Citrix SD-WAN

Intégrer Citrix SD-WAN et le cloud iboss

Citrix SD-WAN aide les entreprises à migrer vers le cloud en permettant en toute sécurité des interconnexions locales de branche à Internet qui peuvent autoriser ou refuser l’accès Internet directement à partir de la succursale. Citrix SD-WAN identifie les applications grâce à une combinaison d’une base de données intégrée de plus de 4 500 applications, y compris des applications SaaS individuelles, et utilise une technologie d’inspection approfondie des paquets pour la détection et la classification en temps réel des applications. Il utilise cette connaissance de l’application pour diriger intelligemment le trafic de la succursale vers Internet, le cloud ou le SaaS.

Le cloud iboss sécurise l’accès Internet sur n’importe quel appareil, à partir de n’importe quel emplacement, dans le cloud. iboss fournit une sécurité dans le cloud pour les succursales où le trafic Internet est déchargé des connexions de bureaux privés via des ruptures Internet. Les utilisateurs bénéficient de la meilleure protection Internet, y compris la conformité, le filtrage Web, l’inspection SSL, la sécurité basée sur les fichiers et les flux, la défense contre les logiciels malveillants et la prévention des pertes de données. Le trafic est sécurisé dans le cloud, avec des politiques de sécurité centralisées dans toutes les succursales et une évolutivité instantanée à mesure que la bande passante augmente.

La combinaison de Citrix SD-WAN et d’iboss Cloud permet aux entreprises de transformer leur WAN en toute sécurité. L’architecture globale de la solution est illustrée dans la figure suivante.

architecture iboss

configuration d’iboss

Login

La configuration iboss est provisionnée via l’interface graphique du tableau de bord iboss.

Pour vous connecter à l’interface de gestion, à l’aide d’un navigateur Internet, accédez à www.ibosscloud.com.

connexion iboss

Cliquez sur Se connecter à la plateforme iboss et fournissez vos informations d’identification.

informations d'identification iboss

Sous-réseaux réseau

De nombreux clients créent des stratégies pour les déploiements SD-WAN basées sur des sous-réseaux de succursales. Il est recommandé d’ajouter un sous-réseau général pour chaque plage privée utilisée sur votre réseau (par exemple 10.0.0.0/255.0.0.0), puis de créer des sous-réseaux plus spécifiques si nécessaire. Pour créer un sous-réseau réseau, sélectionnez la vignette Réseau dans la page d’accueil.

page d'accueil iboss

Accédez à Sous-réseaux locaux > + Nouveau sous-réseau local/plage IP.

Sous-réseau local

Entrez ou sélectionnez des valeurs pour les champs requis, puis cliquez sur Enregistrer.

Valeurs de sous-réseau local

Tunnels

Une fois les sous-réseaux réseau provisionnés, les tunnels GRE ou IPsec peuvent être utilisés pour connecter la succursale au cloud iboss si nécessaire. Les étapes suivantes montrent comment configurer un tunnel unique sur un seul nœud SWG iboss. Les étapes peuvent être répliquées pour fournir plusieurs tunnels à partir d’une seule branche ou vers plusieurs nœuds de Gateway iboss.

Les tunnels GRE ou IPSec d’une appliance Citrix SD-WAN se terminent sur l’adresse IP publique d’un nœud de Gateway iboss. Pour identifier l’adresse IP publique d’un nœud de Gateway iboss, revenez à la page d’accueil, puis cliquez sur Gestion de la collection de nœuds.

Option de gestion de la collection

Sous l’onglet Tous les nœuds, l’adresse IP publique d’un nœud de Gateway est l’adresse IP externe du tunnel. Dans l’exemple ci-dessous, l’adresse IP extérieure d’un tunnel du côté iboss serait 104.225.163.25.

Gestion de la collection de nœuds

GRE

Pour ajouter un tunnel GRE à partir d’un emplacement spécifique, revenez à la page d’accueil et cliquez sur Connect Devices to iboss Cloud.

