Integración de Zscaler mediante túneles GRE y túneles IPsec
Zscaler Cloud Security Platform actúa como una serie de puestos de comprobación de seguridad en más de 100 centros de datos en todo el mundo. Con solo redirigir su tráfico de Internet a Zscaler, puede proteger inmediatamente sus tiendas, sucursales y ubicaciones remotas. Zscaler conecta a los usuarios con Internet, inspeccionando cada byte de tráfico, incluso si está encriptado o comprimido.
Los dispositivos Citrix SD-WAN pueden conectarse a una red en la nube de Zscaler a través de túneles GRE en el sitio del cliente. Una implementación de Zscaler mediante dispositivos SD-WAN admite la siguiente funcionalidad:
- Reenviar todo el tráfico GRE a Zscaler, lo que permite la ruptura directa de Internet.
- Acceso directo a Internet (DIA) mediante Zscaler en base a un sitio por cliente.
- En algunos sitios, es posible que quiera proporcionar a DIA equipo de seguridad local y no utilizar Zscaler.
- En algunos sitios, puede optar por hacer backhaul el tráfico del sitio de otro cliente para obtener acceso a Internet.
- Implementaciones de redirección y reenvío virtuales.
- Un enlace WAN como parte de los servicios de Internet.
Zscaler es un servicio en la nube. Debe configurarlo como servicio y definir los vínculos WAN subyacentes:
- Configure un servicio de Internet en el centro de datos y en la sucursal a través de GRE.
- Configure un enlace de Internet público de confianza en el centro de datos y en las sucursales.
Topología
Para utilizar el reenvío de tráfico del túnel GRE o del túnel IPsec:
-
Inicie sesión en el portal de ayuda de Zscaler en: https://help.zscaler.com/submit-ticket.
-
Crear un tíquet y proporcionar la dirección IP pública estática, que se utiliza como la dirección IP de origen del túnel GRE o IPsec.
Zscaler utiliza la dirección IP de origen para identificar la dirección IP del cliente. La IP de origen debe ser una IP pública estática. Zscaler responde con dos direcciones IP ZEN (primaria y secundaria) para transmitir el tráfico. Los mensajes de mantenimiento vivo de GRE se pueden utilizar para determinar el estado de los túneles.
Zscaler utiliza el valor de la dirección IP de origen para identificar la dirección IP del cliente. Este valor debe ser una dirección IP pública estática. Zscaler responde con dos direcciones IP ZEN [DR1] a las que redirigir el tráfico. Los mensajes GRE keep-alive se pueden utilizar para determinar el estado de los túneles.
Direcciones IP de ejemplo
Primary (Principal)
Dirección IP del router interno: 172.17.6.241/30 Dirección IP ZEN interna: 172.17.6.242/30
Secundario
Dirección IP interna del router: 172.17.6.245/30 Dirección IP ZEN interna: 172.17.6.246/30
Configuración de un servicio de Internet
Para configurar un servicio de Internet a través de Citrix SD-WAN Orchestrator Service, consulte Servicios de entrega. Para obtener más información sobre cómo habilitar el servicio de Internet en un sitio, consulte Direct Internet Breakout.
Configurar túnel GRE
-
La dirección IP de origen es la dirección IP de origen del túnel. Si la dirección IP de origen del túnel es NAT, la dirección IP de origen público es la dirección IP pública de origen del túnel, incluso si está NAT en un dispositivo intermedio diferente.
-
La dirección IP de destino es la dirección IP ZEN que proporciona Zscaler.
-
La dirección IP de origen y la dirección IP de destino son los encabezados GRE del router cuando se encapsula la carga útil original.
-
La dirección IP del túnel y el prefijo son las direcciones IP del propio túnel GRE. Esto resulta útil para redirigir el tráfico a través del túnel GRE. El tráfico necesita esta dirección IP como dirección de puerta de enlace.
Para configurar el túnel GRE a través del servicio Cirix SD-WAN Orchestrator, consulte Túnel GRE.
Configurar rutas para túneles GRE
Configure rutas para reenviar los servicios de prefijos de Internet a los túneles GRE de Zscaler.
- La dirección IP ZEN (IP de destino del túnel, que se muestra como 104.129.194.38 en la ilustración anterior) debe establecerse en Internet de tipo servicio. Esto es necesario para que el tráfico destinado a Zscaler se contabiliza desde el servicio de Internet.
- Todo el tráfico destinado a Zscaler debe coincidir con la ruta predeterminada 0/0 y transmitirse a través del túnel GRE. Asegúrese de que la ruta 0/0 utilizada para [DR1] el túnel GRE tenga un coste menor que el de paso o cualquier otro tipo de servicio.
- Del mismo modo, el túnel GRE de respaldo a Zscaler debe tener un coste mayor que el del túnel GRE primario.
-
Asegúrese de que existan rutas no recursivas para la dirección IP ZEN.
Nota
Si no tiene rutas específicas para la dirección IP de Zscaler, configure el prefijo de ruta 0.0.0.0/0 para que coincida con la dirección IP ZEN y redirigirla a través de un bucle de encapsulación de túnel GRE. Esta configuración utiliza los túneles en modo de respaldo activo. Con los valores mostrados en la ilustración anterior, el tráfico cambia automáticamente al túnel con la dirección IP de la puerta de enlace 172.17.6.242. Si lo quiere, configure una ruta de ruta virtual de backhaul. De lo contrario, establezca el intervalo de mantenimiento activo del túnel de copia de seguridad en cero. Esto permite el acceso seguro a Internet a un sitio incluso si fallan los túneles de Zscaler.
Se admiten los mensajes keep-alive GRE. Se agrega un nuevo campo denominado IP de origen público que proporciona la dirección NAT de la dirección de origen GRE a la interfaz GUI de Citrix SD-WAN (en el caso de que el origen del túnel del dispositivo SD-WAN sea NATted por un dispositivo intermedio). La GUI de Citrix SD-WAN incluye un campo denominado IP de origen público, que proporciona la dirección NAT de la dirección de origen GRE cuando un dispositivo intermedio da NAT al origen del túnel del dispositivo Citrix SD-WAN.
Limitaciones
- No se admiten varias implementaciones de VRF.
- Los túneles GRE de respaldo primarios solo son compatibles con un modo de diseño de alta disponibilidad.
Para supervisar las estadísticas de túneles GRE e IPsec:
En la interfaz web de SD-WAN, vaya a Supervisión > Estadísticas > [Túnel GRE | Túnel IPsec]. |
Para obtener más información, consulte; temas sobre supervisión de túneles IPsec y túneles GRE.