设计决定:思杰家用办公室SD-WAN

概述

用于家庭办公室的Citrix SD-WAN可以部署在多种灵活的拓扑中。它还可以为家庭工作者提供增强的Citrix虚拟应用程序和桌面会话交付。本设计文件为实施思杰SD-WAN的家庭办公室设计决策提供指导，以使家庭工作者能够最佳地使用。

网络管理

SD-WAN部署的网络管理员在解决方案的成功推出中发挥着关键作用。在设计和维护SD-WAN部署时，管理员需要关注以下问题:

• 在遵守公司安全要求的同时，只允许那些需要的用户访问公司网络
• 在地理上分布在不同区域的数百或数千个端点的快速精简部署
• 通过服务质量实现全公司业务策略的最高用户体验
• 稳定性能和用户体验，同时考虑尽可能多的差异

任何部署的成功都取决于技术和业务层面的无缝执行。本文档提供了进一步的详细信息和建议，以帮助指导网络管理员成功完成SD-WAN部署。

网络安全注意事项

启用公司网络访问家庭办公室会打开潜在的攻击媒介，因此强烈建议采取额外的预防措施，以尽可能降低风险。这些步骤包括:

1. 通过添加屏障隔离网络，限制新引入的部分(如家庭工作者)的接触范围
2. 通过将Home Office用例限制在一个可管理的范围内，消除复杂性
3. 通过监视网络连接和消除任何本地设备访问来控制端点
4. 通过持续监视端点来监视端点活动，并在端点行为偏离标准时设置警报
5. 使用云服务(例如Citrix Secure Internet Access、Zscaler或Palo Alto Prisma)为SD-WAN解决方案提供安全保护
6. 利用更高端的SD-WAN高级版设备来解锁集成的安全堆栈或利用第三方防火墙(例如Palo Alto, Checkpoint)作为虚拟网络功能(VNF)，并与行业领先的安全供应商简单集成

在深入讨论网络安全考虑因素的细节之前，我们首先概述了如果Home Office流量配置文件包括Citrix虚拟应用程序和桌面，则必须做出的设计决策。

决定:交付Citrix虚拟应用程序和桌面

为了实现将公司网络扩展到远程资源的最佳安全性，始终建议使用Citrix技术，例如Citrix虚拟应用程序和桌面。这项技术在虚拟客户端计算领域已经领先多年，可以帮助设计一个安全的网络。在这里你可以找到更多关于Citrix虚拟应用程序和桌面安全。Citrix SD-WAN可以与此解决方案相结合，以便更好地交付到WAN可能并不总是可靠的远程位置。

用户从任何位置远程连接到任何设备上的思杰虚拟应用程序和桌面。在数据中心网络中，为了安全起见，在Citrix Virtual Apps和desktop基础架构服务器和服务之间，传入的前端流量与后端流量是隔离的。这种方法允许使用单独的非军事区(DMZs)来隔离前端和后端流量以及粒度防火墙控制和监控。

一种方法是直接在Citrix虚拟应用程序和桌面通信的路径中放置以书结尾的SD-WAN解决方案。在这种部署中，SD-WAN设备可以提供链路聚合、亚秒级弹性和QoS等特性，从而将加密的HDX流量优先于其他流量类型。

但是，重要的是要理解在此场景中SD-WAN设备只能看到加密的有效负载。通过SD-WAN覆盖层交付的流量在用户端点和Citrix Gateway之间进行加密。加密流量意味着SD-WAN的HDX Auto-QoS功能无法工作，同时SD-WAN的体验质量(QoE)也无法报告HDX流量。HDX Auto-QoS设计用于动态调查在SD-WAN对等体之间传递的HDX会话。它允许区分组成单个HDX会话的不同通道。这个特性也被称为Multi-Stream ICA，它支持将交互通道的优先级置于大量数据通道之上，从而改善最终用户的体验。集成Citrix SD-WAN的一个关键好处是，Citrix虚拟应用程序和桌面服务器可以将会话保存在单流ICA中，而SD-WAN则通过虚拟路径/覆盖动态地交付多流ICA。

