Definiciones de servicios

Los canales de entrega se clasifican ampliamente en definiciones de servicios y asignación de ancho de banda.

Los servicios de entrega son mecanismos de entrega disponibles en Citrix SD-WAN para dirigir diferentes aplicaciones o perfiles de tráfico mediante los métodos de entrega correctos en función de la intención empresarial. Puede configurar servicios de entrega como Internet, Intranet, rutas virtuales, IPSec y LAN GRE. Los servicios de entrega se definen globalmente y se aplican a los enlaces WAN en sitios individuales, según corresponda.

Cada enlace WAN puede aplicar todos o un subconjunto de los servicios relevantes, y configurar recursos compartidos relativos de ancho de banda (%) entre todos los servicios de entrega.

El servicio Virtual Path está disponible en todos los vínculos de forma predeterminada. Los otros servicios se pueden agregar según sea necesario. Para configurar los servicios de entrega, al nivel de cliente, vaya a Configuración > Canales de entrega > Definiciones de servicios.

Los Servicios de Entrega se pueden clasificar en términos generales como los siguientes:

• Servicio de ruta virtual: El túnel SD-WAN superpuesto de dos extremos que ofrece conectividad segura, confiable y de alta calidad entre dos sitios que alojan dispositivos SD-WAN o instancias virtuales. Establezca el ancho de banda mínimo reservado para cada ruta virtual en Kbps. Esta configuración se aplica a todos los enlaces WAN de todos los sitios de la red.

• Servicio de Internet: Canal directo entre un sitio SD-WAN e Internet público, sin encapsulación SD-WAN involucrada. Citrix SD-WAN admite la capacidad de equilibrio de carga de sesiones para el tráfico con destino a Internet a través de varios enlaces de Internet.
• Servicio de intranet: Subyace la conectividad basada en enlaces desde un sitio de SD-WAN a cualquier sitio que no sea de SD-WAN. El tráfico no está encapsulado o puede utilizar cualquier encapsulación de ruta no virtual, como IPSec, GRE. Puede configurar varios servicios de Intranet.

Servicio de Internet

Elservicio de Internet está disponible de forma predeterminada como parte de los servicios de entrega. Para configurar un servicio de Internet, desde el nivel de cliente, vaya a Configuración > Canales de entrega > Definiciones de servicios. En la sección Servicios de SD-WAN, seleccione el icono Direct Internet Breakout y, a continuación, haga clic en Agregar.

Puede configurar los siguientes servicios de Internet:

• Preserve la ruta a Internet desde el enlace incluso si todas las rutas asociadas están inactivas: Puede configurar el coste de la ruta del servicio de Internet en relación con otros servicios de entrega. Con este servicio, puede conservar la ruta a Internet desde el enlace, incluso si todas las rutas asociadas están inactivas. Si todas las rutas asociadas a un enlace WAN están muertas, el dispositivo SD-WAN utiliza esta ruta para enviar o recibir tráfico de Internet.
• Determine la accesibilidad de Internet desde un enlace mediante sondas ICMP: Puede habilitar las sondas ICMP para enlaces WAN de Internet específicos a un servidor explícito en Internet. Con la configuración de la sonda ICMP, el dispositivo SD-WAN trata el enlace a Internet como activo cuando las rutas de los miembros del enlace están activas o cuando se recibe la respuesta de la sonda ICMP del servidor.
• Dirección de punto final ICMP de IPv4: La dirección IPv4 de destino o la dirección del servidor.
• Intervalo de sondeo (en segundos): intervalo de tiempo en el que el dispositivo SD-WAN envía los sondeos en los enlaces WAN configurados por Internet. De forma predeterminada, el dispositivo SD-WAN envía sondeos en los enlaces WAN configurados cada 5 segundos.
• Reintentos: Número de reintentos que puede intentar antes de determinar si el enlace WAN está activo o no. Tras 3 fallos de sonda consecutivos, el enlace WAN se considera inactivo. El máximo de reintentos permitido es de 10.

