Integración de Zscaler mediante túneles GRE y túneles IPsec
Zscaler Cloud Security Platform actúa como una serie de puestos de comprobación de seguridad en más de 100 centros de datos en todo el mundo. Con solo redirigir su tráfico de Internet a Zscaler, puede proteger inmediatamente sus tiendas, sucursales y ubicaciones remotas. Zscaler conecta a los usuarios con Internet, inspeccionando cada byte de tráfico, incluso si está encriptado o comprimido.
Los dispositivos Citrix SD-WAN pueden conectarse a una red en la nube de Zscaler a través de túneles GRE en el sitio del cliente. Una implementación de Zscaler mediante dispositivos SD-WAN admite la siguiente funcionalidad:
- Reenviar todo el tráfico GRE a Zscaler, lo que permite la ruptura directa de Internet.
- Acceso directo a Internet (DIA) mediante Zscaler en base a un sitio por cliente.
- En algunos sitios, es posible que desee proporcionar a DIA equipo de seguridad local y no utilizar Zscaler.
- En algunos sitios, puede optar por hacer backhaul el tráfico del sitio de otro cliente para obtener acceso a Internet.
- Implementaciones de redirección y reenvío virtuales.
- Un enlace WAN como parte de los servicios de Internet.
Zscaler es un servicio en la nube. Debe configurarlo como servicio y definir los vínculos WAN subyacentes:
- Configure un servicio de Internet en el centro de datos y en la sucursal a través de GRE.
- Configure un enlace de Internet público de confianza en el centro de datos y en las sucursales.
Topología
Para utilizar el reenvío de tráfico del túnel GRE o del túnel IPsec:
-
Inicie sesión en el portal de ayuda de Zscaler en: https://help.zscaler.com/submit-ticket.
-
Crear un tíquet y proporcionar la dirección IP pública estática, que se utiliza como la dirección IP de origen del túnel GRE o IPsec.
Zscaler utiliza la dirección IP de origen para identificar la dirección IP del cliente. La IP de origen debe ser una IP pública estática. Zscaler responde con dos direcciones IP ZEN (primaria y secundaria) para transmitir el tráfico. Los mensajes de mantenimiento vivo de GRE se pueden utilizar para determinar el estado de los túneles.
Zscaler utiliza el valor de la dirección IP de origen para identificar la dirección IP del cliente. Este valor debe ser una dirección IP pública estática. Zscaler responde con dos direcciones IP ZEN [DR1] a las que redirigir el tráfico. Los mensajes GRE keep-alive se pueden utilizar para determinar el estado de los túneles.
Direcciones IP de ejemplo
Primary (Principal)
Dirección IP del router interno: 172.17.6.241/30 Dirección IP ZEN interna: 172.17.6.242/30
Secundario
Dirección IP interna del router: 172.17.6.245/30 Dirección IP ZEN interna: 172.17.6.246/30
Configuración de un servicio de Internet
Para configurar un servicio de Internet:
-
Vaya a Conexiones- Servicios de Internet. Configure el servicio de internet.
-
Seleccione + Service y habilite la configuración (configuración básica, vínculos WAN y reglas) según sea necesario.
-
Seleccione Aplicar.
Para obtener más información sobre cómo habilitar el servicio de Internet para un sitio, consulte Interrupción directa de Internet en una sucursal con firewall integrado.
Puede configurar los siguientes ajustes en un servicio de Internet:
Parámetros básicos
La configuración de zona del firewall no se puede configurar para un servicio de Internet. Si el servicio Internet es de confianza, se asigna a Internet_Zone. Si el servicio Internet no es de confianza, se asigna a Untrusted_Internet_Zone.
Los ajustes básicos que se pueden configurar se describen a continuación:
-
Habilitar recuperación primaria: si está habilitada, el uso (use = principal) asociado a este servicio en un enlace WAN recupera forzosamente el estado como servicio activo en ese enlace WAN.
-
Conjunto predeterminado: Nombre del conjunto predeterminado de Internet que rellena las reglas del servicio Internet del sitio.
-
Coste deruta predeterminado: costede ruta asociado a la ruta de Internet predeterminada (0.0.0.0/0).
