服务定义
交付渠道大致分为服务定义和带宽分配。
交付服务是 Citrix SD-WAN 上可用的交付机制,用于根据业务意图使用正确的交付方法来引导不同的应用程序或流量配置文件。您可以配置传送服务,例如互联网、内联网、虚拟路径、IPsec 和 LAN GRE。交付服务在全球范围内定义,并应用于各个站点的 WAN 链接(视情况而定)。
每个 WAN 链接可以应用全部或部分相关服务,并在所有交付服务中设置带宽的相对份额 (%)。
默认情况下,虚拟路径服务在所有链接上都可用。可以根据需要添加其他服务。 要配置交付服务,请在客户级别导航到 配置 > 交付渠道 > 服务定义。
送货服务可大致归类为以下内容:
-
虚拟路径服务:双端叠加 SD-WAN 隧道,在托管 SD-WAN 设备或虚拟实例的两个站点之间提供安全、可靠和高质量的连接。以 Kbps 为单位设置每个虚拟路径的最小预留带宽。此设置应用于网络中所有站点上的所有 WAN 链接。
- 互联网服务:SD-WAN 站点和公共互联网之间的直接通道,不涉及 SD-WAN 封装。Citrix SD-WAN 支持会话负载平衡功能,用于跨多个互联网链接的互联网绑定流量。
- Intranet 服务:基于底层链接从 SD-WAN 站点到任何非 SD-WAN 站点的连接。流量未封装或者可以使用任何非虚拟路径封装,例如 IPsec、GRE。您可以设置多个 Intranet 服务。
Internet 服务
默认情况下,互联网服务 作为交付服务的一部分可用。要配置 Internet 服务,请从客户级别导航到 配置 > 交付渠道 > 服务定义。在 SD-WAN 服务 部分中,选择 Direc t Internet Breakout 磁贴,然后单击 “ 添加”。
您可以配置以下互联网服务:
- 即使所有关联路径均处于关闭状态,也可以保留从链接到互联网的路由:您可以配置相对于其他交付服务的互联网服务路径成本。使用此服务,即使所有关联路径均处于关闭状态,您也可以保留从链路到互联网的路由。如果与 WAN 链接关联的所有路径均失效,则 SD-WAN 设备使用此路由发送/接收 Internet 流量。
- 使用 ICMP 探测器确定链路的互联网可访问性:您可以为指向互联网上的显式服务器的特定 Internet WAN 链接启用 ICMP 探测器。使用 ICMP 探测设置时,SD-WAN 设备会在链路的成员路径启用或从服务器收到 ICMP 探测响应时将互联网链接视为已启动。
- IPv4 ICMP 端点地址:目标 IPv4 地址或服务器地址。
- 探测间隔(以秒为单位):SD-WAN 设备在 Internet 配置的 WAN 链接上发送探测的时间间隔。默认情况下,SD-WAN 设备每 5 秒钟在配置的 WAN 链路上发送一次探测器。
- 重试次数:在确定 WAN 链路是否开启之前可以尝试的重试次数。在连续 3 次探测失败后,WAN 链路被视为失效。允许的最大重试次数为 10。
支持的部署模式
可以在以下部署模式下使用 Internet 服务:
- 内联部署模式(SD-WAN 覆盖)
Citrix SD-WAN 可以作为覆盖解决方案部署在任何网络中。作为叠加解决方案,SD-WAN 通常部署在现有边缘路由器和/或防火墙后面。如果 SD-WAN 部署在网络防火墙后面,则可以将该接口配置为可信接口,互联网流量可以作为 Internet 网关传送到防火墙。
- 边缘或网关模式
Citrix SD-WAN 可以部署为边缘设备,替换现有的边缘路由器和/或防火墙设备。板载防火墙功能允许 SD-WAN 保护网络免受直接Internet 连接。在此模式下,连接到公用 Internet 链接的接口配置为不受信任,强制启用加密,并启用防火墙和动态 NAT 功能以保护网络。
内联网服务
您可以创建多个 Intranet 服务。要添加 Intranet 服务,请从客户级别导航到 配置 > 交付渠道 > 服务定义。在 “ 内联网服务 ” 部分中,单击 “ 添加”。
在全局级别创建 Intranet 服务后,您可以在 WAN Link 级别对其进行引用。提供 服务名称,选择所需的 路由域 和 防火墙区域。添加网络中的所有 Intranet IP 地址,网络中的其他站点可能会进行交互。即使所有关联路径都已关闭,也可以保留从链接到 Intranet 的路由。
GRE 服务
您可以配置 SD-WAN 设备以终止 LAN 上的 GRE 隧道。
