IP-Tunnel
Ein IP-Tunnel ist ein Kommunikationskanal, der mithilfe von Kapselungstechnologien zwischen zwei Netzwerken erstellt werden kann, die keinen Routingpfad haben. Jedes IP-Paket, das zwischen den beiden Netzwerken geteilt wird, wird in einem anderen Paket gekapselt und dann über den Tunnel gesendet.
Die Citrix ADC Appliance implementiert IP-Tunneling auf folgende Weise:
-
Citrix ADC als Encapsulator (Load Balancing with DSR-Modus): Betrachten Sie eine Organisation, die über mehrere Rechenzentren in verschiedenen Ländern verfügt, wobei sich der Citrix ADC möglicherweise an einem Ort befindet und die Back-End-Server in einem anderen Land befinden. Im Wesentlichen befinden sich der Citrix ADC und die Back-End-Server in verschiedenen Netzwerken und sind über einen Router verbunden.
Wenn Sie Direct Server Return (DSR) auf diesem Citrix ADC konfigurieren, wird das aus dem Quellsubnetz gesendete Paket vom Citrix ADC gekapselt und über einen Router und einen Tunnel an den entsprechenden Backend-Server gesendet. Der Back-End-Server entkapselt das Paket und antwortet direkt auf den Client, ohne dass das Paket über den Citrix ADC übergeben wird.
-
Citrix ADC als Decapsulator: Betrachten Sie eine Organisation, die mehrere Rechenzentren mit jeweils Citrix ADCs und Back-End-Servern besitzt. Wenn ein Paket von Rechenzentrum A an Rechenzentrum B gesendet wird, wird es normalerweise über einen Vermittler gesendet, z. B. einen Router oder einen anderen Citrix ADC. Das Citrix ADC verarbeitet das Paket und leitet das Paket dann an den Back-End-Server weiter. Wenn jedoch ein gekapseltes Paket gesendet wird, muss der Citrix ADC in der Lage sein, das Paket zu entkapseln, bevor es an die Back-End-Server gesendet wird. Damit Citrix ADC als Decapsulator fungieren kann, wird ein Tunnel zwischen dem Router und dem Citrix ADC hinzugefügt. Wenn das gekapselte Paket mit zusätzlichen Header-Informationen den Citrix ADC erreicht, wird das Datenpaket entkapselt, d. h. die zusätzlichen Header-Informationen werden entfernt, und das Paket wird dann an die entsprechenden Back-End-Server weitergeleitet.
Der Citrix ADC kann auch als Decapsulator für die Load Balancing-Funktion verwendet werden, insbesondere in Szenarien, in denen die Anzahl der Verbindungen auf einem vserver einen Schwellenwert überschreitet und alle neuen Verbindungen dann zu einem Backup-vserver umgeleitet werden.
Konfigurieren von IP-Tunneln
Die Konfiguration von IP-Tunneln auf einer Citrix ADC Appliance besteht aus der Erstellung von IP-Tunnel-Entitäten. Eine IP-Tunnelentität gibt die lokalen und Remote-Tunnelendpunkt-IP-Adressen und das Protokoll an, das für den IP-Tunnel verwendet werden soll.
Hinweis: Beim Konfigurieren eines IP-Tunnels in einem Cluster-Setup muss die lokale IP-Adresse eine Striped SNIP-Adresse sein.
CLI-Verfahren
So erstellen Sie einen IP-Tunnel mit der CLI:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- add iptunnel <name> <remote> <remoteSubnetMask> <local> -type -protocol (ipoverip | GRE)
- iptunnel anzeigen
So entfernen Sie einen IP-Tunnel mit der CLI:
Um einen IP-Tunnel zu entfernen, geben Sie den Befehl rm iptunnel und den Namen des Tunnels ein.
So erstellen Sie einen IPv6-Tunnel mit der CLI:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- add ip6tunnel <name> <remoteIp> <local>
- ip6tunnel anzeigen
So entfernen Sie einen IPv6-Tunnel mit der CLI:
Um einen IPv6-Tunnel zu entfernen, geben Sie den Befehl rm ip6tunnel und den Namen des Tunnels ein.
GUI-Verfahren
So erstellen Sie einen IP-Tunnel mit der GUI:
Navigieren Sie zu System > Netzwerk > IP-Tunnel, fügen Sie einen neuen IP-Tunnel hinzu.
So erstellen Sie einen IPv6-Tunnel mit der GUI:
Navigieren Sie zu System > Netzwerk > IP-Tunnel > IPv6-Tunnel, und fügen Sie einen neuen IPv6-Tunnel hinzu.
