Produktdokumentation
Citrix SD-WAN Center 11.4
11.3 11.2 11.1 11.0 10.2
PDF anzeigen

Integration von Citrix SD-WAN™ und Zscaler mithilfe von Citrix SD-WAN Center

October 1, 2025
Beitrag von: 
C C

Citrix SD-WAN und Zscaler unterstützen Unternehmen bei der Transformation ihres WAN für die Cloud-Migration, indem sie sichere lokale Ausbrüche für im Internet gehostete Anwendungen und Ressourcen bereitstellen. Neue WAN-Infrastrukturtechnologien wie SD-WAN erhöhen die Netzwerkagilität und Skalierbarkeit, während sie gleichzeitig Kosten und Komplexität reduzieren, um eine verbesserte Benutzererfahrung in verteilten Organisationen zu ermöglichen.

SD-WAN-Lösungen vereinfachen das Routing, indem sie Cloud-bestimmten Datenverkehr lokal ins Internet ausbrechen lassen. SD-WAN bietet Flexibilität beim Routing von Internet-Datenverkehr (Entfernung der zentralen DC-Umgebung) durch die Nutzung von Application-Steering-Funktionen. Die Exposition des Netzwerks gegenüber dem Internet birgt jedoch erhebliche Sicherheitsrisiken. Ein zentralisierter Ansatz zur Sicherung lokaler Ausbrüche über einen Cloud-Dienst eliminiert den Overhead für die Wartung der Sicherheitsinfrastruktur in den Zweigstellen. Der gesamte Datenverkehr wird mit Citrix SD-WAN im Zweigstellennetzwerk zuverlässig und sicher an Zscaler (Cloud-basierte Sicherheitsplattform) weitergeleitet. Sie können kostspielige Infrastruktur eliminieren und Ihr Netzwerk vor Bedrohungen und Schwachstellen schützen.

Citrix SD-WAN

Citrix SD-WAN unterstützt Unternehmen beim Übergang in die Cloud, indem es sichere lokale Branch-to-Internet-Ausbrüche mit einer integrierten Stateful-Firewall ermöglicht, um Richtlinien zu erstellen, die den Internetzugang direkt von der Zweigstelle aus zulassen oder verweigern können. Citrix SD-WAN identifiziert Anwendungen durch eine Kombination aus einer integrierten Datenbank von über 4.000 Anwendungen, einschließlich einzelner SaaS-Anwendungen, und nutzt Deep-Packet-Inspection-Technologie zur Echtzeit-Erkennung und Klassifizierung von Anwendungen. Dieses Anwendungswissen wird genutzt, um den Datenverkehr von der Zweigstelle ins Internet, in die Cloud oder zu SaaS zu lenken.

Zscaler

Zscaler ist die führende Cloud-basierte Sicherheitsplattform, die überlegene Sicherheit ohne die Notwendigkeit von On-Premises-Hardware, Appliances oder Software bietet. Zscaler legt einen Perimeter um das Internet, sodass Unternehmen nicht um jedes Büro einen Sicherheitsperimeter legen müssen. Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitskontrollpunkten in mehr als 100 Rechenzentren weltweit. Durch die Umleitung des Internet-Datenverkehrs zu Zscaler können Unternehmen Filialen, Zweigstellen und Remote-Standorte sofort sichern. Zscaler verbindet Benutzer und das Internet, indem es jedes Byte des Datenverkehrs inspiziert – selbst wenn es verschlüsselt oder komprimiert ist – damit Benutzer sicher sind und alle versteckten Bedrohungen identifiziert werden, bevor sie das Unternehmensnetzwerk infiltrieren können.

Citrix SD-WAN ermöglicht das Erstellen von Richtlinien, die einen direkten Internet-Ausbruch von der Zweigstelle aus ermöglichen, und die Cloud Security Platform von Zscaler gewährleistet die Sicherheit für die IT, indem sie den gesamten Internet-gebundenen Datenverkehr in einem Cloud-Dienst in der Nähe des Benutzerverbindungsorts inspiziert.

