Vous pouvez créer des règles de pare-feu distribué et de passerelle à partir du Gestionnaire global avec des étendues globales, régionales ou locales.

Les stratégies et les règles de pare-feu distribué et de passerelle créées à partir des gestionnaires globaux et locaux sont synchronisées vers les gestionnaires locaux avec une icône GM. Vous pouvez modifier les règles créées à partir du gestionnaire global uniquement à partir du gestionnaire global. Elles ne peuvent pas être modifiées à partir des gestionnaires locaux.

Fédération des stratégies et des règles de pare-feu distribué (DFW)

Utilisez cet exemple pour comprendre les workflows de pare-feu pris en charge :

  • Dans l'exemple, le gestionnaire global possède trois gestionnaires locaux enregistrés nommés : Location1, Location2 et Location3.
  • Le gestionnaire global crée automatiquement les régions suivantes :
    • Global
    • Location1
    • Location2
    • Location3
  • Vous créez une région personnalisée nommée : Region1 incluant des gestionnaires locaux Location2 et Location3.
  • Vous créez les groupes suivants :
    • Group1 : Region Global.
    • Group2 : Region Location1.
    • Group3 : Region Location2.
    • Group4 : Region Location3.
    • Group5 : Region Region1.

Stratégies et règles DFW dans NSX-T Data Center 3.0.1

Les cas d'utilisation suivants sont pris en charge :

  • Étendue de groupe : vous pouvez créer des groupes dans le Gestionnaire global avec une étendue globale, locale ou régionale. Reportez-vous à la section Créer des groupes à partir de Gestionnaire global.
  • Groupes dynamiques : vous pouvez créer des groupes en fonction de critères dynamiques, tels que des balises.
  • Étendue de la stratégie DFW : les stratégies DFW peuvent être appliquées à une étendue globale, régionale ou locale.
  • Groupes source et de destination de la règle DFW : tous les groupes du champ Source ou tous les groupes du champ Destination doivent correspondre à l'étendue de la stratégie DFW. Le système crée automatiquement des groupes dans des emplacements qui se trouvent en dehors de l'étendue de la stratégie.

    Reportez-vous au tableau pour obtenir des exemples de groupes source et de destination valides et non valides dans les règles DFW :
    Tableau 1. Source et destination valides pour une règle DFW basée sur l'étendue de la stratégie DFW dans 3.0.1
    Étendue de la stratégie DFW (appliqué à) Scénarios de règles DFW pris en charge dans la version 3.0.1.
    Global

    Dans l'exemple, cette région contient les groupes suivants :
    • Group1
    Pour une stratégie DFW avec une étendue de région Global, tous les groupes sont autorisés dans la source et la destination de la règle DFW. Voici quelques scénarios typiques pris en charge, à l'aide de notre exemple :
    • Source : Group2 ; Destination Group3
    • Source : Group3 ; Destination Group4
    • Source : Group4 ; Destination : Any
    • Source : Group1 ; Destination : Group2.
    Location1 : région créée automatiquement pour le gestionnaire local dans l'emplacement 1.

    Dans l'exemple, cette région contient les groupes suivants :
    • Group2
    Pour une stratégie DFW avec l'étendue d'un emplacement : Location1 dans cet exemple, le groupe source ou de destination de la règle DFW doit appartenir à Location1.

    Les scénarios suivants sont pris en charge :
    • Source : Group2 ; Destination Group2
    • Source : Group3 ; Destination Group2.
    • Source : Group2 ; Destination Group4.
    • Source : Group1 ; Destination : Group2.
    Voici un exemple de sélections de groupes non prises en charge pour cette étendue de stratégie. Les groupes Source et Destination se trouvent en dehors de l'étendue de la stratégie :
    • Source Group5 ; Destination Group3.
    • Source : Group1 ; Destination : Group3.
    Region1 : région créée par l'utilisateur qui s'étend sur Location2 et Location3.

    Dans l'exemple, cette région contient les groupes suivants :
    • Group5

    Pour une stratégie DFW avec l'étendue d'une région créée par l'utilisateur : Region1 dans cet exemple, le groupe Source ou Destination de la règle DFW doit contenir des emplacements qui appartiennent à Region1.

    Les scénarios suivants sont pris en charge :
    • Source : Group5 ; Destination Group2.
    • Source : Group2 ; Destination : Group5.
    • Source : Group2 ; Destination Group3.
    • Source : Group3 ; Destination : Group4.
    • Source : Any  ;Destination : Group5
    • Source : Group4 ; Destination : Any
    Voici un exemple de sélections de groupes non prises en charge pour cette étendue de stratégie. Les groupes Source et Destination se trouvent en dehors de l'étendue de la stratégie :
    • Source : Group2 ; Destination : Group2.
    • Source : Group1 ; Destination : Group2.
    • Source Group1 ; Destination Group1.
  • Si un groupe contient des segments, l'étendue de la stratégie DFW doit être supérieure ou égale à l'étendue du segment. Par exemple, si vous disposez d'un groupe contenant un segment dont l'étendue est Location1, la stratégie DFW ne peut pas être appliquée à la région Region1, car elle contient uniquement Location2 et Location3.

