Compatibilidad con Citrix ADC para la implementación de Microsoft Direct Access

Microsoft Direct Access es una tecnología que permite a los usuarios remotos conectarse sin problemas y de forma segura a las redes internas de la empresa, sin necesidad de establecer una conexión VPN independiente. A diferencia de las conexiones VPN, que requieren la intervención del usuario para abrir y cerrar conexiones, un cliente habilitado para acceso directo se conecta automáticamente a las redes internas de la empresa cada vez que el cliente se conecta a Internet.

Administración de salida es una función de Microsoft Direct Access que permite a los administradores de la red empresarial conectarse a clientes de Direct Access fuera de la red y administrarlos (por ejemplo, realizar tareas de administración, como programar actualizaciones de servicios y proporcionar soporte remoto.

En una implementación de Direct Access, los dispositivos Citrix ADC proporcionan alta disponibilidad, escalabilidad, alto rendimiento y seguridad. La funcionalidad de equilibrio de carga de Citrix ADC envía tráfico de cliente a través del servidor más adecuado. Los dispositivos también pueden reenviar el tráfico de administración de salida a través de la ruta correcta para llegar al cliente.

Arquitectura

La arquitectura de una implementación de Microsoft Direct Access consta de clientes habilitados para Direct Access, servidores de Direct Access, servidores de aplicaciones y dispositivos Citrix ADC internos y externos. Los clientes se conectan a un servidor de aplicaciones a través de un servidor de acceso directo. Un dispositivo Citrix ADC externo equilibra el tráfico del cliente a un servidor de Direct Access y un dispositivo interno Citrix ADC reenvía el tráfico del cliente desde el servidor de Direct Access al servidor de aplicaciones de destino. El acceso directo se utiliza para tunelizar el tráfico IPv6 del cliente a través de la red IPv4. Un servidor virtual de equilibrio de carga IPv4 en el dispositivo Citrix ADC externo equilibra el tráfico tunelizado del cliente con uno de los servidores de Direct Access. El servidor de acceso directo extrae los paquetes IPv6 de los paquetes IPv4 del cliente recibido y los envía al servidor de aplicaciones de destino a través del dispositivo Citrix ADC interno. El dispositivo interno Citrix ADC tiene reglas de sesión de reenvío con la opción de caché de ruta de origen habilitada para almacenar información de conexión de capa 2 y capa 3 sobre el tráfico del cliente desde el servidor de acceso directo. El dispositivo Citrix ADC almacena la siguiente información de capa 2 y capa 3 en una tabla denominada tabla de caché de ruta de origen:

  • Dirección IP de origen del paquete recibido
  • Dirección MAC del servidor de acceso directo que envió el paquete
  • ID de VLAN del dispositivo Citrix ADC que recibió el paquete
  • Id. de interfaz del dispositivo Citrix ADC que recibió el paquete

El dispositivo Citrix ADC utiliza la información de la tabla de caché de ruta de origen para reenviar una respuesta al mismo servidor de Direct Access porque tiene la información de túnel para llegar al cliente. Además, el dispositivo interno utiliza la tabla de caché de ruta de origen para reenviar el tráfico de administración de salida del servidor de aplicaciones al servidor de acceso directo adecuado para llegar a un cliente concreto.

Imagen localizada

Configuración de Citrix ADC Appliance interno en una implementación de Microsoft Direct Access

Para configurar el dispositivo interno de Citrix ADC para reenviar la respuesta de un servidor de aplicaciones y el tráfico de administración de salida a la puerta de enlace de acceso directo correspondiente, configure las reglas de sesión de reenvío. En cada regla, establezca el parámetro sourceroutecache en ENABLED.

Para crear una regla de sesión de reenvío mediante la CLI:

En el símbolo del sistema, escriba:

  • add forwardingSession <name> ((<network> [<netmask>]) | -acl6name <string> | -aclname <string>) -sourceroutecache ( ENABLED | DISABLED ]
  • mostrar reenviadosesión <name>

Configuración de ejemplo:

En el ejemplo siguiente, se crea la regla de reenvío de sesión MS-DA-FW-1 en el dispositivo interno de Citrix ADC. La sesión de reenvío almacena información de capa 2 y capa 3 para cualquier paquete IPv6 entrante de un servidor de acceso directo que coincida con el prefijo IPv6 de origen 2001:DB8: :/96.

> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED
 Completado

Visualización de la tabla Caché de Ruta de Origen

Puede mostrar la tabla de caché de ruta de origen para supervisar o detectar conexiones no deseadas entre servidores de acceso directo y servidores de aplicaciones.

Para mostrar la tabla de caché de ruta de origen mediante la CLI:

En el símbolo del sistema, escriba:

  • mostrar sourceroutecachetable

Ejemplo:

    > show sourceroutecachetable
    SOURCEIP            MAC                 VLAN    INTERFACE
    2001:DB8:5001:10    56:53:24:3d:02:eb    30        1/2
    2001:DB8:5003:30    60:54:35:3e:04:bd    60        1/3
    Done

Borrado de la tabla de caché de ruta de origen

Puede borrar todas las entradas de la tabla de caché de ruta de origen en un dispositivo Citrix ADC.

Para borrar la tabla de caché de ruta de origen mediante la CLI:

En el símbolo del sistema, escriba:

  • flush ns sourceroutecachetable