Citrix SD-WAN

Zscaler Integration mit GRE-Tunneln und IPsec-Tunneln

Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitskontrollen in mehr als 100 Rechenzentren auf der ganzen Welt. Indem Sie Ihren Internetverkehr einfach nach Zscaler umleiten, können Sie Ihre Geschäfte, Filialen und Remote-Standorte sofort sichern. Zscaler verbindet Benutzer und das Internet und überprüft jedes Byte des Datenverkehrs, auch wenn es verschlüsselt oder komprimiert ist.

Citrix SD-WAN Appliances können über GRE-Tunnel am Standort des Kunden eine Verbindung zu einem Zscaler-Cloud-Netzwerk herstellen. Eine Zscaler-Bereitstellung mit SD-WAN-Appliances unterstützt die folgenden Funktionen:

  • Weiterleiten des gesamten GRE-Datenverkehrs an Zscaler, wodurch ein direkter Internet-Breakout möglich ist.
  • Direkter Internetzugang (DIA) mit Zscaler pro Kundenstandort.
    • Auf einigen Sites sollten Sie DIA mit lokalen Sicherheitsgeräten bereitstellen und Zscaler nicht verwenden.
    • Auf einigen Sites können Sie den Datenverkehr einer anderen Kundenseite für den Internetzugang zurückholen.
  • Virtuelle Routing- und Weiterleitungsbereitstellungen.
  • Ein WAN-Link als Teil von Internetdiensten.

Zscaler ist ein Cloud-Dienst. Sie müssen es als Service einrichten und die zugrunde liegenden WAN-Links definieren:

  • Konfigurieren Sie einen Internetdienst im Rechenzentrum und Zweig über GRE.
  • Konfigurieren Sie einen vertrauenswürdigen öffentlichen Internetlink im Rechenzentrum und den Zweigstellen.

Topologie

lokalisiertes Bild

lokalisiertes Bild

So verwenden Sie den GRE Tunnel oder den IPSec-Tunnel Traffic-Weiterleitung:

  1. Melden Sie sich im Zscaler-Hilfe-Portal unter: anhttps://help.zscaler.com/submit-ticket.

  2. Erhöhen Sie ein Ticket und geben Sie die statische öffentliche IP-Adresse an, die als GRE-Tunnel oder IPSec-Tunnelquelladresse verwendet wird.

Zscaler verwendet die Quell-IP-Adresse, um die Kunden-IP-Adresse zu identifizieren. Die Quell-IP muss eine statische öffentliche IP sein. Zscaler reagiert mit zwei ZEN-IP-Adressen (primäre und sekundäre), um Datenverkehr zu übertragen. GRE Keep alive Nachrichten können verwendet werden, um den Zustand der Tunnel zu bestimmen.

Zscaler verwendet den Wert der Quell-IP-Adresse, um die IP-Adresse des Kunden zu identifizieren. Dieser Wert muss eine statische öffentliche IP-Adresse sein. Zscaler antwortet mit zwei ZEN-IP-Adressen [DR1,] auf die der Datenverkehr umgeleitet werden soll. GRE Keep-Alive-Nachrichten können verwendet werden, um den Zustand der Tunnel zu bestimmen.

Beispiel-IP-Adressen

Primär

IP-Adresse des internen Routers: 172.17.6.241/30 Interne ZEN IP-Adresse: 172.17.6.242/30

Secondary

IP-Adresse des internen Routers: 172.17.6.245/30 Interne ZEN IP-Adresse: 172.17.6.246/30

Konfigurieren eines Internetdienstes

So konfigurieren Sie einen Internetdienst:

  1. Navigieren Sie zu Verbindungen - Internetdienste. Konfigurieren Sie den Internetdienst.

lokalisiertes Bild

lokalisiertes Bild

lokalisiertes Bild

GRE Tunnel konfigurieren

  1. Die Quell-IP-Adresse ist die Tunnelquellen-IP-Adresse. Wenn die Tunnelquellen-IP-Adresse nATted ist, ist die Public Source IP-Adresse die öffentliche Tunnelquellen-IP-Adresse, auch wenn sie auf einem anderen Zwischengerät NATed ist.

  2. Ziel-IP-Adresse ist die ZEN-IP-Adresse, die Zscaler zur Verfügung stellt.

  3. Die Quell-IP-Adresse und die Ziel-IP-Adresse sind die GRE-Header des Routers, wenn die ursprüngliche Nutzlast gekapselt ist.

  4. Tunnel-IP-Adresse und -Präfix sind die IP-Adressierung im GRE-Tunnel selbst. Dies ist nützlich für das Routing von Datenverkehr über den GRE-Tunnel. Der Trafic benötigt diese IP-Adresse als Gateway Adresse.

lokalisiertes Bild

So konfigurieren Sie den GRE Tunnel:

  1. Navigieren Sie im Konfigurationseditor zu Verbindungen > Standort > GRE Tunnel, und konfigurieren Sie Routen, um Internetpräfixdienste an die Zscaler GRE Tunnel weiterzuleiten.

Die Quell-IP-Adresse kann nur auf vertrauenswürdigen Links aus der virtuellen Netzwerkschnittstelle ausgewählt werden. Siehe, So konfigurieren Sie GRE Tunnel.

lokalisiertes Bild

Konfigurieren von Routen für GRE-Tunnel

Konfigurieren Sie Routen, um Internetpräfixdienste an die Zscaler GRE Tunnel weiterzuleiten.