要添加 GRE 服务,请从客户级别导航到 配置 > 交付渠道 > 服务定义。您也可以从 “配置” > “安全” 导航到GRE 服务配置页面。
在 IPsec 和 GRE 部分中,导航到 IPsec 服务 并单击 “ 添加”。
GRE 详情:
- 服务类型:选择 GRE 隧道使用的服务。
- 名称:局域网 GRE 服务的名称。
- 路由域:GRE 通道的路由域。
- 防火墙区域:为通道选择的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
- MTU:最大传输单位-可以通过特定链路传输的最大 IP 数据报的大小。范围从 576 到 1500。默认值为 1500。
- 保持活动状态:发送保持活动状态消息之间的时间如果配置为 0,则不会发送保持活动状态的数据包,但通道保持正常运行。
- 保持活动状态重试次数:Citrix SD-WAN 设备在关闭隧道之前在没有响应的情况下发送保持活动状态数据包的次数。
- 校验和:启用或禁用隧道的 GRE 标头的校验和。
网站绑定:
- 站点名称:要映射 GRE 通道的站点。
- 源 IP:通道的源 IP 地址。这是在此站点配置的虚拟接口之一。选定的路由域决定了可用的源 IP 地址。
- 公用源 IP:通道流量通过 NAT 传输时的源 IP。
- 目标 IP:通道的目标 IP 地址。
- 隧道 IP/前缀:GRE 隧道的 IP 地址和前缀。
- 隧道网关 IP:用于路由隧道流量的下一跳 IP 地址。
- 局域网网关 IP:路由局域网流量的下一跳 IP 地址。
IPsec 服务
Citrix SD-WAN 设备可以与 LAN 或 WAN 端的第三方对等方协商固定 IPsec 通道。您可以定义隧道端点并将站点映射到隧道端点。
还可以选择并应用用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。
要配置虚拟路径 IPsec 设置,请执行以下操作:
- 为需要 FIPS 合规性的所有虚拟路径启用虚拟路径 IPsec 通道。
- 通过将 IPsec 模式更改为 AH 或 ESP+ 身份验证来配置消息身份验证,并使用 FIPS 批准的哈希函数。SHA1 被 FIPS 接受,但强烈推荐使用 SHA256。
- IPsec 生命周期应配置不超过 8 小时(28800 秒)。
Citrix SD-WAN 使用带有预共享密钥的 IKE 版本 2 使用以下设置通过虚拟路径协商 IPsec 隧道:
- 卫生署 19 组:ECP256(256 位椭圆曲线)密钥协商
- 256 位 AES-CBC 加密
- 用于消息身份验证的 SHA256 哈希
- 用于消息完整性的 SHA256 哈希
- DH 组 2:完全向前保密的 MODP-1024
要为第三方配置 IPsec 隧道,请执行以下操作:
- 配置 FIPS 批准的 DH 组。根据 FIPS,第 2 组和第 5 组是允许的,但强烈推荐 14 组及以上组。
- 配置 FIPS 批准的哈希函数。SHA1 被 FIPS 接受,但强烈推荐使用 SHA256。
- 如果使用 IKEv2,请配置 FIPS 批准的完整性功能。SHA1 被 FIPS 接受,但强烈推荐使用 SHA256。
- 将 IKE 生命周期和最大生命周期配置为不超过 24 小时(86,400 秒)。
- 通过将 IPsec 模式更改为 AH 或 ESP+ 身份验证来配置 IPsec 消息身份验证,并使用 FIPS 批准的哈希函数。SHA1 被 FIPS 接受,但强烈推荐使用 SHA256。
- 配置 IPsec 生命周期和最长生命周期不超过 8 小时(28,800 秒)。
配置 IPsec 隧道
在客户层面,导航到 配置 > 交付渠道 > 服务定义。您也可以从 “ 配置” > “安全 ” 导航到 IPSec 服务页面。
在 IPsec 和 GRE > IPsec 服务 部分中,单击 “ 添加”。屏幕上将显示 “编辑 IPsec 服务 ” 页面。
-
指定服务详细信息。
- 服务名称:IPsec 服务的名称。
- 服务类型:选择 IPsec 隧道使用的服务。
- 路由域:对于通过 LAN 传输的 IPsec 通道,请选择一个路由域。如果 IPsec 通道使用 intranet 服务,intranet 服务将确定路由域。
- 防火墙区域:通道的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