Modos de implementación compatibles

El servicio de Internet se puede utilizar en los siguientes modos de implementación:

• Modo de implementación en línea (superposición SD-WAN)

Citrix SD-WAN se puede implementar como solución superpuesta en cualquier red. Como solución de superposición, la SD-WAN generalmente se implementa detrás de routers perimetrales o firewalls existentes. Si la SD-WAN se implementa detrás de un firewall de red, la interfaz se puede configurar como confiable y el tráfico de Internet se puede enviar al firewall como una puerta de enlace a Internet.

• Modo Edge o Gateway

Citrix SD-WAN se puede implementar como dispositivo perimetral, reemplazando los dispositivos de firewall o enrutador perimetral existentes. La función de firewall integrado permite que la SD-WAN proteja la red de la conectividad directa a Internet. En este modo, la interfaz conectada al vínculo público de Internet se configura como no confiable, lo que obliga a habilitar el cifrado, y las funciones de firewall y NAT dinámico están habilitadas para proteger la red.

Servicio de intranet

Puede crear varios servicios de intranet. Para agregar un servicio de Intranet, desde el nivel de cliente, vaya a Configuración > Canales de entrega > Definiciones de servicios. En la sección Servicios de intranet, haga clic en Agregar.

Una vez creado el servicio de Intranet en el nivel global, puede hacer referencia a él en el nivel de enlace WAN. Proporcione un nombre de servicioy seleccione el dominio de enrutamiento y la zona de firewallque quiera. Agregue todas las direcciones IP de la intranet a través de la red para que otros sitios de la red puedan interactuar. También puede conservar la ruta a la intranet desde el vínculo incluso si todas las rutas asociadas están incompletas.

Servicio GRE

Puede configurar los dispositivos SD-WAN para terminar túneles GRE en la LAN.

Para agregar un servicio GRE, desde el nivel de cliente, vaya a Configuración > Canales de entrega > Definiciones de servicios. También puede navegar a la página de configuración de los servicios GRE desde Configuración > Seguridad.

En la sección IPSec y GRE, vaya a Servicios de IPSec y haga clic en Agregar.

Detalles del GRE:

• Tipo de servicio: Seleccione el servicio que utiliza el túnel GRE.
• Nombre: Nombre del servicio GRE de LAN.
• Dominio de redirección: Dominio de redirección del túnel GRE.
• Zona de firewall: La zona de firewall elegida para el túnel. De forma predeterminada, el túnel se coloca en Default_LAN_ZONE.
• MTU: Unidad de transmisión máxima: El tamaño del datagrama IP más grande que se puede transferir a través de un enlace específico. El rango es de 576 a 1500. El valor predeterminado es 1500.
• Mantener vivo: El período transcurrido entre el envío de mensajes de mantenimiento activo. Si se configura en 0, no se envían paquetes de mantenimiento vivo, pero el túnel permanece activo.
• Reintentos de Keep Alive: Número de veces que el dispositivo Citrix SD-WAN envía paquetes de mantenimiento activo sin respuesta antes de que desconecte el túnel.
• Checksum: habilita o inhabilita Checksum para el encabezado GRE del túnel.

Vinculaciones de sitios:

• Nombre del sitio: El sitio para mapear el túnel GRE.
• IP de origen: La dirección IP de origen del túnel. Esta es una de las interfaces virtuales configuradas en este sitio. El dominio de redirección seleccionado determina las direcciones IP de origen disponibles.
• IP de origen público: La IP de origen si el tráfico del túnel pasa por NAT.
• IP de destino: La dirección IP de destino del túnel.
• IP/prefijo del túnel: La dirección IP y el prefijo del túnel GRE.
• IP de puerta de enlace de túnel: La dirección IP del siguiente salto para enrutar el tráfico del túnel.
• IP de puerta de enlace LAN: La dirección IP del siguiente salto para enrutar el tráfico LAN.