Option GRE

Cliquez sur Tunnels et sélectionnez Tunnels GRE.

Tunnels GRE

Cliquez sur +Ajouter un tunnel GRE et entrez les informations requises.

Ajouter des tunnels GRE

Les sous-réseaux du tunnel intérieur doivent être uniques pour chaque tunnel (par exemple 169.254.1.0/30, 169.254.1.4/30, etc.). Les nœuds iboss uniques doivent être utilisés pour le chevauchement de sous-réseaux entre plusieurs sites. Par exemple, si le site « A » et le site « B » utilisent le sous-réseau 192.168.1.0/24, la configuration du tunnel GRE pour chacun de ces sites doit être effectuée sur différents nœuds iboss.

Cliquez sur Enregistrer. L’information sur le tunnel est présentée sous forme de résumé. Vous pouvez le modifier si nécessaire.

Résumé du tunnel GRE

IPSec

Pour ajouter un tunnel IPsec à partir d’un emplacement spécifique, revenez à la page d’accueil et cliquez sur Connect Devices to iboss Cloud.

Option IPSec

Cliquez sur Tunnels et sélectionnez Tunnels IPsec.

Sélectionner un tunnel IPSec

Lors de la connexion de tunnels à partir d’une appliance Citrix SD-WAN, nous recommandons les paramètres IPsec suivants qui sont communs à tous les tunnels :

  • Durée de vie IKE (minutes) : 60
  • Durée de vie des clés (minutes) : 20
  • Marge de ré-clé (minutes) : 3
  • Tentatives de retouche : 1

Tous les autres paramètres (par exemple, IPSec Tunnel Secret, etc.) peuvent être spécifiques au déploiement.

Tunnel IPSec

Cliquez sur + Ajouter un tunnel IPSec pour créer des tunnels selon les besoins.

Ajouter un tunnel IPSec

Entrez les informations requises. Pour un tunnel IPSec à partir de l’appliance Citrix SD-WAN, nous recommandons les paramètres IPsec suivants pour chaque tunnel :

  • Mode : Principal
  • Type de tunnel IPSec : Site-to-Cloud
  • Type de stratégie IKE : IKE Version 2
  • Type de chiffrement IKE : AES256
  • Type d’intégrité : SHA256
  • Diffie-Hellman Type MODP : MODP 1024
  • Type de chiffrement ESP : AES256

Tous les autres paramètres (par exemple Tunnel IPsec distant hors IP, etc.) peuvent être spécifiques au déploiement. Les sous-réseaux du tunnel intérieur doivent être uniques pour chaque tunnel (par exemple 169.254.1.0/30, 169.254.1.4/30, etc.). Les nœuds iboss uniques doivent être utilisés pour le chevauchement de sous-réseaux entre plusieurs sites. Par exemple, si le site « A » et le site « B » utilisent tous les deux le sous-réseau 192.168.1.0/24, alors la configuration du tunnel pour chacun de ces sites doit être effectuée sur différents nœuds iboss.

Cliquez sur Enregistrer. L’information sur le tunnel est présentée sous forme de résumé.

Résumé IPSec

Vous pouvez modifier tous les paramètres de configuration du tunnel, à l’exception du tunnel IPsec distant hors IP.

Paramètres IPSec

Configuration du Citrix SD-WAN

Le réseau SD-WAN Citrix est géré via le service de gestion Citrix Cloud basé sur Citrix SD-WAN Orchestrator. Si vous n’avez pas encore de compte, consultez l’intégration de Citrix SD-WAN Orchestrator.

Une fois le processus d’intégration terminé avec succès, vous pouvez accéder à SD-WAN Orchestrator.

SD-WAN Orchestrator

Assurez-vous que le site Citrix SD-WAN est déjà configuré et connecté aux branches et aux réseaux. Pour plus d’informations sur la configuration, reportez-vous à Configuration réseau.

