Servicios de entrega

Los servicios de entrega le permiten configurar servicios de entrega como Internet, Intranet, IPSec y LAN GRE. Los servicios de entrega se definen globalmente y se aplican a enlaces WAN en sitios individuales, según corresponda.

Cada enlace WAN puede aplicar todos o un subconjunto de servicios relevantes, y configurar recursos compartidos relativos de ancho de banda (%) entre todos los servicios de entrega.

El servicio Ruta virtual está disponible de forma predeterminada en todos los vínculos. Los otros servicios se pueden agregar según sea necesario.

Navegación del conjunto de servicios de entrega

Delivery Services son mecanismos de entrega disponibles en Citrix SD-WAN para dirigir diferentes aplicaciones o perfiles de tráfico mediante los métodos de entrega correctos basados en la intención comercial.

Los servicios de entrega pueden clasificarse en términos generales de la siguiente manera:

  • Servicio de ruta virtual: túnel SD-WAN superpuesto de doble extremo que ofrece conectividad segura, confiable y de alta calidad entre dos sitios que alojan dispositivos SD-WAN o instancias virtuales.
  • Servicio de Internet: Canal directo entre un sitio SD-WAN e Internet público, sin encapsulación SD-WAN involucrada. Citrix SD-WAN admite la capacidad de equilibrio de carga de sesión para el tráfico enlazado a Internet a través de varios enlaces de Internet.
  • Servicio de intranet: conectividad basada en vínculos subyacentes desde un sitio SD-WAN a cualquier sitio que no sea SD-WAN.

    El tráfico no está encapsulado o puede utilizar cualquier encapsulación de ruta no virtual, como IPSec, GRE. Puede configurar varios servicios de Intranet.

Configuración del servicio y valores predeterminados de ancho de banda

En la ficha Configuración del servicio y Valores predeterminados de ancho de banda, puede ver un servicio de Internet que se crea de forma predeterminada. El tráfico de sucursales utiliza los sitios de tránsito para llegar a Internet. Esta sección le permite definir nuevos servicios de entrega y la proporción predeterminada de asignación de ancho de banda (%) en todos los servicios de entrega. Las necesidades de asignación de ancho de banda entre los servicios de entrega pueden variar según el tipo de enlace involucrado.

Por ejemplo, si tiene muchas aplicaciones SaaS que se están mediante, podría considerar asignar una proporción relativamente grande del ancho de banda en los vínculos de Internet para el servicio de Internet para permitir la ruptura directa de Internet. En los vínculos MPLS, puede optar por asignar más ancho de banda para el servicio de rutas virtuales o el servicio de intranet dependiendo de si los sitios SD-WAN tienen la mayor parte del tráfico que va a otros sitios SD-WAN o sitios que no son SD-WAN.

En función de sus requisitos, puede definir valores predeterminados de uso compartido de ancho de banda global en los servicios de entrega para cada tipo de vínculo: vínculos de Internet, vínculos de MPLS y vínculos de Intranet privada.

Detalles del ancho de banda de configuración del servicio

Los valores predeterminados se pueden reemplazar en vínculos individuales. Al configurar vínculos WAN, puede optar por utilizar estos valores predeterminados globales o configurar los valores de ancho de banda de servicio específicos del vínculo. Se requiere la configuración de un recurso compartido de ancho de banda distinto de cero para que cualquier servicio de entrega esté habilitado y activo en un enlace.

Hay opciones adicionales disponibles para los servicios de Internet e Intranet, que se pueden personalizar mediante el icono de configuración que se muestra en cada servicio.

Configuración del servicio de entrega

Haga clic en + Nuevo servicio y seleccione un tipo de servicio. Dependiendo del servicio de entrega adicional que desee crear, elija el tipo de servicio requerido y continúe con la configuración.

Tipo de servicio

Servicio de Internet

Elservicio de Internet está disponible de forma predeterminada como parte de los servicios de entrega. Puede configurar el coste de ruta del servicio de Internet en relación con otros servicios de entrega y configurar sitios de tránsito de Internet.

