Citrix SD-WAN Orchestrator

Servicios de entrega

Los servicios de entrega le permiten configurar servicios de entrega como Internet, Intranet, IPSec y LAN GRE. Los servicios de entrega se definen globalmente y se aplican a los enlaces WAN en sitios individuales, según corresponda.

Cada enlace WAN puede aplicar todos o un subconjunto de los servicios relevantes, y configurar recursos compartidos relativos de ancho de banda (%) entre todos los servicios de entrega.

El servicio Virtual Path está disponible en todos los vínculos de forma predeterminada. Los otros servicios se pueden agregar según sea necesario.

Delivery Services son mecanismos de entrega disponibles en Citrix SD-WAN para dirigir diferentes aplicaciones o perfiles de tráfico mediante los métodos de entrega correctos basados en la intención comercial.

Los Servicios de Entrega se pueden clasificar en términos generales como los siguientes:

  • Servicio de ruta virtual: El túnel SD-WAN superpuesto de doble extremo que ofrece conectividad segura, confiable y de alta calidad entre dos sitios que alojan dispositivos SD-WAN o instancias virtuales.

  • Servicio de Internet: Canal directo entre un sitio SD-WAN e Internet público, sin encapsulación SD-WAN involucrada. Citrix SD-WAN admite la capacidad de equilibrio de carga de sesiones para el tráfico enlazado a Internet a través de varios vínculos de Internet.

  • Cloud Direct Service: Servicio en la nube que ofrece funcionalidades SD-WAN para todo el tráfico vinculado a Internet, independientemente del entorno de host.

  • Servicio de intranet: Conectividad basada en vínculos subyacentes desde un sitio SD-WAN a cualquier sitio que no sea SD-WAN.

    El tráfico no está encapsulado o puede utilizar cualquier encapsulación de ruta no virtual, como IPSec, GRE. Puede configurar varios servicios de Intranet.

Servicio y ancho de banda

En lafichaServicio y ancho de banda, puede ver un servicio de Internet creado de forma predeterminada. El tráfico de sucursal utiliza los sitios de tránsito para llegar a Internet. Esta sección le permite definir nuevos servicios de entrega y la proporción predeterminada de asignación de ancho de banda (%) en todos los servicios de entrega. Las necesidades de asignación de ancho de banda entre los servicios de entrega pueden variar en función del tipo de vínculo involucrado.

Por ejemplo, si utiliza varias aplicaciones SaaS, asigne una gran proporción de ancho de banda en sus vínculos de Internet para el servicio de Internet para la interrupción directa de Internet. En sus vínculos MPLS, asigne más ancho de banda para el servicio de rutas virtuales o el servicio de Intranet dependiendo de si los sitios SD-WAN tienen la mayor parte del tráfico que va a otros sitios SD-WAN o sitios que no son SD-WAN.

En función de sus requisitos, puede definir valores predeterminados de uso compartido de ancho de banda global en los servicios de entrega para cada tipo de vínculo: Enlaces de Internet, vínculos de MPLS y vínculos de Intranet privada.

Detalles del ancho de banda de configuración del servicio

Los valores predeterminados se pueden anular en vínculos individuales. Al configurar enlaces WAN, puede optar por utilizar estos valores predeterminados globales o configurar la configuración de ancho de banda de servicio específica del vínculo. Se requiere la configuración de un recurso compartido de ancho de banda distinto de cero para que cualquier servicio de entrega esté habilitado y activo en un enlace.

Servicio directo en la nube

El servicio Cloud Direct ofrece funcionalidades SD-WAN como servicio en la nube a través de una entrega confiable y segura para todo el tráfico vinculado a Internet, independientemente del entorno de host (centro de datos, nube e Internet).

Servicio Directo en la nube:

  • Mejora la visibilidad y la gestión de la red.
  • Permite a los partners ofrecer servicios SD-WAN administrados para aplicaciones SaaS críticas para el negocio a sus clientes finales.

