产品文档
Citrix SD-WAN Center
11.3 11.2 11.1 11.0 10.2
查看 PDF

使用 Citrix SD-WAN™ Center 集成 Citrix SD-WAN™ 和 Zscaler

October 1, 2025
投稿者: 
C C

Citrix SD-WAN 和 Zscaler 通过为托管在 Internet 上的应用程序和资源提供安全的本地分流,帮助企业改造其 WAN 以实现云迁移。SD-WAN 等新型 WAN 基础设施技术可提高网络敏捷性和可扩展性,同时降低成本和复杂性,从而改善分布式组织中的用户体验。

SD-WAN 解决方案通过允许流向云的流量在本地分流到 Internet 来简化路由。SD-WAN 通过使用应用程序导向功能,为将流量路由到 Internet(移除中心 DC 环境)提供了灵活性。但是,将网络暴露给 Internet 会带来重大的安全风险。通过云服务保护本地分流的集中式方法消除了在分支机构维护安全基础设施的开销。在分支网络中使用 Citrix SD-WAN,所有流量都可靠且安全地路由到 Zscaler(基于云的安全平台)。您可以消除昂贵的基础设施,并保护您的网络免受威胁和漏洞的侵害。

Citrix SD-WAN

Citrix SD-WAN 通过内置的有状态防火墙安全地启用本地分支到 Internet 的分流,帮助企业迁移到云,该防火墙用于创建可直接从分支机构允许或拒绝 Internet 访问的策略。Citrix SD-WAN 通过结合包含 4,000 多个应用程序(包括单个 SaaS 应用程序)的集成数据库来识别应用程序,并使用深度数据包检测技术进行应用程序的实时发现和分类。它利用此应用程序知识将流量从分支机构引导到 Internet、云或 SaaS。

Zscaler

Zscaler 是领先的基于云的安全平台,无需本地硬件、设备或软件即可提供卓越的安全性。Zscaler 在 Internet 周围设置了一个边界,因此企业无需在每个办公室周围设置安全边界。Zscaler 云安全平台在全球 100 多个数据中心充当一系列安全检查站。通过将 Internet 流量重定向到 Zscaler,企业可以即时保护商店、分支机构和远程位置。Zscaler 连接用户和 Internet,检查流量的每个字节(即使是加密或压缩的),从而确保用户安全,并在所有隐藏威胁渗透企业网络之前将其识别出来。

Citrix SD-WAN 允许创建策略以实现从分支机构直接分流到 Internet,而 Zscaler 的云安全平台通过在靠近用户连接的云服务中检查所有 Internet 流量,确保 IT 安全。

Zscaler 实施节点 (ZEN)

Citrix SD-WAN 支持 Zscaler API,用于自动创建 Citrix SD-WAN 与 Zscaler 云网络中的 Zscaler 实施节点 (ZEN) 之间的 IPsec 隧道。ZEN 是功能齐全的内联 Internet 安全网关,可双向检查所有 Internet 流量是否存在恶意软件,并强制执行安全和合规性策略。

Zscaler API 为每个分支机构提供两个最近的数据中心位置,从而允许 SD-WAN 有效地引导流量。组织可以允许 Zscaler 通过让 ZEN 查看 Citrix SD-WAN 上配置的 WAN 链接的 IP 地址来自动选择离分支机构最近的 ZEN,也可以手动选择 ZEN

注意

如果隧道处于 UP 状态,则两条路由始终处于活动模式。如果任何隧道发生故障,则相应的路由将变为不可达,在这种情况下,另一条路由将保持 UP 状态。

Zscaler workflow

优势

集成 Citrix SD-WAN 和 Zscaler 的优势包括:

  • 在分布式企业中更快地采用 SaaS 和云。
    • 将安全性集中为云服务,消除了在每个分支机构都拥有安全性的需要。
    • 消除了回传 Internet 目标流量的需要,允许在分支机构进行本地 Internet 分流。
  • 通过自动连接到安全 Web 网关简化 IT 管理。
    • API 支持自动配置到 Zscaler 的安全隧道
  • 通过减少回传 SaaS 流量的延迟来改善用户体验。
    • 消除了出于安全目的对中心辐射型模型的依赖
  • 消除分支机构昂贵的安全堆栈
    • 减少在分支机构部署和管理防火墙的开销。
  • 确保 Internet 目标流量始终安全。
    • 安全策略不将用户绑定到物理位置。
    • 提供沙盒、所有端口和协议(包括 SSL)的检查、URL 过滤、高级威胁防护等,以抵御零日攻击。

支持的功能

使用 SD-WAN 设备部署 Zscaler 支持以下功能:

  • 将用户定义的 Internet 流量转发到 Zscaler,从而启用直接 Internet 分流。
  • 在每个客户站点基础上使用 Zscaler 进行直接 Internet 访问 (DIA)。
    • 在某些站点上,您可能希望使用本地安全设备提供 DIA,而不使用 Zscaler。
    • 在某些站点上,您可能选择将流量回传到另一个客户站点以进行 Internet 访问。
  • 虚拟路由和转发部署。
  • 一个 WAN 链接作为 Internet 服务的一部分。

Zscaler 是一种云服务。您必须将其设置为服务并定义底层 WAN 链接:

