Produktdokumentation
Citrix SD-WAN
Current Release 11.5 limited availability 11.3 11.2 11.1 11.0 10.2
PDF anzeigen

Internetzugriff

November 16, 2022
Beitrag von: 
C

Der Internetdienst wird für den Datenverkehr zwischen einer Endbenutzer-Website und Websites im öffentlichen Internet verwendet. Der Internetdienstverkehr ist nicht von SD-WAN gekapselt und verfügt nicht über die gleichen Fähigkeiten wie der Datenverkehr, der über den Virtual Path Service bereitgestellt wird. Es ist jedoch wichtig, diesen Datenverkehr auf dem SD-WAN zu klassifizieren und zu berücksichtigen. Datenverkehr, der als Internetdienst identifiziert wird, ermöglicht die zusätzliche Möglichkeit, dass SD-WAN die WAN-Verbindungsbandbreite aktiv verwalten kann, indem der Internetverkehr im Verhältnis zum Datenverkehr, der über den virtuellen Pfad und den Intranet-Verkehr gemäß der vom Administrator festgelegten Konfiguration geliefert wird, begrenzt wird. Zusätzlich zu den Funktionen zur Provisioning der Bandbreite bietet SD-WAN die zusätzliche Möglichkeit, den über den Internetdienst bereitgestellten Datenverkehr mit mehreren Internet-WAN-Verbindungen auszugleichen oder optional die Internet-WAN-Verbindungen in einer primären oder sekundären Konfiguration zu nutzen.

Die Steuerung des Internetverkehrs über den Internetdienst auf SD-WAN-Appliances kann in den folgenden Bereitstellungsmodi konfiguriert werden:

  • Direktes Internetbreakout in Branch mit integrierter Firewall

  • Direktes Internetbreakout bei Zweigweiterleitung an Secure Web Gateway

  • Backhaul Internet zum Rechenzentrum MCN

Informationen zum Konfigurieren eines Internetdienstes über den Citrix SD-WAN Orchestrator Service finden Sie unter Internetdienst.

Internet Service

Direktes Internetbreakout in Branch mit integrierter Firewall

Der Internetdienst kann in den verschiedenen Bereitstellungsmodi verwendet werden, die von Citrix SD-WAN unterstützt werden.

  • Inline-Bereitstellungsmodus (SD-WAN-Overlay)

Citrix SD-WAN kann als Overlay-Lösung in jedem Netzwerk bereitgestellt werden. Als Overlay-Lösung wird SD-WAN im Allgemeinen hinter vorhandenen Edge-Routern und/oder Firewalls eingesetzt. Wenn SD-WAN hinter einer Netzwerk-Firewall bereitgestellt wird, kann die Schnittstelle als vertrauenswürdig konfiguriert werden und der Internetverkehr kann als Internet-Gateway an die Firewall geliefert werden.

  • Edge- oder Gateway Modus

Citrix SD-WAN kann als Edge-Gerät bereitgestellt werden und ersetzt vorhandene Edge-Router- und/oder Firewall-Geräte. Die integrierte Firewall-Funktion ermöglicht es SD-WAN, das Netzwerk vor direkter Internetverbindung zu schützen. In diesem Modus wird die Schnittstelle, die mit der öffentlichen Internetverbindung verbunden ist, als nicht vertrauenswürdig konfiguriert, wodurch die Verschlüsselung aktiviert wird, und Firewall- und Dynamische NAT-Funktionen sind aktiviert, um das Netzwerk zu schützen.

Informationen zum Konfigurieren eines Internetdienstes über den Citrix SD-WAN Orchestrator Service finden Sie unter Internetdienst.

Integrierte Firewall

Direkter Internetzugang mit Secure Web Gateway

Um Datenverkehr zu sichern und Richtlinien durchzusetzen, verwenden Unternehmen häufig MPLS-Links, um Zweigdatenverkehr in das Unternehmens-Rechenzentrum zurückzuleiten. Das Rechenzentrum wendet Sicherheitsrichtlinien an, filtert den Datenverkehr durch Sicherheitsanwendungen, um Malware zu erkennen, und leitet den Datenverkehr über einen ISP weiter. Ein solches Backhauling über private MPLS-Verbindungen ist teuer. Dies führt auch zu einer erheblichen Latenz, was zu einer schlechten Benutzererfahrung am Zweigstellenstandort führt. Es besteht auch das Risiko, dass Benutzer Ihre Sicherheitskontrollen Bypass.

Eine Alternative zum Backhauling ist das Hinzufügen von Sicherheits-Appliances in der Filiale. Die Kosten und Komplexität steigen jedoch, wenn Sie mehrere Appliances installieren, um konsistente Richtlinien über die Standorte hinweg aufrechtzuerhalten. Am wichtigsten ist, dass das Kostenmanagement unpraktisch wird, wenn Sie viele Niederlassungen haben.

Eine Alternative besteht darin, die Sicherheit ohne zusätzliche Kosten, Komplexität oder Latenz durchzusetzen, darin, den gesamten Internetverkehr der Zweigstelle mit Citrix SD-WAN an den Secure Web Gateway Service weiterzuleiten. Ein Secure Web Gateway Service eines Drittanbieters ermöglicht die Erstellung detaillierter und zentraler Sicherheitsrichtlinien für alle verbundenen Netzwerke. Die Richtlinien werden konsistent angewendet, unabhängig davon, ob sich der Benutzer im Rechenzentrum oder an einem Zweigstandort befindet. Da Secure Web Gateway-Lösungen Cloud-basiert sind, müssen Sie dem Netzwerk keine teureren Sicherheitsgeräte hinzufügen.

Informationen zum Konfigurieren eines Internetdienstes über den Citrix SD-WAN Orchestrator Service finden Sie unter Internetdienst.