Ventajas

El servicio directo en la nube ofrece las siguientes ventajas:

  • Redundancia: Utiliza varios enlaces WAN de Internet y proporciona una conmutación por error sin interrupciones.
  • Agregación de vínculos: Utiliza todos los enlaces WAN de Internet al mismo tiempo.
  • Equilibrio de carga inteligente en conexiones WAN de diferentes proveedores:
    • Medición de la pérdida de paquetes, la fluctuación y el rendimiento.
    • Identificación de aplicaciones personalizadas.
    • Requisitos de aplicación y adecuación del rendimiento del circuito (adaptarse a las condiciones de red en tiempo real).
  • Capacidad de QoS dinámica de grado SLA-grado para circuito de Internet:
    • Se adapta dinámicamente a los diferentes niveles de rendimiento del circuito.
    • Adaptación a través de un túnel en los puntos finales de entrada y salida.
  • Redireccionar llamadas VOIP entre circuitos sin soltar la llamada.
  • Monitorización y visibilidad de extremo a extremo.

Para configurar sitios para Cloud Direct Service, desde el nivel de cliente, vaya a Configuración > Servicios de entrega > Servicio y ancho de banda y, a continuación, haga clic en el icono de configuración situado junto al servicio Cloud Direct.

Servicio directo en la nube

Haga clic en + Cloud Direct Service para agregar sitios. Para dirigir aplicaciones específicas a través de cloud direct, puede agregar las aplicaciones relevantes desde elenlace Grupo de aplicacionespredeterminado de Cloud Direct.

Sitio de servicio directo en la nube

Puede elegir la región y seleccionar los sitios en consecuencia.

Región de servicio directo en la nube

Haga clic en Revisar para ver los sitios que ha seleccionado y, a continuación, haga clic en Guardar.

Puede ver que el sitio se crea con los siguientes detalles:

  • Estado del sitio: muestra el estado si el sitio está implementado o no. Si se implementa, el estado indicaría si el sitio de Cloud Direct está conectado o no.
  • Nombre del sitio: muestra el nombre del sitio para el que se está implementando la función Cloud Direct.
  • Plataforma: Para el sitio seleccionado, el nombre del modelo de dispositivo correspondiente se rellena automáticamente y se muestra aquí, como — 210-SE.
  • Estado de Facturación: Muestra el estado de Facturación.
  • Licenciado Cloud Direct Ancho de banda (Mbps): muestra información de ancho de banda de suscripción a Cloud Direct El ancho de banda de suscripción está asociado con la licencia para el servicio Cloud Direct.
  • Recuento de vínculos habilitados: Muestra el recuento de enlaces WAN habilitados para este servicio.
  • Acciones: Puede eliminar la configuración del sitio de Cloud Direct creada para este dispositivo SD-WAN o ver la configuración del sitio de Cloud Direct y los detalles del enlace WAN en modo de solo lectura.

Información directa del sitio en la nube

Haga clic en la entrada del sitio y podrá modificar el ancho de banda de suscripción y realizar cambios en el enlace WAN que se está seleccionando para este servicio. Además, puede modificar las velocidades de entrada (carga) y salida (descarga) para el servicio Cloud Direct en cada uno de los enlaces WAN seleccionados.

Nota

  • De forma predeterminada, selecciona los cuatro primeros enlaces WAN de Internet.
  • El valor de velocidad de entrada directa (carga) y salida (descarga) de Cloud Direct no debe ser mayor que el valor de ancho de banda de suscripción.

Modificar sitios directos en la nube

Puede crear objetos de aplicación para rutas basadas en aplicaciones. Cree la ruta de aplicación incluyendo las aplicaciones correspondientes, que deben dirigirse a través del servicio Cloud Direct. Para obtener más información, consulte Directivas de enrutamiento.

Hay otras opciones de configuración disponibles para los servicios de Internet e Intranet, que se pueden personalizar mediante elicono deconfiguración que se muestra en cada servicio.

Configuración del servicio de entrega

Haga clic en + Servicio y seleccione un tipo de servicio. En función del servicio de entrega complementario que desee crear, elija el tipo de servicio requerido y proceda con la configuración.

