Citrix SD-WAN

Integration von Citrix SD-WAN und iboss Cloud

Citrix SD-WAN unterstützt Unternehmen bei der Migration in die Cloud, indem lokale Zweigstellen-zu-Internet-Ausbrüche sicher aktiviert werden, die den Internetzugriff direkt aus der Zweigstelle zulassen oder verweigern können. Citrix SD-WAN identifiziert Anwendungen durch eine Kombination aus einer integrierten Datenbank mit über 4.500 Anwendungen, einschließlich einzelner SaaS-Anwendungen, und nutzt Deep-Paketinspektionstechnologie zur Echtzeiterkennung und Klassifizierung von Anwendungen. Sie nutzt dieses Anwendungswissen, um den Datenverkehr von der Zweigstelle in das Internet, die Cloud oder SaaS intelligent zu steuern.

Die iboss Cloud sichert den Internetzugriff auf jedem Gerät, von jedem Standort aus in der Cloud. iboss bietet In-the-cloud-Sicherheit für Zweigstellen, in denen Internetverkehr von privaten Büroverbindungen über Internetausbrüche abgeladen wird. Benutzer erhalten erstklassigen Internet-Schutz, einschließlich Compliance, Webfilterung, SSL-Inspektion, datei- und strombasierte Sicherheit, Malware-Schutz und Schutz vor Datenverlust. Der Datenverkehr wird in der Cloud gesichert, mit zentralisierten Sicherheitsrichtlinien über alle Zweigstellen hinweg und sofortige Skalierung mit zunehmender Bandbreite.

Die Kombination von Citrix SD-WAN und der iboss Cloud ermöglicht Unternehmen, ihr WAN sicher zu transformieren. Die gesamte Lösungsarchitektur ist in der folgenden Abbildung dargestellt.

iboss-Architektur

iboss-Konfiguration

Anmelden

Die iboss-Konfiguration wird über die Benutzeroberfläche des iboss Dashboards bereitgestellt.

Um sich an der Verwaltungsoberfläche anzumelden, navigieren Sie über einen Internetbrowser zu www.ibosscloud.com.

iboss-Anmeldung

Klicken Sie auf Anmelden bei der iboss-Plattform und geben Sie Ihre Zugangsdaten ein

iboss Anmeldeinformationen

Netzwerk-Subnetze

Viele Kunden erstellen Richtlinien für SD-WAN-Bereitstellungen basierend auf Zweignetzwerksubnetzen. Es wird empfohlen, für jeden privaten Bereich, der in Ihrem Netzwerk verwendet wird, ein Rahmensubnetz hinzuzufügen (z. B. 10.0.0.0/255.0.0.0) und dann nach Bedarf spezifischere Subnetze zu erstellen. Um ein Netzwerk-Subnetz zu erstellen, wählen Sie auf der Startseite dieKachelNetzwerk aus.

iboss-Startseite

Navigieren Sie zu Lokale Subnetze > + Neuer lokaler Subnetz/IP-Bereich.

Lokales Subnetz

Geben Sie Werte für die erforderlichen Felder ein oder wählen Sie sie aus, und klicken Sie auf Speichern

Lokale Subnetzwerte

Tunnel

Nachdem die Netzwerksubnetze bereitgestellt wurden, können entweder GRE- oder IPSec-Tunnel verwendet werden, um die Zweigstelle bei Bedarf mit der iboss Cloud zu verbinden. Die folgenden Schritte zeigen, wie ein einzelner Tunnel zu einem einzelnen iboss SWG-Knoten konfiguriert wird. Die Schritte können repliziert werden, um mehrere Tunnel von einer einzelnen Zweigeinheit oder auf mehrere ibossGateway Knoten bereitzustellen.

GRE- oder IPSec-Tunnel von einer Citrix SD-WAN Appliance werden auf der öffentlichen IP-Adresse eines ibossGateway Knotens beendet. Um die öffentliche IP-Adresse eines ibossGateway Knotens zu identifizieren, kehren Sie zur Startseite zurück, und klicken Sie auf Node Collection Management.

