ADC

Interoperabilidad de CloudBridge Connector — StrongSwan

StrongSwan es una implementación de IPSec de código abierto para plataformas Linux. Puede configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler y un dispositivo StrongSwan para conectar dos centros de datos o ampliar la red a un proveedor de nube. El dispositivo NetScaler y el dispositivo StrongSwan forman los puntos finales del túnel CloudBridge Connector y se denominan pares.

Ejemplo de configuración de túnel de CloudBridge Connector

Como ilustración del flujo de tráfico en un túnel de CloudBridge Connector, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre los siguientes dispositivos:

  • Dispositivo NetScaler NS_Appliance-1 en un centro de datos designado como Datacenter-1
  • Dispositivo StrongSwan StrongSwan-Appliance-1 en un centro de datos designado como Datacenter-2

NS_Appliance-1 y StrongSwan-Appliance-1 permiten la comunicación entre redes privadas en Datacenter-1 y Datacenter-2 a través del túnel CloudBridge Connector. En el ejemplo, NS_Appliance-1 y StrongSwan-Appliance-1 permiten la comunicación entre el cliente CL1 de Datacenter-1 y el servidor S1 de Datacenter-2 a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

En NS_Appliance-1, la configuración del túnel del conector de CloudBridge incluye la entidad de perfil IPSec NS_StrongSwan_IPSEC_Profile, la entidad del túnel del conector de CloudBridge NS_StrongSwan_Tunnel y la entidad de redirección basada en directivas (PBR) NS_StrongSwan_PBR.

Imagen traducida

En la siguiente tabla se enumeran las configuraciones utilizadas en este ejemplo.

Ajustes principales de la configuración del túnel de CloudBridge Connector

Entidad Detalles
Dirección IP del punto final del túnel de CloudBridge Connector (NS_Appliance-1) en Datacenter-1 198.51 .100.100
Dirección IP del punto final del túnel CloudBridge Connector (StrongSwan-Appliance-1) en Datacenter-2 203.0.113.200
Centro de datos: subred de 1 cuyo tráfico debe protegerse a través del túnel CloudBridge Connector 10.102.147.0/24
Centro de datos: subred del 2 cuyo tráfico debe protegerse a través del túnel CloudBridge Connector 10.20.20.0/24

Configuración del dispositivo NetScaler NS_Appliance-1 en Datacenter-1

|SNIP1 (solo con fines de referencia)|198.51 .100.100| |–|–|–| |Perfil IPSec|NS_StrongSWAN_IPSEC_PROFILE|IKE versión: v1, algoritmo de cifrado: AES, algoritmo de hash: HMAC_SHA1 psk = examplepresharedkey (Nota: este es un ejemplo de clave previa a compartir, a modo ilustrativo). NetScaler no recomienda utilizar esta cadena en la configuración de CloudBridge Connector) | |CloudBridge Connector Tunnel|NS_StrongSwan_Tunnel|IP remota = 203.0.113.200, IP local = 198.51.100.100, protocolo de túnel = IPSEC, perfil IPSec = NS_StrongSWAN_IPSEC_profile| |Ruta basada en directivas|NS_StrongSwan_PBR|Intervalo de IP de origen = Subred en el centro de datos-1=10.102.147.0-10.102.147.255, rango de IP de destino =Subred en Datacenter-2=10.20.20.0-10.20.20.255, túnel IP = NS_StrongSwan_Tunnel|

Puntos a tener en cuenta para una configuración de túnel de CloudBridge Connector

Antes de empezar a configurar el túnel de conectores de CloudBridge, asegúrese de que:

