Citrix SD-WAN

集成 Citrix SD-WAN 和 iBoss 云

Citrix SD-WAN 安全地启用本地分支机构到互联网的分组讨论,从而允许或拒绝直接从分支机构访问 Internet,从而帮助企业迁移到云。Citrix SD-WAN 通过包含超过 4,500 个应用程序(包括单个 SaaS 应用程序)的集成数据库的组合来识别应用程序,并使用深度数据包检测技术对应用程序进行实时发现和分类。它利用这些应用知识智能地将流量从分支机构转移到互联网、云或 SaaS。

iboss 云可保护任何设备上的互联网访问,从任何位置,在云中。iboss 为分支机构提供云内安全性,其中互联网流量通过互联网分组从私人办公室连接中卸载。用户可获得同类最佳的互联网保护,包括合规性、Web 过滤、SSL 检查、基于文件和流的安全性、恶意软件防御和数据丢失防护。通过跨所有分支机构的集中安全策略,并随着带宽的增长即时扩展,在云中保护流量。

Citrix SD-WAN 和 iboss 云的结合使企业能够安全地转变其广域网。下图显示了整个解决方案体系结构。

iBoss 架构

iBoss 配置

登录

iboss 配置是通过 iboss 仪表板图形用户界面设置的。

要登录到管理界面,请使用互联网浏览器导航至 www.ibosscloud.com。

iBoss 登录

点击 登录 iboss 平台 并提供您的凭据。

iboss 凭据

网络子网

许多客户基于分支网络子网为 SD-WAN 部署创建策略。建议您为网络上使用的每个专用范围添加一个覆盖子网(例如 10.0.0.0/255.0.0),然后根据需要创建更具体的子网。要创建网络子网,请从主页中选择 网络 磁贴。

iBoss 主页

导航到 本地子网 > + 新的本地子网 /IP 范围

本地子网

输入或选择必填字段的值,然后单击“保存”

本地子网值

隧道

配置网络子网后,如有必要,可以使用 GRE 或 IPsec 隧道将分支机构连接到 iboss 云。以下步骤说明如何将单个隧道配置为单个 iboss SWG 节点。可以复制这些步骤,从单个分支设备或多个 iboss Gateway 节点提供多条隧道。

来自 Citrix SD-WAN 设备的 GRE 或 IPsec 隧道将在 iboss Gateway 节点的公有 IP 地址上终止。要识别 iboss Gateway 节点的公有 IP 地址,请返回主页,然后单击 节点集合管理

节点集合管理选项

在“所有节点”选项卡下,Gateway 节点的 公有 IP 地址是隧道的外部 IP 地址。在下面的示例中,Iboss 端的隧道的外部 IP 将是 104.225.163.25。

节点集合管理

GRE

要从特定位置添加 GRE 通道,请返回主页并单击将设备 连接到 iboss 云

GRE 选项

单击“隧道”, 然后选择“GRE 通道”

GRE 通道

单击 + 添加 GRE 通道 并输入所需信息。

添加 GRE 通道

对于每个隧道,内部隧道子网应该是唯一的(例如 169.254.1.0/30、169.254.1.4/30 等)。独特的 iboss 节点应该用于多个站点之间的重叠子网。例如,如果站点“A”和站点“B”使用 192.168.1.0/24 子网,则应在不同的 iboss 节点上执行每个站点的 GRE 通道配置。

单击“保存”。隧道信息以摘要形式显示。如有必要,您可以对其进行编辑。

GRE 通道摘要

IPsec的

要从特定位置添加 IPSec 隧道,请返回主页并单击将设备 连接到 iboss 云

“IPsec”选项

单击“隧道”并选择“IPsec 隧道”

选择 IPsec 隧道

从 Citrix SD-WAN 设备连接隧道时,我们建议您使用以下 IPsec 设置,这些设置在所有隧道中都是通用的:

  • IKE 生命周期(分钟): 60
  • 钥匙寿命(分钟): 20
  • 重新加密边距(分钟):3
  • 重新加密尝试:1

所有其他设置(例如 IPsec 隧道密钥等)都可能是特定于部署的。

IPsec 隧道

单击 + 添加 IPsec 隧道 以根据需要创建隧道。

添加 IPsec 隧道

输入所需信息。对于来自 Citrix SD-WAN 设备的 IPsec 隧道,我们建议为每个隧道使用以下 IPsec 设置:

  • 模式:主
  • IPsec 隧道类型:站点到云
  • IKE 策略类型:IKE 版本 2
  • 加密类型:AES256
  • 完整性类型:SHA256
  • 差异-赫尔曼 MODP 类型:MODP 1024
  • ESP 加密类型:AES256

所有其他设置(例如 IP 外部的远程 IPSec 隧道等)可能是特定于部署的。对于每个隧道,内部隧道子网应该是唯一的(例如 169.254.1.0/30、169.254.1.4/30 等)。独特的 iboss 节点应该用于多个站点之间的重叠子网。例如,如果站点“A”和站点“B”都使用 192.168.1.0/24 子网,则应在不同的 iboss 节点上执行每个站点的隧道配置。