Verwaltungsoption für die Knotensammlung

Auf derRegisterkarteAlle Knoten ist die öffentliche IP-Adresse für einen Gateway knoten die externe IP-Adresse für den Tunnel. Im Beispiel unten wäre die externe IP eines Tunnels auf der iboss Seite 104.225.163.25.

Verwaltung der Knotensammlung

GRE

Um einen GRE-Tunnel von einem bestimmten Standort aus hinzuzufügen, kehren Sie zur Startseite zurück und klicken Sie auf Geräte mit iboss Cloud verbinden.

GRE-Option

Klicken Sie auf Tunnel und wählen Sie GRE Tunnels.

GRE Tunnel

Klicken Sie auf +GRE Tunnel hinzufügen, und geben Sie die erforderlichen Informationen ein.

GRE Tunnel hinzufügen

Die inneren Tunnelsubnetze sollten für jeden Tunnel eindeutig sein (z. B. 169.254.1.0/30, 169.254.1.4/30 usw.). Eindeutige iboss-Knoten sollten für überlappende Subnetze zwischen mehreren Standorten verwendet werden. Wenn beispielsweise Standort ‘A’ und Standort ‘B’ das Subnetz 192.168.1.0/24 verwenden, sollte die GRE-Tunnelkonfiguration für jede dieser Standorte auf verschiedenen iboss-Knoten durchgeführt werden.

Klicken Sie auf Speichern. Die Tunnelinformationen werden als Zusammenfassung dargestellt. Sie können es bei Bedarf bearbeiten.

GRE Tunnel Zusammenfassung

IPsec

Um einen IPSec-Tunnel von einem bestimmten Standort aus hinzuzufügen, kehren Sie zur Startseite zurück und klicken Sie auf Geräte mit iboss Cloud verbinden.

IPSec-Option

Klicken Sie auf Tunnel, und wählen Sie IPSec-Tunnel aus.

IPSec-Tunnel auswählen

Wenn Sie Tunnel von einer Citrix SD-WAN Appliance verbinden, empfehlen wir die folgenden IPSec-Einstellungen, die in allen Tunneln üblich sind:

  • IKE Lebensdauer (Minuten): 60
  • Schlüssellebensdauer (Minuten): 20
  • Rekey Margin (Minuten): 3
  • Neuschlüssel-Versuche: 1

Alle anderen Einstellungen (z. B. IPSec-Tunnelgeheimnis usw.) können bereitstellungsspezifisch sein.

IPSec-Tunnel

Klicken Sie auf + IPsec-Tunnel hinzufügen, um Tunnel nach Bedarf zu erstellen.

IPSec-Tunnel hinzufügen

Geben Sie die erforderlichen Informationen ein. Für einen IPSec-Tunnel von der Citrix SD-WAN Appliance empfehlen wir die folgenden IPsec-Einstellungen für jeden Tunnel:

  • Modus: Haupt
  • IPSec-Tunneltyp: Standort-zu-Cloud
  • IKE-Richtlinientyp: IKE Version 2
  • IKE-Verschlüsselungstyp: AES256
  • Integritätstyp: SHA256
  • Diffie-Hellman MODP Typ: MODP 1024
  • ESP-Verschlüsselungstyp: AES256

Alle anderen Einstellungen (z. B. Remote IPSec-Tunnel außerhalb der IP usw.) können bereitstellungsspezifisch sein. Die inneren Tunnelsubnetze sollten für jeden Tunnel eindeutig sein (z. B. 169.254.1.0/30, 169.254.1.4/30 usw.). Eindeutige iboss-Knoten sollten für überlappende Subnetze zwischen mehreren Standorten verwendet werden. Wenn beispielsweise Standort ‘A’ und Standort ‘B’ beide das Subnetz 192.168.1.0/24 verwenden, sollte die Tunnelkonfiguration für jede dieser Standorte auf verschiedenen iboss-Knoten durchgeführt werden.

