Citrix SD-WAN Orchestrator とチェックポイント CloudGuard Connect の統合
統合トポロジ
Check Pointポータルの構成
- Check Pointポータルにサイトを追加します。
-
Check Pointポータルにログインし、サイトを追加します。
サイトを作成するためのポップアップウィンドウが表示されます。必要な一般的な詳細を入力し、[次へ] をクリックします。
-
接続の詳細を入力します。 デバイスタイプとして [ Citrix ] を選択し、[ 外部 IP アドレス ] として [ 固定 IP アドレス] を選択します
注
ブランチWANリンクのパブリックIPアドレスを外部IPアドレスとして指定します。トポロジごとに「x.x.33.83」です。
複数のインターネット WAN リンクを使用している場合は、[ 別の外部 IP アドレスを追加 ] をクリックして、それらの WAN リンクに関連付けられているパブリック IP アドレスを指定します。
-
認証セクションで 、事前共有キーまたは自動生成キーを定義します。
-
内部サブネットワークを指定します。トンネルを通過するのは、SD-WANアプライアンスの背後にあるLANサブネットであり、Citrix SD-WAN Orchestratorサービスでは保護ネットワークと呼ばれます 。トンネルが確立されていることを確認するには、Citrix SD-WAN Orchestrator サービスとCheck Point 側の両方で一致する必要があります。
-
構成を確認し、[ 終了してサイトを作成] をクリックします。
GENERATING SITE というステータスのサイトタイルが追加されます。
Check Point は、サイトの生成に約 20 分かかります。サイトが生成されると、タイルのステータスは WAITING FOR TRAFFICに変わります。
-
-
[ ブランチデバイスの設定 ] をクリックしてトンネルの詳細を表示します。これには、Check Pointクラウドへの 2 つの IPsec トンネルの詳細が含まれます。
この例では、トンネルの宛先は FQDN 形式で記載されています。このFQDNを解決して、Citrix SD-WAN 構成で使用できるトンネルの宛先IPアドレスを取得します。
例えば-C:\Users\john >ns lookup g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud
サーバー:
ルーターアドレス: 192.168.0.1
権限のない回答: 名前:g-d87e003fdd8d3717d8a534551ccd77a2.checkpoint.cloud アドレス:52.66.199.169
Citrix SD-WAN Orchestratorサービスでの構成
Citrix SD-WAN Orchestrator サービスで構成を構築するには、トンネルの宛先パラメータと IPSec パラメーターを使用します。
- IPSec 暗号化プロファイルを作成します。
-
Citrix SD-WAN Orchestrator サービス UI のネットワークレベルで、[ 構成 ]>[ IPsec 暗号化プロファイル ]に移動し、[ +IPsec 暗号化プロファイル]をクリックします。
-
Check Point設定に従って、IKE および IPSec 設定を構成します。
-
-
Check Pointクラウドへの IPSec トンネルを追加します。
-
[ 構成 ] > [ 配信サービス ] > [ サービスと帯域幅 ] に移動し、イントラネットサービスを追加します。
-
サービスタイプをIPsec サービスとして選択します。
-
Check Pointクラウドへの IPSec トンネルを設定します。[ +エンドポイント ] をクリックして、Check Point のエンドポイント情報を追加します。
![[ 終点]](/en-us/citrix-sd-wan-orchestrator/media/check-point-end-point.png)
- 次の詳細を入力します。
- ピア IP (解決されたCheck Point FQDN IP アドレス)
- 前の手順で作成した IPSec プロファイル
- Check Pointから取得した事前共有キー。
同様に、冗長性を確保するために、2 番目のトンネルエンドポイントを Check Point クラウドに追加します。
-
[ + エンドポイントマッピング ] をクリックして、エンドポイントマッピングを追加します。
エンドポイントとして CheckpointTun1 (前のステップで作成したもの) を選択し、[ + バインディング ] をクリックしてサイトをバインドします。同様に、 CheckpointTun2 を 2 番目のエンドポイントとして追加します。
トンネルをブランチサイト (BranchAzure など) にバインドし、保護されたネットワークの詳細を指定します。
注
保護されたネットワークは、Check Point ポータルで構成されているブランチサイトである必要があります。パブリック IP は一致する必要があります。
この場合、保護されたネットワークの送信元ネットワークは、ブランチの LAN ネットワークであり、宛先は任意です。ソースネットワークは、Check Pointポータルで構成されたネットワークと一致する必要があります。[完了] をクリックします。
[ 保存 ] をクリックして IPsec トンネルの構成を保存します。 check-point-generating-site.png
-
CheckpointTunnel 配信サービスを追加したら、エンドポイントがマッピングされているサイトに適用されるサービスの帯域幅シェアを割り当てます。
注
ここで割り当てられる帯域幅の割合は、競合時にこのCheck Point配信サービスの保証帯域幅シェアです。
-
-
ステージングとアクティベーションを通じて、Citrix SD-WAN Orchestrator サービスで構成を展開します。
-
ブランチサイトから [Check Pointクラウド] へのトンネルの状態を確認します。
監視
IPSec トンネル経由でCheck Pointクラウド経由でブランチサイトホストからインターネットにアクセスします。たとえば、セールスフォース・ドットコムにアクセスしてみてください。
このアプリケーションは、宛先サービスとのファイアウォール接続で CheckpointTunnel_CheckpointTunとして報告されます。
このトラフィックは、IPSec トンネル統計情報(送受信されたパケット)で更新されます。
ログ
IPSec トンネルの作成に関連するログは、SDWAN_security.log ファイルにあります。
Check Point ポータルのサイト・ステータスが「 アクティブ」に更新されます。
Check Pointクラウドを介してアクセスできるウェブサイト(例-Facebook.com)にアクセスしてみてください。Facebook アプリケーションをブロックするポリシーを追加することで、Check Pointアクセス制御ポリシーを変更できます。
ポリシーをインストールすると、Facebook.com はブロックされます。
これは、インターネットトラフィックが SD-WAN から IPSec トンネルを介してCheck Pointクラウドにリダイレクトされることを示しています。このアクションは、Check Pointクラウドのポリシー定義に従って実行されました。