配送服务

交付服务允许您配置交付服务,如 Internet、Intranet、IPsec 和局域网 GRE。交付服务是全局定义的,并应用于各个站点的 WAN 链接(如适用)。

每个 WAN 链接都可以应用所有相关服务或一个子集,并设置相对于带宽的份额 (%)在所有交付服务中。

默认情况下,虚拟路径服务在所有链接上可用。其他服务可以根据需要添加。

配送服务集导航

交付服务是 Citrix SD-WAN 上提供的交付机制,用于根据业务意图使用正确的交付方法来引导不同的应用程序或流量配置文件。

配送服务可大致分为以下几类:

  • 虚拟路径服务:双端叠加 SD-WAN 隧道,在托管 SD-WAN 设备或虚拟实例的两个站点之间提供安全、可靠和高质量的连接。
  • 互联网服务:SD-WAN 站点和公共互联网之间的直接通道,不涉及 SD-WAN 封装。Citrix SD-WAN 支持跨多个 Internet 链接的 Internet 绑定流量的会话负载平衡功能。
  • Intranet 服务:从 SD-WAN 站点到任何非 SD-WAN 站点的基于链接的连接。

    流量被解封装或可以使用任何非虚拟路径封装,如 IPsec、GRE。您可以设置多个 Intranet 服务。

服务配置和带宽默认值

服务配置和带宽默认值选项卡下,您可以查看默认情况下创建的 Internet 服务。分支流量使用中转站点访问 Internet。此部分允许您定义新的交付服务和所有交付服务的默认带宽分配比例 (%)。各交付服务的带宽分配需求可能因所涉链接的类型而异。

例如,如果您正在使用许多 SaaS 应用程序,则可以考虑在 Internet 链接上为 Internet 服务 分配相对较大比例的带宽以启用直接的 Internet 突破。在 MPLS 链接上,您可以选择为虚拟路径服务Intranet 服务分配更多带宽,具体取决于 SD-WAN 站点是否有大部分流量进入其他 SD-WAN 站点或非 SD-WAN 站点。

根据您的要求,您可以为每种链接类型(Internet 链接、MPLS 链接和专用 Intranet 链接)定义全局带宽共享默认值。

服务配置带宽详细信息

可以在单个链接上覆盖默认值。配置 WAN 链接时,您可以选择使用这些全局默认值或配置链接特定服务带宽设置。若要在链接上启用并激活任何传递服务,则需要配置非零带宽共享。

还有可用于 Internet 和 Intranet 服务的其他设置,这些设置可以通过使用对每个服务显示的设置图标进行自定义。

配送服务设置

单击 + 新建服务并选择服务类型。根据您要创建的附加交付服务,选择所需的服务类型,然后继续进行配置。

服务类型

Internet 服务

默认情况下,Internet 服务可作为交付服务的一部分使用。您可以配置相对于其他传递服务的互联网服务路由成本,并设置互联网中转站点。

您可以将站点添加为 Internet 传输站点,以启用 Internet 访问站点。对于那些需要直接互联网连接的网站,必须至少有一个与互联网服务启用的链接。这意味着,至少有一个链接设置为非零带宽共享百分比。

可以为每个中转站点分配一个工艺路线成本。提供互联网服务的网站可以直接访问互联网,因为直接路由将是成本最低的工艺路线路径。未安装 internet 服务的站点可以通过配置的传输站点路由到 internet。配置 internet 中转站点后,通过这些传输站点到 internet 的路由将自动推送到所有站点。互联网中转站点是启用互联网服务的站点。

例如,如果将旧金山与纽约配置为 internet 中转站点。通过旧金山和纽约路由到 internet 会自动推送到所有站点。

中转站

Intranet 服务

用户可以创建多个 intranet 服务。在全局级别创建 intranet 服务后,可以在 WAN 链接级别引用该服务。

配置内联网服务

提供服务名称。选择所需的路由域防火墙区域

  • Intranet 网络:在网络中添加所有 Intranet IP 地址,网络中的其他站点可能需要进行交互。

  • Intranet 传输站点: 将站点添加为传输站点,以允许所有非 Intranet 站点访问配置的 Intranet 网络。可以为每个中转站点分配一个工艺路线成本。具有内联网服务的可用网站,直接访问内联网网络,因为直接路由是成本最低的路由路径。没有 intranet 服务的站点可以通过配置的传输站点路由到 intranet 网络。配置了传输站点时,通过这些传输站点到 intranet 网络的路由将自动推送到所有站点。