IP-Tunnel weltweit anpassen
Durch die globale Angabe der Quell-IP-Adresse können Sie eine gemeinsame Quell-IP-Adresse für alle Tunnel zuweisen. Da die Fragmentierung CPU-intensiv ist, können Sie global festlegen, dass die Citrix ADC Appliance alle Pakete lösche, die fragmentiert werden müssen. Wenn Sie alle Pakete fragmentieren möchten, solange ein CPU-Schwellenwert nicht erreicht ist, können Sie den CPU-Schwellenwert global angeben.
CLI-Verfahren
So passen Sie IP-Tunnel global mit der CLI an:
Geben Sie an der Eingabeaufforderung Folgendes ein:
-
set ipTunnelParam -srcIP <sourceIPAddress> -srcIPRoundRobin ( YES | NO )-dropFrag [YES | NO] -dropFragCpuThreshold <Positive integer>
-
show ipTunnelParam
Beispiel:
> set iptunnelparam –srcIP 12.12.12.22 -dropFrag Yes –dropFragCpuThreshold 50
Done
> set iptunnelparam -srcIPRoundRobin YES -dropFrag Yes –dropFragCpuThreshold 50
Done
So passen Sie IPv6-Tunnel mit der CLI global an:
Geben Sie an der Eingabeaufforderung Folgendes ein:
-
set ip6tunnelparam -srcIP <IPv6Address> -srcIPRoundRobin ( YES | NO )-dropFrag [YES | NO] -dropFragCpuThreshold <Positive integer>
-
show ip6tunnelparam
GUI-Verfahren
So passen Sie IP-Tunnel global mit der GUI an:
Navigieren Sie zu System > Netzwerk, klicken Sie in der Gruppe Einstellungen auf IPv4 Tunnel Global Settings .
- Navigieren Sie zu System > Netzwerk, klicken Sie in der Gruppe Einstellungen auf IPv6-Tunnel Global Settings.
- Legen Sie im Dialogfeld IP-Tunnel Globale Parameter konfigurieren die Parameter fest.
So passen Sie IPv6-Tunnel mit der GUI global an:
- Navigieren Sie zu System > Netzwerk, klicken Sie in der Gruppe Einstellungen auf IPv6-Tunnel Global Settings.
- Legen Sie im Dialogfeld IP-Tunnel Globale Parameter konfigurieren die Parameter fest.
GRE-Nutzlastoptionen in einem GRE-IP-Tunnel
Bei einem konfigurierten GRE-IP-Tunnel kapselt die Citrix ADC Appliance das gesamte Layer-2-Paket, einschließlich des Ethernet-Headers und des VLAN-Headers (dot1q VLAN-Tag). IP-GRE-Tunnel zwischen Citrix ADC Appliances und einigen Geräten von Drittanbietern sind möglicherweise nicht stabil, da diese Geräte von Drittanbietern nicht so programmiert sind, dass einige oder die Layer-2-Paket-Header verarbeitet werden. Um einen stabilen IP-GRE-Tunnel zwischen einer Citrix ADC Appliance und einem Drittanbieter-Gerät zu konfigurieren, können Sie den GRE-Payload-Parameter des GRE-IP-Tunnel-Befehlssatzes verwenden. Die GRE-Nutzlasteinstellung kann auch auf einen GRE mit IPsec-Tunnel angewendet werden.
