Citrix SD-WAN

使用 GRE 通道和 IPsec 通道的 Zscaler 集成

Zscaler 云安全平台在全球 100 多个数据中心作为一系列安全检查站。通过简单地将您的互联网流量重定向到 Zscaler,您可以立即保护您的商店、分支机构和远程位置。Zscaler 连接用户和互联网,检查每个字节的流量,即使它是加密或压缩。

Citrix SD-WAN 设备可以在客户站点通过 GRE 隧道连接到 Zscaler 云网络. 使用 SD-WAN 设备的 Zscaler 部署支持以下功能:

  • 转发所有 GRE 流量 Zscaler, 从而使直接互联网突破.
  • 基于每个客户站点使用 Zscaler 进行直接互联网访问(DIA)。
    • 在某些站点上,您可能希望向 DIA 提供本地安全设备,而不使用 Zscaler。
    • 在某些站点上,您可能会选择回程线路流量(另一个客户站点)以访问 Internet。
  • 虚拟路由和转发部署。
  • 一个 WAN 链接,作为 Internet 服务的一部分。

Zscaler 是一种云服务。必须将其设置为服务并定义底层 WAN 链接:

  • 通过 GRE 在数据中心和分支机构配置互联网服务.
  • 在数据中心和分支站点配置受信任的公共 Internet 链接。

拓扑

本地化后的图像

本地化后的图像

要使用 GRE 隧道或 IPsec 隧道流量转发:

  1. 登录到 Zscaler 帮助门户网站:https://help.zscaler.com/submit-ticket

  2. 提出一个票证并提供静态公有 IP 地址,该地址用作 GRE 隧道或 IPsec 隧道源 IP 地址。

Zscaler 使用源 IP 地址来识别客户 IP 地址。源 IP 需要是静态公有 IP。Zscaler 通过两个 ZEN IP 地址(主要和辅助)进行响应,以便将流量传输到。GRE 保持活力的消息可以用来确定隧道的健康.

Zscaler 使用源 IP 地址值来识别客户 IP 地址。此值必须是静态公有 IP 地址。Zscaler 使用两个要将流量重定向到的 ZEN IP 地址 [DR1] 进行响应。GRE 保持活动的消息可以用来确定隧道的健康。

示例 IP 地址

Primary

内部路由器 IP 地址:172.17.6.241/30 内部 ZEN IP 地址:172.17.6.242/30

Secondary

内部路由器 IP 地址:172.17.6.245/30 内部 ZEN IP 地址:172.17.6.246/30

配置 Internet 服务

要配置 Internet 服务,请执行以下操作:

  1. 导航到连接 - Internet 服务。配置 Internet 服务。

  2. 选择 + 服务 并根据需要启用设置(基本设置、WAN 链接和规则)。

  3. 选择应用

有关为站点启用 Internet 服务的详细信息,请参阅 具有集成防火墙的分支机构的直接互联网突破

您可以在 Internet 服务上配置以下设置:

基本设置

无法为 Internet 服务配置防火墙区域设置。如果互联网服务受信任,则会将其分配给 Internet_Zone。如果 Internet 服务不受信任,则会将其分配给 Untrusted_Internet_Zone

可配置的基本设置如下所述:

  • 启用主回收:如果启用,则 WAN 链接上与此服务关联的(使用 = 主要)使用情况将强制恢复为该 WAN 链接上的活动服务的状态。

  • 默认集:用于填充站点上 Internet 服务规则的 Internet 默认集的名称。

  • 默认路由成本:与默认 (0.0.0.0/0) 互联网路由关联的路由成本。

  • 忽略 WAN 链接状态:如果启用,即使该服务的所有 WAN 链路都不可用,发往此服务的数据包仍会选择此服务。

  • 导出默认路由:如果启用,则如果启用了 WAN 到 WAN 转发,则 Internet 服务的默认路由 0.0.0.0/0 将导出到其他站点。

    本地化后的图像

WAN 链接

可配置的 WAN 链接设置如下所述:

  • 使用:允许服务使用此 WAN 链接。禁用 “使用” 时,所有其他选项都不可用。
  • 模式:服务模式 — 主要、辅助或平衡,用于流量冗余或负载平衡。
  • 通道头大小(字节):通道报头的大小(以字节为单位)(如果适用)。
  • 访问接口故障切换:如果启用,具有不匹配 VLAN 的 Internet 或 Intranet 数据包仍然可以使用该服务。

局域网到 WAN

  • 标记:应用于服务上的 LAN 到 WAN 数据包的 DSCP 标记。
  • 最大延迟 (毫秒):超出 WAN Link 带宽时缓冲数据包的最长时间(以毫秒为单位)。

WAN 到局域网

  • 标记:应用于服务上的 WAN 到 LAN 数据包的 DSCP 标记。

  • 匹配:将匹配此标记的 Internet WAN 到 LAN 数据包分配给服务。

  • 整理:如果启用,则会随机丢弃数据包,以防止 WAN 到 LAN 的流量超出服务的预配置带宽。

    本地化后的图像

规则

互联网流量是根据定义的规则进行识别的。规则定义用于匹配特定的通信流。匹配后,您必须定义要申请流量的操作。

下面介绍了可用规则的列表:

  • 顺序:应用规则并自动重新分配规则的顺序。
  • 规则组名称:为规则指定的名称,该名称允许在显示规则统计信息时按组汇总。可以一起查看具有相同规则组名称的规则的所有统计信息。
  • 来源:与规则匹配的源 IP 地址和子网掩码。
  • Dest-Src:如果启用,则源 IP 地址也将用作目标 IP 地址。
  • Dest:与规则匹配的目标 IP 地址和子网掩码。
  • 协议:与过滤器匹配的协议名称。
  • 协议编号:与过滤器匹配的协议编号。
  • DSCP:IP 报头中与规则匹配的 DSCP 标记。

