ADC

Configuración de un túnel de CloudBridge Connector entre un dispositivo NetScaler y una puerta de enlace privada virtual en AWS

Para conectar un centro de datos a Amazon Web Services (AWS), puede configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler del centro de datos y una puerta de enlace privada virtual en AWS. El dispositivo NetScaler y la puerta de enlace privada virtual forman los puntos finales del túnel CloudBridge Connector y se denominan pares.

Nota:

También puede configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler en un centro de datos y una instancia de NetScaler VPX (en lugar de una Gateway privada virtual) en AWS. Para obtener más información, consulte Configuración de CloudBridge Connector entre el centro de datos y la nube de AWS.

Las puertas de enlace privadas virtuales de AWS admiten la siguiente configuración de IPSec para un túnel de CloudBridge Connector. Por lo tanto, debe especificar la misma configuración de IPSec al configurar el dispositivo NetScaler para el túnel CloudBridge Connector.

Propiedades IPSec Configuración
Modo IPSec Modo túnel
Versión IKE Versión 1
Método de autenticación IKE Clave previamente compartida
Algoritmo de cifrado AES
Algoritmo hash HMAC SHA1

Ejemplo de configuración del túnel de CloudBridge Connector y flujo de datos

Como ilustración del flujo de tráfico en un túnel de CloudBridge Connector, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre el dispositivo NetScaler NS_Appliance-1 en un centro de datos y la puerta de enlace privada virtual AWS-Virtual-Private-Gateway-1 en la nube de AWS.

Imagen traducida

El NS_Appliance-1 también funciona como un router L3, lo que permite que una red privada del centro de datos llegue a una red privada en la nube de AWS a través del túnel CloudBridge Connector. Como router, NS_Appliance-1 permite la comunicación entre el cliente CL1 del centro de datos y el servidor S1 de la nube de AWS a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

En NS_Appliance-1, la configuración del túnel de CloudBridge Connector incluye una entidad de perfil IPSec denominada NS_AWS_IPSEC_Profile, una entidad de túnel de CloudBridge Connector denominada NS_AWS_Tunnel y una entidad de redirección basada en directivas (PBR) denominada NS_AWS_PBR.

La entidad de perfil IPSec NS_AWS_IPSec_Profile especifica los parámetros del protocolo IPSec, como la versión de IKE, el algoritmo de cifrado y el algoritmo de hash, que utilizará el protocolo IPSec en el túnel de CloudBridge Connector. NS_AWS_IPSec_Profile está enlazado a la entidad de túnel IP NS_AWS_Tunnel.

La entidad del túnel de CloudBridge Connector, NS_AWS_Tunnel, especifica la dirección IP local (una dirección IP SNIP pública configurada en el dispositivo NetScaler), la dirección IP remota (la dirección IP del AWS-Virtual-Private-Gateway-1) y el protocolo (IPsec) utilizado para configurar el túnel CloudBridge Connector. NS_AWS_Tunnel está enlazado a la entidad de redirección basada en directivas (PBR) NS_AWS_PBR.

La entidad PBR NS_AWS_PBR especifica un conjunto de condiciones y una entidad de túnel de CloudBridge Connector (NS_AWS_Tunnel). El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino son las condiciones de NS_AWS_PBR. El rango de direcciones IP de origen y el rango de direcciones IP de destino se especifican como una subred en el centro de datos y una subred en la nube de AWS, respectivamente. Cualquier paquete de solicitud que provenga de un cliente de la subred del centro de datos y esté destinado a un servidor de la subred de la nube de AWS cumple las condiciones de NS_AWS_PBR. A continuación, este paquete se considera para el procesamiento de CloudBridge Connector y se envía a través del túnel de CloudBridge Connector (NS_AWS_Tunnel) enlazado a la entidad PBR.

En la siguiente tabla se enumeran las configuraciones utilizadas en este ejemplo.