Servicio IPsec

Los dispositivos Citrix SD-WAN pueden negociar túneles IPsec fijos con pares de terceros en el lado LAN o WAN. Puede definir los puntos finales del túnel y asignar los sitios a los puntos finales del túnel.

También puede seleccionar y aplicar un perfil de seguridad IPsec que defina el protocolo de seguridad y la configuración IPsec.

Para configurar la configuración de IPsec de ruta virtual:

• Habilite túneles IPsec de ruta virtual para todas las rutas virtuales en las que se requiera el cumplimiento de FIPS.
• Configure la autenticación de mensajes cambiando el modo IPsec a AH o ESP + Auth y utilice una función hash aprobada por FIPS. SHA1 es aceptado por FIPS, pero SHA256 es altamente recomendable.
• La vida útil de IPsec debe configurarse durante no más de 8 horas (28.800 segundos).

Citrix SD-WAN utiliza la versión 2 de IKE con claves previamente compartidas para negociar los túneles IPSec a través de la ruta virtual mediante la siguiente configuración:

• Grupo DH 19: ECP256 (curva elíptica de 256 bits) para negociación de claves
• Cifrado AES-CBC de 256 bits
• hash SHA256 para autenticación de mensajes
• hash SHA256 para la integridad del mensaje
• DH Group 2: MODP-1024 para un secreto directo perfecto

Para configurar el túnel IPSec para un tercero:

• Configure el grupo DH aprobado por FIPS. Los grupos 2 y 5 están permitidos bajo FIPS, sin embargo, se recomiendan encarecidamente los grupos 14 y superiores.
• Configure la función hash aprobada por FIPS. SHA1 es aceptado por FIPS, sin embargo SHA256 es altamente recomendable.
• Si utiliza IKEv2, configure una función de integridad aprobada por FIPS. SHA1 es aceptado por FIPS, sin embargo SHA256 es altamente recomendable.
• Configure una vida útil de IKE y una vida útil máxima de no más de 24 horas (86.400 segundos).
• Configure la autenticación de mensajes IPsec cambiando el modo IPsec a AH o ESP+Auth y utilice una función hash aprobada por FIPS. SHA1 es aceptado por FIPS, pero SHA256 es altamente recomendable.
• Configure una vida útil IPsec y una vida útil máxima de no más de ocho horas (28.800 segundos).

Configuración de un túnel IPsec

Desde el nivel de cliente, vaya a Configuración > Canales de entrega > Definiciones de servicios. También puede ir a la página de servicios de IPSec desde Configuración > Seguridad.

En la sección IPSec y GRE > Servicios IPSec, haga clic en Agregar. Aparece la página Modificar servicio IPSec.

1. Especifique los detalles del servicio.

   • Nombre del servicio: Nombre del servicio IPsec.
   • Tipo de servicio: Seleccione el servicio que utiliza el túnel IPSec.
   • Dominio de redirección: Para túneles IPsec a través de LAN, seleccione un dominio de redirección. Si el túnel IPsec utiliza un servicio de Intranet, el servicio de Intranet determina el dominio de redirección.
   • Zona de firewall: La zona de firewall del túnel. De forma predeterminada, el túnel se coloca en Default_LAN_ZONE.
   • Habilitar ECMP: Cuando se selecciona la casilla Habilitar ECMP, se habilita el equilibrio de carga de ECMP para el túnel IPSec.
   • Tipo de ECMP: Seleccione el tipo de mecanismo de equilibrio de carga de ECMP según sea necesario. Para obtener más información sobre los tipos de ECMP, consulte Equilibrio de carga de ECMP.

