Bereitstellungsdienste

MitBereitstellungsdiensten können Sie Bereitstellungsdienste wie Internet, Intranet, IPsec und LAN GRE konfigurieren. Die Delivery Services werden global definiert und auf WAN-Verbindungen an einzelnen Standorten angewendet.

Jeder WAN-Link kann alle oder eine Teilmenge relevanter Dienste anwenden und relative Bandbreitenanteile (%) zwischen allen Bereitstellungsdiensten einrichten.

Der Virtual Path Service ist standardmäßig auf allen Links verfügbar. Die anderen Dienste können nach Bedarf hinzugefügt werden.

Navigation des Lieferservicesets

Delivery Services sind Bereitstellungsmechanismen, die auf Citrix SD-WAN zur Verfügung stehen, um verschiedene Anwendungen oder Verkehrsprofile mithilfe der richtigen Bereitstellungsmethoden basierend auf Geschäftsabsichten zu steuern.

Delivery Services können im Allgemeinen wie folgt kategorisiert werden:

  • Virtual Path Service: Der Dual-End-Overlay SD-WAN-Tunnel, der eine sichere, zuverlässige und qualitativ hochwertige Konnektivität zwischen zwei Standorten bietet, die SD-WAN-Appliances oder virtuelle Instanzen hosten.
  • Internet Service: Direkter Kanal zwischen einer SD-WAN-Site und öffentlichem Internet, ohne SD-WAN-Kapselung. Citrix SD-WAN unterstützt den Sitzungslastausgleich für internetgebundene Datenverkehr über mehrere Internetverbindungen hinweg.
  • Intranet-Service: Unterlagen-Link-basierte Konnektivität von einem SD-WAN-Site zu einem beliebigen Nicht-SD-WAN-Site.

    Der Datenverkehr ist nicht kapselt oder kann jede nicht-virtuelle Pfadkapselung wie IPsec, GRE verwenden. Sie können mehrere Intranetdienste einrichten.

Servicekonfiguration und Bandbreitenstandardwerte

Auf der Registerkarte Dienstkonfiguration und Bandbreitenstandardwerte können Sie einen Internetdienst anzeigen, der standardmäßig erstellt wird. Der Zweigverkehr nutzt die Transitstellen, um das Internet zu erreichen. In diesem Abschnitt können Sie neue Zustelldienste und den Standardanteil der Bandbreitenzuweisung (%) für alle Zustelldienste definieren. Die Anforderungen an die Bandbreitenzuweisung zwischen den Delivery Services können je nach Art der Verbindung variieren.

Wenn Sie beispielsweise viele SaaS-Anwendungen verwenden, können Sie in Betracht ziehen, einen relativ großen Teil der Bandbreite für Internetverbindungen für Internetdienste zuzuweisen, um einen direkten Internetausbruch zu ermöglichen. Auf Ihren MPLS-Links können Sie für den Virtual Path Service oder Intranet Service mehr Bandbreite zuweisen, je nachdem, ob Ihre SD-WAN-Sites den größten Teil des Datenverkehrs zu anderen SD-WAN-Sites oder Nicht-SD-WAN-Sites führen.

Basierend auf Ihren Anforderungen können Sie globale Standardwerte für die Bandbreitenfreigabe für alle Bereitstellungsdienste für jeden Linktyp definieren — Internetlinks, MPLS-Links und Private Intranet-Links.

Bandbreitendetails für die Dienstkonfiguration

Die Standardwerte können bei einzelnen Links außer Kraft gesetzt werden. Bei der Konfiguration von WAN-Verbindungen können Sie diese globalen Standardwerte verwenden oder die Einstellungen für die Verbindung spezifischer Dienstbandbreite konfigurieren. Die Konfiguration einer Bandbreitenfreigabe ungleich Null ist erforderlich, damit jeder Bereitstellungsdienst für einen Link aktiviert und aktiv ist.

Für Internet- und Intranetdienste sind zusätzliche Einstellungen verfügbar, die mithilfe des Einstellungssymbols angepasst werden können, das für jeden Dienst angezeigt wird.