Services de mise à disposition

Les services de livraison vous permettent de configurer des services de livraison tels que Internet, Intranet, IPSec et GRE. Les services de livraison sont définis globalement et appliqués aux liaisons WAN sur des sites individuels, le cas échéant.

Option de services de livraison

iboss cloud peut être connecté à partir de Citrix SD-WAN via les services GRE ou IPSec. Veuillez utiliser les paramètres recommandés par iboss dans la section précédente.

Option de services de livraison

Service GRE

Vous pouvez configurer des appliances SD-WAN pour terminer les tunnels GRE. Configurez les paramètres suivants.

Détails du GRE :

  • Nom : Nom du service GRE.
  • Domaine de routage : domaine de routage pour le tunnel GRE.
  • Zone de pare-feu : zone de pare-feu choisie pour le tunnel. Par défaut, le tunnel est placé dans Default_LAN_Zone.
  • Rester en vie : la période entre l’envoi de messages « Keep alive ». S’il est configuré sur 0, aucun paquet « keep alive » n’est envoyé, mais le tunnel reste en place.
  • Maintenir en vie les tentatives : le nombre de fois où l’appliance Citrix SD-WAN envoie des paquets garder en vie sans réponse avant qu’il n’entraîne le tunnel.
  • Somme de contrôle : activez ou désactivez la somme de contrôle pour l’en-tête GRE du tunnel.

Liaisons de sites :

  • Nom du site : Site pour cartographier le tunnel GRE.
  • IP source : adresse IP source du tunnel. Il s’agit de l’une des interfaces virtuelles configurées sur ce site. Le domaine de routage sélectionné détermine les adresses IP source disponibles.
  • IP Source publique : IP source si le trafic tunnel passe par NAT.
  • IP de destination : adresse IP de destination du tunnel.
  • Tunnel IP/préfixe : L’adresse IP et le préfixe du tunnel GRE.
  • IP de la passerelle Tunnel : Adresse IP de saut suivant pour acheminer le trafic du tunnel.
  • IP de la passerelle LAN : l’adresse IP de saut suivant pour acheminer le trafic LAN.

Service GRE

Service IPSec

Les appliances Citrix SD-WAN peuvent négocier des tunnels IPsec fixes avec des homologues tiers du côté LAN ou WAN. Vous pouvez définir les points d’extrémité du tunnel et mapper les sites aux points d’extrémité du tunnel.

Vous pouvez également sélectionner et appliquer un profil de sécurité IPSec qui définit le protocole de sécurité et les paramètres IPSec.

Pour ajouter un profil de chiffrement IPsec, accédez à Configuration > Services de mise à disposition > sélectionnez l’onglet Profils de chiffrement IPsec.

Les profils IPSec sont utilisés lors de la configuration des services IPSec en tant qu’ensembles de services de livraison. Dans la page Profil de sécurité IPsec, entrez les valeurs requises pour le profil de chiffrement IPsec, les paramètres IKE et les paramètres IPsec.

Informations de profil de chiffrement IPsec :

  • Nom du profil : nom du profil.
  • MTU : taille maximale du paquet IKE ou IPsec en octets.
  • Keep Alive : Gardez le tunnel actif et activez l’éligibilité de l’itinéraire.
  • Version IKE : La version du protocole IKE.

Paramètres IKE :

