Puerta de enlace de capa de aplicación para protocolo IPSec
Si la comunicación entre dos dispositivos de red (por ejemplo, el cliente y el servidor) utiliza el protocolo IPSec, el tráfico IKE (que se realiza a través de UDP) utiliza campos de puerto, pero el tráfico de Encapsulating Security Payload (ESP) no. Si un dispositivo NAT de la ruta asigna la misma dirección IP de NAT (pero diferentes puertos) a dos o más clientes en el mismo destino, el dispositivo NAT no puede distinguir ni enrutar correctamente el tráfico ESP de retorno que no contiene información de puerto. Por lo tanto, el tráfico ESP de IPSec falla en el dispositivo NAT.
Los puntos finales IPSec compatibles con NAT Traversal (NAT-T) detectan la presencia de un dispositivo NAT intermedio durante la fase 1 del IKE y cambian al puerto UDP 4500 para todo el tráfico IKE y ESP posterior (encapsulan el ESP en UDP). Sin la compatibilidad con NAT-T en los extremos de IPSec homólogos, el tráfico ESP protegido con IPSec se transmite sin ningún tipo de encapsulación de UDP. Por lo tanto, el tráfico ESP de IPSec falla en el dispositivo NAT.
El dispositivo NetScaler admite la funcionalidad de puerta de enlace de capa de aplicaciones (ALG) IPSec para configuraciones de NAT a gran escala. El ALG de IPSec procesa el tráfico ESP de IPSec y mantiene la información de la sesión para que el tráfico no falle cuando los extremos de IPSec no admiten NAT-T (encapsulación UDP del tráfico ESP).
Cómo funciona IPSec ALG
Un ALG de IPSec monitorea el tráfico de IKE entre un cliente y el servidor y solo permite el intercambio de un mensaje de IKE de fase 2 entre el cliente y el servidor en un momento dado.
Una vez que se reciben los paquetes ESP bidireccionales para un flujo determinado, el ALG de IPSec crea una sesión NAT para este flujo en particular, de modo que el tráfico ESP posterior pueda fluir sin problemas. El tráfico ESP se identifica mediante índices de parámetros de seguridad (SPI), que son únicos para un flujo y para cada dirección. Un ALG de IPSec utiliza los SPI de ESP en lugar de los puertos de origen y destino para realizar una NAT a gran escala.
Si una puerta no recibe tráfico, se agota el tiempo de espera. Cuando se agote el tiempo de espera de ambas puertas, se permite otro intercambio de fase 2 de IKE.
Tiempos de espera ALG de IPSec
El ALG de IPSec en un dispositivo NetScaler tiene tres parámetros de tiempo de espera:
- Se agotó el tiempo deespera de ESP Gate. Tiempo máximo durante el que el dispositivo NetScaler bloquea una puerta ALG IPSec para un cliente determinado en una dirección IP NAT específica de un servidor determinado si no se intercambia tráfico ESP bidireccional entre el cliente y el servidor.
- Tiempo deespera de la sesión IKE. Tiempo máximo que el dispositivo NetScaler conserva la información de la sesión de IKE antes de eliminarla si no hay tráfico de IKE para esa sesión.
- Se agotó el tiempo deespera de la sesión ESP. Tiempo máximo durante el que el dispositivo NetScaler conserva la información de la sesión ESP antes de eliminarla si no hay tráfico de ESP para esa sesión.
Puntos a tener en cuenta antes de configurar IPSec ALG
Antes de empezar a configurar IPSec ALG, tenga en cuenta los siguientes puntos:
- Debe comprender los diferentes componentes del protocolo IPSec.
- IPSec ALG no es compatible con las configuraciones DS-Lite y NAT64 a gran escala.
- El ALG de IPSec no es compatible con el flujo LSN en horquilla.
- IPSec ALG no funciona con las configuraciones de RNAT.
- Los clústeres de NetScaler no admiten IPSec ALG.
Pasos de configuración
La configuración de IPSec ALG para NAT44 a gran escala en un dispositivo NetScaler consiste en las siguientes tareas:
-
Cree un perfil de aplicación LSN y enlacelo a la configuración de LSN. Defina los siguientes parámetros al configurar un perfil de aplicación:
- Protocol=UDP
- Agrupación de IP = EMPAREJADO
- Port=500
Enlace el perfil de aplicación al grupo LSN de una configuración LSN. Para obtener instrucciones sobre cómo crear una configuración LSN, consulte Pasos de configuración para LSN.
