ADC

Interoperabilidad de CloudBridge Connector — Cisco ASA

Puede configurar un túnel CloudBridge Connector entre un dispositivo NetScaler y un dispositivo Cisco ASA para conectar dos centros de datos o ampliar la red a un proveedor de nube. El dispositivo NetScaler y el dispositivo Cisco ASA forman los puntos finales del túnel CloudBridge Connector y se denominan pares.

Ejemplo de configuración de túnel de CloudBridge Connector

Como ilustración del flujo de tráfico en un túnel de CloudBridge Connector, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre los siguientes dispositivos:

  • Dispositivo NetScaler NS_Appliance-1 en un centro de datos designado como Datacenter-1
  • Dispositivo Cisco ASA Cisco-ASA-Appliance-1 en un centro de datos designado como Datacenter-2

NS_Appliance-1 y Cisco-ASA-Appliance-1 permiten la comunicación entre redes privadas en Datacenter-1 y Datacenter-2 a través del túnel CloudBridge Connector. En el ejemplo, NS_Appliance-1 y Cisco-ASA-Appliance-1 permiten la comunicación entre el cliente CL1 de Datacenter-1 y el servidor S1 de Datacenter-2 a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

En NS_Appliance-1, la configuración del túnel de CloudBridge Connector incluye la entidad de perfil IPSec NS_CISCO-ASA_IPSEC_Profile, la entidad de túnel de CloudBridge Connector NS_CISCO-ASA_Tunnel y la entidad de redirección basada en directivas (PBR) NS_CISCO-ASA_PBR.

Imagen traducida

Puntos a tener en cuenta para una configuración de túnel de CloudBridge Connector

Antes de empezar a configurar el túnel de conectores de CloudBridge, asegúrese de que:

  • Se admiten las siguientes configuraciones de IPSec para un túnel de CloudBridge Connector entre un dispositivo NetScaler y un dispositivo Cisco ASA.
Propiedades IPSec Parámetros
Modo IPSec Modo túnel
Versión IKE Versión 1
Método de autenticación IKE Clave previamente compartida
Algoritmo de cifrado IKE 6 AÑOS, 3
Algoritmo de hash IKE HMAC SHA1, HMAC MD5
Algoritmo de cifrado ESP 6 AÑOS, 3
Algoritmo de hash ESP HMAC SHA1, HMAC MD5
  • Debe especificar la misma configuración de IPSec en el dispositivo NetScaler y en el dispositivo Cisco ASA en los dos extremos del túnel de CloudBridge Connector.
  • NetScaler proporciona un parámetro común (en los perfiles IPSec) para especificar un algoritmo de hash IKE y un algoritmo de hash ESP. También proporciona otro parámetro común para especificar un algoritmo de cifrado IKE y un algoritmo de cifrado ESP. Por lo tanto, en el dispositivo Cisco ASA, debe especificar el mismo algoritmo de hash y el mismo algoritmo de cifrado en IKE (configuración de fase 1) y ESP (configuración de fase 2).
  • Debe configurar el firewall en el extremo de NetScaler y en el extremo de Cisco ASA para permitir lo siguiente.
    • Cualquier paquete UDP para el puerto 500
    • Cualquier paquete UDP para el puerto 4500
    • Cualquier paquete ESP (protocolo IP número 50)

Configuración de Cisco ASA para el túnel CloudBridge Connector

Para configurar un túnel CloudBridge Connector en un dispositivo Cisco ASA, utilice la interfaz de línea de comandos Cisco ASA, que es la interfaz de usuario principal para configurar, monitorear y mantener los dispositivos Cisco ASA.

Antes de comenzar la configuración del túnel CloudBridge Connector en un dispositivo Cisco ASA, asegúrese de que:

  • Tiene una cuenta de usuario con credenciales de administrador en el dispositivo Cisco ASA.
  • Está familiarizado con la interfaz de línea de comandos Cisco ASA.
  • El dispositivo Cisco ASA está activo y en funcionamiento, está conectado a Internet y también está conectado a las subredes privadas cuyo tráfico se debe proteger a través del túnel CloudBridge Connector.