Einstellungen des Versanddienstes

Klicken Sie auf + Neuer Dienst und wählen Sie einen Diensttyp aus. Wählen Sie je nach Zusatzbereitstellungsdienst, den Sie erstellen möchten, den gewünschten Servicetyp aus und fahren Sie mit der Konfiguration fort.

Servicetyp

Internet Service

Internetdienst ist standardmäßig als Teil der Zustelldienste verfügbar. Sie können die Routenkosten des Internetdienstes im Verhältnis zu anderen Zustelldiensten konfigurieren und Internet-Transitsites einrichten.

Sie können Sites als Internet-Transitsites hinzufügen, um den Internetzugang zu den Sites zu aktivieren. Für Sites, die eine direkte Internetverbindung benötigen, muss mindestens eine Verbindung mit aktiviertem Internetdienst haben. Das bedeutet, dass mindestens ein Link auf eine Bandbreitenfreigabe ung% gesetzt ist.

Jeder Transitsite können Routenkosten zugeordnet werden. Die Sites mit Internet-Service verfügbar Zugriff auf das Internet direkt, da die direkte Route wäre die kostengünstigste Routing-Pfad. Sites ohne Internetdienst können über die konfigurierten Transitsites zum Internet weitergeleitet werden. Wenn die Internet-Transit-Sites konfiguriert sind, werden Routen zum Internet über diese Transitsites automatisch zu allen Sites übertragen. Internet-Transitsites sind die Sites mit aktiviertem Internetdienst.

Wenn beispielsweise San Francisco und New York als Internettransitsites konfiguriert sind. Routen ins Internet über San Francisco und New York werden automatisch zu allen Seiten geschoben.

Transitorte

Intranetdienst

Ein Benutzer kann mehrere Intranetdienste erstellen. Sobald der Intranetdienst auf globaler Ebene erstellt wurde, können Sie ihn auf der WAN-Link-Ebene referenzieren.

Konfigurieren des Intranetdienstes

Geben Sie einen Dienstnamen an. Wählen Sie die gewünschte Routingdomäne und die Firewallzone aus.

  • Intranetnetzwerke: Fügen Sie alle Intranet-IP-Adressen im Netzwerk hinzu, die andere Sites im Netzwerk interagieren müssen.

  • Intranet-Transitsites: Fügen Sie Sites als Transitsites hinzu, damit alle Nicht-Intranet-Sites auf die konfigurierten Intranets zugreifen können. Jeder Transitsite können Routenkosten zugeordnet werden. Die verfügbaren Sites mit Intranet-Service, greift direkt auf die Intranetnetze zu, da die direkte Route der kostengünstigste Routingpfad wäre. Sites ohne Intranetdienst können über die konfigurierten Transitsites an die Intranetnetzwerke weitergeleitet werden. Wenn die Transitsites konfiguriert sind, werden Routen zu Intranetnetzwerken über diese Transitsites automatisch an alle Standorte übertragen.

    Angenommen, 10.2.1.0/24 ist ein Intranetnetzwerk, und Austin und Dallas sind als Transitsites konfiguriert. Routen zu dieser Netzwerkadresse durch Austin und Dallas werden automatisch an alle Sites weitergeleitet.

GRE Service

Sie können SD-WAN-Appliances so konfigurieren, dass GRE-Tunnel im LAN beendet werden.

Gre

GRE Details

  • Name: Name des LAN GRE-Dienstes.
  • Routingdomäne: Die Routingdomäne für den GRE-Tunnel.
  • Firewall-Zone: Die für den Tunnel gewählte Firewall-Zone. Standardmäßig wird der Tunnel in der Default_LAN_Zone platziert.
  • Keep alive: Der Zeitraum zwischen dem Senden von Keep alive Nachrichten. Bei der Konfiguration auf 0 werden keine Keep Alive-Pakete gesendet, der Tunnel bleibt jedoch weiter oben.
  • Keep alive Wiederholungen: Gibt an, wie oft die Citrix SD-WAN Appliance Keep Alive-Pakete ohne Antwort sendet, bevor der Tunnel heruntergefahren wird.
  • Prüfsumme: Aktivieren oder deaktivieren Sie die Prüfsumme für den GRE-Header des Tunnels.