单击“保存”。隧道信息以摘要形式显示。

IPsec 摘要

您可以编辑隧道的所有配置参数,除 IP 外的 远程 IPsec 隧道

IPsec 设置

Citrix SD-WAN 配置

Citrix SD-WAN 网络通过基于 Citrix 云的管理服务 Citrix SD-WAN Orchestrator 进行管理.如果您尚未拥有帐户,请参阅 Citrix SD-WAN Orchestrator 加入

成功完成入职过程后,您可以访问 SD-WAN Orchestrator。

SD-WAN Orchestrator

确保 Citrix SD-WAN 站点已经配置并已连接到分支机构和网络。有关配置详细信息,请参阅 网络配置

交付服务

交付服务允许您配置互联网、内部网、IPsec 和 GRE 等交付服务。交付服务在全球范围内定义,并在适用的情况下应用于各个站点的 WAN 链路。

配送服务选项

iboss 云可以通过 GRE 或 IPsec 服务从 Citrix SD-WAN 连接.请使用上一节中 iboss 推荐的设置。

配送服务选项

GRE 服务

您可以将 SD-WAN 设备配置为终止 GRE 通道。配置以下设置。

GRE 详细信息:

  • 名称:GRE 服务的名称。
  • 路由域:GRE 通道的路由域。
  • 防火墙区域:为隧道选择的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  • 保持活动状态:发送保持活动状态消息之间的时间段。如果配置为 0,则不会发送保持活动状态的数据包,但隧道保持正常运行。
  • 保持活动状态重试:Citrix SD-WAN 设备在导致隧道关闭之前发送的数据包保持活动状态且没有响应的次数。
  • 校验和:启用或禁用隧道 GRE 标头的校验和。

站点绑定:

  • 站点名称:要映射 GRE 通道的站点。
  • 源 IP:隧道的源 IP 地址。这是在此站点上配置的虚拟接口之一。选定的路由域决定了可用的源 IP 地址。
  • 公共源 IP:如果隧道通信正在通过 NAT,则源 IP。
  • 目标 IP:隧道的目标 IP 地址。
  • 隧道 IP/ 前缀:GRE 通道的 IP 地址和前缀。
  • 隧道网关 IP:路由隧道通信的下一跳 IP 地址。
  • LAN 网关 IP:路由 LAN 流量的下一跳 IP 地址。

GRE 服务

IPsec 服务

Citrix SD-WAN 设备可以与 LAN 或 WAN 端的第三方对等方协商固定 IPsec 通道。您可以定义通道终结点,并将站点映射到通道端点。

还可以选择并应用用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。

要添加 IPSec 加密配置文件,请导航到配置”>“交付服务”>“IPsec 加密配置文件”选 项卡。

在将 IPsec 服务配置为交付服务集时,将使用 IPsec 配置文件。在“IPsec 安全配置文件”页面中,输入“IPsec 加密配置文件”、“IKE 设置”和“IPsec 设置”所需的值

IPsec 加密配置文件信息:

  • 配置文件名称:配置文件的名称。
  • MTU:IKE 或 IPSec 数据包的最大大小(以字节为单位)。
  • 保持活动状态:使隧道保持活动状态并启用路由资格。
  • IKE 版本:IKE 协议版本。

IKE 设置:

  • 模式:为 IKE 阶段 1 协商模式选择主模式或激进模式。
    • Main:在协商过程中没有向潜在攻击者暴露任何信息,但速度比攻击模式慢。
    • 积极性:某些信息(例如,协商对等方的身份)在协商过程中暴露给潜在攻击者,但速度快于主模式。
  • 身份验证:身份验证类型、证书或预共享密钥。
  • 身份:标识方法。
  • 对等标识:对等标识方法。
  • DH 集团:可用于 IKE 密钥生成的迪夫-赫尔曼(DH)组。
  • 哈希算法:用于验证 IKE 消息的哈希算法。
  • 加密模式:IKE 消息的加密模式。
  • 生命周期:存在 IKE 安全关联的首选持续时间(以秒为单位)。
  • 最大生命周期:允许存在 IKE 安全关联的最大首选持续时间(以秒为单位)。
  • DPD 超时:VPN 连接的死对等检测超时(以秒为单位)。

IPsec 设置:

  • 隧道类型:隧道封装类型。
    • ESP:仅加密用户数据。
    • ESP+ 身份验证:加密用户数据并包含 HMAC。
    • ESP+NULL:数据包经过身份验证,但未加密。
    • AH:仅包含一个 HMAC。
  • PFS 集团:迪夫-赫尔曼集团用于完美的前向保密密钥生成。
  • 加密模式:下拉菜单中的 IPSec 消息的加密模式。
  • 哈希算法:MD5、SHA1 和 SHA-256 哈希算法可用于 HMAC 验证。
  • 网络不匹配:当数据包与 IPSec 隧道的受保护网络不匹配时采取的操作。
  • 生命周期:IPSec 安全关联存在的时间(以秒为单位)。
  • 最长生命周期:允许 IPSec 安全关联存在的最长时间(以秒为单位)。
  • 生命周期 (KB):存在 IPSec 安全关联的数据量(以千字节为单位)。
  • 生命周期 (KB) 最大值:允许存在 IPSec 安全关联的最大数据量(以千字节为单位)。