Servicio de Internet

** El Servicio Internet está disponible de forma predeterminada como parte de los servicios de entrega. Puede configurar el coste de ruta del servicio de Internet en relación con otros servicios de entrega. También puede conservar la ruta a Internet desde el enlace incluso si todas las rutas asociadas están incompletas.

Servicio de Internet

Servicio de intranet

Puede crear varios servicios de intranet. Una vez creado el servicio de Intranet en el nivel global, puede hacer referencia a él en el nivel de enlace WAN. Proporcione un nombre de servicio, seleccione el dominio de redirección y la zona de firewall deseados. Agregue todas las direcciones IP de la intranet a través de la red para que otros sitios de la red puedan interactuar. También puede conservar la ruta a la intranet desde el vínculo incluso si todas las rutas asociadas están incompletas.

Configurar el servicio de intranet

Servicio GRE

Puede configurar los dispositivos SD-WAN para terminar túneles GRE en la LAN.

GRE

Detalles de GRE

  • Tipo de servicio: Seleccione el servicio que utiliza el túnel GRE.
  • Nombre: Nombre del servicio LAN GRE.
  • Dominio de redirección: El dominio de redirección para el túnel GRE.
  • Zona de firewall: La zona de firewall elegida para el túnel. De forma predeterminada, el túnel se coloca en Default_LAN_ZONE.
  • MTU: Unidad de transmisión máxima: El tamaño del datagrama IP más grande que se puede transferir a través de un enlace específico. El rango es de 576 a 1500. El valor predeterminado es 1500.
  • Mantener vivo: El período entre el envío de mensajes de mantener vivo. Si se configura en 0, no se envían paquetes de mantenimiento vivo, pero el túnel permanece activo.
  • Reintentos de mantenimiento vivo: El número de veces que Citrix SD-WAN Appliance envía paquetes de mantenimiento vivo sin respuesta antes de bajar el túnel.
  • Suma de comprobación: Habilite o inhabilite la suma de comprobación para el encabezado GRE del túnel.

Enlaces de sitios

  • Nombre del sitio: El sitio para mapear el túnel GRE.
  • IP de origen: La dirección IP de origen del túnel. Esta es una de las interfaces virtuales configuradas en este sitio. El dominio de redirección seleccionado determina las direcciones IP de origen disponibles.
  • IP de origen público: IP de origen si el tráfico del túnel atraviesa NAT.
  • IP de destino: La dirección IP de destino del túnel.
  • Túnel IP/Prefijo: La dirección IP y el prefijo del túnel GRE.
  • IP de puerta de enlace de túnel: Dirección IP de salto siguiente para enrutar el tráfico del túnel.
  • IP de la puerta de enlace LAN: Dirección IP de salto siguiente para enrutar el tráfico de LAN.

Servicio Zscaler

La plataforma de seguridad en la nube de Zscaler proporciona una serie de publicaciones de comprobación de seguridad en más de 100 centros de datos de todo el mundo. Simplemente redirigiendo el tráfico de Internet al servicio Zscaler, puede proteger inmediatamente sus almacenes, sucursales y ubicaciones remotas.

Citrix SD-WAN Orchestrator proporciona autenticación de socios a Zscaler Cloud. Para autenticarse, haga clic en eliconoConfiguración situado junto a Zscaler que aparece en lacolumna Servicios deentrega.

Configuración de Zscaler

  • Introduzca su nombre de usuario y contraseña.

  • Nombre de la nube: El nombre de nube que está disponible en la URL que usan los administradores para iniciar sesión en el servicio Zscaler. En el ejemplo siguiente, help.zscaler.com es la URL y zScaler.com es el nombre de la nube.

    Nombre de la nube

    Para maximizar la eficiencia operativa, Zscaler creó una infraestructura multinube global con alta escalabilidad. Una organización tiene acceso a una nube de Zscaler concreta para iniciar sesión en su portal de administración. Y la misma nube de Zscaler es responsable de procesar el tráfico iniciado desde esa organización.

  • Clave API: La clave de integración de socios Citrix SD-WAN.