Standortbindungen

  • Site Name: Der Standort, an dem der GRE Tunnel zugeordnet werden soll.
  • Quell-IP: Die Quell-IP-Adresse des Tunnels. Dies ist eine der virtuellen Schnittstellen, die an dieser Site konfiguriert sind. Die ausgewählte Routingdomäne bestimmt die verfügbaren Quell-IP-Adressen.
  • Public Source IP: Die Quell-IP, wenn der Tunnelverkehr über NAT verläuft.
  • Ziel-IP: Die Ziel-IP-Adresse des Tunnels.
  • Tunnel IP/Prefix: Die IP-Adresse und das Präfix des GRE Tunnels.
  • Tunnelgateway-IP: Die nächste Hop-IP-Adresse zur Weiterleitung des Tunnelverkehrs.
  • LAN Gateway-IP: Die IP-Adresse des nächsten Hop zur Weiterleitung des LAN-Datenverkehrs.

Zscaler Service

Wenn Sie den Zscaler-Dienst konfigurieren, konfigurieren Sie LAN GRE. Geben Sie einen Dienstnamen an, wählen Sie die Routingdomäne, die Firewallzone aus und fügen Sie Sitebindungen hinzu. Weitere Hinweise zum Zscaler-Dienst finden Sie unter Zscaler Integration mit GRE-Tunneln und IPsec-Tunneln.

Zscaler

Geben Sie die folgenden Details zur Authentifizierung von Zscaler an:

  • Benutzername: Geben Sie den Namen des Benutzers ein.
  • Kennwort: Geben Sie das Kennwort ein.
  • Cloud-Name: Geben Sie den Cloudnamen ein, der in der URL verfügbar ist, mit der sich Administratoren beim Zscaler-Dienst anmelden. Name der Cloud

    Um die betriebliche Effizienz zu maximieren, hat Zscaler eine globale Multi-Cloud-Infrastruktur mit hoher Skalierbarkeit aufgebaut. Eine Organisation wird in einer Cloud bereitgestellt und ihr Datenverkehr wird nur von dieser Cloud verarbeitet.

  • API-Schlüssel: Geben Sie den Schlüssel ein: API-Abonnement. Wenn ein API-Abonnement auf Ihre Organisation angewendet wird, aktivieren Sie Zscaler den Schlüssel.

  • Klicken Sie auf Speichern.

IPsec-Dienst

Citrix SD-WAN-Appliances können feste IPsec-Tunnel mit Peers von Drittanbietern auf LAN- oder WAN-Seite aushandeln. Sie können die Tunnelendpunkte definieren und Sites den Tunnelendpunkten zuordnen.

Sie können auch ein IPsec-Sicherheitsprofil auswählen und anwenden, das das Sicherheitsprotokoll und die IPsec-Einstellungen definiert.

So konfigurieren Sie den IPsec-Tunnel:

  1. Geben Sie die Service-Details an.

    • Dienstname: Der Name des IPSec-Diensts.
    • Diensttyp: Wählen Sie den Dienst aus, den der IPsec-Tunnel verwendet.
    • Routingdomäne: Wählen Sie für IPsec-Tunnel über LAN eine Routingdomäne aus. Wenn der IPsec-Tunnel einen Intranetdienst verwendet, bestimmt der Intranetdienst die Routingdomäne.
    • Firewall-Zone: Die Firewall-Zone für den Tunnel. Standardmäßig wird der Tunnel in der Default_LAN_Zone platziert.
  2. Fügen Sie den Tunnelendpunkt hinzu.