-
Ignorar estado del enlace WAN: si está habilitado, los paquetes destinados a este servicio seguirán eligiendo este servicio aunque no estén disponibles todos los enlaces WAN de este servicio.
-
Exportar ruta predeterminada: si está habilitada, la ruta predeterminada del servicio de Internet, 0.0.0.0/0, se exporta a otros sitios si el reenvío de WAN a WAN está habilitado.
Enlaces WAN
La configuración del enlace WAN configurable se describe a continuación:
- Uso: Permitir que el servicio utilice este enlace WAN. Cuando Usar está inhabilitado, el resto de opciones no están disponibles.
- Modo: Modo de servicio: primario, secundario o equilibrado, para redundancia de tráfico o equilibrio de carga.
- Tamaño del encabezado del túnel (bytes): tamaño del encabezado del túnel, en bytes, si procede.
- Conmutación por error de interfaz de acceso: si está habilitada, los paquetes de Internet o de intranet con VLAN no coincidentes pueden seguir utilizando el servicio.
LAN a WAN
- Etiquetado: etiqueta DSCP que se aplica a los paquetes LAN a WAN del servicio.
- Demora máxima (ms): tiempo máximo, en milisegundos, para almacenar paquetes en búfer cuando se supera el ancho de banda de los enlaces WAN.
WAN a LAN
-
Etiquetado: etiqueta DSCP que se aplica a los paquetes WAN a LAN del servicio.
-
Coincidencia: los paquetes de Internet WAN a LAN que coinciden con esta etiqueta se asignan al servicio.
-
Grooming: Si se habilita, los paquetes se descartan aleatoriamente para evitar que el tráfico de WAN a LAN exceda el ancho de banda aprovisionado del servicio.
Reglas
El tráfico de Internet se identifica según las reglas definidas. Se utiliza una definición de regla para hacer coincidir un flujo de tráfico específico. Una vez coincidente, debe definir la acción que se aplicará al flujo de tráfico.
La lista de reglas disponibles se describe a continuación:
- Orden: secuencia en la que se aplican las reglas y se redistribuyen automáticamente.
- Nombre del grupo de reglas: Nombre dado a una regla que permite sumar las estadísticas de reglas en grupos cuando se muestran. Todas las estadísticas de las reglas con el mismo nombre de grupo de reglas se pueden ver juntas.
- Origen: dirección IP de origen y máscara de subred que coinciden con la regla.
- Dest-Src: Si está habilitada, la dirección IP de origen también se utiliza como dirección IP de destino.
- Dest: La dirección IP de destino y la máscara de subred que coinciden con la regla.
- Protocolo: nombre del protocolo que coincide con el filtro.
- Número de protocolo: número de protocolo que coincide con el filtro.
- DSCP: etiqueta DSCP del encabezado IP que coincide con la regla.
La lista de acciones disponibles se describe a continuación:
-
Enlace WAN: vínculo WAN que utilizarán los flujos que coinciden con la regla cuando el equilibrio de carga de Internet está habilitado.
-
Servicio de anulación: el servicio de destino de los flujos que coinciden con la regla.
-
Descartar: Deja el tráfico.
-
Passthrough: asigne el flujo al paso y permita que el tráfico fluya por el dispositivo sin cambios.
-
Configurar túnel GRE
-
La dirección IP de origen es la dirección IP de origen del túnel. Si la dirección IP de origen del túnel es NAT, la dirección IP de origen público es la dirección IP pública de origen del túnel, incluso si está NAT en un dispositivo intermedio diferente.
-
La dirección IP de destino es la dirección IP ZEN que proporciona Zscaler.
-
La dirección IP de origen y la dirección IP de destino son los encabezados GRE del router cuando se encapsula la carga útil original.
-
La dirección IP del túnel y el prefijo son las direcciones IP del propio túnel GRE. Esto resulta útil para redirigir el tráfico a través del túnel GRE. El tráfico necesita esta dirección IP como dirección de puerta de enlace.
Para configurar el túnel GRE:
-
En el editor de configuración, vaya a Conexiones > Sitio > Túneles GREy configure rutas para reenviar los servicios de prefijos de Internet a los túneles GRE de Zscaler.
La dirección IP de origen se puede elegir de la interfaz de red virtual en vínculos de confianza. Consulte Cómo configurar el túnel GRE.