- 启用 ECMP:选中 “ 启用 ECMP ” 复选框后,将启用 IPsec 隧道的 ECMP 负载平衡。
- ECMP 类型:根据需要选择 ECMP 负载平衡机制的类型。有关 ECMP 类型的更多详细信息,请参阅 ECMP 负载均衡。
-
添加通道终结点。
- 名称:当 服务类型 为 Intranet 时,选择隧道保护的 Intranet 服务。否则,请输入服务的名称。
- 对等 IP:远程对等体的 IP 地址。
- IPsec 配置文件:定义安全协议和 IPsec 设置的 IPsec 安全配置文件。
- 预共享密钥: 用于 IKE 身份验证的预共享密钥。
- 对等体预共享密钥:用于 IKEv2 身份验证的预共享密钥。
- 身份数据: 使用手动身份或用户 FQDN 类型时用作本地身份的数据。
- 对等体身份数据:使用手动身份或用户 FQDN 类型时用作对等体身份的数据。
- 证书:如果选择证书作为 IKE 身份验证,请从配置的证书中进行选择。
-
将站点映射到通道端点。
- 选择 Endpoint:要映射到站点的终端节点。
- 站点名称:要映射到终端节点的站点。
- 虚拟接口名称:站点上用作终端节点的虚拟接口。
- 本地 IP:用作本地通道端点的本地虚拟 IP 地址。
- 网关 IP:下一跳 IP 地址。
-
创建受保护的网络。
- 源网络 IP/ 前缀:IPsec 通道保护的网络流量的源 IP 地址和前缀。
- 目标网络 IP/ 前缀:IPsec 通道保护的网络流量的目标 IP 地址和前缀。
-
确保对等设备上的 IPsec 配置进行镜像。
有关 FIPS 合规性的更多信息,请参阅 网络安全。
注意
适用于本地的 Citrix SD-WAN Orchestrator 支持通过 IPsec 连接到 Oracle 云基础设施 (OCI)。
IPsec 加密配置文件
要添加 IPsec 加密配置文件,请在客户级别导航到 配置 > 交付渠道 > 服务定义。您也可以从 “配置” > “安全” 导航到 IPsec 加密配置文件配置页面。
在 IPsec 和 GRE 部分中,选择 管理加密 IPsec 配置文件。
IPsec 提供安全通道。Citrix SD-WAN 支持 IPsec 虚拟路径,使第三方设备能够终止 Citrix SD-WAN 设备的局域网或广域网端的 IPsec VPN 通道。可以使用 140-2 Level 1 FIPS 认证的 IPsec 加密二进制文件保护在 SD-WAN 设备上终止的站点到站点 IPsec 通道。
Citrix SD-WAN 还支持使用存在差别的虚拟路径通道机制的弹性 IPsec 通道。
在将 IPsec 服务配置为交付服务集时,将使用 IPsec 配置文件。在 IPsec 安全配置文件页面中,输入以下 IPsec 加密配置文件、IKE 设置 和 IPsec 设置的所需值。
单击 “ 验证配置 ” 以验证任何审计错误。
IPsec 加密配置文件信息:
- 配置文件名称:提供配置文件名称。
- MTU:输入最大的 IKE 或 IPsec 数据包大小(以字节为单位)。
- 保持活动状态:选中该复选框可使隧道保持活动状态并启用路径资格。
-
IKE 版本:从下拉列表中选择 IKE 协议版本。
IKE 设置
-
模式:从 IKE 第 1 阶段协商模式的下拉列表中选择 “主模式” 或 “主动模式”。
- 主模式:协商期间不会向潜在攻击者泄露任何信息,但是速度低于积极模式。主 模式符合 FIPS 标准。
- 主动: 协商期间向潜在攻击者泄露某些信息 (例如,协商对等体的身份),但是速度高于主模式。主动 模式不兼容 FIPS。
- 身份验证:从下拉菜单中选择身份验证类型为 “证书” 或 “预共享密钥”。
- 对等身份验证:从下拉列表中选择对等身份验证类型。
- 身份:从下拉列表中选择身份方法。
- 对等身份:从下拉列表中选择对等身份方法。
- DH 组:选择可用于 IKE 密钥生成的 Diffie-Hellman (DH) 组。
- DPD 超时:输入 VPN 连接的失效对等体检测超时(以秒为单位)。
- 哈希算法:从下拉列表中选择哈希算法以验证 IKE 消息。
- 完整性算法:选择用于 HMAC 验证的 IKEv2 哈希算法。
- 加密模式:从下拉列表中选择 IKE 消息的加密模式。
- 安全关联有效期:输入 IKE 安全关联存在的时间量(以秒为单位)。
- 安全关联最大有效期:输入允许 IKE 安全关联存在的最大时间(以秒为单位)。
