Citrix SD-WAN

集成 Citrix SD-WAN 和 iBoss 云

Citrix SD-WAN 安全地启用本地分支机构到互联网的分组讨论,从而允许或拒绝直接从分支机构访问 Internet,从而帮助企业迁移到云。Citrix SD-WAN 通过包含超过 4,500 个应用程序(包括单个 SaaS 应用程序)的集成数据库的组合来识别应用程序,并使用深度数据包检测技术对应用程序进行实时发现和分类。它利用这些应用知识智能地将流量从分支机构转移到互联网、云或 SaaS。

iboss 云可保护任何设备上的互联网访问,从任何位置,在云中。iboss 为分支机构提供云内安全性,其中互联网流量通过互联网分组从私人办公室连接中卸载。用户可获得同类最佳的互联网保护,包括合规性、Web 过滤、SSL 检查、基于文件和流的安全性、恶意软件防御和数据丢失防护。通过跨所有分支机构的集中安全策略,并随着带宽的增长即时扩展,在云中保护流量。

Citrix SD-WAN 和 iboss 云的结合使企业能够安全地转变其广域网。下图显示了整个解决方案体系结构。

iBoss 架构

iBoss 配置

登录

iboss 配置是通过 iboss 仪表板图形用户界面设置的。

要登录到管理界面,请使用互联网浏览器导航至 www.ibosscloud.com。

iBoss 登录

点击 登录 iboss 平台 并提供您的凭据。

iboss 凭据

网络子网

许多客户基于分支网络子网为 SD-WAN 部署创建策略。建议您为网络上使用的每个专用范围添加一个覆盖子网(例如 10.0.0.0/255.0.0),然后根据需要创建更具体的子网。要创建网络子网,请从主页中选择 网络 磁贴。

iBoss 主页

导航到 本地子网 > + 新本地子网 /IP 范围

本地子网

输入或选择必填字段的值,然后单击 “ 保存”。

本地子网值

隧道

配置网络子网后,如有必要,可以使用 GRE 或 IPsec 隧道将分支机构连接到 iboss 云。以下步骤说明如何将单个隧道配置为单个 iboss SWG 节点。可以复制这些步骤,从单个分支设备或多个 iboss Gateway 节点提供多条隧道。

来自 Citrix SD-WAN 设备的 GRE 或 IPsec 隧道将在 iboss Gateway 节点的公有 IP 地址上终止。要识别 iboss 网关节点的公有 IP 地址,请返回主页,然后单击 节点集合管理

节点集合管理选项

在 “ 所有节点 ” 选项卡下,网关节点的 有 IP 地址是隧道的外部 IP 地址。在下面的示例中,Iboss 端的隧道的外部 IP 将是 104.225.163.25。

节点集合管理

GRE

要从特定位置添加 GRE 隧道,请返回主页,然后单击 将设备连接到 iboss Cloud

GRE 选项

单击 隧道 ,然后选择 GRE 隧道

GRE 通道

单击 + 添加 GRE 隧道 并输入所需信息。

添加 GRE 通道

对于每个隧道,内部隧道子网应该是唯一的(例如 169.254.1.0/30、169.254.1.4/30 等)。独特的 iboss 节点应该用于多个站点之间的重叠子网。例如,如果站点“A”和站点“B”使用 192.168.1.0/24 子网,则应在不同的 iboss 节点上执行每个站点的 GRE 通道配置。

单击保存。隧道信息以摘要形式显示。如有必要,您可以对其进行编辑。

GRE 通道摘要

IPsec的

要从特定位置添加 IPsec 隧道,请返回主页,然后单击 将设备连接到 iboss Cloud

“IPsec”选项

单击 隧道 ,然后选择 IPsec 隧道

选择 IPsec 隧道

从 Citrix SD-WAN 设备连接隧道时,我们建议您使用以下 IPsec 设置,这些设置在所有隧道中都是通用的:

  • IKE 生命周期(分钟): 60
  • 钥匙寿命(分钟): 20
  • 重新加密边距(分钟):3
  • 重新加密尝试:1

所有其他设置(例如 IPsec 隧道密钥等)都可能是特定于部署的。

IPsec 隧道

单击 + 添加 IPsec 隧道 以根据需要创建隧道。

添加 IPsec 隧道

输入所需信息。对于来自 Citrix SD-WAN 设备的 IPsec 隧道,我们建议为每个隧道使用以下 IPsec 设置:

  • 模式:主
  • IPsec 隧道类型:站点到云
  • IKE 策略类型:IKE 版本 2
  • 加密类型:AES256
  • 完整性类型:SHA256
  • 差异-赫尔曼 MODP 类型:MODP 1024
  • ESP 加密类型:AES256

所有其他设置(例如 IP 外部的远程 IPSec 隧道等)可能是特定于部署的。对于每个隧道,内部隧道子网应该是唯一的(例如 169.254.1.0/30、169.254.1.4/30 等)。独特的 iboss 节点应该用于多个站点之间的重叠子网。例如,如果站点“A”和站点“B”都使用 192.168.1.0/24 子网,则应在不同的 iboss 节点上执行每个站点的隧道配置。