2. Agregue el punto final del túnel.

   • Nombre: Si el tipo de servicio es Intranet, elija un servicio de intranet que proteja el túnel. De lo contrario, introduzca un nombre para el servicio.
   • IP del mismo par: Dirección IP del par remoto.
   • PerfilIPsec: Perfilde seguridad IPsec que define el protocolo de seguridad y la configuración de IPsec.
   • Claveprecompartida: L a clavepreviamente compartida que se utiliza para la autenticación IKE.
   • Clave previamente compartida del mismo nivel: La clavepreviamente compartida que se utiliza para la autenticación IKEv2.
   • Datos de identidad: L os datos que se utilizarán como identidad local cuando se utilice la identidad manual o el tipo FQDN de usuario.
   • Datos de identidaddel mismo grupo: Los datos que se utilizarán como identidad de pares cuando se utilice identidad manual o tipo FQDN de usuario.
   • Certificado: Si elige Certificado como autenticación IKE, elija uno de los certificados configurados.

3. Asigne sitios a los puntos finales del túnel.

   • Elija Endpoint: El dispositivo de punto final que se va a asignar a un sitio.
   • Nombre del sitio: El sitio que se va a asignar al punto final.
   • Nombre de la interfaz virtual: La interfaz virtual del sitio que se va a utilizar como punto final.
   • IP local: Dirección IP virtual local que se va a utilizar como punto final del túnel local.
   • IP de puertade enlace: La dirección IP del siguiente salto.

4. Cree la red protegida.

   • IP/prefijo de la redde origen: Dirección IP de origen y prefijo del tráfico de red que protege el túnel IPsec.
   • IP/prefijo de redde destino: Dirección IP de destino y prefijo del tráfico de red que protege el túnel IPsec.

5. Asegúrese de que las configuraciones IPsec estén reflejadas en el dispositivo del mismo nivel.

   

Para obtener más información sobre el cumplimiento de FIPS, consulte Seguridad de red.

Nota

Citrix SD-WAN Orchestrator for On-premises admite la conectividad a Oracle Cloud Infrastructure (OCI) a través de IPSec.

Perfiles de cifrado IPSec

Para agregar un perfil de cifrado IPSec, al nivel de cliente, vaya a Configuración > Canales de entrega > Definiciones de servicios. También puede acceder a la página de configuración de perfiles de cifrado de IPSec desde Configuración > Seguridad.

En la sección IPSec y GRE, seleccione Administrar perfiles IPSec de cifrado.

IPsec proporciona túneles seguros. Citrix SD-WAN admite rutas virtuales IPsec, lo que permite que los dispositivos de terceros terminen túneles VPN IPsec en el lado LAN o WAN de un dispositivo Citrix SD-WAN. Puede proteger los túneles IPsec de sitio a sitio que terminan en un dispositivo SD-WAN mediante un binario criptográfico IPsec con certificación FIPS 140-2 de nivel 1.

Citrix SD-WAN también admite tunelización IPsec resistente mediante un mecanismo de túnel de ruta virtual diferenciado.

Los perfiles IPsec se utilizan al configurar los servicios IPsec como conjuntos de servicios de entrega. En la página del perfil de seguridad de IPSec, introduzca los valores necesarios para el siguiente perfil de cifrado de IPSec, la configuración de IKE y la configuración de IPSec.

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Información del perfil de cifrado IPSec:

• Nombre de perfil: Proporcione un nombre de perfil.
• MTU: Introduzca el tamaño máximo del paquete IKE o IPSec en bytes.
• Keep Alive: Active la casilla de verificación para mantener el túnel activo y habilitar la elegibilidad de la ruta.

• Versión IKE: Seleccione una versión del protocolo IKE de la lista desplegable.