Dirección IP del punto final del túnel de CloudBridge Connector (NS_Appliance-1) en el lado del centro de datos 66.165.176.15
Dirección IP del punto final del túnel CloudBridge Connector (AWS-Virtual-Private-Gateway-1) en AWS 168.63.252.133
Subred del centro de datos, cuyo tráfico debe atravesar el túnel de CloudBridge Connector 10.102.147.0/24
Subred de AWS, cuyo tráfico debe atravesar el túnel CloudBridge Connector 10.20.20.0/24

Configuración en Amazon AWS

Portal de clientes AWS-Customer-Gateway-1 Redirección = estática, dirección IP = dirección IP del extremo del túnel del conector CloudBridge Routable a través de Internet en el lado NetScaler = 66.165.176.15
Puerta de enlace privada virtual AWS-Virtual-Private-Gateway-1 VPC asociada = AWS-VPC-1
Conexión VPN AWS-VPN-Connection-1 Puerta de enlace del cliente = AWS-Customer-gateway-1, Puerta de enlace privada virtual= Puerta de enlace virtual-privada-1, Opciones de redirección: Tipo = Prefijos de IP estáticos y estáticos = Subredes en el lado NetScaler = 10.102.147.0/24

Configuración del dispositivo NetScaler NS_Appliance-1en Datacenter-1:

|Dispositivo|Parámetros| |–|–| |SNIP1 (solo con fines de referencia)|66.165.176.15| |Perfil de IPSec|NS_AWS_IPSEC_PROFILE|Versión IKE = v1, algoritmo de cifrado = AES, algoritmo de hash = HMAC SHA1| |túnel de CloudBridge Connector CloudBridge|NS_AWS_tunnel|IP remota = 168.63.252.133, IP local = 66.165.176.15, protocolo de túnel = IPSec, perfil IPSec = NS_AWS_IPsec_profile| |Ruta basada en directivas|NS_AWS_IPsec_profile| |Ruta basada en directivas|NS_AWS_IPsec_profile|_AWS_PBR|Intervalo de IP de origen = subred del centro de datos =10.102.147.0-10.102.147.255, rango de IP de destino =Subred en AWS =10.20.20.0-10.20.20.255, túnel IP = NS_AWS_Tunnel|

Puntos a tener en cuenta para una configuración de túnel de CloudBridge Connector

Antes de configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler y AWS Gateway, tenga en cuenta los siguientes puntos:

  1. AWS admite las siguientes configuraciones de IPSec para un túnel de CloudBridge Connector. Por lo tanto, debe especificar la misma configuración de IPSec al configurar el dispositivo NetScaler para el túnel CloudBridge Connector.

    • Versión IKE = v1
    • Algoritmo de cifrado = AES
    • Algoritmo de hash = HMAC SHA1
  2. Debe configurar el firewall en el extremo de NetScaler para permitir lo siguiente.

    • Cualquier paquete UDP para el puerto 500
    • Cualquier paquete UDP para el puerto 4500
    • Cualquier paquete ESP (protocolo IP número 50)
  3. Debe configurar Amazon AWS antes de especificar la configuración del túnel en NetScaler, ya que la dirección IP pública del extremo de AWS (puerta de enlace) del túnel y del PSK se generan automáticamente al configurar la configuración del túnel en AWS. Necesita esta información para especificar la configuración del túnel en el dispositivo NetScaler.

  4. AWS Gateway admite rutas estáticas y el protocolo BGP para las actualizaciones de rutas. El dispositivo NetScaler no admite el protocolo BGP en un túnel de CloudBridge Connector a AWS Gateway. Por lo tanto, se deben utilizar las rutas estáticas adecuadas en ambos lados del túnel de CloudBridge Connector para enrutar correctamente el tráfico a través del túnel.

Configuración de Amazon AWS para el túnel CloudBridge Connector

Para crear una configuración de túnel de CloudBridge Connector en Amazon AWS, utilice la consola de administración de Amazon AWS, que es una interfaz gráfica basada en la web para crear y administrar recursos en Amazon AWS.

Antes de comenzar la configuración del túnel de CloudBridge Connector en la nube de AWS, asegúrese de que:

  • Tiene una cuenta de usuario para la nube de Amazon AWS.
  • Tiene una nube privada virtual cuyas redes desea conectar a las redes del lado de NetScaler a través del túnel CloudBridge Connector.
  • Está familiarizado con la consola de administración de Amazon AWS.

