Services de mise à disposition

Lesservices de remise vous permettent de configurer des services de remise tels que Internet, Intranet, IPSec et LAN GRE. Les services de prestation sont définis globalement et appliqués aux liaisons WAN sur des sites individuels, selon le cas.

Chaque liaison WAN peut appliquer la totalité ou un sous-ensemble de services pertinents, et configurer des parts relatives de bande passante ( %) parmi tous les services de livraison.

Le service Virtual Path est disponible sur tous les liens par défaut. Les autres services peuvent être ajoutés au besoin.

Navigation du jeu de services de livraison

Les services de livraison sont des mécanismes de livraison disponibles sur Citrix SD-WAN pour diriger différentes applications ou profils de trafic en utilisant les bonnes méthodes de livraison en fonction de l’intention de l’entreprise.

Les services de prestation peuvent être classés de façon générale comme suit :

  • Service de chemin virtuel : tunnel SD-WAN à double extrémité offrant une connectivité sécurisée, fiable et de haute qualité entre deux sites hébergeant des appliances SD-WAN ou des instances virtuelles.
  • Service Internet : Canal direct entre un site SD-WAN et l’Internet public, sans encapsulation SD-WAN. Citrix SD-WAN prend en charge la fonction d’équilibrage de charge de session pour le trafic lié à Internet sur plusieurs liens Internet.
  • Service Intranet : Connectivité basée sur un lien de sous-couche entre un site SD-WAN et un site non-SD-WAN.

    Le trafic n’est pas encapsulé ou peut utiliser n’importe quel encapsulation de chemin non virtuel tel que IPSec, GRE. Vous pouvez configurer plusieurs services Intranet.

Configuration du service et paramètres de bande passante par défaut

Sous l’onglet Configuration du service et paramètres par défaut de la bande passante, vous pouvez afficher un service Internet créé par défaut. Le trafic des succursales utilise les sites de transit pour accéder à Internet. Cette section vous permet de définir les nouveaux services de livraison et la proportion d’allocation de bande passante par défaut ( %) pour tous les services de livraison. Les besoins d’allocation de bande passante entre les services de prestation peuvent varier en fonction du type de liaison concerné.

Par exemple, si vous utilisez de nombreuses applications SaaS, vous pouvez envisager d’allouer une proportion relativement importante de la bande passante sur vos liens Internet pour le service Internet afin d’activer la rupture directe de l’Internet. Sur vos liens MPLS, vous pouvez choisir d’allouer plus de bande passante pour le service de chemin d’accès virtuel ou le service intranet selon que vos sites SD-WAN ont la majeure partie du trafic vers d’autres sites SD-WAN ou des sites non-SD-WAN.

En fonction de vos besoins, vous pouvez définir des valeurs par défaut de partage de bande passante globale entre les services de livraison pour chaque type de lien : liens Internet, liens MPLS et liens Intranet privé.

Détails de la bande passante de configuration du service

Les valeurs par défaut peuvent être remplacées sur des liens individuels. Lors de la configuration des liaisons WAN, vous pouvez choisir d’utiliser ces valeurs globales par défaut ou de configurer des paramètres de bande passante de service spécifiques aux liaisons. La configuration d’un partage de bande passante non nul est requise pour que tout service de livraison soit activé et actif sur un lien.

Des paramètres supplémentaires sont disponibles pour les services Internet et Intranet, qui peuvent être personnalisés à l’aide de l’icône de réglage affichée pour chaque service.

Paramètres du service de livraison

Cliquez sur + Nouveau service et sélectionnez un type de service . En fonction du service de livraison complémentaire que vous souhaitez créer, choisissez le type de service requis et procédez à la configuration.

Type de service

Service Internet

Leservice Internet est disponible par défaut dans le cadre des services de livraison. Vous pouvez configurer le coût de l’itinéraire du service Internet par rapport aux autres services de livraison et configurer des sites de transit Internet.

Vous pouvez ajouter des sites en tant que sites de transit Internet pour activer l’accès Internet aux sites. Pour les sites qui ont besoin d’une connexion Internet directe, doivent avoir au moins un lien avec le service Internet activé. Cela signifie qu’au moins un lien est défini sur un partage de bande passante non nul.

