Citrix SD-WAN

GREトンネルとIPsecトンネルを使用したZscaler統合

Zscaler Cloud Security Platformは、世界中の100以上のデータセンターで一連のセキュリティチェックの投稿として機能します。インターネットトラフィックをZscalerにリダイレクトするだけで、店舗、支店、遠隔地をすぐに保護できます。Zscalerはユーザーとインターネットを接続し、暗号化または圧縮されている場合でも、トラフィックのすべてのバイトを検査します。

Citrix SD-WAN アプライアンスは、お客様のサイトのGREトンネルを介してZscalerクラウドネットワークに接続できます。SD-WANアプライアンスを使用したZscalerの展開では、次の機能がサポートされています。

  • すべてのGREトラフィックをZscalerに転送することで、直接インターネットブレイクアウトが可能になります。
  • 顧客サイトごとにZscalerを使用した直接インターネットアクセス(DIA)。
    • 一部のサイトでは、DIAにオンプレミスのセキュリティ機器を提供し、Zscalerを使用しない場合があります。
    • 一部のサイトでは、インターネットアクセス用に別の顧客サイトへのトラフィックのバックホールを選択する場合があります。
  • 仮想ルーティングと転送の展開。
  • インターネットサービスの一部としての1つのWANリンク。

Zscalerはクラウドサービスです。サービスとして設定し、基になるWANリンクを定義する必要があります。

  • データセンターでインターネットサービスを設定し、GRE 経由でブランチします。
  • 信頼できるパブリックインターネットリンクを、データセンターおよびブランチサイトで構成します。

トポロジ

ローカライズされた画像

ローカライズされた画像

GRE トンネルまたは IPsec トンネルトラフィック転送を使用するには、次の手順を実行します。

  1. Zscalerヘルプポータルにログインします https://help.zscaler.com/submit-ticket

  2. チケットを発行し、GRE トンネルまたは IPsec トンネルの送信元 IP アドレスとして使用する静的パブリック IP アドレスを指定します。

Zscaler は、送信元 IP アドレスを使用してカスタマーの IP アドレスを識別します。送信元 IP はスタティックパブリック IP である必要があります。ZScalerは、トラフィックを送信する2つのZEN IPアドレス(プライマリとセカンダリ)で応答します。GRE キープアライブメッセージを使用して、トンネルの健全性を判断できます。

Zscaler は、送信元 IP アドレス値を使用してカスタマーの IP アドレスを識別します。この値は、静的なパブリック IP アドレスである必要があります。Zscaler は、トラフィックをリダイレクトする 2 つの ZEN IP アドレス [DR1] で応答します。GRE キープアライブメッセージを使用して、トンネルの健全性を判断できます。

サンプル IP アドレス

プライマリ

内部ルータの IP アドレス:172.17.6.241/30 内部 ZEN IP アドレス:172.17.6.242/30

セカンダリ

内部ルーターIPアドレス:172.17.6.245/30 内部ZEN IPアドレス:172.17.6.246/30

インターネットサービスの設定

Citrix SD-WAN Orchestrator サービスを介してインターネットサービスを構成するには、「 デリバリーサービス」を参照してください。サイトでインターネットサービスを有効にする方法の詳細については、「 ダイレクトインターネットブレイクアウト」を参照してください。

GRE トンネルの設定

  1. 送信元 IP アドレスは、トンネルの送信元 IP アドレスです。トンネル送信元 IP アドレスが NATted の場合、別の中間デバイスで NATted されている場合でも、パブリック送信元 IP アドレスはパブリックトンネル送信元 IP アドレスになります。

  2. 宛先IPアドレスは、ZScalerが提供するZEN IPアドレスです。

  3. 元のペイロードがカプセル化されている場合、送信元 IP アドレスと宛先 IP アドレスはルータ GRE ヘッダーです。

  4. トンネル IP アドレスおよびプレフィックスは、GRE トンネル自体の IP アドレッシングです。これは、GRE トンネル経由でトラフィックをルーティングする場合に便利です。トラフィックには、この IP アドレスがゲートウェイアドレスとして必要です。

    ローカライズされた画像

Cirix SD-WAN Orchestrator サービスを介して GRE トンネルを構成するには、 GRE トンネルを参照してください

GRE トンネルのルートの設定

インターネットプレフィックスサービスを Zscaler GRE トンネルに転送するルートを設定します。

  • ZEN IP アドレス(トンネルの宛先 IP、上の図の 104.129.194.38)は、サービスタイプインターネットに設定する必要があります。これは、Zscaler宛てのトラフィックがインターネットサービスから計上されるようにするために必要です。
  • Zscaler 宛てのすべてのトラフィックは、デフォルトルート 0/0 と一致し、GRE トンネルを介して送信される必要があります。[DR1] GRE トンネルに使用される 0/0 ルートが、パススルーまたは他のサービスタイプよりも低コストであることを確認します。
  • 同様に、Zscaler へのバックアップ GRE トンネルのコストは、プライマリ GRE トンネルのコストよりも高い必要があります。
  • ZEN IP アドレスの非再帰ルートが存在することを確認します。

    Zscaler IP アドレスに特定のルートがない場合は、ZEN IP アドレスと一致するようにルートプレフィクス 0.0.0.0/0 を設定し、GRE トンネルのカプセル化ループを介してルーティングします。この設定では、アクティブバックアップモードでトンネルを使用します。上の図に示す値を使用すると、トラフィックはGateway IP アドレス 172.17.6.242 のトンネルに自動的に切り替わります。必要に応じて、バックホール仮想パスルートを設定します。それ以外の場合は、バックアップトンネルのキープアライブ間隔をゼロに設定します。これにより、Zscalerへのトンネルが両方とも失敗しても、サイトへの安全なインターネットアクセスを可能にします。

    GRE キープアライブメッセージがサポートされています。 GRE送信元アドレスのNATアドレスを提供するパブリックソースIPという新しいフィールドが 、Citrix SD-WAN GUIインターフェイスに追加されます(SD-WANアプライアンスのトンネルソースが中間デバイスによってNAT接続されている場合)。Citrix SD-WAN GUIには、パブリックソースIPというフィールドが含まれています。このフィールドには、Citrix SD-WANアプライアンスのトンネルソースが中間デバイスによってNAT変換されたときに、GREソースアドレスのNATアドレスを提供します。

制限事項

  • 複数の VRF 配置はサポートされていません。
  • プライマリバックアップ GRE トンネルは、高可用性設計モードでのみサポートされます。

GRE および IPsec トンネルの統計情報をモニタするには、次の手順を実行します。

SD-WAN Webインターフェイスでは、 モニタリング > 統計情報 > [GRE トンネルにナビゲートして下さい IPsec トンネル]。

詳細については、を参照してください。 IPsec トンネルのモニタリングおよびGRE トンネルのトピック

GREトンネルとIPsecトンネルを使用したZscaler統合