  • Tiene conocimientos básicos sobre las configuraciones de Linux.
  • Tiene conocimientos básicos sobre el conjunto de protocolos IPSec.
  • El dispositivo StrongSwan está activo y en funcionamiento, está conectado a Internet y también a las subredes privadas cuyo tráfico debe protegerse a través del túnel de CloudBridge Connector.
  • El dispositivo NetScaler está activo y en funcionamiento, está conectado a Internet y también a las subredes privadas cuyo tráfico debe protegerse a través del túnel CloudBridge Connector.
  • Se admiten las siguientes configuraciones de IPSec para un túnel de CloudBridge Connector entre un dispositivo NetScaler y un dispositivo StrongSwan.
    • Modo IPSec: modo túnel
    • Versión IKE: Versión 1
    • Método de autenticación IKE: clave precompartida
    • Algoritmo de cifrado IKE: AES
    • Algoritmo de hash IKE: HMAC SHA1
    • Algoritmo de cifrado ESP: AES
    • Algoritmo de hash ESP: HMAC SHA1
  • Debe especificar la misma configuración de IPSec en el dispositivo NetScaler y en el dispositivo StrongSwan en los dos extremos del túnel de CloudBridge Connector.
  • NetScaler proporciona un parámetro común (en los perfiles IPSec) para especificar un algoritmo de hash IKE y un algoritmo de hash ESP. También proporciona otro parámetro común para especificar un algoritmo de cifrado IKE y un algoritmo de cifrado ESP. Por lo tanto, en el dispositivo StrongSwan, debe especificar el mismo algoritmo de hash y el mismo algoritmo de cifrado en los parámetros IKE y ESP del archivo IPSec.conf.
  • Debe configurar el firewall en los extremos de NetScaler y StrongSwan para permitir lo siguiente.
    • Cualquier paquete UDP para el puerto 500
    • Cualquier paquete UDP para el puerto 4500
    • Cualquier paquete ESP (protocolo IP número 50)

Configure StrongSwan para el túnel CloudBridge Connector

Para configurar un túnel de conectores de CloudBridge entre un dispositivo NetScaler y un dispositivo StrongSwan, realice las siguientes tareas en el dispositivo StrongSwan:

  • Especifique la información de conexión IPSec en el archivo ipsec.conf. El archivo ipsec.confdefine toda la información de control y configuración de las conexiones IPSec en el dispositivo StrongSwan.
  • Especifique la clave previamente compartida en el archivo ipsec.secrets. El archivo ipsec.secretsdefine los secretos para la autenticación IKE/IPSec para las conexiones IPsec en el dispositivo StrongSwan.

Los procedimientos para configurar IPSec VPN (túnel de conector de CloudBridge) en un dispositivo StrongSwan pueden cambiar con el tiempo, dependiendo del ciclo de lanzamiento de StrongSwan. Citrix recomienda que siga la documentación oficial de StrongSwan para configurar túneles VPN IPsec.

El siguiente extracto de ejemplo del archivo ipsec.conf especifica la información IPSec para configurar el túnel VPN IPSec, que se describe en el tema Ejemplo de una configuración de conector CloudBridge. Para obtener más información, consulte Configuración de CloudBridge Connector pdf.

El siguiente extracto de ejemplo del archivo ipsec.secrets especifica la clave previamente compartida de autenticación IKE para configurar el túnel VPN IPSec, que se describe en el tema Ejemplo de una configuración de conector de CloudBridge.

/etc/ipsec.secrets

PSK ‘examplepresharedkey’ #pre -clave compartida para la autenticación IKE IPSec

Configuración del dispositivo NetScaler para el túnel CloudBridge Connector

Para configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler y un dispositivo StrongSwan, realice las siguientes tareas en el dispositivo NetScaler. Puede utilizar la línea de comandos de NetScaler o la interfaz gráfica de usuario (GUI) de NetScaler:

  • Cree un perfil IPSec. Una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión de IKE, el algoritmo de cifrado, el algoritmo de hash y el método de autenticación que utilizará el protocolo IPSec en el túnel de CloudBridge Connector.
  • Cree un túnel IP que utilice el protocolo IPSec y asocie el perfil IPSec aél. Un túnel IP especifica la dirección IP local (la dirección IP del extremo del túnel CloudBridge Connector (de tipo SNIP) configurada en el dispositivo NetScaler), la dirección IP remota (la dirección IP del extremo del túnel CloudBridge Connector configurada en el dispositivo StrongSwan), el protocolo (IPSec) utilizado para configurar el túnel CloudBridge Connector y una entidad de perfil IPSec. La entidad de túnel IP creada también se denomina entidad de túnel CloudBridge Connector.
  • Cree una regla PBR y asóciela al túnel IP. Una entidad PBR especifica un conjunto de reglas y una entidad de túnel IP (túnel de CloudBridge Connector). El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino son las condiciones para la entidad PBR. Configure el rango de direcciones IP de origen para especificar la subred del lado de NetScaler cuyo tráfico se va a proteger a través del túnel y configure el rango de direcciones IP de destino para especificar la subred del lado de StrongSwan cuyo tráfico se va a proteger a través del túnel.

Para crear un perfil IPSEC mediante la línea de comandos de NetScaler

En la línea de comandos, escriba:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1
  • show ipsec profile <name>

Para crear un túnel IPSEC y vincular el perfil IPSEC a él mediante la línea de comandos de NetScaler

En la línea de comandos, escriba:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la línea de comandos de NetScaler

En la línea de comandos, escriba:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Para crear un perfil IPSEC mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Conector de CloudBridge > PerfilIPSec.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Agregar perfil IPSec, defina los siguientes parámetros:
    • Name
    • Algoritmo de cifrado
    • Algoritmo hash
    • Versión del protocolo IKE
  4. Configure el método de autenticación IPSec que utilizarán los dos pares de túnel de CloudBridge Connector para autenticarse mutuamente: Seleccione el método de autenticación de clave previamente compartida y establezca el parámetro La clave precompartida existe .
  5. Haga clic en Creary, a continuación, en Cerrar.

Para crear un túnel IP y vincular el perfil IPSEC a él mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > CloudBridge Connector > Túneles IP.
  2. En la ficha Túneles IPv4, haga clic en Agregar.
  3. En la página Agregar túnel IP, defina los siguientes parámetros:
    • Name
    • IP remota
    • Máscara remota
    • Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred).
    • IP local (Todas las direcciones IP configuradas del tipo de IP seleccionado se encuentran en la lista desplegable de IP local. Seleccione la IP deseada de la lista.)
    • Protocolo
    • Perfil IPSec
  4. Haga clic en Creary, a continuación, en Cerrar.

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Red > PBR.
  2. En la ficha PBR, haga clic en Agregar.
  3. En la página Crear PBR, establezca los siguientes parámetros:
    • Name
    • Acción
    • Tipo de salto siguiente (seleccione el túnel IP)
    • Nombre del túnel IP
    • IP de origen baja
    • IP de origen alta
    • IP de destino baja
    • IP de destino alta
  4. Haga clic en Creary, a continuación, en Cerrar.

La nueva configuración del túnel de CloudBridge Connector correspondiente en el dispositivo NetScaler aparece en la GUI. El estado actual del túnel de conectores de CloudBridge se muestra en el panel Connector de CloudBridge configurado. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído. Los siguientes comandos crean la configuración del dispositivo NetScaler NS_Appliance-1 en el “Ejemplo de configuración de un CloudBridge Connector”:

    > add ipsec profile NS_StrongSwan_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1


    Done

    > add iptunnel NS_StrongSwan_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_StrongSwan_IPSec_Profile


    Done

    > add pbr NS_StrongSwan_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_StrongSwan_Tunnel


    Done

    > apply pbrs


    Done
<!--NeedCopy-->

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo NetScaler mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar estadísticas de túnel de CloudBridge Connector en un dispositivo NetScaler, consulte Supervisión de túneles de CloudBridge Connector.

Interoperabilidad de CloudBridge Connector — StrongSwan