Un coût d’itinéraire peut être attribué à chaque site de transit. Les sites avec un service Internet disponible accèdent directement à Internet puisque l’itinéraire direct serait le chemin d’acheminement le plus bas coût. Les sites sans service Internet peuvent acheminer vers Internet via les sites de transit configurés. Lorsque les sites de transit Internet sont configurés, les routes vers Internet via ces sites de transit sont automatiquement poussées vers tous les sites. Les sites de transit Internet sont les sites pour lesquels le service Internet est activé.

Par exemple, si San Francisco et New York sont configurés en tant que sites de transit Internet. Les routes vers Internet via San Francisco et New York sont automatiquement poussées vers tous les sites.

sites de transit

Service Intranet

Un utilisateur peut créer plusieurs services intranet. Une fois le service intranet créé au niveau global, vous pouvez le référencer au niveau WAN Link.

Configurer le service intranet

Indiquez un nom de service. Sélectionnez Domaine de routage et Zone de pare-feu souhaités.

  • Réseaux intranet : ajoutez toutes les adresses IP intranet sur le réseau, que d’autres sites du réseau pourraient avoir besoin d’interagir.

  • Sites de transit intranet : ajoutez des sites en tant que sites de transitpour permettre à tous les sites non intranet d’accéder aux réseaux intranet configurés. Un coût d’itinéraire peut être attribué à chaque site de transit. Les sites disponibles avec un service intranet accèdent directement aux réseaux intranet puisque l’itinéraire direct serait le chemin de routage le plus bas coût. Les sites sans service intranet peuvent acheminer vers les réseaux intranet via les sites de transit configurés. Lorsque les sites de transit sont configurés, les routes vers les réseaux intranet via ces sites de transit sont automatiquement acheminées vers tous les sites.

    Par exemple, supposons que 10.2.1.0/24 est un réseau intranet, et qu’Austin et Dallas sont configurés en tant que sites de transit. Les routes vers cette adresse réseau à travers Austin et Dallas sont automatiquement poussées vers tous les sites.

Service GRE

Vous pouvez configurer les appliances SD-WAN pour qu’elles terminent les tunnels GRE sur le réseau local.

Gre

Détails du GRE

  • Nom : Nom du service LAN GRE.
  • Domaine de routage : Domaine de routage du tunnel GRE.
  • Zone de pare-feu : Zone de pare-feu choisie pour le tunnel. Par défaut, le tunnel est placé dans la zone Default_lan_zone.
  • Keep alive : période entre l’envoi de messages keep alive. S’il est configuré à 0, aucun paquet keep alive n’est envoyé, mais le tunnel reste en place.
  • Retentatives de maintien en vie : nombre de fois que l’appliance Citrix SD-WAN envoie des paquets de maintien en vie sans réponse avant d’arrêter le tunnel.
  • Somme de contrôle : Activez ou désactivez la somme de contrôle pour l’en-tête GRE du tunnel.

Liaisons de site

  • Nom du site : Site pour cartographier le tunnel GRE.
  • IP source : adresse IP source du tunnel. Il s’agit de l’une des interfaces virtuelles configurées sur ce site. Le domaine de routage sélectionné détermine les adresses IP source disponibles.
  • IP source publique : IP source si le trafic tunnel passe par NAT.
  • IP de destination : adresse IP de destination du tunnel.
  • Tunnel IP/PREFIX : Adresse IP et préfixe du tunnel GRE.
  • IP de la passerelle du tunnel : Adresse IP du saut suivant pour acheminer le trafic du tunnel.
  • IP de la passerelle LAN : Adresse IP du saut suivant pour acheminer le trafic LAN.

Service Zscaler

Si vous configurez le service Zscaler, configurez LAN GRE. Indiquez un nom de service, sélectionnez le domaine de routage, la zone de pare-feu et ajoutez des liaisons de site. Pour plus d’informations sur le service Zscaler, reportez-vous à la sectionIntégration de Zscaler à l’aide des tunnels GRE et IPsec.