Zscaler

Haga clic en +Sitio para agregar un sitio para el servicio Zscaler. Se establece un túnel IPSec entre el sitio SD-WAN y los nodos de aplicación de Zscaler (ZENs) en la red en la nube de Zscaler. Las ZENs inspeccionan el tráfico bidireccionalmente y aplican directivas de seguridad y cumplimiento normativo.

  • Selección automática de pop: Cuando se selecciona, el SD-Orchestrator selecciona automáticamente el ZEN principal y secundario más cercano a su sitio en función de la búsqueda geolocalización de direcciones IP de los enlaces WAN. Cuando se desactive, seleccione los ZENs manualmente.

  • Región Zscaler principal: Región a la que pertenece el ZEN primario.

  • Primario Zscaler Pop: El ZEN primario.

  • Región Zscaler secundaria: Región a la que pertenece el ZEN secundario.

  • Secundaria Zscaler Pop: El ZEN secundario.

  • Seleccione las Regiones y Sitios.

Zscaler

** Revise y** guarde la configuración. Después de agregar el sitio correctamente, verifique, ensaye y active la configuración. Los túneles IPSec se implementan después de la activación correcta de la configuración. El** icono de información proporciona los detalles de la configuración y el estado del túnel de Zscaler. Si no se puede conectar a la red Zscaler/agregar un sitio, haga clic en **Actualizar para volver a intentar conectividad.

Asigne el ancho de banda para el servicio Zscaler. La configuración WAN-Link específica del vínculo para el servicio Zscaler le permite especificar una asignación de ancho de banda diferente a la asignación global.

Puede modificar o eliminar una configuración de Zscaler específica de un sitio mediante lacolumnaAcciones. Para eliminar todos los sitios configurados de Zscaler a la vez, haga clic en Eliminar todo.

Zscaler

Servicio IPSec

Los dispositivos Citrix SD-WAN pueden negociar túneles IPSec fijos con pares de terceros en el lado LAN o WAN. Puede definir los puntos finales del túnel y asignar los sitios a los puntos finales del túnel.

También puede seleccionar y aplicar un perfil de seguridad IPSec que defina el protocolo de seguridad y la configuración IPSec.

Para configurar un túnel IPSec:

  1. Especifique los detalles del servicio.
  • Nombre del servicio: nombre del servicio IPSec.
  • Tipo de servicio: Seleccione el servicio que utiliza el túnel IPSec.
  • Dominio de redirección: Para túneles IPSec sobre LAN, seleccione un dominio de redirección. Si el túnel IPSec utiliza un servicio de Intranet, el servicio de Intranet determina el dominio de redirección.
  • Zona de firewall: La zona de firewall del túnel. De forma predeterminada, el túnel se coloca en Default_LAN_ZONE.
  1. Agregue el punto final del túnel.
  • Nombre: Cuando el tipo de servicio es Intranet, elija un servicio de intranet que el túnel proteja. De lo contrario, introduzca un nombre para el servicio.
  • IP del mismo nivel: La dirección IP del par remoto.
  • Perfil IPSec: Perfil de seguridad IPSec que define el protocolo de seguridad y la configuración IPSec.
  • Clave precompartida: Clave previamente compartida utilizada para la autenticación IKE.
  • Clave precompartida del mismo nivel: La clave previamente compartida utilizada para la autenticación IKEv2.
  • Datos de identidad: Los datos que se van a utilizar como identidad local, cuando se utiliza la identidad manual o el tipo FQDN del usuario.
  • Datos de identidad del mismo nivel: Los datos que se van a utilizar como identidad del mismo nivel, cuando se utiliza la identidad manual o el tipo FQDN del usuario.
  • Certificado: Si elige Certificado como autenticación IKE, elija uno de los certificados configurados.
  1. Asigne sitios a los puntos finales del túnel.
  • Elija Endpoint: El punto final que se va a asignar a un sitio.
  • Nombre del Sitio: El sitio que se va a asignar al punto final.
  • Nombre de la interfaz virtual: Interfaz virtual del sitio que se va a utilizar como punto final.
  • IP local: La dirección IP virtual local que se va a utilizar como punto final del túnel local.
  • IP de puerta de enlace: La dirección IP del salto siguiente.
  1. Cree la red protegida.
  • IP/Prefijo de red de origen: La dirección IP de origen y el prefijo del tráfico de red que protege el túnel IPSec.
  • IP/Prefijo de red de destino: La dirección IP de destino y el prefijo del tráfico de red que protege el túnel IPSec.
  1. Asegúrese de que las configuraciones IPSec estén reflejadas en el dispositivo del mismo nivel.

