Citrix SD-WAN

Integración de Palo Alto Networks en la plataforma SD-WAN 1100

Con la versión 11.0.2, Citrix SD-WAN admite la máquina virtual (VM) de Firewall de última generación de Palo Alto Networks (VM 50 y VM 100) alojada en la plataforma SD-WAN 1100.

El firewall de la serie de máquinas virtuales de Palo Alto Network se ejecuta como una máquina virtual de firewall alojada en la plataforma SD-WAN 1100. La máquina virtual de firewall alojada funciona como una función de red virtual (VNF) integrada en el modo de cable virtual. En el modo Virtual Wire, el firewall actúa como un puente conectado con dos puertos y el tráfico requerido es un servicio encadenado a través del firewall alojado.

Ventajas

Los siguientes son los principales objetivos o beneficios de la integración de Palo Alto Networks en la plataforma SD-WAN 1100:

  • Consolidación de dispositivos de sucursales: Un único dispositivo que realiza seguridad SD-WAN y avanzada
  • Seguridad avanzada para proteger Internet local y la separación de la nube
  • Bloquear los movimientos laterales de las amenazas (LAN a LAN)

Integre la máquina virtual Palo Alto Networks como VNF de seguridad en la plataforma SD-WAN 1100

En la plataforma SD-WAN, aprovisione e inicie la máquina virtual alojada. Realice los siguientes pasos para el Provisioning:

  1. En la GUI de Citrix SD-WAN, vaya a Configuración > expanda Configuración del equipo > seleccione Servidor de seguridad hospedado.

  2. Requisito previo: Cargar la imagen del software:
    • Seleccione la ficha Imágenes de software. El nombre del proveedor se rellena automáticamente y este campo no se puede modificar.
    • Elija el archivo de imagen de software.
    • Haga clic en Cargar.

    Subida de imágenes SW

    Nota Se puede cargar más de una imagen de software, pero solo se puede usar una en cualquier momento para aprovisionar la máquina virtual.

    Puede ver una barra de estado para realizar un seguimiento del proceso de carga. El detalle del archivo se refleja, una vez que la imagen se ha cargado correctamente. La imagen que se utiliza para el Provisioning no se puede eliminar. No realice ninguna acción ni vuelva a ninguna otra página hasta que el archivo de imagen muestre el 100% cargado.

  3. Para el Provisioning, seleccione la ficha Firewalls alojados y haga clic en Provisión. Servidor de seguridad alojado
  • Nombre del proveedor: El nombre del proveedor se rellena automáticamente y este campo no se puede modificar.
  • Modelo de máquina virtual: Seleccione el número de modelo de máquina virtual de la lista.
  • Nombre del archivo de imagen: Seleccione el archivo de imagen.
  • Dirección IP principal/nombre de dominio panorámico: Proporcione la dirección IP principal panorámica o el nombre de dominio completo (opcional).
  • Dirección IP secundaria/nombre de dominio panorámico: Proporcione la dirección IP secundaria panorámica o el nombre de dominio completo (opcional).
  • Clave de autenticación de máquina virtual: Proporcione la clave de autenticación de máquina virtual (opcional).

    La clave de autenticación de máquina virtual es necesaria para el registro automático de la máquina virtual Palo Alto Networks en el Panorama.

  • Código de autenticación: Introduzca el código de autenticación (código de licencia de máquina virtual) (opcional).
  1. Haga clic en Aplicar.

  2. Haga clic en Actualizar para obtener el estado más reciente. Después de que la máquina virtual Palo Alto Networks esté completamente arrancada, se reflejará en la interfaz de usuario de SD-WAN con el detalle del registro de operaciones.

    Detalle de registro de opción

    • Estado de administración: Indica si la máquina virtual está arriba o abajo.
    • Estado de procesamiento: Estado de procesamiento de la ruta de datos de la máquina virtual.
    • Paquete enviado: Paquetes enviados desde SD-WAN a la máquina virtual de seguridad.
    • Paquete recibido: Paquetes recibidos por SD-WAN desde la máquina virtual de seguridad.
    • Paquete eliminado: Paquetes descartados por SD-WAN (por ejemplo, cuando la máquina virtual de seguridad está inactiva).
    • Acceso a dispositivos: Haga clic en el enlace para obtener el acceso de la GUI a la máquina virtual de seguridad.

Puede iniciar, apagar y desaprovisionar la máquina virtual según sea necesario. Utilice la opción Click Here para acceder a la GUI de la máquina virtual Palo Alto Networks o utilice su IP de administración junto con el puerto 4100 (dirección IP: 4100).

