Citrix SD-WAN

Intégration de Zscaler à l’aide des tunnels GRE et IPsec

Zscaler Cloud Security Platform agit comme une série de postes de contrôle de sécurité dans plus de 100 centres de données à travers le monde. En redirigeant simplement votre trafic Internet vers Zscaler, vous pouvez immédiatement sécuriser vos magasins, succursales et sites distants. Zscaler connecte les utilisateurs et Internet, inspectant chaque octet de trafic, même s’il est crypté ou compressé.

Les appliances Citrix SD-WAN peuvent se connecter à un réseau cloud Zscaler via des tunnels GRE sur le site du client. Un déploiement Zscaler utilisant des appliances SD-WAN prend en charge les fonctionnalités suivantes :

  • Transférer tout le trafic GRE à Zscaler, ce qui permet une ventilation directe de l’Internet.
  • Accès direct à Internet (DIA) avec Zscaler sur une base par site client.
    • Sur certains sites, vous pouvez fournir à DIA un équipement de sécurité local et ne pas utiliser Zscaler.
    • Sur certains sites, vous pouvez choisir de réacheminer le trafic d’un autre site client pour l’accès à Internet.
  • Déploiements de routage et de transfert virtuels.
  • Une liaison WAN dans le cadre des services Internet.

Zscaler est un service cloud. Vous devez le configurer en tant que service et définir les liens WAN sous-jacents :

  • Configurez un service Internet dans le centre de données et la succursale via GRE.
  • Configurez un lien Internet public approuvé au niveau du centre de données et des sites de succursale.

Topologie

image localisée

image localisée

Pour utiliser le transfert de trafic de tunnel GRE ou de tunnel IPsec :

  1. Connectez-vous au portail d’aide Zscaler à l’adresse suivante : https://help.zscaler.com/submit-ticket.

  2. Levez un ticket et fournissez l’adresse IP publique statique, qui est utilisée comme l’adresse IP source du tunnel GRE ou du tunnel IPsec.

Zscaler utilise l’adresse IP source pour identifier l’adresse IP du client. L’adresse IP source doit être une adresse IP publique statique. Zscaler répond avec deux adresses IP ZEN (primaire et secondaire) pour transmettre le trafic. Les messages de maintien en vie GRE peuvent être utilisés pour déterminer la santé des tunnels.

Zscaler utilise la valeur de l’adresse IP source pour identifier l’adresse IP du client. Cette valeur doit être une adresse IP publique statique. Zscaler répond avec deux adresses IP ZEN [DR1] vers lesquelles rediriger le trafic. Les messages de type « keep-alive » du GRE peuvent être utilisés pour déterminer la santé des tunnels.

Exemples d’adresses IP

Principal

Adresse IP du routeur interne : 172.17.6.241/30 Adresse IP ZEN interne : 172.17.6.242/30

Secondary

Adresse IP du routeur interne : 172.17.6.245/30 Adresse IP ZEN interne : 172.17.6.246/30

Configuration d’un service Internet

Pour configurer un service Internet :

  1. Accédez à Connexions - Services Internet. Configurer le service Internet.

image localisée

image localisée

image localisée

Configurer le tunnel GRE

  1. L’adresse IP source est l’adresse IP de la source du tunnel. Si l’adresse IP de la source tunnel est traduite, l’adresse IP de la source publique est l’adresse IP de la source tunnel publique, même si elle est traduite sur un autre périphérique intermédiaire.

  2. L’adresse IP de destination est l’adresse IP ZEN fournie par Zscaler.

  3. L’adresse IP source et l’adresse IP de destination sont les en-têtes GRE du routeur lorsque la charge utile d’origine est encapsulée.

  4. L’adresse IP du tunnel et le préfixe sont l’adresse IP du tunnel GRE lui-même. Ceci est utile pour acheminer le trafic sur le tunnel GRE. Le trafic a besoin de cette adresse IP comme adresse de Gateway.

image localisée

Pour configurer GRE Tunnel :

  1. Dans l’éditeur de configuration, accédez à Connexions > Site > Tunnels GRE et configurez les itinéraires pour transférer les services de préfixe Internet aux tunnels GRE Zscaler.

L’adresse IP source ne peut être choisie que dans l’interface réseau virtuel sur les liens approuvés. Voir, Comment configurer le tunnel GRE.

image localisée

Configurer les itinéraires pour les tunnels GRE

Configurez des itinéraires pour transférer les services de préfixe Internet vers les tunnels GRE Zscaler.