Secure Web Gateway Image

Citrix SD-WAN unterstützt die folgenden Secure Web Gateway-Lösungen von Drittanbietern:

Backhaul Internet

Die Citrix SD-WAN Lösung kann den Internetverkehr an den MCN-Standort oder andere Zweigstellenstandorte zurückleiten. Backhaul zeigt an, dass der für das Internet bestimmte Datenverkehr über eine andere vordefinierte Site zurückgesendet wird, die auf das Internet zugreifen kann. Dies ist nützlich für Netzwerke, die aufgrund von Sicherheitsbedenken oder der Topologie der Unterlagennetze keinen direkten Internetzugang zulassen. Ein Beispiel wäre ein Remotestandort, an dem keine externe Firewall vorhanden ist, bei dem die integrierte SD-WAN-Firewall die Sicherheitsanforderungen für diesen Standort nicht erfüllt. In einigen Umgebungen ist das Backhauling des gesamten Internetverkehrs von Remotesite durch die gehärtete DMZ im Rechenzentrum möglicherweise der beste Ansatz, um Benutzern in Remoteniederlassungen Internetzugang zu ermöglichen. Dieser Ansatz hat jedoch seine Einschränkungen, sich der folgenden und der unterlegten WAN-Links Größe entsprechend bewusst zu sein.

  • Die Backhaul des Internetverkehrs erhöht die Latenz der Internetverbindung und ist abhängig von der Entfernung des Zweigstandorts für das Rechenzentrum variabel.

  • Backhaul des Internetverkehrs verbraucht Bandbreite auf dem virtuellen Pfad und wird bei der Dimensionierung von WAN-Verbindungen berücksichtigt.

  • Die Backhaul des Internetverkehrs kann den Internet-WAN-Link im Rechenzentrum überzeichnen.

Backhaul DC MCN

Alle Citrix SD-WAN Geräte können bis zu acht verschiedene Internet-WAN-Verbindungen in einem einzigen Gerät beenden. Lizenzierte Durchsatzfunktionen für die aggregierten WAN-Verbindungen werden pro entsprechender Appliance im Citrix SD-WAN Datenblatt aufgeführt.

Hairpin-Modus

Mit der Bereitstellung von Haarnadeln können Sie die Verwendung einer Remote Hub-Website für den Internetzugang über Backhaul oder Hairpin implementieren, wenn lokale Internetdienste nicht verfügbar sind oder langsameren Datenverkehr verzeichnen. Sie können Routing mit hoher Bandbreite zwischen Clientstandorten anwenden, indem Sie Backhauling von bestimmten Standorten zulassen.

Der Zweck einer Hairpin-Bereitstellung von einem Nicht-WAN zu einem WAN-Weiterleitungsstandort besteht darin, einen effizienteren Bereitstellungsprozess und eine optimierte technische Implementierung bereitzustellen. Sie können bei Bedarf einen Remote-Hub-Standort für den Internetzugang verwenden und Flows über den virtuellen Pfad zum SD-WAN-Netzwerk leiten.

Hairpin-Modus

Betrachten Sie beispielsweise einen Administrator mit mehreren SD-WAN-Sites, A und B. Standort A verfügt über einen schlechten Internetdienst. Standort B verfügt über einen nutzbaren Internetdienst, mit dem Sie nur den Traffic von Standort A zu Standort B zurückholen möchten. Sie können versuchen, dies zu erreichen, ohne die Komplexität strategisch gewichteter Routenkosten und die Weitergabe an Sites, die den Datenverkehr nicht erhalten sollten.

Außerdem wird die Routingtabelle nicht für alle Standorte in einer Hairpin-Bereitstellung freigegeben. Wenn beispielsweise der Verkehr zwischen Standort A und Standort B über Standort C festgeklemmt wird, ist nur Standort C die Routen von Standort A und B bekannt. Standort A und Standort B teilen sich im Gegensatz zur WAN-zu-WAN-Weiterleitung nicht die Routentabelle des anderen.

Wenn der Verkehr zwischen Standort A und Standort B durch Standort C Hairpin erfolgt, müssen die statischen Routen in Standort A und Standort B hinzugefügt werden, was darauf hinweist, dass der nächste Hop für beide Standorte der Zwischenstandort C ist.

WAN-to-WAN-Weiterleitung und Hairpin-Bereitstellung weisen bestimmte Unterschiede auf, nämlich:

  1. Dynamische virtuelle Pfade sind nicht konfiguriert. Immer sieht der Zwischenstandort den gesamten Verkehr zwischen den beiden Standorten.

  2. Nimmt nicht an WAN-zu-WAN-Weiterleitungsgruppen teil.

    WAN-to-WAN-Weiterleitung und Hairpin-Bereitstellung schließen sich gegenseitig aus. Nur einer von ihnen kann zu einem bestimmten Zeitpunkt konfiguriert werden.

    Citrix SD-WAN SE- und VPX-Appliances (virtuell) unterstützen die Hairpin-Bereitstellung. Sie können jetzt eine 0.0.0.0/0 Route zum Hairpin-Verkehr zwischen zwei Standorten konfigurieren, ohne zusätzliche Standorte zu beeinträchtigen. Wenn Hairpinning für den Intranet-Verkehr verwendet wird, werden bestimmte Intranet-Routen zur Client-Site hinzugefügt, um den Intranet-Verkehr über den virtuellen Pfad zur Hairpin-Site weiterzuleiten. Die Aktivierung der WAN-zu-WAN-Weiterleitung zur Erreichung der Hairpin-Funktionalität ist nicht mehr erforderlich.

Internetzugriff
November 16, 2022
Beitrag von: 
C
November 16, 2022
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.