ADC

Interoperabilidad de CloudBridge Connector — F5 BIG-IP

Puede configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler y un dispositivo F5 BIG-IP para conectar dos centros de datos o ampliar la red a un proveedor de nube. El dispositivo NetScaler y el dispositivo F5 BIG-IP forman los puntos finales del túnel de CloudBridge Connector y se denominan pares.

Ejemplo de configuración de túnel de CloudBridge Connector

Como ilustración del flujo de tráfico en un túnel de CloudBridge Connector, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre los siguientes dispositivos:

  • Dispositivo NetScaler NS_Appliance-1 en un centro de datos designado como Datacenter-1
  • Dispositivo F5 BIG-IP F5-BIG-IP-Appliance-1 en un centro de datos designado como Datacenter-2

NS_Appliance-1 y F5-BIG-IP-Appliance-1 permiten la comunicación entre redes privadas en Datacenter-1 y Datacenter-2 a través del túnel CloudBridge Connector. En el ejemplo, NS_Appliance-1 y F5-BIG-IP-Appliance-1 permiten la comunicación entre el cliente CL1 de Datacenter-1 y el servidor S1 de Datacenter-2 a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

En NS_Appliance-1, la configuración del túnel de CloudBridge Connector incluye la entidad de perfil IPSec NS_F5-Big-IP_IPSEC_Profile, la entidad de túnel del conector de CloudBridge NS_F5-Big-IP_Tunnel y la entidad de redirección basada en directivas (PBR) NS_F5-Big-IP_PBR.

Imagen traducida

Para obtener más información, consulte F5 big IP pdf.

Puntos a tener en cuenta para una configuración de túnel de CloudBridge Connector

  • El dispositivo NetScaler está activo y en funcionamiento, está conectado a Internet y también a las subredes privadas cuyo tráfico debe protegerse a través del túnel CloudBridge Connector.
  • El dispositivo F5 BIG-IP está activo y en funcionamiento, está conectado a Internet y también a las subredes privadas cuyo tráfico se debe proteger a través del túnel CloudBridge Connector.
  • Se admiten las siguientes configuraciones de IPSec para un túnel de CloudBridge Connector entre un dispositivo NetScaler y un dispositivo F5 BIG-IP.
    • Modo IPSec: modo túnel
    • Versión IKE: Versión 1
    • Método de autenticación IKE: clave precompartida
    • Algoritmo de cifrado IKE: AES
    • Algoritmo de hash IKE: HMAC SHA1
    • Algoritmo de cifrado ESP: AES
    • Algoritmo de hash ESP: HMAC SHA1
  • Debe especificar la misma configuración de IPSec en el dispositivo NetScaler y en el dispositivo F5 BIG-IP en los dos extremos del túnel de CloudBridge Connector.
  • NetScaler proporciona un parámetro común (en los perfiles IPSec) para especificar un algoritmo de hash IKE y un algoritmo de hash ESP. También proporciona otro parámetro común para especificar un algoritmo de cifrado IKE y un algoritmo de cifrado ESP. Por lo tanto, en el dispositivo F5 BIG-IP, debe especificar el mismo algoritmo de hash y el mismo algoritmo de cifrado en IKE (configuración de fase 1) y ESP (configuración de fase 2).
  • Debe configurar el firewall en el extremo de NetScaler y en el extremo F5 BIG-IP para permitir lo siguiente.
    • Cualquier paquete UDP para el puerto 500
    • Cualquier paquete UDP para el puerto 4500
    • Cualquier paquete ESP (protocolo IP número 50)

Configuración de F5 BIG-IP para el túnel CloudBridge Connector

Para configurar un túnel de conectores de CloudBridge entre un dispositivo NetScaler y un dispositivo F5 BIG-IP, realice las siguientes tareas en el dispositivo F5 BIG-IP:

  • Cree un servidor virtual de reenvío para IPSec. Un servidor virtual de reenvío intercepta el tráfico IP del túnel IPSec.
  • Crea un par de IKE. Un par de IKE especifica los extremos del túnel IPSec local y remoto. También especifica los algoritmos y las credenciales que se utilizarán en la fase 1 del IKE de IPSec.
  • Cree una directiva IPSec personalizada. Una directiva especifica el protocolo IPSec (ESP) y el modo (túnel) que se utilizarán para formar el túnel IPSec. También especifica los algoritmos y los parámetros de seguridad que se utilizarán en la fase 2 de IKE IPSec.
  • Cree un selector de tráfico IPSec bidireccional. Un selector de tráfico especifica las subredes F5 del lado BIG-IP y del lado de NetScaler cuyo tráfico IP debe atravesar el túnel IPSec.