Zscaler Enforcement Nodes (ZENs)

Citrix SD-WAN unterstützt Zscaler-APIs zur Automatisierung der Erstellung von IPsec-Tunneln zwischen Citrix SD-WAN und Zscaler Enforcement Nodes (ZENs) im Zscaler-Cloud-Netzwerk. ZENs sind voll ausgestattete, Inline-Internet-Sicherheits-Gateways, die den gesamten Internet-Datenverkehr bidirektional auf Malware überprüfen und Sicherheits- und Compliance-Richtlinien durchsetzen.

Die Zscaler-API stellt die zwei nächstgelegenen Rechenzentrumsstandorte für jede Zweigstelle bereit, wodurch SD-WAN den Datenverkehr effektiv lenken kann. Organisationen können Zscaler erlauben, den nächstgelegenen ZEN zur Zweigstelle automatisch auszuwählen, indem der ZEN die IP-Adressen der auf Citrix SD-WAN konfigurierten WAN-Links berücksichtigt, oder die ZENs manuell auswählen.

HINWEIS

Beide Routen sind immer im aktiven Modus, wenn der Tunnel aktiv ist. Wenn ein Tunnel ausfällt, wird die entsprechende Route unerreichbar, und die andere Route bleibt in diesem Fall aktiv.

Zscaler-Workflow

Vorteile

Die Vorteile der Integration von Citrix SD-WAN und Zscaler umfassen:

  • Schnellere Einführung von SaaS und Cloud in einem verteilten Unternehmen.
    • Die Zentralisierung der Sicherheit als Cloud-Dienst eliminiert die Notwendigkeit, diese in jeder Zweigstelle vorzuhalten.
    • Die Eliminierung der Notwendigkeit, Internet-bestimmten Datenverkehr zurückzuführen, ermöglicht einen lokalen Internet-Ausbruch in der Zweigstelle.
  • Vereinfachtes IT-Management mit automatisierter Konnektivität zu einem Secure Web Gateway.
    • API-Unterstützung automatisiert die Konfiguration sicherer Tunnel zu Zscaler.
  • Verbesserte Benutzererfahrung durch Reduzierung der Latenz beim Backhauling von SaaS-Datenverkehr.
    • Eliminiert die Abhängigkeit vom Hub-and-Spoke-Modell für Sicherheitszwecke.
  • Eliminierung kostspieliger Sicherheits-Stacks in Zweigstellen.
    • Reduziert den Overhead für die Bereitstellung und Verwaltung von Firewalls in den Zweigstellen.
  • Gewährleistung, dass Internet-gebundener Datenverkehr immer sicher ist.
    • Sicherheitsrichtlinien binden Benutzer nicht an einen physischen Standort.
    • Bietet Sandboxing, Inspektion aller Ports und Protokolle, einschließlich SSL, URL-Filterung, erweiterten Bedrohungsschutz und mehr zum Schutz vor Zero-Day-Angriffen.

Unterstützte Funktionalität

Eine Zscaler-Bereitstellung unter Verwendung von SD-WAN-Appliances unterstützt die folgende Funktionalität:

  • Weiterleitung von benutzerdefiniertem Internet-Datenverkehr an Zscaler, wodurch ein direkter Internet-Ausbruch ermöglicht wird.
  • Direkter Internetzugang (DIA) mithilfe von Zscaler pro Kundenstandort.
    • An einigen Standorten möchten Sie möglicherweise DIA mit On-Premises-Sicherheitsausrüstung bereitstellen und Zscaler nicht verwenden.
    • An einigen Standorten können Sie den Datenverkehr zu einem anderen Kundenstandort für den Internetzugang zurückführen.
  • Bereitstellungen mit virtuellem Routing und Forwarding.
  • Ein WAN-Link als Teil der Internetdienste.