Klicken Sie auf Speichern. Die Tunnelinformationen werden als Zusammenfassung dargestellt.

IPsec-Zusammenfassung

Sie können alle Konfigurationsparameter des Tunnels bearbeiten, außer Remote IPSec-Tunnel Outside IP.

IPsec-Einstellungen

Citrix SD-WAN Konfiguration

Das Citrix SD-WAN-Netzwerk wird über den Citrix Cloud-basierten Verwaltungsdienst Citrix SD-WAN Orchestrator verwaltet. Wenn Sie noch kein Konto haben, finden Sie weitere Informationen unter Citrix SD-WAN Orchestrator Onboarding.

Nach erfolgreichem Abschluss des Onboarding-Prozesses können Sie auf SD-WAN Orchestrator zugreifen.

SD-WAN Orchestrator

Stellen Sie sicher, dass der Citrix SD-WAN ite bereits konfiguriert und mit den Zweigstellen und Netzwerken verbunden ist. Weitere Informationen zur Konfiguration finden Sie unter Netzwerkkonfiguration.

Bereitstellungsdienste

Mit den Bereitstellungsdiensten können Sie Bereitstellungsdienste wie Internet, Intranet, IPSec und GRE konfigurieren. Die Delivery Services werden global definiert und auf WAN-Verbindungen an einzelnen Standorten angewendet.

Option "Lieferservice"

iboss cloud kann über Citrix SD-WAN entweder über GRE- oder IPSec-Dienste verbunden werden. Bitte verwenden Sie die von iboss empfohlenen Einstellungen im vorherigen Abschnitt.

Option "Lieferservice"

GRE Service

Sie können SD-WAN-Appliances zum Beenden von GRE-Tunneln konfigurieren. Konfigurieren Sie die folgenden Einstellungen.

GRE Details:

  • Name: Der Name des GRE-Dienstes.
  • Routingdomäne: Die Routingdomäne für den GRE-Tunnel.
  • Firewallzone: Die Firewallzone, die für den Tunnel ausgewählt wurde. Standardmäßig wird der Tunnel in der Default_LAN_Zone platziert.
  • Keep alive: Der Zeitraum zwischen dem Senden von Keep Alive Nachrichten. Bei der Konfiguration auf 0 werden keine Keep Alive-Pakete gesendet, der Tunnel bleibt jedoch weiter oben.
  • Keep alive Wiederholungen: Gibt an, wie oft die Citrix SD-WAN Appliance Keep-Alive-Pakete ohne Antwort sendet, bevor der Tunnel heruntergefahren wird.
  • Prüfsumme: Aktivieren oder deaktivieren Sie die Prüfsumme für den GRE-Header des Tunnels.

Site-Bindungen:

  • Standortname: Der Standort, auf dem der GRE-Tunnel zugeordnet werden soll.
  • Quell-IP: Die Quell-IP-Adresse des Tunnels. Dies ist eine der virtuellen Schnittstellen, die an diesem Standort konfiguriert wurden. Die ausgewählte Routingdomäne bestimmt die verfügbaren Quell-IP-Adressen.
  • Öffentliche Quell-IP: Die Quell-IP, wenn der Tunnelverkehr über NAT geht.
  • Ziel-IP: Die Ziel-IP-Adresse des Tunnels.
  • Tunnel IP/Präfix: Die IP-Adresse und das Präfix des GRE Tunnels.
  • Tunnelgateway-IP: Die nächste Hop-IP-Adresse, die den Tunnelverkehr weiterleitet.
  • LAN Gateway IP: Die nächste Hop-IP-Adresse zum Weiterleiten des LAN-Datenverkehrs.

