Configurar la segmentación del firewall

La segmentación del firewall de reenvío de rutas virtuales (VRF) proporciona múltiples dominios de enrutamiento acceso a Internet a través de una interfaz común, con el tráfico de cada dominio aislado del de los demás. Por ejemplo, los empleados y los invitados pueden acceder a Internet a través de la misma interfaz, sin ningún acceso al tráfico del otro.

  • Acceso a Internet del usuario invitado local
  • Acceso a Internet entre empleados y usuarios para aplicaciones definidas
  • Los usuarios de empleados pueden continuar con el bloqueo de cualquier otro tráfico al MCN
  • Permitir al usuario agregar rutas específicas para dominios de enrutamiento específicos.
  • Cuando está habilitada, esta función se aplica a todos los dominios de enrutamiento.

También puede crear varias interfaces de acceso para dar cabida a direcciones IP públicas independientes. Cualquiera de las opciones proporciona la seguridad necesaria para cada grupo de usuarios.

Nota

Para obtener más información, consulte cómo configurar VRF.

Para configurar servicios de Internet para todos los dominios de enrutamiento:

  1. Crear servicio de Internet para un sitio. Vaya a Conexiones > Ver región > Ver sitio > [Nombre del sitio] > Servicio Internet > Sección > Vínculos WAN y, en Vínculos WAN, active la casilla de verificación Usar.

    Imagen localizada

    Nota

    Debería ver que las rutas 0.0.0.0/0 agregadas, una por dominio de enrutamiento, en Conexiones > Ver región > Ver sitio >[Nombre del sitio] > Rutas.

    Imagen localizada

    Ya no es necesario tener todos los dominios de enrutamiento habilitados en el MCN.

  2. Si inhabilita los dominios de enrutamiento en el MCN, aparecerá el siguiente mensaje si los dominios están en uso en un sitio de sucursal:

    Imagen localizada

  3. Para confirmar que cada dominio de enrutamiento está utilizando el servicio de Internet, compruebe la columna Dominio de enrutamiento de la tabla Flujos de la interfaz de administración web en Monitor > Flujos.

    Imagen localizada

  4. También puede comprobar la tabla de enrutamiento para cada dominio de enrutamiento en Monitor > Estadísticas > Rutas.

    Imagen localizada

Casos de uso

En versiones anteriores de Citrix SD-WAN, el enrutamiento y reenvío virtuales tenían los siguientes problemas, que se han resuelto.

  • Los clientes tienen varios dominios de enrutamiento en un sitio de sucursal sin necesidad de incluir todos los dominios en el centro de datos (MCN). Necesitan la capacidad de aislar el tráfico de diferentes clientes de manera segura
  • Los clientes deben poder tener una única dirección IP pública con firewall accesible para múltiples dominios de enrutamiento para acceder a Internet en un sitio (que se extienda más allá de VRF lite).
  • Los clientes necesitan una ruta de Internet para cada dominio de enrutamiento que admita diferentes servicios.
  • Múltiples dominios de enrutamiento en un sitio de sucursal.
  • Acceso a Internet para diferentes dominios de enrutamiento.

Múltiples dominios de enrutamiento en un sitio de sucursal

Con las mejoras de segmentación de Virtual Forwarding y Firewall de enrutamiento, puede:

  • Proporcione una infraestructura, en el sitio de la sucursal, que admita conectividad segura para al menos dos grupos de usuarios, como empleados e invitados. La infraestructura puede admitir hasta 16 dominios de enrutamiento.
  • Aísle el tráfico de cada dominio de enrutamiento del tráfico de cualquier otro dominio de enrutamiento.
  • Proporcionar acceso a Internet para cada dominio de ruteo,

    • Se requiere una interfaz de acceso común y aceptable

    • Una interfaz de acceso para cada grupo con direcciones IP públicas independientes

  • El tráfico para el empleado se puede enrutar directamente a Internet local (aplicaciones específicas)
  • El tráfico del empleado se puede enrutar o volver a enviar al MCN para un filtrado extenso (ruta 0)
  • El tráfico para el dominio de enrutamiento se puede enrutar directamente a Internet local (ruta 0)
  • Admite rutas específicas por dominio de enrutamiento, si es necesario
  • Los dominios de enrutamiento están basados en VLAN
  • Elimina el requisito de que el RD tenga que residir en el MCN
  • El dominio de enrutamiento ahora se puede configurar en un sitio de sucursal
  • Le permite asignar varios RD a una interfaz de acceso (una vez habilitada)
  • A cada RD se le asigna una ruta 0.0.0.0
  • Permite agregar rutas específicas para un RD
  • Permite que el tráfico de RD diferente salga a Internet mediante la misma interfaz de acceso
  • Permite configurar una interfaz de acceso diferente para cada RD
  • Deben ser subredes únicas (RD se asignan a una VLAN)
  • Cada RD puede usar la misma zona predeterminada de FW
  • El tráfico se aísla a través del dominio de enrutamiento
  • Los flujos salientes tienen el RD como componente de la cabecera de flujo. Permite a SD-WAN asignar flujos de retorno para corregir el dominio de enrutamiento.

Requisitos previos para configurar varios dominios de enrutamiento:

  • El acceso a Internet está configurado y asignado a un enlace WAN.
  • Firewall configurado para NAT y directivas correctas aplicadas.
  • Segundo dominio de enrutamiento agregado globalmente.
  • Cada dominio de enrutamiento agregado a un sitio.
  • En Sitios > Nombre del sitio > Enlaces WAN > WL2[nombre] > Interfaz de acceso, asegúrese de que la casilla de verificación esté disponible y de que el servicio de Internet se haya definido correctamente. Si no puede activar la casilla de verificación, el servicio de Internet no está definido ni asignado a un enlace WAN para el sitio.

Casos de implementación

Imagen localizada

Imagen localizada

Limitaciones

  • El servicio de Internet debe agregarse al enlace WAN para poder habilitar el acceso a Internet para todos los dominios de enrutamiento. (Hasta que lo haga, la casilla de verificación para habilitar esta opción aparece atenuada).

    Después de habilitar el acceso a Internet para todos los dominios de enrutamiento, agregue automáticamente una regla Dynamic-NAT.

  • Hasta 16 dominios de enrutamiento por sitio.
  • Interfaz de acceso (AI): IA única por subred.
  • Las IA múltiples requieren una VLAN independiente para cada IA.
  • Si tiene dos dominios de enrutamiento en un sitio y tiene un único enlace WAN, ambos dominios utilizan la misma dirección IP pública.

  • Si está habilitado el acceso a Internet para todos los dominios de enrutamiento, todos los sitios pueden enrutarse a Internet. (Si un dominio de enrutamiento no requiere acceso a Internet, puede utilizar el firewall para bloquear su tráfico).
  • No se admite la misma subred en varios dominios de enrutamiento.

  • No hay funcionalidad de auditoría

  • Los enlaces WAN se comparten para el acceso a Internet.
  • Sin QoS por dominio de enrutamiento; primero en llegar primero en servir.

Configurar la segmentación del firewall