Citrix SD-WAN

Integración de Zscaler mediante túneles GRE y túneles IPSec

Zscaler Cloud Security Platform actúa como una serie de puestos de comprobación de seguridad en más de 100 centros de datos en todo el mundo. Simplemente redirigiendo su tráfico de Internet a Zscaler, puede proteger inmediatamente sus almacenes, sucursales y ubicaciones remotos. Zscaler conecta a los usuarios y a Internet, inspeccionando cada byte de tráfico, incluso si está encriptado o comprimido.

Los dispositivos Citrix SD-WAN pueden conectarse a una red en la nube de Zscaler a través de túneles GRE en el sitio del cliente. Una implementación de Zscaler que utiliza dispositivos SD-WAN admite la siguiente funcionalidad:

  • Reenvío de todo el tráfico GRE a Zscaler, lo que permite la ruptura directa de Internet.
  • Acceso directo a Internet (DIA) mediante Zscaler en base a un sitio por cliente.
    • En algunos sitios, es posible que quiera proporcionar a DIA equipo de seguridad local y no utilizar Zscaler.
    • En algunos sitios, puede optar por realizar una copia de seguridad del tráfico a otro sitio del cliente para acceder a Internet.
  • Implementaciones de enrutamiento y reenvío virtuales.
  • Un enlace WAN como parte de los servicios de Internet.

Zscaler es un servicio en la nube. Debe configurarlo como un servicio y definir los enlaces WAN subyacentes:

  • Configure un servicio de Internet en el centro de datos y sucursal a través de GRE.
  • Configure un vínculo de Internet público de confianza en el centro de datos y en los sitios de sucursal.

Topología

Imagen localizada

Imagen localizada

Para utilizar el reenvío de tráfico del túnel GRE o del túnel IPSec:

  1. Inicie sesión en el portal de ayuda de Zscaler en:https://help.zscaler.com/submit-ticket.

  2. Crear un ticket y proporcionar la dirección IP pública estática, que se utiliza como la dirección IP de origen del túnel GRE o IPSec.

Zscaler utiliza la dirección IP de origen para identificar la dirección IP del cliente. La IP de origen debe ser una IP pública estática. Zscaler responde con dos direcciones IP ZEN (Primaria y Secundaria) a las que transmitir tráfico. Los mensajes GRE Keep alive se pueden utilizar para determinar el estado de los túneles.

Zscaler utiliza el valor de la dirección IP de origen para identificar la dirección IP del cliente. Este valor debe ser una dirección IP pública estática. Zscaler responde con dos direcciones IP ZEN[DR1]a las que redirigir el tráfico. Los mensajes GRE keep-alive se pueden utilizar para determinar el estado de los túneles.

Direcciones IP de ejemplo

Principal

Dirección IP del router interno: 172.17.6.241/30 Dirección IP interna ZEN: 172.17.6.242/30

Secundario

Dirección IP del router interno: 172.17.6.245/30 Dirección IP interna ZEN: 172.17.6.246/30

Configuración de un servicio de Internet

Para configurar un servicio de Internet:

  1. Vaya a Conexiones - Servicios de Internet. Configurar el servicio de Internet.

    Imagen localizada

    Imagen localizada

    Imagen localizada

Configurar túnel GRE

  1. La dirección IP de origen es la dirección IP de origen del túnel. Si la dirección IP de origen del túnel es NATTED, la dirección IP de origen público es la dirección IP pública de origen del túnel, incluso si está NATTED en un dispositivo intermedio diferente.

  2. La dirección IP de destino es la dirección IP ZEN que proporciona Zscaler.

  3. La dirección IP de origen y la dirección IP de destino son los encabezados GRE del enrutador cuando se encapsula la carga útil original.

  4. La dirección IP del túnel y el prefijo son el direccionamiento IP del propio túnel GRE. Esto es útil para enrutar el tráfico a través del túnel GRE. El trafic necesita esta dirección IP como dirección de Gateway.

    Imagen localizada

Para configurar el túnel GRE:

  1. En el editor de configuración, vaya a Conexiones > Sitio > Túneles GRE y configure rutas para reenviar servicios de prefijo de Internet a los túneles GRE de Zscaler.

    La dirección IP de origen se puede elegir de la interfaz de red virtual en vínculos de confianza. Consulte Cómo configurar el túnel GRE.

    Imagen localizada

Configurar rutas para túneles GRE

Configure rutas para reenviar servicios de prefijo de Internet a los túneles GRE de Zscaler.

