Documentación de productos
Citrix SD-WAN
Current Release 11.5 limited availability 11.3 11.2 11.1 11.0 10.2
Ver PDF

Acceso a Internet

November 16, 2022
Contribución de: 
C

El Servicio Internet se utiliza para el tráfico entre un sitio de usuario final y sitios en Internet pública. El tráfico del servicio Internet no está encapsulado por SD-WAN y no tiene las mismas capacidades que el tráfico que se entrega a través del Servicio de ruta virtual. Sin embargo, es importante clasificar y tener en cuenta este tráfico en la SD-WAN. El tráfico identificado como servicio de Internet permite agregar la capacidad de SD-WAN para administrar activamente el ancho de banda del enlace WAN limitando la velocidad del tráfico de Internet en relación con el tráfico entregado a través de la ruta virtual y el tráfico de la intranet según la configuración establecida por el administrador. Además de las capacidades de aprovisionamiento de ancho de banda, SD-WAN tiene la capacidad adicional para equilibrar la carga del tráfico entregado a través del Servicio Internet mediante varios vínculos WAN de Internet, u opcionalmente, utilizando los vínculos WAN de Internet en una configuración primaria o secundaria.

El control del tráfico de Internet mediante el servicio Internet en dispositivos SD-WAN se puede configurar en los siguientes modos de implementación:

  • Breakout directo de Internet en Branch con Firewall integrado

  • Reenvío directo de Internet en sucursales a Secure Web Gateway

  • Backhaul de Internet al centro de datos MCN

Para obtener información sobre cómo configurar un servicio de Internet a través de Citrix SD-WAN Orchestrator Service, consulte Servicio de Internet.

Servicio de Internet

Breakout directo de Internet en Branch con Firewall integrado

El servicio Internet se puede utilizar en los distintos modos de implementación admitidos por Citrix SD-WAN.

  • Modo de implementación en línea (superposición SD-WAN)

Citrix SD-WAN se puede implementar como solución superpuesta en cualquier red. Como solución de superposición, la SD-WAN generalmente se implementa detrás de routers perimetrales o firewalls existentes. Si la SD-WAN se implementa detrás de un firewall de red, la interfaz se puede configurar como de confianza y el tráfico de Internet se puede entregar al firewall como puerta de enlace de Internet.

  • Modo Edge o Gateway

Citrix SD-WAN se puede implementar como dispositivo perimetral, reemplazando los dispositivos de firewall o enrutador perimetral existentes. La función de firewall integrado permite que la SD-WAN proteja la red de la conectividad directa a Internet. En este modo, la interfaz conectada al vínculo público de Internet se configura como no confiable, lo que obliga a habilitar el cifrado, y las funciones de firewall y NAT dinámico están habilitadas para proteger la red.

Para obtener información sobre cómo configurar un servicio de Internet a través de Citrix SD-WAN Orchestrator Service, consulte Servicio de Internet.

Firewall integrado

Acceso directo a Internet con Secure Web Gateway

Para proteger el tráfico y aplicar directivas, las empresas suelen utilizar vínculos MPLS para realizar backhaul de tráfico de sucursales al centro de datos corporativo. El centro de datos aplica directivas de seguridad, filtra el tráfico a través de dispositivos de seguridad para detectar malware y enruta el tráfico a través de un ISP. Este tipo de backhauling a través de enlaces MPLS privados es costoso. También da como resultado una latencia significativa, lo que crea una mala experiencia de usuario en el sitio de la sucursal. También existe el riesgo de que los usuarios eludieran los controles de seguridad.

Una alternativa al backhauling es agregar dispositivos de seguridad en la sucursal. Sin embargo, el coste y la complejidad aumentan a medida que instala varios dispositivos para mantener directivas coherentes en todos los sitios. Lo más importante es que si tiene muchas sucursales, la administración de costes se vuelve poco práctica.

Una alternativa es aplicar la seguridad sin agregar costes, complejidad ni latencia sería redirigir todo el tráfico de Internet de las sucursales mediante Citrix SD-WAN a Secure Web Gateway Service. Un Secure Web Gateway Service de terceros permite que todas las redes conectadas utilicen la creación de directivas de seguridad granulares y centralizadas. Las directivas se aplican de forma coherente tanto si el usuario se encuentra en el centro de datos como en un sitio de sucursal. Dado que las soluciones de Secure Web Gateway se basan en la nube, no es necesario agregar dispositivos de seguridad más costosos a la red.

Para obtener información sobre cómo configurar un servicio de Internet a través de Citrix SD-WAN Orchestrator Service, consulte Servicio de Internet.