  • L’adresse IP ZEN (IP de destination Tunnel, illustrée par 104.129.194.38 dans la figure ci-dessus) doit être définie sur Internet de type service. Ceci est nécessaire pour que le trafic destiné à Zscaler soit comptabilisé à partir du service Internet.
  • Tout le trafic destiné à Zscaler doit correspondre à la route par défaut 0/0 et être transmis par le tunnel GRE. S’assurer que la route 0/0 utilisée pour [DR1] le tunnel GRE a un coût inférieur à celui de Passthrough ou de tout autre type de service.
  • De même, le tunnel GRE de sauvegarde vers Zscaler doit avoir un coût plus élevé que celui du tunnel GRE primaire.
  • Assurez-vous qu’il existe des itinéraires non récursifs pour l’adresse IP ZEN.

Pour configurer des itinéraires pour GRE Tunnel :

  1. Accédez à Connexions > Site > Routes et suivez les procédures décrites dans Configuration des itinéraires pour obtenir des instructions sur la création d’itinéraires.

image localisée

Remarque

Si vous n’avez pas de routes spécifiques pour l’adresse IP Zscaler, configurez le préfixe de route 0.0.0.0/0 pour qu’il corresponde à l’adresse IP ZEN et routez-le via une boucle d’encapsulation de tunnel GRE. Cette configuration utilise les tunnels en mode de sauvegarde active. Avec les valeurs indiquées dans la figure ci-dessus, le trafic passe automatiquement au tunnel avec l’adresse IP de la Gateway 172.17.6.242. Si vous le souhaitez, configurez une route de chemin virtuel de backhaul. Sinon, définissez l’intervalle keep-alive du tunnel de sauvegarde sur zéro. Cela permet un accès Internet sécurisé à un site même si les deux tunnels vers Zscaler échouent.

Les messages GRE keep-alive sont pris en charge. Un nouveau champ appelé IP de source publique qui fournit l’adresse NAT de l’adresse de source GRE est ajouté à l’interface graphique de Citrix SD-WAN (dans le cas où la source de tunnel de l’appliance SD-WAN est NATted par un périphérique intermédiaire). L’interface utilisateur graphique SD-WAN Citrix inclut un champ appelé Public Source IP, qui fournit l’adresse NAT de l’adresse source GRE lorsque la source tunnel de l’appliance Citrix SD-WAN est traduite par un périphérique intermédiaire.

Limitations

  • Plusieurs déploiements VRF ne sont pas pris en charge.
  • Les tunnels GRE de sauvegarde primaire sont pris en charge uniquement pour un mode de conception haute disponibilité.

Configurer les tunnels IPSec

image localisée

Pour configurer les tunnels IPSec pour les services intranet ou LAN dans l’interface graphique de l’appliance Citrix SD-WAN :

  1. Dans l’Éditeur de configuration, accédez à Connexions > <Nom du site> >Tunnels IPsec et choisissez un type de service (LAN ou Intranet).

  2. Entrez un nom pour le type de service. Pour le type de service Intranet, le serveur intranet configuré détermine les adresses IP locales disponibles.

  3. Sélectionnez l’adresse IP locale disponible et entrez l’adresse IP homologue pour le chemin virtuel vers l’homologue distant.

image localisée

image localisée

  1. Sélectionnez IKEV1 pour les paramètres IKE. Zscaler ne prend en charge que IKEV1.

image localisée

  1. Sous Paramètres IPsec, sélectionnez ESP-NULL pour le type de tunnel, pour rediriger le trafic vers Zscaler via le tunnel IPsec. Le tunnel IPsec ne crypte pas le trafic.

image localisée

  1. Étant donné que le trafic Internet est redirigé, l’IP/préfixe de destination peut être n’importe quelle adresse IP.

image localisée

Pour plus d’informations sur la configuration des tunnels IPsec à l’aide de l’interface Web Citrix SD-WAN, consultez la rubrique Tunnels IPsec.

Configurer les itinéraires pour les tunnels IPSec

Pour configurer des itinéraires IPSec :

  1. Accédez à Connexions > DC > Routes et suivez les procédures décrites dans Configuration des itinéraires pour obtenir des instructions sur la création d’itinéraires.

image localisée

Pour surveiller les statistiques des tunnels GRE et IPSec :

Dans l’interface Web SD-WAN, accédez à Surveillance > Statistiques > [Tunnel GRE Tunnel IPsec].

Pour plus d’informations, consultez les rubriques Surveillance des tunnels IPSec et des tunnels GRE.

Intégration de Zscaler à l’aide des tunnels GRE et IPsec