Citrix SD-WAN

Servicio de dominio entre enrutamiento

Citrix SD-WAN le permite segmentar la red mediante Dominios de redirección, lo que garantiza una alta seguridad y una administración sencilla. Con el uso del dominio de redirección, el tráfico se aísla entre sí en la red superpuesta. Cada dominio de redirección mantiene su propia tabla de redirección. Para obtener más información sobre Dominio de enrutamiento, consulte Dominio de enrutamiento.

Sin embargo, a veces necesitamos enrutar el tráfico entre los dominios de redirección. Por ejemplo, si los servicios compartidos, como la impresora, el analizador y el servidor de correo, se aprovisionan como un dominio de redirección independiente. El dominio de interredirección es necesario para permitir que los usuarios de diferentes dominios de redirección accedan a los servicios compartidos.

Citrix SD-WAN proporciona el servicio de dominio de interredirección estático, lo que permite la fuga de rutas entre dominios de redirección dentro de un sitio o entre sitios diferentes. Esto elimina la necesidad de un enrutador perimetral para manejar las fugas de ruta. El servicio de dominio de interredirección se puede utilizar para configurar rutas, directivas de firewall y reglas NAT.

Una nueva zona de firewall, Inter_Routing_Domain_Zone, se crea de forma predeterminada y sirve como zona de firewall para los Servicios de dominio entre enrutamiento para enrutamiento y filtrado.

Nota

Los dispositivos Citrix SD-WAN PE no realizan la funcionalidad de optimización de WAN en paquetes de dominio de interredirección.

Para configurar el Servicio de dominio de interredirección entre dos dominios de redirección.

Considere una red SD-WAN con un MCN y dos o más sucursales con al menos dos dominios de redirección configurados globalmente. De forma predeterminada, todos los dominios de redirección están habilitados en el MCN. Active selectivamente los dominios de redirección requeridos en los otros sitios. Para obtener información sobre la configuración del dominio de enrutamiento, consulte, Configurar dominio de enrutamiento.

  1. En el Editor de configuración de SD-WAN, vaya a Conexiones > Seleccionar sitio > Servicio de dominio entre enrutamiento.

  2. Haga clic en + e introduzca los valores para los siguientes parámetros:

  • Nombre: El nombre del servicio de dominio entre enrutamiento.
  • Dominio de enrutamiento 1: el primer dominio de enrutamiento del par.
  • Dominio de enrutamiento 2: el segundo dominio de enrutamiento del par.
  • Zona de firewall: Zona de firewall del servicio.
    • Valor predeterminado: Se asigna la zona de firewall Inter_Routing_Domain_Zone.
    • Ninguno: no se ha seleccionado ninguna zona y se conserva la zona original del paquete.
    • Es posible que se seleccionen todas las zonas configuradas en la red.

    Configurar el servicio de dominio de interredirección

  1. Haga clic en Aplicar para crear el servicio de dominio entre enrutamiento. El servicio creado se puede utilizar para crear rutas, directivas de firewall y directivas NAT.

Nota

No se puede configurar un servicio de dominio entre enrutamiento mediante dominios de enrutamiento que no están habilitados en un sitio.

Para crear rutas mediante el servicio de dominio entre enrutamiento, cree una ruta con el tipo de servicio como Servicio de dominio entre enrutamiento y seleccione el servicio de dominio entre enrutamiento. Para obtener más información sobre la configuración de Rutas, consulte Cómo Configurar Rutas.

Configurar ruta mediante el servicio de dominio de interredirección

Agregue también una ruta del otro par Dominio de redirección, para establecer la conexión entre ambos dominios de redirección.

También puede configurar directivas de firewall para controlar el flujo de tráfico entre dominios de redirección. En las directivas de firewall, seleccione Servicio de dominio de interredirección para los servicios de origen y destino y seleccione la acción de firewall necesaria. Para obtener información sobre la configuración de directivas de firewall, consulte Directivas.

Configurar directivas mediante el servicio de dominio de interredirección

También puede elegir el tipo de servicio Intranet para configurar directivas NAT estáticas y dinámicas. Para obtener más información sobre la configuración de directivas NAT, consulte Traducción de direcciones de red.

Configurar NAT mediante el servicio de dominio de interredirección

Supervisión

Puede ver las estadísticas de supervisión de las conexiones que utilizan servicios de dominio entre enrutamiento en Supervisión > Estadísticas del cortafuegos > Conexiones.

Supervisión del dominio de interredirección

Caso de uso: compartir recursos entre dominios de enrutamiento

Consideremos un caso, en el que los usuarios de diferentes dominios de redirección necesitan acceder a activos comunes, como una impresora o almacenamiento en red. Hay 3 dominios de redirección en una rama RD1, RD2 y RD compartido, como se muestra en la figura.

Recursos compartidos en dominios de redirección

Para permitir que los usuarios de RD1 y RD2 tengan acceso a los recursos de Escritorio remoto compartido:

  1. Cree un servicio de dominio entre enrutamiento entre RD1 y Escritorio remoto compartido, por ejemplo Inter RD1.
  2. Cree un servicio de dominio entre enrutamiento entre RD2 y Escritorio remoto compartido, por ejemplo Inter RD2.

    RD compartido

  3. Configure una ruta estática a Escritorio remoto compartido desde RD1 y RD2. En RD1, agregue una ruta 172.168.2.0/24 a InterRD1.

    Agregar ruta en RD1

  4. En RD2, agregue una ruta 172.168.2.0/24 a InterRD2.

    Agregar ruta en RD2

  5. Agregue una regla NAT dinámica a InterRD1 mediante un VIP en RD compartido. Habilite Enlazar ruta del respondedor para asegurarse de que la ruta inversa utiliza el mismo tipo de servicio.

    NAT dinámico para RD1

  6. Agregue una regla NAT dinámica a InterRD2 mediante un VIP en Escritorio remoto compartido, por ejemplo 10.0.0.11. Habilite Enlazar ruta del respondedor para asegurarse de que la ruta inversa utiliza el mismo tipo de servicio.

    NAT dinámico para RD2

  7. Utilice filtros para limitar a qué recursos de Escritorio remoto compartido pueden tener acceso los usuarios de RD1/RD2.
Servicio de dominio entre enrutamiento