Bereitstellungsdienste

MitBereitstellungsdiensten können Sie Bereitstellungsdienste wie Internet, Intranet, IPsec und LAN GRE konfigurieren. Die Delivery Services werden global definiert und auf WAN-Verbindungen an einzelnen Standorten angewendet.

Jede WAN-Verbindung kann alle oder eine Teilmenge der relevanten Dienste anwenden und relative Bandbreitenanteile (%) unter allen Bereitstellungsdiensten einrichten.

Der Virtual Path Service ist standardmäßig auf allen Links verfügbar. Die anderen Dienste können nach Bedarf hinzugefügt werden.

Navigation des Lieferservicesets

Delivery Services sind Bereitstellungsmechanismen, die auf Citrix SD-WAN zur Verfügung stehen, um verschiedene Anwendungen oder Verkehrsprofile mithilfe der richtigen Bereitstellungsmethoden basierend auf Geschäftsabsichten zu steuern.

Delivery Services können im Großen und Ganzen wie folgt kategorisiert werden:

  • Virtual Path Service: Der Dual-End-Overlay SD-WAN-Tunnel, der eine sichere, zuverlässige und qualitativ hochwertige Konnektivität zwischen zwei Standorten bietet, die SD-WAN-Appliances oder virtuelle Instanzen hosten.
  • Internet Service: Direkter Kanal zwischen einer SD-WAN-Site und öffentlichem Internet, ohne SD-WAN-Kapselung. Citrix SD-WAN unterstützt den Sitzungslastausgleich für internetgebundene Datenverkehr über mehrere Internetverbindungen hinweg.
  • Intranet-Service: Unterlagen-Link-basierte Konnektivität von einem SD-WAN-Site zu einem beliebigen Nicht-SD-WAN-Site.

    Der Datenverkehr ist nicht kapselt oder kann jede nicht-virtuelle Pfadkapselung wie IPsec, GRE verwenden. Sie können mehrere Intranetdienste einrichten.

Service und Bandbreite

Auf der Registerkarte Dienst und Bandbreite können Sie anzeigen, dass ein Internetdienst standardmäßig erstellt wird. Der Zweigverkehr nutzt die Transitstellen, um das Internet zu erreichen. In diesem Abschnitt können Sie neue Zustelldienste und den Standardanteil der Bandbreitenzuweisung (%) für alle Zustelldienste definieren. Die Anforderungen an die Bandbreitenzuweisung zwischen den Delivery Services können je nach Art der Verbindung variieren.

Wenn Sie beispielsweise mehrere SaaS-Anwendungen verwenden, weisen Sie Ihren Internetverbindungen für Internetdienste einen großen Teil der Bandbreite zu, um einen direkten Internetausbruch zu ermöglichen. Weisen Sie auf Ihren MPLS-Links mehr Bandbreite für Virtual Path Service oder Intranet Service zu, je nachdem, ob Ihre SD-WAN-Standorte den größten Teil des Datenverkehrs zu anderen SD-WAN-Standorten oder Nicht-SD-WAN-Standorten haben.

Basierend auf Ihren Anforderungen können Sie globale Standardwerte für die Bandbreitenfreigabe für alle Bereitstellungsdienste für jeden Linktyp definieren — Internetlinks, MPLS-Links und Private Intranet-Links.

Bandbreitendetails für die Dienstkonfiguration

Die Standardwerte können bei einzelnen Links außer Kraft gesetzt werden. Bei der Konfiguration von WAN-Verbindungen können Sie diese globalen Standardwerte verwenden oder die Einstellungen für die Verbindung spezifischer Dienstbandbreite konfigurieren. Die Konfiguration einer Bandbreitenfreigabe ungleich Null ist erforderlich, damit jeder Bereitstellungsdienst für einen Link aktiviert und aktiv ist.

Direkter Cloud-Dienst

Cloud Direct Service bietet SD-WAN-Funktionen als Cloud-Service durch zuverlässige und sichere Bereitstellung für den gesamten internetgebundenen Datenverkehr unabhängig von der Host-Umgebung (Rechenzentrum, Cloud und Internet).

Cloud Direct Service:

  • Verbessert Netzwerktransparenz und -verwaltung.
  • Ermöglicht Partnern, ihren Endkunden verwaltete SD-WAN-Services für geschäftskritische SaaS-Anwendungen anzubieten.