IPsec 设置
-
隧道类型:从下拉列表中选择 ESP、ESP+AUTH、ESP+NULL或 AH 作为隧道封装类型。这些分类归入符合 FIPS 标准和不符合 FIPS 标准的类别。
- ESP:仅加密用户数据
- ESP+Auth:加密用户数据并包含 HMAC
- ESP+NULL:数据包经过身份验证但未加密
- 啊:只包含 HMAC
- PFS 组:从下拉菜单中选择 Diffie-Hellman 组以用于完美的前向保密密钥生成。
- 加密模式:从下拉菜单中选择 IPsec 消息的加密模式。
- 哈希算法:MD5、SHA1 和 SHA-256 哈希算法可用于 HMAC 验证。
- 网络不匹配:从下拉菜单中选择数据包与 IPsec 隧道的受保护网络不匹配时要采取的操作。
- 安全关联有效期:输入 IPsec 安全关联存在的时间量(以秒为单位)。
- 安全关联最大有效期:输入允许 IPsec 安全关联存在的最大时间(以秒为单位)。
- 安全关联寿命 (KB):输入 IPsec 安全关联存在的数据量(以千字节为单位)。
- 安全关联生命周期 (KB) 最大值:输入允许 IPsec 安全关联存在的最大数据量(以千字节为单位)。
静态虚拟路径
虚拟路径设置继承自全局 WAN 链接自动路径设置。您可以覆盖这些配置,然后添加或删除成员路径。您还可以根据站点和应用的 QoS 配置文件过滤虚拟路径。为 WAN 链接指定一个跟踪 IP 地址,该地址可以通过 Ping 来确定 WAN 链路的状态。您还可以为反向路径指定反向跟踪 IP,该 IP 可以通过 Ping 来确定反向路径的状态。
要配置静态虚拟路径,请从客户级别导航到 配置 > 交付通道,然后单击 静态虚拟路径 磁贴。
以下是一些支持的设置:
-
按需带宽列表:
- 覆盖全局按需带宽限制:启用后,全局带宽限制值将替换为特定于站点的值。
- WAN 到 LAN 的最大总带宽,占虚拟路径中非待机 WAN 链路提供的带宽的百分比 (%):更新最大带宽限制,以百分比为单位。
-
每条链路的全局默认值:虚拟路径间的相对带宽Provisioning:
- 启用虚拟路径间的自动带宽Provisioning:启用后,将根据远程站点消耗的带宽量自动计算和应用所有服务的带宽。
- 每条虚拟路径的最小预留带宽 (Kbps):专为每个 WAN 链路上的每项服务预留的最大带宽。
动态虚拟路径设置
全局动态虚拟路径设置允许管理员在网络上配置动态虚拟路径默认值。
动态虚拟路径在两个站点之间动态实例化,以实现直接通信,无需任何中间 SD-WAN 节点跳跃。同样,动态虚拟路径连接也被动态删除。动态虚拟路径的创建和删除都会根据带宽阈值和时间设置触发。
要配置动态虚拟路径,请从客户级别导航到 配置 > 交付渠道 > 服务定义,然后单击 动态虚拟路径 磁贴。
以下是一些支持的设置:
- 配置以启用或禁用网络上的动态虚拟路径
- 动态虚拟路径的路径成本
- 要使用的 QoS 配置文件-默认为 标准 。
-
动态虚拟路径创建标准:
- 测量间隔(秒):测量数据包数量和带宽以确定是否必须在两个站点之间(在本例中为给定分支和控制节点之间)创建动态虚拟路径的时间长度。
- 吞吐量阈值 (kbps):两个站点之间的总吞吐量阈值,在 测量间隔内测量,在此时触发动态虚拟路径。在这种情况下,阈值适用于控制节点。
- 吞吐量阈值 (pps) -在触发动态虚拟路径的 测量间隔内测量的两个站点之间的总吞吐量阈值。
-
动态虚拟路径删除标准:
- 测量间隔(分钟):测量数据包数量和带宽以确定是否必须删除两个站点之间(在本例中为给定分支和控制节点之间)的动态虚拟路径所花费的时间量。
- 吞吐量阈值 (kbps) -两个站点之间的总吞吐量阈值,在 测量间隔内测量,在此时动态虚拟路径将被删除。
- 吞吐量阈值 (pps) -两个站点之间的总吞吐量阈值,在 测量间隔内测量,在此时动态虚拟路径将被删除。
-
计时器
- 等待清空失效虚拟路径的时间 (m):移除 DEAD 动态虚拟路径的时间。
- 在重新创建@@失效虚拟路径之前的等待时间 (m):在此时间之后可以重新创建因失效而移除的动态虚拟路径。
- 按需带宽列表
- 覆盖全局按需带宽限制:启用后,全局带宽限制值将替换为特定于站点的值。
- WAN 到 LAN 的最大总带宽,占虚拟路径中非待机 WAN 链路提供的带宽的百分比 (%):更新最大带宽限制,以百分比为单位。
单击 “ 验证配置 ” 以验证任何审计错误。