建议的方法是为从内政部进入的用户提供SD-WAN，与通过互联网进入的典型外部用户不同的访问方法。

通过SD-WAN覆盖层连接的Home Worker客户端端点需要被认为是安全的，并允许直接访问Citrix虚拟应用程序和桌面资源，例如“内部”StoreFront URL，而不干涉Citrix网关。在这种方法中，HDX流量不以SSL加密的方式传输，允许SD-WAN设备使用端口2598看到HDX协议并初始化自动qos功能。SD-WAN上的Auto-QoS特性要求使用Citrix Virtual Apps and desktop LTSR 7-1912或更高版本。在这种情况下，HDX流量在通过WAN时仍然受到保护，因为SD-WAN对等体在网络中SD-WAN设备之间的所有可用WAN路径上建立AES加密隧道。此外，有一个内置的认证过程，加密密钥旋转，这有助于确保每个虚拟路径的密钥再生，间隔10-15分钟。因此，WAN覆盖层上只允许可信的对等体。在这里你可以找到更多关于思杰SD-WAN安全最佳实践

另一种在身份验证后绕过网关加密的方法是使用信标，这样SD-WAN就可以看到未加密的HDX。信标是Citrix Workspace应用程序(CWA)试图联系的url，以确定客户端主机是在内部网络还是外部网络上。例如，一个分支站点，一个带有SD-WAN 110的家庭办公室或一个咖啡店或机场。如果CWA无法与内部信标点联系，而接收到外部信标点的响应，这意味着用户设备在内部网络之外，必须通过Citrix Gateway连接到桌面和应用程序，并且HDX流量必须加密。SD-WAN家庭办公室网络需要被视为内部网络，并绕过Citrix Gateway来提供未加密的HDX流量。在这里你可以找到更多关于灯塔的配置。

在涉及Citrix虚拟应用程序和桌面的部署中，数据和工作负载在数据中心中保持安全。甚至互联网流量访问也通过数据中心的本地互联网链路处理。互联网流量实际上并不穿越新的广域网覆盖层到远程用户。如果为受支持的客户端主机启用了HDX重定向，那么只有在某些情况下，Internet流量(如Microsoft Teams)才会被打破HDX会话，以便远程客户端主机使用本地Internet源获取它。在这里，可以启用Home Office SD-WAN，以便Internet Service对流量进行适当路由。可通过Internet breakout直接路由到Office 365云。

限制家庭办公网络通过防火墙DMZ

一个网络安全设计考虑因素是回程家庭办公室的流量，并限制资源和连接到企业网络通过防火墙dmz。此外，SD-WAN设备上的防火墙策略可以集中推送到远程Home Office网络中的所有SD-WAN设备。这些策略将“新广域网覆盖”上允许的流量限制为仅某些应用程序、协议和或服务器ip等等。

网络拓扑的选择是规划远程访问体系结构的核心，以确保它能够支持必要的功能、性能和安全需求。远程访问体系结构的设计需要与安全团队合作完成，以确保符合公司安全需求和标准。在任何一种情况下，为了解决WAN最后一英里上的典型痛点，新的SD-WAN覆盖直接解决了大多数家庭工作者可用的共享互联网访问链路中通常发现的问题。这一优点使其成为为快乐和高效的家庭工作者提供最佳用户体验的必备解决方案。

通过路由域划分网络(VRF-lite)

Citrix SD-WAN允许通过使用虚拟路由和转发对SD-WAN部署进行分段，以获得更多的安全性和可管理性。Citrix SD-WAN上的这种功能称为路由域。现有的思杰SD-WAN部署(将远程办公室连接到数据中心)可以引入一个新的家庭办公路由域，将家庭办公网络流量与企业网络流量分开。每个路由域在SD-WAN设备上维护自己唯一的路由表。虚拟路径可以与所有路由域通信。当报文进入隧道时，报文将基于与进入系统的接口相关联的路由域进行标记。在隧道中，每个数据包都被标记为与之相关的路由域，并且在隧道出口时使用相关的路由表进行正确的传递。现有SD-WAN站点部署可以使用默认路由域。可以利用专用接口将新的路由域添加到前端SD-WAN设备。该域可以提供对公司网络中有限的内政部资源的访问，如下所示。

在这里你可以找到更多关于Citrix SD-WAN路由域

家庭办公网络设计注意事项

通过为大规模SD-WAN部署设计的中央管理工具，可以轻松实现数千个端点的快速部署。然而，当可能的时候，管理员需要通过将Home User用例限制在可管理的范围内来消除复杂性。例如，保持最初的家庭办公网络设计只支持特定平台上的一种部署模式。然而，选择有很多，再次严重依赖于家庭办公室的本地网络可用性。下面我们概述了一些潜在的选择，考虑到不同的本地网络差异。我们还讨论了引入SD-WAN设备为家庭办公网络服务时的潜在好处和需要考虑的事项。