Sie können den GRE-Nutzlastparameter so einstellen, dass eine der folgenden Aktionen durchgeführt wird, bevor das Paket durch den GRE-Tunnel gesendet wird:
-
Ethernet mit DOT1Q. Tragen Sie den Ethernet-Header sowie den VLAN-Header. Dies ist die Standardeinstellung. Bei einem Tunnel, der an eine Netbridge gebunden ist, enthält der innere Ethernet-Header und der VLAN-Header Informationen aus der ARP- und Bridge-Tabelle der Citrix ADC Appliance. Bei einem Tunnel, der als nächster Hop zu einer PBR-Regel festgelegt wird, wird die INNER Ethernet-Ziel-MAC-Adresse auf Null gesetzt, und der VLAN-Header gibt das Standard-VLAN an. Das vom Citrix ADC C-Tunnelendpunkt gesendete gekapselte (GRE) -Paket hat das folgende Format:
-
Ethernet. Tragen Sie den Ethernet-Header, aber lassen Sie den VLAN-Header fallen. Da die Pakete keine VLAN-Informationen im Tunnel enthalten, müssen Sie für einen Tunnel mit dieser Einstellung, der an eine Netbridge gebunden ist, ein geeignetes VLAN an die Netbridge binden, damit der Citrix ADC diese Pakete beim Empfang von Paketen im Tunnel an das angegebene VLAN weiterleiten kann. Wenn der Tunnel als nächster Hop in einer PBR-Regel festgelegt ist, leitet der Citrix ADC die im Tunnel empfangenen Pakete weiter. Das vom Citrix ADC C-Tunnelendpunkt gesendete gekapselte (GRE) -Paket hat das folgende Format:
-
IP. Löschen Sie den Ethernet-Header sowie den VLAN-Header. Da Tunnel mit dieser Einstellung keine Layer-2-Header tragen, können diese Tunnel nicht an eine Netbridge gebunden werden, sondern als nächster Hop in einer PBR-Regel festgelegt werden. Das Peer-Tunnelendpunktgerät beim Empfang des Pakets verbraucht es oder leitet es weiter. Das vom Citrix ADC C-Tunnelendpunkt gesendete gekapselte (GRE) -Paket hat das folgende Format:
So löschen Sie Layer-2-Header von Paketen in einem GRE-IP-Tunnel mit der CLI:
- add ipTunnel <name> <remote> <remoteSubnetMask> <local> [-protocol <GRE> [-vlan <positive_integer>]] [-grepayload <grepayload>] [-ipsecProfileName <string>]
- iptunnel anzeigen <tunnelname>
Beispiel:
> add iptunnel IPTUNNEL-1 203.0.113.133 255.255.255.0 198.51.100.15 –protocol GRE –grepayload Ethernet -ipsecProfileName IPTUNNEL-IPSEC-1
Done
IPv6-Datenverkehr über GRE IPV4-Tunnel
Die Citrix ADC Appliance unterstützt die Übertragung von IPv6-Datenverkehr über einen IPV4-GRE-Tunnel. Diese Funktion kann verwendet werden, um die Kommunikation zwischen isolierten IPv6-Netzwerken zu ermöglichen, ohne die IPv4-Infrastruktur zwischen ihnen zu aktualisieren.
Zum Konfigurieren dieses Features verknüpfen Sie eine PBR6-Regel dem konfigurierten IPv4-GRE-Tunnel, über den der Citrix ADC IPv6-Datenverkehr senden und empfangen soll. Die IPv6-Quell- und Ziel-IPv6-Adressparameter der PBR6-Regel geben die IPv6-Netzwerke an, deren Datenverkehr den IPv4-GRE-Tunnel durchqueren soll.
Hinweis: IPsec-Protokoll wird auf GRE IPv4-Tunneln, die für die Übertragung von IPv6-Paketen konfiguriert sind, nicht unterstützt.
So erstellen Sie einen GRE IPv4-Tunnel mit der CLI:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol GRE
- show ipTunnel <name>
So verknüpfen Sie eine PBR6-Regel mit einem GRE-IPv4-Tunnel mit der CLI:
- add ns pbr6 <pbrName> ALLOW -srcIPv6 <network-range> -dstIPv6 <network-range> -ipTunnel <tunnelName>
- show pbr
Beispielkonfiguration
In der folgenden Beispielkonfiguration wird der GRE IP-Tunnel Tunnel-V6onV4 mit der IP-Adresse 10.10.6.30 und der lokalen Tunnelendpunkt IP-Adresse 10.10.5.30 erstellt. Der Tunnel wird dann an pbr6 pBR6-v6onV4 gebunden. Die SRCIpv6 gibt das IPv6-Netzwerk an, das mit dem lokalen Endpunkt verbunden ist, und DestIPv6 gibt das IPv6-Netzwerk an, das mit dem entfernten Endpunkt verbunden ist. Der Datenverkehr von diesen IPv6-Netzwerken darf durch den GRE IPv4-Tunnel durchqueren.
> add ipTunnel TUNNEL-V6onV4 10.10.6.30 255.255.255.255 10.10.5.30 -protocol GRE
-ipsecProfileName None
Done
> add ns pbr6 PBR6-V6onV4 ALLOW -srcIPv6 = 2001:0db8:1::1-2001:0db8:1::255 -destIPv6 =
1-2001:0db8:4::255 -ipTunnel TUNNEL-V6onV4
Senden von Antwortdatenverkehr über einen IP-IP-Tunnel
Sie können eine Citrix ADC Appliance so konfigurieren, dass sie den Antwortdatenverkehr über einen IP-IP-Tunnel sendet, anstatt sie an die Quelle weiterzuleiten. Wenn die Appliance eine Anforderung von einem anderen Citrix ADC oder einem Drittanbieter-Gerät über einen IP-IP-Tunnel empfängt, leitet sie den Antwortdatenverkehr, anstatt ihn durch den Tunnel zu senden. Sie können richtlinienbasierte Routen (PBRs) verwenden oder MAC-basierte Weiterleitung (MBF) aktivieren, um die Antwort durch den Tunnel zu senden.