Imagen Secure Web Gateway

Citrix SD-WAN admite las siguientes soluciones Secure Web Gateway de terceros:

Internet de red de retorno

La solución Citrix SD-WAN puede realizar backhaul el tráfico de Internet al sitio MCN u otros sitios de sucursales. Backhaul indica que el tráfico destinado a Internet se envía de vuelta a través de otro sitio predefinido que puede acceder a Internet. Es útil para redes que no permiten el acceso a Internet directamente debido a problemas de seguridad o a la topología de redes subyacentes. Un ejemplo sería un sitio remoto que carece de un firewall externo donde el firewall SD-WAN incorporado no cumple los requisitos de seguridad para ese sitio. Para algunos entornos, el backhauling de todo el tráfico de Internet de sitios remotos a través de la DMZ reforzada en el centro de datos podría ser el mejor enfoque para proporcionar acceso a Internet a los usuarios en oficinas remotas. Sin embargo, este enfoque tiene sus limitaciones para tener en cuenta el seguimiento y el tamaño de los enlaces WAN subyacente es adecuado.

  • El backhaul del tráfico de Internet agrega latencia a la conectividad de Internet y es variable en función de la distancia del sitio de sucursal para el centro de datos.

  • El backhaul del tráfico de Internet consume ancho de banda en la Ruta Virtual y se tiene en cuenta en el tamaño de los enlaces WAN.

  • El backhaul del tráfico de Internet podría sobresuscribirse al enlace WAN de Internet en el centro de datos.

MCN de backhaul DC

Todos los dispositivos Citrix SD-WAN pueden terminar hasta ocho enlaces WAN de Internet distintos en un solo dispositivo. Las capacidades de rendimiento con licencia para los vínculos WAN agregados se enumeran por dispositivo respectivo en la hoja de datos de Citrix SD-WAN.

Modo horquilla

Con la implementación de horquilla, puede implementar el uso de un sitio Remote Hub para el acceso a Internet a través de backhaul o horquilla cuando los servicios locales de Internet no están disponibles o están experimentando un tráfico más lento. Puede aplicar redirección de ancho de banda alto entre sitios cliente al permitir el backhauling desde sitios específicos.

El propósito de una implementación de horquilla desde un sitio que no es WAN a un sitio de reenvío WAN es proporcionar un proceso de implementación más eficiente y una implementación técnica más optimizada. Puede utilizar un sitio de concentrador remoto para el acceso a Internet cuando surjan necesidades y puede redirigir flujos a través de la ruta virtual a la red SD-WAN.

Modo de redirección al origen

Por ejemplo, considere un administrador con varios sitios SD-WAN, A y B. El sitio A tiene un servicio de Internet deficiente. El sitio B tiene un servicio de Internet utilizable, con el que quiere hacer retroceder el tráfico del sitio A al sitio B solamente. Puede intentar lograrlo sin la complejidad de los costes de ruta ponderados estratégicamente y la propagación a sitios que no deberían recibir el tráfico.

Además, la tabla de rutas no se comparte en todos los sitios de una implementación de Hairpin. Por ejemplo, si el tráfico se encuentra entre el sitio A y el sitio B a través del sitio C, solo el sitio C conocería las rutas de los sitios A y B. El sitio A y el sitio B no comparten la tabla de rutas de los demás, a diferencia del reenvío WAN a WAN.

Cuando el tráfico se fija entre el sitio A y el sitio B a través del sitio C, las rutas estáticas deben agregarse en el sitio A y el sitio B, lo que indica que el siguiente salto para ambos sitios es el sitio intermedio C.

El reenvío de WAN a WAN y el implementación de horquilla tienen ciertas diferencias, a saber:

  1. Las rutas virtuales dinámicas no están configuradas. Siempre, el sitio intermedio ve todo el tráfico entre los dos sitios.

  2. No participa en grupos de reenvío WAN a WAN.

    El reenvío de WAN a WAN y el implementación de horquilla se excluyen mutuamente. Solo se puede configurar una de ellas en un momento dado.

    Los dispositivos Citrix SD-WAN SE y VPX (virtuales) admiten la implementación en horquilla. Ahora puede configurar una ruta 0.0.0.0/0 para el tráfico de horquilla entre dos ubicaciones sin afectar a ninguna ubicación adicional. Si se utiliza la fijación de seguridad para el tráfico de la intranet, se agregan rutas de intranet específicas al sitio del cliente para reenviar el tráfico de la intranet a través de la ruta virtual al sitio de horquilla. Ya no es necesario habilitar el reenvío de WAN a WAN para lograr la funcionalidad de horquilla.

Acceso a Internet
November 16, 2022
Contribución de: 
C
November 16, 2022
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.