Servicio IPSec

Para obtener más información, consulte Cómo configurar túneles IPSec para rutas virtuales y dinámicas.

Configuración de ruta virtual dinámica

La configuración global de rutas virtuales dinámicas permite a los administradores configurar los valores predeterminados de la ruta virtual dinámica en toda la red.

Una ruta virtual dinámica se crea una instancia dinámica entre dos sitios para permitir la comunicación directa, sin saltos intermedios de nodo SD-WAN. Del mismo modo, la conexión de ruta virtual dinámica también se elimina dinámicamente. Tanto la creación como la eliminación de rutas virtuales dinámicas se activan en función de los umbrales de ancho de banda y la configuración de tiempo.

Configuración de ruta virtual dinámica

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Las siguientes son algunas de las configuraciones admitidas:

  • Aprovisionamiento para habilitar o inhabilitar rutas virtuales dinámicas en toda la red
  • El coste de ruta para rutas virtuales dinámicas
  • El perfil QoS que se va a utilizar — Estándar por defecto.
  • Criterios de creación de rutas virtuales dinámicas:

    • Intervalo de medición (segundos): La cantidad de tiempo durante el cual se miden el recuento de paquetes y el ancho de banda para determinar si la ruta virtual dinámica debe crearse entre dos sitios, en este caso, entre una rama determinada y el nodo de control.
    • Umbral de rendimiento (kbps): Umbral de rendimiento total entre dos sitios, medido a lo largo del intervalo de medición, en el que se activa la ruta virtual dinámica. En este caso, el umbral se aplica al nodo de control.
    • Umbral de rendimiento (pps): Umbral de rendimiento total entre dos sitios, medido a lo largo del intervalo de medición, en el que se activa la ruta virtual dinámica.
  • Criterios de eliminación de rutas virtuales dinámicas:

    • Intervalo de medición (minutos): Cantidad de tiempo durante el cual se miden el recuento de paquetes y el ancho de banda para determinar si se debe quitar una ruta virtual dinámica entre dos sitios, en este caso, entre una rama determinada y el nodo de control.
    • Umbral de rendimiento (kbps): Umbral de rendimiento total entre dos sitios, medido a lo largo del intervalo de medición, en el que se elimina la ruta virtual dinámica.
    • Umbral de rendimiento (pps): Umbral de rendimiento total entre dos sitios, medido a lo largo del intervalo de medición, en el que se elimina la ruta virtual dinámica.
  • Temporizadores

    • Tiempo de espera para vaciar rutas virtuales muertas (m): El tiempo después del cual se elimina una ruta virtual dinámica DEAD.
    • Tiempo de espera antes de la recreación de rutas virtuales muertas (m): El tiempo después del cual se puede volver a crear una ruta virtual dinámica eliminada por ser DEAD.

Perfiles de cifrado IPSec

Para agregar un perfil de cifrado IPSec, vaya a Configuración > Servicios de entrega > seleccione Perfiles de cifrado IPSec.

Navegación de cifrado IPSec

IPSec proporciona túneles seguros. Citrix SD-WAN admite rutas virtuales IPSec, lo que permite que los dispositivos de terceros terminen los túneles VPN IPSec en el lado LAN o WAN de un dispositivo Citrix SD-WAN. Puede proteger los túneles IPSec de sitio a sitio que terminan en un dispositivo SD-WAN mediante un binario criptográfico IPSec certificado FIPS 140-2 de nivel 1.

