-
-
Citrix SD-WAN Secure Web Gateway
-
通过使用 GRE 通道和 IPsec 通道集成 Zscaler
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
使用 GRE 通道和 IPsec 通道的 Zscaler 集成
Zscaler 云安全平台在全球 100 多个数据中心作为一系列安全检查站。通过简单地将您的Internet 流量重定向到 Zscaler,您可以立即保护您的商店、分支机构和远程位置。Zscaler 连接用户和Internet ,检查每个字节的流量,即使它是加密或压缩。
Citrix SD-WAN 设备可以通过客户现场的 GRE 通道连接到 Zscaler 云网络。使用 SD-WAN 设备的 Zscaler 部署支持以下功能:
- 转发所有 GRE 流量 Zscaler, 从而使直接Internet 突破.
- 基于每个客户站点使用 Zscaler 进行直接Internet 访问(DIA)。
- 在某些站点上,您可能希望向 DIA 提供本地安全设备,而不使用 Zscaler。
- 在某些站点上,您可能会选择回程线路流量(另一个客户站点)以访问 Internet。
- 虚拟路由和转发部署。
- 一个 WAN 链接,作为 Internet 服务的一部分。
Zscaler 是一种云服务。必须将其设置为服务并定义底层 WAN 链接:
- 通过 GRE 在数据中心和分支机构配置Internet 服务.
- 在数据中心和分支站点配置受信任的公共 Internet 链接。
拓扑
要使用 GRE 通道或 IPsec 通道流量转发:
-
登录到 Zscaler 帮助门户网站:https://help.zscaler.com/submit-ticket。
-
提出一个票证并提供静态公有 IP 地址,该地址用作 GRE 通道或 IPsec 通道源 IP 地址。
Zscaler 使用源 IP 地址来识别客户 IP 地址。源 IP 需要是静态公有 IP。Zscaler 通过两个 ZEN IP 地址(主要和辅助)进行响应,以便将流量传输到。GRE 保持活力的消息可以用来确定通道的健康.
Zscaler 使用源 IP 地址值来识别客户 IP 地址。此值必须是静态公有 IP 地址。Zscaler 使用两个 ZEN IP 地址 [DR1] 进行响应,以便将流量重定向到这些地址。GRE 保持活动的消息可以用来确定通道的健康。
示例 IP 地址
Primary
内部路由器 IP 地址:172.17.6.241/30 内部 ZEN IP 地址:172.17.6.242/30
Secondary
内部路由器 IP 地址:172.17.6.245/30 内部 ZEN IP 地址:172.17.6.246/30
配置 Internet 服务
要通过 Citrix SD-WAN Orchestrator 服务配置Internet 服务,请参阅 交付服务。有关为站点启用 Internet 服务的详细信息,请参阅 直接Internet 分组讨论。
配置 GRE 通道
-
源 IP 地址是通道源 IP 地址。如果通道源 IP 地址已执行 NAT,则公共源 IP 地址是公共通道源 IP 地址,即使其在不同的中间设备上执行了 NAT 也是如此。
-
目标 IP 地址是 Zscaler 提供的 ZEN IP 地址。
-
源 IP 地址和目标 IP 地址是原始负载封装时路由器 GRE 头.
-
通道 IP 地址和前缀是 GRE 通道本身的 IP 地址。这对于通过 GRE 通道路由流量非常有用。流量需要此 IP 地址作为网关地址。
要通过 Cirix SD-WAN Orchestrator 服务配置 GRE 通道,请参阅 GRE 通道。
为 GRE 通道配置路由
配置路由以将Internet 前缀服务转发到 Zscaler GRE 通道.
- ZEN IP 地址(通道目标 IP,如上图 104.129.194.38 所示)必须设置为服务类型的Internet 。这是必需的,以便从Internet 服务中计入发往 Zscaler 的流量。
- 所有发往 Zscaler 的流量必须与默认路由 0/0 匹配,并通过 GRE 通道传输。确保 GRE 通道 [DR1] 使用的 0/0 路由的成本低于直通或任何其他服务类型。
- 同样,备份 GRE 通道 Zscaler 必须具有比主 GRE 通道更高的成本.
-
确保 ZEN IP 地址存在非递归路由。
注意
如果您没有 Zscaler IP 地址的特定路由,请配置路由前缀 0.0.0.0/0 以匹配 ZEN IP 地址,并通过 GRE 通道封装循环路由。此配置使用主动备份模式下的通道。如上图所示的值,流量会自动切换到 Gateway 关 IP 地址 172.17.6.242 的通道。如果需要,请配置回程虚拟路径路由。否则,将备份通道的保持活动时间间隔设置为零。这使得安全的Internet 访问网站,即使两个通道 Zscaler 失败。
支持 GRE 保持活动状态的消息。Citrix SD-WAN GUI 界面中添加了一个名为 公共源 IP 的新字段,该字段提供 GRE 源地址的 NAT 地址(在 SD-WAN 设备通道源由中间设备 NAT 的情况下)。Citrix SD-WAN GUI 包括一个名为公共源 IP 的字段,当 Citrix SD-WAN 设备的通道源由中间设备 NATE 时,该字段提供 GRE 源地址的 NAT 地址。
限制
- 不支持多个 VRF 部署。
- 主备份 GRE 通道仅支持高可用性设计模式。
要监视 GRE 和 IPsec 通道统计信息:
| 在 SD-WAN Web 界面中,导航到 监控 > 统计信息 > [GRE 通道] | IPsec 通道]。 |
有关详细信息,请参阅; 监视 IPsec 通道 和 GRE 通道 主题。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.