Nota Utilice siempre el modo incógnito para acceder a la GUI de Palo Alto Networks. La carga de la imagen de la máquina virtual Palo Alto Networks puede tardar más tiempo dependiendo de la disponibilidad del ancho de banda.

Provisioning de Palo Alto Networks mediante SD-WAN Center

Requisitos previos

  • Agregar y configurar el almacén de datos. Para obtener más información, consulte Requisitos e instalación del sistema.
  • Configure el límite de almacenamiento. Para configurar el límite de almacenamiento, vaya a Administración > Mantenimiento del almacenamiento.
    • Seleccione la cantidad de almacenamiento requerida de la lista.
    • Haga clic en Aplicar.

    Almacenamiento

Nota El almacenamiento se reserva de la partición secundaria que está activa si se cumple la condición.

Realice los siguientes pasos para Provisioning la máquina virtual alojada en la plataforma SD-WAN Center:

  1. En la GUI de Citrix SD-WAN Center, vaya a Configuración > seleccione Firewall hospedado.

    Sitios fw alojados

    Puede seleccionar la Región de la lista para ver los detalles del sitio aprovisionado para esa región seleccionada.

  2. Requisito previo: Cargar la imagen del software:

    NOTA Asegúrese de que dispone de suficiente espacio en disco para cargar la imagen del software.

    Vaya a la ficha Imágenes de software y haga clic o suelte el archivo de imagen de software en el cuadro para cargar. El nombre del proveedor se rellena automáticamente y este campo no se puede modificar.

    Cargar imagen sw

    Aparecerá una barra de estado con el proceso de carga en curso. No haga clic en Actualizar ni realice ninguna otra acción hasta que el archivo de imagen muestre el 100% cargado.

    • Actualizar: Haga clic en la opción Actualizarpara obtener los detalles más recientes del archivo de imagen.
    • Eliminar: Haga clic en la opción Eliminarpara eliminar cualquier archivo de imagen existente.
  3. Para el Provisioning, vuelva a la ficha Firewalls alojados y haga clic en Provisión.

    Empezar a aprovisionar

    • Proveedor: Seleccione el nombre del proveedorde la lista.
    • Modelo de máquina virtual de proveedor: Seleccione el número de modelo de máquina virtual de la lista.
    • Imagen de software: Seleccione el archivo de imagen que quiere aprovisionar.
    • Región: Seleccione la región de la lista.
    • Sitios para alojamiento de firewall: Seleccione sitios para la lista de alojamiento de firewall. Debe seleccionar sitios primarios y secundarios si los sitios están en modo de alta disponibilidad.

    • Dirección IP principal/nombre de dominio del servidorde administración: Introduzca la dirección IP principal de administración o el nombre de dominio completo (opcional).
    • Dirección IP secundaria/nombre de dominio del servidorde administración: Introduzca la dirección IP secundaria del servidor de administración o el nombre de dominio completo (opcional).

    • Clave de autenticación de máquina virtual: Introduzca la clave de autenticación virtual que se utilizará en el servidor de administración.

    • Código de autenticación: Introduzca el código de autenticación virtual que se utilizará para la concesión de licencias.
  4. Haga clic en Iniciar aprovisionamiento.
  5. Haga clic en Actualizar para obtener el estado más reciente. Después de que la máquina virtual Palo Alto Networks esté completamente arrancada, se reflejará en la interfaz de usuario del centro SD-WAN.

Puede iniciar, apagar y desaprovisionar la máquina virtual según sea necesario.

Seleccionar sitio para aprovisionar

  • Nombre del Sitio: Muestra el nombre del sitio.
  • Dirección IP de administración: Muestra la dirección IP de administración del sitio.
  • Nombre de la región: Muestra el nombre de la región.
  • Proveedor: Muestra el nombre del proveedor (Palo Alto Networks).
  • Modelo: Muestra el número de modelo (VM50/VM100).
  • Estado de administración: Estado de la máquina virtual del proveedor (arriba/abajo).
  • Estado de Operación: Muestra el mensaje de estado operativo.
  • Sitio hospedado: Utilice el enlace Haga clic aquí para acceder a la GUI de la máquina virtual Palo Alto Networks.

Para aprovisionar los sitios de región no predeterminados, debe cargar la imagen de software en SD-WAN Center Collector. Puede aprovisionar las redes Palo Alto tanto desde la GUI del extremo de la cabeza del centro SD-WAN o SD-WAN Center Collector.

Para obtener la dirección IP del colector de SD-WAN Center, vaya a Configuración > Detección de red > seleccione la ficha Configuración de detección.