Stratégies DFW et règles dans NSX-T Data Center 3.0.0

  • Étendue de groupe : vous pouvez créer des groupes dans le Gestionnaire global avec une étendue globale, locale ou régionale. Reportez-vous à la section Créer des groupes à partir de Gestionnaire global.
  • Groupes dynamiques : vous pouvez créer des groupes en fonction de critères dynamiques, tels que des balises.
  • Étendue de la stratégie DFW : les stratégies DFW peuvent être appliquées à une étendue globale, régionale ou locale.
  • Groupes source et de destination de la règle DFW : tous les groupes du champ Source et tous les groupes du champ Destination doivent correspondre à l'étendue de la stratégie DFW.
    Reportez-vous au tableau pour comprendre comment l'étendue de la stratégie détermine les groupes source et de destination qui sont valides dans une règle DFW.
    Tableau 2. Source et destination valides pour une règle DFW basée sur l'étendue de la stratégie DFW dans 3.0.0
    Étendue de la stratégie DFW (appliqué à) Groupes source et de destination pris en charge dans les règles DFW de la version 3.0.0.
    Global.

    Dans l'exemple, cette région contient les groupes suivants :
    • Group1
    Pour une stratégie DFW étendue à la région Globale, vous pouvez sélectionner le mot-clé Any ou un groupe Global dans la source et la destination d'une règle DFW :
    Par exemple,
    • Source : Group1 ; Destination : Group1.
    • Source : Group1 ; Destination : Any
    • Source : Any  ; Destination : Group1.
    • Source : Any  ; Destination Any
    Attention : D'autres configurations de règle peuvent être créées, mais elles ne sont pas prises en charge, par exemple : .
    • Source : Group2 ; Destination : Group3
    • Source : Group4 ; Destination : Group1
    Location1 : région créée automatiquement pour le gestionnaire local dans l'emplacement 1.

    Dans l'exemple, cette région contient les groupes suivants :
    • Group2
    Pour une stratégie DFW étendue à la région pour un emplacement : Location1 dans cet exemple, les groupes Source et de Destination doivent appartenir à cette région.
    Par exemple, ces règles sont prises en charge :
    • Source : Group2 ; Destination : Group2
    Attention : D'autres configurations de règle peuvent être créées, mais elles ne sont pas prises en charge, par exemple : .
    • Source : Group2 ; Destination : Group3
    • Source : Group4 ; Destination : Group2
    Region1 : région personnalisée qui s'étend sur Location2 et Location3.

    Dans l'exemple, cette région contient les groupes suivants :
    • Group5

    Pour une stratégie DFW avec une étendue vers une région personnalisée : Region1 dans cet exemple, les groupes Source et Destination doivent appartenir à cette région.

    Par exemple, ces règles sont prises en charge :
    • Source : Group5 ; Destination : Group5.
    • Source : Group5 ; Destination : Any.
    • Source : Any  ;Destination : Group5.
    Attention : D'autres configurations de règle peuvent être créées, mais elles ne sont pas prises en charge, par exemple : .
    • Source : Group2 et Destination : Group3
    • Source : Group2 ; Destination : Group4
    • Source : Group3 ; Destination : Group2
    • Source : Group4 ; Destination : Group2
  • Si un groupe contient des segments, l'étendue de la stratégie DFW doit être supérieure ou égale à l'étendue du segment. Par exemple, si vous disposez d'un groupe contenant un segment dont l'étendue est Location1, la stratégie DFW ne peut pas être appliquée à la région Region1, car elle contient uniquement Location2 et Location3.

Fédération des stratégies et règles de pare-feu de passerelle

Les règles de pare-feu de passerelle peuvent être appliquées à tous les emplacements inclus dans l'étendue de la passerelle, ou à toutes les interfaces d'un emplacement spécifique, ou à des interfaces spécifiques d'un ou plusieurs emplacements.
Note : L'étendue des groupes source et de destination pour les règles de pare-feu de passerelle doit être la même ou un sous-ensemble de l'étendue de la passerelle sur laquelle vous créez la règle.
Tableau 3. Options d'étendue pour les règles de pare-feu de passerelle
Étendue de la règle de pare-feu de passerelle (Appliqué à) S'applique à
Appliquer la règle à la passerelle La règle s'applique à toutes les interfaces associées à cette passerelle, dans tous les emplacements sur lesquels cette passerelle est étirée.
Sélectionnez un emplacement, puis cliquez sur Appliquer la règle à toutes les entités. La règle s'applique uniquement à l'emplacement sélectionné.
Sélectionnez un emplacement et sélectionnez les interfaces à partir de cet emplacement. Répétez les étapes pour les autres emplacements en sélectionnant les interfaces pour chaque emplacement auquel vous souhaitez appliquer la règle. La règle s'applique uniquement aux interfaces sélectionnées.