Citrix SD-WAN

使用 GRE 通道和 IPsec 通道的 Zscaler 集成

Zscaler 云安全平台在全球 100 多个数据中心作为一系列安全检查站。通过简单地将您的互联网流量重定向到 Zscaler,您可以立即保护您的商店、分支机构和远程位置。Zscaler 连接用户和互联网,检查每个字节的流量,即使它是加密或压缩。

Citrix SD-WAN 设备可以在客户站点通过 GRE 隧道连接到 Zscaler 云网络. 使用 SD-WAN 设备的 Zscaler 部署支持以下功能:

  • 转发所有 GRE 流量 Zscaler, 从而使直接互联网突破.
  • 基于每个客户站点使用 Zscaler 进行直接互联网访问(DIA)。
    • 在某些站点上,您可能希望向 DIA 提供本地安全设备,而不使用 Zscaler。
    • 在某些站点上,您可能会选择回程线路流量(另一个客户站点)以访问 Internet。
  • 虚拟路由和转发部署。
  • 一个 WAN 链接,作为 Internet 服务的一部分。

Zscaler 是一种云服务。必须将其设置为服务并定义底层 WAN 链接:

  • 通过 GRE 在数据中心和分支机构配置互联网服务.
  • 在数据中心和分支站点配置受信任的公共 Internet 链接。

拓扑

本地化后的图片

本地化后的图片

要使用 GRE 隧道或 IPsec 隧道流量转发:

  1. 登录到 Zscaler 帮助门户网站:https://help.zscaler.com/submit-ticket

  2. 提出一个票证并提供静态公有 IP 地址,该地址用作 GRE 隧道或 IPsec 隧道源 IP 地址。

Zscaler 使用源 IP 地址来识别客户 IP 地址。源 IP 需要是静态公有 IP。Zscaler 通过两个 ZEN IP 地址(主要和辅助)进行响应,以便将流量传输到。GRE 保持活力的消息可以用来确定隧道的健康.

Zscaler 使用源 IP 地址值来识别客户 IP 地址。此值必须是静态公有 IP 地址。Zscaler 响应两个 ZEN IP 地址,[DR1]以重定向流量。GRE 保持活动的消息可以用来确定隧道的健康。

示例 IP 地址

主要

内部路由器 IP 地址:172.17.6.241/30 内部 ZEN IP 地址:172.17.6.242/30

次要

内部路由器 IP 地址:172.17.6.245/30 内部 ZEN IP 地址:172.17.6.246/30

配置 Internet 服务

要配置 Internet 服务,请执行以下操作:

  1. 导航到连接 - Internet 服务。配置 Internet 服务。

    本地化后的图片

    本地化后的图片

    本地化后的图片

配置 GRE 隧道

  1. 源 IP 地址是隧道源 IP 地址。如果隧道源 IP 地址已执行 NAT,则公共源 IP 地址是公共隧道源 IP 地址,即使其在不同的中间设备上执行了 NAT 也是如此。

  2. 目标 IP 地址是 Zscaler 提供的 ZEN IP 地址。

  3. 源 IP 地址和目标 IP 地址是原始负载封装时路由器 GRE 头.

  4. 隧道 IP 地址和前缀是 GRE 隧道本身的 IP 地址。这对于通过 GRE 隧道路由流量非常有用。交易者需要这个 IP 地址作为 Gateway 地址。

    本地化后的图片

要配置 GRE 隧道:

  1. 在配置编辑器中,导航到 连接 > 站点 > GRE 隧道 ,并配置路由以将互联网前缀服务转发到 Zscaler GRE 隧道。

    只能从受信任链接上的虚拟网络接口中选择源 IP 地址。请参阅如何配置 GRE 隧道

    本地化后的图片

为 GRE 隧道配置路线

配置路由以将互联网前缀服务转发到 Zscaler GRE 隧道.

  • ZEN IP 地址(隧道目标 IP,如上图 104.129.194.38 所示)必须设置为服务类型的互联网。这是必需的,以便从互联网服务中计入发往 Zscaler 的流量。
  • 所有发往 Zscaler 的流量必须匹配默认路由 0/0 并通过 GRE 隧道传输。确保 GRE 隧道使用[DR1] 的 0/0 路由的成本低于直通或任何其他服务类型。
  • 同样,备份 GRE 隧道 Zscaler 必须具有比主 GRE 隧道更高的成本.
  • 确保 ZEN IP 地址存在非递归路由。

要配置 GRE 隧道路由:

  1. 导航到 连接 > 站点 > 路径,然后按照配置路由中描述的过程获取有关创建路径的说明。

    本地化后的图片

    注意

    如果您没有 Zscaler IP 地址的特定路由,请配置路由前缀 0.0.0.0/0 以匹配 ZEN IP 地址,并通过 GRE 隧道封装循环路由。此配置使用主动备份模式下的隧道。如上图所示的值,流量会自动切换到 Gateway 关 IP 地址 172.17.6.242 的隧道。如果需要,请配置回程虚拟路径路由。否则,将备份隧道的保持活动时间间隔设置为零。这使得安全的互联网访问网站,即使两个隧道 Zscaler 失败。

    支持 GRE 保持活动状态的消息。提供 GRE 源地址的 NAT 地址的名为公共源 IP 的新字段将添加到 Citrix SD-WAN GUI 界面(在 SD-WAN 设备隧道源由中间设备执行 NAT 的情况下)。Citrix SD-WAN GUI 包括一个名为公共源 IP 的字段,当 Citrix SD-WAN 设备的隧道源由中间设备 NATE 时,该字段提供 GRE 源地址的 NAT 地址。

限制

  • 不支持多个 VRF 部署。
  • 主备份 GRE 隧道仅支持高可用性设计模式。

配置 IPsec 隧道

本地化后的图片

要在 Citrix SD-WAN 设备 GUI 中为 Intranet 或 LAN 服务配置 IPsec 隧道,请执行以下操作:

  1. 在配置编辑器中,导航到连接 > <siteName> > IPsec 隧道,然后选择服务类型(LAN 或 Intranet)。

  2. 输入服务类型的名称。对于 Intranet 服务类型,配置的 Intranet 服务器确定哪些本地 IP 地址可用。

  3. 选择可用的本地 IP 地址,然后输入远程对等的虚拟路径的对等 IP 地址。

    本地化后的图片

    本地化后的图片

  4. IKE 设置选择 IKEv1。Zscaler 仅支持 IKEv1。

    本地化后的图片

  5. 在 IPsec 设置下,为 隧道类型 选择 ESP-NULL ,以便通过 IPsec 隧道将流量重定向到 Zscaler。IPsec 隧道不加密流量。

    本地化后的图片

  6. 由于互联网流量被重定向,因此目标 IP/前缀可以是任何 IP 地址。

    本地化后的图片

有关使用 Citrix SD-WAN Web 界面配置 IPsec 隧道的更多信息,请参阅IPsec 隧道主题。

配置 IPsec 隧道的路由

要配置 IPsec 路由,请执行以下操作:

  1. 导航到 连接 > DC > 路径,然后按照配置路由中描述的过程获取有关创建路径的说明。

本地化后的图片

要监视 GRE 和 IPsec 隧道统计信息,请执行以下操作:

在 SD-WAN 网页界面中,导航至 监视 > 统计 > [GRE 隧道 IPsec 隧道]。

有关更多信息,请参阅监视 IPsec 隧道GRE 通道主题。

使用 GRE 通道和 IPsec 通道的 Zscaler 集成