Integración de Citrix SD-WAN Orchestrator con Check Point CloudGuard Connect
Topología de integración
Configuración en el portal Check Point
- Agregue un sitio en el portal Check Point
-
Inicie sesión en el portal Check Point y agregue un sitio.
Aparecerá una ventana emergente para crear un sitio. Proporcione los detalles generales necesarios y haga clic en Siguiente
-
Proporcione los detalles de la conexión. Seleccione el tipo de dispositivo como Citrix y las direcciones IP externas como dirección IP estática.
Nota
Proporcione la dirección IP pública del enlace WAN de la sucursal como dirección IP externa. Es “x.x.33.83” según la topología.
Si utiliza varios enlaces WAN de Internet, haga clic en Agregar otra dirección IP externa para especificar la dirección IP pública asociada a esos enlaces WAN.
-
En la sección Autenticación, defina la clave previamente compartida o genere automáticamente la clave.
-
Proporcione la subred interna. Son las subredes LAN detrás del dispositivo SD-WAN, que atraviesa el túnel, denominado Redes protegidas en el servicio Citrix SD-WAN Orchestrator. Debe coincidir tanto en el servicio Citrix SD-WAN Orchestrator como en el extremo del punto de control para garantizar que el túnel esté establecido.
-
Valide la configuración y haga clic en FINALIZAR Y CREAR SITIO.
Se agrega un cuadro de sitio con el estado GENERANDO SITIO.
Check Point tarda unos 20 minutos en generar un sitio. Una vez generado el sitio, el estado del mosaico cambia a ESPERANDO TRÁFICO.
-
-
Haga clic en Configurar dispositivo de sucursal para ver los detalles del túnel. Incluye detalles de los dos túneles IPSec hacia Check Point Cloud.
En este ejemplo, el destino del túnel se menciona en formato FQDN. Resuelva este FQDN para obtener la dirección IP de destino del túnel que se puede utilizar en la configuración de Citrix SD-WAN.
Por ejemplo: C:\Users\john >ns lookup g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Servidor: R outer Dirección: 192.168.0.1
Respuesta no autorizada: Nombre: g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud Dirección: 52.66.199.169
Configuración en el servicio Citrix SD-WAN Orchestrator
Utilice el destino del túnel y los parámetros IPSec para crear una configuración en el servicio Citrix SD-WAN Orchestrator.
- Cree un perfil de cifrado IPSec.
-
En la interfaz de usuario del servicio Citrix SD-WAN Orchestrator, al nivel de red, vaya a Configuración > Perfiles de cifrado IPSec y haga clic en +Perfil de cifrado IPSec.
-
Configure los valores de IKE e IPSec según la configuración de Check Point.
-
-
Agregue túnel IPSec hacia Check Point Cloud.
-
Vaya a Configuración > Servicios de entrega > Servicio y ancho de banda y agregue un servicio de intranet.
-
Seleccione el tipo de servicio como servicio IPsec.
-
Configure el túnel IPSec hacia Check Point Cloud. Haga clic en +Punto final para agregar la información del punto final del punto de control.
- Proporcione los siguientes detalles:
- IP del mismo par (dirección IP de FQDN de Check Point que se resolvió)
- Perfil IPSec que hemos creado en el paso anterior
- Clave precompartida que obtuvo de Check Point.
Del mismo modo, agregue el segundo punto final del túnel hacia Check Point Cloud para obtener redundancia.
-
Haga clic en + Asignación de puntos finales para agregar una asignación de puntos finales.
Elija el punto final como CheckPointTun1, el que se creó en el paso anterior y haga clic en + Enlaces para vincular un sitio. Del mismo modo, agregue CheckPointTun2 como segundo punto final.
Enlazar el túnel a un sitio de sucursal (Por ejemplo, BranchAzure) y proporcione los detalles de la red protegida.
Nota
La red protegida debe ser el sitio de sucursal configurado en el portal Check Point. Las IP públicas deben coincidir.
En este caso, la red de origen de la red protegida es la red LAN de la sucursal y el destino como cualquiera. La red de origen debe coincidir con la red configurada en el portal Check Point. Haga clic en Listo.
Haga clic en Guardar para guardar la configuración del túnel IPSec. check-point-generating-site.png
-
Después de agregar el servicio de entrega de CheckpointTunnel, asigne el ancho de banda compartido para que el servicio se aplique al sitio en el que está mapeado el punto final.
Nota
El porcentaje de ancho de banda asignado aquí es el ancho de banda compartido garantizado para este servicio de entrega de puntos de control cuando se encuentra en contención.
-
-
Implemente la configuración en el servicio Citrix SD-WAN Orchestrator mediante el ensayo y la activación.
-
Compruebe el estado del túnel hacia Check Point Cloud desde el sitio de la sucursal.
Supervisión
Acceda a Internet desde un host de sitio de sucursal a través de Check Point Cloud a través del túnel IPsec. Por ejemplo, intente acceder a salesforce.com.
Esta aplicación aparece en las conexiones de firewall con el servicio de destino como CheckpointTunnel_CheckpointTun.
Este tráfico se actualiza en las estadísticas del túnel IPSec (paquetes enviados y recibidos).
Registros
Los registros relacionados con la creación del túnel IPsec se pueden encontrar en el archivo SDWAN_security.log.
El estado del sitio en el portal de Check Point se actualiza como Activo.
Intenta acceder a un sitio web (por ejemplo, Facebook.com) que puede acceder a través de Check Point Cloud. Ahora puede modificar las directivas Access Control de Check Point agregando una directiva para bloquear la aplicación de Facebook.
Después de instalar la directiva, Facebook.com se bloquea.
Muestra que el tráfico de Internet se redirige desde SD-WAN hacia Check Point Cloud a través del túnel IPsec. La acción se llevó a cabo de acuerdo con la definición de directiva en Check Point Cloud.