GRE Service

IPsec-Dienst

Citrix SD-WAN-Appliances können feste IPsec-Tunnel mit Peers von Drittanbietern auf LAN- oder WAN-Seite aushandeln. Sie können die Tunnelendpunkte definieren und Sites den Tunnelendpunkten zuordnen.

Sie können auch ein IPsec-Sicherheitsprofil auswählen und anwenden, das das Sicherheitsprotokoll und die IPsec-Einstellungen definiert.

Um IPSec-Verschlüsselungsprofil hinzuzufügen, navigieren Sie zu Konfiguration > Delivery Services > wählen Sie dieRegisterkarteIPSec-Verschlüsselungsprofile.

IPsec-Profile werden beim Konfigurieren von IPsec-Diensten als Bereitstellungsdienstsätze verwendet. Geben Sie auf der Seite IPSec-Sicherheitsprofil die erforderlichen Werte für das IPSec-Verschlüsselungsprofil, die IKE-Einstellungenund die IPSec-Einstellungen ein.

IPSec-Verschlüsselungsprofilinformationen:

  • Profilname: Der Name des Profils.
  • MTU: Die maximale IKE- oder IPsec-Paketgröße in Byte.
  • Keep Alive: Halten Sie den Tunnel aktiv und aktivieren Sie die Routenberechtigung.
  • IKE-Version: Die IKE-Protokollversion.

IKE-Einstellungen:

  • Modus: Wählen Sie entweder Hauptmodus oder Aggressiver Modus für den IKE-Phase-1-Aushandlungsmodus.
    • Haupt: Keine Informationen werden potenziellen Angreifern während der Verhandlung ausgesetzt, sind aber langsamer als der aggressive Modus.
    • Aggressiv: Einige Informationen (z. B. die Identität der Verhandlungskollegen) werden potenziellen Angreifern während der Verhandlung ausgesetzt, sind aber schneller als der Hauptmodus.
  • Authentifizierung: Der Authentifizierungstyp, das Zertifikat oder der vorab freigegebene Schlüssel.
  • Identität: Die Identitätsmethode.
  • Peer-Identity: Die Peer-Identitätsmethode.
  • DH-Gruppe: Die Diffie-Hellman (DH) -Gruppe, die für die IKE-Schlüsselgenerierung verfügbar sind.
  • Hash-Algorithmus: Der Hash-Algorithmus zum Authentifizieren von IKE-Nachrichten.
  • Verschlüsselungsmodus: Der Verschlüsselungsmodus für IKE-Nachrichten.
  • Lebensdauer (en): Die bevorzugte Dauer (in Sekunden) für eine IKE-Sicherheitszuordnung.
  • Lebensdauer (s) Max.: Die maximale bevorzugte Dauer (in Sekunden), um eine IKE-Sicherheitszuordnung zu ermöglichen.
  • DPD-Zeitüberschreitung (en): Das Timeout für die Tote Peer-Erkennung (in Sekunden) für VPN-Verbindungen.

IPSec-Einstellungen:

  • Tunneltyp: Der Tunnelverkapselungstyp.
    • ESP: Verschlüsselt nur die Benutzerdaten.
    • ESP+Auth: Verschlüsselt die Benutzerdaten und enthält einen HMAC.
    • ESP+NULL: Pakete werden authentifiziert, aber nicht verschlüsselt.
    • AH: Enthält nur einen HMAC.
  • PFS Group: Die Diffie—Hellman-Gruppe zur perfekten Vorwärtsgeheimnis-Schlüsselgenerierung.
  • Verschlüsselungsmodus: Der Verschlüsselungsmodus für IPSec-Nachrichten aus dem Dropdownmenü.
  • Hash-Algorithmus: Die Hash-Algorithmen MD5, SHA1 und SHA-256 sind für die HMAC-Überprüfung verfügbar.
  • Netzwerkfehler: Die Aktion, die ausgeführt werden soll, wenn ein Paket nicht mit den geschützten Netzwerken des IPSec-Tunnels übereinstimmt.
  • Lebensdauer (en): Die Zeit (in Sekunden), die eine IPSec-Sicherheitszuordnung vorhanden sein soll.
  • Lebensdauer (s) Max.: Die maximale Zeit (in Sekunden), die eine IPSec-Sicherheitszuordnung zulässt.
  • Lebensdauer (KB): Die Datenmenge (in Kilobyte) für eine IPSec-Sicherheitszuordnung vorhanden ist.
  • Lebensdauer (KB) Max: Die maximale Datenmenge (in Kilobyte), um eine IPSec-Sicherheitszuordnung zu ermöglichen.