IP del recopilador

Para aprovisionar las redes Palo Alto desde SD-WAN Collector:

  1. Desde SD-WAN Collector GUI, vaya a Configuration > seleccione Hosted Firewall.

    Firewall alojado en Collector

  2. Vaya a la ficha Imágenes de software para cargar la imagen de software.
  3. Haga clic en Aprovisionar en la ficha Sitios de firewall hospedados.
  4. Proporcione los siguientes detalles y haga clic en Iniciar aprovisionamiento.

    Suministro de cobradores

Redirección de tráfico

Abra la interfaz de usuario de Citrix SD-WAN, vaya a Configuración >expanda WAN virtual >seleccione Editor de configuración. Se agrega una nueva plantilla de configuración como Plantilla de firewall alojado en la sección Global.

Temp fw hospedado

Proporcione la información necesaria disponible en la siguiente captura de pantalla para agregar la plantilla Hosted Firewall y haga clic en Agregar.

Agregar

La plantilla de firewall hospedado le permite configurar la redirección de tráfico al firewall de terceros alojado en el dispositivo SD-WAN. La redirección de tráfico a firewall hospedado se puede habilitar mediante directivas de firewall SD-WAN. Las siguientes son las entradas necesarias para configurar la plantilla:

  • Nombre: Nombre de la plantilla de firewall alojada.
  • Proveedor: Nombre del proveedor del firewall.
  • Modelo: Modelode máquina virtual del firewall alojado.
  • IP/FQDN del servidorde administración principal: IP/FQDN del servidor de administración principal del firewall alojado.
  • Servidor de administración secundario IP/FQDN: Servidor de administración secundario IP/FQDN del firewall alojado.
  • Interfaces de redirección de servicios: Son interfaces lógicas utilizadas para la redirección de tráfico entre SD-WAN y firewall hospedado. Interface-1, Interface-2 hace referencia a las dos primeras interfaces del firewall hospedado. Si se utilizan VLAN para la redirección del tráfico, se deben configurar las mismas VLAN en el firewall hospedado. Las VLAN configuradas para la redirección del tráfico son internas de la SD-WAN y del firewall hospedado.

    Nota La interfaz de entrada de redirección debe seleccionarse desde la dirección del iniciador de conexión, la interfaz de redirección se elige automáticamente para el tráfico de respuesta. Por ejemplo, si el tráfico de Internet saliente se redirige al firewall hospedado en Interface-1, entonces el tráfico de respuesta se redirige automáticamente al firewall hospedado en Interface-2.

Solo se asignan dos interfaces físicas para alojar el firewall de Palo Alto Networks. Si el tráfico de varias zonas necesita ser redirigido al firewall hospedado, se pueden crear varias subinterfaces mediante VLAN internas y asociadas a diferentes zonas de firewall en el firewall hospedado.

A través de directivas de firewall SD-WAN o directivas de nivel de sitio, puede redirigir todo el tráfico a la máquina virtual Palo Alto Networks.

Nota Las directivas de firewall SD-WAN se crean automáticamente para permitir el tráfico a/desde servidores de administración de firewall alojados. Esto evita la redirección del tráfico de administración que se origina desde (o) destinado al firewall hospedado.

Para redirigir todo el tráfico, seleccione la ficha Conexión en el Editor de configuración > seleccione Directivas en la lista Selección > haga clic en + Agregar.

Directiva de fw alojada

Seleccione el tipo de directiva (Firewall hospedado o Firewall integrado) y rellene todos los demás campos con los detalles necesarios.

Actualmente, las directivas de firewall SD-WAN son específicas de la dirección. Para la redirección de firewall hospedado, se introduce una nueva opción Tipo de coincidencia de conexión en Editor de configuración > sección Global.

  • Valor predeterminado: Coincidir conexiones mediante los criterios de coincidencia especificados.
  • Simétrico: Haga coincidir conexiones mediante los criterios de coincidencia especificados y aplique acciones de directiva a ambas direcciones.

Tipo de coincidencia de conexión

Mientras toda la configuración de red esté en modo activo y en ejecución, puede supervisar la conexión en Supervisión > Firewall > en la lista Estadísticas, seleccione Directivas de filtro.

Directiva de filtrado

Puede verificar la asignación entre la configuración que realizó en la plantilla de cadena de servicios SD-WAN y la configuración de red Palo Alto mediante la interfaz de usuario de Palo Alto Networks.

Palo alto

NOTA La máquina virtual Palo Alto Networks no se puede aprovisionar si Cloud Direct o SD-WAN WANOP (PE) ya están aprovisionados en el dispositivo 1100.

Integración de Palo Alto Networks en la plataforma SD-WAN 1100