Citrix SD-WAN

Configurar la segmentación del firewall

La segmentación del firewall de reenvío de rutas virtuales (VRF) proporciona múltiples dominios de redirección acceso a Internet a través de una interfaz común, con el tráfico de cada dominio aislado del de los demás. Por ejemplo, los empleados y los invitados pueden acceder a Internet a través de la misma interfaz, sin ningún acceso al tráfico del otro.

  • Acceso a Internet del usuario invitado local
  • Acceso a Internet entre empleados y usuarios para aplicaciones definidas
  • Los usuarios de empleados pueden continuar con el bloqueo de cualquier otro tráfico al MCN
  • Permitir al usuario agregar rutas específicas para dominios de redirección específicos.
  • Cuando está habilitada, esta función se aplica a todos los dominios de redirección.

También puede crear varias interfaces de acceso para dar cabida a direcciones IP públicas independientes. Cualquiera de las opciones proporciona la seguridad necesaria para cada grupo de usuarios.

Nota

Para obtener más información, consulte cómo configurar los VRF.

Para configurar servicios de Internet para todos los dominios de redirección:

  1. Crear servicio de Internet para un sitio. Vaya a Conexiones > Ver región > Ver sitio > [Nombre del sitio] > Servicio de Internet > Sección > Enlaces WAN y, en Enlaces WAN, marque la casilla Usar.

Imagen localizada

Nota

Debe ver que las rutas 0.0.0.0/0 agregadas, una por dominio de redirección, en Conexiones > Ver región > Ver sitio > Nombre [del sitio] > Rutas.

Imagen localizada

Ya no es necesario tener todos los dominios de redirección habilitados en el MCN.

  1. Si inhabilita los dominios de redirección en el MCN, aparecerá el siguiente mensaje si los dominios están en uso en un sitio de sucursal:

Imagen localizada

  1. Puede confirmar que cada dominio de redirección está utilizando el servicio de Internet marcando la columna Dominio de redirección en la tabla Flujos de la interfaz de administración web en Monitor > Flujos.

Imagen localizada

  1. También puede comprobar la tabla de redirección para cada dominio de redirección en Monitor > Estadísticas > Rutas.

Imagen localizada

Casos de uso

En versiones anteriores de Citrix SD-WAN, el enrutamiento y reenvío virtuales tenían los siguientes problemas, que se han resuelto.

  • Los clientes tienen varios dominios de redirección en un sitio de sucursal sin necesidad de incluir todos los dominios en el centro de datos (MCN). Necesitan la capacidad de aislar el tráfico de diferentes clientes de manera segura
  • Los clientes deben poder tener una única dirección IP pública con firewall accesible para múltiples dominios de redirección para acceder a Internet en un sitio (que se extienda más allá de VRF lite).
  • Los clientes necesitan una ruta de Internet para cada dominio de redirección que admita diferentes servicios.
  • Múltiples dominios de redirección en un sitio de sucursal.
  • Acceso a Internet para diferentes dominios de redirección.

Múltiples dominios de redirección en un sitio de sucursal

Con las mejoras de segmentación de Virtual Forwarding y Firewall de redirección, puede:

  • Proporcione una infraestructura, en el sitio de la sucursal, que admita conectividad segura para al menos dos grupos de usuarios, como empleados e invitados. La infraestructura puede admitir hasta 16 dominios de redirección.
  • Aísle el tráfico de cada dominio de redirección del tráfico de cualquier otro dominio de redirección.
  • Proporcionar acceso a Internet para cada dominio de ruteo,

    • Se requiere una interfaz de acceso común y aceptable

    • Una interfaz de acceso para cada grupo con direcciones IP públicas independientes

  • El tráfico para el empleado se puede enrutar directamente a Internet local (aplicaciones específicas)
  • El tráfico del empleado se puede enrutar o volver a enviar al MCN para un filtrado extenso (ruta 0)
  • El tráfico para el dominio de redirección se puede enrutar directamente a Internet local (ruta 0)
  • Admite rutas específicas por dominio de redirección, si es necesario
  • Los dominios de redirección están basados en VLAN
  • Elimina el requisito de que el RD tenga que residir en el MCN
  • El dominio de redirección ahora se puede configurar en un sitio de sucursal
  • Le permite asignar varios RD a una interfaz de acceso (una vez habilitada)
  • A cada RD se le asigna una ruta 0.0.0.0
  • Permite agregar rutas específicas para un RD
  • Permite que el tráfico de RD diferente salga a Internet mediante la misma interfaz de acceso
  • Permite configurar una interfaz de acceso diferente para cada RD
  • Deben ser subredes únicas (RD se asignan a una VLAN)
  • Cada RD puede usar la misma zona predeterminada de FW
  • El tráfico se aísla a través del dominio de redirección
  • Los flujos salientes tienen el RD como componente de la cabecera de flujo. Permite a SD-WAN asignar flujos de retorno para corregir el dominio de redirección.

Requisitos previos para configurar varios dominios de redirección:

  • El acceso a Internet está configurado y asignado a un enlace WAN.
  • Firewall configurado para NAT y directivas correctas aplicadas.
  • Segundo dominio de redirección agregado globalmente.
  • Cada dominio de redirección agregado a un sitio.
  • En Sitios > Nombre del sitio > Enlaces WAN > [Nombre de WL2] > Interfaz de acceso, asegúrese de que la casilla de verificación esté disponible y de que el servicio de Internet se haya definido correctamente. Si no puede activar la casilla de verificación, el servicio de Internet no está definido ni asignado a un enlace WAN para el sitio.

Casos de implementación

Imagen localizada

Imagen localizada

Limitaciones

  • El servicio de Internet debe agregarse al enlace WAN para poder habilitar el acceso a Internet para todos los dominios de redirección. (Hasta que lo haga, la casilla de verificación para habilitar esta opción aparece atenuada).

    Después de habilitar el acceso a Internet para todos los dominios de redirección, agregue automáticamente una regla Dynamic-NAT.

  • Hasta 16 dominios de redirección por sitio.
  • Interfaz de acceso (AI): IA única por subred.
  • Las IA múltiples requieren una VLAN independiente para cada IA.
  • Si tiene dos dominios de redirección en un sitio y tiene un único enlace WAN, ambos dominios utilizan la misma dirección IP pública.

  • Si está habilitado el acceso a Internet para todos los dominios de redirección, todos los sitios pueden enrutarse a Internet. (Si un dominio de redirección no requiere acceso a Internet, puede utilizar el firewall para bloquear su tráfico).
  • No se admite la misma subred en varios dominios de redirección.

  • No hay funcionalidad de auditoría

  • Los enlaces WAN se comparten para el acceso a Internet.
  • Sin QoS por dominio de redirección; primero en llegar primero en servir.
Configurar la segmentación del firewall