Compatibilidad con NetScaler para implementación de Microsoft Direct Access
Microsoft Direct Access es una tecnología que permite a los usuarios remotos conectarse sin problemas y de forma segura a las redes internas de la empresa, sin necesidad de establecer una conexión VPN independiente. A diferencia de las conexiones VPN, que requieren la intervención del usuario para abrir y cerrar las conexiones, un cliente con acceso directo se conecta automáticamente a las redes internas de la empresa cada vez que el cliente se conecta a Internet.
Manage-Out es una función de Microsoft Direct Access que permite a los administradores de la red empresarial conectarse a los clientes de Direct Access fuera de la red y gestionarlos (por ejemplo, realizar tareas de administración, como programar las actualizaciones del servicio y proporcionar soporte remoto).
En una implementación de Direct Access, los dispositivos NetScaler ofrecen alta disponibilidad, escalabilidad, alto rendimiento y seguridad. La funcionalidad de equilibrio de carga de NetScaler envía el tráfico del cliente a través del servidor más adecuado. Los dispositivos también pueden reenviar el tráfico de Manage-Out por la ruta correcta para llegar al cliente.
Arquitectura
La arquitectura de una implementación de Microsoft Direct Access consta de clientes con acceso directo, servidores de acceso directo, servidores de aplicaciones y dispositivos NetScaler internos y externos. Los clientes se conectan a un servidor de aplicaciones a través de un servidor de acceso directo. Un dispositivo NetScaler externo equilibra la carga del tráfico del cliente a un servidor de acceso directo y un dispositivo NetScaler interno reenvía el tráfico del cliente desde el servidor de acceso directo al servidor de aplicaciones de destino. El acceso directo se utiliza para tunelizar el tráfico IPv6 del cliente a través de la red IPv4. Un servidor virtual de equilibrio de carga IPv4 en el dispositivo NetScaler externo equilibra la carga del tráfico tunelizado del cliente a uno de los servidores de acceso directo. El servidor de acceso directo extrae los paquetes IPv6 de los paquetes IPv4 del cliente recibido y los envía al servidor de aplicaciones de destino a través del dispositivo NetScaler interno. El dispositivo NetScaler interno tiene reglas de sesión de reenvío con la opción de caché de rutas de origen habilitada para almacenar la información de conexión de las capas 2 y 3 sobre el tráfico del cliente desde el servidor de acceso directo. El dispositivo NetScaler almacena la siguiente información de capas 2 y 3 en una tabla denominada tabla de caché de rutas de origen:
- Dirección IP de origen del paquete recibido
- Dirección MAC del servidor de acceso directo que envió el paquete
- ID de VLAN del dispositivo NetScaler que recibió el paquete
- ID de interfaz del dispositivo NetScaler que recibió el paquete
El dispositivo NetScaler utiliza la información de la tabla de caché de rutas de origen para reenviar una respuesta al mismo servidor de acceso directo, ya que cuenta con la información de túneles para llegar al cliente. Además, el dispositivo interno utiliza la tabla de caché de rutas de origen para reenviar el tráfico de administración del servidor de aplicaciones al servidor de acceso directo correspondiente para llegar a un cliente determinado.
Configuración del dispositivo NetScaler interno en una implementación de Microsoft Direct Access
Para configurar el dispositivo NetScaler interno para reenviar la respuesta de un servidor de aplicaciones y gestionar el tráfico de salida a la Access Gateway directo correspondiente, configure las reglas de sesión de reenvío. En cada regla, defina el parámetro sourceroutecache en ENABLED.
Para crear una regla de sesión de reenvío mediante la CLI:
En el símbolo del sistema, escriba:
- **agregar ForwardingSession** <netmask><name>((<network>[]) | **-nombre acl6** <string> | **-aclname) -sourceroutecache (HABILITADO** <string>****)**** | **INHABILITADO** ]
- show forwardingsession <name>
Configuración de ejemplo:
En el siguiente ejemplo, se crea la regla de reenvío de sesiones MS-DA-FW-1 en el dispositivo NetScaler interno. La sesión de reenvío almacena información de capa 2 y capa 3 para cualquier paquete IPv6 entrante de un servidor de acceso directo que coincida con el prefijo IPv6 de origen 2001:DB8: :/96.
> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED
Done
Visualización de la tabla Caché de Ruta de Origen
Puede mostrar la tabla de caché de rutas de origen para supervisar o detectar cualquier conexión no deseada entre los servidores de acceso directo y los servidores de aplicaciones.
Para mostrar la tabla de caché de rutas de origen mediante la CLI:
En el símbolo del sistema, escriba:
- mostrar la tabla en caché de la ruta de origen
Ejemplo:
> show sourceroutecachetable
SOURCEIP MAC VLAN INTERFACE
2001:DB8:5001:10 56:53:24:3d:02:eb 30 1/2
2001:DB8:5003:30 60:54:35:3e:04:bd 60 1/3
Done
Borrar la tabla de caché de rutas de origen
Puede borrar todas las entradas de la tabla de caché de rutas de origen de un dispositivo NetScaler.
Para borrar la tabla de caché de rutas de origen mediante la CLI:
En el símbolo del sistema, escriba:
- descargar ns sourceroutecachetable