Optimización de Citrix Cloud y Gateway Service
Con la mejora de la función de optimización de los servicios Citrix Cloud and Gateway, puede detectar y enrutar el tráfico destinado a los servicios Citrix Cloud y Gateway. Puede crear directivas para interrumpir el tráfico a Internet directamente o enviarlo a través de una ruta de retorno a través de la ruta virtual. En ausencia de esta función, cuando la ruta predeterminada es la ruta virtual, el servicio de puerta de enlace pasará al centro de datos del cliente y luego saldrá a Internet agregando latencia innecesaria. Además de eso, ahora tiene visibilidad del servicio Citrix Gateway y del tráfico de Citrix Cloud y puede crear directivas de QoS para priorizarlo sobre la ruta virtual.
La función de desglose del servicio Citrix Cloud and Gateway está habilitada de forma predeterminada en la versión 11.2.1 y superior del software Citrix SD-WAN.
Para la versión del software Citrix SD-WAN inferior a la 11.3.0, la primera detección y clasificación de paquetes del tráfico de Citrix Cloud y Gateway Service solo se realiza si la función de desglose de los servicios Citrix Cloud y Gateway no está inhabilitada.
Para la versión 11.3.0 y posteriores del software Citrix SD-WAN, la primera detección y clasificación de paquetes del tráfico de Citrix Cloud y Gateway Service se realiza independientemente de si la función de desglose de Citrix Cloud and Gateway Service está habilitada o no.
Nota
Puede configurar la optimización de los servicios Citrix Cloud y Gateway solo a través del servicio Citrix SD-WAN Orchestrator.
La optimización del tráfico de Citrix SD-WAN Orchestrator se introduce desde la versión 11.2.3 o posterior del software Citrix SD-WAN. El objetivo es proporcionar una clasificación más detallada y, por lo tanto, identificar por separado el tráfico de Citrix SD-WAN Orchestrator y el tráfico de otros servicios dependientes de Citrix Cloud, y proporcionar una opción de interrupción de Internet. Como resultado, los clientes ahora pueden optar por optimizar solo el tráfico de Citrix SD-WAN Orchestrator.
Al seleccionar la casilla de verificación Citrix Cloud, se preselecciona la casilla de verificación Citrix SD-WAN Orchestrator y los servicios críticos dependientes. Esto permite que todo el tráfico de API e interfaz de usuario web de Citrix Cloud (incluido el de Orchestrator y los servicios dependientes) entre en el firewall y elimina la interrupción de Internet.
Además, puede seleccionar solo la casilla de verificación Citrix SD-WAN Orchestrator y los servicios críticos dependientes y inhabilitar otro tráfico para dar el privilegio de omitir el firewall solo al tráfico relacionado con Orchestrator sin problemas.
Categorías de servicios de Citrix Cloud y Gateway
A continuación se presentan las categorías de tráfico utilizadas con fines de clasificación y optimización:
-
Citrix Cloud: Permite detectar y redirigir el tráfico destinado a las API y la interfaz de usuario web de Citrix Cloud.
-
Citrix SD-WAN Orchestrator y servicios críticos dependientes:
-
Citrix SD-WAN Orchestrator: Permite la interrupción directa de Internet de los latidos del corazón y otro tráfico necesario para establecer y mantener la conectividad entre el dispositivo Citrix SD-WAN y Citrix SD-WAN Orchestrator.
-
Servicio de descarga en la nube de Citrix: Permite la conexión directa a Internet para descargar el software, la configuración, los scripts y otros requisitos del dispositivo en el dispositivo Citrix SD-WAN.
-
-
-
Citrix Gateway Service: Permite detectar y redirigir el tráfico (control y datos) destinado a Citrix Gateway Service.
-
Datos del cliente de servicio de puertade enlace: Permite la ruptura directa de Internet de túneles de datos ICA entre clientes y Citrix Gateway Service. Requiere un ancho de banda alto y una latencia baja.
-
Datos del servidor de servicio de puertade enlace: Permite la ruptura directa de Internet de los túneles de datos ICA entre los agentes de entrega virtuales (VDA) y el servicio Citrix Gateway. Requiere un ancho de banda alto y una latencia baja y solo es relevante en ubicaciones de recursos de VDA (conexiones de VDA a Citrix Gateway Service).
-
Tráfico de control de servicio de puertade enlace: Permite la interrupción directa de Internet del tráfico de control. No hay consideraciones específicas de QoS.
-
Tráfico de proxy web del servicio de puertade enlace: habilita la interrupción directa de Internet del tráfico proxy Web. Requiere un ancho de banda alto, pero los requisitos de latencia pueden variar.
-
Requisitos previos
Asegúrese de que dispone de lo siguiente:
-
Para realizar el desglose de Citrix Cloud and Gateway Service, se debe configurar un servicio de Internet en el dispositivo. Para obtener más información sobre la configuración de un servicio de Internet, consulte Acceso a Internet.
-
Asegúrese de que la interfaz de administración tenga conectividad a Internet. Si la interfaz de administración dedicada no está conectada, asegúrese de que la administración en banda esté habilitada y el tráfico de administración saliente tenga conectividad a Internet.
-
Puede utilizar la interfaz web de Citrix SD-WAN para configurar los ajustes de la interfaz de administración.
-
Asegúrese de que el DNS de administración esté configurado. Para configurar el DNS de la interfaz de administración, al nivel de sitio, vaya a Configuración > Configuración del dispositivo > Adaptador de red. En la sección Configuración de DNS, proporcione los detalles del servidor DNS principal y secundario y haga clic en Guardar.