  

Configuración IKE

• Modo: Seleccione el modo principal o el modo agresivo en la lista desplegable del modo de negociación de la fase 1 de IKE.
  • Principal: No hay información expuesta a posibles atacantes durante la negociación, pero es más lenta que el modo Agresivo. El modo principal es compatible con FIPS.
  • Agresivo: Cierta información (por ejemplo, la identidad de los pares negociadores) está expuesta a posibles atacantes durante la negociación, pero es más rápida que el modo Principal. El modoagresivo no es compatible con FIPS.
• Autenticación: Elija el tipo de autenticación como certificado o clave precompartida en el menú desplegable.
• Autenticación porpares: Elija el tipo de autenticación de pares en la lista desplegable.
• Identidad: Seleccione el método de identidad en la lista desplegable.
• Identidad de pares: Seleccione el método de identidad del mismo nivel en la lista desplegable.
• Grupo DH: Seleccione el grupo Diffie-Hellman (DH) que está disponible para la generación de claves IKE.
• Tiempo deespera de DPD: introduzca el tiempo de espera de Dead Peer Detection (en segundos) para las conexiones VPN.
• Algoritmo de hash: Elija un algoritmo de hash de la lista desplegable para autenticar los mensajes IKE.
• Algoritmo de integridad: Elija el algoritmo de hash IKEv2 que se utilizará para la verificación de HMAC.
• Modo de cifrado: Elija el modo de cifrado para los mensajes IKE de la lista desplegable.
• Duración (s) de la asociación de seguridad: introduzca la cantidad de tiempo, en segundos, que debe transcurrir para que exista una asociación de seguridad IKE.
• Duración máxima de la asociación de seguridad: introduzca la cantidad máxima de tiempo, en segundos, para permitir que exista una asociación de seguridad IKE.

Configuración de IPSec

• Tipo de túnel: Elija ESP, ESP+Auth, ESP+NULLo AH como tipo de encapsulación de túnel en la lista desplegable. Estos se agrupan en categorías compatibles con FIPS y no conformes con FIPS.

  • ESP: Cifra solo los datos del usuario
  • ESP+Auth: Cifra los datos del usuario e incluye un HMAC
  • ESP+NULL: Los paquetes se autentican pero no se cifran
  • AH: Solo incluye un HMAC
• Grupo PFS: Elija el grupo Diffie-Hellman que quiere utilizar para generar claves secretas a la perfección en el menú desplegable.
• Modo de cifrado: Elija el modo de cifrado para los mensajes IPSec en el menú desplegable.
• Algoritmo de hash: Los algoritmoshash MD5, SHA1 y SHA-256 están disponibles para la verificación HMAC.
• Discrepancia de red: Elija la acción que quiera realizar si un paquete no coincide con las redes protegidas del túnel IPSec en el menú desplegable.
• Duración (s) de la asociación de seguridad: introduzca el tiempo (en segundos) que debe transcurrir para que exista una asociación de seguridad IPSec.
• Duración máxima de la asociación de seguridad: introduzca la cantidad máxima de tiempo (en segundos) para permitir que exista una asociación de seguridad IPSec.
• Duración de la asociación de seguridad (KB): introduzca la cantidad de datos (en kilobytes) para que exista una asociación de seguridad IPSec.
• Duración máxima de la asociación de seguridad (KB): introduzca la cantidad máxima de datos (en kilobytes) para permitir que exista una asociación de seguridad IPSec.

Ruta virtual estática

La configuración de ruta virtual se hereda de la configuración de ruta automática del vínculo wan global. Puede anular estas configuraciones y agregar o quitar la ruta de acceso del miembro. También puede filtrar las rutas virtuales según el sitio y el perfil QoS aplicado. Especifique una dirección IP de seguimiento para el enlace WAN que se puede hacer un pinging para determinar el estado del enlace WAN. También puede especificar una IP de seguimiento inverso para la ruta inversa que se puede hacer un pinging para determinar el estado de la ruta inversa.

Para configurar rutas virtuales estáticas, desde el nivel de cliente, vaya a Configuración > Canales de entregay haga clic en el icono Ruta virtual estática.