  • 在数据中心和分支站点配置受信任的公共 Internet WAN 链接。
  • 为内网服务自动配置 IPsec 隧道。

在 Citrix SD-WAN Center 工作流中部署 Zscaler

以下是定义在 SD-WAN Center 中部署 Zscaler 的工作流的高级步骤。

  1. 配置 Zscaler 订阅到 SD-WAN Center(一次性)。登录 Zscaler 站点以获取订阅信息。

  2. 在 Citrix SD-WAN Center GUI 中选择 Deploy(部署)。

    • 使用 Internet WAN 链接和预配置的应用程序对象部署站点配置。
    • 建立连接。
    • 获取/更新 IPsec 状态。

Zscaler 订阅

在继续在 SD-WAN Center 中配置 Zscaler 之前,您需要登录 Zscaler 门户。

  1. 登录 Zscaler 站点以获取订阅信息。将打开“Dashboard”(仪表板)页面。

    Zscaler dashboard

  2. 单击 Administration > Partner Integrations(管理 > 合作伙伴集成)。

    Zscaler dashboard administration

  3. Partner Integrations(合作伙伴集成)页面上选择 SD-WAN。单击 Add Partner Key(添加合作伙伴密钥)。

    Partner integrations

    Add partner key

  4. 为合作伙伴密钥选择 Citrix® SDWAN,然后单击 Generate(生成)。存储该密钥。

在 Citrix SD-WAN Center 中配置 Zscaler

  1. 在 Citrix SD-WAN Center GUI 中,导航到 Configuration > Security(配置 > 安全)页面。将打开 Zscaler Configured Sites(Zscaler 已配置站点)页面。

  2. 单击 Subscription(订阅)。输入在前面步骤中创建的 Zscaler API(合作伙伴密钥)。提供您的 Zscaler Username(用户名)和 Password(密码)。选择 Zscaler Cloud Name(Zscaler 云名称)、Zscaler Log Level(Zscaler 日志级别),然后单击 Apply(应用)。

    Subscription for Zscaler

  3. Zens 提供此 Zscaler 云订阅可用的 VPN 端点列表。

    ZEN

    ZEN VIPs

  4. 输入 Zscaler 订阅和 ZEN 详细信息后,您可以开始向 Zscaler 添加站点。单击 Add(添加)。

    Adding sites to Zscaler

  5. Configure Sites to Zscaler(配置站点到 Zscaler)对话框中,添加 Site(站点)、WAN Link(WAN 链接)和 Application Objects(应用程序对象)。默认情况下,Auto assign ZEN(自动分配 ZEN)选项处于选中状态。

    lAuto assign ZEN

    您可以手动选择 ZEN。但是,会出现以下消息,通知未保存的更改将丢失。

    Manually select ZEN

  6. 选择所需的站点,然后单击 Deploy(部署)。您可以通过选择 Add Multiple(添加多个)来添加多个站点。选定的站点将被部署,并显示配置页面。

    Deploy

    Add multiple sites

    请注意,主 ZEN 和辅助 ZEN 的 IP 地址已填充,并且部署状态为 Connection Active(连接活动)。

  7. 如果您更改了已配置站点的 VPN 端点或应用程序对象,请单击 Re-Deploy(重新部署)。对 SD-WAN Center 中已配置站点的任何更改都会触发分支站点和 DC 站点上配置的设备的更改管理过程。

    Redeploy sites

    删除站点也会触发更改管理过程。

    lDelete sites

监视和故障排除

选择已配置的站点以查看有关应用程序对象和主/辅助 IP 地址的更多信息。您可以单击 Details(详细信息)图标以查看有关已配置站点的完整信息。

Application object details

IPsec 隧道配置

SD-WAN Center GUI 中的“Details”(详细信息)页面提供有关到主端点和辅助端点的 IPsec 隧道配置的信息。对等 IP 从 Zscaler 获取。在 SD-WAN 设备 GUI 配置编辑器中验证 IPsec 隧道配置。

IPsec tunnel configuration

您可以查看和下载 Zscaler 日志,这些日志可用于解决 Citrix SD-WAN Center 中的问题。

要查看 Zscaler 日志文件:

  1. 在 Citrix SD-WAN Center Web 界面中,单击 Monitoring(监视)选项卡 > Diagnostics(诊断)。

    Zscaler-logs

  2. Log File(日志文件)下拉列表中,选择要查看的 Zscaler 日志文件。单击 View(查看)。

  3. 如果要将日志文件下载到计算机,请单击 Download(下载)。

IKE 设置

为 SD-WAN 设备中的 IPsec 隧道配置选择了以下 IKE/IPSec 设置。有关配置 IPsec 隧道 – IKE 设置的更多信息,请参阅:如何配置 SD-WAN 与第三方设备之间的 IPsec 隧道主题。

  • IKE version - IKEv2
  • IKE Identity – User FQDN
  • Hash Algorithm - SHA-256
  • Integrity Algorithm – SHA-256
  • Encryption Mode – AES 256 Bits
  • IPsec – Tunnel Mode
  • IPsec Encryption – Null

IKE settings

IPsec 设置

有关配置 IPsec 隧道设置的更多信息,请参阅如何配置 SD-WAN 与第三方设备之间的 IPsec 隧道主题。

IPsec settings

应用程序对象

确保已配置应用程序对象。有关配置应用程序路由的更多信息,请参阅应用程序分类主题。

Application objects

注意

GRE 隧道配置不支持作为自动化工作流的一部分。但是,仍然允许手动配置。有关更多信息,请参阅使用 GRE 隧道和 IPsec 隧道集成 Zscaler

使用 Citrix SD-WAN™ Center 集成 Citrix SD-WAN™ 和 Zscaler
October 1, 2025
投稿者: 
C C
October 1, 2025
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.