Túneles IP

Un túnel IP es un canal de comunicación, que se puede crear mediante tecnologías de encapsulación, entre dos redes que no tienen una ruta de enrutamiento. Cada paquete IP compartido entre las dos redes se encapsula dentro de otro paquete y luego se envía a través del túnel.

El dispositivo Citrix ADC implementa el túnel IP de las siguientes maneras:

  • Citrix ADC como encapsulador (Load Balancing with DSR Mode): Considere una organización que tenga varios centros de datos en diferentes países, donde el Citrix ADC tal vez esté en una ubicación y los servidores back-end se encuentren en un país diferente. En esencia, el Citrix ADC y los servidores back-end se encuentran en diferentes redes y están conectados a través de un enrutador.

    Al configurar la devolución directa del servidor (DSR) en este Citrix ADC, el Citrix ADC encapsula el paquete enviado desde la subred de origen y se envía a través de un enrutador y un túnel al servidor back-end apropiado. El servidor back-end descapsulará el paquete y responde directamente al cliente, sin permitir que el paquete pase a través del Citrix ADC.

  • Citrix ADC como Deccapsulator: considere una organización que tenga varios centros de datos cada uno con ADC Citrix y servidores back-end. Cuando se envía un paquete desde el centro de datos A al centro de datos B, generalmente se envía a través de un intermediario, por ejemplo, un enrutador u otro Citrix ADC. Citrix ADC procesa el paquete y, a continuación, lo reenvía al servidor back-end. Sin embargo, si se envía un paquete encapsulado, Citrix ADC debe poder descapsular el paquete antes de enviarlo a los servidores back-end. Para permitir que Citrix ADC funcione como un decapsulador, se agrega un túnel entre el router y el Citrix ADC. Cuando el paquete encapsulado, con información adicional de encabezado, llega al Citrix ADC, el paquete de datos se descapsulará, es decir, se elimina la información adicional del encabezado y el paquete se reenvía a los servidores back-end apropiados.

    El Citrix ADC también se puede utilizar como un decapsulador para la función de equilibrio de carga, específicamente en casos en los que el número de conexiones en un servidor vserver supera un valor de umbral y todas las conexiones nuevas se desvían a un servidor vserver de copia de seguridad.

Configurar túneles IP

La configuración de túneles IP en un dispositivo Citrix ADC consiste en crear entidades de túnel IP. Una entidad de túnel IP especifica las direcciones IP de punto final del túnel local y remoto y el protocolo que se utilizará para el túnel IP.

Nota: Al configurar un túnel IP en una configuración de clúster, la dirección IP local debe ser una dirección SNIP seccionada.

Procedimientos CLI

Para crear un túnel IP mediante la CLI:

En el símbolo del sistema, escriba:

  • add iptunnel <name> <remote> <remoteSubnetMask> <local> -type -protocol (ipoverip | GRE )
  • mostrar iptunnel

Para eliminar un túnel IP mediante la CLI:

Para eliminar un túnel IP, escriba el comando rm iptunnel y el nombre del túnel.

Para crear un túnel IPv6 mediante la CLI:

En el símbolo del sistema, escriba:

  • agregar ip6tunnel <name> <remoteIp> <local>
  • show ip6tunnel

Para eliminar un túnel IPv6 mediante la CLI:

Para quitar un túnel IPv6, escriba el comando rm ip6tunnel y el nombre del túnel.

Procedimientos de GUI

Para crear un túnel IP mediante la GUI:

Vaya a Sistema > Red > Túneles IP, agregue un nuevo túnel IP.

Para crear un túnel IPv6 mediante la GUI:

Vaya a Sistema > Red > Túneles IP > Túneles IPv6 y agregue un nuevo túnel IPv6.