Zscaler ist ein Cloud-Dienst. Sie müssen ihn als Dienst einrichten und die zugrunde liegenden WAN-Links definieren:

  • Konfigurieren Sie einen vertrauenswürdigen öffentlichen Internet-WAN-Link im Rechenzentrum und an den Zweigstellen.
  • Konfigurieren Sie IPsec-Tunnel für Intranetdienste automatisch.

Workflow zur Bereitstellung von Zscaler im Citrix SD-WAN Center

Im Folgenden sind die übergeordneten Schritte aufgeführt, die den Workflow zur Bereitstellung von Zscaler im SD-WAN Center definieren.

  1. Konfigurieren Sie das Zscaler-Abonnement für das SD-WAN Center (einmalig). Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen zu erhalten.

  2. Wählen Sie Deploy in der Citrix SD-WAN Center GUI.

    • Stellen Sie die Konfiguration für den Standort mithilfe des Internet-WAN-Links und des vorkonfigurierten Anwendungsobjekts bereit.
    • Stellen Sie die Konnektivität her.
    • Rufen Sie den IPsec-Status ab/aktualisieren Sie ihn.

Zscaler-Abonnement

Bevor Sie mit der Konfiguration von Zscaler im SD-WAN Center fortfahren, müssen Sie sich im Zscaler-Portal anmelden.

  1. Melden Sie sich auf der Zscaler-Website an, um Abonnementinformationen zu erhalten. Die Dashboard-Seite wird geöffnet.

    Zscaler-Dashboard

  2. Klicken Sie auf Administration > Partner Integrations.

    Zscaler-Dashboard-Administration

  3. Wählen Sie SD-WAN auf der Seite Partner Integrations. Klicken Sie auf Add Partner Key.

    Partner-Integrationen

    Partner-Schlüssel hinzufügen

  4. Wählen Sie Citrix® SDWAN für den Partnerschlüssel und klicken Sie auf Generate. Speichern Sie den Schlüssel.

Zscaler im Citrix SD-WAN Center konfigurieren

  1. Navigieren Sie in der Citrix SD-WAN Center GUI zur Seite Configuration > Security. Die Seite Zscaler Configured Sites wird geöffnet.

  2. Klicken Sie auf Subscription. Geben Sie den Zscaler-API-Schlüssel (Partnerschlüssel) ein, der in den vorhergehenden Schritten erstellt wurde. Geben Sie Ihren Zscaler-Username und Ihr Password ein. Wählen Sie den Zscaler Cloud Name und den Zscaler Log Level aus und klicken Sie auf Apply.

    Abonnement für Zscaler

  3. ZENs stellt die Liste der verfügbaren VPN-Endpunkte für dieses Zscaler-Cloud-Abonnement bereit.

    ZEN

    ZEN VIPs

  4. Nachdem Sie die Zscaler-Abonnement- und ZEN-Details eingegeben haben, können Sie damit beginnen, Standorte zu Zscaler hinzuzufügen. Klicken Sie auf Add.

    Hinzufügen von Standorten zu Zscaler

  5. Fügen Sie im Dialogfeld Configure Sites to Zscaler die Elemente Site, WAN Link und Application Objects hinzu. Standardmäßig ist die Option Auto assign ZEN ausgewählt.

    ZEN automatisch zuweisen

    Sie können Manually Select ZEN auswählen. Es erscheint jedoch die folgende Meldung, die darauf hinweist, dass ungespeicherte Änderungen verloren gehen.

    ZEN manuell auswählen

  6. Wählen Sie die erforderlichen Standorte aus und klicken Sie auf Deploy. Sie können mehrere Standorte hinzufügen, indem Sie Add Multiple auswählen. Die ausgewählten Standorte werden bereitgestellt und die Konfigurationsseite wird angezeigt.

