Citrix SD-WAN

Internet 访问权限

Internet 服务用于最终 用户站点与公共Internet 上的网站之间的 流量。Internet 服务流量不被 SD-WAN 封装,且与通过虚拟路径服务传送的流量的能力不同。但是,对 SD-WAN 上的流量进行分类和考虑非常重要。标识为 Internet 服务的流量使 SD-WAN 能够通过根据管理员建立的配置限制Internet 流量相对于跨虚拟路径和 Intranet 流量传输的流量的速率来主动管理 WAN 链路带宽。除了带宽配置功能之外,SD-WAN 还增加了 使用多个 Internet WAN 链接或可选的在主要或辅助配置中利用 Internet WAN 链路对通过 Internet Service 传输的流量进行负载平衡的功能。

可以在以下部署模式下配置使用 SD-WAN 设备上 Internet 服务的 Internet 流量控制:

  • 带集成防火墙的分支机构直接Internet 突破

  • 在分支机构转发到 Secure Web Gateway 时直接进行 Internet 突围

  • 回程Internet 到数据中心 MCN

有关如何通过 Citrix SD-WAN Orchestrator 服务配置Internet 服务的信息,请参阅 Internet 服务

Internet 服务

带集成防火墙的分支机构直接Internet 突破

Internet 服务可以在 Citrix SD-WAN 支持的各种部署模式中使用。

  • 内联部署模式(SD-WAN 覆盖)

Citrix SD-WAN 可以作为覆盖解决方案部署在任何网络中。作为叠加解决方案,SD-WAN 通常部署在现有边缘路由器和/或防火墙后面。如果 SD-WAN 部署在网络防火墙后面,则可以将接口配置为受信任,并且 Internet 流量可以作为 Internet Gateway 传输到防火墙。

  • 边缘或网关模式

Citrix SD-WAN 可以部署为边缘设备,替换现有的边缘路由器和/或防火墙设备。板载防火墙功能允许 SD-WAN 保护网络免受直接Internet 连接。在此模式下,连接到公用 Internet 链接的接口配置为不受信任,强制启用加密,并启用防火墙和动态 NAT 功能以保护网络。

有关如何通过 Citrix SD-WAN Orchestrator 服务配置Internet 服务的信息,请参阅 Internet 服务

集成防火墙

通过 Secure Web Gateway 直接访问Internet

为了保护流量和执行策略,企业通常使用 MPLS 链接来回程分支流量到企业数据中心。数据中心应用安全策略,筛选通过安全设备检测恶意软件的流量,并通过 ISP 路由流量。这种通过私有 MPLS 链路进行后拖是昂贵的。它还会导致显著延迟,从而在分支站点造成较差的用户体验。还存在用户绕过您的安全控制的风险。

另一种替代方法是在分支机构添加安全设备。但是,成本和复杂性会随着您安装多个设备以在站点中保持一致的策略而增加。最重要的是,如果您有许多分支机构,成本管理变得不切实际。

一种替代方法是在不增加成本、复杂性或延迟的情况下强制实施安全性,那就是使用 Citrix SD-WAN 将所有分支机构 Internet 流量路由到 Secure Web Gateway 服务。第三方 Secure Web Gateway 服务使所有连接的网络都能使用精细的集中式安全策略创建。无论用户位于数据中心还是分支站点,都会一致地应用这些策略。由于 Secure Web Gateway 解决方案是基于云的,因此您不必向网络添加更昂贵的安全设备。

有关如何通过 Citrix SD-WAN Orchestrator 服务配置Internet 服务的信息,请参阅 Internet 服务

Secure Web Gateway 映像

Citrix SD-WAN 支持以下第三方 Secure Web Gateway 解决方案:

回程Internet

Citrix SD-WAN 解决方案可以将Internet 流量回传到 MCN 站点或其他分支站点。回传指示发往 Internet 的流量是通过另一个可以访问 Internet 的预定义站点发回的。它对于由于安全考虑或底层网络拓扑而不允许直接访问 Internet 的网络非常有用。一个例子是缺乏外部防火墙的远程站点,其中板载 SD-WAN 防火墙不符合该站点的安全要求。对于某些环境,通过数据中心强化的 DMZ 回传所有远程站点Internet 流量可能是向远程办公室用户提供 Internet 访问的最佳方法。然而,这种方法确实有其局限性,因为需要注意以下和底层 WAN 链接大小适当。

  • Internet 流量的回传增加了Internet 连接的延迟,并且根据数据中心分支站点的距离而变化。

  • Internet 流量的回传会消耗虚拟路径上的带宽,并在 WAN 链路的大小中被考虑。

  • Internet 流量的回程可能会超额订阅数据中心的 Internet WAN 链接。

回程直流 MCN

所有 Citrix SD-WAN 设备最多可以将八个不同的 Internet WAN 链接终止到单个设备中。聚合 WAN 链路的许可吞吐能力在 Citrix SD-WAN 数据手册中按相应设备列出。

发夹模式

借助发夹部署,当本地Internet 服务不可用或流量较慢时,您可以通过回传或发夹实现使用远程中心站点进行Internet 访问。您可以通过允许从特定站点进行备份,在客户端站点之间应用高带宽路由。

从非 WAN 转发站点部署到 WAN 转发站点的目的是提供更高效的部署流程和更简化的技术实施。您可以在需要时使用远程中心站点进行Internet 访问,并可以通过虚拟路径将流路由到 SD-WAN 网络。

发夹模式

例如,考虑具有多个 SD-WAN 站点的管理员,A 和 B 站点 A 具有较差的 Internet 服务。站点 B 具有可用的Internet 服务,您只想从站点 A 回传流量到站点 B。您可以尝试实现这一目标,而不需要战略性加权路由成本和传播到不应接收流量的站点的复杂性。

此外,路由表不会在头发夹部署中的所有站点之间共享。例如,如果通过站点 C 在站点 A 和站点 B 之间通过站点 C 划分流量,则只有站点 C 会知道站点 A 和 B 的路径。站点 A 和站点 B 不共享彼此的路由表,不像 WAN 到 WAN 转发。

当站点 A 和站点 B 之间通过站点 C 进行通信时,需要在站点 A 和站点 B 中添加静态路由,指示这两个站点的下一个跃点都是中间站点 C。

Wa 到 WAN 转发和发夹部署有一定的区别,即:

  1. 未配置动态虚拟路径。中间站点始终会看到两个站点之间的所有流量。

  2. 尚未加入 WAN 到 WAN 转发组。

    WAN 到 WAN 转发和发夹部署是相互排斥的。在任何给定的时间点,只能对其中一个进行配置。

    Citrix SD-WAN SE 和 VPX(虚拟)设备支持发夹部署。现在,您可以配置 0.0.0.0/0 路由以在两个位置之间固定流量,而不会影响任何其他位置。如果将头发固定用于 Intranet 流量,则会将特定 Intranet 路由添加到客户端站点,以便通过虚拟路径转发到头发夹站点的 Intranet 流量。不再需要启用 WAN 转发来完成发夹功能。

Internet 访问权限