Citrix SD-WAN Orchestrator

Integración de Citrix SD-WAN Orchestrator con Check Point CloudGuard Connect

Topología de integración

Topología de integración de Check Point

Configuración en el portal Check Point

  1. Agregue un sitio en el portal Check Point
  2. Inicie sesión en el portal Check Point y agregue un sitio.

    Agregar sitio

    Aparecerá una ventana emergente para crear un sitio. Proporcione los detalles generales necesarios y haga clic en Siguiente

    General

  3. Proporcione los detalles de la conexión. Seleccione el Tipo de dispositivo como Citrix y direcciones IP externas como Dirección IP estática.

    Nota

    Proporcione la dirección IP pública de enlace WAN de la sucursal como Dirección IP externa. Es “x.x.33.83” según la topología.

    Si utiliza varios enlaces WAN de Internet, haga clic en Agregar otra dirección IP externa para especificar la dirección IP pública asociada a esos enlaces WAN.

    Detalles de conexión

  4. En lasecciónAutenticación, defina la clave previamente compartida o generada automáticamente la clave.

    Autenticación

  5. Proporcione la subred interna. Son las subredes LAN detrás del dispositivo SD-WAN, que atraviesa el túnel, denominadas redes protegidas en Citrix SD-WAN Orchestrator. Debe coincidir tanto en Citrix SD-WAN Orchestrator como en el extremo de Check Point para asegurarse de que el túnel está establecido.

    Subred interna

  6. Valide la configuración y haga clic en FINALIZAR Y CREAR SITIO.

    Subred interna

    Se agrega un icono de sitio con el estado GENERANDO SITIO.

    Generando sitio

    Check Point tarda unos 20 minutos en generar un sitio. Después de generar el sitio, el estado del icono cambia a ESPERANDO TRÁFICO.

    Esperando el tráfico

  7. Haga clic en Configurar dispositivo de rama para ver los detalles del túnel. Incluye detalles de los dos túneles IPSec hacia Check Point Cloud.

Detalles del túnel

En este ejemplo, el destino del túnel se menciona en formato FQDN. Resuelva este FQDN para obtener la dirección IP de destino del túnel que se puede utilizar en la configuración de Citrix SD-WAN.

Por ejemplo- C:\Users\john >ns lookup g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Servidor: Dirección del router: 192.168.0.1

Respuesta no autorizada: Nombre: g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Dirección: 52.66.199.169

Configuración en el servicio Citrix SD-WAN Orchestrator

Utilice el destino del túnel y los parámetros IPSec para crear una configuración en el servicio Citrix SD-WAN Orchestrator.

  1. Cree un perfil de cifrado IPSec.
  2. En la interfaz de usuario del servicio Citrix SD-WAN Orchestrator, en el nivel de red, vaya a Configuración > Perfiles de cifrado IPSec y haga clic en +Perfil de cifrado IPSec.

    Perfiles de cifrado IPSec

  3. Configure los valores de IKE e IPSec según la configuración de Check Point.

    Configuración de IPSec

  4. Agregue túnel IPSec hacia Check Point Cloud.

  5. Vaya a Configuración > Servicios de entrega > Servicio y ancho de banda y agregue un servicio de Intranet.

    Servicio de intranet

  6. Seleccione el tipo de servicio como Servicio IPSec.

    Servicio IPSec

  7. Configure el túnel IPSec hacia Check Point Cloud. Haga clic en +Punto final para agregar la información del punto final de Check Point.

    Punto final

  8. Proporcione los siguientes detalles:
    • IP del mismo par (dirección IP de FQDN de Check Point que se resolvió)
    • Perfil IPSec que hemos creado en el paso anterior
    • Clave precompartida que obtuvo de Check Point.

    IP del mismo nivel

    Del mismo modo, agregue el segundo punto final del túnel hacia Check Point Cloud para obtener redundancia.

    Punto final redundante

  9. Haga clic en + Asignación de punto final para agregar una asignación de punto final.

    Asignación de punto final

    Elija el punto final como CheckPointTun1, el creado en el paso anterior y haga clic en + Enlaces para enlazar un sitio. Del mismo modo, agregue CheckPointTun2 como segundo punto final.

    Enlace de punto final

    Enlazar el túnel a un sitio de sucursal (Por ejemplo, BranchAzure) y proporcione los detalles de la red protegida.

    Nota

    La red protegida debe ser el sitio de sucursal configurado en el portal Check Point. Las IP públicas deben coincidir.

    En este caso, la red de origen de la red protegida es la red LAN de la sucursal y el destino como cualquiera. La red de origen debe coincidir con la red configurada en el portal Check Point. Haga clic en Listo.

    Enlazar túnel al sitio

    Haga clic en Guardar para guardar la configuración del túnel IPSec. check-point-generating-site.png

    Guardar túnel IPsec

  10. Después de agregar el servicio deentregaCheckPointTunnel, asigne el recurso compartido de ancho de banda para el servicio que se va a aplicar al sitio al que se asigna el punto final.

    Nota

    El porcentaje de ancho de banda asignado aquí es el ancho de banda compartido garantizado para este servicio de entrega de puntos de control cuando se encuentra en contención.

    Asignar ancho

  11. Implemente la configuración en el servicio Citrix SD-WAN Orchestrator mediante el ensayo y la activación.

  12. Compruebe el estado del túnel hacia Check Point Cloud desde el sitio de la sucursal.

Estado del túnel de Check Point

Supervisión

Acceda a Internet desde un host de sitio de sucursal a través de Check Point Cloud a través del túnel IPsec. Por ejemplo, intente acceder a salesforce.com.

Esta aplicación se informa en conexiones de firewall con el servicio de destino como CheckPointTunnel_CheckPointTun.

Conexiones de firewall

Este tráfico se actualiza en las estadísticas del túnel IPSec (paquetes enviados y recibidos).

Túnel IPSec

Registros

Los registros relacionados con la creación del túnel IPsec se pueden encontrar en el archivo SDWAN_security.log.

Registros de seguridad

El estado del sitio en el portal Check Point se actualiza como Activo.

Túnel activo

Intenta acceder a un sitio web (por ejemplo, Facebook.com) que puede acceder a través de Check Point Cloud. Ahora puede modificar las directivas Access Control de Check Point agregando una directiva para bloquear la aplicación de Facebook.

Directiva de instalación

Después de instalar la directiva, Facebook.com se bloquea.

Detalles del túnel

Muestra que el tráfico de Internet se redirige desde SD-WAN hacia Check Point Cloud a través del túnel IPsec. La acción se llevó a cabo de acuerdo con la definición de directiva en Check Point Cloud.

Integración de Citrix SD-WAN Orchestrator con Check Point CloudGuard Connect