Las siguientes son algunas de las configuraciones admitidas:

• Lista de ancho de banda bajo demanda
  • Anular el límite global de ancho de banda bajo demanda: Cuando está habilitado, los valores límite de ancho de banda global se sustituyen por valores específicos del sitio.
  • Ancho debanda máximo total de WAN a LAN, como porcentaje del ancho de banda proporcionado por los enlaces WAN que no están en espera en la ruta virtual (%): Actualice el límite máximo de ancho de banda, en%.
• Valor predeterminado global por enlace: Provisioning de ancho de banda relativo en rutas virtuales:
  • Habilite el Provisioning automático del ancho de banda en las rutas virtuales: Cuando está habilitado, el ancho de banda de todos los servicios se calcula y aplica automáticamente de acuerdo con la magnitud del ancho de banda consumido por los sitios remotos.
  • Ancho debanda mínimo reservado para cada ruta virtual (Kbps): El ancho de banda máximo que se debe reservar exclusivamente para cada servicio en cada enlace WAN.

Configuración de ruta virtual dinámica

La configuración global de rutas virtuales dinámicas permite a los administradores configurar los valores predeterminados de la ruta virtual dinámica en toda la red.

Una ruta virtual dinámica se crea una instancia dinámica entre dos sitios para permitir la comunicación directa, sin saltos intermedios de nodo SD-WAN. Del mismo modo, la conexión de ruta virtual dinámica también se elimina dinámicamente. Tanto la creación como la eliminación de rutas virtuales dinámicas se activan en función de los umbrales de ancho de banda y la configuración de tiempo.

Para configurar rutas virtuales dinámicas, desde el nivel de cliente, vaya a Configuración > Canales de entrega > Definiciones de serviciosy haga clic en el icono Ruta virtual dinámica.

Las siguientes son algunas de las configuraciones admitidas:

• Aprovisionamiento para habilitar o inhabilitar rutas virtuales dinámicas en toda la red
• El coste de ruta para rutas virtuales dinámicas
• El perfil de QoS que se va a utilizar es estándar de forma predeterminada.

• Criterios de creación de rutas virtuales dinámicas:

  • Intervalo de medición (segundos): Cantidad de tiempo durante el cual se miden el recuento de paquetes y el ancho de banda para determinar si la ruta virtual dinámica debe crearse entre dos sitios, en este caso, entre una rama determinada y el nodo de control.
  • Umbral de rendimiento (kbps): Umbral del rendimiento total entre dos sitios, medido durante el intervalo de medición, en el que se activa la ruta virtual dinámica. En este caso, el umbral se aplica al nodo de control.
  • Umbral de rendimiento (pps): Umbral del rendimiento total entre dos sitios, medido durante el intervalo de medición, en el que se activa la ruta virtual dinámica.

• Criterios de eliminación de rutas virtuales dinámicas:

  • Intervalo de medición (minutos): Cantidad de tiempo durante el cual se miden el recuento de paquetes y el ancho de banda para determinar si se debe eliminar una ruta virtual dinámica entre dos sitios, en este caso, entre una sucursal determinada y el nodo de control.
  • Umbral de rendimiento (kbps): Umbral del rendimiento total entre dos sitios, medido durante el intervalo de medición, en el que se elimina la ruta virtual dinámica.
  • Umbral de rendimiento (pps): Umbral del rendimiento total entre dos sitios, medido durante el intervalo de medición, en el que se elimina la ruta virtual dinámica.

• Temporizadores

  • Tiempo de espera para vaciar las rutas virtuales muertas (m): Tiempo después del cual se elimina una ruta virtual dinámica MUERTA.
  • Tiempo de espera antes de la recreación de rutas virtuales muertas (m): Tiempo después del cual se puede recrear una ruta virtual dinámica eliminada por estar MUERTA.
• Lista de ancho de banda
  • Anular el límite global de ancho de banda bajo demanda: Cuando está habilitado, los valores límite de ancho de banda global se sustituyen por valores específicos del sitio.
  • Ancho debanda máximo total de WAN a LAN, como porcentaje del ancho de banda proporcionado por los enlaces WAN que no están en espera en la ruta virtual (%): Actualice el límite máximo de ancho de banda, en%.

Haga clic en Verificar configuración para validar cualquier error de auditoría.