单击保存。隧道信息以摘要形式显示。

IPsec 摘要

您可以编辑隧道的所有配置参数,但 远程 IPSec 隧道外部 IP除外。

IPsec 设置

Citrix SD-WAN 配置

Citrix SD-WAN 网络通过基于 Citrix 云的管理服务 Citrix SD-WAN Orchestrator 进行管理. 如果您还没有帐户,请参阅 Citrix SD-WAN Orchestrator 入门

成功完成入职过程后,您可以访问 SD-WAN Orchestrator。

SD-WAN Orchestrator

确保 Citrix SD-WAN 站点已经配置并已连接到分支机构和网络。有关配置详细信息,请参阅网络配置

交付服务

交付服务允许您配置互联网、内部网、IPsec 和 GRE 等交付服务。交付服务在全球范围内定义,并在适用的情况下应用于各个站点的 WAN 链路。

配送服务选项

iboss 云可以通过 GRE 或 IPsec 服务从 Citrix SD-WAN 连接. 请使用上一节中 iboss 推荐的设置。

配送服务选项

GRE 服务

您可以将 SD-WAN 设备配置为终止 GRE 通道。配置以下设置。

GRE 详细信息:

  • 名称:GRE 服务的名称。
  • 路由域:GRE 通道的路由域。
  • 防火墙区域:为通道选择的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  • 保持活动状态:发送保持活动状态消息的时间间隔。如果配置为 0,则不会发送保持活动状态的数据包,但隧道保持正常运行。
  • 保持活动重试:Citrix SD-WAN 设备在使隧道关闭之前发送保持活动数据包的次数。
  • 校验和:启用或禁用隧道 GRE 报头的校验和。

站点绑定:

  • 站点名称:要映射 GRE 通道的站点。
  • 源 IP:通道的源 IP 地址。这是在此站点上配置的虚拟接口之一。选定的路由域决定了可用的源 IP 地址。
  • 公用源 IP:通道流量通过 NAT 传输时的源 IP。
  • 目标 IP:通道的目标 IP 地址。
  • 隧道 IP/前缀:GRE 隧道的 IP 地址和前缀。
  • 隧道网关 IP:路由隧道流量的下一跳 IP 地址。
  • LAN 网关 IP:路由 LAN 流量的下一跳 IP 地址。

GRE 服务

IPsec 服务

Citrix SD-WAN 设备可以与 LAN 或 WAN 端的第三方对等方协商固定 IPsec 通道。您可以定义通道终结点,并将站点映射到通道端点。

还可以选择并应用用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。

要添加 IPsec 加密配置文件,请导航到配置 > 交付服务 > 选择 IPsec 加密配置文件选项卡。

在将 IPsec 服务配置为交付服务集时,将使用 IPsec 配置文件。在 IPsec 安全配置文件页面中,输入 IPsec 加密配置文件IKE 设置IPsec 设置所需的值。

IPsec 加密配置文件信息:

  • 配置文件名称:配置文件的名称。
  • MTU:IKE 或 IPsec 数据包的最大大小(以字节为单位)。
  • 保持活动状态:使隧道保持活动状态并启用路由资格
  • IKE 版本:IKE 协议版本。

IKE 设置:

  • 模式:为 IKE 第 1 阶段协商模式选择主模式或主动模式。
    • 主模式:协商期间不会向潜在攻击者泄露任何信息,但是速度低于积极模式。
    • 主动: 协商期间向潜在攻击者泄露某些信息 (例如,协商对等体的身份),但是速度高于主模式。
  • 身份验证:身份验证类型、证书或预共享密钥。
  • 身份:身份方法。
  • 对等身份:对等身份方法。
  • DH 组:Diffie-Hellman (DH) 组可用于 IKE 密钥生成。
  • 哈希算法:对 IKE 消息进行身份验证的哈希算法。
  • 加密模式:IKE 消息的加密模式。
  • 生命周期:IKE 安全关联存在的首选持续时间(以秒为单位)。
  • 生命周期最长:允许 IKE 安全关联存在的最长首选持续时间(以秒为单位)。
  • DPD 超时:VPN 连接的死对等检测超时(以秒为单位)。

IPsec 设置:

  • 隧道类型:隧道封装类型。
    • ESP:仅加密用户数据。
    • ESP+Auth:加密用户数据并包括 HMAC。
    • ESP+NULL:数据包已验证但未加密。
    • AH:只包括 HMAC。
  • PFS Group:Diffie—Hellman 组用于完美的向前保密密钥生成。
  • 加密模式:下拉菜单中的 IPsec 消息的加密模式。
  • 哈希算法:MD5、SHA1 和 SHA-256 哈希算法可用于 HMAC 验证。
  • 网络不匹配:数据包与 IPSec 隧道的受保护网络不匹配时要采取的操作。
  • 生命周期:IPsec 安全关联存在的时间(以秒为单位)。
  • 生命周期最长:允许 IPsec 安全关联存在的最长时间(以秒为单位)。
  • 生命周期 (KB):IPsec 安全关联存在的数据量(以千字节为单位)。
  • 生命周期 (KB) 最大值:允许 IPsec 安全关联存在的最大数据量(以千字节为单位)。