    Bereitstellen

    Mehrere Standorte hinzufügen

    Beachten Sie, dass die primären und sekundären ZEN-IP-Adressen ausgefüllt sind und der Bereitstellungsstatus Connection Active lautet.

  7. Klicken Sie auf Re-Deploy, wenn Sie Änderungen an den VPN-Endpunkten oder Anwendungsobjekten des konfigurierten Standorts vornehmen. Alle Änderungen an den konfigurierten Standorten im SD-WAN Center lösen einen Change Management-Prozess auf den in den Zweigstellen und DC-Standorten konfigurierten Appliances aus.

    Standorte erneut bereitstellen

    Das Löschen von Standorten löst ebenfalls den Change-Management-Prozess aus.

    Standorte löschen

Überwachung und Fehlerbehebung

Wählen Sie konfigurierte Standorte aus, um weitere Informationen zu Anwendungsobjekten und primären/sekundären IP-Adressen anzuzeigen. Sie können auf das Details-Symbol klicken, um vollständige Informationen zu den konfigurierten Standorten anzuzeigen.

Details des Anwendungsobjekts

Sie können die Zscaler-Protokolle anzeigen und herunterladen, die zur Fehlerbehebung im Citrix SD-WAN Center verwendet werden können.

So zeigen Sie Zscaler-Protokolldateien an:

  1. Klicken Sie in der Citrix SD-WAN Center Weboberfläche auf die Registerkarte Monitoring > Diagnostics.

    Zscaler-Protokolle

  2. Wählen Sie aus der Dropdown-Liste Log File die Zscaler-Protokolldatei aus, die Sie anzeigen möchten. Klicken Sie auf View.

  3. Wenn Sie die Protokolldateien auf Ihren Computer herunterladen möchten, klicken Sie auf Download.

IPsec-Tunnelkonfiguration

Die Detailseite in der SD-WAN Center GUI bietet Informationen zur IPsec-Tunnelkonfiguration für primäre und sekundäre Endpunkte. Die Peer-IP wird von Zscaler bezogen. Überprüfen Sie die IPsec-Tunnelkonfiguration im Konfigurationseditor der SD-WAN-Appliance-GUI.

IPsec-Tunnelkonfiguration

IKE-Einstellungen

Die folgenden IKE/IPSec-Einstellungen werden für die IPsec-Tunnelkonfiguration in der SD-WAN-Appliance gewählt. Weitere Informationen zur Konfiguration von IPsec-Tunnel-IKE-Einstellungen finden Sie im Thema Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

  • IKE-Version – IKEv2
  • IKE-Identität – Benutzer-FQDN
  • Hash-Algorithmus – SHA-256
  • Integritätsalgorithmus – SHA-256
  • Verschlüsselungsmodus – AES 256 Bits
  • IPsec – Tunnelmodus
  • IPsec-Verschlüsselung – Null

IKE-Einstellungen

IPsec-Einstellungen

Weitere Informationen zur Konfiguration der IPsec-Tunnel-Einstellungen finden Sie im Thema Konfigurieren eines IPsec-Tunnels zwischen SD-WAN und Drittanbietergeräten.

IPsec-Einstellungen

Anwendungsobjekte

Stellen Sie sicher, dass Anwendungsobjekte konfiguriert sind. Weitere Informationen zur Konfiguration von Anwendungsrouten finden Sie im Thema Anwendungsklassifizierung.

Anwendungsobjekte

Hinweis

Die GRE-Tunnelkonfiguration wird als Teil des automatisierten Workflows nicht unterstützt. Die manuelle Konfiguration ist jedoch weiterhin zulässig. Weitere Informationen finden Sie unter Zscaler-Integration mithilfe von GRE-Tunneln und IPsec-Tunneln.

Integration von Citrix SD-WAN™ und Zscaler mithilfe von Citrix SD-WAN Center
October 1, 2025
Beitrag von: 
C C
October 1, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.