Nota

Los procedimientos para configurar el túnel CloudBridge Connector en un dispositivo Cisco ASA pueden cambiar con el tiempo, según el ciclo de lanzamiento de Cisco. Citrix recomienda seguir la documentación oficial del producto Cisco ASA para configurar los túneles VPN IPSec, en:

Para configurar un túnel de conectores CloudBridge entre un dispositivo NetScaler y un dispositivo Cisco ASA, realice las siguientes tareas en la línea de comandos del dispositivo Cisco ASA:

  • Cree una directiva de IKE. Una directiva de IKE define una combinación de parámetros de seguridad que se utilizarán durante la negociación del IKE (fase 1). Por ejemplo, en esta tarea se establecen parámetros como el algoritmo de hash, el algoritmo de cifrado y el método de autenticación que se utilizarán en la negociación de IKE.
  • Habilite IKE en la interfaz exterior. Habilite IKE en la interfaz exterior a través de la cual el tráfico del túnel fluirá hacia el par del túnel.
  • Cree un grupo de túneles. Un grupo de túneles especifica el tipo de túnel y la clave previamente compartida. El tipo de túnel debe configurarse en ipsec-l2l, que significa IPSec LAN to LAN. Una clave previamente compartida es una cadena de texto que los pares de un túnel de CloudBridge Connector utilizan para autenticarse mutuamente. Las claves previamente compartidas se comparan entre sí para la autenticación IKE. Por lo tanto, para que la autenticación se realice correctamente, debe configurar la misma clave previamente compartida en el dispositivo Cisco ASA y en el dispositivo NetScaler.
  • Defina un conjunto de transformaciones. Un conjunto de transformaciones define una combinación de parámetros de seguridad (fase 2) que se utilizarán en el intercambio de datos a través del túnel CloudBridge Connector una vez que la negociación del IKE se haya realizado correctamente.
  • Crea una lista de acceso. Las listas de acceso criptográfico se utilizan para definir las subredes cuyo tráfico IP se protegerá a través del túnel de CloudBridge. Los parámetros de origen y destino de la lista de acceso especifican las subredes del lado del dispositivo Cisco y del lado de NetScaler que se deben proteger a través del túnel CloudBridge Connector. La lista de acceso debe estar configurada como permitida. Cualquier paquete de solicitud que se origine en un dispositivo de la subred del lado del dispositivo Cisco y esté destinado a un dispositivo de la subred del lado de NetScaler y que coincida con los parámetros de origen y destino de la lista de acceso, se envía a través del túnel CloudBridge Connector.
  • Crea un mapa criptográfico. Los mapas criptográficos definen los parámetros de IPSec para las asociaciones de seguridad (SA). Incluyen lo siguiente: lista de acceso criptográfico para identificar las subredes cuyo tráfico se va a proteger a través del túnel de CloudBridge, identificación entre pares (NetScaler) por dirección IP y conjunto de transformaciones para que coincidan con la configuración de seguridad de pares.
  • Aplique el mapa criptográfico a la interfaz exterior. En esta tarea, aplicará el mapa criptográfico a la interfaz exterior a través de la cual el tráfico del túnel fluirá hacia el par del túnel. Al aplicar el mapa criptográfico a una interfaz, el dispositivo Cisco ASA debe evaluar todo el tráfico de la interfaz con el conjunto de mapas criptográficos y utilizar la directiva especificada durante las negociaciones de conexión o asociación de seguridad.

Los ejemplos de los siguientes procedimientos crean la configuración del dispositivo Cisco ASA Cisco-ASA-Appliance-1 utilizado en el ejemplo de configuración y flujo de datos de CloudBridge Connector.

Para crear una directiva de IKE mediante la línea de comandos Cisco ASA

En la línea de comandos del dispositivo Cisco ASA, escriba los siguientes comandos, comenzando en el modo de configuración global, en el orden que se muestra:

Comando Ejemplo Descripción del comando
prioridad de directiva criptográfica ikev1 Cisco-ASA-Appliance-1 (config) # crypto ikev1 policy 1 Ingrese al modo de configuración de directivas de IKE e identifique la directiva que se va a crear. (Cada directiva se identifica de forma única mediante el número de prioridad que usted asigna). En este ejemplo se configura la directiva 1.
cifrado (3des | aes) Cisco-ASA-Appliance-1 (config-ikev1-policy) # encryption 3des Especifique el algoritmo de cifrado. En este ejemplo se configura el algoritmo 3DES.
hash (sha | md5) Cisco-asa-appliance-1 (config- ikev1-policy) # hash sha Especifique el algoritmo de hash. En este ejemplo se configura SHA.
authenticationpre-share Cisco-ASA-Appliance-1 (config- ikev1-policy) # autenticación previa al uso compartido Especifique el método de autenticación previo al uso compartido.
grupo 2 Cisco-ASA-Appliance-1 (config- ikev1-policy) # grupo 2 Especifique el identificador de grupo Diffie-Hellman de 1024 bits (2).
segundos de vida Cisco-ASA-Appliance-1 (config- ikev1-policy) # lifetime 28800 Especifique la duración de la asociación de seguridad en segundos. En este ejemplo se configuran 28800 segundos, que es el valor predeterminado de la vida útil en un dispositivo NetScaler.

Para habilitar IKE en la interfaz exterior mediante la línea de comandos Cisco ASA

En la línea de comandos del dispositivo Cisco ASA, escriba los siguientes comandos, comenzando en el modo de configuración global, en el orden que se muestra:

Comando Ejemplo Descripción del comando
crypto ikev1 habilitar en el exterior Cisco-ASA-Appliance-1 (config) # crypto ikev1 habilitar en el exterior Habilite IKEv1 en la interfaz a través de la cual el tráfico del túnel fluye hacia el par del túnel. Este ejemplo habilita IKEv1 en la interfaz denominada outside.

Para crear un grupo de túnel mediante la línea de comandos Cisco ASA

En el símbolo del sistema del dispositivo Cisco ASA, escriba los siguientes comandos, comenzando en el modo de configuración global, como se muestra en el pdf Tunnel Group adjunto mediante la línea de comandos ASA de Cisco:

Para crear una lista de acceso criptográfico mediante la línea de comandos Cisco ASA

En la línea de comandos del dispositivo Cisco ASA, escriba el siguiente comando en el modo de configuración global, en el orden que se muestra:

Comando Ejemplo Descripción del comando
lista de acceso número de lista de acceso permiso IP fuente fuente comodín destino destino comodín Cisco-ASA-Appliance-1 (config) # access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 Especifique las condiciones para determinar las subredes cuyo tráfico IP se va a proteger a través del túnel de CloudBridge Connector. Este ejemplo configura la lista de acceso 111 para proteger el tráfico de las subredes 10.20.20.0/24 (en el lado de Cisco-ASA-Appliance-1) y 10.102.147.0/24 (en el lado NS_Appliance-1).

Para definir un conjunto de transformaciones mediante la línea de comandos Cisco ASA

En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguientes comandos, comenzando en el modo de configuración global. Consulte Conjunto de transformaciones mediante la tabla de línea de comandos ASA pdf.

Para crear un mapa criptográfico mediante la línea de comandos ASA de Cisco

En la línea de comandos del dispositivo Cisco ASA, escriba los siguientes comandos comenzando en el modo de configuración global, en el orden que se muestra:

Comando Ejemplo Descripción del comando
mapa criptográfico nombre de mapa seq-num coincide dirección nombre-lista de acceso Cisco-ASA-Appliance-1 (config) # crypto map NS-CISCO-CM 1 coincide con la dirección 111 Cree un mapa criptográfico y especifique una lista de acceso al mismo. Este ejemplo configura el mapa criptográfico NS-CISCO-CM con la secuencia número 1 y asigna la lista de acceso 111 a NS-CISCO-CM.
nombre de mapa criptográfico seq-num establecido por dirección IP Cisco-ASA-Appliance-1 (config) # crypto map NS-CISCO-CM 1 set peer 198.51.100.100 Especifique el par (dispositivo NetScaler) por su dirección IP. En este ejemplo se especifica 198.51.100.100, que es la dirección IP del extremo del túnel del dispositivo NetScaler.
nombre de mapa criptográfico seq-num set ikev1 transform-set transform-set-name Cisco-ASA-Appliance-1 (config) # crypto map NS-CISCO-CM 1 set ikev1 transform-set NS-CISCO-TS Especifique qué conjunto de transformaciones está permitido para esta entrada de mapa criptográfico. En este ejemplo se especifica el conjunto de transformaciones NS-CISCO-TS.