Nota:

Los procedimientos para configurar Amazon AWS para un túnel de CloudBridge Connector pueden cambiar con el tiempo, dependiendo del ciclo de lanzamiento de Amazon AWS. Citrix recomienda que consulte la documentación de Amazon AWS para obtener los procedimientos más recientes.

Para configurar un túnel de conector de CloudBridge entre un dispositivo NetScaler y una Gateway de AWS, realice las siguientes tareas en AWS Management Console:

  • Cree una pasarela de clientes. Una pasarela de clientes es una entidad de AWS que representa un extremo del túnel de CloudBridge Connector. En el caso de un túnel de CloudBridge Connector entre un dispositivo NetScaler y AWS Gateway, la puerta de enlace del cliente representa el dispositivo NetScaler en AWS. La Gateway del cliente especifica un nombre, el tipo de redirección (estático o BGP) utilizado en el túnel y la dirección IP del extremo del túnel de CloudBridge Connector en el lado NetScaler. La dirección IP puede ser una dirección IP de subred (SNIP) propiedad de NetScaler que se puede enrutar por Internet o, si el dispositivo NetScaler está detrás de un dispositivo NAT, una dirección IP NAT enrutable por Internet que represente la dirección SNIP.
  • Cree una puerta de enlace privada virtual y adjúntela a una VPC. Una puerta de enlace privada virtual es un extremo del túnel de CloudBridge Connector en el lado de AWS. Al crear una puerta de enlace privada virtual, se le asigna un nombre o se permite que AWS lo asigne. A continuación, asocie la puerta de enlace privada virtual a una VPC. Esta asociación permite que las subredes de la VPC se conecten a las subredes del lado de NetScaler a través del túnel de CloudBridge Connector.
  • Cree una conexión VPN. Una conexión VPN especifica una puerta de enlace de cliente y una puerta de enlace privada virtual entre las que se debe crear un túnel de CloudBridge Connector. También especifica un prefijo IP para las redes del lado de NetScaler. Solo los prefijos IP conocidos por la puerta de enlace privada virtual (mediante la entrada de rutas estáticas) pueden recibir tráfico de la VPC a través del túnel. Además, la puerta de enlace privada virtual no enruta ningún tráfico que no esté destinado a los prefijos IP especificados a través del túnel. Después de configurar una conexión VPN, es posible que tenga que esperar unos minutos para que se cree.
  • Configurar las opciones de redirección. Para que la red de la VPC llegue a las redes del lado NetScaler a través del túnel de CloudBridge Connector, debe configurar la tabla de redirección de la VPC para que incluya rutas para las redes en el lado NetScaler y señale esas rutas a la Gateway privada virtual. Puede incluir rutas en la tabla de redirección de una VPC de una de las siguientes maneras:
    • Habilite la propagación de rutas. Puede habilitar la propagación de rutas para la tabla de redirección, de modo que las rutas se propaguen automáticamente a la tabla. Los prefijos IP estáticos que especifique para la configuración VPN se propagan a la tabla de redirección después de crear la conexión VPN.
    • Introduzca las rutas estáticas manualmente. Si no habilita la propagación de rutas, debe introducir manualmente las rutas estáticas de las redes en el lado de NetScaler.
  • Descarga la configuración. Una vez creada la configuración del túnel de CloudBridge Connector (conexión VPN) en AWS, descargue el archivo de configuración de la conexión VPN a su sistema local. Es posible que necesite la información del archivo de configuración para configurar el túnel CloudBridge Connector en el dispositivo NetScaler.

Para crear una pasarela de clientes

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
  2. Vaya a Conexiones VPN > Pasarelas de clientes y haga clic en Crear pasarela de clientes.
  3. En el cuadro de diálogo Crear pasarela de clientes, defina los siguientes parámetros y, a continuación, haga clic en Sí, crear:
    • Etiqueta con el nombre. Un nombre para la pasarela de clientes.
    • Lista de rutas. Tipo de redirección entre el dispositivo NetScaler y la Gateway privada virtual de AWS para las rutas publicitarias entre sí a través del túnel CloudBridge Connector. Seleccione Redirección estática en la lista Redirección. Nota: El dispositivo NetScaler no admite el protocolo BGP en un túnel de CloudBridge Connector que conduce a AWS Gateway. Por lo tanto, se deben utilizar las rutas estáticas adecuadas en ambos lados del túnel de CloudBridge Connector para enrutar correctamente el tráfico a través del túnel.
    • Dirección IP. Dirección IP del extremo del túnel CloudBridge Connector enrutable por Internet en el lado de NetScaler. La dirección IP puede ser una dirección IP de subred (SNIP) propiedad de NetScaler que se puede enrutar por Internet o, si el dispositivo NetScaler está detrás de un dispositivo NAT, una dirección IP NAT enrutable por Internet que represente la dirección SNIP.

