Citrix SD-WAN

Zscaler Integration mit GRE-Tunneln und IPsec-Tunneln

Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitskontrollen in mehr als 100 Rechenzentren auf der ganzen Welt. Indem Sie Ihren Internetverkehr einfach nach Zscaler umleiten, können Sie Ihre Geschäfte, Filialen und Remote-Standorte sofort sichern. Zscaler verbindet Benutzer und das Internet und überprüft jedes Byte des Datenverkehrs, auch wenn es verschlüsselt oder komprimiert ist.

Citrix SD-WAN Appliances können über GRE-Tunnel am Standort des Kunden eine Verbindung zu einem Zscaler-Cloud-Netzwerk herstellen. Eine Zscaler-Bereitstellung mit SD-WAN-Appliances unterstützt die folgenden Funktionen:

  • Weiterleiten des gesamten GRE-Datenverkehrs an Zscaler, wodurch ein direkter Internetausbruch möglich ist.
  • Direkter Internetzugang (DIA) mit Zscaler pro Kundenstandort.
    • Auf einigen Sites sollten Sie DIA mit lokalen Sicherheitsgeräten bereitstellen und Zscaler nicht verwenden.
    • Auf einigen Websites können Sie den Datenverkehr einer anderen Kundenseite für den Internetzugang zurückholen.
  • Virtuelle Routing- und Weiterleitungsbereitstellungen.
  • Ein WAN-Link als Teil von Internetdiensten.

Zscaler ist ein Cloud-Dienst. Sie müssen es als Service einrichten und die zugrunde liegenden WAN-Links definieren:

  • Konfigurieren Sie einen Internetdienst im Rechenzentrum und Zweig über GRE.
  • Konfigurieren Sie einen vertrauenswürdigen öffentlichen Internetlink im Rechenzentrum und den Zweigstellen.

Topologie

lokalisierte Grafik

lokalisierte Grafik

So verwenden Sie den GRE Tunnel oder den IPSec-Tunnel Traffic-Weiterleitung:

  1. Melden Sie sich im Zscaler-Hilfe-Portal unter: anhttps://help.zscaler.com/submit-ticket.

  2. Erhöhen Sie ein Ticket und geben Sie die statische öffentliche IP-Adresse an, die als GRE-Tunnel oder IPSec-Tunnelquelladresse verwendet wird.

Zscaler verwendet die Quell-IP-Adresse, um die Kunden-IP-Adresse zu identifizieren. Die Quell-IP muss eine statische öffentliche IP sein. Zscaler reagiert mit zwei ZEN-IP-Adressen (primäre und sekundäre), um Datenverkehr zu übertragen. GRE Keep alive Nachrichten können verwendet werden, um den Zustand der Tunnel zu bestimmen.

Zscaler verwendet den Wert der Quell-IP-Adresse, um die IP-Adresse des Kunden zu identifizieren. Dieser Wert muss eine statische öffentliche IP-Adresse sein. Zscaler reagiert mit zwei ZEN-IP-Adressen,[DR1]an die der Datenverkehr umgeleitet werden soll. GRE Keep-Alive-Nachrichten können verwendet werden, um den Zustand der Tunnel zu bestimmen.

Beispiel-IP-Adressen

Primär

Interner Router IP-Adresse: 172.17.6.241/30 Interne ZEN IP-Adresse: 172.17.6.242/30

Sekundäre

Interner Router IP-Adresse: 172.17.6.245/30 Interne ZEN IP-Adresse: 172.17.6.246/30

Konfigurieren eines Internetdienstes

So konfigurieren Sie einen Internetdienst:

  1. Navigieren Sie zu Verbindungen - Internetdienste . Konfigurieren Sie den Internetdienst.

    lokalisierte Grafik

    lokalisierte Grafik

    lokalisierte Grafik

GRE Tunnel konfigurieren

  1. Die Quell-IP-Adresse ist die Tunnelquellen-IP-Adresse. Wenn die Tunnelquellen-IP-Adresse nATted ist, ist die Public Source IP-Adresse die öffentliche Tunnelquellen-IP-Adresse, auch wenn sie auf einem anderen Zwischengerät NATed ist.

  2. Ziel-IP-Adresse ist die ZEN-IP-Adresse, die Zscaler zur Verfügung stellt.

  3. Die Quell-IP-Adresse und die Ziel-IP-Adresse sind die GRE-Header des Routers, wenn die ursprüngliche Nutzlast gekapselt ist.

  4. Tunnel-IP-Adresse und -Präfix sind die IP-Adressierung im GRE-Tunnel selbst. Dies ist nützlich für das Routing von Datenverkehr über den GRE-Tunnel. Der Trafic benötigt diese IP-Adresse als Gateway Adresse.

    lokalisierte Grafik

So konfigurieren Sie den GRE Tunnel:

  1. Navigieren Sie im Konfigurationseditor zu Verbindungen > Standort > GRE Tunnel, und konfigurieren Sie Routen, um Internetpräfixdienste an die Zscaler GRE Tunnel weiterzuleiten.

    Die Quell-IP-Adresse kann nur auf vertrauenswürdigen Links aus der virtuellen Netzwerkschnittstelle ausgewählt werden. Siehe So konfigurieren Sie den GRE Tunnel.

    lokalisierte Grafik

Konfigurieren von Routen für GRE-Tunnel

Konfigurieren Sie Routen, um Internetpräfixdienste an die Zscaler GRE Tunnel weiterzuleiten.