Personalización de túneles IP globalmente

Al especificar globalmente la dirección IP de origen, puede asignar una dirección IP de origen común en todos los túneles. Además, dado que la fragmentación requiere mucha CPU, puede especificar globalmente que el dispositivo Citrix ADC descarte cualquier paquete que requiera fragmentación. Alternativamente, si desea fragmentar todos los paquetes siempre que no se alcance un valor de umbral de CPU, puede especificar globalmente el valor de umbral de CPU.

Procedimientos CLI

Para personalizar globalmente los túneles IP mediante la CLI:

En el símbolo del sistema, escriba:

  • set ipTunnelParam -srcIP <sourceIPAddress> -srcIPRoundRobin ( YES | NO )-dropFrag [ | NO] -dropFragCpuThreshold <Positive integer>

  • mostrar ipTunnelParam

Ejemplo:

> set iptunnelparam –srcIP 12.12.12.22 -dropFrag Yes –dropFragCpuThreshold 50
 Done

> set iptunnelparam -srcIPRoundRobin YES -dropFrag Yes –dropFragCpuThreshold 50
 Done

Para personalizar globalmente los túneles IPv6 mediante la CLI:

En el símbolo del sistema, escriba:

  • set ip6tunnelparam -srcIP <IPv6Address> -srcIPRoundRobin ( YES | NO )-dropFrag [ | NO] -dropFragCpuThreshold <Positive integer>

  • show ip6tunnelparam

Procedimientos de GUI

Para personalizar globalmente los túneles IP mediante la GUI:

Desplácese hasta Sistema > Red, en el grupo Configuración, haga clic en Configuración global del túnel IPv4.

  1. Vaya a Sistema > Red, en el grupo Configuración, haga clic en Configuración global del túnel IPv6.
  2. En el cuadro de diálogo Configurar parámetros globales de túnel IP, defina los parámetros.

Para personalizar globalmente los túneles IPv6 mediante la interfaz gráfica de usuario:

  1. Vaya a Sistema > Red, en el grupo Configuración, haga clic en Configuración global del túnel IPv6.
  2. En el cuadro de diálogo Configurar parámetros globales de túnel IP, defina los parámetros.

Opciones de carga GRE en un túnel IP GRE

Para un túnel IP GRE configurado, el dispositivo Citrix ADC encapsula todo el paquete de capa 2, incluidos el encabezado Ethernet y el encabezado VLAN (etiqueta VLAN dot1q). Es posible que los túneles IP GRE entre dispositivos Citrix ADC y algunos dispositivos de terceros no sean estables, ya que estos dispositivos de terceros no están programados para procesar algunos o los encabezados de paquetes de capa 2. Para configurar un túnel GRE IP estable entre un dispositivo Citrix ADC y un dispositivo de terceros, puede utilizar el parámetro GRE payload del conjunto de comandos GRE IP tunnel. La configuración de carga GRE también se puede aplicar a un GRE con túnel IPSec.

Puede establecer el parámetro de carga útil GRE para realizar una de las siguientes acciones antes de que el paquete se envíe a través del túnel GRE:

  • Ethernet con DOT1Q. Lleve el encabezado Ethernet así como el encabezado VLAN. Esta es la opción predeterminada. Para un túnel enlazado a una netbridge, el encabezado Ethernet interno y el encabezado VLAN contienen información de la tabla ARP y puente del dispositivo Citrix ADC. Para un túnel establecido como siguiente salto a una regla PBR, la dirección MAC de destino de Ethernet interna se establece en cero y el encabezado de VLAN especifica la VLAN predeterminada. El paquete encapsulado (GRE) enviado desde el punto final del túnel Citrix ADC tiene el siguiente formato:

    Imagen localizada

  • Ethernet. Lleve el encabezado Ethernet pero suelte el encabezado VLAN. Dado que los paquetes no contienen información de VLAN en el túnel, para un túnel con esta configuración y enlazado a un netbridge, debe enlazar una VLAN adecuada a la netbridge para que, al recibir cualquier paquete en el túnel, el Citrix ADC pueda reenviar estos paquetes a la VLAN especificada. Si el túnel se establece como siguiente salto en una regla PBR, Citrix ADC enruta los paquetes que se reciben en el túnel. El paquete encapsulado (GRE) enviado desde el punto final del túnel Citrix ADC tiene el siguiente formato:

    Imagen localizada

  • IP. Suelte el encabezado Ethernet, así como el encabezado VLAN. Dado que los túneles con esta configuración no llevan encabezados de capa 2, estos túneles no se pueden enlazar a un netbridge, sino que se pueden establecer como un salto siguiente en una regla PBR. El dispositivo de extremo del túnel del mismo nivel al recibir el paquete lo consume o lo enruta. El paquete encapsulado (GRE) enviado desde el punto final del túnel Citrix ADC tiene el siguiente formato:

    Imagen localizada

Para eliminar encabezados de capa 2 de paquetes en un túnel IP GRE mediante la CLI:

  • agregar IPTunnel<positive_integer>-**protocolo** <GRE> [-**vlan**[] <name> <remote> <remoteSubnetMask> <local>]<grepayload>-**grepayload**<string>-**IPSecProfileName**[[]]
  • mostrar iptunnel <tunnelname>

Ejemplo:

> add iptunnel IPTUNNEL-1 203.0.113.133 255.255.255.0 198.51.100.15 –protocol GRE –grepayload Ethernet -ipsecProfileName IPTUNNEL-IPSEC-1
Done

Tráfico IPv6 a través de túneles GRE IPv4

El dispositivo Citrix ADC admite la transferencia de tráfico IPv6 a través de un túnel GRE IPv4. Esta función se puede utilizar para habilitar la comunicación entre redes IPv6 aisladas sin actualizar la infraestructura IPv4 entre ellas.

Para configurar esta función, asocia una regla PBR6 con el túnel GRE IPv4 configurado a través del cual desea que Citrix ADC envíe y reciba tráfico IPv6. Los parámetros de dirección IPv6 de origen y dirección IPv6 de destino de la regla PBR6 especifican las redes IPv6 cuyo tráfico va a atravesar el túnel GRE IPv4.

Nota: El protocolo IPSec no es compatible con los túneles GRE IPv4 configurados para transferir paquetes IPv6.

Para crear un túnel IPv4 GRE mediante la CLI:

En el símbolo del sistema, escriba:

  • agregar IPTunnel <name> <remote> <remoteSubnetMask> <local> -protocolo GRE
  • mostrar IPTunnel <name>

Para asociar una regla PBR6 a un túnel IPv4 GRE mediante la CLI:

  • add ns pbr6 <tunnelName> <pbrName> ALOJAR -SRCIPv6 <network-range> -DSIPv6 <network-range> -IPTunnel
  • mostrar pbr

Configuración de ejemplo

En la siguiente configuración de ejemplo, se crea el túnel IP GRE Tunnel-v6onv4 con la dirección IP del extremo del túnel remoto 10.10.6.30 y la dirección IP del extremo del túnel local 10.10.5.30. El túnel se une entonces a pbr6 pbr6-v6onv4. El SRCIPv6 especifica la red IPv6 conectada al extremo local y DestIPv6 especifica la red IPv6 conectada al extremo remoto. El tráfico de estas redes IPv6 puede atravesar el túnel IPv4 GRE.

> add ipTunnel TUNNEL-V6onV4 10.10.6.30 255.255.255.255 10.10.5.30 -protocol GRE
-ipsecProfileName None
Done
> add ns pbr6 PBR6-V6onV4 ALLOW -srcIPv6 = 2001:0db8:1::1-2001:0db8:1::255 -destIPv6 =
1-2001:0db8:4::255 -ipTunnel TUNNEL-V6onV4

Enviar tráfico de respuesta a través de un túnel IP-IP

Puede configurar un dispositivo Citrix ADC para que envíe tráfico de respuesta a través de un túnel IP-IP en lugar de enrutarlo de nuevo al origen. De forma predeterminada, cuando el dispositivo recibe una solicitud de otro Citrix ADC o de un dispositivo de terceros a través de un túnel IP-IP, enruta el tráfico de respuesta en lugar de enviarlo a través del túnel. Puede utilizar rutas basadas en directivas (PBRs) o habilitar el reenvío basado en MAC (MBF) para enviar la respuesta a través del túnel.

