Citrix SD-WAN

SD-WAN 1100 平台上的 Palo Alto 网络集成

在 11.0.2 版本中,Citrix SD-WAN 支持托管在 SD-WAN 1100 平台上的 Palo Alto 网络下一代防火墙虚拟机 (VM) 系列(VM 50 和 VM 100)。

Palo Alto 网络虚拟机系列防火墙作为 SD-WAN 1100 平台上的托管防火墙虚拟机运行。托管防火墙虚拟机作为虚拟网络功能 (VNF) 工作,该功能集成在虚拟线路模式中。在虚拟线路模式下,防火墙充当连接到两个端口的桥接,所需的流量通过托管防火墙链接到服务。

优势

下面是在 SD-WAN 1100 平台上集成 Palo Alto 网络的主要目标或优势:

  • 分支设备整合:同时执行 SD-WAN 和高级安全性的单个设备
  • 高级安全保护本地互联网和云突破
  • 阻止威胁横向移动(局域网到局域网)

将 Palo Alto 网络虚拟机集成为 SD-WAN 1100 平台上的安全 VNF

在 SD-WAN 平台上,预配和启动托管虚拟机。执行以下步骤进行 Provisioning:

  1. 从 Citrix SD-WAN GUI 中,导航到 配置 > 展开 设备设置 > 选择 托管防火墙

  2. 先决条件: 上载软件映像:
    • 选择 软件映像 选项卡。供应商 名称是自动填充的,此字段不可编辑。
    • 选择软件映像文件。
    • 单击上载

    SW 图片上载

    注意 可上载多个软件映像,但随时只能使用一个软件映像来预配虚拟机。

    您可以看到一个状态栏来跟踪上载过程。图像成功上载后,文件详细信息会反映。无法删除用于预配的映像。不要执行任何操作或返回到任何其他页面,直到图像文件显示 100% 上载。

  3. 对于预配,请选择托管防火墙选项卡,然后单击预配托管防火墙
  • 供应商名称供应商名称是自动填充的,此字段不可编辑。
  • 虚拟机型号:从列表中选择虚拟机型号。
  • 图像文件名:选择图像文件。
  • 全景主 IP 地址/域名:提供全景主 IP 地址或完全限定域名(可选)。
  • 全景辅助 IP 地址/域名:提供全景辅助 IP 地址或完全限定域名(可选)。
  • 虚拟机身份验证密钥:提供虚拟机身份验证密钥(可选)。

    Palo Alto 网络虚拟机自动注册到 Panorama 需要虚拟机身份验证密钥。

  • 身份验证代码:输入身份验证代码(虚拟机许可证代码)(可选)。
  1. 单击应用

  2. 单击 刷新 以获取最新状态。Palo Alto 网络虚拟机完全启动后,它将反映在 SD-WAN UI 上与操作日志详细信息。

    选择日志详细信息

    • 管理状态:指示虚拟机是启动还是关闭。
    • 处理状态:虚拟机的数据路径处理状态。
    • 发送的数据包:从 SD-WAN 发送到安全虚拟机的数据包。
    • 接收的数据包:SD-WAN 从安全虚拟机接收的数据包。
    • 丢弃的数据包:SD-WAN 丢弃的数据包(例如,安全虚拟机关闭时)。
    • 设备访问:单击链接以获取对安全虚拟机的 GUI 访问权限。

您可以根据需要 启动、关闭取消 设置虚拟机。使用单击此处选项访问 Palo Alto 网络虚拟机 GUI 或使用您的管理 IP 以及 4100 端口(管理 IP:4100)。

注意 始终使用隐身模式访问 Palo Alto 网络 GUI。上载 Palo Alto 网络虚拟机映像可能需要更长的时间,具体取决于带宽可用性。

通过 SD-WAN Center 预配 Palo Alto 网络

必备条件

  • 添加和配置数据存储。有关更多信息,请参阅 系统要求和安装
  • 配置存储限制。要配置存储限制,请导航至 管理 > 存储维护
    • 从列表中选择所需的存储量。
    • 单击应用

    存储

注意 存储从辅助分区保留,如果满足条件,该分区处于活动状态。

执行以下步骤在 SD-WAN Center 平台上预配托管虚拟机:

  1. 从 Citrix SD-WAN Center GUI 中,导航到配置 > 选择托管防火墙

    托管 fw 网站

    您可以从列表中选择 区域 以查看该选定区域的预配置站点详细信息。

  2. 先决条件: 上载软件映像:

    注意 确保您有足够的磁盘空间上载软件映像。

    转到 软件映像 选项卡,然后单击或放在要上载的框中的软件映像文件。供应商 名称是自动填充的,此字段不可编辑。

    上载 sw 图片

    将显示一个状态栏,其中包含正在进行的上载过程。在图像文件显示 100% 上载之前,请勿单击 刷新 或执行任何其他操作。

    • 刷新:单击 刷新选项以获取最新的图像文件详细信息。
    • 删除:单击 删除选项以删除任何现有的图像文件。
  3. 对于预配,请返回托管防火墙选项卡,然后单击预配

    起始准备金

    • 供应商:从列表中选择 供应商名称。
    • 供应商虚拟机型号:从列表中选择虚拟机型号。
    • 软件映像:选择要预配的映像文件。
    • 区域:从列表中选择区域。
    • 防火墙托管站点:为防火墙托管列表选择站点。如果站点处于高可用性模式,则必须同时选择主站点和辅助站点。

