Citrix Cloud Connector
La función Citrix Cloud Connector del dispositivo Citrix SD-WAN WANOP conecta los centros de datos empresariales con nubes externas y entornos de alojamiento, lo que convierte a la nube en una extensión segura de la red empresarial. Las aplicaciones alojadas en la nube aparecen como si se estuvieran ejecutando en una red empresarial contigua. Con Citrix Cloud Connector, puede aumentar sus centros de datos con la capacidad y eficiencia disponibles en los proveedores de la nube.
Citrix Cloud Connector le permite mover sus aplicaciones a la nube para reducir costes y aumentar la fiabilidad.
La función de optimización WAN del dispositivo Citrix SD-WAN WANOP acelera el tráfico y proporciona un rendimiento similar a LAN para aplicaciones que se ejecutan en centros de datos y nubes empresariales.
Además de usar Citrix Cloud Connector entre un centro de datos y una nube, puede usarlo para conectar dos centros de datos para crear un vínculo seguro y acelerado de alta capacidad.
Para implementar la solución Citrix Cloud Connector, conecte un centro de datos a otro centro de datos o a una nube externa configurando un túnel denominado túnel Citrix Cloud Connector.
Para conectar un centro de datos a otro centro de datos, configure un túnel de Citrix Cloud Connector entre dos dispositivos, uno en cada centro de datos.
Para conectar un centro de datos a una nube externa (por ejemplo, la nube de Amazon AWS), configure un túnel Citrix Cloud Connector entre un dispositivo Citrix SD-WAN WANOP de Citrix en el centro de datos y un dispositivo virtual (VPX) que reside en la nube. El punto final remoto puede ser Citrix Cloud Connector o Citrix VPX con licencia platino.
La siguiente ilustración muestra un túnel de Citrix Cloud Connector configurado entre un centro de datos y una nube externa.
Los dispositivos entre los que se configura un túnel de Citrix Cloud Connector se denominan puntos finales o pares del túnel de Citrix Cloud Connector.
Un túnel de Citrix Cloud Connector utiliza los siguientes protocolos:
-
Protocolo de encapsulación de enrutamiento genérico (GRE)
-
Conjunto de protocolos IPSec estándar abierto, en modo de transporte
El protocolo GRE proporciona un mecanismo para encapsular paquetes, de una amplia variedad de protocolos de red, para ser reenviados a través de otro protocolo. GRE se utiliza para:
-
Conecte redes que ejecutan protocolos no IP y no enrutables.
-
Puente a través de una red de área amplia (WAN).
-
Cree un túnel de transporte para cualquier tipo de tráfico que deba enviarse sin cambios a través de una red diferente.
El protocolo GRE encapsula los paquetes agregando un encabezado GRE y un encabezado IP GRE a los paquetes.
El conjunto de protocolos de seguridad de protocolo Internet (IPSec) protege la comunicación entre pares en el túnel Citrix Cloud Connector.
En un túnel de Citrix Cloud Connector, IPSec garantiza:
-
Integridad de los datos
-
Autenticación de origen de datos
-
Confidencialidad de los datos (cifrado)
-
Protección contra ataques de repetición
IPSec utiliza el modo de transporte en el que se cifra el paquete encapsulado GRE. El cifrado se realiza mediante el protocolo Encapsulating Security Payload (ESP). El protocolo ESP garantiza la integridad del paquete mediante el uso de una función hash HMAC y garantiza la confidencialidad mediante el uso de un algoritmo de cifrado. Después de que el paquete se cifra y se calcula el HMAC, se genera un encabezado ESP. El encabezado ESP se inserta después del encabezado IP GRE y se inserta un remolque ESP al final de la carga útil cifrada.
Los pares del túnel Citrix Cloud Connector utilizan el protocolo de la versión de intercambio de claves de Internet (IKE) (parte del conjunto de protocolos IPSec) para negociar la comunicación segura, como se indica a continuación:
-
Los dos pares se autentican mutuamente mediante uno de los siguientes métodos de autenticación:
-
Autenticación de clave previamente compartida. Una cadena de texto denominada clave previamente compartida se configura manualmente en cada par. Las claves previamente compartidas de los pares se comparan entre sí para la autenticación. Por lo tanto, para que la autenticación sea correcta, debe configurar la misma clave previamente compartida en cada uno de los pares.