Vorteile

Cloud Direct Service bietet folgende Vorteile:

  • Redundanz: Verwendet mehrere Internet-WAN-Verbindungen und bietet ein nahtloses Failover.
  • Link-Aggregation: Verwendet alle Internet-WAN-Links zur gleichen Zeit.
  • Intelligenter Lastausgleich über WAN-Verbindungen verschiedener Anbieter:
    • Messung von Paketverlust, Jitter und Durchsatz.
    • Benutzerdefinierte Anwendungsidentifikation.
    • Anwendungsanforderungen und Schaltungsleistungsabgleich (Anpassung an Echtzeit-Netzwerkbedingungen).
  • SLA-Grade Dynamic QoS-Fähigkeit zur Internetschaltung:
    • Passt sich dynamisch an den variierenden Kreisdurchsatz an.
    • Anpassung durch einen Tunnel an Ein- und Ausstiegsendpunkten.
  • Umleiten von VOIP-Anrufen zwischen Schaltungen, ohne den Anruf zu löschen.
  • End-to-End-Überwachung und Sichtbarkeit.

Um Sites für den Cloud Direct Servicezu konfigurieren, navigieren Sie auf Kundenebene zu Konfiguration > Bereitstellungsdienste > Service & Bandbreite, und klicken Sie dann auf das Einstellungssymbol neben dem Cloud Direct Service.

Direkter Cloud-Dienst

Klicken Sie auf + Cloud Direct Service, um Websites hinzuzufügen.

Cloud Direct Service Website

Sie können die Region auswählen und die Standorte entsprechend auswählen.

Cloud Direct Service-Region

Klicken Sie auf Überprüfen, um die ausgewählten Websites anzuzeigen, und klicken Sie dann auf Speichern.

Sie können anzeigen, dass die Website mit den folgenden Details erstellt wird:

  • Standortstatus: Zeigt den Status an, ob die Site bereitgestellt wird oder nicht. Bei Bereitstellung würde der Status darauf hinweisen, ob die Cloud Direct-Website online ist oder nicht.
  • Sitename: Zeigt den Sitename an, für den die Cloud Direct-Funktion bereitgestellt wird.
  • Plattform: Für die ausgewählte Site wird der zugehörige Appliance-Modellname automatisch ausgefüllt und hier angezeigt, z. B. — 210-SE.
  • Fakturierungsstatus: Zeigt den Fakturierungsstatus an.
  • Lizenzierte Cloud Direct Bandbreite (Mbit/s): Zeigt Informationen zur Cloud Direct-Abonnementbandbreite an. Die Abonnementbandbreite ist mit der Lizenzierung für den Cloud Direct-Dienst verknüpft.
  • Anzahl aktivierter Verknüpfungen: Zeigt die Anzahl der für diesen Dienst aktivierten WAN-Links an.
  • Aktionen: Sie können entweder die Cloud Direct-Standortkonfiguration löschen, die für diese SD-WAN-Appliance erstellt wurde, oder die Cloud Direct-Standortkonfiguration und WAN-Verknüpfungsdetails im schreibgeschützten Modus anzeigen.

Cloud Direct Site-Info

Klicken Sie auf den Websiteeintrag, und Sie können die Abonnementbandbreite bearbeiten und Änderungen an der für diesen Dienst ausgewählten WAN-Link vornehmen. Außerdem können Sie Ingress-Geschwindigkeiten (Upload) und Egress (Download) für den Cloud Direct-Dienst auf jedem der ausgewählten WAN-Links bearbeiten.

Hinweis:

  • Standardmäßig wählt es die ersten vier Internet-WAN-Links aus.
  • Cloud Direct Ingress (Upload) und Egress (Download) Geschwindigkeitswert darf nicht größer sein als der Wert für die Abonnementbandbreite.

Cloud Direct Sites bearbeiten

Sie können Anwendungsobjekte für anwendungsbasierte Routen erstellen. Erstellen Sie die Anwendungsroute, indem Sie die entsprechenden Anwendungen einschließen, die über den Cloud Direct-Dienst gesteuert werden müssen. Weitere Informationen finden Sie unter Routing-Richtlinien.

Für Internet- und Intranetdienste stehen weitere Einstellungen zur Verfügung, die mithilfe des Einstellungssymbols angepasst werden können, das für jeden Dienst angezeigt wird.

Einstellungen des Versanddienstes

Klicken Sie auf + Neuer Dienst und wählen Sie einen Diensttyp aus. Wählen Sie je nach Zusatzbereitstellungsdienst, den Sie erstellen möchten, den gewünschten Servicetyp aus und fahren Sie mit der Konfiguration fort.