Zscaler

Fournissez les détails suivants pour authentifier Zscaler :

  • Nom d’utilisateur : Entrez le nom de l’utilisateur.
  • Mot de passe : Entrez le mot de passe.
  • Nom du nuage : entrez le nom du nuage disponible dans l’URL utilisée par les administrateurs pour se connecter au service Zscaler. Nom du nuage

    Pour maximiser l’efficacité opérationnelle, Zscaler a construit une infrastructure multi-cloud mondiale avec une grande évolutivité. Une organisation est provisionnée sur un nuage et son trafic est traité uniquement par ce nuage.

  • Clé API : Entrez laAbonnement APIclé. Lorsqu’un abonnement API est appliqué à votre organisation, Zscaler active la clé.

  • Cliquez sur Enregistrer.

Service IPsec

Les appliances Citrix SD-WAN peuvent négocier des tunnels IPsec fixes avec des homologues tiers du côté LAN ou WAN. Vous pouvez définir les points d’extrémité du tunnel et mapper des sites aux points d’extrémité du tunnel.

Vous pouvez également sélectionner et appliquer un profil de sécurité IPsec qui définit le protocole de sécurité et les paramètres IPsec.

Pour configurer le tunnel IPSec :

  1. Spécifiez les détails du service.

    • Nom du service : nom du service IPSec.
    • Type de service : sélectionnez le service utilisé par le tunnel IPSec.
    • Domaine de routage : pour les tunnels IPSec sur LAN, sélectionnez un domaine de routage. Si le tunnel IPSec utilise un service intranet, le service intranet détermine le domaine de routage.
    • Zone de pare-feu : Zone de pare-feu pour le tunnel. Par défaut, le Tunnel est placé dans la zone Default_LAN_Zone.
  2. Ajoutez le point d’extrémité du tunnel.

    • Nom : Lorsque Type de serviceest Intranet, choisissez un service Intranet que le tunnel protège. Sinon, entrez un nom pour le service.
    • IP homologue : adresse IP de l’homologue distant.
    • ProfilIPsec : profilde sécurité IPsec qui définit le protocole de sécurité et les paramètres IPsec.
    • Clé pré partagée : clé pré partagée utilisée pour l’authentification IKE.
    • Clé pré-partagée pair : clé pré-partagée utilisée pour l’authentification IKEv2.
    • Données d’identité : données à utiliser comme identité locale, lors de l’utilisation de l’identité manuelle ou du type de nom de domaine complet utilisateur.
    • Données d’identité de pair : données à utiliser comme identité d’homologue, lors de l’utilisation de l’identité manuelle ou du type de nom de domaine complet utilisateur.
    • Certificat : si vous choisissez Certificate comme authentification IKE, choisissez parmi les certificats configurés.
  3. Carte des sites aux points d’extrémité du tunnel.

    • Choisissez Endpoint : Point de fin à mapper sur un site.
    • Nom du site : site à mapper au point final.
    • Nom de l’interface virtuelle : Interface virtuelle sur le site à utiliser comme point final.
    • IP locale : adresse IP virtuelle locale à utiliser comme point d’extrémité du tunnel local.
  4. Créez le réseau protégé.

    • IP/préfixe réseau source : adresse IP source et préfixe du trafic réseau protégé par le tunnel IPsec.
    • IP/préfixe réseaude destination : adresse IP de destination et préfixe du trafic réseau protégé par le tunnel IPsec.
  5. Vérifiez que les configurations IPSec sont mises en miroir sur l’appliance homologue.

    Service Ipsec

Pour plus d’informations, reportez-vous à la section Comment configurer les tunnels IPSec pour les chemins virtuels et dynamiques.

Profils de chiffrement IPSec

Pour ajouter un profil de chiffrement IPSec, accédez à Configuration > Services de mise à disposition > sélectionnez l’onglet Profils de chiffrement IPSec .

Navigation d'encrip Ipsec

IPsec fournit des tunnels sécurisés. Citrix SD-WAN prend en charge les chemins virtuels IPSec, ce qui permet aux périphériques tiers de mettre fin aux tunnels VPN IPSec sur le côté LAN ou WAN d’une appliance Citrix SD-WAN. Vous pouvez sécuriser les tunnels IPSec site à site se terminant sur une appliance SD-WAN à l’aide d’un binaire cryptographique IPSec certifié FIPS 140-2 Niveau 1.