Imagen traducida

Para crear una puerta de enlace privada virtual y adjuntarla a una VPC

  1. Vaya a Conexiones VPN > Puertas de enlace privadas virtualesy, a continuación, haga clic en Crear puerta de enlace privada virtual.
  2. Introduzca un nombre para la puerta de enlace privada virtual y, a continuación, haga clic en Sí, crear.

Imagen traducida

  1. Seleccione la puerta de enlace privada virtual que creó y, a continuación, haga clic en Adjuntar a VPC.
  2. En el cuadro de diálogo Adjuntar a VPC, seleccione su VPC de la lista y, a continuación, elija Sí, adjuntar.

Imagen traducida

Para crear una conexión VPN:

  1. Vaya a Conexiones VPN > Conexiones VPN y, a continuación, haga clic en Crear conexión VPN.
  2. En el cuadro de diálogo Crear conexión VPN, defina los siguientes parámetros y, a continuación, elija Sí, crear:
    • Etiqueta con el nombre. Un nombre para la conexión VPN.
    • Puerta deenlace privada virtual. Seleccione la puerta de enlace privada virtual que creó anteriormente.
    • Portal de clientes. Selecciona Existente. A continuación, en la lista desplegable, seleccione la pasarela de clientes que creó anteriormente.
    • Opciones de redirección. Tipo de redirección entre la Gateway privada virtual y la Gateway del cliente (dispositivo NetScaler). Selecciona Estático. En el campo Prefijos de IP estáticas, especifique los prefijos IP de la subred del lado de NetScaler, separados por comas.

Imagen traducida

Para habilitar la propagación de rutas:

  1. Desplácese hasta Tablas de ruta y seleccione la tabla de redirección asociada a la subred cuyo tráfico va a atravesar el túnel de CloudBridge Connector.

Nota

De forma predeterminada, esta es la tabla de redirección principal para la VPC.

  1. En la ficha Propagación de rutas del panel de detalles, elija Modificar, seleccione la puerta de enlace privada virtual y, a continuación, elija Guardar.

Para introducir rutas estáticas de forma manual:

  1. Desplácese hasta Tablas de redirección y seleccione la tabla de redirección.
  2. En la ficha Rutas, haga clic en Modificar.
  3. En el campo Destino, introduzca la ruta estática utilizada por el túnel de CloudBridge Connector (conexión VPN).
  4. Seleccione el ID de puerta de enlace privada virtual de la lista de destinos y, a continuación, haga clic en Guardar.

Para descargar el archivo de configuración:

  1. Vaya a Conexión VPN, seleccione una conexión VPN y, a continuación, haga clic en Descargar configuración.
  2. En el cuadro de diálogo Configuración de descarga, defina los siguientes parámetros y, a continuación, haga clic en Sí, descargar.
    • Vendedor. Selecciona Genérico.
    • Plataforma. Selecciona Genérico.
    • Software. Seleccione Independiente del proveedor.

Configuración del dispositivo NetScaler para el túnel CloudBridge Connector

Para configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler y una puerta de enlace privada virtual en la nube de AWS, realice las siguientes tareas en el dispositivo NetScaler. Puede utilizar la línea de comandos de NetScaler o la GUI.

  • Cree un perfil IPSec. Una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión de IKE, el algoritmo de cifrado, el algoritmo de hash y el PSK que utilizará el protocolo IPSec en el túnel de CloudBridge Connector.

