Citrix SD-WAN

Configurar la segmentación del firewall

La segmentación del firewall de reenvío de rutas virtuales (VRF) proporciona múltiples dominios de redirección acceso a Internet a través de una interfaz común, con el tráfico de cada dominio aislado del de los demás. Por ejemplo, los empleados y los invitados pueden acceder a Internet a través de la misma interfaz, sin acceso al tráfico de los demás. A partir de la versión 11.5 de SD-WAN, puede configurar la segmentación del firewall mediante Citrix SD-WAN Orchestrator Service. Para obtener más información, consulte Segmentación del firewall.

  • Acceso a Internet de usuario invitado local
  • Acceso a Internet de usuario empleado para aplicaciones definidas
  • Los usuarios empleados pueden continuar con la horquilla de todo el resto del tráfico hacia el MCN
  • Permitir al usuario agregar rutas específicas para dominios de redirección específicos.
  • Cuando está habilitada, esta función se aplica a todos los dominios de redirección.

También puede crear varias interfaces de acceso para dar cabida a direcciones IP públicas independientes. Cualquiera de las opciones proporciona la seguridad necesaria para cada grupo de usuarios.

Puede confirmar que cada dominio de redirección utiliza el servicio de Internet marcando la columna Dominio de redirección de la tabla Flujos de la interfaz de administración web en Supervisar > Flujos.

Imagen traducida

También puede consultar la tabla de redirección de cada dominio de redirección en Supervisar > Estadísticas > Rutas.

Imagen traducida

Casos de uso

En versiones anteriores de Citrix SD-WAN, la redirección y el reenvío virtuales presentaban los siguientes problemas, que se han resuelto.

  • Los clientes tienen varios dominios de redirección en un sitio de sucursal sin necesidad de incluir todos los dominios en el centro de datos (MCN). Necesitan la capacidad de aislar el tráfico de diferentes clientes de forma segura
  • Los clientes deben poder tener una única dirección IP pública con firewall accesible para múltiples dominios de redirección para acceder a Internet en un sitio (que se extienda más allá de VRF lite).
  • Los clientes necesitan una ruta de Internet para cada dominio de redirección que admita diferentes servicios.
  • Múltiples dominios de redirección en un sitio de sucursal.
  • Acceso a Internet para diferentes dominios de redirección.

Múltiples dominios de redirección en un sitio de sucursal

Con las mejoras de segmentación de Virtual Forwarding y Firewall de redirección, puede:

  • Proporcionar una infraestructura, en la sucursal, que admita conectividad segura para al menos dos grupos de usuarios, como empleados e invitados. La infraestructura puede admitir hasta 16 dominios de redirección.
  • Aísle el tráfico de cada dominio de redirección del tráfico de cualquier otro dominio de redirección.
  • Proporcionar acceso a Internet para cada dominio de redirección,

    • Se requiere una interfaz de acceso común y es aceptable

    • Una interfaz de acceso para cada grupo con direcciones IP públicas independientes

  • El tráfico del empleado se puede dirigir directamente a Internet local (aplicaciones específicas)
  • El tráfico del empleado se puede redirigir o retroceder al MCN para un filtrado exhaustivo (ruta 0)
  • El tráfico para el dominio de redirección se puede redirigir directamente a Internet local (ruta 0)
  • Admite rutas específicas por dominio de redirección, si es necesario
  • Los dominios de redirección están basados en VLAN
  • Elimina el requisito de que el RD tenga que residir en el MCN
  • El dominio de redirección ahora se puede configurar en un sitio de sucursal
  • Permite asignar varios RD a una interfaz de acceso (una vez habilitada)
  • A cada RD se le asigna una ruta 0.0.0.0
  • Permite agregar rutas específicas para un RD
  • Permite que el tráfico de diferentes RD salga a Internet utilizando la misma interfaz de acceso
  • Permite configurar una interfaz de acceso diferente para cada RD
  • Deben ser subredes únicas (los RD se asignan a una VLAN)
  • Cada RD puede usar la misma zona predeterminada de FW
  • El tráfico se aísla a través del dominio de redirección
  • Los flujos salientes tienen el RD como componente del encabezado del flujo. Permite a SD-WAN asignar flujos de retorno para corregir el dominio de redirección.

Requisitos previos para configurar varios dominios de redirección:

  • El acceso a Internet está configurado y asignado a un enlace WAN.
  • Firewall configurado para NAT y directivas correctas aplicadas.
  • Segundo dominio de redirección agregado globalmente.
  • Cada dominio de redirección agregado a un sitio.
  • Asegúrese de que el servicio de Internet se haya definido correctamente.

Casos de implementación

Imagen traducida

Imagen traducida

Limitaciones

  • El servicio de Internet debe agregarse al enlace WAN para poder habilitar el acceso a Internet para todos los dominios de redirección. (Hasta que lo haga, la casilla de verificación para habilitar esta opción aparece atenuada).

    Después de habilitar el acceso a Internet para todos los dominios de redirección, agregue automáticamente una regla Dynamic-NAT.

  • Hasta 16 dominios de redirección por sitio.
  • Interfaz de acceso (IA): IA única por subred.
  • Varias IA requieren una VLAN independiente para cada IA.
  • Si tiene dos dominios de redirección en un sitio y tiene un único enlace WAN, ambos dominios utilizan la misma dirección IP pública.

  • Si está habilitado el acceso a Internet para todos los dominios de redirección, todos los sitios pueden redirigirse a Internet. (Si un dominio de redirección no requiere acceso a Internet, puede utilizar el firewall para bloquear su tráfico).
  • No se admite la misma subred en varios dominios de redirección.

  • No hay funcionalidad de auditoría

  • Los vínculos WAN se comparten para el acceso a Internet.
  • Sin QoS por dominio de redirección; primero en llegar primero en servir.
Configurar la segmentación del firewall