-
Autenticación de certificados digitales. El par iniciador (remitente) firma los datos de intercambio de mensajes mediante su clave privada y el otro par receptor utiliza la clave pública del remitente para verificar la firma. Normalmente, la clave pública se intercambia en mensajes que contienen un certificado X.509v3. Este certificado proporciona un nivel de seguridad de que la identidad de un par tal y como se representa en el certificado está asociada a una clave pública determinada.
-
-
A continuación, los pares negocian para llegar a un acuerdo sobre:
-
Un algoritmo de cifrado.
-
Claves criptográficas para cifrar datos en un par y descifrar los datos en el otro.
-
Este acuerdo sobre el protocolo de seguridad, el algoritmo de cifrado y las claves criptográficas se denomina Asociación de Seguridad (SA). Las SA son unidireccionales (simplex). Por ejemplo, cuando dos pares, CB1 y CB2, se comunican a través de un túnel Connector, CB1 tiene dos asociaciones de seguridad. Una SA se utiliza para procesar paquetes de salida y la otra SA se utiliza para procesar paquetes de entrada.
Las SA caducan después de un período de tiempo especificado, que se denomina duración. Los dos pares utilizan el protocolo de intercambio de claves de Internet (IKE) (parte del conjunto de protocolos IPSec) para negociar nuevas claves criptográficas y establecer nuevas SA. El propósito de la duración limitada es evitar que los atacantes rompan una clave.
Además, las instancias de Citrix SD-WAN WANOP en los puntos finales del túnel de Citrix Cloud Connector proporcionan optimización WAN sobre el túnel.
Requisitos previos para configurar el túnel de Citrix Cloud Connector
Antes de configurar un túnel de Citrix Cloud Connector entre AWS Cloud y un dispositivo Citrix SD-WAN WANOP configurado para el modo de un brazo en el centro de datos, compruebe que se han completado las siguientes tareas:
-
Asegúrese de que el dispositivo Citrix SD-WAN WANOP en el centro de datos está configurado correctamente. Para obtener más información sobre la implementación de un dispositivo Citrix SD-WAN en modo de un brazo que utiliza el protocolo WCCP/Virtual Inline, consulte Sitios con un enrutador WAN.
-
Instale, configure e inicie un dispositivo virtual Citrix (instancia VPX) en la nube de AWS. Para obtener más información, consulte Instalación de NetScaler VPX en AWS.
-
Instale, configure e inicie una instancia de Citrix SD-WAN WANOP virtual appliance (VPX) en la nube de AWS. Para obtener más información, consulte Instalación de SD-WAN VPX S AMI en Amazon AWS.
-
En AWS, vincule la instancia de Citrix SD-WAN WANOP VPX en AWS a un servidor virtual de equilibrio de carga en la instancia de Citrix VPX en AWS. Este enlace es necesario para enviar tráfico a través de las instancias de Citrix SD-WAN WANOP VPX, a fin de lograr la optimización de WAN a través del túnel de Citrix Cloud Connector.
Para crear un servidor virtual de equilibrio de carga mediante la interfaz de línea de comandos:
En el símbolo del sistema, escriba:
-
enable ns mode l2
-
add lb vserver <cbvpxonaws_vs_name> CUALQUIER * -L2conn ON -m MAC</span>
Para agregar la instancia de Citrix SD-WAN WANOP VPX en AWS como un servicio y vincularla al servidor virtual de equilibrio de carga mediante la interfaz de línea de comandos:
En el símbolo del sistema, escriba:
-
add service < cbvpxonaws_service_name> <cbvpxonaws_IP> ANY * -cltTimeout 14400 -svrTimeout 14400</span>
-
bind lb vserver <cbvpxonaws_vs_name> <cbvpxonaws_service_name></span>