决定:广域网链路

单ISP (VPN替换)

• 提供者:
  • ISP #1(只有一个)
• 好处:
  • 站点到站点(使许多设备同时连接到SD-WAN远程工作网络)，消除了多个点到站点VPN连接的需要
  • 更快地访问企业资源(本地SD-WAN MCN/RCN区域PoPs)
  • 更好的安全性与嵌入式企业级防火墙使用本地互联网突破
  • 虚拟路径/覆盖的好处:
    • 具有更好的QoS性能(双向和协议之间)
    • 基于应用的路由
    • 减少损失(包复制/重传)
    • 多个广域网直流电链路仍然可以为直流电故障提供冗余
    • 本地链路自适应带宽检测
    • 使用SD-WAN Orchestrator进行集中管理(配置、报告、警报等)。
    • 链路监控/度量(对SLA遵从性很有用)
    • (可选)DHCP Server for Remote Work Network
    • (可选)Citrix安全互联网接入的互联网绑定流量
• 注意事项:
  • 由于单ISP WAN链路，没有SD-WAN叠加负载均衡
  • 由于单一ISP WAN链路，没有SD-WAN覆盖弹性
  • 由于单ISP WAN链路，没有本地internet负载均衡
  • 由于单一ISP WAN链路，没有本地互联网弹性

双重ISP

• 提供者:
  • ISP # 1
  • ISP # 2
• 好处(除了单一ISP的好处之外):
  • 站点到站点，具有更高的聚合带宽，同时使用多个ISP WAN链路
  • SD-WAN覆盖负载均衡同时使用两个ISP WAN链路
  • SD-WAN覆盖弹性使用两个ISP WAN链路
  • 本地互联网负载均衡同时使用两个ISP WAN链路
  • 本地互联网弹性使用两个ISP WAN链路
  • (可选)Citrix安全互联网访问的弹性，用于互联网绑定的流量
• 注意事项:
  • 第二个ISP WAN链路的额外费用
  • 花时间和精力建立ISP #2
  • 需要额外的硬件(用于ISP #2的调制解调器)

Isp + lte

• 提供者:
  • ISP # 1
  • LTE #1(无线传输用作第二广域网链路)
• 优点(除了Dual ISP的优点外):
  • 更简单的第二个广域网链路的设置
  • 无需额外组件和电缆(嵌入式调制解调器)
• 注意事项:
  • 每MB/月的费用可能比有线ISP选项更高
  • 限于合同约定的每月带宽分配(超出是额外费用)
  • 无线传输比有线传输慢

ISP + LTE(备用)

• 提供者:
  • ISP # 1
  • LTE #1(在待机模式下用作第二条广域网链路)
• 好处(除了单一ISP的好处之外):
  • 成本可以通过按需和最后手段的备用功能进行管理
  • SD-WAN覆盖弹性使用两个ISP WAN链路
  • 本地互联网弹性使用两个ISP WAN链路
• 注意事项:
  • 由于只有一条活跃的WAN链路，没有SD-WAN叠加负载均衡
  • 由于只有一个活跃的广域网链路，没有本地互联网负载平衡

双重LTE

• 提供者:
  • LTE # 1
  • LTE # 2
• 优点(除了Dual ISP的优点外):
  • 更简单的第二个广域网链路的设置
  • 不需要额外的组件和电缆(嵌入式调制解调器)，除了USB LTE加密狗
• 注意事项:
  • 每MB/月的费用可能比有线ISP选项更高
  • 限于合同约定的每月带宽分配(超出部分为额外费用)
  • 无线传输比有线传输慢

前面描述的每个用例都可以通过额外的WAN链路(ISP或LTE)来增强，从而进一步增加可用带宽并改善远程家庭工作者的网络可用性。

参考文献

有关更多信息，请参阅:

Citrix SD-WAN Home Office POC指南-学习如何为家庭办公室实施思杰SD-WAN的概念验证

思杰SD-WAN家庭办公室技术简介-提供在家庭办公室中使用Citrix SD-WAN的概述