Los procedimientos para configurar la VPN IPSec (túnel de CloudBridge Connector) en un dispositivo F5 BIG-IP pueden cambiar con el tiempo, según el ciclo de lanzamiento de F5. Citrix recomienda seguir la documentación oficial de F5 BIG-IP para configurar los túneles VPN IPSec, en:

https://f5.com

Para crear un servidor virtual de reenvío para IPsec mediante la GUI BIG-IP de F5

  1. En la ficha Principal, haga clic en Tráfico local > Servidores virtualesy, a continuación, en Crear.
  2. En la pantalla Nueva lista de servidores virtuales, defina los siguientes parámetros:
    • Nombre. Escriba un nombre exclusivo para el servidor virtual.
    • Tipo. Selecciona Reenvío (IP).
    • Dirección de destino. Escriba una dirección de red comodín en formato CIDR, por ejemplo, 0.0.0.0/0 para que IPv4 acepte cualquier tipo de tráfico.
    • Puerto de servicio. Seleccione Todos los puertos de la lista.
    • Lista de protocolos. Seleccione Todos los protocolos de la lista.
    • Tráfico de VLAN y túneles. Conserve la selección predeterminada, Todas las VLAN y túneles.
  3. Haz clic en Finalizado.

Para crear una directiva IPSec personalizada mediante la GUI BIG-IP de F5

  1. En la fichaPrincipal, haga clic enRed>IPSec > Directivas de IPSecy, a continuación, haga clic en Crear.
  2. En la pantalla Nueva directiva, defina los siguientes parámetros:
    • Nombre. Escriba un nombre exclusivo para la directiva.
    • Protocolo IPsec. Conserve la selección por defecto, ESP.
    • Modo. Selecciona Túnel. La pantalla se actualiza para mostrar ajustes relacionados adicionales.
    • Dirección local del túnel. Escriba la dirección IP del extremo del túnel IPSec local (configurada en el dispositivo F5 BIG-IP).
    • Dirección remota del túnel. Escriba la dirección IP del extremo del túnel IPSec remoto (configurada en el dispositivo NetScaler).
  3. Para los parámetros de IKE Phase 2, conserve los valores predeterminados o seleccione las opciones adecuadas para la implementación.
  4. Haz clic en Finalizado.

Para crear un selector de tráfico IPSec bidireccional mediante la GUI BIG-IP de F5

  1. En la fichaPrincipal, haga clic enRed>IPSec>Selectores de tráficoy, a continuación, haga clic en Crear.
  2. En la pantalla Nuevo selector de tráfico, defina los siguientes parámetros:
    • Nombre. Escriba un nombre exclusivo para el selector de tráfico.
    • Orden. Conserve el valor predeterminado (Primero). Esta configuración especifica el orden en que aparece el selector de tráfico en la pantalla de lista de selectores de tráfico.
  3. En la lista de configuración, seleccione Avanzadoy defina los siguientes parámetros:
    • Dirección IP de origen. Haga clic en Host o Redy, en el campo Dirección, escriba la dirección de la subred lateral BIG-IP de F5 cuyo tráfico se va a proteger a través del túnel IPSec.
    • Puerto de origen. Seleccione * Todos los puertos.
    • Dirección IP de destino. Haga clic en Hosty, en el campo Dirección, escriba la dirección de la subred lateral de NetScaler cuyo tráfico se va a proteger a través del túnel IPSec.
    • Puerto de destino. Seleccione * Todos los puertos.
    • Protocolo. Seleccione * Todos los protocolos.
    • Dirección. Selecciona Ambos.
    • Acción. Selecciona Proteger. Aparece la configuración del nombre de la directiva IPSec .
    • Nombre de la directiva IPSec. Seleccione el nombre de la directiva IPSec personalizada que creó.
  4. Haz clic en Finalizado.