Servicetyp

Internet Service

Internetdienst ist standardmäßig als Teil der Zustelldienste verfügbar. Sie können die Kosten für die Route des Internetdienstes relativ zu anderen Bereitstellungsdiensten konfigurieren. Sie können auch die Route zum Internet über den Link beibehalten, auch wenn alle zugehörigen Pfade heruntergefahren sind.

Internet Service

Intranetdienst

Sie können mehrere Intranetdienste erstellen. Sobald der Intranetdienst auf globaler Ebene erstellt wurde, können Sie ihn auf der WAN-Link-Ebene referenzieren. Geben Sie einen Dienstnamenein, wählen Sie die gewünschte Routingdomäne und dieFirewallzoneaus. Fügen Sie alle Intranet-IP-Adressen im Netzwerk hinzu, damit andere Standorte im Netzwerk interagieren können. Sie können auch die Route zum Intranet über den Link beibehalten, auch wenn alle zugehörigen Pfade heruntergefahren sind.

Konfigurieren des Intranetdienstes

GRE Service

Sie können SD-WAN-Appliances so konfigurieren, dass GRE-Tunnel im LAN beendet werden.

GRE

GRE Details

  • Servicetyp: Wählen Sie den Dienst aus, den der GRE-Tunnel verwendet.
  • Name: Name des LAN GRE-Dienstes.
  • Routingdomäne: Die Routingdomäne für den GRE-Tunnel.
  • Firewall-Zone: Die für den Tunnel gewählte Firewall-Zone. Standardmäßig wird der Tunnel in der Default_LAN_Zone platziert.
  • MTU: Maximale Übertragungseinheit — die Größe des größten IP-Datagramms, das über eine bestimmte Verbindung übertragen werden kann. Der Bereich reicht von 576 bis 1500. Der Standardwert ist 1500.
  • Keep alive: Der Zeitraum zwischen dem Senden von Keep alive Nachrichten. Bei der Konfiguration auf 0 werden keine Keep Alive-Pakete gesendet, der Tunnel bleibt jedoch weiter oben.
  • Keep alive Wiederholungen: Gibt an, wie oft die Citrix SD-WAN Appliance Keep Alive-Pakete ohne Antwort sendet, bevor der Tunnel heruntergefahren wird.
  • Prüfsumme: Aktivieren oder deaktivieren Sie die Prüfsumme für den GRE-Header des Tunnels.

Standortbindungen

  • Site Name: Der Standort, an dem der GRE Tunnel zugeordnet werden soll.
  • Quell-IP: Die Quell-IP-Adresse des Tunnels. Dies ist eine der virtuellen Schnittstellen, die an dieser Site konfiguriert sind. Die ausgewählte Routingdomäne bestimmt die verfügbaren Quell-IP-Adressen.
  • Public Source IP: Die Quell-IP, wenn der Tunnelverkehr über NAT verläuft.
  • Ziel-IP: Die Ziel-IP-Adresse des Tunnels.
  • Tunnel IP/Prefix: Die IP-Adresse und das Präfix des GRE Tunnels.
  • Tunnelgateway-IP: Die nächste Hop-IP-Adresse zur Weiterleitung des Tunnelverkehrs.
  • LAN Gateway-IP: Die IP-Adresse des nächsten Hop zur Weiterleitung des LAN-Datenverkehrs.

Zscaler Service

Die Zscaler Cloud Security Platform bietet eine Reihe von Sicherheitskontrollen in mehr als 100 Rechenzentren auf der ganzen Welt. Indem Sie einfach den Internetverkehr auf den Zscaler-Dienst umleiten, können Sie sofort Ihre Geschäfte, Filialen und Remote-Standorte sichern.

Citrix SD-WAN Orchestrator bietet Partnerauthentifizierung für Zscaler Cloud. Es wird ein IPsec-Tunnel eingerichtet, um den Internetverkehr zum Zscaler umzuleiten. Alle Seiten sind standardmäßig mit Zscaler verbunden.

Zscaler

Geben Sie die folgenden Details an, um Zscaler zu authentifizieren (Partner-Login-Informationen):

  • Benutzername: Geben Sie den Namen des Benutzers ein.
  • Kennwort: Geben Sie das Kennwort ein.
  • Cloud-Name: Geben Sie den Cloudnamen ein, der in der URL verfügbar ist, mit der sich Administratoren beim Zscaler-Dienst anmelden. Name der Cloud

    Um die betriebliche Effizienz zu maximieren, hat Zscaler eine globale Multi-Cloud-Infrastruktur mit hoher Skalierbarkeit aufgebaut. Eine Organisation wird in einer Cloud bereitgestellt und ihr Datenverkehr wird nur von dieser Cloud verarbeitet.