Citrix SD-WAN también admite tunelización IPSec resistente mediante un mecanismo de túnel de ruta virtual diferenciado.

Los perfiles IPSec se utilizan al configurar los servicios IPSec como conjuntos de servicios de entrega. En la página de perfil de seguridad IPSec, introduzca los valores necesarios para los siguientes perfiles de cifrado IPSec, Configuración de IKE y Configuración de IPSec.

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Información del perfil de cifrado IPSec

  • Nombre de Perfil: Proporcione un nombre de perfil.
  • MTU: Introduzca el tamaño máximo de paquete IKE o IPSec en bytes.
  • Mantener vivo: Active la casilla de verificación para mantener el túnel activo y habilitar la elegibilidad de la ruta.
  • Versión IKE: Seleccione una versión del protocolo IKE en la lista desplegable.

    Información de cifrado prof IPSec

Configuración IKE

  • Modo: Seleccione Modo principal o Modo agresivo en la lista desplegable para el modo de negociación IKE Fase 1.
    • Principal: Ninguna información está expuesta a posibles atacantes durante la negociación, pero es más lenta que el modo agresivo. El modo principal es compatible con FIPS.
    • Agresivo: Cierta información (por ejemplo, la identidad de los compañeros de negociación) está expuesta a posibles atacantes durante la negociación, pero es más rápida que el modo Principal. El modo agresivo no es compatible con FIPS.
  • Autenticación: Elija el tipo de autenticación como Certificado o Clave precompartida en el menú desplegable.
  • Identidad: Seleccione el método de identidad en la lista desplegable.
  • Identidad del mismo par: Seleccione el método de identidad del mismo par en la lista desplegable.
  • Grupo DH: Seleccione el grupo Diffie-Hellman (DH) que están disponibles para la generación de claves IKE.
  • Algoritmo hash: Elija un algoritmo hash de la lista desplegable para autenticar mensajes IKE.
  • Modo de cifrado: Elija el modo de cifrado para los mensajes IKE en la lista desplegable.
  • Duración (s): Introduzca la duración preferida (en segundos) para que exista una asociación de seguridad IKE.
  • Duración (s) Máx (s): Introduzca la duración máxima preferida (en segundos) para permitir que exista una asociación de seguridad IKE.
  • Timeout (s) DPD (s): Introduzca el tiempo de espera de detección de pares muertos (en segundos) para las conexiones VPN.

    Configuración IKE

Configuración de IPSec

  • Tipo de túnel: Elija ESP, ESP+Auth, ESP+NULLo AH como tipo de encapsulación de túnel en la lista desplegable. Estos se agrupan en categorías compatibles con FIPS y no conformes con FIPS.

    • ESP: Cifra solo los datos del usuario
    • ESP+Auth: Cifra los datos del usuario e incluye un HMAC
    • ESP+NULL: Los paquetes están autenticados pero no cifrados
    • AH: Solo incluye un HMAC
  • Grupo PFS: Elija el grupo Diffie-Hellman que se utilizará para la generación perfecta de claves de secreto directo en el menú desplegable.
  • Modo de cifrado: Elija el modo de cifrado para los mensajes IPSec en el menú desplegable.
  • Algoritmo hash: Los algoritmos hash MD5, SHA1 y SHA-256 están disponibles para la verificación HMAC.
  • Discordancia de red: Elija una acción que desee realizar si un paquete no coincide con las redes protegidas del túnel IPSec en el menú desplegable.
  • Duración (s): Especifique la cantidad de tiempo (en segundos) para que exista una asociación de seguridad IPSec.
  • Duración (s) Máx.: Introduzca la cantidad máxima de tiempo (en segundos) para permitir que exista una asociación de seguridad IPSec.
  • Vida útil (KB): Introduzca la cantidad de datos (en kilobytes) para que exista una asociación de seguridad IPSec.
  • Vida útil (KB) Máx.: Introduzca la cantidad máxima de datos (en kilobytes) para permitir que exista una asociación de seguridad IPSec.

    Configuración de IPSec

Servicios de entrega