IPsec 服务

要配置 IPsec 通道,请执行以下操作:

  1. 指定服务详细信息:

    • 服务名称:IPsec 服务的名称。
    • 服务类型:IPsec 隧道使用的服务。
    • 路由域:对于通过 LAN 传输的 IPsec 通道,请选择一个路由域。如果 IPsec 通道使用 intranet 服务,intranet 服务将确定路由域。
    • 防火墙区域:通道的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  2. 添加隧道终结点。

    • 名称:当服务类型为 Intranet 时,请选择隧道保护的 Intranet 服务。否则,请输入服务的名称。
    • 对等 IP:远程对等机的 IP 地址。
    • IPsec 配置文件:用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。
    • 预共享密钥:用于 IKE 身份验证的预共享密钥。
    • 对等预共享密钥:用于 IKEv2 身份验证的预共享密钥。
    • 身份数据:使用手动身份或用户 FQDN 类型时用作本地身份的数据。
    • 对等客户端身份数据:使用手动身份标识或用户 FQDN 类型时要用作对等客户端身份的数据。
    • 证书:如果选择“证书”作为 IKE 身份验证,请从已配置的证书中进行选择。
  3. 将站点映射到隧道端点。
    • 选择端点:要映射到站点的端点。
    • 站点名称:要映射到端点的站点。
    • 虚拟接口名称:将用作端点的站点上的虚拟接口。
    • 本地 IP:用作本地通道端点的本地虚拟 IP 地址。
  4. 创建受保护的网络。

    • 源网络 IP/前缀:IPsec 隧道保护的网络流量的源 IP 地址和前缀。
    • 目标网络 IP/前缀:IPsec 隧道保护的网络流量的目标 IP 地址和前缀。
  5. 确保对等设备上的 IPsec 配置进行镜像。

IPsec 隧道

IPsec 提供安全通道。Citrix SD-WAN 支持 IPsec 虚拟路径,使第三方设备能够终止 Citrix SD-WAN 设备的 LAN 或 WAN 端的 IPsec VPN 隧道。可以使用 140-2 Level 1 FIPS 认证的 IPsec 加密二进制文件保护在 SD-WAN 设备上终止的站点到站点 IPsec 通道。

Citrix SD-WAN 还支持使用存在差别的虚拟路径通道机制的弹性 IPsec 通道。

监控 GRE 和 IPSEC 隧道

GRE 通道

您可以使用隧道机制在另一个协议中传输一个协议的数据包。携带其他协议的协议称为传输协议,而携带的协议称为乘客协议。通用路由封装 (GRE) 是一种通道机制,它使用 IP 作为传输协议,并可以传输许多不同的乘客协议。

隧道源地址和目标地址用于标识隧道中虚拟点对点链路的两个端点。

要查看 GRE 隧道统计信息,请导航到 报告 > 统计信息 > GRE 隧道。 您可以查看以下指标:

  • 站点名称:站点名称。
  • Tx 带宽:传输的带宽。
  • Rx 带宽:接收的带宽。
  • 丢弃的数据包:由于网络拥堵而丢弃的数据包数。
  • 零碎的数据包:零碎的数据包数。数据包将分段以创建小型数据包,该数据包可以通过传输的 MTU 小于原始数据报。碎片由接收主机重新组装。
  • 展开/折叠:您可以根据需要展开或折叠数据。

监测 GRE

IPsec 隧道

IP 安全 (IPsec) 协议提供安全服务(如加密敏感数据、身份验证、防止重放以及 IP 数据包的数据机密性)。封装安全有效负载 (ESP) 和身份验证头 (AH) 是用于提供这些安全服务的两种 IPSec 安全协议。

在 IPsec 通道模式下,整个原始 IP 数据包受到 IPsec 保护。原始 IP 数据包将打包并加密,并在通过 VPN 通道传输数据包之前添加一个新 IP 报头。

要查看 IPSec 隧道 统计信息,请导航到 报告 > 统计信息 > IPsec 隧道。

您可以查看以下指标:

  • 隧道名称:隧道名称。
  • 隧道状态:IPsec 隧道状态。
  • MTU:最大传输单位 — 可通过特定链路传输的最大 IP 数据报的大小。
  • 接收的数据包:接收的数据包数。
  • 已发送的数据包:已发送的数据包数。
  • 丢弃的数据包:由于网络拥堵而丢弃的数据包数。
  • 丢弃的字节数:丢弃的字节数。
  • 展开/折叠:您可以根据需要展开或折叠数据。

监控 IPsec

集成 Citrix SD-WAN 和 iBoss 云