某局点采用cloudos3.0 网络overlay 模式组网,EVPN南北向防火墙安全纳管方案。
客户需求:
同一个租户内,同一网段的不同IP地址的虚拟机不能互访,如192.168.1.1不能访问192.168.1.2,但可访问网关,要求利用CAS ACL功能无法实现。
通过在CAS上直接配置ACL 策略,利用三层IP,及二层MAC的方式,发现配置都无法生效
经cloudos/cas研发定位3106版本机制为:通过cloudos产生的虚拟机采用CAS ACL做隔离无法生效是因为cloudos侧做了绑定,无法通过CAS 网络策略模板修改ACL。
3106版本可以通过安全组替代了CAS的ACL功能。但由于cloudos的安全组是简单的白名单机制,默认是拒绝,添加一条规则,则允许相应IP通信。不像交换机的传统ACL规则,单条规则可以设置允许或者阻断。这样就造成如果要实现客户的需求:
同一个租户内,同一网段的不同IP地址的虚拟机不能互访如192.168.1.1不能访问192.168.1.2,但可访问互联网关的需求利用CAS ACL功能无法实现
因为无法对某条规则做拒绝,必须将所有的互联网IP加入安全组目前的实现机制下,只能通过在cloudos 上添加白名单的方式来实现。无法在CAS修改ACL策略
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
路过