Application Layer Gateway für IPSec-Protokoll
Wenn die Kommunikation zwischen zwei Netzwerkgeräten (z. B. Client und Server) das IPSec-Protokoll verwendet, verwendet der IKE-Verkehr (der über UDP erfolgt) Portfelder, der ESP-Verkehr (Encapsulating Security Payload) jedoch nicht. Wenn ein NAT-Gerät auf dem Pfad zwei oder mehr Clients am selben Ziel dieselbe NAT-IP-Adresse (aber unterschiedliche Ports) zuweist, kann das NAT-Gerät den zurückgegebenen ESP-Verkehr nicht unterscheiden und ordnungsgemäß weiterleiten. Er enthält keine Portinformationen. Daher schlägt der IPSec-ESP-Verkehr am NAT-Gerät fehl.
NAT-Traversal (NAT-T) fähige IPSec-Endpunkte erkennen während der IKE-Phase 1 das Vorhandensein eines NAT-Zwischengeräts und wechseln für den gesamten nachfolgenden IKE- und ESP-Verkehr auf den UDP-Port 4500 (ESP wird in UDP gekapselt). Ohne NAT-T-Unterstützung auf den Peer-IPSec-Endpunkten wird IPsec-geschützter ESP-Verkehr ohne UDP-Kapselung übertragen. Daher schlägt der IPSec-ESP-Verkehr am NAT-Gerät fehl.
Die NetScaler-Appliance unterstützt IPSec Application Andwendungslayer Gateway (ALG) -Funktionalität für umfangreiche NAT-Konfigurationen. Das IPSec-ALG verarbeitet IPSec-ESP-Verkehr und verwaltet die Sitzungsinformationen, sodass der Datenverkehr nicht ausfällt, wenn die IPSec-Endpunkte NAT-T (UDP-Kapselung des ESP-Datenverkehrs) nicht unterstützen.
So funktioniert IPSec ALG
Ein IPSec-ALG überwacht den IKE-Verkehr zwischen einem Client und dem Server und erlaubt zu einem bestimmten Zeitpunkt nur einen IKE-Phase-2-Nachrichtenaustausch zwischen dem Client und dem Server.
Sobald die bidirektionalen ESP-Pakete für einen bestimmten Fluss empfangen wurden, erstellt das IPSec-ALG eine NAT-Sitzung für diesen bestimmten Fluss, sodass der nachfolgende ESP-Verkehr reibungslos fließen kann. Der ESP-Verkehr wird durch Sicherheitsparameterindizes (SPIs) identifiziert, die für einen Fluss und für jede Richtung einzigartig sind. Ein IPSec-ALG verwendet ESP-SPIs anstelle von Quell- und Zielports, um NAT in großem Maßstab durchzuführen.
Wenn ein Gate keinen Verkehr empfängt, wird es zu einem Timeout. Nach dem Timeout beider Gates ist ein weiterer IKE-Phase-2-Austausch zulässig.
IPSec-ALG-Timeouts
IPSec ALG auf einer NetScaler-Appliance hat drei Timeout-Parameter:
- ESP-Gate-Timeout. Maximale Zeit, in der die NetScaler-Appliance ein IPSec-ALG-Gate für einen bestimmten Client auf einer bestimmten NAT-IP-Adresse für einen bestimmten Server blockiert, wenn kein bidirektionaler ESP-Verkehr zwischen dem Client und dem Server ausgetauscht wird.
- Timeout für die IKE-Sitzung. Maximale Zeit, in der die NetScaler-Appliance die IKE-Sitzungsinformationen speichert, bevor sie entfernt werden, wenn für diese Sitzung kein IKE-Verkehr vorhanden ist.
- Zeitlimit für ESP-Sitzung. Maximale Zeit, für die die NetScaler-Appliance die ESP-Sitzungsinformationen speichert, bevor sie entfernt werden, falls für diese Sitzung kein ESP-Verkehr vorhanden ist.
Punkte, die vor der Konfiguration von IPSec ALG zu beachten sind
Bevor Sie mit der Konfiguration von IPSec ALG beginnen, sollten Sie die folgenden Punkte berücksichtigen:
- Sie müssen die verschiedenen Komponenten des IPSec-Protokolls verstehen.
- IPSec ALG wird für DS-Lite- und Large-Scale-NAT64-Konfigurationen nicht unterstützt.
- IPSec ALG wird für Hairpin LSN Flow nicht unterstützt.
- IPSec ALG funktioniert nicht mit RNAT-Konfigurationen.
- IPSec ALG wird in NetScaler-Clustern nicht unterstützt.
Konfigurationsschritte
Die Konfiguration von IPSec ALG für NAT44 in großem Maßstab auf einer NetScaler-Appliance umfasst die folgenden Aufgaben:
-
Erstellen Sie ein LSN-Anwendungsprofil und binden Sie es an die LSN-Konfiguration. Stellen Sie bei der Konfiguration eines Anwendungsprofils die folgenden Parameter ein:
- Protokoll=UDP
- IP-Pooling = GEPAART
- Port=500
Binden Sie das Anwendungsprofil an die LSN-Gruppe einer LSN-Konfiguration. Anweisungen zum Erstellen einer LSN-Konfiguration finden Sie unter Konfigurationsschritte für LSN.