En una regla PBR, especifique las subredes en ambos puntos finales cuyo tráfico va a atravesar el túnel. También establezca el siguiente salto como nombre del túnel. Cuando el tráfico de respuesta coincide con la regla PBR, el dispositivo Citrix ADC envía el tráfico a través del túnel.

Como alternativa, puede habilitar MBF para cumplir este requisito, pero la funcionalidad se limita al tráfico para el que el dispositivo Citrix ADC almacena información de sesión (por ejemplo, tráfico relacionado con el equilibrio de carga o configuraciones RNAT). El dispositivo utiliza la información de sesión para enviar el tráfico de respuesta a través del túnel.

Procedimientos CLI

Para crear una regla PBR y asociar el túnel IP-IP mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns pbr **Allow** <pbr_name> <tunnel_name> -srCip = <local_subnet_range> -desTip = <remote_subnet_range> -ipTunnel
  • apply ns pbrs
  • mostrar ns pbr <pbr_name>

Para habilitar el reenvío basado en Mac mediante la CLI:

En el símbolo del sistema, escriba:

  • enable ns mode MBF
  • mostrar modo ns

Procedimientos de GUI

Para crear una regla PBR y asociar el túnel IP-IP mediante la GUI:

  1. Vaya a Sistema > Red > PBRs. En la ficha PBRs, cree una regla PBR.
  2. Al crear el PBR, establezca el Tipo de salto siguiente en túnel IP y Nombre de túnel IP en el nombre de túnel IP-IP configurado.

Para habilitar el reenvío basado en Mac mediante la GUI:

  1. Vaya a Sistema > Configuración, en Modos y funciones, haga clic en Configurar modos.
  2. En la página Configurar modos, seleccione Reenvío basado en Mac.

Configuración de ejemplo

Considere un ejemplo de un túnel IPIP, NS1-NS2-IPIP, que se configura entre dos dispositivos Citrix ADC NS1 y NS2.

De forma predeterminada, para cualquier solicitud que NS2 reciba a través del túnel, su ruta el tráfico de respuesta al origen en lugar de enviarlo (a NS1) a través del túnel.

Puede configurar rutas basadas en directivas (PBRs) o habilitar el reenvío basado en MAC (MBF) en NS2 para habilitarlo para enviar la respuesta a través del túnel.

En la siguiente configuración de ejemplo en NS2, NS1-NS2-IPIP es un túnel IPIP y NS1-NS2-IPIP-PBR es una regla PBR. Para las solicitudes (con dirección IP de origen interno en el rango 10.102.147.0-10.102.147.255 y dirección IP de destino interno en el rango 10.102.147.0-10.102.147.255) recibidas por NS2 a través del túnel, NS2 envía la respuesta correspondiente a través del túnel (a NS1) en lugar de enrutarlo al origen. La funcionalidad está limitada al tráfico que coincide con la regla PBR.

> add iptunnel NS1-NS2-IPIP 192.0.2.99 255.255.255.255 203.0.113.99–protocol IPIP

Completado
> add pbr NS1-NS2-IPIP-PBR -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.1.0-10.20.1.255 –ipTunnel NS1-NS2-IPIP

Completado
> aplicar pbrs

Completado

Alternativamente, MBF se puede habilitar en NS2. La funcionalidad se limita al tráfico para el que NS2 almacena información de sesión (por ejemplo, tráfico relacionado con el equilibrio de carga o configuraciones RNAT).

> activar MBF en modo ns

Completado