Configurar el túnel del conector de nube entre dos centros de datos
Puede configurar un túnel de Citrix Cloud Connector entre dos centros de datos diferentes para ampliar la red sin volver a configurarla y aprovechar las capacidades de los dos centros de datos. Un túnel de Citrix Cloud Connector entre los dos centros de datos separados geográficamente le permite implementar redundancia y proteger su configuración de errores. El túnel de Citrix Cloud Connector ayuda a lograr una utilización óptima de la infraestructura y los recursos en dos centros de datos. Las aplicaciones disponibles en los dos centros de datos aparecen como locales para el usuario.
Para conectar un centro de datos a otro centro de datos, debe configurar un túnel de Citrix Cloud Connector entre un dispositivo SD-WAN WANOP 4000/5000 que reside en un centro de datos y otro dispositivo SD-WAN WANOP 4000/5000 que reside en el otro centro de datos.
Para comprender cómo se configura un túnel de Citrix Cloud Connector entre dos centros de datos diferentes, considere un ejemplo en el que se configura un túnel de Cloud Connector entre el dispositivo Citrix CB_4000/5000-1 en el centro de datos DC1 y el dispositivo Citrix CB_4000/5000-2 en el centro de datos DC2.
Tanto CB_4000/5000-1 como CB_4000/5000-2 funcionan en modo de un brazo (WCCP/PBR). Permiten la comunicación entre redes privadas en centros de datos DC1 y DC2. Por ejemplo, CB_4000/5000-1 y CB_4000/5000-2 permiten la comunicación entre el cliente CL1 en el centro de datos DC1 y el servidor S1 del centro de datos DC2 a través del túnel de Citrix Cloud Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.
Para una comunicación adecuada entre CL1 y S1, el modo L3 está habilitado en NS_VPX_CB_4000/5000-1 y NS_VPX_CB_ 4000/5000-2, y las rutas se configuran de la siguiente manera:
-
El router R1 tiene una ruta para llegar a S1 a través de NS_VPX_CB_ 4000/5000-1.
-
NS_VPX_CB_4000/5000_1 tiene una ruta para llegar a NS_VPX-CB_4000/5000-2 a través de R1.
-
S1 debe tener una ruta que llegue a CL1 a través de NS_VPX-CB_4000/5000-2.
-
NS_VPX-CB_ 4000/5000-2 tiene una ruta para llegar a NS_VPX_CB_4000/5000-1 a R2.
La siguiente tabla muestra la configuración de CB_4000/5000-1 en el centro de datos DC1.
Entidad | Nombre | Detalles |
---|---|---|
Dirección IP del cliente CL1 | 10.102.147.10 | |
Parámetros en el dispositivo NAT-Dev-1 | ||
Dirección IP NAT en el lado público | 203.0.113.30* | |
Dirección IP NAT en el lado privado | 10.10.7.70 | |
Configuración en CB_4000/5000-1 | ||
Dirección IP del servicio de gestión de CB_4000/5000-1 | 10.10.1.10 | |
Configuración en NS_VPX_CB_4000/5000-1 que se ejecuta en CB_4000/5000-1 | ||
La dirección NSIP | 10.10.1.20 | |
Dirección SNIP | 10.10.5.30 | |
Túnel Cloud Connector | Cloud_Connector_DC1-DC2 | Dirección IP de punto final local del túnel de Citrix Cloud Connector = 10.10.5.30, Dirección IP de punto final remoto del túnel de Citrix Cloud Connector = 203.0.210.30* |
Detalles del túnel GRE | ||
Nombre = Cloud_Connector_DC1-DC2 | ||
Detalles del perfil IPSec | ||
Nombre = Cloud_Connector_DC1-DC2, Algoritmo de cifrado = AES, Algoritmo hash = HMAC SHA1 | ||
Ruta basada en políticas | CBC_DC1_DC2_PBR | Rango IP de origen = Subred en datacenter1 = 10.102.147.0-10.102.147.255, Intervalo IP de destino = Subred en datacenter2 = 10.20.20.0-10.20.20.255, Tipo de salto siguiente = túnel IP, Nombre del túnel IP = CBC_DC1_DC2 |
*Deben ser direcciones IP públicas.
En la siguiente tabla se enumeran los parámetros de CB-4000/5000-2 en el centro de datos DC2.
Entidad | Nombre | Detalles |
---|---|---|
Dirección IP del servidor S1 | 10.20.20.10 | |
Parámetros en el dispositivo NAT-Dev-2 | ||
Dirección IP NAT en el lado público | 203.0.210.30* | |
Dirección IP NAT en el lado privado | 10.10.8.80 | |
Configuración en CB_4000/5000-2 | ||
Dirección IP del servicio de administración de CB_SDX-1 | 10.10.2.10 | |
Configuración en NS_VPX_CB_4000/5000-2 que se ejecuta en CB_4000/5000-2 | ||
La dirección NSIP | 10.10.2.20 | |
Dirección SNIP | 10.10.6.30 | |
Túnel de Citrix Cloud Connector | Cloud_Connector_DC1-DC2 | Dirección IP de punto final local del túnel de Citrix Cloud Connector = 10.10.6.30, Dirección IP del extremo remoto del túnel de Citrix Cloud Connector = 203.0.113.30* |
Detalles del túnel GRE | ||
Nombre = Cloud_Connector_DC1-DC2 | ||
Detalles del perfil IPSec | ||
Nombre = Cloud_Connector_DC1-DC2, Algoritmo de cifrado = AES, Algoritmo hash = HMAC SHA1 | ||
Ruta basada en políticas | CBC_DC1_DC2_PBR | Rango IP de origen = Subred en datacenter2 = 10.20.20.0-10.20.20.255, Intervalo IP de destino = Subred en datacenter1 = 10.102.147.0-10.102.147.255, Tipo de salto siguiente = túnel IP, Nombre del túnel IP = CBC_DC1_DC2 |
*Deben ser direcciones IP públicas.