    例如,假设 10.2.1.0/24 是一个 intranet 网络,奥斯汀和达拉斯配置为中转站点。通过奥斯汀和达拉斯向该网络地址传送的路由会自动推送到所有站点。

GRE 服务

可以将 SD-WAN 设备配置为在 LAN 上终止 GRE 通道。

格雷

GRE 详细信息

  • 名称: LAN GRE 服务的名称。
  • 路由域:GRE 通道的路由域。
  • 防火墙区域:为通道选择的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  • 保持活动状态:发送保持活动状态消息的时间间隔。如果配置为 0,则不会发送保持活动状态的数据包,但隧道会保持运行状态。
  • 保持活动状态重试:Citrix SD-WAN 设备在启动隧道之前发送保持活动状态的数据包没有响应的次数。
  • 校验和:为通道的 GRE 头启用或禁用校验和。

網站绑定

  • 站点名称:要映射 GRE 通道的站点。
  • 源 IP:通道的源 IP 地址。这是在此站点上配置的虚拟接口之一。所选路由域决定可用的源 IP 地址。
  • 公用源 IP:通道流量通过 NAT 传输时的源 IP。
  • 目标 IP:通道的目标 IP 地址。
  • 通道 IP/前缀:GRE 通道的 IP 地址和前缀。
  • 通道网关 IP:用于路由通道流量的下一个跃点 IP 地址。
  • LAN 网关 IP:用于路由 LAN 流量的下一个跃点 IP 地址。

兹斯卡勒服务

如果要配置 Zscaler 服务,请配置 LAN GRE。提供服务名称,选择路由域、防火墙区域和添加站点绑定。有关 Zscaler 服务的详细信息,请参阅使用 GRE 通道和 IPsec 通道的 Zscaler 集成

Zscaler

请提供以下详细信息以验证 Zscaler:

  • 用户名:输入用户的名称。
  • 密码:输入密码。
  • 云名称:输入管理员用于登录 Zscaler 服务的 URL 中可用的云名称。 云名称

    为了最大限度地提高运营效率,Zscaler 构建了具有高可扩展性的全球多云基础架构。在一个云上置备组织,其流量仅由该云处理。

  • API 密钥:输入 API 订阅 密钥。当 API 订阅应用于您的组织时,Zscaler 会启用该密钥。

  • 单击保存

IPsec 服务

Citrix SD-WAN 设备可以与 LAN 或 WAN 端的第三方对等方协商固定 IPsec 通道。您可以定义通道终结点,并将站点映射到通道端点。

还可以选择并应用用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。

要配置 IPsec 通道,请执行以下操作:

  1. 指定服务详细信息。

    • 服务名称:IPsec 服务的名称。
    • 服务类型:选择 IPsec 通道使用的服务。
    • 路由域:对于通过 LAN 传输的 IPsec 通道,请选择一个路由域。如果 IPsec 通道使用 intranet 服务,intranet 服务将确定路由域。
    • 防火墙区域:通道的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  2. 添加隧道终结点。

    • 名称:当 服务类型为 Intranet 时,请选择隧道保护的 Intranet 服务。否则,请输入服务的名称。
    • 对等 IP:远程对等机的 IP 地址。
    • IPsec 配置文件:用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。
    • 预共享密钥: 用于执行 IKE 身份验证的预共享密钥。
    • 对等预共享密钥:用于 IKEv2 身份验证的预共享密钥。
    • 身份数据: 使用手动身份标识或用户 FQDN 类型时要用作本地身份的数据。
    • 对等客户端身份数据:使用手动身份标识或用户 FQDN 类型时要用作对等客户端身份的数据。
    • 证书:如果选择“证书”作为 IKE 身份验证,请从已配置的证书中进行选择。
  3. 将站点映射到隧道终点。

    • 选择端点:要映射到站点的端点。
    • 站点名称:要映射到端点的站点。
    • 虚拟接口名称:将用作端点的站点上的虚拟接口。
    • 本地 IP:用作本地通道端点的本地虚拟 IP 地址。
  4. 创建受保护的网络。