Puede agregar sitios como sitios de tránsito de Internet para habilitar el acceso a Internet a los sitios. Para los sitios que necesitan conectividad directa a Internet, deben tener al menos un enlace con el servicio de Internet habilitado. Esto significa que al menos un enlace establecido en un compartido% de ancho de banda distinto de cero.

A cada sitio de tránsito se le puede asignar un coste de ruta. Los sitios con servicio de Internet disponibles acceden a Internet directamente, ya que la ruta directa sería la ruta de redirección de menor coste. Los sitios sin servicio de Internet pueden redirigirse a Internet a través de los sitios de tránsito configurados. Cuando se configuran los sitios de tránsito de Internet, las rutas a Internet a través de estos sitios de tránsito se envían automáticamente a todos los sitios. Los sitios de tránsito de Internet son los sitios con servicio de Internet habilitado.

Por ejemplo, si San Francisco y Nueva York están configurados como sitios de tránsito por Internet. Las rutas a Internet a través de San Francisco y Nueva York se envían automáticamente a todos los sitios.

sitios de tránsito

Servicio Intranet

Un usuario puede crear varios servicios de Intranet. Una vez creado el servicio de Intranet en el nivel global, puede hacer referencia a él en el nivel de enlace WAN.

Configurar el servicio de intranet

Proporcione un nombre de servicio. Seleccione Dominio de redirección y Zona de firewall que quiera.

  • Redes de Intranet: Agregue todas las direcciones IP de Intranet a través de la red, que otros sitios de la red podrían necesitar interactuar.

  • Sitios de tránsito de Intranet: Agregue sitios como sitios de tránsito para permitir que todos los sitios que no son de Intranet tengan acceso a las redes de Intranet configuradas. A cada sitio de tránsito se le puede asignar un coste de ruta. Los sitios disponibles con servicio de intranet, accede a las redes de intranet directamente ya que la ruta directa sería la ruta de redirección de menor coste. Los sitios sin servicio de Intranet pueden redirigirse a las redes de Intranet a través de los sitios de tránsito configurados. Cuando se configuran los sitios de tránsito, las rutas a redes de Intranet a través de estos sitios de tránsito se envían automáticamente a todos los sitios.

    Por ejemplo, supongamos que 10.2.1.0/24 es una red de Intranet y Austin y Dallas están configurados como sitios de tránsito. Las rutas a esa dirección de red a través de Austin y Dallas se envían automáticamente a todos los sitios.

Servicio GRE

Puede configurar los dispositivos SD-WAN para terminar los túneles GRE en la LAN.

Gre

Detalles GRE

  • Nombre: Nombre del servicio LAN GRE.
  • Dominio de redirección: Dominio de redirección del túnel GRE.
  • Zona de firewall: zona de firewall elegida para el túnel. De forma predeterminada, el túnel se coloca en Default_LAN_Zone.
  • Conexión persistente: El período entre el envío de mensajes de conexión persistente. Si se configura en 0, no se envía ningún paquete de mantenimiento vivo, pero el túnel permanece activo.
  • Keep alive Retries: El número de veces que envía Citrix SD-WAN Appliance mantiene los paquetes activos sin respuesta antes de que desconecte el túnel.
  • Suma de comprobación: Habilite o inhabilite la suma de comprobación para el encabezado GRE del túnel.

Enlaces de sitios

  • Nombre del sitio: El sitio para mapear el túnel GRE.
  • IP de origen: La dirección IP de origen del túnel. Esta es una de las interfaces virtuales configuradas en este sitio. El dominio de redirección seleccionado determina las direcciones IP de origen disponibles.
  • IP de origen público: La IP de origen si el tráfico del túnel pasa por NAT.
  • IP de destino: La dirección IP de destino del túnel.
  • IP/prefijo del túnel: La dirección IP y el prefijo del túnel GRE.
  • IP de la puerta de enlace del túnel: La dirección IP del siguiente salto para redirigir el tráfico del túnel.
  • IP de puerta de enlace LAN: La dirección IP del siguiente salto para redirigir el tráfico LAN.

