Citrix SD-WAN

Zonas

Puede configurar zonas en la red y definir directivas para controlar cómo entra y sale el tráfico de las zonas. De forma predeterminada, se crean las siguientes zonas:

  • Internet_Zone
    • Se aplica al tráfico hacia o desde un servicio de Internet mediante una interfaz de confianza.
  • Untrusted_Internet_Zone

    • Se aplica al tráfico hacia o desde un servicio de Internet mediante una interfaz que no es de confianza.
  • default_lan_zone

    • Se aplica al tráfico hacia o desde un objeto con una zona configurable, en el que no se ha establecido la zona.

Puede crear tus propias zonas y asignarlas a los siguientes tipos de objetos:

  • Interfaces de red virtual (VNI)

  • Servicios de intranet

  • Túneles GRE

  • Túneles LAN IPsec

En la siguiente ilustración se muestran las tres zonas preconfiguradas. Además, puede crear sus propias zonas según sea necesario. En este ejemplo, la zona “Zonea_intranet” es una zona creada por el usuario. Se asigna a la interfaz virtual del segmento de derivación (puertos 1 y 2) del dispositivo SD-WAN.

Imagen localizada

La zona de origen de un paquete viene determinada por el servicio o la interfaz de red virtual en la que se recibe el paquete. La excepción a esto es el tráfico de rutas virtuales. Cuando el tráfico entra en una ruta virtual, los paquetes se marcan con la zona que originó el tráfico y esa zona de origen se transporta a través de la ruta virtual. Esto permite que el extremo receptor de la ruta virtual tome una decisión de directiva basada en la zona de origen original antes de entrar en la ruta virtual.

Por ejemplo, es posible que un administrador de red quiera definir directivas para que solo el tráfico de la VLAN 30 del sitio A pueda introducir la VLAN 10 en el sitio B. El administrador puede asignar una zona para cada VLAN y crear directivas que permitan el tráfico entre estas zonas y bloqueen el tráfico de otras zonas. La captura de pantalla siguiente muestra cómo un usuario asignaría la zona “Zonea_intranet” a la VLAN 10. En este ejemplo, el usuario definió previamente la zona “Zonea_intranet” para asignarla a la interfaz virtual “VirtualInterface-2”.

Imagen localizada

La zona de destino de un paquete se determina en función de la coincidencia de la ruta de destino. Cuando un dispositivo SD-WAN busca la subred de destino en la tabla de rutas, el paquete coincidirá con una ruta que tiene asignada una zona.

  • Zona de origen

    • Ruta no virtual: se determinó a través del paquete de interfaz de red virtual que se recibió el.

    • Ruta virtual: se determina a través del campo de zona de origen en el encabezado del flujo de paquetes.

    • Interfaz de red virtual: el paquete se recibió en el sitio de origen.

  • Zona de destino

    • Se determina mediante la búsqueda de rutas de destino del paquete.

Las rutas compartidas con sitios remotos en la SD-WAN mantienen información sobre la zona de destino, incluidas las rutas aprendidas a través del protocolo de redirección dinámica (BGP, OSPF). Con este mecanismo, las zonas adquieren importancia global en la red SD-WAN y permiten el filtrado de extremo a extremo dentro de la red. El uso de zonas proporciona al administrador de red una forma eficaz de segmentar el tráfico de red según el cliente, la unidad de negocio o el departamento.

La capacidad del firewall SD-WAN permite al usuario filtrar el tráfico entre servicios dentro de una única zona o crear directivas que se pueden aplicar entre servicios de distintas zonas, como se muestra en la ilustración siguiente. En el ejemplo siguiente, tenemos Zone_A y Zone_B, cada una de las cuales tiene una interfaz de red virtual LAN.

Imagen localizada

La captura de pantalla siguiente muestra la herencia de la zona de una IP virtual (VIP) de su interfaz de red virtual (VNI) asignada.

Imagen localizada

Zonas

En este artículo