    • 源网络 IP/前缀:IPsec 隧道保护的网络流量的源 IP 地址和前缀。
    • 目标网络 IP/前缀:IPsec 隧道保护的网络流量的目标 IP 地址和前缀。
  5. 确保对等设备上的 IPsec 配置进行镜像。

    IPsec 服务

有关更多信息,请参阅如何为虚拟和动态路径配置 IPsec 通道

IPsec 加密配置文件

要添加 IPsec 加密配置文件,请导航到配置 > 交付服务 > 选择 IPsec 加密配置文件选项卡。

Ipsec encrip nav

IPsec 提供安全通道。Citrix SD-WAN 支持 IPsec 虚拟路径,使第三方设备能够终止 Citrix SD-WAN 设备的 LAN 或 WAN 端的 IPsec VPN 隧道。可以使用 140-2 Level 1 FIPS 认证的 IPsec 加密二进制文件保护在 SD-WAN 设备上终止的站点到站点 IPsec 通道。

Citrix SD-WAN 还支持使用存在差别的虚拟路径通道机制的弹性 IPsec 通道。

在将 IPsec 服务配置为交付服务集时,将使用 IPsec 配置文件。在 IPsec 安全配置文件页面中,输入以下 IPsec 加密配置文件、IKE 设置IPsec 设置所需的值。

IPsec 加密配置文件信息

  • 配置文件名称:提供配置文件名称。
  • MTU: 输入最大 IKE 或 IPsec 数据包大小 (以字节为单位)。
  • 保持活动状态: 选中此复选框可使通道保持活动状态并启用工艺路线资格。
  • IKE 版本: 从下拉列表中选择一个 IKE 协议版本。

    Ipsec prof encrp info

IKE 设置

  • 模式:从 IKE 阶段 1 协商模式的下拉列表中选择主模式或主动模式。
    • 主模式:协商期间不会向潜在攻击者泄露任何信息,但是速度低于积极模式。
    • 主动: 协商期间向潜在攻击者泄露某些信息 (例如,协商对等体的身份),但是速度高于主模式。
  • 身份验证: 从下拉菜单中选择身份验证类型为证书或预共享密钥。
  • 标识: 从下拉列表中选择身份方法。
  • 对等身份: 从下拉列表中选择对等身份方法。
  • DH 组: 选择适用于 IKE 密钥生成的 Diffie-Hellman (DH) 组。
  • 哈希算法:从下拉列表中选择一种哈希算法以对 IKE 消息进行身份验证。
  • 加密模式:从下拉列表中选择 IKE 邮件的加密模式。
  • 生存时间(秒):输入与存在 IKE 安全关联的首选持续时间 (以秒为单位)。
  • 最大寿命 (秒): 输入允许 IKE 安全关联存在的最长首选持续时间 (以秒为单位)。
  • DPD 超时(秒):输入 VPN 连接的失效对等体检测超时 (以秒为单位)。

    IKE 设置

IPsec 设置

  • 隧道类型:从下拉列表中选择 ESP、ESP + 身份验证、ESP+NULL 或 AH 作为隧道封装类型。

    • ESP: 仅加密用户数据
    • ESP+Auth:加密用户数据并包含一个 HMAC
    • ESP+NULL:数据包已通过身份验证但未加密
    • AH: 仅包含 HMAC
  • PFS 组: 从下拉菜单中选择要用于完全向前保密密钥生成的 diffie-hellman 组。
  • 加密模式:从下拉菜单中选择 IPsec 邮件的加密模式。
  • 哈希算法:MD5、SHA1 和 SHA-256 哈希算法可用于 HMAC 验证。
  • 网络不匹配: 从下拉菜单中选择一个数据包与 IPsec 通道的受保护网络不符时要执行的操作。
  • 生存时间(秒):输入 IPsec 安全关联的存在时间长度(以秒为单位)。
  • 最大生存期(秒):输入允许 IPsec 安全关联存在的最长时间(秒)。
  • 生存时间(KB):输入 IPsec 安全关联的存在数据量(以 KB 为单位)。
  • 生命周期 (KB) 最大:输入允许 IPsec 安全关联存在的最大数据量(以千字节为单位)。

    IPsec 设置