Passerelle de la couche application pour le protocole IPsec
Si la communication entre deux périphériques réseau (par exemple, client et serveur) utilise le protocole IPsec, le trafic IKE (via UDP) utilise des champs de port, mais pas le trafic ESP (Encapsulating Security Payload). Si un périphérique NAT sur le chemin attribue la même adresse IP NAT (mais des ports différents) à deux clients ou plus situés sur la même destination, le périphérique NAT est incapable de distinguer et d’acheminer correctement le trafic ESP de retour qui ne contient pas d’informations de port. Par conséquent, le trafic IPSec ESP échoue au niveau du périphérique NAT.
Les points de terminaison IPsec compatibles NAT-T détectent la présence d’un périphérique NAT intermédiaire pendant la phase 1 de l’IKE et basculent vers le port UDP 4500 pour tout le trafic IKE et ESP suivant (encapsulation de l’ESP dans UDP). Sans support NAT-T sur les points de terminaison IPsec homologues, le trafic ESP protégé par IPsec est transmis sans aucune encapsulation UDP. Par conséquent, le trafic IPSec ESP échoue au niveau du périphérique NAT.
L’appliance NetScaler prend en charge la fonctionnalité IPSec Application Layer Gateway (ALG) pour les configurations NAT à grande échelle. L’ALG IPsec traite le trafic IPsec ESP et conserve les informations de session afin que le trafic n’échoue pas lorsque les points de terminaison IPsec ne prennent pas en charge le NAT-T (encapsulation UDP du trafic ESP).
Comment fonctionne IPSec ALG
Un ALG IPsec surveille le trafic IKE entre un client et le serveur et n’autorise qu’un seul échange de messages IKE de phase 2 entre le client et le serveur à la fois.
Une fois que les paquets ESP bidirectionnels sont reçus pour un flux particulier, l’ALG IPsec crée une session NAT pour ce flux particulier afin que le trafic ESP suivant puisse circuler sans problème. Le trafic ESP est identifié par des indices de paramètres de sécurité (SPI), qui sont uniques pour un flux et pour chaque direction. Un ALG IPsec utilise des SPI ESP à la place des ports source et de destination pour effectuer un NAT à grande échelle.
Si une porte ne reçoit aucun trafic, elle expire. Après expiration du délai imparti pour les deux portes, un autre échange IKE de phase 2 est autorisé.
Délais d’expiration d’IPsec ALG
L’ALG IPsec sur une appliance NetScaler possède trois paramètres de délai d’expiration :
- Délai d’expiration de la porte ESP. Durée maximale pendant laquelle l’appliance NetScaler bloque une porte ALG IPsec pour un client particulier sur une adresse IP NAT spécifique pour un serveur donné si aucun trafic ESP bidirectionnel n’est échangé entre le client et le serveur.
- Délai d’expiration de la session IKE. Durée maximale pendant laquelle l’appliance NetScaler conserve les informations de session IKE avant de les supprimer s’il n’y a pas de trafic IKE pour cette session.
- Délai d’expiration de la session ESP. Durée maximale pendant laquelle l’appliance NetScaler conserve les informations de session ESP avant de les supprimer s’il n’y a pas de trafic ESP pour cette session.
Points à prendre en compte avant de configurer IPsec ALG
Avant de commencer à configurer IPsec ALG, tenez compte des points suivants :
- Vous devez comprendre les différents composants du protocole IPsec.
- L’ALG IPsec n’est pas pris en charge pour les configurations DS-Lite et NAT64 à grande échelle.
- L’ALG IPsec n’est pas pris en charge pour le flux LSN en épingle.
- L’ALG IPsec ne fonctionne pas avec les configurations RNAT.
- L’ALG IPsec n’est pas pris en charge dans les clusters NetScaler.
Étapes de configuration
La configuration d’IPsec ALG pour un NAT44 à grande échelle sur une appliance NetScaler comprend les tâches suivantes :
-
Créez un profil d’application LSN et liez-le à la configuration LSN. Définissez les paramètres suivants lors de la configuration d’un profil d’application :
- Protocol=UDP
- Regroupement d’adresses IP = PAIRED
- Port = 500
Liez le profil d’application au groupe LSN d’une configuration LSN. Pour obtenir des instructions sur la création d’une configuration LSN, voir Étapes de configuration pour LSN.
