Citrix SD-WAN Orchestrator

Citrix SD-WAN Orchestrator Check Point Cloud Guard 接続との統合

統合トポロジ

Check Point統合トポロジ

Check Pointポータルの構成

  1. Check Pointポータルにサイトを追加します。
  2. Check Pointポータルにログインし、サイトを追加します。

    サイトの追加

    サイトを作成するためのポップアップウィンドウが表示されます。必要な一般的な詳細を入力し、[次へ] をクリックします。

    一般

  3. 接続の詳細を入力します。[ デバイスの種類を[Citrix] 、[ 外部IPアドレス ]に[ 静的IPアドレス]を選択します

    ブランチオフィスの WAN リンクパブリック IP アドレスを外部 IP アドレスとして指定します。トポロジごとに「x.x.33.83」です。

    複数のインターネット WAN リンクを使用している場合は、[別の外部 IP ** アドレスを追加] をクリックして、これらの WAN リンクに関連付けられたパブリック IP アドレスを指定します。

    接続の詳細

  4. [ 認証 ] セクションで、事前共有キーを定義するか、キーを自動生成します。

    認証

  5. 内部サブネットワークを指定します。これは、トンネルを通過する SD-WAN アプライアンスの背後にある LAN サブネットです。このサブネットは、Citrix SD-WAN Orchestrator では保護されたネットワークと呼ばれます。トンネルが確立されていることを確認するには、Citrix SD-WAN Orchestrator とCheck Pointエンドの両方で一致する必要があります。

    内部サブネットワーク

  6. 構成を検証し、[ 終了してサイトを作成 ] をクリックします。

    内部サブネットワーク

    サイトタイルが [ サイトを生成中] ステータスで追加されます

    サイトを生成しています

    Check Point は、サイトの生成に約 20 分かかります。サイトが生成されると、タイルの状態は [ トラフィックを待機中 ] に変わります。

    トラフィックを待っています

  7. [ ブランチデバイスの設定] をクリックして 、トンネルの詳細を表示します。これには、Check Pointクラウドへの 2 つの IPsec トンネルの詳細が含まれます。

トンネルの詳細

この例では、トンネルの宛先は FQDN 形式で記載されています。このFQDNを解決して、Citrix SD-WAN 構成で使用できるトンネルの宛先IPアドレスを取得します。

たとえば、C:\Users\john >ns ルックアップ g-d87e003fd8d3717d8a534551ccd77a2.checkpoint.cloud サーバー:ルーターアドレス:192.168.0.1

権限のない答え:名前:g-d87e003fd8d3717d8a534551ccd77a2.checkpoint.cloud アドレス:52.66.199.169

Citrix SD-WAN オーケストレータサービスでの構成

Citrix SD-WAN Orchestrator サービスで構成を構築するには、トンネルの宛先パラメータと IPSec パラメーターを使用します。

  1. IPSec 暗号化プロファイルを作成します。
  2. Citrix SD-WAN Orchestrator サービスの UI で、ネットワークレベルで[ 構成] >[ IPsec 暗号化プロファイル] の順に選択し、[ +IPSec 暗号化プロファイル]をクリックします

    IPSec 暗号化プロファイル

  3. Check Point設定に従って、IKE および IPSec 設定を構成します。

    IPsec設定

  4. Check Pointクラウドへの IPSec トンネルを追加します。

  5. [ 構成] > [ 配信サービス ] > [ サービスと帯域幅] に移動し、イントラネットサービスを追加します。

    イントラネットサービス

  6. [ IPSec **サービス]として [サービスの種類] を選択します**。

    IPSec サービス

  7. Check Pointクラウドへの IPSec トンネルを設定します。[ + 終点 ] をクリックして、Check Pointのエンドポイント情報を追加します。

    [ 終点]

  8. 次の詳細を入力します。
    • ピア IP (解決されたCheck Point FQDN IP アドレス)
    • 前の手順で作成した IPSec プロファイル
    • Check Pointから取得した事前共有キー。

    ピアIP

    同様に、冗長性を確保するために、2 番目のトンネルエンドポイントを Check Point クラウドに追加します。

    冗長エンドポイント

  9. [ + 終点マッピング ] をクリックして、終点マッピングを追加します。

    終点マッピング

    前の手順で作成したエンドポイントを CheckPointTun1 として選択し、[ + バインド ] をクリックしてサイトをバインドします。同様に、2 番目のエンドポイントとして checkPointTun2 を追加します。

    終点のバインド

    トンネルをブランチサイト (BranchAzure など) にバインドし、保護されたネットワークの詳細を指定します。

    保護されたネットワークは、Check Point ポータルで構成されているブランチサイトである必要があります。パブリック IP は一致する必要があります。

    この場合、保護されたネットワークの送信元ネットワークは、ブランチの LAN ネットワークであり、宛先は任意です。ソースネットワークは、Check Pointポータルで構成されたネットワークと一致する必要があります。[ 完了] をクリックします

    トンネルをサイトにバインドする

    [ 保存 ] をクリックして IPSec トンネルの設定を保存します。check-point-generating-site.png

    IPSec トンネルを保存する

  10. CheckPointTunnel 配信サービスを追加したら、エンドポイントのマップ先サイトに適用されるサービスの帯域幅共有を割り当てます。

    ここで割り当てられる帯域幅の割合は、競合時にこのCheck Point配信サービスの保証帯域幅シェアです。

    帯域幅を割り当てる

  11. ステージングとアクティベーションを通じて、Citrix SD-WAN Orchestrator サービスで構成を展開します。

  12. ブランチサイトから [Check Pointクラウド] へのトンネルの状態を確認します。

ポイントトンネルのステータスをチェックする

監視

IPSec トンネル経由でCheck Pointクラウド経由でブランチサイトホストからインターネットにアクセスします。たとえば、セールスフォース・ドットコムにアクセスしてみてください。

このアプリケーションは、宛先サービスとのファイアウォール接続で CheckPointTunnel_checkPointTunとして報告されます。

ファイアウォール接続

このトラフィックは、IPSec トンネル統計情報(送受信されたパケット)で更新されます。

IPsec トンネル

ログ

IPSec トンネルの作成に関連するログは、SDWAN_security.log ファイルにあります。

セキュリティログ

Check Pointポータルのサイトステータスが [ アクティブ] に更新されます

トンネルアクティブ

Check Pointクラウドを介してアクセスできるウェブサイト(例-Facebook.com)にアクセスしてみてください。Facebook アプリケーションをブロックするポリシーを追加することで、Check Pointアクセス制御ポリシーを変更できます。

ポリシーのインストール

ポリシーをインストールすると、Facebook.com はブロックされます。

トンネルの詳細

これは、インターネットトラフィックが SD-WAN から IPSec トンネルを介してCheck Pointクラウドにリダイレクトされることを示しています。このアクションは、Check Pointクラウドのポリシー定義に従って実行されました。

Citrix SD-WAN Orchestrator Check Point Cloud Guard 接続との統合