    • 管理服务器主 IP 地址/域名:输入管理主 IP 地址或完全限定域名(可选)。
    • 管理服务器辅助 IP 地址/域名:输入管理服务器辅助 IP 地址或完全限定域名(可选)。

    • 虚拟机身份验证密钥:输入要在管理服务器中使用的虚拟身份验证密钥。

    • 身份验证代码:输入要用于许可的虚拟身份验证代码。
  4. 单击 开始设置
  5. 单击 刷新 以获取最新状态。Palo Alto 网络虚拟机完全启动后,它将反映在 SD-WAN Center UI 上。

您可以根据需要 启动、关闭取消 设置虚拟机。

选择供应站点

  • 站点名称:显示站点名称。
  • 管理 IP:显示站点的管理 IP 地址。
  • 区域名称:显示区域名称。
  • 供应商:显示供应商名称(Palo Alto 网络)。
  • 号:显示型号 (VM50/VM100)。
  • 管理状态:供应商虚拟机的状态(向上/向下)。
  • 操作状态:显示操作状态消息。
  • 托管站点:使用单击此处链接访问 Palo Alto 网络虚拟机 GUI。

要预配非默认区域站点,您需要在 SD-WAN Center Collector 上上载软件映像。您可以从 SD-WAN Center 头端 GUI 或 SD-WAN Center Collector 配置 Palo Alto 网络。

要获取 SD-WAN Center Collector 的 IP 地址,请导航到配置 > 网络发现 > 选择发现设置选项卡。

收集器 IP

要从 SD-WAN Collector 配置 Palo Alto 网络,请执行以下操作:

  1. 从 SD-WAN Collector GUI 中,导航到配置 > 选择托管防火墙

    Collector hosted fw

  2. 转到“软件映像”选项卡上载软件映像。
  3. 单击托管防火墙站点选项卡下的预配。
  4. 提供以下详细信息,然后单击开始预配。

    收集器规定

流量重定向

打开 Citrix SD-WAN UI,导航到 配置 >展开 虚拟广域网 >选择 配置编辑器。新的配置模板将作为 全局 部分下的 托管防火墙模板 添加。

Hosted fw temp

在以下屏幕截图中提供所需信息以添加 托管防火墙 模板,然后单击 添加

添加

托管防火墙模板允许您配置流量重定向到 SD-WAN 设备上托管的 第三方防火墙。可以使用 SD-WAN 防火墙策略启用到托管防火墙的流量重定向。以下是配置模板所需的输入:

  • 名称:托管防火墙模板的名称。
  • 供应商:防火墙供应商的名称。
  • 模型:托管防火墙的虚拟机模型。
  • 主管理服务器 IP/FQDN:托管防火墙的主管理服务器 IP/FQDN。
  • 辅助管理服务器 IP/FQDN:托管防火墙的辅助管理服务器 IP/FQDN。
  • 服务重定向接口:这些是用于 SD-WAN 和托管防火墙之间的流量重定向的逻辑接口。接口 1、接口 2 是指托管防火墙上的前两个接口。如果 VLAN 用于流量重定向,则必须在托管防火墙上配置相同的 VLAN。配置为流量重定向的 VLAN 是 SD-WAN 和托管防火墙的内部。

    注意

    必须从连接启动程序方向选择重定向输入接口,重定向接口会自动选择响应流量。例如,如果出站 Internet 流量被重定向到接口 1 上的托管防火墙,则响应流量将自动重定向到接口 2 上的托管防火墙。

只有两个物理接口被分配到托管 Palo Alto 网络防火墙。如果需要将来自多个区域的流量重定向到托管防火墙,则可以使用内部 VLAN 创建多个子接口,并将其关联到托管防火墙上的不同防火墙区域。

通过 SD-WAN 防火墙策略或站点级策略,您可以将所有流量重定向到 Palo Alto 网络虚拟机。

注意

SD-WAN 防火墙策略是自动创建的,以 允许 流量进出托管防火墙管理服务器。这样可避免重定向来自(或)托管防火墙的管理流量。

要重定向所有流量,请在 配置编辑器下 **选择连接 选项卡 >** 从选择列表中 策略 > 单击 + 添加

托管 fw 策略

选择策略类型(托管防火墙或内置防火墙),并使用必要的详细信息填写所有其他字段。

当前 SD-WAN 防火墙策略特定于方向。对于托管防火墙重定向,在配置编辑器 > 全局部分下引入了一个新的连接匹配类型选项。

  • 默认值:使用指定的匹配条件匹配连接。
  • 对称:使用指定的匹配条件匹配连接,并将策略操作应用于两个方向。

连接匹配类型

当所有网络配置处于启动状态并运行模式时,您可以在监视 > 防火墙 > 统计列表下监控连接,选择筛选策略

筛选策略

可以使用 Palo Alto 网络 UI 验证您在 SD-WAN 服务链模板上执行的配置与 Palo Alto 网络配置之间的映射。

Palo Alto

备注

如果已在 1100 设备上预配了云直接SD-WAN WANOP (PE) ,则无法预配 Palo Alto 网络虚拟机。

SD-WAN 1100 平台上的 Palo Alto 网络集成