  • La dirección IP ZEN (IP de destino del túnel, que se muestra como 104.129.194.38 en la figura anterior) debe establecerse en Internet de tipo servicio. Esto es necesario para que el tráfico destinado a Zscaler se contabilice desde el servicio de Internet.
  • Todo el tráfico destinado a Zscaler debe coincidir con la ruta predeterminada 0/0 y transmitirse a través del túnel GRE. Asegúrese de que la ruta 0/0 utilizada para [DR1] el túnel GRE tenga un coste menor que el de paso o cualquier otro tipo de servicio.
  • Del mismo modo, el túnel GRE de respaldo a Zscaler debe tener un coste mayor que el del túnel GRE primario.
  • Asegúrese de que existen rutas no recursivas para la dirección IP ZEN.

Para configurar rutas para el túnel GRE:

  1. Vaya a Conexiones > Sitio > Rutas y siga los procedimientos descritos en Configuración de Rutas para obtener instrucciones sobre cómo crear rutas.

    Imagen localizada

    Nota

    Si no tiene rutas específicas para la dirección IP de Zscaler, configure el prefijo de ruta 0.0.0.0/0 para que coincida con la dirección IP ZEN y enrute a través de un bucle de encapsulación de túnel GRE. Esta configuración utiliza los túneles en un modo de copia de seguridad activa. Con los valores mostrados en la figura anterior, el tráfico pasa automáticamente al túnel con la dirección IP de la Gateway 172.17.6.242. Si lo quiere, configure una ruta de ruta virtual de backhaul. De lo contrario, establezca el intervalo de mantenimiento vivo del túnel de copia de seguridad en cero. Esto permite el acceso seguro a Internet a un sitio incluso si los dos túneles a Zscaler fallan.

    Se admiten los mensajes de mantenimiento de GRE. Un nuevo campo denominado IP de origen público que proporciona la dirección NAT de la dirección de origen GRE se agrega a la interfaz GUI de Citrix SD-WAN (en el caso de que el origen del túnel del dispositivo SD-WAN sea NATTED por un dispositivo intermedio). La GUI de Citrix SD-WAN incluye un campo denominado IP de origen público, que proporciona la dirección NAT de la dirección de origen GRE cuando el origen del túnel del dispositivo Citrix SD-WAN está Natted por un dispositivo intermedio.

Limitaciones

  • No se admiten varias implementaciones de VRF.
  • Los túneles GRE principales de reserva solo son compatibles con un modo de diseño de alta disponibilidad.

Configurar túneles IPSec

Imagen localizada

Para configurar túneles IPSec para servicios de intranet o LAN en la GUI del dispositivo Citrix SD-WAN:

  1. En el Editor de configuración, vaya a Conexiones > <NombreDelSitio> > Túneles IPSec y elija un tipo de servicio (LAN o Intranet).

  2. Escriba un nombre para el tipo de servicio. Para el tipo de servicio de intranet, el servidor de intranet configurado determina qué direcciones IP locales están disponibles.

  3. Seleccione la dirección IP local disponible e introduzca la dirección IP del mismo nivel para la ruta virtual al mismo nivel remoto.

    Imagen localizada

    Imagen localizada

  4. Seleccione IKEv1 para Configuración IKE. Zscaler solo admite IKEv1.

    Imagen localizada

  5. En Configuración de IPSec, seleccione ESP-NULL para Tipo de túnel, para redirigir el tráfico a Zscaler a través del túnel IPSec. El túnel IPSec no cifra el tráfico.

    Imagen localizada

  6. Debido a que el tráfico de Internet se redirige, el IP/prefijo de destino puede ser cualquier dirección IP.

    Imagen localizada

Para obtener más información acerca de la configuración de túneles IPSec mediante la interfaz web Citrix SD-WAN, consulte elTúneles IPSectema.

Configurar rutas para túneles IPSec

Para configurar rutas IPSec:

  1. Vaya a Conexiones > DC > Rutas y siga los procedimientos descritos enConfiguración de Rutas para obtener instrucciones sobre cómo crear rutas.

Imagen localizada

Para supervisar las estadísticas del túnel GRE e IPSec:

En la interfaz web SD-WAN, vaya a Monitoring > Statistics > [GRE Tunnel Túnel IPsec].

Para obtener más información, consulte los temas supervisar túneles IPSec y Túneles GRE.

Integración de Zscaler mediante túneles GRE y túneles IPSec