  • API-Schlüssel: Geben Sie den Citrix SD-WAN Schlüssel für Partnerintegration ein.

Sobald die Authentifizierung erfolgreich ist, geben Sie die Bandbreitenzuweisung für den Zscaler Service an. Standardmäßig werden alle Sites mit global_default WAN-Link Konfigurationen mit Zscaler Service konfiguriert. Link-spezifische WAN-Link-Konfiguration für Zscaler Service ermöglicht es Ihnen, andere Bandbreitenzuweisung als die globale Zuweisung anzugeben.

Virtueller Azure-WAN-Dienst

Microsoft Azure Virtual WAN und Citrix SD-WAN bieten eine vereinfachte Netzwerkkonnektivität und zentralisierte Verwaltung über Cloud-Workloads hinweg. Dieser Dienst bietet die automatische Konfiguration von Zweigstellengeräten, um eine Verbindung mit dem Azure Virtual WAN herzustellen und Richtlinien für die Verwaltung von Zweigdatenverkehr entsprechend Ihren geschäftlichen Anforderungen zu konfigurieren.

Stellen Sie die Azure-Dienstprinzipal Informationen bereit, um Citrix SD-WAN ites Azure Virtual WAN zuzuordnen. Bevor Sie die Sites für den Azure Virtual WAN-Dienst konfigurieren, müssen Sie die Azure Virtual WAN-Hubs mit Site-zu-Site-Konnektivitätsgateway ressource in Ihrer jeweiligen Azure-Region erstellen. Standort-zu-Site-Verbindungen werden zwischen Citrix SD-WAN Appliances und Azure hergestellt.

Hinweis

Nur die Virtual WAN-Hubs, die im Azure-Portal für Ihr Abonnement erstellt wurden, werden für die Zuordnung aufgelistet.

Im Rahmen der Zuordnung von Citrix SD-WAN Zweigen zu Azure Virtual WANs muss eine Zweigstelle mit Azure-WAN-Ressourcen verknüpft sein, um IPSec-Tunnel mit den Azure Virtual Hubs mithilfe der vorausgewählten IPsec-Ike/IPsec-Einstellungen einzurichten. Die Sites und Azure-Backbone-Routen werden standardmäßig über BGP gelernt. Wenn Citrix SD-WAN Zweigstellen mehrere Internet-WAN-Verbindungen konfiguriert sind, werden automatisch zwei WAN-Verbindungen ausgewählt, um Redundanz bereitzustellen. Die ausgewählte Citrix SD-WAN -Software muss die Unterstützung haben, um zwischen primären und sekundären IPSec-Tunneln zu wechseln, die ab Version 11.1 unterstützt werden.

Hinweis

Eine Citrix SD-WAN ite kann eine Verbindung zu mehreren Azure Virtual Hubs in derselben oder verschiedenen Azure-Regionen herstellen.

Bestimmte Citrix SD-WAN Appliances weisen eine Ressourcenbeschränkung auf die Anzahl der IPSec-Tunnel auf, die unterstützt werden können. Daher kann die Konfigurationszuordnung fehlschlagen, wenn die Einschränkungen für die Anzahl der Citrix SD-WAN Appliance nicht erfüllt sind.

Im Folgenden finden Sie die IPsec-Tunnelgrenze pro SD-WAN-Plattform:

SD-WAN-Geräte Unterstützte IPsec-Tunnel
4100, 5100, 6100 256
1100, 2100 128
210, 410, 1000, 2000 8

Die Zuordnung von Citrix SD-WAN -Sites zu Azure Virtual WAN-Hubs kann einige Zeit dauern, da das Herunterladen der IPSec-Konfiguration aus Azure erforderlich ist. Der Verzweigungszuordnungsstatus wird als Konfiguration heruntergeladen angezeigt, nachdem die Zweigkonfiguration heruntergeladen wurde. Es wird empfohlen, den Standortstatus zu aktualisieren, bevor Sie die Konfiguration aktivieren, um den aktualisierten Status anzuzeigen.

Im folgenden Diagramm wird der Workflow auf hoher Ebene der Orchestrator- und Azure Virtual WAN-Verbindung beschrieben.