-
Erstellen Sie ein IPsec-ALG-Profil. Ein IPSec-Profil umfasst verschiedene IPSec-Timeouts, z. B. das IKE-Sitzungs-Timeout, das ESP-Sitzungs-Timeout und das ESP-Gate-Timeout. Sie binden ein IPSec-ALG-Profil an eine LSN-Gruppe. Ein IPSec-ALG-Profil hat die folgenden Standardeinstellungen:
- IKE-Sitzungs-Timeout = 60 Minuten
- ESP-Sitzungs-Timeout = 60 Minuten
- ESP-Gate-Timeout = 30 Sekunden
- Binden Sie das IPSec-ALG-Profil an die LSN-Konfiguration. IPSec ALG wird für eine LSN-Konfiguration aktiviert, wenn Sie ein IPSec-ALG-Profil an die LSN-Konfiguration binden. Binden Sie das IPSec-ALG-Profil an die LSN-Konfiguration, indem Sie den IPSec-ALG-Profilparameter auf den Namen des erstellten Profils in der LSN-Gruppe festlegen. Ein IPSec-ALG-Profil kann an mehrere LSN-Gruppen gebunden werden, aber eine LSN-Gruppe kann nur ein IPSec-ALG-Profil haben.
So erstellen Sie ein LSN-Anwendungsprofil mithilfe der Befehlszeilenschnittstelle
Geben Sie in der Befehlszeile Folgendes ein:
add lsn appsprofile <appsprofilename> UDP -ippooling PAIRED
show lsn appsprofile
<!--NeedCopy-->
So binden Sie den Zielport mithilfe der Befehlszeilenschnittstelle an das LSN-Anwendungsprofil
Geben Sie in der Befehlszeile Folgendes ein:
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
<!--NeedCopy-->
So binden Sie ein LSN-Anwendungsprofil mithilfe der Befehlszeilenschnittstelle an eine LSN-Gruppe
Geben Sie in der Befehlszeile Folgendes ein:
bind lsn group <groupname> -appsprofilename <string>
show lsn group
<!--NeedCopy-->
So erstellen Sie ein IPSec-ALG-Profil mit der CLI
Geben Sie in der Befehlszeile Folgendes ein:
add ipsecalg profile <name> [-ikeSessionTimeout <positive_integer>] [-espSessionTimeout <positive_integer>] [-espGateTimeout <positive_integer>] [-connfailover ( ENABLED | DISABLED)
show ipsecalg profile <name>
<!--NeedCopy-->
So binden Sie ein IPSec-ALG-Profil mithilfe der CLI an eine LSN-Konfiguration
Geben Sie in der Befehlszeile Folgendes ein:
bind lsn group <groupname> -poolname <string> - ipsecAlgProfile <string>
show lsn group <name>
<!--NeedCopy-->
Um ein LSN-Anwendungsprofil zu erstellen und es mithilfe der GUI an eine LSN-Konfiguration zu binden
Navigieren Sie zu System > Large Scale NAT > Profiles, klicken Sie auf die Registerkarte Anwendung, fügen Sie ein LSN-Anwendungsprofil hinzu und binden Sie es an eine LSN-Gruppe.
So erstellen Sie ein IPSec-ALG-Profil mithilfe der GUI**
Navigieren Sie zu System > Large Scale NAT > Profile, klicken Sie auf die Registerkarte IPSEC ALG und fügen Sie dann ein IPSec-ALG-Profil hinzu.
So binden Sie ein IPSec-ALG-Profil mithilfe der GUI an eine LSN-Konfiguration**
- Navigieren Sie zu System > Large Scale NAT > LSN Group, öffnen Sie die LSN-Gruppe.
- Klicken Sie in den Erweiterten Einstellungenauf + IPSEC-ALG-Profil, um das erstellte IPSec-ALG-Profil an die LSN-Gruppe zu binden.
Beispielkonfiguration
In der folgenden NAT44-Beispielkonfiguration im großen Maßstab ist IPSec ALG für Abonnenten im 192.0.2.0/24-Netzwerk aktiviert. Das IPSec-ALG-Profil IPSECALGPROFILE-1 mit verschiedenen IPSec-Timeout-Einstellungen wird erstellt und ist an die LSN-Gruppe LSN Group -1 gebunden.
Beispielkonfiguration:
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.9
Done
add lsn appsprofile LSN-APPSPROFILE-1 UDP -ippooling PAIRED
Done
bind lsn appsprofile LSN-APPSPROFILE-1 500
Done
add ipsecalg profile IPSECALGPROFILE-1 -ikeSessionTimeout 45 –espSessionTimeout 40 –espGateTimeout 20 -connfailover ENABLED
Done
bind lsn group LSN-GROUP-1 -appsprofilename LSN-APPSPROFILE-1
Done
bind lsn group LSN-GROUP-1 -poolname LSN-POOL-1
Done
bind lsn group LSN-GROUP-1 - ipsecAlgProfile IPSECALGPROFILE-1
Done
<!--NeedCopy-->