Configuración del dispositivo NetScaler para el túnel CloudBridge Connector

Para configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler y un dispositivo F5 BIG-IP, realice las siguientes tareas en el dispositivo NetScaler. Puede utilizar la línea de comandos de NetScaler o la interfaz gráfica de usuario (GUI) de NetScaler:

  • Cree un perfil IPSec. Una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión de IKE, el algoritmo de cifrado, el algoritmo de hash y el método de autenticación que utilizará el protocolo IPSec en el túnel de CloudBridge Connector.
  • Cree un túnel IP que utilice el protocolo IPSec y asocie el perfil IPSec con él. Un túnel IP especifica la dirección IP local (la dirección IP del punto final del túnel CloudBridge Connector (de tipo SNIP) configurada en el dispositivo NetScaler), la dirección IP remota (la dirección IP del punto final del túnel CloudBridge Connector configurada en el dispositivo F5 BIG-IP), el protocolo (IPSec) utilizado para configurar el túnel CloudBridge Connector y una entidad de perfil IPSec. La entidad de túnel IP creada también se denomina entidad de túnel CloudBridge Connector.
  • Cree una regla PBR y asóciela al túnel IP. Una entidad PBR especifica un conjunto de reglas y una entidad de túnel IP (túnel de CloudBridge Connector). El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino son las condiciones para la entidad PBR. Configure el rango de direcciones IP de origen para especificar la subred del lado de NetScaler cuyo tráfico se va a proteger a través del túnel y configure el rango de direcciones IP de destino para especificar la subred del lado F5 BIG-IP cuyo tráfico se protegerá a través del túnel.

Para crear un perfil IPSEC mediante la línea de comandos de NetScaler

En el símbolo del sistema, escriba:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLE
  • show ipsec profile** <name>

Para crear un túnel IPSEC y vincular el perfil IPSEC a él mediante la línea de comandos de NetScaler

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la línea de comandos de NetScaler

En el símbolo del sistema, escriba:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Para crear un perfil IPSEC mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > CloudBridge Connector > PerfilIPSec.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Agregar perfil IPSec, defina los siguientes parámetros:
    • Name
    • Algoritmo de cifrado
    • Algoritmo hash
    • Versión del protocolo IKE
  4. Configure el método de autenticación IPsec que utilizarán los dos pares de túnel de CloudBridge Connector para autenticarse mutuamente: seleccione elmétodo de autenticación de clave previamente compartida y establezca el parámetro Exists de claveprecompartida.
  5. Haga clic en Crear y, a continuación, en Cerrar.

Para crear un túnel IP y vincular el perfil IPSEC a él mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > CloudBridge Connector > Túneles IP.
  2. En la ficha Túneles IPv4, haga clic en Agregar.
  3. En la página Agregar túnel IP, defina los siguientes parámetros:
    • Name
    • IP remota
    • Máscara remota
    • Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred).
    • IP local (Todas las direcciones IP configuradas del tipo de IP seleccionado se encuentran en la lista desplegable de IP local. Seleccione la IP deseada de la lista.)
    • Protocolo
    • Perfil IPSec
  4. Haga clic en Crear y, a continuación, en Cerrar.

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Red > PBR.
  2. En la ficha PBR, haga clic en Agregar.
  3. En la página Crear PBR, defina los siguientes parámetros:
    • Name
    • Acción
    • Tipo de salto siguiente (seleccione el túnel IP)
    • Nombre del túnel IP
    • IP de origen baja
    • IP de origen alta
    • IP de destino baja
    • IP de destino alta
  4. Haga clic en Crear y, a continuación, en Cerrar.

La nueva configuración del túnel de CloudBridge Connector correspondiente en el dispositivo NetScaler aparece en la GUI. El estado actual del túnel de conectores de CloudBridge se muestra en el panel Connector de CloudBridge configurado. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Los siguientes comandos crean la configuración del dispositivo NetScaler NS_Appliance-1 en el “Ejemplo de configuración de un CloudBridge Connector”. :

    >  add ipsec profile NS_F5-BIG-IP_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE


    Done

    >  add iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_F5-BIG-IP_IPSec_Profile


    Done

    > add pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_F5-BIG-IP_Tunnel


    Done

    > apply pbrs


    Done
<!--NeedCopy-->

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo NetScaler mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas de los túneles de CloudBridge Connector en un dispositivo NetScaler, consulte Monitorización de los túneles de CloudBridge Connector.

Interoperabilidad de CloudBridge Connector — F5 BIG-IP