 Regel 2: SG-P an SG-Q, Umleiten an SP-2 Abschnitt 2 Regel 3: SG-P an SG-Q, Umleiten an SP-1	Richtlinie 1 (Umleiten an SC-2) Regel 2: SG-P an SG-Q, Umleiten an SC-2
	Richtlinie 2 (Umleiten an SC-1) Regel 1: SG-A an SG-B, Umleiten an SC-1
	Richtlinie 3 (Umleiten an SC-1) Regel 3: SG-P an SG-Q, Umleiten an SC-1

Szenario 3: Zwei Partnerdienste, ein Dienstprofil pro Partner

Dienst-1 von Partner 1 hat einen höheren Vorrang als Dienst-2 von Partner 2. Dienst-1 enthält SP-1 und Dienst-2 enthält SP-2. In NSX-V ist SP-1 an SG-1 gebunden und SP-2 ist an SG-2 und SG 3 gebunden.


NSX-V	NSX
Abschnitt 1 Regel 1: SG-A an SG-B, Umleiten an SP-1 Regel 2: SG-A an SG-S, Umleiten an SP-1 Regel 3: SG-P an SG-Q, Umleiten an SP-2 Regel 4: SG-A an SG-D, Umleiten an SP-1 Abschnitt 2 Regel 5: SG-P an SG-Q, Umleiten an SP-1	Richtlinie 1 (Umleiten an SC-1) Regel 1: SG-A an SG-B, Umleiten an SC-1 Regel 2: SG-A an SG-C, Umleiten an SC-1 Regel 4: SG-A an SG-D, Umleiten an SC-1
	Richtlinie 2 (Umleiten an SC-1) Regel 5: SG-P an SG-Q, Umleiten an SC-1
	Richtlinie 3 (Umleiten an SC-2) Regel 3: SG-P an SG-Q, Umleiten an SC-2