Para aplicar un mapa criptográfico a una interfaz mediante la línea de comandos Cisco ASA

En la línea de comandos del dispositivo Cisco ASA, escriba los siguientes comandos comenzando en el modo de configuración global, en el orden que se muestra:

Comando Ejemplo Descripción del comando
mapa criptográfico, nombre de interfaz, nombre de interfaz Cisco-ASA-Appliance-1 (config) # crypto map interfaz NS-CISCO-CM externa Aplique el mapa criptográfico a la interfaz a través de la cual fluirá el tráfico del túnel de CloudBridge Connector. En este ejemplo, se aplica el mapa criptográfico NS-CISCO-CM a una interfaz externa.

Configuración del dispositivo NetScaler para el túnel CloudBridge Connector

Para configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler y un dispositivo Cisco ASA, realice las siguientes tareas en el dispositivo NetScaler. Puede utilizar la línea de comandos de NetScaler o la interfaz gráfica de usuario (GUI) de NetScaler:

  • Cree un perfil IPSec.
  • Cree un túnel IP que utilice el protocolo IPSec y asocie el perfil IPSec aél.
  • Cree una regla PBR y asóciela al túnel IP.

Para crear un perfil IPSEC mediante la línea de comandos de NetScaler:

En el símbolo del sistema, escriba:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE
  • show ipsec profile <name>

Para crear un túnel IPSEC y vincular el perfil IPSEC a él mediante la línea de comandos de NetScaler:

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la línea de comandos de NetScaler:

En el símbolo del sistema, escriba:

  • **add pbr** <pbrName> **ALLOW** –**srcIP** <subnet-range> -**destIP** <subnet-range>
  • **ipTunnel** <tunnelName>
  • **apply pbrs**
  • **show pbr** <pbrName>

Para crear un perfil IPSEC mediante la GUI:

  1. Vaya a Sistema > Conector de CloudBridge > Perfil IPSec.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Agregar perfil IPSec, defina los siguientes parámetros:
    • Name
    • Algoritmo de cifrado
    • Algoritmo hash
    • Versión del protocolo IKE
    • Perfect Forward Secrecy (Activa este parámetro)
  4. Configure el método de autenticación IPsec que utilizarán los dos pares de túnel de CloudBridge Connector para autenticarse mutuamente: seleccione el método de autenticación de clave precompartida y establezca el parámetro Existe clave precompartida.
  5. Haga clic en Crear y, a continuación, en Cerrar.

Para crear un túnel IP y vincular el perfil IPSEC a él mediante la GUI:

  1. Vaya a Sistema > CloudBridge Connector > Túneles IP.
  2. En la pestaña Túneles IPv4, haga clic en Agregar.
  3. En la página Agregar túnel IP, defina los siguientes parámetros:
    • Name
    • IP remota
    • Máscara remota
    • Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred).
    • IP local (Todas las direcciones IP configuradas del tipo de IP seleccionado se encuentran en la lista desplegable de IP local. Seleccione la IP deseada de la lista.)
    • Protocolo
    • Perfil IPSec
  4. Haga clic en Crear y, a continuación, en Cerrar.

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la interfaz gráfica de usuario:

  1. Vaya a Sistema > Red > PBR.
  2. En la ficha PBR, haga clic en Agregar.
  3. En la página Crear PBR, defina los siguientes parámetros:
    • Name
    • Acción
    • Tipo de salto siguiente (seleccione el túnel IP)
    • Nombre del túnel IP
    • IP de origen baja
    • IP de origen alta
    • IP de destino baja
    • IP de destino alta
  4. Haga clic en Crear y, a continuación, en Cerrar.

La nueva configuración del túnel de CloudBridge Connector correspondiente en el dispositivo NetScaler aparece en la GUI. El estado actual del túnel de conectores de CloudBridge se muestra en el panel Connector de CloudBridge configurado. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Los siguientes comandos crean la configuración del dispositivo NetScaler NS_Appliance-1 en el “Ejemplo de configuración de un CloudBridge Connector”. “:

>  add ipsec profile NS_Cisco-ASA_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE

Done

>  add iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco-ASA_IPSec_Profile


Done

> add pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco-ASA_Tunnel


Done

> apply pbrs

Done

<!--NeedCopy-->

Supervisión del túnel CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo NetScaler mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas de los túneles de CloudBridge Connector en un dispositivo NetScaler, consulte Monitorización de los túneles de CloudBridge Connector.

Interoperabilidad de CloudBridge Connector — Cisco ASA