-
Cree un perfil ALG IPSec. Un perfil de IPSec incluye varios tiempos de espera de IPSec, como el tiempo de espera de la sesión de IKE, el tiempo de espera de la sesión de ESP y el tiempo de espera de la puerta de ESP. Enlaza un perfil ALG de IPSec a un grupo LSN. Un perfil ALG de IPSec tiene la siguiente configuración predeterminada:
- Tiempo de espera de la sesión IKE = 60 minutos
- Tiempo de espera de la sesión ESP = 60 minutos
- Tiempo de espera de ESP gate = 30 segundos
- Enlazar el perfil ALG de IPSec a la configuración de LSN. El ALG de IPSec se habilita para una configuración de LSN al vincular un perfil ALG de IPSec a la configuración de LSN. Enlace el perfil ALG de IPSec a la configuración de LSN estableciendo el parámetro del perfil ALG de IPSec con el nombre del perfil creado en el grupo LSN. Un perfil ALG de IPSec se puede vincular a varios grupos LSN, pero un grupo LSN solo puede tener un perfil ALG de IPSec.
Para crear un perfil de aplicación LSN mediante la interfaz de línea de comandos
En la línea de comandos, escriba:
add lsn appsprofile <appsprofilename> UDP -ippooling PAIRED
show lsn appsprofile
<!--NeedCopy-->
Para vincular el puerto de destino al perfil de la aplicación LSN mediante la interfaz de línea de comandos
En la línea de comandos, escriba:
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
<!--NeedCopy-->
Para vincular un perfil de aplicación LSN a un grupo LSN mediante la interfaz de línea de comandos
En la línea de comandos, escriba:
bind lsn group <groupname> -appsprofilename <string>
show lsn group
<!--NeedCopy-->
Para crear un perfil ALG de IPSec mediante la CLI
En la línea de comandos, escriba:
add ipsecalg profile <name> [-ikeSessionTimeout <positive_integer>] [-espSessionTimeout <positive_integer>] [-espGateTimeout <positive_integer>] [-connfailover ( ENABLED | DISABLED)
show ipsecalg profile <name>
<!--NeedCopy-->
Para vincular un perfil ALG de IPSec a una configuración de LSN mediante la CLI
En la línea de comandos, escriba:
bind lsn group <groupname> -poolname <string> - ipsecAlgProfile <string>
show lsn group <name>
<!--NeedCopy-->
Para crear un perfil de aplicación LSN y enlazarlo a una configuración de LSN mediante la interfaz gráfica de usuario
Vaya a Sistema > NAT a gran escala > Perfiles, haga clic en la ficha Aplicación, añada un perfil de aplicación de LSN y vincúlelo a un grupo de LSN.
Para crear un perfil ALG de IPSec mediante la interfaz gráfica de usuario**
Vaya a Sistema > NAT a gran escala > Perfiles, haga clic en la ficha IPSEC ALG y, a continuación, agregue un perfil ALG de IPSec.
Para vincular un perfil ALG de IPSec a una configuración de LSN mediante la interfaz gráfica de usuario**
- Vaya a Sistema > NAT a gran escala > Grupo LSN y abra el grupoLSN.
- En Configuración avanzada, haga clic en + Perfil ALG de IPSEC para vincular el perfil ALG de IPSec creado al grupo LSN.
Configuración de ejemplo
En el siguiente ejemplo de configuración de NAT44 a gran escala, IPSec ALG está habilitado para los suscriptores de la red 192.0.2.0/24. Se crea el perfil ALG IPSECALGPROFILE-1 con varias configuraciones de tiempo de espera de IPSec y está enlazado al grupo LSN del grupo LSN -1.
Ejemplo de configuración:
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.9
Done
add lsn appsprofile LSN-APPSPROFILE-1 UDP -ippooling PAIRED
Done
bind lsn appsprofile LSN-APPSPROFILE-1 500
Done
add ipsecalg profile IPSECALGPROFILE-1 -ikeSessionTimeout 45 –espSessionTimeout 40 –espGateTimeout 20 -connfailover ENABLED
Done
bind lsn group LSN-GROUP-1 -appsprofilename LSN-APPSPROFILE-1
Done
bind lsn group LSN-GROUP-1 -poolname LSN-POOL-1
Done
bind lsn group LSN-GROUP-1 - ipsecAlgProfile IPSECALGPROFILE-1
Done
<!--NeedCopy-->