-
Créez un profil IPSec ALG. Un profil IPsec inclut différents délais d’expiration IPsec, tels que le délai d’expiration de session IKE, le délai d’expiration de session ESP et le délai d’expiration de porte ESP. Vous liez un profil ALG IPsec à un groupe LSN. Un profil ALG IPsec possède les paramètres par défaut suivants :
- Délai d’expiration de la session IKE = 60 minutes
- Délai d’expiration de la session ESP = 60 minutes
- Délai d’expiration de la porte ESP = 30 secondes
- Liez le profil ALG IPsec à la configuration LSN. L’ALG IPsec est activé pour une configuration LSN lorsque vous liez un profil ALG IPsec à la configuration LSN. Liez le profil ALG IPsec à la configuration LSN en définissant le paramètre de profil ALG IPsec sur le nom du profil créé dans le groupe LSN. Un profil ALG IPsec peut être lié à plusieurs groupes LSN, mais un groupe LSN ne peut avoir qu’un seul profil ALG IPsec.
Pour créer un profil d’application LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add lsn appsprofile <appsprofilename> UDP -ippooling PAIRED
show lsn appsprofile
<!--NeedCopy-->
Pour lier le port de destination au profil d’application LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
<!--NeedCopy-->
Pour lier un profil d’application LSN à un groupe LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
bind lsn group <groupname> -appsprofilename <string>
show lsn group
<!--NeedCopy-->
Pour créer un profil ALG IPsec à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add ipsecalg profile <name> [-ikeSessionTimeout <positive_integer>] [-espSessionTimeout <positive_integer>] [-espGateTimeout <positive_integer>] [-connfailover ( ENABLED | DISABLED)
show ipsecalg profile <name>
<!--NeedCopy-->
Pour lier un profil ALG IPsec à une configuration LSN à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
bind lsn group <groupname> -poolname <string> - ipsecAlgProfile <string>
show lsn group <name>
<!--NeedCopy-->
Pour créer un profil d’application LSN et le lier à une configuration LSN à l’aide de l’interface graphique
Accédez à Système > NAT à grande échelle > Profils, cliquez sur l’onglet Application, ajoutez un profil d’application LSN et liez-le à un groupe LSN.
Pour créer un profil ALG IPsec à l’aide de l’interface graphique**
Accédez à Système > NAT à grande échelle > Profils, cliquez sur l’onglet ALG IPSEC, puis ajoutez un profil ALG IPSec.
Pour lier un profil ALG IPsec à une configuration LSN à l’aide de l’interface graphique**
- Accédez à Système > NAT à grande échelle > Groupe LSN, ouvrez le groupe LSN.
- Dans Paramètres avancés, cliquez sur + Profil ALG IPSEC pour lier le profil ALG IPsec créé au groupe LSN.
Exemple de configuration
Dans l’exemple de configuration NAT44 à grande échelle suivant, l’ALG IPsec est activé pour les abonnés du réseau 192.0.2.0/24. Le profil ALG IPsec IPSECALGPROFILE-1 avec différents paramètres de délai d’expiration IPsec est créé et est lié au groupe LSN Groupe LSN -1.
Exemple de configuration :
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.9
Done
add lsn appsprofile LSN-APPSPROFILE-1 UDP -ippooling PAIRED
Done
bind lsn appsprofile LSN-APPSPROFILE-1 500
Done
add ipsecalg profile IPSECALGPROFILE-1 -ikeSessionTimeout 45 –espSessionTimeout 40 –espGateTimeout 20 -connfailover ENABLED
Done
bind lsn group LSN-GROUP-1 -appsprofilename LSN-APPSPROFILE-1
Done
bind lsn group LSN-GROUP-1 -poolname LSN-POOL-1
Done
bind lsn group LSN-GROUP-1 - ipsecAlgProfile IPSECALGPROFILE-1
Done
<!--NeedCopy-->