Servicio Zscaler

Si está configurando el servicio Zscaler, configure LAN GRE. Proporcione un nombre de servicio, seleccione el dominio de redirección y la zona de firewall, y agregue enlaces de sitio. Para obtener más información sobre el servicio Zscaler, consulte Integración de Zscaler mediante túneles GRE y túneles IPSec.

Zscaler

Proporcione los siguientes detalles para autenticar Zscaler:

  • Nombre de Usuario: Introduzca el nombre del usuario.
  • Contraseña: Introduzca la contraseña.
  • Nombre de nube: introduzca el nombre de nube que está disponible en la URL que los administradores utilizan para iniciar sesión en el servicio Zscaler. Nombre de la nube

    Para maximizar la eficiencia operativa, Zscaler creó una infraestructura global de múltiples nubes con alta escalabilidad. Una organización se aprovisiona en una nube y solo esa nube procesa su tráfico.

  • Clave API: Introduzca la clave Suscripción a API. Cuando se aplica una suscripción a la API a su organización, Zscaler habilita la clave.

  • Haga clic en Guardar.

Servicio IPSec

Los dispositivos Citrix SD-WAN pueden negociar túneles IPSec fijos con pares de terceros en el lado LAN o WAN. Puede definir los puntos finales del túnel y asignar sitios a los puntos finales del túnel.

También puede seleccionar y aplicar un perfil de seguridad IPSec que defina el protocolo de seguridad y la configuración IPSec.

Para configurar el túnel IPSec:

  1. Especifique los detalles del servicio.

    • Nombre del servicio: El nombre del servicio IPSec.
    • Tipo de servicio: Seleccione el servicio que utiliza el túnel IPSec.
    • Dominio de redirección: Para túneles IPSec a través de LAN, seleccione un dominio de redirección. Si el túnel IPSec utiliza un servicio de Intranet, el servicio de Intranet determina el dominio de redirección.
    • Zona de firewall: Zona de firewall para el túnel. De forma predeterminada, el túnel se coloca en Default_LAN_Zone.
  2. Agregue el punto final del túnel.

    • Nombre: Cuando Tipo de servicio es Intranet, elija un servicio de intranet que protege el túnel. De lo contrario, introduzca un nombre para el servicio.
    • IP del mismo nivel: La dirección IP del par remoto.
    • Perfil IPSec: Perfil de seguridad IPSec que define el protocolo de seguridad y la configuración IPSec.
    • Clave precompartida: Clave precompartida utilizada para la autenticación IKE.
    • Clave precompartida de par: Clave precompartida utilizada para la autenticación IKEv2.
    • Datos de identidad: Los datos que se van a utilizar como identidad local, cuando se utiliza la identidad manual o el tipo FQDN de usuario.
    • Datos de identidad del mismo nivel: Los datos que se utilizarán como identidad del mismo nivel cuando se utilice la identidad manual o el tipo FQDN del usuario.
    • Certificado: Si elige Certificado como autenticación IKE, elija entre los certificados configurados.
  3. Asigne sitios a los puntos finales del túnel.

    • Elija dispositivo de punto final: El punto final que se va a asignar a un sitio.
    • Nombre del Sitio: El sitio que se va a asignar al punto final.
    • Nombre de la interfaz virtual: interfaz virtual en el sitio que se va a utilizar como punto final.
    • IP local: La dirección IP virtual local que se utilizará como punto final del túnel local.
  4. Cree la red protegida.

    • IP/Prefijo de redde origen: dirección IP de origen y prefijo del tráfico de red que protege el túnel IPSec.
    • IP/Prefijo de redde destino: dirección IP de destino y prefijo del tráfico de red que protege el túnel IPSec.
  5. Asegúrese de que las configuraciones IPSec se reflejan en el dispositivo del mismo nivel.

    Servicio IPSec

Para obtener más información, consulte Cómo configurar túneles IPSec para rutas virtuales y dinámicas.

Perfiles de cifrado IPSec

Para agregar un perfil de cifrado IPSec, vaya a Configuración > Servicios de entrega > seleccione la ficha Perfiles de cifrado IPSec.

