Intégration de Zscaler à l’aide des tunnels GRE et IPsec

Zscaler Cloud Security Platform agit comme une série de postes de contrôle de sécurité dans plus de 100 centres de données à travers le monde. En redirigeant simplement votre trafic Internet vers Zscaler, vous pouvez sécuriser immédiatement vos magasins, succursales et sites distants. Zscaler connecte les utilisateurs et Internet, inspectant chaque octet de trafic, même s’il est chiffré ou compressé.

Les appliances Citrix SD-WAN peuvent se connecter à un réseau cloud Zscaler via des tunnels GRE sur le site du client. Un déploiement Zscaler utilisant des appliances SD-WAN prend en charge les fonctionnalités suivantes :

  • Transférer tout le trafic GRE à Zscaler, permettant ainsi une rupture directe sur Internet.
  • Accès direct à Internet (DIA) via Zscaler sur une base par site client.
    • Sur certains sites, vous pouvez fournir à DIA un équipement de sécurité local et ne pas utiliser Zscaler.
    • Sur certains sites, vous pouvez choisir de réacheminer le trafic d’un autre site client pour l’accès à Internet.
  • Déploiements de routage et de transfert virtuels.
  • Une liaison WAN dans le cadre des services Internet.

Zscaler est un service cloud. Vous devez le configurer en tant que service et définir les liaisons WAN sous-jacentes :

  • Configurez un service Internet au centre de données et à la succursale via GRE.
  • Configurez un lien Internet public approuvé au niveau du centre de données et des sites de succursale.

Topologie

image localisée

image localisée

Pour utiliser le transfert de trafic tunnel GRE ou tunnel IPSec :

  1. Connectez-vous au portail d’aide de Zscaler à l’adresse suivante :https://help.zscaler.com/submit-ticket.

  2. Lancer un ticket et fournir l’adresse IP publique statique, qui est utilisée comme adresse IP source du tunnel GRE ou du tunnel IPsec.

Zscaler utilise l’adresse IP source pour identifier l’adresse IP du client. L’adresse IP source doit être une adresse IP publique statique. Zscaler répond avec deux adresses IP ZEN (primaire et secondaire) pour transmettre le trafic. Les messages de maintien en vie du GRE peuvent être utilisés pour déterminer l’état des tunnels.

Zscaler utilise la valeur de l’adresse IP source pour identifier l’adresse IP du client. Cette valeur doit être une adresse IP publique statique. Zscaler répond avec deux adresses IP ZEN[DR1]vers lesquelles rediriger le trafic. Les messages « Keep-alive » du GRE peuvent être utilisés pour déterminer l’état des tunnels.

Exemples d’adresses IP

Principal

Adresse IP du routeur interne : 172.17.6.241/30 Adresse IP ZEN interne : 172.17.6.242/30

Secondaire

Adresse IP du routeur interne : 172.17.6.245/30 Adresse IP ZEN interne : 172.17.6.246/30

Configuration d’un service Internet

Pour configurer un service Internet :

  1. Accédez à Connexions - Services Internet . Configurez le service Internet.

    image localisée

    image localisée

    image localisée

Configurer le tunnel GRE

  1. L’adresse IP source est l’adresse IP source tunnel. Si l’adresse IP de la source tunnel est traduite, l’adresse IP de la source publique est l’adresse IP de la source tunnel publique, même si elle est traduite sur un autre périphérique intermédiaire.

  2. L’adresse IP de destination est l’adresse IP ZEN que Zscaler fournit.

  3. L’adresse IP source et l’adresse IP de destination sont les en-têtes GRE du routeur lorsque la charge utile d’origine est encapsulée.

  4. L’adresse IP du tunnel et le préfixe sont l’adresse IP du tunnel GRE lui-même. Ceci est utile pour acheminer le trafic sur le tunnel GRE. Le trafic a besoin de cette adresse IP comme adresse de Gateway.

    image localisée

Pour configurer GRE Tunnel :

  1. Dans l’éditeur de configuration, accédez à Connexions > Site > Tunnels GRE et configurez les itinéraires pour transférer les services de préfixe Internet vers les tunnels Zscaler GRE.

    L’adresse IP source ne peut être choisie que dans l’interface réseau virtuelle sur les liens approuvés. Consultez Comment configurer le tunnel GRE.

    image localisée

Configurer des itinéraires pour les tunnels GRE

Configurez les itinéraires pour transférer les services de préfixe Internet vers les tunnels Zscaler GRE.

