Citrix SD-WAN Orchestrator

Configurer la segmentation du pare-feu

La segmentation du pare-feu VRF (Virtual Route Forwarding) fournit plusieurs domaines de routage accès à Internet via une interface commune, le trafic de chaque domaine étant isolé de celui des autres. Par exemple, les employés et les invités peuvent accéder à Internet via la même interface, sans aucun accès au trafic de l’autre.

  • Accès Internet invité-utilisateur local
  • Accès à Internet employeur-utilisateur pour des applications définies
  • Les employé-utilisateurs peuvent continuer à épingler tout autre trafic vers le MCN
  • Autoriser l’utilisateur à ajouter des itinéraires spécifiques pour des domaines de routage spécifiques.
  • Lorsqu’elle est activée, cette fonctionnalité s’applique à tous les domaines de routage.

Vous pouvez également créer plusieurs interfaces d’accès pour accueillir des adresses IP publiques distinctes. L’une ou l’autre option fournit la sécurité requise pour chaque groupe d’utilisateurs.

Activation de l’accès à Internet sur le ou les domaines de routage

Vous pouvez activer l’accès à Internet sur un domaine de routage via le service Citrix SD-WAN Orchestrator. Cette option crée automatiquement une route DEFAULT (0.0.0.0/0) sur toutes les tables de routage des domaines de routage respectifs. Vous pouvez activer l’accès à Internet pour tous les domaines de routage, ou aucun. Cela évite de créer une route statique exclusive à travers tous les domaines de routage si l’accès à Internet est requis.

Interface d'accès

Pour plus d’informations, consultez la section Interface d’accès.

Cas d’utilisation

Voici les cas d’utilisation pris en charge pour la segmentation du pare-feu :

  • Les clients ont plusieurs domaines de routage sur un site de succursale sans qu’il soit nécessaire d’inclure tous les domaines du datacenter (MCN). Ils ont besoin de la capacité d’isoler le trafic des différents clients de manière sécurisée
  • Les clients doivent pouvoir disposer d’une seule adresse IP publique accessible pare-feu pour que plusieurs domaines de routage puissent accéder à Internet sur un site (au-delà de VRF lite).
  • Les clients ont besoin d’une route Internet pour chaque domaine de routage prenant en charge différents services.
  • Plusieurs domaines de routage sur un site de succursale.
  • Accès Internet pour différents domaines de routage.

Plusieurs domaines de routage sur un site de succursale

Grâce aux améliorations de segmentation Virtual Forwarding and Routing Firewall, vous pouvez :

  • Fournir une infrastructure, sur le site de la succursale, qui prend en charge la connectivité sécurisée pour au moins deux groupes d’utilisateurs, tels que les employés et les invités. L’infrastructure peut prendre en charge jusqu’à 254 domaines de routage.
  • Isolez le trafic de chaque domaine de routage du trafic de tout autre domaine de routage.
  • Fournir un accès Internet pour chaque domaine de routage,

    • Une interface d’accès commune est requise et acceptable

    • Une interface d’accès pour chaque groupe avec des adresses IP publiques distinctes

  • Le trafic pour l’employé peut être acheminé directement vers l’Internet local (applications spécifiques)
  • Le trafic de l’employé peut être acheminé ou rétroacheminé vers le MCN pour un filtrage étendu (route 0)
  • Le trafic pour le domaine de routage peut être acheminé directement vers l’Internet local (route 0)
  • Prend en charge des itinéraires spécifiques par domaine de routage, si nécessaire
  • Les domaines de routage sont basés sur VLAN
  • Supprime l’exigence selon laquelle le Bureau à distance doit résider au MCN
  • Le domaine de routage peut désormais être configuré sur un site de succursale uniquement
  • Permet d’affecter plusieurs services Bureau à distance à une interface d’accès (une fois activée)
  • Chaque RD se voit attribuer un itinéraire 0.0.0.0
  • Permet d’ajouter des itinéraires spécifiques pour un service RD
  • Permet au trafic de différents services Bureau à distance de quitter Internet à l’aide de la même interface d’accès
  • Permet de configurer une interface d’accès différente pour chaque Bureau à distance
  • Doit être des sous-réseaux uniques (les services Bureau à distance sont affectés à un VLAN)
  • Chaque Bureau à distance peut utiliser la même zone FW par défaut
  • Le trafic est isolé via le domaine de routage
  • Les flux sortants ont le Bureau à distance en tant que composant de l’en-tête de flux. Permet au SD-WAN de mapper les flux de retour au domaine de routage correct.

Conditions préalables à la configuration de plusieurs domaines de routage :

  • L’accès Internet est configuré et affecté à un lien WAN.
  • Pare-feu configuré pour NAT et stratégies correctes appliquées.
  • Deuxième domaine de routage ajouté globalement.
  • Chaque domaine de routage ajouté à un site.
  • Pour plus d’informations sur la configuration des services Internet sur les domaines de routage, consultez la section Liens WAN.

Scénarios de déploiement

Image localisée

Image localisée

Limitations

  • Le service Internet doit être ajouté au lien WAN avant de pouvoir activer l’accès Internet pour tous les domaines de routage. (Jusqu’à ce que vous le fassiez, la case à cocher pour activer cette option est grisée).

    Après avoir activé l’accès à Internet pour tous les domaines de routage, ajoutez automatiquement une règle NAT dynamique.

  • Interface d’accès (AI) : IA unique par sous-réseau.
  • Plusieurs AI nécessitent un VLAN distinct pour chaque IA.
  • Si vous disposez de deux domaines de routage sur un site et que vous disposez d’un seul lien WAN, les deux domaines utilisent la même adresse IP publique.

  • Si l’accès Internet pour tous les domaines de routage est activé, tous les sites peuvent être acheminés vers Internet. (Si un domaine de routage ne nécessite pas d’accès à Internet, vous pouvez utiliser le pare-feu pour bloquer son trafic.)

  • Les liens WAN sont partagés pour l’accès Internet.
  • Pas de QOS par domaine de routage ; premier arrivé, premier service.
Configurer la segmentation du pare-feu