IPsec-Dienst

So konfigurieren Sie den IPsec-Tunnel:

  1. Geben Sie die Service-Details an:
  • Dienstname: Der Name des IPSec-Dienstes.
  • Diensttyp: Der Dienst, den der IPSec-Tunnel verwendet.
  • Routingdomäne: Wählen Sie für IPSec-Tunnel über LAN eine Routingdomäne aus. Wenn der IPsec-Tunnel einen Intranetdienst verwendet, bestimmt der Intranetdienst die Routingdomäne.
  • Firewallzone: Die Firewallzone für den Tunnel. Standardmäßig wird der Tunnel in der Default_LAN_Zone platziert.
  1. Fügen Sie den Tunnelendpunkt hinzu.
  • Name: Wenn Diensttyp Intranet ist, wählen Sie einen Intranetdienst aus, den der Tunnel schützt. Andernfalls geben Sie einen Namen für den Dienst ein.
  • Peer-IP: Die IP-Adresse des Remote-Peers.
  • IPSec-Profil: IPSec-Sicherheitsprofil, das das Sicherheitsprotokoll und die IPSec-Einstellungen definiert.
  • Vorgeteilter Schlüssel: Der vorab freigegebene Schlüssel, der für die IKE-Authentifizierung verwendet wird.
  • Peer Pre Shared Key: Der vorinstallierte Schlüssel, der für die IKEv2-Authentifizierung verwendet wird.
  • Identitätsdaten: Die Daten, die bei Verwendung der manuellen Identität oder des FQDN-Typs des Benutzers als lokale Identität verwendet werden sollen.
  • Peer-Identitätsdaten: Die Daten, die als Peer-Identität verwendet werden, wenn manuelle Identität oder Benutzer-FQDN-Typ verwendet wird.
  • Zertifikat: Wenn Sie Zertifikat als IKE-Authentifizierung wählen, wählen Sie aus den konfigurierten Zertifikaten.
  1. Ordnen Sie Sites den Tunnelendpunkten zu.
  • Wählen Sie Endpunkt: Der Endpunkt, der einem Standort zugeordnet werden soll.
  • Standortname: Der Standort, der dem Endpunkt zugeordnet werden soll.
  • Name der virtuellen Schnittstelle: Die virtuelle Schnittstelle am Standort, die als Endpunkt verwendet werden soll.
  • Lokale IP: Die lokale virtuelle IP-Adresse, die als lokaler Tunnelendpunkt verwendet werden soll.
  1. Erstellen Sie das geschützte Netzwerk.
  • Quellnetzwerk-IP/Präfix: Die Quell-IP-Adresse und das Präfix des Netzwerkverkehrs, den der IPSec-Tunnel schützt.
  • Zielnetzwerk-IP/Präfix: Die Ziel-IP-Adresse und das Präfix des Netzwerkverkehrs, den der IPSec-Tunnel schützt.
  1. Stellen Sie sicher, dass die IPsec-Konfigurationen auf der Peer-Appliance gespiegelt werden.

IPSec-Tunnel

IPsec bietet sichere Tunnel. Citrix SD-WAN unterstützt virtuelle IPSec-Pfade, sodass Geräte von Drittanbietern IPsec-VPN-Tunnel auf der LAN- oder WAN-Seite einer Citrix SD-WAN Appliance beenden können. Sie können IPsec-Tunnel, die auf einer SD-WAN-Appliance beendet werden, mithilfe einer 140-2 Level 1 FIPS-zertifizierten IPsec-Kryptografie-Binärdatei sichern.