  • Die ZEN-IP-Adresse (Tunnelziel-IP, dargestellt als 104.129.194.38 in der obigen Abbildung) muss auf Dienstart Internet gesetzt werden. Dies ist erforderlich, damit der für Zscaler bestimmte Verkehr vom Internetdienst erfasst wird.
  • Der gesamte Verkehr, der nach Zscaler bestimmt ist, muss mit der Standardroute 0/0 übereinstimmen und über den GRE-Tunnel übertragen werden. Stellen Sie sicher, dass die 0/0-Route, die für [DR1] der GRE-Tunnel verwendet wird, geringere Kosten als Passthrough oder andere Service-Typen aufweist.
  • Ebenso muss der Backup GRE Tunnel zu Zscaler höhere Kosten haben als die des primären GRE Tunnels.
  • Stellen Sie sicher, dass nicht-rekursive Routen für die ZEN-IP-Adresse vorhanden sind.

So konfigurieren Sie Routen für den GRE Tunnel:

  1. Navigieren Sie zu Verbindungen > Standort > Routen, und folgen Sie den Anweisungen, die unter Routen konfigurieren beschrieben werden, um Anweisungen zum Erstellen von Routen zu erhalten.

lokalisiertes Bild

Hinweis:

Wenn Sie keine spezifischen Routen für die Zscaler-IP-Adresse haben, konfigurieren Sie das Routenpräfix 0.0.0.0/0 so, dass es der ZEN-IP-Adresse entspricht, und leiten Sie es durch eine GRE-Tunnelkapselschleife. Diese Konfiguration verwendet die Tunnel in einem Aktiv-Backup-Modus. Mit den in der obigen Abbildung dargestellten Werten wechselt der Datenverkehr automatisch in den Tunnel mit Gateway-IP-Adresse 172.17.6.242. Konfigurieren Sie ggf. eine Backhaul-Route für virtuelle Pfade. Andernfalls setzen Sie das Keep-Alive-Intervall des Backup-Tunnels auf Null. Dies ermöglicht einen sicheren Internetzugang zu einem Standort, auch wenn beide Tunnel zum Zscaler ausfallen.

GRE Keep-Alive-Nachrichten werden unterstützt. Ein neues Feld namens Public Source IP, das die NAT-Adresse der GRE-Quelladresse bereitstellt, wird der Citrix SD-WAN GUI-Schnittstelle hinzugefügt (wenn die SD-WAN-Appliance Tunnelquelle von einem Zwischengerät als NATted bezeichnet wird). Die Citrix SD-WAN GUI enthält ein Feld mit der Bezeichnung Public Source IP, das die NAT-Adresse der GRE-Quelladresse bereitstellt, wenn die Tunnelquelle der Citrix SD-WAN Appliance von einem Zwischengerät NATTed ist.

Einschränkungen

  • Mehrere VRF-Bereitstellungen werden nicht unterstützt.
  • Primäre GRE-Tunnel für die Sicherung werden nur für einen Hochverfügbarkeits-Entwurfsmodus unterstützt.

Konfigurieren von IPSec-Tunnels

lokalisiertes Bild

So konfigurieren Sie IPSec-Tunnel für Intranet- oder LAN-Dienste in der Benutzeroberfläche der Citrix SD-WAN Appliance:

  1. Navigieren Sie im Konfigurationseditor zu Verbindungen > <Sitename> > IPSec-Tunnel, und wählen Sie einen Diensttyp (LAN oder Intranet).

  2. Geben Sie einen Namen für die Servicetyp ein. Für den Intranetdiensttyp bestimmt der konfigurierte Intranetserver, welche lokalen IP-Adressen verfügbar sind.

  3. Wählen Sie die verfügbare lokale IP-Adresse aus, und geben Sie die Peer-IP-Adresse für den virtuellen Pfad zum Remote-Peer ein.

lokalisiertes Bild

lokalisiertes Bild

  1. Wählen Sie IKEv1 für IKE-Einstellungen. Zscaler unterstützt nur IKEv1.

lokalisiertes Bild

  1. Wählen Sie unter IPSec-Einstellungen ESP-NULL für Tunneltyp aus, um den Datenverkehr über den IPSec-Tunnel an Zscaler umzuleiten. Der IPSec-Tunnel verschlüsselt den Datenverkehr nicht.

lokalisiertes Bild

  1. Da der Internetverkehr umgeleitet wird, kann die Ziel-IP/-Präfix eine beliebige IP-Adresse sein.

lokalisiertes Bild

Weitere Informationen zum Konfigurieren von IPSec-Tunnels mithilfe der Citrix SD-WAN Weboberfläche finden Sie unter IPSec-Tunnel.

Konfigurieren von Routen für IPSec-Tunnel

So konfigurieren Sie IPSec-Routen:

  1. Navigieren Sie zu Verbindungen > DC > Routen, und folgen Sie den Anweisungen, die unter Routen konfigurieren beschrieben werden, um Anweisungen zum Erstellen von Routen zu erhalten.

lokalisiertes Bild

So überwachen Sie GRE- und IPSec-Tunnelstatistiken:

Navigieren Sie in der SD-WAN-Weboberfläche zu Überwachung > Statistik > [GRE Tunnel IPSec-Tunnel].

Weitere Informationen finden Sie unter; Überwachen von IPsec-Tunneln und GRE-Tunneln.

Zscaler Integration mit GRE-Tunneln und IPsec-Tunneln