下面介绍了可用操作的列表:

  • WAN 链接:启用 Internet 负载平衡后,与规则匹配的流量将使用的 WAN 链接。

  • 覆盖服务:与规则匹配的流的目标服务。

    • 丢弃:丢弃流量。

    • 直通:将流映射到直通,并允许流量不变地通过设备。

    本地化后的图像

配置 GRE 隧道

  1. 源 IP 地址是隧道源 IP 地址。如果隧道源 IP 地址已执行 NAT,则公共源 IP 地址是公共隧道源 IP 地址,即使其在不同的中间设备上执行了 NAT 也是如此。

  2. 目标 IP 地址是 Zscaler 提供的 ZEN IP 地址。

  3. 源 IP 地址和目标 IP 地址是原始负载封装时路由器 GRE 头.

  4. 隧道 IP 地址和前缀是 GRE 隧道本身的 IP 地址。这对于通过 GRE 隧道路由流量非常有用。交易者需要这个 IP 地址作为 Gateway 地址。

    本地化后的图像

要配置 GRE 隧道:

  1. 在配置编辑器中,导航到 “ 连接 ” > “ 站点 ” > “ GRE 通道”,然后配置路由以将 Internet 前缀服务转发到 Zscaler GRE 通道。

    只能从受信任链接上的虚拟网络接口中选择源 IP 地址。请参阅 如何配置 GRE 通道

    本地化后的图像

为 GRE 隧道配置路线

配置路由以将互联网前缀服务转发到 Zscaler GRE 隧道.

  • ZEN IP 地址(隧道目标 IP,如上图 104.129.194.38 所示)必须设置为服务类型的互联网。这是必需的,以便从互联网服务中计入发往 Zscaler 的流量。
  • 所有发往 Zscaler 的流量必须匹配默认路由 0/0 并通过 GRE 隧道传输。确保用于 GRE 通道的 [DR1] 0/0 路由的成本低于直通或任何其他服务类型。
  • 同样,备份 GRE 隧道 Zscaler 必须具有比主 GRE 隧道更高的成本.
  • 确保 ZEN IP 地址存在非递归路由。

要配置 GRE 隧道路由:

  1. 导航到 “ 连接 ” > “ 站点 ” > “ 路由”,然后按照 配置路由 中所述的步骤操作,以获取有关创建路

    本地化后的图像

    注意

    如果您没有 Zscaler IP 地址的特定路由,请配置路由前缀 0.0.0.0/0 以匹配 ZEN IP 地址,并通过 GRE 隧道封装循环路由。此配置使用主动备份模式下的隧道。如上图所示的值,流量会自动切换到 Gateway 关 IP 地址 172.17.6.242 的隧道。如果需要,请配置回程虚拟路径路由。否则,将备份隧道的保持活动时间间隔设置为零。这使得安全的互联网访问网站,即使两个隧道 Zscaler 失败。

    支持 GRE 保持活动状态的消息。Citrix SD-WAN GUI 界面中添加了一个名为 公共源 IP 的新字段,该字段提供 GRE 源地址的 NAT 地址(在 SD-WAN 设备通道源由中间设备 NAT 的情况下)。Citrix SD-WAN GUI 包括一个名为公共源 IP 的字段,当 Citrix SD-WAN 设备的隧道源由中间设备 NATE 时,该字段提供 GRE 源地址的 NAT 地址。

限制

  • 不支持多个 VRF 部署。
  • 主备份 GRE 隧道仅支持高可用性设计模式。

配置 IPsec 隧道

本地化后的图像

要在 Citrix SD-WAN 设备 GUI 中为 Intranet 或 LAN 服务配置 IPsec 隧道,请执行以下操作:

  1. 在配置编辑器中,导航到 连接 > < SiteName> > IPsec 通道 ,然后选择一种服务类型(局域网或内部网)。

  2. 输入服务类型的 名称 。对于 Intranet 服务类型,配置的 Intranet 服务器确定哪些本地 IP 地址可用。

  3. 选择可用的本地 IP 地址,然后输入远程对等的虚拟路径的对等 IP 地址。

    本地化后的图像

    本地化后的图像

  4. IKE 设置选择 IKEv1。Zscaler 仅支持 IKEv1。

    本地化后的图像

  5. 在 IPsec 设置下,为 通道类型 选择 ESP-NULL,以通过 IPsec 通道将流量重定向到 Zscaler。IPsec 隧道不加密流量。

    本地化后的图像

  6. 由于互联网流量被重定向,因此目标 IP/前缀可以是任何 IP 地址。

    本地化后的图像

有关使用 Citrix SD-WAN Web 界面配置 IPsec 通道的更多信息,请参阅; IPsec 通道 主题。

配置 IPsec 隧道的路由

要配置 IPsec 路由,请执行以下操作:

  1. 导航到 “ 连接 ” > “ DC ” > “ 路由 ”,然后按照 配置路由 中所述的步骤操作,以获取有关创建

本地化后的图像

要监视 GRE 和 IPsec 隧道统计信息,请执行以下操作:

在 SD-WAN Web 界面中,导航到 监控 > 统计信息 > [GRE 通道] IPsec 通道]。

有关详细信息,请参阅; 监视 IPsec 通道GRE 通道 主题。

使用 GRE 通道和 IPsec 通道的 Zscaler 集成