This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
集成 Citrix SD-WAN 和 iBoss 云
Citrix SD-WAN 安全地启用本地分支机构到互联网的分组讨论,从而允许或拒绝直接从分支机构访问 Internet,从而帮助企业迁移到云。Citrix SD-WAN 通过包含超过 4,500 个应用程序(包括单个 SaaS 应用程序)的集成数据库的组合来识别应用程序,并使用深度数据包检测技术对应用程序进行实时发现和分类。它利用这些应用知识智能地将流量从分支机构转移到互联网、云或 SaaS。
iboss 云可保护任何设备上的互联网访问,从任何位置,在云中。iboss 为分支机构提供云内安全性,其中互联网流量通过互联网分组从私人办公室连接中卸载。用户可获得同类最佳的互联网保护,包括合规性、Web 过滤、SSL 检查、基于文件和流的安全性、恶意软件防御和数据丢失防护。通过跨所有分支机构的集中安全策略,并随着带宽的增长即时扩展,在云中保护流量。
Citrix SD-WAN 和 iboss 云的结合使企业能够安全地转变其广域网。下图显示了整个解决方案体系结构。
iBoss 配置
登录
iboss 配置是通过 iboss 仪表板图形用户界面设置的。
要登录到管理界面,请使用互联网浏览器导航至 www.ibosscloud.com。
点击 登录 iboss 平台 并提供您的凭据。
网络子网
许多客户基于分支网络子网为 SD-WAN 部署创建策略。建议您为网络上使用的每个专用范围添加一个覆盖子网(例如 10.0.0.0/255.0.0),然后根据需要创建更具体的子网。要创建网络子网,请从主页中选择 网络 磁贴。
导航到 本地子网 > + 新本地子网 /IP 范围。
输入或选择必填字段的值,然后单击 “ 保存”。
隧道
配置网络子网后,如有必要,可以使用 GRE 或 IPsec 隧道将分支机构连接到 iboss 云。以下步骤说明如何将单个隧道配置为单个 iboss SWG 节点。可以复制这些步骤,从单个分支设备或多个 iboss Gateway 节点提供多条隧道。
来自 Citrix SD-WAN 设备的 GRE 或 IPsec 隧道将在 iboss Gateway 节点的公有 IP 地址上终止。要识别 iboss 网关节点的公有 IP 地址,请返回主页,然后单击 节点集合管理。
在 “ 所有节点 ” 选项卡下,网关节点的 公 有 IP 地址是隧道的外部 IP 地址。在下面的示例中,Iboss 端的隧道的外部 IP 将是 104.225.163.25。
GRE
要从特定位置添加 GRE 隧道,请返回主页,然后单击 将设备连接到 iboss Cloud。
单击 隧道 ,然后选择 GRE 隧道。
单击 + 添加 GRE 隧道 并输入所需信息。
对于每个隧道,内部隧道子网应该是唯一的(例如 169.254.1.0/30、169.254.1.4/30 等)。独特的 iboss 节点应该用于多个站点之间的重叠子网。例如,如果站点“A”和站点“B”使用 192.168.1.0/24 子网,则应在不同的 iboss 节点上执行每个站点的 GRE 通道配置。
单击保存。隧道信息以摘要形式显示。如有必要,您可以对其进行编辑。
IPsec的
要从特定位置添加 IPsec 隧道,请返回主页,然后单击 将设备连接到 iboss Cloud。
单击 隧道 ,然后选择 IPsec 隧道。
从 Citrix SD-WAN 设备连接隧道时,我们建议您使用以下 IPsec 设置,这些设置在所有隧道中都是通用的:
- IKE 生命周期(分钟): 60
- 钥匙寿命(分钟): 20
- 重新加密边距(分钟):3
- 重新加密尝试:1
所有其他设置(例如 IPsec 隧道密钥等)都可能是特定于部署的。
单击 + 添加 IPsec 隧道 以根据需要创建隧道。
输入所需信息。对于来自 Citrix SD-WAN 设备的 IPsec 隧道,我们建议为每个隧道使用以下 IPsec 设置:
- 模式:主
- IPsec 隧道类型:站点到云
- IKE 策略类型:IKE 版本 2
- 加密类型:AES256
- 完整性类型:SHA256
- 差异-赫尔曼 MODP 类型:MODP 1024
- ESP 加密类型:AES256
所有其他设置(例如 IP 外部的远程 IPSec 隧道等)可能是特定于部署的。对于每个隧道,内部隧道子网应该是唯一的(例如 169.254.1.0/30、169.254.1.4/30 等)。独特的 iboss 节点应该用于多个站点之间的重叠子网。例如,如果站点“A”和站点“B”都使用 192.168.1.0/24 子网,则应在不同的 iboss 节点上执行每个站点的隧道配置。