Virtueller WAN-Workflow

So verknüpfen Sie Websites mit Azure-WAN-Ressourcen:

  1. Navigieren Sie in Citrix SD-WAN Orchestrator zu Bereitstellungsdienste > Dienst und Bandbreite auf Netzwerkebene. Klicken Sie auf Einstellungsoption neben Azure Virtual WAN.

    Virtueller Azure-WAN-Dienst

    Hinweis:

    Sie müssen die Abonnementbandbreite (in%) für den Azure Virtual WAN-Dienst bereitstellen. Sie können die Abonnementbandbreite sowohl auf globaler als auch auf Standortebene reservieren.

  2. Geben Sie Azure-Mandanten-ID, Anwendungs-ID, geheimen Schlüssel und Abonnement-ID (auch als Dienstprinzipal bezeichnet) an. Wenn die Anmeldeinformationen nicht korrekt sind, schlägt die Authentifizierung fehl und weitere Aktionen sind nicht zulässig. Klicken Sie auf Speichern.

    Virtueller Azure-WAN-Dienst

    Nach erfolgreicher Authentifizierung müssen Sie eine Zweigstelle mit Azure Virtual WAN-Ressourcen verknüpfen, um IPSec-Tunnel einzurichten. Eine Zweigstelle kann mit mehreren Hubs innerhalb einer Azure Virtual WAN-Ressource verbunden werden, und eine Azure Virtual WAN-Ressource kann mit mehreren Zweigstellen verbunden werden.

  3. Klicken Sie auf + Site, um eine Website hinzuzufügen.

    Virtuelles Azure WAN fügt Website hinzu

    Hinweis

    Die Option + Site wird deaktiviert, wenn Sie die Abonnementbandbreite nicht reserviert haben.

  4. Geben Sie die folgenden Details an:

    • Azure Virtual WAN - Wählen Sie das Azure Virtual WAN aus der Dropdownliste aus, die dem Abonnement zugeordnet ist. Der gleiche Standort kann nicht mit mehreren WANs verbunden werden.

    • Azure Hubs - Wählen Sie die Azure-Hubs aus. Nur virtuelle Azure WANs mit Azure Virtual Hubs werden für die Zuordnung aufgelistet. Sie können mehrere Hubs hinzufügen, die mit demselben Standort verbunden sind.

      Hinweis:

      Im Feld Azure Virtual WAN werden nur die virtuellen WANs aufgelistet, die bereits einen entsprechenden Hub erstellt haben.

    • Region/Gruppen auswählen — Sie können alle oder selektive Region/Gruppen auswählen.

    • Sites auswählen — Sie können alle oder selektiven Sites auswählen, die Sie für die Zuordnung benötigen.

    Virtuelles Azure WAN fügt Website hinzu

  5. Klicken Sie auf Überprüfen.

    Virtuelles Azure WAN fügt Website hinzu

    Interne ALB IP — Die IP-Eingabe von Azure Load Balancer (ALB) ist erforderlich, wenn es sich bei der betreffenden Site um ein Azure VPX handelt und im Hochverfügbarkeitsmodus (HA) bereitgestellt wird. Andernfalls ist dieses Feld optional.

  6. Klicken Sie auf Speichern

  7. Sobald die Site bereitgestellt wurde, können Sie die folgenden Informationen sehen:

    Details zur virtuellen Azure-WAN-Site

    • Info - Zeigt die Konfigurationsdetails und den Status der Azure Virtual WAN-Tunnel an.

      Informationen zu virtuellen bereitgestellten Azure-Websites

    • Standortname — Zeigt den Namen des bereitgestellten Standorts an.
    • Virtuelles WAN — Zeigt das Azure Virtual WAN an, dem die entsprechende Site zugeordnet ist.
    • Hubs — Zeigt die Anzahl der Hubs an.
    • Status — Zeigt die verschiedenen Bereitstellungsstatus mit der abschließenden Abschlussmeldung an. Wenn die Site erfolgreich bereitgestellt wurde, können nur die IPSec-Tunnel erstellt werden.
    • Aktion — Sie können die konfigurierte Site bearbeiten oder löschen.

Nachdem die Site erfolgreich bereitgestellt wurde, müssen Sie den Prozess Überprüfen, Stage und Aktiv ausführen, um die IPSec-Tunnel zu erstellen. Nach der Aktivierung können Sie den Status der Tunnel auf der Info-Seite sehen. Wenn die Konfiguration nicht aktiviert ist, sind die Tunnelinformationen nicht verfügbar.