Geben Sie in einer PBR-Regel die Subnetze an beiden Endpunkten an, deren Datenverkehr den Tunnel durchqueren soll. Legen Sie auch den nächsten Hop als Tunnelnamen fest. Wenn der Antwortdatenverkehr mit der PBR-Regel übereinstimmt, sendet die Citrix ADC Appliance den Datenverkehr durch den Tunnel.
Alternativ können Sie MBF aktivieren, um diese Anforderung zu erfüllen, aber die Funktionalität ist auf den Datenverkehr beschränkt, für den die Citrix ADC Appliance Sitzungsinformationen speichert (z. B. Datenverkehr im Zusammenhang mit Lastenausgleich oder RNAT Konfigurationen). Die Appliance verwendet die Sitzungsinformationen, um den Antwortdatenverkehr durch den Tunnel zu senden.
CLI-Verfahren
So erstellen Sie eine PBR-Regel und ordnen den IP-IP-Tunnel mit der CLI zu:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
- apply ns pbrs
- show ns pbr <pbr_name>
So aktivieren Sie die MAC-basierte Weiterleitung mit der Befehlszeilenschnittstelle:
Geben Sie an der Eingabeaufforderung Folgendes ein:
- enable ns mode MBF
- show ns mode
GUI-Verfahren
So erstellen Sie eine PBR-Regel und ordnen den IP-IP-Tunnel mit der GUI zu:
- Navigieren Sie zu System > Netzwerk > PBRs. Erstellen Sie auf der Registerkarte PBRs eine PBR-Regel .
- Legen Sie beim Erstellen des PBR den Next Hop-Typ auf IP-Tunnel und IP-Tunnelname auf den konfigurierten IP-IP-Tunnelnamen fest.
So aktivieren Sie die MAC-basierte Weiterleitung mit der GUI:
- Navigieren Sie zu System > Einstellungen, klicken Sie unter Modi und Features auf Modi konfigurieren .
- Wählen Sie auf der Seite Modi konfigurieren die Option MAC-basierte Weiterleitung aus.
Beispielkonfiguration
Betrachten Sie ein Beispiel für einen IPIP-Tunnel, NS1-NS2-IPIP, der zwischen zwei Citrix ADC Appliances NS1 und NS2 eingerichtet ist.
Standardmäßig leitet NS2 für jede Anforderung, die über den Tunnel empfängt, den Antwortdatenverkehr an die Quelle, anstatt ihn (an NS1) durch den Tunnel zu senden.
Sie können richtlinienbasierte Routen (PBRs) konfigurieren oder MAC-basierte Weiterleitung (MBF) auf NS2 aktivieren, um die Antwort durch den Tunnel zu senden.
In der folgenden Beispielkonfiguration auf NS2 ist NS1-NS2-IPIP ein IPIP-Tunnel und NS1-NS2-IPIP-PBR eine PBR-Regel. Bei Anfragen (mit der inneren Quell-IP-Adresse im Bereich 10.102.147.0-10.102.147.255 und der inneren Ziel-IP-Adresse im Bereich 10.102.147.0-10.102.147.255), die von NS2 über den Tunnel empfangen werden, sendet NS2 die entsprechende Antwort durch den Tunnel (an NS1), anstatt sie an die Quelle. Die Funktionalität ist auf den Datenverkehr beschränkt, der der PBR-Regel entspricht.
> add iptunnel NS1-NS2-IPIP 192.0.2.99 255.255.255.255 203.0.113.99–protocol IPIP
Done
> add pbr NS1-NS2-IPIP-PBR -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.1.0-10.20.1.255 –ipTunnel NS1-NS2-IPIP
Done
> apply pbrs
Done
Alternativ kann MBF auf NS2 aktiviert werden. Die Funktionalität ist auf den Datenverkehr beschränkt, für den NS2 Sitzungsinformationen speichert (z. B. Datenverkehr im Zusammenhang mit Lastenausgleich oder RNAT Konfigurationen).
> enable ns mode MBF
Done