Citrix SD-WAN Orchestrator

Configurar la segmentación del firewall

La segmentación del firewall de reenvío de rutas virtuales (VRF) proporciona múltiples dominios de redirección acceso a Internet a través de una interfaz común, con el tráfico de cada dominio aislado del de los demás. Por ejemplo, los empleados y los invitados pueden acceder a Internet a través de la misma interfaz, sin acceso al tráfico de los demás.

  • Acceso a Internet de usuario invitado local
  • Acceso a Internet de usuario empleado para aplicaciones definidas
  • Los usuarios empleados pueden continuar con la horquilla de todo el resto del tráfico hacia el MCN
  • Permitir al usuario agregar rutas específicas para dominios de redirección específicos.
  • Cuando está habilitada, esta función se aplica a todos los dominios de redirección.

También puede crear varias interfaces de acceso para dar cabida a direcciones IP públicas independientes. Cualquiera de las opciones proporciona la seguridad necesaria para cada grupo de usuarios.

Habilitar el acceso a Internet en los dominios de enrutamiento

Puede habilitar el acceso a Internet en un dominio de enrutamiento a través del servicio Citrix SD-WAN Orchestrator. Esta opción crea automáticamente una ruta PREDETERMINADA (0.0.0.0/0) en todas las tablas de enrutamiento de los dominios de enrutamiento respectivos. Puede habilitar el acceso a Internet para todos los dominios de enrutamiento o ninguno. Evita la necesidad de crear una ruta estática exclusiva en todos los dominios de enrutamiento si se requiere acceso a Internet.

Interfaz de acceso

Para obtener más información, consulte Interfaz de acceso.

Casos de uso

Los siguientes son los casos de uso admitidos para la segmentación del firewall:

  • Los clientes tienen varios dominios de redirección en un sitio de sucursal sin necesidad de incluir todos los dominios en el centro de datos (MCN). Necesitan la capacidad de aislar el tráfico de diferentes clientes de forma segura
  • Los clientes deben poder tener una única dirección IP pública con firewall accesible para múltiples dominios de redirección para acceder a Internet en un sitio (que se extienda más allá de VRF lite).
  • Los clientes necesitan una ruta de Internet para cada dominio de redirección que admita diferentes servicios.
  • Múltiples dominios de redirección en un sitio de sucursal.
  • Acceso a Internet para diferentes dominios de redirección.

Múltiples dominios de redirección en un sitio de sucursal

Con las mejoras de segmentación de Virtual Forwarding y Firewall de redirección, puede:

  • Proporcionar una infraestructura, en la sucursal, que admita conectividad segura para al menos dos grupos de usuarios, como empleados e invitados. La infraestructura puede admitir hasta 254 dominios de redirección.
  • Aísle el tráfico de cada dominio de redirección del tráfico de cualquier otro dominio de redirección.
  • Proporcione acceso a Internet para cada dominio de enrutamiento,

    • Se requiere una interfaz de acceso común y es aceptable

    • Una interfaz de acceso para cada grupo con direcciones IP públicas independientes

  • El tráfico del empleado se puede dirigir directamente a Internet local (aplicaciones específicas)
  • El tráfico del empleado se puede redirigir o retroceder al MCN para un filtrado exhaustivo (ruta 0)
  • El tráfico para el dominio de redirección se puede redirigir directamente a Internet local (ruta 0)
  • Admite rutas específicas por dominio de redirección, si es necesario
  • Los dominios de redirección están basados en VLAN
  • Elimina el requisito de que el RD tenga que residir en el MCN
  • El dominio de redirección ahora se puede configurar en un sitio de sucursal
  • Permite asignar varios RD a una interfaz de acceso (una vez habilitada)
  • A cada RD se le asigna una ruta 0.0.0.0
  • Permite agregar rutas específicas para un RD
  • Permite que el tráfico de diferentes RD salga a Internet utilizando la misma interfaz de acceso
  • Permite configurar una interfaz de acceso diferente para cada RD
  • Deben ser subredes únicas (los RD se asignan a una VLAN)
  • Cada RD puede usar la misma zona predeterminada de FW
  • El tráfico se aísla a través del dominio de redirección
  • Los flujos salientes tienen el RD como componente del encabezado del flujo. Permite a SD-WAN asignar flujos de retorno para corregir el dominio de redirección.

Requisitos previos para configurar varios dominios de redirección:

  • El acceso a Internet está configurado y asignado a un enlace WAN.
  • Firewall configurado para NAT y directivas correctas aplicadas.
  • Segundo dominio de redirección agregado globalmente.
  • Cada dominio de redirección agregado a un sitio.
  • Para obtener información sobre la configuración de los servicios de Internet en los dominios de enrutamiento, consulte los enlaces WAN.

Casos de implementación

Imagen traducida

Imagen traducida

Limitaciones

  • El servicio de Internet debe agregarse al enlace WAN para poder habilitar el acceso a Internet para todos los dominios de redirección. (Hasta que lo haga, la casilla de verificación para habilitar esta opción aparece atenuada).

    Después de habilitar el acceso a Internet para todos los dominios de enrutamiento, agregue automáticamente una regla de NAT dinámica.

  • Interfaz de acceso (IA): IA única por subred.
  • Varias IA requieren una VLAN independiente para cada IA.
  • Si tiene dos dominios de redirección en un sitio y tiene un único enlace WAN, ambos dominios utilizan la misma dirección IP pública.

  • Si está habilitado el acceso a Internet para todos los dominios de redirección, todos los sitios pueden redirigirse a Internet. (Si un dominio de redirección no requiere acceso a Internet, puede utilizar el firewall para bloquear su tráfico).

  • Los vínculos WAN se comparten para el acceso a Internet.
  • Sin QoS por dominio de redirección; primero en llegar primero en servir.
Configurar la segmentación del firewall