Citrix SD-WAN Orchestrator

Citrix SD-WAN Orchestrator 与 Check Point Connect 集成

集成拓扑

检查点集成拓扑

检查点门户上的配置

  1. 在检查点门户网站上添加站点。
    1. 登录检查点门户并添加站点。

      添加网站

      此时将出现用于创建站点的弹出窗口。提供所需的一般详细信息,然后单击

      常规

    2. 提供连接详细信息。选择 设备类型 作为 Citrix ,将 外部 IP 地址 选择为 静态 IP 地址

      注意

      提供分支 WAN Link 公有 IP 地址作为 外部 IP 地址。根据拓扑结构,它是“x.x.33.83”。

      如果您使用多个 Internet WAN 链接,请单击 “ 添加另一个外部 IP 地址 ” 以指定与这些 WAN 链接关联的公用 IP 地址。

      连接详情

    3. 身份验证 部分中,定义预共享密钥或自动生成的密钥。

      身份验证

    4. 提供内部子网。它是 SD-WAN 设备后面的局域网穿过隧道,在 Citrix SD-WAN Orchestrator 服务中被称为 受保护网络 。它必须在 Citrix SD-WAN Orchestrator 服务和检查点端都匹配,以确保隧道已建立。

      内部子网

    5. 验证配置,然后单击 “ 完成并创建站点”。

      内部子网

      添加了状态为 “正在 生成站点” 的站点磁贴。

      生成网站

      检查点需要大约 20 分钟才能生成站点。生成网站后,图块状态更改为 “ 等待流量”。

      等待交通

  2. 单击 “ 配置分支设备 ” 以查看隧道详细信息。它包括通往 Check Point 云的两个 IPsec 隧道的详细信息。

    隧道详情

在此示例中,隧道目标以 FQDN 格式提及。解决此 FQDN 以获取可在 Citrix SD-WAN 配置中使用的隧道目标 IP 地址。

例如-C:\Users\john >ns 查询 g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud 服务器: 路由器 地址: 192.168.0.1

非权威答案: 姓名:g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud 地址:52.66.199.169

Citrix SD-WAN Orchestrator 服务上的配置

使用隧道目标和 IPsec 参数在 Citrix SD-WAN Orchestrator 服务上构建配置。

  1. 创建 IPsec 加密配置文件。
    1. 在 Citrix SD-WAN Orchestrator 服务用户界面中,在网络级别导航到 配置 > IPsec 加密配置文件 ,然后单击 +IPsec 加密配置文件

      IPsec 加密配置文件

    2. 根据检查点配置配置 IKE 和 IPsec 设置。

      IPsec 设置

  2. 向检查点云添加 IPsec 隧道。

    1. 导航到 配置 > 交付服务 > 服务和带宽 ,然后添加 Intranet 服务。

      内联网服务

    2. 选择 服务类型IPsec 服务

      IPsec 服务

    3. 将 IPSec 隧道配置到检查点云。单击 +End P oint 添加检查点终点信息。

      终点

    4. 提供以下详细信息:
      • 对等 IP(已解析的检查点 FQDN IP 地址)
      • 我们在上一步中创建的 IPSec 配置文件
      • 你从检查点获得的预共享密钥。

      对等 IP

      同样,将第二个隧道端点添加到检查点云以获得冗余。

      冗余端点

    5. 单击 + 端点映射 添加端点映射。

      终点映射

      选择终点作为 CheckpointTun1,即在上一步中创建的 CheckPointTun1,然后单击 + 绑 定以绑定站点。同样,将 checkpointTun2 添加为第二个终点。

      终点绑定

      将隧道绑定到分支站点(例如-BranchAzure)并提供受保护的网络详细信息。

      注意

      受保护的网络必须是在 Check Point 门户中配置的分支站点。公共 IP 必须匹配。

      在这种情况下,受保护网络的源网络是分支机构的 LAN 网络和目标网络。源网络必须与检查点门户中配置的网络匹配。单击完成

      将隧道绑定到站点

      单击 “ 保存 ” 保存 IPsec 隧道配置。 check-point-generating-site.png

      保存 IPsec 隧道

    6. 添加 CheckpointTunnel 交付服务后,分配该服务的带宽份额,将其应用于端点映射到的站点。

      注意

      此处分配的带宽百分比是此检查点交付服务争用时的保证带宽份额。

      分配带宽

  3. 通过暂存和激活在 Citrix SD-WAN Orchestrator 服务上部署配置。

  4. 从分支机构站点检查通往 Check Point Cloud 的隧道状态。

    检查点隧道状态

监视

通过 IPSec 隧道通过检查点云从分支站点主机访问 Internet。例如,尝试访问 salesforce.com。

在与目标服务的防火墙连接中,此应用程序以 Checkp ointTunnel_CheckpointTun的形式报告。

防火墙连接

此流量在 IPsec 隧道统计信息(已发送和接收的数据包)中更新。

IPsec 通道

日志

可以在 SDWAN_security.log 文件中找到与创建 IPsec 隧道相关的日志。

安全日志

Check Point 门户网站上的站点状态更新为 “ 活动”。

隧道活动

尝试访问可以通过检查点云访问的网站(例如-Facebook.com)。现在,您可以通过添加阻止 Facebook 应用程序的策略来修改检查点访问控制策略。

安装策略

安装该策略后,Facebook.com 将被阻止。

隧道详情

它显示互联网流量通过 IPsec 隧道从 SD-WAN 重定向到检查点云。该操作是根据 Check Point 云上的策略定义采取的。

Citrix SD-WAN Orchestrator 与 Check Point Connect 集成