    • Name: Wenn die Dienstart Intranet ist, wählen Sie einen Intranetdienst, den der Tunnel schützt. Andernfalls geben Sie einen Namen für den Dienst ein.
    • Peer-IP: Die IP-Adresse des Remote-Peers.
    • IPsec-Profil: IPsec-Sicherheitsprofil, das das Sicherheitsprotokoll und die IPsec-Einstellungen definiert.
    • Pre Shared Key: Der vorab freigegebene Schlüssel, der für die IKE-Authentifizierung verwendet wird.
    • Peer Pre Shared Key: Der vorab freigegebene Schlüssel, der für die IKEv2-Authentifizierung verwendet wird.
    • Identitätsdaten: Die Daten, die als lokale Identität verwendet werden sollen, wenn manuelle Identität oder Benutzer-FQDN-Typ verwendet werden.
    • Peer-Identitätsdaten: Die Daten, die als Peer-Identität verwendet werden sollen, wenn manuelle Identität oder Benutzer-FQDN-Typ verwendet werden.
    • Zertifikat: Wenn Sie Zertifikat als IKE-Authentifizierung wählen, wählen Sie aus den konfigurierten Zertifikaten.
  3. Ordnen Sie Sites den Tunnelendpunkten zu.

    • Wählen Sie Endpunkt: Der Endpunkt, der einer Site zugeordnet werden soll.
    • Sitename: Die Site, die dem Endpunkt zugeordnet werden soll.
    • Name der virtuellen Schnittstelle: Die virtuelle Schnittstelle der Site, die als Endpunkt verwendet werden soll.
    • Lokale IP: Die lokale virtuelle IP-Adresse, die als lokaler Tunnelendpunkt verwendet werden soll.
  4. Erstellen Sie das geschützte Netzwerk.

    • Quellnetzwerk-IP/-Präfix: Die Quell-IP-Adresse und das Präfix des Netzwerkverkehrs, den der IPSec-Tunnel schützt.
    • Zielnetzwerk-IP/-Präfix: Die Ziel-IP-Adresse und das Präfix des Netzwerkverkehrs, den der IPSec-Tunnel schützt.
  5. Stellen Sie sicher, dass die IPsec-Konfigurationen auf der Peer-Appliance gespiegelt werden.

    IPsec-Dienst

Weitere Informationen finden Sie unter Konfigurieren von IPsec-Tunneln für virtuelle und dynamische Pfade.

IPSec-Verschlüsselungsprofile

Um ein IPSec-Verschlüsselungsprofil hinzuzufügen, navigieren Sie zu Konfiguration > Delivery Services > wählen Sie die Registerkarte IPSec-Verschlüsselungsprofile aus.

IPsec-Navigationssystem

IPsec bietet sichere Tunnel. Citrix SD-WAN unterstützt virtuelle IPSec-Pfade, sodass Geräte von Drittanbietern IPsec-VPN-Tunnel auf der LAN- oder WAN-Seite einer Citrix SD-WAN Appliance beenden können. Sie können IPsec-Tunnel, die auf einer SD-WAN-Appliance beendet werden, mithilfe einer 140-2 Level 1 FIPS-zertifizierten IPsec-Kryptografie-Binärdatei sichern.

Citrix SD-WAN unterstützt auch das robuste IPsec-Tunneling mithilfe eines differenzierten virtuellen Pfadtunneling-Mechanismus.

IPsec-Profile werden beim Konfigurieren von IPsec-Diensten als Bereitstellungsdienstsätze verwendet. Geben Sie auf der Seite IPSec-Sicherheitsprofil die erforderlichen Werte für die folgenden IPSec-Verschlüsselungsprofile, IKE-Einstellungen und IPSec-Einstellungen ein.

Informationen zu IPSec-Verschlüsselungsprofilen

  • Profilname: Geben Sie einen Profilnamen an.
  • MTU: Geben Sie die maximale IKE- oder IPsec-Paketgröße in Byte ein.
  • Keep Alive: Aktivieren Sie das Kontrollkästchen, um den Tunnel aktiv zu halten und die Routenberechtigung zu aktivieren.
  • IKE-Version: Wählen Sie eine IKE-Protokollversion aus der Dropdown-Liste aus.