  • Mode : sélectionnez le mode principal ou le mode agressif pour le mode de négociation IKE Phase 1.
    • Principal : Aucune information n’est exposée aux attaquants potentiels pendant la négociation, mais elle est plus lente que le mode agressif.
    • Agressif : Certaines informations (par exemple, l’identité des pairs de négociation) sont exposées à des attaquants potentiels pendant la négociation, mais sont plus rapides que le mode principal.
  • Authentification : le type d’authentification, le certificat ou la clé pré-partagée.
  • Identité : Méthode d’identité.
  • Identité d’homologue : méthode d’identité d’homologue.
  • Groupe DH : groupe Diffie-Hellman (DH) disponible pour la génération de clés IKE.
  • Algorithme de hachage : algorithme de hachage pour authentifier les messages IKE.
  • Mode de chiffrement : Mode de chiffrement pour les messages IKE.
  • Durée de vie : durée de vie préférée (en secondes) pour qu’une association de sécurité IKE existe.
  • Durée de vie maximale : durée de vie maximale (en secondes) pour permettre l’existence d’une association de sécurité IKE.
  • Délai (s) DPD : délai d’expiration de la détection des pairs morts (en secondes) pour les connexions VPN.

Paramètres IPSec :

  • Type de tunnel : Type d’encapsulation de tunnel.
    • ESP : chiffre uniquement les données utilisateur.
    • ESP+Auth : Chiffre les données utilisateur et inclut un HMAC.
    • ESP+NULL : Les paquets sont authentifiés mais non chiffrés.
    • AH : Comprend uniquement un HMAC.
  • Groupe PFS : Le groupe Diffie—Hellman à utiliser pour une génération de clés de secret avancé parfaite.
  • Mode de chiffrement : Mode de chiffrement pour les messages IPSec à partir du menu déroulant.
  • Algorithme de hachage : les algorithmes de hachage MD5, SHA1 et SHA-256 sont disponibles pour la vérification HMAC.
  • Incompatibilité réseau : action à entreprendre si un paquet ne correspond pas aux réseaux protégés du tunnel IPsec.
  • Durée de vie : durée (en secondes) d’existence d’une association de sécurité IPSec.
  • Durée de vie maximale : durée maximale (en secondes) pour permettre l’existence d’une association de sécurité IPSec.
  • Durée de vie (Ko) : quantité de données (en kilo-octets) pour qu’une association de sécurité IPsec existe.
  • Durée de vie maximale (Ko) : quantité maximale de données (en kilo-octets) permettant l’existence d’une association de sécurité IPSec.

Service IPSec

Pour configurer le tunnel IPSec :

  1. Spécifiez les détails du service :
  • Nom du service : nom du service IPSec.
  • Type de service : Service utilisé par le tunnel IPSec.
  • Domaine de routage : pour les tunnels IPSec sur LAN, sélectionnez un domaine de routage. Si le tunnel IPsec utilise un service intranet, le service intranet détermine le domaine de routage.
  • Zone de pare-feu : Zone de pare-feu pour le tunnel. Par défaut, le tunnel est placé dans Default_LAN_Zone.
  1. Ajoutez le point de terminaison du tunnel.
  • Nom : Lorsque Type de service est Intranet, choisissez un service Intranet protégé par le tunnel. Sinon, entrez un nom pour le service.
  • IP homologue : adresse IP de l’homologue distant.
  • Profil IPsec : profil de sécurité IPsec qui définit le protocole de sécurité et les paramètres IPsec.
  • Clé pré-partagée : clé prépartagée utilisée pour l’authentification IKE.
  • Clé pré-partagée homologue : clé pré-partagée utilisée pour l’authentification IKEV2.
  • Données d’identité : Données à utiliser en tant qu’identité locale, lors de l’utilisation de l’identité manuelle ou du nom de domaine complet de l’utilisateur.
  • Données d’identité homologue : Données à utiliser comme identité homologue, lors de l’utilisation de l’identité manuelle ou du type de nom de domaine complet utilisateur.
  • Certificat : Si vous choisissez Certificat comme authentification IKE, choisissez parmi les certificats configurés.
  1. Mapper les sites aux points d’extrémité du tunnel.
  • Choisissez Endpoint : Point de terminaison à mapper sur un site.
  • Nom du site : Site à mapper au point de terminaison.
  • Nom de l’interface virtuelle : interface virtuelle sur le site à utiliser comme point de terminaison.
  • IP locale : adresse IP virtuelle locale à utiliser comme point de terminaison du tunnel local.
  1. Créez le réseau protégé.
  • IP/préfixe du réseau source : adresse IP source et préfixe du trafic réseau que le tunnel IPsec protège.
  • IP/préfixe réseau de destination : adresse IP de destination et préfixe du trafic réseau que le tunnel IPsec protège.
  1. Assurez-vous que les configurations IPSec sont mises en miroir sur l’appliance homologue.