IPsec 服务

要配置 IPsec 通道,请执行以下操作:

  1. 指定服务详细信息:
  • 服务名称:IPsec 服务的名称。
  • 服务类型:IPsec 隧道使用的服务。
  • 路由域:对于通过 LAN 进行的 IPSec 隧道,请选择一个路由域。如果 IPsec 通道使用 intranet 服务,intranet 服务将确定路由域。
  • 防火墙区域:隧道的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  1. 添加隧道终结点。
  • 名称:当服务类型为 Intranet 时,选择隧道保护的内部网服务。否则,请输入服务的名称。
  • 对等 IP:远程对等项的 IP 地址。
  • IPsec 配置文件:定义安全协议和 IPSec 设置的 IPsec 安全配置文件。
  • 预共享密钥:用于 IKE 身份验证的预共享密钥。
  • 对等预共享密钥:用于 IKEv2 身份验证的预共享密钥。
  • 身份数据:使用手动标识或用户 FQDN 类型时要用作本地标识的数据。
  • 对等标识数据:使用手动标识或用户 FQDN 类型时要用作对等标识的数据。
  • 证书:如果选择“证书”作为 IKE 身份验证,请从配置的证书中进行选择。
  1. 将站点映射到隧道端点。
  • 选择终端节点:要映射到站点的终端点。
  • 站点名称:要映射到终点的站点。
  • 虚拟接口名称:站点上用作端点的虚拟接口。
  • 本地 IP:用作本地隧道端点的本地虚拟 IP 地址。
  1. 创建受保护的网络。
  • 源网络 IP/ 前缀:IPSec 隧道保护的网络流量的源 IP 地址和前缀。
  • 目标网络 IP/ 前缀:IPSec 隧道保护的网络流量的目标 IP 地址和前缀。
  1. 确保对等设备上的 IPsec 配置进行镜像。

IPsec 隧道

IPsec 提供安全通道。Citrix SD-WAN 支持 IPsec 虚拟路径,使第三方设备能够终止 Citrix SD-WAN 设备的 LAN 或 WAN 端的 IPsec VPN 隧道。可以使用 140-2 Level 1 FIPS 认证的 IPsec 加密二进制文件保护在 SD-WAN 设备上终止的站点到站点 IPsec 通道。

Citrix SD-WAN 还支持使用存在差别的虚拟路径通道机制的弹性 IPsec 通道。

监控 GRE 和 IPSEC 隧道

GRE 通道

您可以使用隧道机制在另一个协议中传输一个协议的数据包。携带其他协议的协议称为传输协议,而携带的协议称为乘客协议。通用路由封装 (GRE) 是一种通道机制,它使用 IP 作为传输协议,并可以传输许多不同的乘客协议。

隧道源地址和目标地址用于标识隧道中虚拟点对点链路的两个端点。

要查看 GRE 通道统计信息,请导航到 报表 > 统计信息 > GRE 通道。您可以查看以下指标:

  • 地点名称:站点名称。
  • Tx 带宽:带宽传输。
  • Rx 带宽:接收带宽。
  • 丢弃的数据包:由于网络拥塞而丢弃的数据包数。
  • 数据包碎片:碎片的数据包数。数据包将分段以创建小型数据包,该数据包可以通过传输的 MTU 小于原始数据报。碎片由接收主机重新组装。
  • 展开/折叠:您可以根据需要展开或折叠数据。

监测 GRE

IPsec 隧道

IP 安全 (IPsec) 协议提供安全服务(如加密敏感数据、身份验证、防止重放以及 IP 数据包的数据机密性)。封装安全有效负载 (ESP) 和身份验证头 (AH) 是用于提供这些安全服务的两种 IPSec 安全协议。

在 IPsec 通道模式下,整个原始 IP 数据包受到 IPsec 保护。原始 IP 数据包将打包并加密,并在通过 VPN 通道传输数据包之前添加一个新 IP 报头。

要查看 IPsec 隧道 统计信息,请导航到报告”>“统计信息”>“IPsec 隧道”

您可以查看以下指标:

  • 隧道名称:隧道名称。
  • 隧道状态:IPsec 隧道状态。
  • MTU:最大传输单元-可通过特定链路传输的最大 IP 数据报的大小。
  • 收到的数据包:接收的数据包数。
  • 发送的数据包:发送的数据包数。
  • 丢弃的数据包:由于网络拥塞而丢弃的数据包数。
  • 删除的字节数:删除的字节数。
  • 展开/折叠:您可以根据需要展开或折叠数据。

监控 IPsec

集成 Citrix SD-WAN 和 iBoss 云