Sie können auch unterschiedliche Bandbreite für verschiedene Standorte zuweisen. Führen Sie dazu eine link-spezifische Konfiguration für den ausgewählten Standort durch. Wählen Sie dazu die entsprechende Site > Registerkarte WAN-Verknüpfungen > Abschnitt Dienste aus. Sie können die globale Bandbreitenzuweisung überschreiben.

Einstellungen für die Servicebandbreite

Ab Version 11.1.0 wird das virtuelle Azure WAN mehrere WAN-Link-Konfigurationen zusammen mit der Hub-zu-Hub-Kommunikation unterstützt. Weitere Informationen finden Sie unter Hub-zu-Hub-Kommunikation.

IPsec-Dienst

Citrix SD-WAN-Appliances können feste IPsec-Tunnel mit Peers von Drittanbietern auf LAN- oder WAN-Seite aushandeln. Sie können die Tunnelendpunkte definieren und Sites den Tunnelendpunkten zuordnen.

Sie können auch ein IPsec-Sicherheitsprofil auswählen und anwenden, das das Sicherheitsprotokoll und die IPsec-Einstellungen definiert.

So konfigurieren Sie einen IPSec-Tunnel:

  1. Geben Sie die Service-Details an.

    • Dienstname: Der Name des IPSec-Diensts.
    • Diensttyp: Wählen Sie den Dienst aus, den der IPsec-Tunnel verwendet.
    • Routingdomäne: Wählen Sie für IPsec-Tunnel über LAN eine Routingdomäne aus. Wenn der IPsec-Tunnel einen Intranetdienst verwendet, bestimmt der Intranetdienst die Routingdomäne.
    • Firewall-Zone: Die Firewall-Zone für den Tunnel. Standardmäßig wird der Tunnel in der Default_LAN_Zone platziert.
  2. Fügen Sie den Tunnelendpunkt hinzu.

    • Name: Wenn die Dienstart Intranet ist, wählen Sie einen Intranetdienst, den der Tunnel schützt. Andernfalls geben Sie einen Namen für den Dienst ein.
    • Peer-IP: Die IP-Adresse des Remote-Peers.
    • IPsec-Profil: IPsec-Sicherheitsprofil, das das Sicherheitsprotokoll und die IPsec-Einstellungen definiert.
    • Vorfreigegebener Schlüssel: Der vorab freigegebene Schlüssel, der für die IKE-Authentifizierung verwendet wird.
    • Peer Pre Shared Key: Der vorab freigegebene Schlüssel, der für die IKEv2-Authentifizierung verwendet wird.
    • Identitätsdaten: Die Daten, die als lokale Identität verwendet werden sollen, wenn manuelle Identität oder Benutzer-FQDN-Typ verwendet werden.
    • Peer-Identitätsdaten: Die Daten, die als Peer-Identität verwendet werden sollen, wenn manuelle Identität oder Benutzer-FQDN-Typ verwendet werden.
    • Zertifikat: Wenn Sie Zertifikat als IKE-Authentifizierung wählen, wählen Sie aus den konfigurierten Zertifikaten.
  3. Ordnen Sie Sites den Tunnelendpunkten zu.

    • Wählen Sie Endpunkt: Der Endpunkt, der einer Site zugeordnet werden soll.
    • Sitename: Die Site, die dem Endpunkt zugeordnet werden soll.
    • Name der virtuellen Schnittstelle: Die virtuelle Schnittstelle der Site, die als Endpunkt verwendet werden soll.
    • Lokale IP: Die lokale virtuelle IP-Adresse, die als lokaler Tunnelendpunkt verwendet werden soll.
  4. Erstellen Sie das geschützte Netzwerk.

    • Quellnetzwerk-IP/-Präfix: Die Quell-IP-Adresse und das Präfix des Netzwerkverkehrs, den der IPSec-Tunnel schützt.
    • Zielnetzwerk-IP/-Präfix: Die Ziel-IP-Adresse und das Präfix des Netzwerkverkehrs, den der IPSec-Tunnel schützt.
  5. Stellen Sie sicher, dass die IPsec-Konfigurationen auf der Peer-Appliance gespiegelt werden.

    IPsec-Dienst

Weitere Informationen finden Sie unter Konfigurieren von IPsec-Tunneln für virtuelle und dynamische Pfade.

Einstellungen für dynamische virtuelle Pfade

Mithilfe der globalen Einstellungen für den dynamischen virtuellen Pfad können Administratoren die Standardwerte für dynamische virtuelle Pfade im Netzwerk konfigurieren.