    Ipsec prof Informationen verschlüsseln

IKE-Einstellungen

  • Modus: Wählen Sie entweder den Hauptmodus oder den aggressiven Modus aus der Dropdown-Liste für den IKE Phase 1-Verhandlungsmodus aus.
    • Main: Während der Verhandlung werden keine Informationen potenziellen Angreifern ausgesetzt, sind aber langsamer als der aggressive Modus.
    • Aggressiv: Einige Informationen (z. B. die Identität der Verhandlungskollegen) werden während der Verhandlung potenziellen Angreifern ausgesetzt, sind aber schneller als der Hauptmodus.
  • Authentifizierung: Wählen Sie den Authentifizierungstyp als Zertifikat oder vorab freigegebener Schlüssel aus dem Dropdown-Menü.
  • Identität: Wählen Sie die Identitätsmethode aus der Dropdown-Liste aus.
  • Peer-Identity: Wählen Sie die Peer-Identitätsmethode aus der Dropdown-Liste aus.
  • DH-Gruppe: Wählen Sie die Diffie-Hellman-Gruppe (DH) aus, die für die IKE-Schlüsselgenerierung verfügbar sind.
  • Hash-Algorithmus: Wählen Sie einen Hash-Algorithmus aus der Dropdown-Liste aus, um IKE-Nachrichten zu authentifizieren.
  • Verschlüsselungsmodus: Wählen Sie den Verschlüsselungsmodus für IKE-Nachrichten aus der Dropdown-Liste aus.
  • Lebensdauer (en): Geben Sie die bevorzugte Dauer (in Sekunden) für eine IKE-Sicherheitszuordnung ein.
  • Max. Lebensdauer (n): Geben Sie die maximale bevorzugte Dauer (in Sekunden) ein, damit eine IKE-Sicherheitszuordnung vorhanden sein kann.
  • DPD-Zeitüberschreitung (en): Geben Sie das Timeout für Dead Peer Detection (in Sekunden) für VPN-Verbindungen ein.

    Ike-Einstellungen

IPsec-Einstellungen

  • Tunneltyp: Wählen Sie ESP, ESP+Auth, ESP+NULL oder AH als Tunnelkapselungstyp aus der Dropdown-Liste.

    • ESP: Verschlüsselt nur die Benutzerdaten
    • ESP + Auth: Verschlüsselt die Benutzerdaten und enthält einen HMAC
    • ESP + NULL: Pakete werden authentifiziert, aber nicht verschlüsselt
    • AH: Enthält nur einen HMAC
  • PFS-Gruppe: Wählen Sie Diffie — Hellman-Gruppe, um eine perfekte Vorwärtsgeheimnis-Schlüsselgenerierung aus dem Dropdown-Menü zu verwenden.
  • Verschlüsselungsmodus: Wählen Sie im Dropdown-Menü den Verschlüsselungsmodus für IPSec-Nachrichten.
  • Hash-Algorithmus: Die Hash-Algorithmen MD5, SHA1 und SHA-256 sind für die HMAC-Überprüfung verfügbar.
  • Netzwerkkonflikt: Wählen Sie im Dropdown-Menü eine Aktion aus, die ausgeführt werden soll, wenn ein Paket nicht mit den geschützten Netzwerken des IPsec-Tunnels übereinstimmt.
  • Lebensdauer (en): Geben Sie die Zeit (in Sekunden) ein, in der eine IPsec-Sicherheitszuordnung vorhanden ist.
  • Max. Lebensdauer (n): Geben Sie die maximale Zeit (in Sekunden) ein, um eine IPsec-Sicherheitszuordnung zu ermöglichen.
  • Lebensdauer (KB): Geben Sie die Datenmenge (in Kilobyte) für eine IPsec-Sicherheitszuordnung ein.
  • Maximale Lebensdauer (KB): Geben Sie die maximale Datenmenge (in Kilobyte) ein, um eine IPSec-Sicherheitszuordnung zu ermöglichen.

    IPsec-Einstellungen