Cómo funciona la optimización de Citrix Cloud y Gateway Service
-
El dispositivo Citrix SD-WAN descarga una lista de firmas de aplicación mediante la API del servicio en la nube.
-
Cuando llega una solicitud para la aplicación Citrix Cloud and Gateway Service, la aplicación se clasifica en el primer paquete mediante las firmas.
-
Una vez clasificado el tráfico de Citrix Cloud and Gateway Service, las directivas de firewall y ruta de aplicación creadas automáticamente entrarán en vigor y desconectan el tráfico directamente a Internet.
-
Citrix Cloud and Gateway Service utiliza Quad9 de forma predeterminada para reenviar solicitudes DNS.
Flujo de tráfico con o sin interrupción habilitada
-
Sin la conexión habilitada:
-
Con la conexión de conexiones habilitada:
Si utiliza una pila de seguridad en la nube (por ejemplo, Zscaler, Check Point, Palo Alto) para procesar el tráfico de Internet, el servicio de puerta de enlace recibe paquetes de la dirección IP pública de esa pila de seguridad, en lugar de la sucursal SD-WAN. Esto derrota la conexión directa de carga de trabajo y, por lo tanto, los paquetes a la SD-WAN alojada en la nube no podrán tomar Ruta virtual. Para obtener más información, consulte Conexión directa a la carga de trabajo.
Al habilitar la ruptura, el servicio de puerta de enlace recibe paquetes directamente de la sucursal SD-WAN. Las rutas virtuales dinámicas se presentan entre la sucursal SD-WAN y la SD-WAN alojada en la nube y el tráfico pasa a través de esta ruta virtual entre los dos sitios. Para obtener más información sobre cómo habilitar las rutas virtuales dinámicas, consulte Configurar rutas dinámicas para la comunicación de rama a rama.
Al habilitar la ruptura, el tráfico necesario para establecer y mantener la conectividad entre los dispositivos Citrix SD-WAN y Citrix SD-WAN Orchestrator ya no se transferirá a través del centro de datos. El tráfico llega a Citrix SD-WAN Orchestrator al llegar directamente a Internet desde las sucursales donde se encuentran los dispositivos Citrix SD-WAN.
Configurar interrupción del servicio de puerta de enlace
La directiva de interrupción de Citrix Cloud and Gateway Service le permite especificar qué categoría de tráfico de Citrix Cloud y Gateway Service puede separarse directamente de la sucursal SD-WAN.
Las opciones de los serviciosCitrix Cloudy Citrix Gateway están disponibles en los ajustes de optimización de Citrix Gateway y Citrix Cloud.
Las aplicaciones Citrix pueden acceder a varios servicios en Citrix Cloud. Para obtener más información, consulte Requisitos de sistema y conectividad.
En el servicio Citrix SD-WAN Orchestrator, de forma predeterminada, cada red tiene la ruta de los servicios Citrix Cloud y Gateway. Para navegar, vaya a Configuración de red > Enrutamiento > Directivas de enrutamiento > Rutas de aplicaciones.
No puede eliminar la ruta, pero puede configurar la configuración según sea necesario. Los servicios Citrix Cloud y Gateway están habilitados de forma predeterminada.
Reenviador transparente para Citrix Cloud and Gateway Service
La sucursal SD-WAN se rompe para Citrix Cloud y el servicio de puerta de enlace comienza con una solicitud DNS. La solicitud DNS que se realiza a través de los dominios de Citrix Cloud y Gateway Service se debe dirigir localmente. Si se habilita la interrupción de Internet de Citrix Cloud y Gateway Service, se determinan las rutas DNS internas. Las solicitudes DNS de Citrix Cloud y Gateway Service se reenvían al servicio DNS de código abierto Quad 9 de forma predeterminada. El servicio DNS Quad 9 es seguro, escalable y tiene presencia multipop. Puede cambiar el servicio DNS si es necesario.
Para agregar un servidor DNS, al nivel de sitio, vaya a Configuración > Configuración > Configuración avanzada > DNS. En la sección Servidores DNS específicos del sitio, haga clic en + Servidor DNS.
Los reenviadores transparentes para las aplicaciones Citrix Cloud y Gateway Service se crean en todas las sucursales de SD-WAN con servicio de Internet y Citrix Cloud and Gateway Service.
Para agregar una regla de reenvío de DNS específica, haga clic en + Regla de reenvío de DNS específica de la aplicación en la sección NDS Transparent Forwar Con esta configuración, puede elegir cambiar el reenviador transparente Quad9 DNS predeterminado para Citrix Cloud y Gateway Service Applications.
-
Aplicación: Seleccione la aplicación Citrix Cloud and Gateway Service en la lista desplegable de aplicaciones.
-
Servidor DNS: Seleccione el servidor DNS que creó en Servidores DNS específicos del sitio en la lista desplegable.
Supervisión
Puede supervisar el informe de uso y estadísticas en tiempo real de Citrix Cloud and Gateway Service de la siguiente manera:
- Estadísticas en tiempo real
- Conexiones de firewall en tiempo
- Uso
Solución de problemas
Los errores de conectividad se registran en el archivo SDWAN_dpi.log. Para descargar el archivo de registro, vaya a Solución de problemas > Registros de dispositivos, seleccione el sitio correspondiente, elija el archivo de registro y haga clic en Descargar.
También puede verificar las alertas del dispositivo. Para comprobarlo, vaya a Red > Alertas.