Ein dynamischer virtueller Pfad wird dynamisch zwischen zwei Sites instanziiert, um eine direkte Kommunikation ohne Zwischen-SD-WAN-Knoten-Hops zu ermöglichen. Ebenso wird auch die dynamische virtuelle Pfadverbindung dynamisch entfernt. Sowohl das Erstellen als auch das Entfernen dynamischer virtueller Pfade werden basierend auf Bandbreitenschwellenwerten und Zeiteinstellungen ausgelöst.

Einstellung dynamischer virtueller Pfad

Klicken Sie auf Config überprüfen, um jeden Überwachungsfehler zu überprüfen.

Im Folgenden sind einige der unterstützten Einstellungen aufgeführt:

  • Bereitstellung zum Aktivieren oder Deaktivieren dynamischer virtueller Pfade im Netzwerk
  • Die Routenkosten für dynamische virtuelle Pfade
  • Das zu verwendende QoS-Profil — Standard mäßig.
  • Kriterien für die Erstellung dynamischer virtueller Pfade:

    • Messintervall (Sekunden): Der Zeitraum, über den die Anzahl der Pakete und die Bandbreite gemessen werden, um festzustellen, ob ein dynamischer virtueller Pfad zwischen zwei Standorten erstellt werden muss — in diesem Fall zwischen einem bestimmten Zweig und dem Kontrollknoten.
    • Durchsatzschwelle (kbps): Der Schwellenwert für den Gesamtdurchsatz zwischen zwei Sites, gemessen über das Messintervall, bei dem Dynamic Virtual Path ausgelöst wird. In diesem Fall gilt der Schwellenwert für den Control Node.
    • Durchsatzschwelle (pps) - Der Schwellenwert für den Gesamtdurchsatz zwischen zwei Sites, gemessen über das Messintervall, bei dem Dynamic Virtual Path ausgelöst wird.
  • Kriterien für die Entfernung von dynamischen virtuellen Pfaden:

    • Messintervall (Minuten): Der Zeitraum, über den die Anzahl der Pakete und die Bandbreite gemessen werden, um festzustellen, ob ein dynamischer virtueller Pfad zwischen zwei Standorten entfernt werden muss — in diesem Fall zwischen einem bestimmten Zweig und dem Kontrollknoten.
    • Durchsatzschwelle (kbps) - Der Schwellenwert für den Gesamtdurchsatz zwischen zwei Sites, gemessen über das Messintervall, bei dem Dynamic Virtual Path entfernt wird.
    • Durchsatzschwelle (pps) - Der Schwellenwert für den Gesamtdurchsatz zwischen zwei Standorten, gemessen über das Messintervall, bei dem der dynamische virtuelle Pfad entfernt wird.
  • Timer

    • Wartezeit, um tote virtuelle Pfade zu leeren (m): Die Zeit, nach der ein dynamischer virtueller DEAD Pfad entfernt wird.
    • Haltezeit vor der Wiederherstellung toter virtueller Pfade (m): Die Zeit, nach der ein dynamischer virtueller Pfad entfernt wurde, um DEAD zu sein.

IPSec-Verschlüsselungsprofile

Um ein IPsec-Verschlüsselungsprofil hinzuzufügen, navigieren Sie zu Konfiguration > Bereitstellungsdienste > wählen Sie IPsec-Verschlüsselungsprofileaus.

IPsec encrip nav

IPsec bietet sichere Tunnel. Citrix SD-WAN unterstützt virtuelle IPSec-Pfade, sodass Geräte von Drittanbietern IPsec-VPN-Tunnel auf der LAN- oder WAN-Seite einer Citrix SD-WAN Appliance beenden können. Sie können IPsec-Tunnel, die auf einer SD-WAN-Appliance beendet werden, mithilfe einer 140-2 Level 1 FIPS-zertifizierten IPsec-Kryptografie-Binärdatei sichern.

Citrix SD-WAN unterstützt auch das robuste IPsec-Tunneling mithilfe eines differenzierten virtuellen Pfadtunneling-Mechanismus.

IPsec-Profile werden beim Konfigurieren von IPsec-Diensten als Bereitstellungsdienstsätze verwendet. Geben Sie auf der Seite IPSec-Sicherheitsprofil die erforderlichen Werte für die folgenden IPSec-Verschlüsselungsprofile, IKE-Einstellungen und IPSec-Einstellungen ein.

Klicken Sie auf Config überprüfen, um jeden Überwachungsfehler zu überprüfen.