单击保存。隧道信息以摘要形式显示。
您可以编辑隧道的所有配置参数,但 远程 IPSec 隧道外部 IP除外。
Citrix SD-WAN 配置
Citrix SD-WAN 网络通过基于 Citrix 云的管理服务 Citrix SD-WAN Orchestrator 进行管理. 如果您还没有帐户,请参阅 Citrix SD-WAN Orchestrator 入门。
成功完成入职过程后,您可以访问 SD-WAN Orchestrator。
确保 Citrix SD-WAN 站点已经配置并已连接到分支机构和网络。有关配置详细信息,请参阅网络配置。
交付服务
交付服务允许您配置互联网、内部网、IPsec 和 GRE 等交付服务。交付服务在全球范围内定义,并在适用的情况下应用于各个站点的 WAN 链路。
iboss 云可以通过 GRE 或 IPsec 服务从 Citrix SD-WAN 连接. 请使用上一节中 iboss 推荐的设置。
GRE 服务
您可以将 SD-WAN 设备配置为终止 GRE 通道。配置以下设置。
GRE 详细信息:
- 名称:GRE 服务的名称。
- 路由域:GRE 通道的路由域。
- 防火墙区域:为通道选择的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
- 保持活动状态:发送保持活动状态消息的时间间隔。如果配置为 0,则不会发送保持活动状态的数据包,但隧道保持正常运行。
- 保持活动重试:Citrix SD-WAN 设备在使隧道关闭之前发送保持活动数据包的次数。
- 校验和:启用或禁用隧道 GRE 报头的校验和。
站点绑定:
- 站点名称:要映射 GRE 通道的站点。
- 源 IP:通道的源 IP 地址。这是在此站点上配置的虚拟接口之一。选定的路由域决定了可用的源 IP 地址。
- 公用源 IP:通道流量通过 NAT 传输时的源 IP。
- 目标 IP:通道的目标 IP 地址。
- 隧道 IP/前缀:GRE 隧道的 IP 地址和前缀。
- 隧道网关 IP:路由隧道流量的下一跳 IP 地址。
- LAN 网关 IP:路由 LAN 流量的下一跳 IP 地址。
IPsec 服务
Citrix SD-WAN 设备可以与 LAN 或 WAN 端的第三方对等方协商固定 IPsec 通道。您可以定义通道终结点,并将站点映射到通道端点。
还可以选择并应用用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。
要添加 IPsec 加密配置文件,请导航到配置 > 交付服务 > 选择 IPsec 加密配置文件选项卡。
在将 IPsec 服务配置为交付服务集时,将使用 IPsec 配置文件。在 IPsec 安全配置文件页面中,输入 IPsec 加密配置文件、 IKE 设置和 IPsec 设置所需的值。
IPsec 加密配置文件信息:
- 配置文件名称:配置文件的名称。
- MTU:IKE 或 IPsec 数据包的最大大小(以字节为单位)。
- 保持活动状态:使隧道保持活动状态并启用路由资格
- IKE 版本:IKE 协议版本。
IKE 设置:
-
模式:为 IKE 第 1 阶段协商模式选择主模式或主动模式。
- 主模式:协商期间不会向潜在攻击者泄露任何信息,但是速度低于积极模式。
- 主动: 协商期间向潜在攻击者泄露某些信息 (例如,协商对等体的身份),但是速度高于主模式。
- 身份验证:身份验证类型、证书或预共享密钥。
- 身份:身份方法。
- 对等身份:对等身份方法。
- DH 组:Diffie-Hellman (DH) 组可用于 IKE 密钥生成。
- 哈希算法:对 IKE 消息进行身份验证的哈希算法。
- 加密模式:IKE 消息的加密模式。
- 生命周期:IKE 安全关联存在的首选持续时间(以秒为单位)。
- 生命周期最长:允许 IKE 安全关联存在的最长首选持续时间(以秒为单位)。
- DPD 超时:VPN 连接的死对等检测超时(以秒为单位)。
IPsec 设置:
-
隧道类型:隧道封装类型。
- ESP:仅加密用户数据。
- ESP+Auth:加密用户数据并包括 HMAC。
- ESP+NULL:数据包已验证但未加密。
- AH:只包括 HMAC。
- PFS Group:Diffie—Hellman 组用于完美的向前保密密钥生成。
- 加密模式:下拉菜单中的 IPsec 消息的加密模式。
- 哈希算法:MD5、SHA1 和 SHA-256 哈希算法可用于 HMAC 验证。
- 网络不匹配:数据包与 IPSec 隧道的受保护网络不匹配时要采取的操作。