A continuación se muestra el flujo de tráfico en el túnel de Citrix Cloud Connector:
-
El cliente CL1 envía una solicitud al servidor S1.
-
La solicitud llega al dispositivo virtual Citrix NS_VPX_CB_4000/5000-1 que se ejecuta en el dispositivo Citrix SD-WAN WANOP CB_4000/5000-1.
-
NS_VPX_CB_4000/5000-1 reenvía el paquete a una de las instancias WANOP de SD-WAN que se ejecutan en el dispositivo Citrix SD-WAN WANOP CB_4000/5000-1 para la optimización de WAN. Después de procesar el paquete, la instancia WANOP de SD-WAN devuelve el paquete a NS_VPX_CB_4000/5000-1.
-
El paquete de solicitud coincide con la condición especificada en la entidad PBR CBC_DC1_DC2_PBR (configurada en NS_VPX_CB_4000/5000-1), porque la dirección IP de origen y la dirección IP de destino del paquete de solicitud pertenecen al intervalo IP de origen y al intervalo IP de destino, respectivamente, establecidos en CBC_DC1_DC2_PBR.
-
Dado que el túnel CBC_DC1_DC2_PBR está enlazado a CBC_DC1_DC2_PBR, el dispositivo prepara el paquete para que se envíe a través del túnel Cloud_Connector_DC1-DC2.
-
NS_VPX_CB_4000/5000-1 utiliza el protocolo GRE para encapsular cada uno de los paquetes de solicitud mediante la adición de un encabezado GRE y un encabezado IP GRE al paquete. En el encabezado IP GRE, la dirección IP de destino es la dirección del punto final del túnel del conector de nube (Cloud_Connector_DC1-DC2) en el centro de datos DC2.
-
Para el túnel de Cloud Connector Cloud_Connector_DC1-DC2, NS_VPX_CB_4000/5000-1 comprueba los parámetros de asociación de seguridad (SA) StoredIPSec para procesar paquetes salientes, según lo acordado entre NS_VPX_CB_4000/5000-1 y NS_VPX_CB_4000/5000-2. El protocolo IPSec Encapsulating Security Payload (ESP) en NS_VPX_CB_4000/5000-1 utiliza estos parámetros de SA para los paquetes salientes, para cifrar la carga útil del paquete encapsulado GRE.
-
El protocolo ESP garantiza la integridad y confidencialidad del paquete mediante la función hash HMAC y el algoritmo de cifrado especificado para el túnel de Citrix Cloud Connector Cloud_Connector_DC1-DC2. El protocolo ESP, después de cifrar la carga útil GRE y calcular el HMAC, genera un encabezado ESP y un remolque ESP y los inserta antes y al final de la carga útil GRE cifrada, respectivamente.
-
NS_VPX_CB_4000/5000-1 envía el paquete resultante NS_VPX_CB_4000/5000-2.
-
NS_VPX_CB_4000/5000-2 comprueba los parámetros de asociación de seguridad (SA) IPSec almacenados para procesar paquetes entrantes, según lo acordado entre CB_DC-1 y NS_VPX-AWS para el túnel de Cloud Connector Cloud_Connector_DC1-DC2. El protocolo ESP IPSec en NS_VPX_CB_4000/5000-2 utiliza estos parámetros de SA para los paquetes entrantes y el encabezado ESP del paquete de solicitud para descifrar el paquete.
-
NS_VPX_CB_4000/5000-2 luego descapsulará el paquete mediante la eliminación del encabezado GRE.
-
NS_VPX_CB_4000/5000-2 reenvía el paquete resultante a CB_VPX_CB_4000/5000-2, que aplica el procesamiento relacionado con la optimización WAN al paquete. CB_VPX_CB_4000/5000-2 devuelve el paquete resultante a NS_VPX_CB_4000/5000-2.
-
El paquete resultante es el mismo que recibió CB_VPX_CB_4000/5000-2 en el paso 2. Este paquete tiene la dirección IP de destino establecida en la dirección IP del servidor S1. NS_VPX_CB_4000/5000-2 reenvía este paquete al servidor S1.
-
S1 procesa el paquete de solicitud y envía un paquete de respuesta. La dirección IP de destino del paquete de respuesta es la dirección IP del cliente CL1 y la dirección IP de origen es la dirección IP del servidor S1.