您必須在服務插入的初始設定中,設定預設重新導向規則。

完成初始設定後,您可以根據需要建立和編輯重新導向規則,以便透過服務應用裝置為 NSX 管理的工作負載虛擬機器重新路由不同類型的流量。

重新導向規則有以下兩種類型:
  1. 在初始服務插入設定的過程中,您必須建立全部擷取規則,以防止 PCG 與服務應用裝置之間的 VPN 通道進行 VTI 介面的流量重新導向。此規則必須盡可能具有最低的優先順序,且對於服務插入的兩種使用案例都必須建立此規則。
  2. 第二個規則會針對服務應用裝置的流量設定特定的重新導向。您可以調整此規則,並視需要新增其他規則。

程序

  1. 若要新增預設的全部擷取規則以完成一次性設定,請執行下列步驟:
    1. 導覽至安全性 > 南北向防火牆 > 網路自我檢查 (N-S)
    2. 按一下新增原則
      選項 說明
      名稱 提供描述性名稱,例如 Default_No-Redirect-Policy
      重新導向至: 選取在登錄服務時為此服務應用裝置建立的虛擬端點的名稱。
      套用至: 選取 PCG 的第 0 層閘道。
    3. 選取新原則,然後按一下新增規則。請注意特定於服務插入的下列值:
      選項 說明
      來源 任何
      目的地 任何
      套用至 選取 PCG 與服務應用裝置之間的 VTI 介面。
      動作 選取不重新導向
    重要: 此規則必須盡可能具有最低的優先順序。
  2. 對於第二個規則,請執行下列步驟:
    1. 導覽至安全性 > 南北向防火牆 > 網路自我檢查 (N-S)
    2. 按一下新增原則
      選項 說明
      名稱: 提供原則的描述性名稱,例如,AWS 虛擬機器的內部部署服務插入Azure 虛擬機器的南北向服務插入
      重新導向至: 選取在登錄服務時為此服務應用裝置建立的虛擬端點的名稱。
      套用至: 選取 PCG 的第 0 層閘道。
    3. 選取新原則,然後按一下新增規則。請注意特定於服務插入的下列值:
      選項 說明
      來源 選取必須重新導向其流量的一組子網路,例如,一組 NSX 管理的工作負載虛擬機器。
      目的地 選取要透過服務應用裝置路由之目的地 IP 位址或服務 (例如 YouTube) 的清單。
      套用至
      • 如果您要對公有雲中的服務應用裝置使用南北向服務插入:選取作用中和待命 PCG 的上行連接埠。
      • 如果您要使用對內部部署的 VPN 流量:選取作用中和待命 PCG 對內部部署服務應用裝置的 VTI 介面。
      動作 選取重新導向