Tunnel IPSec

IPsec fournit des tunnels sécurisés. Citrix SD-WAN prend en charge les chemins virtuels IPsec, ce qui permet aux périphériques tiers de terminer les tunnels VPN IPsec du côté LAN ou WAN d’une appliance Citrix SD-WAN. Vous pouvez sécuriser les tunnels IPSec de site à site se terminant sur une appliance SD-WAN à l’aide d’un binaire cryptographique IPsec certifié FIPS 140-2 Niveau 1.

Citrix SD-WAN prend également en charge le tunnel IPsec résilient à l’aide d’un mécanisme de tunnel de chemin virtuel différencié.

Surveillance des tunnels GRE et IPSEC

Tunnels GRE

Vous pouvez utiliser un mécanisme de tunnel pour transporter des paquets d’un protocole dans un autre protocole. Le protocole qui porte l’autre protocole est appelé le protocole de transport, et le protocole transporté est appelé le protocole passager. Generic Routing Encapsulation (GRE) est un mécanisme de tunnel qui utilise IP comme protocole de transport et peut transporter de nombreux protocoles passagers différents.

L’adresse source du tunnel et l’adresse de destination sont utilisées pour identifier les deux points de terminaison des liens virtuels point à point dans le tunnel.

Pour afficher les statistiques du tunnel GRE, accédez à Rapports > Statistiques > Tunnels GRE. Vous pouvez afficher les mesures suivantes :

  • Nom du site : nom du site.
  • Bande passante Tx : bande passante transmise.
  • Bande passante Rx : Bande passante reçue.
  • Paquet abandonné : Nombre de paquets abandonnés en raison de la congestion du réseau.
  • Paquets fragmentés : Nombre de paquets fragmentés. Les paquets sont fragmentés pour créer des paquets plus petits qui peuvent passer par un lien avec un MTU plus petit que le datagramme d’origine. Les fragments sont réassemblés par l’hôte récepteur.
  • Développer/réduire : vous pouvez développer ou réduire les données selon vos besoins.

Suivi GRE

Tunnels IPSec

Les protocoles de sécurité IP (IPsec) fournissent des services de sécurité tels que le chiffrement des données sensibles, l’authentification, la protection contre la réexécution et la confidentialité des données pour les paquets IP. Encapsulating Security Payload (ESP) et Authentication Header (AH) sont les deux protocoles de sécurité IPSec utilisés pour fournir ces services de sécurité.

En mode tunnel IPSec, l’ensemble du paquet IP d’origine est protégé par IPSec. Le paquet IP d’origine est enveloppé et chiffré, et un nouvel en-tête IP est ajouté avant de transmettre le paquet via le tunnel VPN.

Pour afficher les statistiques de tunnel IPsec, accédez à Rapports > Statistiques > Tunnels IPsec.

Vous pouvez afficher les mesures suivantes :

  • Nom du tunnel : nom du tunnel.
  • État du tunnel : état du tunnel IPSec.
  • MTU : unité de transmission maximale : taille du plus grand datagramme IP pouvant être transféré via une liaison spécifique.
  • Paquet reçu : Nombre de paquets reçus.
  • Paquets envoyés : Nombre de paquets envoyés.
  • Paquet abandonné : Nombre de paquets abandonnés en raison de la congestion du réseau.
  • Octets supprimés : Nombre d’octets supprimés.
  • Développer/réduire : vous pouvez développer ou réduire les données selon vos besoins.

Surveillance IPSec

Intégrer Citrix SD-WAN et le cloud iboss