  • Cree un túnel IP que utilice el protocolo IPSec y asocie el perfil IPSec aél. Un túnel IP especifica la dirección IP local (una dirección SNIP configurada en el dispositivo NetScaler), la dirección IP remota (la dirección IP pública de la puerta de enlace privada virtual de AWS), el protocolo (IPSec) utilizado para configurar el túnel CloudBridge Connector y una entidad de perfil IPSec. La entidad de túnel IP creada también se denomina entidad de túnel CloudBridge Connector.
  • Cree una regla PBR y asóciela al túnel IP. Una entidad PBR especifica un conjunto de reglas y una entidad de túnel IP (túnel de CloudBridge Connector). El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino son las condiciones para la entidad PBR. Defina el rango de direcciones IP de origen para especificar la subred del lado de NetScaler cuyo tráfico debe atravesar el túnel y configure el rango de direcciones IP de destino para especificar la subred de AWS VPC cuyo tráfico debe atravesar el túnel de CloudBridge Connector. Cualquier paquete de solicitud que se origine en un cliente de la subred del lado de NetScaler y esté destinado a un servidor de la subred en la nube de AWS y que coincida con el rango de IP de origen y destino de la entidad PBR, se envía a través del túnel CloudBridge Connector asociado a la entidad PBR.

Para crear un perfil IPSEC mediante la línea de comandos de NetScaler

En el símbolo del sistema, escriba:

  • add ipsec profile <name> -psk <string> -**ikeVersion** v1
  • show ipsec profile** <name>

Para crear un túnel IPSEC y vincular el perfil IPSEC a él mediante la línea de comandos de NetScaler

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la línea de comandos de NetScaler

En el símbolo del sistema, escriba:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP** <subnet-range> -*ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Los siguientes comandos crean todos los ajustes del dispositivo NetScaler NS_Appliance-1 utilizado en el “Ejemplo de configuración y flujo de datos de CloudBridge Connector”.”

    > add ipsec profile NS_AWS_IPSec_Profile -psk  DkiMgMdcbqvYREEuIvxsbKkW0Foyabcd -ikeVersion v1 –lifetime 31536000
    Done
    > add iptunnel NS_AWS_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 –protocol IPSEC –ipsecProfileName NS_AWS_IPSec_Profile

    Done
    > add pbr NS_AWS_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_AWS_Tunnel
    Done

    > apply pbrs

    Done
<!--NeedCopy-->

Para crear un perfil IPSEC mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Conector de CloudBridge > Perfil IPSec.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Agregar perfil IPSec, defina los siguientes parámetros:

    • Name
    • Algoritmo de cifrado
    • Algoritmo hash
    • Versión del protocolo IKE (seleccione V1)
  4. Seleccione el método de autenticación de clave previamente compartida y defina el parámetro Existe una clave previamente compartida .
  5. Haga clic en Crear y, a continuación, en Cerrar.

Para crear un túnel IP y vincular el perfil IPSEC a él mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > CloudBridge Connector > Túneles IP.
  2. En la pestaña Túneles IPv4, haga clic en Agregar.
  3. En el cuadro de diálogo Agregar túnel IP, defina los siguientes parámetros:

    • Name
    • IP remota
    • Máscara remota
    • Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred).
    • IP local (Todas las IP configuradas del tipo de IP seleccionado se encuentran en la lista desplegable de IP local. Seleccione la IP deseada de la lista.)
    • Protocolo
    • Perfil IPSec
  4. Haga clic en Crear y, a continuación, en Cerrar.

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Red > PBR.

  2. En la ficha PBR, haga clic en Agregar.

  3. En el cuadro de diálogo Crear PBR, defina los siguientes parámetros:

    • Name
    • Acción
    • Tipo de salto siguiente (seleccione el túnel IP)
    • Nombre del túnel IP
    • IP de origen baja
    • IP de origen alta
    • IP de destino baja
    • IP de destino alta
  4. Haga clic en Crear y, a continuación, en Cerrar.

La nueva configuración del túnel de CloudBridge Connector correspondiente en el dispositivo NetScaler aparece en la GUI.

El estado actual del túnel de conectores de CloudBridge se muestra en el panel Connector de CloudBridge configurado. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo NetScaler mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas de los túneles de CloudBridge Connector en un dispositivo NetScaler, consulte Monitorización de los túneles de CloudBridge Connector.

Configuración de un túnel de CloudBridge Connector entre un dispositivo NetScaler y una puerta de enlace privada virtual en AWS