Citrix SD-WAN unterstützt auch das robuste IPsec-Tunneling mithilfe eines differenzierten virtuellen Pfadtunneling-Mechanismus.

Überwachung von GRE- und IPSEC-Tunneln

GRE Tunnel

Sie können einen Tunnelmechanismus verwenden, um Pakete eines Protokolls innerhalb eines anderen Protokolls zu transportieren. Das Protokoll, das das andere Protokoll trägt, wird als Transportprotokoll bezeichnet, und das mitgeführte Protokoll wird als Passagierprotokoll bezeichnet. Generic Routing Encapsulation (GRE) ist ein Tunnelmechanismus, der IP als Transportprotokoll verwendet und viele verschiedene Passagierprotokolle tragen kann.

Die Tunnelquelladresse und die Zieladresse werden verwendet, um die beiden Endpunkte der virtuellen Punkt-zu-Punkt-Verbindungen im Tunnel zu identifizieren.

Um GRE Tunnel Statistiken anzuzeigen, navigieren Sie zu Berichte > Statistiken > GRE Tunnel. Sie können die folgenden Metriken anzeigen:

  • Site-Name: Der Site-Name.
  • Tx-Bandbreite: Bandbreite übertragen.
  • Rx-Bandbreite: empfangene Bandbreite.
  • Paket verworfen: Anzahl der Pakete, die aufgrund von Netzwerküberlastung verworfen wurden.
  • Pakete Fragmentiert: Anzahl der Pakete fragmentiert. Pakete werden fragmentiert, um kleinere Pakete zu erstellen, die eine Verbindung mit einer MTU passieren können, die kleiner als das ursprüngliche Datagramm ist. Die Fragmente werden vom empfangenden Host wieder zusammengesetzt.
  • Erweitern/Reduzieren: Sie können die Daten nach Bedarf erweitern oder reduzieren.

Überwachung von GRE

IPSec-Tunnel

IP-Sicherheitsprotokolle (IPSec) bieten Sicherheitsdienste wie Verschlüsselung sensibler Daten, Authentifizierung, Schutz vor Wiederholung und Datenvertraulichkeit für IP-Pakete. Encapsulating Security Payload (ESP) und Authentication Header (AH) sind die beiden IPSec-Sicherheitsprotokolle, die zur Bereitstellung dieser Sicherheitsdienste verwendet werden.

Im IPSec-Tunnelmodus ist das gesamte ursprüngliche IP-Paket durch IPSec geschützt. Das ursprüngliche IP-Paket wird umhüllt und verschlüsselt, und ein neuer IP-Header wird hinzugefügt, bevor das Paket über den VPN-Tunnel übertragen wird.

Um IPSec-Tunnel-Statistiken anzuzeigen, navigieren Sie zu Berichterstattung > Statistiken > IPSec-Tunnel.

Sie können die folgenden Metriken anzeigen:

  • Tunnelname: Der Tunnelname.
  • Tunnelstatus: IPSec-Tunnelstatus.
  • MTU: Maximale Übertragungseinheit — Größe des größten IP-Datagramms, das über einen bestimmten Link übertragen werden kann.
  • Empfangenes Paket: Anzahl der empfangenen Pakete.
  • Gesendete Pakete: Anzahl der gesendeten Pakete.
  • Paket verworfen: Anzahl der Pakete, die aufgrund von Netzwerküberlastung verworfen wurden.
  • Bytes verworfen: Anzahl der verworfenen Bytes.
  • Erweitern/Reduzieren: Sie können die Daten nach Bedarf erweitern oder reduzieren.

Überwachung von IPsec

Integration von Citrix SD-WAN und iboss Cloud