Citrix SD-WAN Orchestrator

Integración de Citrix SD-WAN Orchestrator con Check Point CloudGuard Connect

Integración de Citrix SD-WAN Orchestrator con Check Point CloudGuard Connect

Topología de integración

Topología de integración de Check Point

Configuración en el portal Check Point

  1. Agregue un sitio en el portal Check Point
    1. Inicie sesión en el portal Check Point y agregue un sitio.

      Agregar sitio

      Aparecerá una ventana emergente para crear un sitio. Proporcione los detalles generales necesarios y haga clic en Siguiente

      General

    2. Proporcione los detalles de la conexión. Seleccione el tipo de dispositivo como Citrix y las direcciones IP externas como dirección IP estática.

      Nota

      Proporcione la dirección IP pública del enlace WAN de la sucursal como dirección IP externa. Es “x.x.33.83” según la topología.

      Si utiliza varios enlaces WAN de Internet, haga clic en Agregar otra dirección IP externa para especificar la dirección IP pública asociada a esos enlaces WAN.

      Detalles de conexión

    3. En la sección Autenticación, defina la clave previamente compartida o genere automáticamente la clave.

      Autenticación

    4. Proporcione la subred interna. Son las subredes LAN detrás del dispositivo SD-WAN, que atraviesa el túnel, denominado Redes protegidas en el servicio Citrix SD-WAN Orchestrator. Debe coincidir tanto en el servicio Citrix SD-WAN Orchestrator como en el extremo del punto de control para garantizar que el túnel esté establecido.

      Subred interna

    5. Valide la configuración y haga clic en FINALIZAR Y CREAR SITIO.

      Subred interna

      Se agrega un cuadro de sitio con el estado GENERANDO SITIO.

      Generando sitio

      Check Point tarda unos 20 minutos en generar un sitio. Una vez generado el sitio, el estado del mosaico cambia a ESPERANDO TRÁFICO.

      Esperando el tráfico

  2. Haga clic en Configurar dispositivo de sucursal para ver los detalles del túnel. Incluye detalles de los dos túneles IPSec hacia Check Point Cloud.

    Detalles del túnel

En este ejemplo, el destino del túnel se menciona en formato FQDN. Resuelva este FQDN para obtener la dirección IP de destino del túnel que se puede utilizar en la configuración de Citrix SD-WAN.

Por ejemplo: C:\Users\john >ns lookup g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Servidor: R outer Dirección: 192.168.0.1

Respuesta no autorizada: Nombre: g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Dirección: 52.66.199.169

Configuración en el servicio Citrix SD-WAN Orchestrator

Utilice el destino del túnel y los parámetros IPSec para crear una configuración en el servicio Citrix SD-WAN Orchestrator.

  1. Cree un perfil de cifrado IPSec.
    1. En la interfaz de usuario del servicio Citrix SD-WAN Orchestrator, al nivel de red, vaya a Configuración > Perfiles de cifrado IPSec y haga clic en +Perfil de cifrado IPSec.

      Perfiles de cifrado IPSec

    2. Configure los valores de IKE e IPSec según la configuración de Check Point.

      Configuración de IPSec

  2. Agregue túnel IPSec hacia Check Point Cloud.

    1. Vaya a Configuración > Servicios de entrega > Servicio y ancho de banda y agregue un servicio de intranet.

      Servicio de intranet

    2. Seleccione el tipo de servicio como servicio IPsec.

      Servicio IPsec

    3. Configure el túnel IPSec hacia Check Point Cloud. Haga clic en +Punto final para agregar la información del punto final del punto de control.

      Punto final

    4. Proporcione los siguientes detalles:
      • IP del mismo par (dirección IP de FQDN de Check Point que se resolvió)
      • Perfil IPSec que hemos creado en el paso anterior
      • Clave precompartida que obtuvo de Check Point.

      IP de pares

      Del mismo modo, agregue el segundo punto final del túnel hacia Check Point Cloud para obtener redundancia.

      Punto final redundante

    5. Haga clic en + Asignación de puntos finales para agregar una asignación de puntos finales.

      Asignación de punto final

      Elija el punto final como CheckPointTun1, el que se creó en el paso anterior y haga clic en + Enlaces para vincular un sitio. Del mismo modo, agregue CheckPointTun2 como segundo punto final.

      Enlace de punto final

      Enlazar el túnel a un sitio de sucursal (Por ejemplo, BranchAzure) y proporcione los detalles de la red protegida.

      Nota

      La red protegida debe ser el sitio de sucursal configurado en el portal Check Point. Las IP públicas deben coincidir.

      En este caso, la red de origen de la red protegida es la red LAN de la sucursal y el destino como cualquiera. La red de origen debe coincidir con la red configurada en el portal Check Point. Haga clic en Listo.

      Enlazar túnel al sitio

      Haga clic en Guardar para guardar la configuración del túnel IPSec. check-point-generating-site.png

      Guardar túnel IPsec

    6. Después de agregar el servicio de entrega de CheckpointTunnel, asigne el ancho de banda compartido para que el servicio se aplique al sitio en el que está mapeado el punto final.

      Nota

      El porcentaje de ancho de banda asignado aquí es el ancho de banda compartido garantizado para este servicio de entrega de puntos de control cuando se encuentra en contención.

      Asignar ancho

  3. Implemente la configuración en el servicio Citrix SD-WAN Orchestrator mediante el ensayo y la activación.

  4. Compruebe el estado del túnel hacia Check Point Cloud desde el sitio de la sucursal.

    Estado del túnel de Check Point

Supervisión

Acceda a Internet desde un host de sitio de sucursal a través de Check Point Cloud a través del túnel IPsec. Por ejemplo, intente acceder a salesforce.com.

Esta aplicación aparece en las conexiones de firewall con el servicio de destino como CheckpointTunnel_CheckpointTun.

Conexiones de firewall

Este tráfico se actualiza en las estadísticas del túnel IPSec (paquetes enviados y recibidos).

Túnel IPsec

Registros

Los registros relacionados con la creación del túnel IPsec se pueden encontrar en el archivo SDWAN_security.log.

Registros de seguridad

El estado del sitio en el portal de Check Point se actualiza como Activo.

Túnel activo

Intenta acceder a un sitio web (por ejemplo, Facebook.com) que puede acceder a través de Check Point Cloud. Ahora puede modificar las directivas Access Control de Check Point agregando una directiva para bloquear la aplicación de Facebook.

Directiva de instalación

Después de instalar la directiva, Facebook.com se bloquea.

Detalles del túnel

Muestra que el tráfico de Internet se redirige desde SD-WAN hacia Check Point Cloud a través del túnel IPsec. La acción se llevó a cabo de acuerdo con la definición de directiva en Check Point Cloud.

Integración de Citrix SD-WAN Orchestrator con Check Point CloudGuard Connect