Navegación con cifrado IPSec

IPSec proporciona túneles seguros. Citrix SD-WAN admite rutas virtuales IPSec, lo que permite que los dispositivos de terceros terminen los túneles VPN IPSec en el lado LAN o WAN de un dispositivo Citrix SD-WAN. Puede proteger los túneles IPSec de sitio a sitio que terminan en un dispositivo SD-WAN mediante un binario criptográfico IPSec certificado FIPS 140-2 de nivel 1.

Citrix SD-WAN también admite tunelización IPSec resistente mediante un mecanismo de túnel de ruta virtual diferenciado.

Los perfiles IPSec se utilizan al configurar los servicios IPSec como conjuntos de servicios de entrega. En la página Perfil de seguridad IPSec, introduzca los valores necesarios para el siguiente Perfil de cifrado IPSec, Configuración IKE y Configuración IPSec.

Información de perfil de cifrado IPSec

  • Nombre de perfil: Proporcione un nombre de perfil.
  • MTU: Introduzca el tamaño máximo de paquete IKE o IPSec en bytes.
  • Conexión persistente: Marque la casilla de verificación para mantener el túnel activo y habilitar la conformidad de la ruta.
  • Versión IKE: Seleccione una versión de protocolo IKE de la lista desplegable.

    IPSec prof encrp info

Configuración IKE

  • Modo: Seleccione Modo principal o Modo agresivo en la lista desplegable para el modo de negociación IKE Fase 1.
    • Principal: No hay información expuesta a posibles atacantes durante la negociación, pero es más lenta que el modo Agresivo.
    • Agresivo: Cierta información (por ejemplo, la identidad de los pares negociadores) está expuesta a posibles atacantes durante la negociación, pero es más rápida que el modo Principal.
  • Autenticación: Elija el tipo de autenticación como Certificado o Clave precompartida en el menú desplegable.
  • Identidad: Seleccione el método de identidad en la lista desplegable.
  • Identidad del mismo nivel: Seleccione el método de identidad del mismo nivel en la lista desplegable.
  • Grupo DH: Seleccione el grupo Diffie-Hellman (DH) disponible para la generación de claves IKE.
  • Algoritmo hash: Elija un algoritmo hash de la lista desplegable para autenticar los mensajes IKE.
  • Modo de cifrado: Seleccione el modo de cifrado para los mensajes IKE en la lista desplegable.
  • Duración (s): introduzca la duración preferida (en segundos) para que exista una asociación de seguridad IKE.
  • Duración máxima: Introduzca la duración máxima preferida (en segundos) para permitir que exista una asociación de seguridad IKE.
  • Tiempo de espera de DPD (s): Introduzca el tiempo de espera de Detección de pares inactivos (en segundos) para las conexiones VPN.

    Configuración IKE

Configuración de IPSec

  • Tipo de túnel: Seleccione ESP, ESP+Auth, ESP+NULL o AH como tipo de encapsulación de túnel en la lista desplegable.

    • ESP: Cifra solo los datos de usuario
    • ESP+Auth: Cifra los datos del usuario e incluye un HMAC
    • ESP+NULL: Los paquetes están autenticados pero no cifrados
    • AH: Solo incluye un HMAC
  • Grupo PFS: Elija el grupo Diffie-Hellman para utilizar para la generación perfecta de claves de secreto directo en el menú desplegable.
  • Modo de cifrado: Seleccione el Modo de cifrado para mensajes IPSec en el menú desplegable.
  • Algoritmo hash: Los algoritmos hash MD5, SHA1 y SHA-256 están disponibles para la verificación HMAC.
  • No coincidencia de red: Elija una acción que desee realizar si un paquete no coincide con las redes protegidas del túnel IPSec en el menú desplegable.
  • Duración (s): introduzca la cantidad de tiempo (en segundos) para que exista una asociación de seguridad IPSec.
  • Duración máxima: Introduzca la cantidad máxima de tiempo (en segundos) para permitir que exista una asociación de seguridad IPSec.
  • Duración (KB): Introduzca la cantidad de datos (en kilobytes) para que exista una asociación de seguridad IPSec.
  • Duración máxima (KB): Introduzca la cantidad máxima de datos (en kilobytes) para permitir que exista una asociación de seguridad IPSec.

    Configuración de IPSec