  • L’adresse IP ZEN (adresse IP de destination du tunnel, représentée par 104.129.194.38 dans la figure ci-dessus) doit être définie sur Internet de type de service. Ceci est nécessaire pour que le trafic destiné à Zscaler soit comptabilisé à partir du service Internet.
  • Tout le trafic destiné à Zscaler doit correspondre à la route par défaut 0/0 et être transmis via le tunnel GRE. Assurez-vous que l’itinéraire 0/0 utilisé pour[DR1] le tunnel GRE a un coût inférieur à celui de Passthrough ou de tout autre type de service.
  • De même, le tunnel GRE de secours vers Zscaler doit avoir un coût plus élevé que celui du tunnel GRE principal.
  • Vérifiez qu’il existe des routes non récursives pour l’adresse IP ZEN.

Pour configurer des itinéraires pour GRE Tunnel :

  1. Accédez à Connexions > Site > Itinéraires et suivez les procédures décrites à la section Configuration des itinéraires pour obtenir des instructions sur la création d’itinéraires.

    image localisée

    Remarque

    Si vous ne disposez pas d’itinéraires spécifiques pour l’adresse IP Zscaler, configurez le préfixe de route 0.0.0.0/0 pour qu’il corresponde à l’adresse IP ZEN et routez-le via une boucle d’encapsulation de tunnel GRE. Cette configuration utilise les tunnels en mode sauvegarde active. Avec les valeurs indiquées dans la figure ci-dessus, le trafic passe automatiquement au tunnel avec l’adresse IP de la Gateway 172.17.6.242. Si vous le souhaitez, configurez une route de chemin virtuel de backhaul. Sinon, définissez l’intervalle Keep-alive du tunnel de sauvegarde sur zéro. Cela permet un accès Internet sécurisé à un site même si les deux tunnels vers Zscaler échouent.

    Les messages GRE keep-alive sont pris en charge. Un nouveau champ appelé Public Source IP qui fournit l’adresse NAT de l’adresse source GRE est ajouté à l’interface GUI Citrix SD-WAN (dans le cas où l’appliance SD-WAN Tunnel Source est traduite par un périphérique intermédiaire). L’interface utilisateur graphique SD-WAN Citrix inclut un champ appelé Public Source IP, qui fournit l’adresse NAT de l’adresse source GRE lorsque la source tunnel de l’appliance Citrix SD-WAN est traduite par un périphérique intermédiaire.

Limitations

  • Plusieurs déploiements VRF ne sont pas pris en charge.
  • Les tunnels GRE de sauvegarde principaux sont pris en charge pour un mode de conception haute disponibilité uniquement.

Configurer les tunnels IPSec

image localisée

Pour configurer les tunnels IPSec pour les services intranet ou LAN dans l’interface graphique du dispositif Citrix SD-WAN :

  1. Dans l’Éditeur de configuration, accédez à Connexions > < Nom du site > > TunnelsIPSec et choisissez un type de service (LAN ou Intranet).

  2. Entrez un nom pour le type de service. Pour le type de service Intranet, le serveur Intranet configuré détermine les adresses IP locales disponibles.

  3. Sélectionnez l’adresse IP locale disponible et entrez l’adresse IP homologue pour le chemin virtuel vers l’homologue distant.

    image localisée

    image localisée

  4. Sélectionnez IKEv1 pour les paramètres IKE . Zscaler ne prend en charge que IKev1.

    image localisée

  5. Sous Paramètres IPSec, sélectionnez ESP-NULL pour le type de tunnel, pour rediriger le trafic vers Zscaler via le tunnel IPSec. Le tunnel IPSec ne crypte pas le trafic.

    image localisée

  6. Étant donné que le trafic Internet est redirigé, l’IP/préfixe de destination peut être n’importe quelle adresse IP.

    image localisée

Pour plus d’informations sur la configuration des tunnels IPSec à l’aide de l’interface Web Citrix SD-WAN, reportez-vous à la rubrique Tunnels IPSec.

Configurer des itinéraires pour les tunnels IPSec

Pour configurer des itinéraires IPSec :

  1. Accédez à Connexions > DC > Itinéraires et suivez les procédures décrites à la section Configuration des itinéraires pour obtenir des instructions sur la création d’itinéraires.

image localisée

Pour surveiller les statistiques des tunnels GRE et IPSec :

Dans l’interface Web SD-WAN, accédez à Surveillance > Statistiques > [Tunnel GRE Tunnel IPSec].

Pour plus d’informations, voir les rubriques surveillance des tunnels IPSec et Tunnels GRE.