Configurar rutas para túneles GRE
Configure rutas para reenviar los servicios de prefijos de Internet a los túneles GRE de Zscaler.
- La dirección IP ZEN (IP de destino del túnel, que se muestra como 104.129.194.38 en la ilustración anterior) debe establecerse en Internet de tipo servicio. Esto es necesario para que el tráfico destinado a Zscaler se contabiliza desde el servicio de Internet.
- Todo el tráfico destinado a Zscaler debe coincidir con la ruta predeterminada 0/0 y transmitirse a través del túnel GRE. Asegúrese de que la ruta 0/0 utilizada para [DR1] el túnel GRE tenga un coste menor que el de paso o cualquier otro tipo de servicio.
- Del mismo modo, el túnel GRE de respaldo a Zscaler debe tener un coste mayor que el del túnel GRE primario.
- Asegúrese de que existan rutas no recursivas para la dirección IP ZEN.
Para configurar rutas para el túnel GRE:
-
Vaya a Conexiones > Sitio > Rutasy siga los procedimientos descritos en Configuración de rutas para obtener instrucciones sobre cómo crear rutas.
Nota
Si no tiene rutas específicas para la dirección IP de Zscaler, configure el prefijo de ruta 0.0.0.0/0 para que coincida con la dirección IP ZEN y redirigirla a través de un bucle de encapsulación de túnel GRE. Esta configuración utiliza los túneles en modo de respaldo activo. Con los valores mostrados en la ilustración anterior, el tráfico cambia automáticamente al túnel con la dirección IP de la puerta de enlace 172.17.6.242. Si lo desea, configure una ruta de ruta virtual de backhaul. De lo contrario, establezca el intervalo de mantenimiento activo del túnel de copia de seguridad en cero. Esto permite el acceso seguro a Internet a un sitio incluso si fallan los túneles de Zscaler.
Se admiten los mensajes keep-alive GRE. Se agrega un nuevo campo denominado IP de origen público que proporciona la dirección NAT de la dirección de origen GRE a la interfaz GUI de Citrix SD-WAN (en el caso de que el origen del túnel del dispositivo SD-WAN sea NATted por un dispositivo intermedio). La GUI de Citrix SD-WAN incluye un campo denominado IP de origen público, que proporciona la dirección NAT de la dirección de origen GRE cuando un dispositivo intermedio da NAT al origen del túnel del dispositivo Citrix SD-WAN.
Limitaciones
- No se admiten varias implementaciones de VRF.
- Los túneles GRE de respaldo primarios solo son compatibles con un modo de diseño de alta disponibilidad.
Configurar túneles IPsec
Para configurar túneles IPsec para servicios de intranet o LAN en la GUI del dispositivo Citrix SD-WAN:
-
En el Editor de configuración, vaya a Conexiones > <Nombre del sitio> > Túneles IPsec y elija un tipo de servicio (LAN o Intranet).
-
Introduzca un nombre para el tipo de servicio. Para el tipo de servicio de intranet, el servidor de intranet configurado determina qué direcciones IP locales están disponibles.
-
Seleccione la dirección IP local disponible e introduzca la dirección IP del mismo nivel para la ruta virtual al par remoto.
-
Seleccione IKEv1 para Configuración de IKE. Zscaler solo admite IKEv1.
-
En Configuración de IPsec, seleccione ESP-NULL para Tipo de túnelpara redirigir el tráfico a Zscaler a través del túnel IPsec. El túnel IPsec no cifra el tráfico.
-
Debido a que el tráfico de Internet se redirige, la IP/prefijo de destino puede ser cualquier dirección IP.
Para obtener más información sobre la configuración de túneles IPsec mediante la interfaz web de Citrix SD-WAN, consulte; el tema Túneles IPsec.
Configurar rutas para túneles IPsec
Para configurar rutas IPsec:
- Vaya a Conexiones > DC > Rutas y siga los procedimientos descritos en Configuración de rutas para obtener instrucciones sobre cómo crear rutas.
Para supervisar las estadísticas del túnel GRE e IPsec:
En la interfaz web de SD-WAN, vaya a Supervisión > Estadísticas > [Túnel GRE | Túnel IPsec]. |
Para obtener más información, consulte; temas sobre supervisión de túneles IPsec y túneles GRE.