- 生命周期:IPsec 安全关联存在的时间(以秒为单位)。
- 生命周期最长:允许 IPsec 安全关联存在的最长时间(以秒为单位)。
- 生命周期 (KB):IPsec 安全关联存在的数据量(以千字节为单位)。
- 生命周期 (KB) 最大值:允许 IPsec 安全关联存在的最大数据量(以千字节为单位)。
要配置 IPsec 通道,请执行以下操作:
-
指定服务详细信息:
- 服务名称:IPsec 服务的名称。
- 服务类型:IPsec 隧道使用的服务。
- 路由域:对于通过 LAN 传输的 IPsec 通道,请选择一个路由域。如果 IPsec 通道使用 intranet 服务,intranet 服务将确定路由域。
- 防火墙区域:通道的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
-
添加隧道终结点。
- 名称:当服务类型为 Intranet 时,请选择隧道保护的 Intranet 服务。否则,请输入服务的名称。
- 对等 IP:远程对等机的 IP 地址。
- IPsec 配置文件:用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。
- 预共享密钥:用于 IKE 身份验证的预共享密钥。
- 对等预共享密钥:用于 IKEv2 身份验证的预共享密钥。
- 身份数据:使用手动身份或用户 FQDN 类型时用作本地身份的数据。
- 对等客户端身份数据:使用手动身份标识或用户 FQDN 类型时要用作对等客户端身份的数据。
- 证书:如果选择“证书”作为 IKE 身份验证,请从已配置的证书中进行选择。
- 将站点映射到隧道端点。
- 选择端点:要映射到站点的端点。
- 站点名称:要映射到端点的站点。
- 虚拟接口名称:将用作端点的站点上的虚拟接口。
- 本地 IP:用作本地通道端点的本地虚拟 IP 地址。
-
创建受保护的网络。
- 源网络 IP/前缀:IPsec 隧道保护的网络流量的源 IP 地址和前缀。
- 目标网络 IP/前缀:IPsec 隧道保护的网络流量的目标 IP 地址和前缀。
- 确保对等设备上的 IPsec 配置进行镜像。
IPsec 提供安全通道。Citrix SD-WAN 支持 IPsec 虚拟路径,使第三方设备能够终止 Citrix SD-WAN 设备的 LAN 或 WAN 端的 IPsec VPN 隧道。可以使用 140-2 Level 1 FIPS 认证的 IPsec 加密二进制文件保护在 SD-WAN 设备上终止的站点到站点 IPsec 通道。
Citrix SD-WAN 还支持使用存在差别的虚拟路径通道机制的弹性 IPsec 通道。
监控 GRE 和 IPSEC 隧道
GRE 通道
您可以使用隧道机制在另一个协议中传输一个协议的数据包。携带其他协议的协议称为传输协议,而携带的协议称为乘客协议。通用路由封装 (GRE) 是一种通道机制,它使用 IP 作为传输协议,并可以传输许多不同的乘客协议。
隧道源地址和目标地址用于标识隧道中虚拟点对点链路的两个端点。
要查看 GRE 隧道统计信息,请导航到 报告 > 统计信息 > GRE 隧道。 您可以查看以下指标:
- 站点名称:站点名称。
- Tx 带宽:传输的带宽。
- Rx 带宽:接收的带宽。
- 丢弃的数据包:由于网络拥堵而丢弃的数据包数。
- 零碎的数据包:零碎的数据包数。数据包将分段以创建小型数据包,该数据包可以通过传输的 MTU 小于原始数据报。碎片由接收主机重新组装。
- 展开/折叠:您可以根据需要展开或折叠数据。
IPsec 隧道
IP 安全 (IPsec) 协议提供安全服务(如加密敏感数据、身份验证、防止重放以及 IP 数据包的数据机密性)。封装安全有效负载 (ESP) 和身份验证头 (AH) 是用于提供这些安全服务的两种 IPSec 安全协议。
在 IPsec 通道模式下,整个原始 IP 数据包受到 IPsec 保护。原始 IP 数据包将打包并加密,并在通过 VPN 通道传输数据包之前添加一个新 IP 报头。
要查看 IPSec 隧道 统计信息,请导航到 报告 > 统计信息 > IPsec 隧道。
您可以查看以下指标:
- 隧道名称:隧道名称。
- 隧道状态:IPsec 隧道状态。
- MTU:最大传输单位 — 可通过特定链路传输的最大 IP 数据报的大小。
- 接收的数据包:接收的数据包数。
- 已发送的数据包:已发送的数据包数。
- 丢弃的数据包:由于网络拥堵而丢弃的数据包数。
- 丢弃的字节数:丢弃的字节数。
- 展开/折叠:您可以根据需要展开或折叠数据。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.