Citrix SD-WAN prend également en charge le tunneling IPSec résilient à l’aide d’un mécanisme de tunneling de chemin virtuel différencié.

Les profils IPSec sont utilisés lors de la configuration des services IPSec en tant qu’ensembles de services de livraison. Dans la page de profil de sécurité IPsec, entrez les valeurs requises pour le profil de chiffrement IPsec, les paramètres IKE et les paramètres IPsec suivants.

Informations de profil de chiffrement IPsec

  • Nom du profil : indiquez un nom de profil.
  • MTU : Entrez la taille maximale des paquets IKE ou IPSec en octets.
  • Maintenir en vie : activez la case à cocher pour maintenir le tunnel actif et activer l’éligibilité de l’itinéraire.
  • Version IKE : Sélectionnez une version de protocole IKE dans la liste déroulante.

    Info d'encrp prof Ipsec

Paramètres IKE

  • Mode : sélectionnez Mode principal ou Mode agressif dans la liste déroulante du mode de négociation IKE Phase 1.
    • Principal : Aucune information n’est exposée à des attaquants potentiels pendant la négociation, mais elle est plus lente que le mode agressif.
    • Agressif : certaines informations (par exemple, l’identité des pairs négociateurs) sont exposées à des attaquants potentiels pendant la négociation, mais sont plus rapides que le mode Principal.
  • Authentification : choisissez le type d’authentification comme Certificat ou Clé pré-partagée dans le menu déroulant.
  • Identité : sélectionnez la méthode d’identité dans la liste déroulante.
  • Identité des pairs : sélectionnez la méthode d’identité des pairs dans la liste déroulante.
  • Groupe DH : Sélectionnez le groupe Diffie-Hellman (DH) disponible pour la génération de clés IKE.
  • Algorithme de hachage : choisissez un algorithme de hachage dans la liste déroulante pour authentifier les messages IKE.
  • Mode de chiffrement : choisissez le mode de chiffrement des messages IKE dans la liste déroulante.
  • Durée devie (s) : Entrez la durée préférée (en secondes) pour qu’une association de sécurité IKE existe.
  • Durée devie (s) maximale(s) : entrez la durée maximale préférée (en secondes) pour permettre à une association de sécurité IKE d’exister.
  • Délai (s) DDP : Entrez le délai d’expiration de détection des pairs morts (en secondes) pour les connexions VPN.

    Paramètres Ike

Paramètres IPsec

  • Type de tunnel : choisissez ESP, ESP+Auth, ESP+NULL ou AH comme type d’encapsulation de tunnel dans la liste déroulante.

    • ESP : Chiffre uniquement les données utilisateur
    • ESP+Auth : Chiffre les données utilisateur et inclut un HMAC
    • ESP+NULL : les paquets sont authentifiés mais non chiffrés
    • AH : Comprend uniquement un HMAC
  • Groupe PFS : choisissez le groupe Diffie—Hellman à utiliser pour une génération de clés de confidentialité directe parfaite dans le menu déroulant.
  • Mode de chiffrement : choisissez le mode de chiffrement des messages IPsec dans le menu déroulant.
  • Algorithme de hachage : Les algorithmes de hachage MD5, SHA1 et SHA-256 sont disponibles pour la vérification HMAC.
  • Incompatibilité réseau : choisissez une action à effectuer si un paquet ne correspond pas aux réseaux protégés du tunnel IPSec dans le menu déroulant.
  • Durée (s) : Entrez la durée (en secondes) d’existence d’une association de sécurité IPSec.
  • Durée devie (s) maximale(s) : entrez la durée maximale (en secondes) pour autoriser une association de sécurité IPSec à exister.
  • Durée devie (Ko) : entrez la quantité de données (en kilo-octets) pour qu’une association de sécurité IPsec existe.
  • Durée devie (Ko) Max : Entrez la quantité maximale de données (en kilo-octets) pour permettre l’existence d’une association de sécurité IPSec.

    Paramètres Ipsec