  • Die ZEN-IP-Adresse (Tunnelziel-IP, dargestellt als 104.129.194.38 in der obigen Abbildung) muss auf Dienstart Internet gesetzt werden. Dies ist erforderlich, damit der für Zscaler bestimmte Verkehr vom Internetdienst erfasst wird.
  • Der gesamte Verkehr, der nach Zscaler bestimmt ist, muss mit der Standardroute 0/0 übereinstimmen und über den GRE-Tunnel übertragen werden. Stellen Sie sicher, dass die 0/0-Route,[DR1] die für den GRE-Tunnel verwendet wird, niedrigere Kosten aufweist als Passthrough oder andere Servicetypen.
  • Ebenso muss der Backup GRE Tunnel zu Zscaler höhere Kosten haben als die des primären GRE Tunnels.
  • Stellen Sie sicher, dass nicht-rekursive Routen für die ZEN-IP-Adresse vorhanden sind.

So konfigurieren Sie Routen für den GRE Tunnel:

  1. Navigieren Sie zu Verbindungen > Standort > Routen, und folgen Sie den unter beschriebenen AnweisungenRouten konfigurieren zum Erstellen von Routen.

    lokalisierte Grafik

    Hinweis

    Wenn Sie keine spezifischen Routen für die Zscaler-IP-Adresse haben, konfigurieren Sie das Routenpräfix 0.0.0.0/0 so, dass es der ZEN-IP-Adresse entspricht, und leiten Sie es durch eine GRE-Tunnelkapselschleife. Diese Konfiguration verwendet die Tunnel in einem Aktiv-Backup-Modus. Mit den in der obigen Abbildung dargestellten Werten wechselt der Datenverkehr automatisch in den Tunnel mit Gateway IP-Adresse 172.17.6.242. Konfigurieren Sie ggf. eine Backhaul-Route für virtuelle Pfade. Andernfalls setzen Sie das Keep-Alive-Intervall des Backup-Tunnels auf Null. Dies ermöglicht einen sicheren Internetzugang zu einem Standort, auch wenn beide Tunnel zum Zscaler ausfallen.

    GRE Keep-Alive-Nachrichten werden unterstützt. Ein neues Feld mit der Bezeichnung Public Source IP, das die NAT-Adresse der GRE-Quelladresse bereitstellt, wird der Citrix SD-WAN GUI-Schnittstelle hinzugefügt (wenn die SD-WAN-Appliance Tunnel Source von einem Zwischengerät NATTed ist). Die Citrix SD-WAN GUI enthält ein Feld mit der Bezeichnung Public Source IP, das die NAT-Adresse der GRE-Quelladresse bereitstellt, wenn die Tunnelquelle der Citrix SD-WAN Appliance von einem Zwischengerät NATTed ist.

Einschränkungen

  • Mehrere VRF-Bereitstellungen werden nicht unterstützt.
  • Primäre GRE-Tunnel für die Sicherung werden nur für einen Hochverfügbarkeits-Entwurfsmodus unterstützt.

Konfigurieren von IPSec-Tunnels

lokalisierte Grafik

So konfigurieren Sie IPSec-Tunnel für Intranet- oder LAN-Dienste in der Benutzeroberfläche der Citrix SD-WAN Appliance:

  1. Navigieren Sie im Konfigurations-Editor zu Verbindungen > <SiteName> > IPSec-Tunnel und wählen Sie einen Diensttyp (LAN oder Intranet).

  2. Geben Sie einen Namen für die Servicetyp ein. Für den Intranetdiensttyp bestimmt der konfigurierte Intranetserver, welche lokalen IP-Adressen verfügbar sind.

  3. Wählen Sie die verfügbare lokale IP-Adresse aus, und geben Sie die Peer-IP-Adresse für den virtuellen Pfad zum Remote-Peer ein.

    lokalisierte Grafik

    lokalisierte Grafik

  4. Wählen Sie IKEv1 für IKE-Einstellungen . Zscaler unterstützt nur IKEv1.

    lokalisierte Grafik

  5. Wählen Sie unter IPSec-Einstellungen ESP-NULL für Tunneltyp aus, um den Datenverkehr über den IPSec-Tunnel nach Zscaler umzuleiten. Der IPSec-Tunnel verschlüsselt den Datenverkehr nicht.

    lokalisierte Grafik

  6. Da der Internetverkehr umgeleitet wird, kann die Ziel-IP/-Präfix eine beliebige IP-Adresse sein.

    lokalisierte Grafik

Weitere Informationen zum Konfigurieren von IPSec-Tunnels mithilfe der Citrix SD-WAN Weboberfläche finden Sie unter; demIPSec-TunnelThema.

Konfigurieren von Routen für IPSec-Tunnel

So konfigurieren Sie IPSec-Routen:

  1. Navigieren Sie zu Verbindungen > DC > Routen, und folgen Sie den unter beschriebenen AnweisungenRouten konfigurieren zum Erstellen von Routen.

lokalisierte Grafik

So überwachen Sie GRE- und IPSec-Tunnelstatistiken:

Navigieren Sie in der SD-WAN-Weboberfläche zu Überwachung > Statistik > [GRE Tunnel IPSec-Tunnel].

Weitere Informationen finden Sie unter;Überwachung von IPSec-TunnelnundGRE TunnelThemen.

Zscaler Integration mit GRE-Tunneln und IPsec-Tunneln