Informationen zu IPSec-Verschlüsselungsprofilen

  • Profilname: Geben Sie einen Profilnamen an.
  • MTU: Geben Sie die maximale IKE- oder IPsec-Paketgröße in Byte ein.
  • Keep Alive: Aktivieren Sie das Kontrollkästchen, um den Tunnel aktiv zu halten und die Routenberechtigung zu aktivieren.
  • IKE-Version: Wählen Sie eine IKE-Protokollversion aus der Dropdownliste aus.

    IPsec prof encrp info

IKE-Einstellungen

  • Modus: Wählen Sie entweder den Hauptmodus oder den aggressiven Modus aus der Dropdownliste für den IKE Phase 1-Verhandlungsmodus aus.
    • Main: Während der Verhandlung werden keine Informationen potenziellen Angreifern ausgesetzt, sind aber langsamer als der aggressive Modus.
    • Aggressiv: Einige Informationen (z. B. die Identität der Verhandlungskollegen) werden während der Verhandlung potenziellen Angreifern ausgesetzt, sind aber schneller als der Hauptmodus.
  • Authentifizierung: Wählen Sie den Authentifizierungstyp als Zertifikat oder vorab freigegebener Schlüssel aus dem Dropdown-Menü.
  • Identität: Wählen Sie die Identitätsmethode aus der Dropdownliste aus.
  • Peer-Identity: Wählen Sie die Peer-Identitätsmethode aus der Dropdownliste aus.
  • DH-Gruppe: Wählen Sie die Diffie-Hellman-Gruppe (DH) aus, die für die IKE-Schlüsselgenerierung verfügbar sind.
  • Hash-Algorithmus: Wählen Sie einen Hash-Algorithmus aus der Dropdownliste aus, um IKE-Nachrichten zu authentifizieren.
  • Verschlüsselungsmodus: Wählen Sie den Verschlüsselungsmodus für IKE-Nachrichten aus der Dropdownliste aus.
  • Lebensdauer (en): Geben Sie die bevorzugte Dauer (in Sekunden) für eine IKE-Sicherheitszuordnung ein.
  • Max. Lebensdauer (n): Geben Sie die maximale bevorzugte Dauer (in Sekunden) ein, damit eine IKE-Sicherheitszuordnung vorhanden sein kann.
  • DPD-Zeitüberschreitung (en): Geben Sie das Timeout für Dead Peer Detection (in Sekunden) für VPN-Verbindungen ein.

    Ike-Einstellungen

IPsec-Einstellungen

  • Tunneltyp: Wählen Sie ESP, ESP+Auth, ESP+NULL oder AH als Tunnelkapselungstyp aus der Dropdownliste.

    • ESP: Verschlüsselt nur die Benutzerdaten
    • ESP + Auth: Verschlüsselt die Benutzerdaten und enthält einen HMAC
    • ESP + NULL: Pakete werden authentifiziert, aber nicht verschlüsselt
    • AH: Enthält nur einen HMAC
  • PFS Group: Wählen Sie die Diffie-Hellman-Gruppe aus, um die Schlüsselgenerierung für die perfekte Vorwärtsgeheimnis-Schlüsselgenerierung aus dem Dropdown-Menü zu ermöglichen.
  • Verschlüsselungsmodus: Wählen Sie im Dropdown-Menü den Verschlüsselungsmodus für IPSec-Nachrichten.
  • Hash-Algorithmus: Die Hash-Algorithmen MD5, SHA1 und SHA-256 sind für die HMAC-Überprüfung verfügbar.
  • Netzwerkkonflikt: Wählen Sie im Dropdown-Menü eine Aktion aus, die ausgeführt werden soll, wenn ein Paket nicht mit den geschützten Netzwerken des IPsec-Tunnels übereinstimmt.
  • Lebensdauer (en): Geben Sie die Zeit (in Sekunden) ein, in der eine IPsec-Sicherheitszuordnung vorhanden ist.
  • Max. Lebensdauer (n): Geben Sie die maximale Zeit (in Sekunden) ein, um eine IPsec-Sicherheitszuordnung zu ermöglichen.
  • Lebensdauer (KB): Geben Sie die Datenmenge (in Kilobyte) für eine IPsec-Sicherheitszuordnung ein.
  • Maximale Lebensdauer (KB): Geben Sie die maximale Datenmenge (in Kilobyte) ein, um eine IPSec-Sicherheitszuordnung zu ermöglichen.

    IPsec-Einstellungen