Interoperabilidad de CloudBridge Connector: Cisco ASA

Puede configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo Cisco ASA para conectar dos centros de datos o ampliar la red a un proveedor de nube. El dispositivo Citrix ADC y el dispositivo Cisco ASA forman los puntos finales del túnel CloudBridge Connector y se denominan pares.

Ejemplo de configuración de túnel de CloudBridge Connector

Como ilustración del flujo de tráfico en un túnel de CloudBridge Connector, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre los siguientes dispositivos:

  • Dispositivo Citrix ADC NS_Appliance-1 en un centro de datos designado como Datacenter-1
  • Cisco ASA appliance CISCO-ASA-Appliance-1 en un centro de datos designado como Datacenter-2

NS_Appliance-1 y CISCO-ASA-Appliance-1 permiten la comunicación entre redes privadas en Datacenter-1 y Datacenter-2 a través del túnel CloudBridge Connector. En el ejemplo, NS_Appliance-1 y Cisco-ASA-Appliance-1 permiten la comunicación entre el cliente CL1 en Datacenter-1 y el servidor S1 en Datacenter-2 a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

En NS_Appliance-1, la configuración del túnel de CloudBridge Connector incluye la entidad de perfil IPSec NS_CISCO-ASA_IPSEC_Profile, la entidad de túnel de CloudBridge Connector NS_CISCO-ASA_Tunnel y la entidad de enrutamiento basado en políticas (PBR) NS_CISCO-ASA_PBR.

Imagen localizada

Puntos a tener en cuenta para una configuración de túnel de CloudBridge Connector

Antes de comenzar a configurar el túnel del conector de CloudBridge, asegúrese de que:

  • La siguiente configuración de IPSec se admite para un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo Cisco ASA.
Propiedades IPSec Parámetros
Modo IPSec Modo túnel
Versión de IKE Versión 1
Método de autenticación IKE Clave previamente compartida
Algoritmo de cifrado IKE AES, 3DES
Algoritmo hash IKE HMAC SHA1, HMAC MD5
Algoritmo de cifrado ESP AES, 3DES
Algoritmo hash ESP HMAC SHA1, HMAC MD5
  • Debe especificar la misma configuración IPSec en el dispositivo Citrix ADC y en el dispositivo Cisco ASA en los dos extremos del túnel CloudBridge Connector.
  • Citrix ADC proporciona un parámetro común (en perfiles IPSec) para especificar un algoritmo hash IKE y un algoritmo hash ESP. También proporciona otro parámetro común para especificar un algoritmo de cifrado IKE y un algoritmo de cifrado ESP. Por lo tanto, en el dispositivo Cisco ASA, debe especificar el mismo algoritmo hash y el mismo algoritmo de cifrado en IKE (configuración de fase 1) y ESP (configuración de fase 2).
  • Debe configurar el firewall en el extremo Citrix ADC y Cisco ASA para permitir lo siguiente.
    • Cualquier paquete UDP para el puerto 500
    • Cualquier paquete UDP para el puerto 4500
    • Cualquier paquete ESP (protocolo IP número 50)

Configuración de Cisco ASA para el túnel CloudBridge Connector

Para configurar un túnel de CloudBridge Connector en un dispositivo ASA de Cisco, utilice la interfaz de línea de comandos ASA de Cisco, que es la interfaz de usuario principal para configurar, supervisar y mantener los dispositivos ASA de Cisco.

Antes de comenzar la configuración del túnel de CloudBridge Connector en un dispositivo Cisco ASA, asegúrese de que:

  • Tiene una cuenta de usuario con credenciales de administrador en el dispositivo ASA de Cisco.
  • Está familiarizado con la interfaz de línea de comandos ASA de Cisco.
  • El dispositivo Cisco ASA está en funcionamiento, está conectado a Internet y también está conectado a las subredes privadas cuyo tráfico se va a proteger a través del túnel CloudBridge Connector.

Nota

Los procedimientos para configurar el túnel de CloudBridge Connector en un dispositivo ASA de Cisco pueden cambiar con el tiempo, dependiendo del ciclo de lanzamiento de Cisco. Citrix recomienda que siga la documentación oficial del producto ASA de Cisco para Configurar túneles VPN IPSec, en:

Para configurar un túnel de conector CloudBridge entre un dispositivo Citrix ADC y un dispositivo ASA de Cisco, realice las siguientes tareas en la línea de comandos del dispositivo ASA de Cisco:

  • Cree una directiva IKE.Una directiva IKE define una combinación de parámetros de seguridad que se utilizarán durante la negociación IKE (fase 1). Por ejemplo, en esta tarea se establecen parámetros como el algoritmo hash, el algoritmo de cifrado y el método de autenticación que se utilizarán en la negociación IKE.
  • Habilite IKE en la interfaz externa. Habilite IKE en la interfaz externa a través de la cual el tráfico del túnel fluirá al par del túnel.
  • Cree un grupo de túneles. Un grupo de túneles especifica el tipo de túnel y la clave previamente compartida. El tipo de túnel debe establecerse en ipsec-l2l, que significa LAN IPsec a LAN. Una clave previamente compartida es una cadena de texto, que los pares de un túnel de CloudBridge Connector utilizan para autenticarse mutuamente entre sí.  Las claves previamente compartidas se comparan entre sí para la autenticación IKE.Por lo tanto, para que la autenticación sea correcta, debe configurar la misma clave previamente compartida en el dispositivo Cisco ASA y en el dispositivo Citrix ADC.
  • Defina un conjunto de transformación. Un conjunto de transformaciones define una combinación de parámetros de seguridad (fase 2) que se utilizarán en el intercambio de datos a través del túnel CloudBridge Connector después de que la negociación IKE se realice correctamente.
  • Crear una lista de acceso. Las listas de acceso criptográfico se utilizan para definir las subredes cuyo tráfico IP se protegerá sobre el túnel CloudBridge. Los parámetros de origen y destino de la lista de acceso especifican las subredes del lado del dispositivo Cisco y del lado del Citrix ADC que se van a proteger a través del túnel del conector de CloudBridge. La lista de acceso debe configurarse para permitir. Cualquier paquete de solicitud que se origina en un dispositivo de la subred del lado del dispositivo Cisco y esté destinado a un dispositivo de la subred del lado Citrix ADC y que coincida con los parámetros de origen y destino de la lista de acceso, se envía a través del túnel de CloudBridge Connector.
  • Crear un mapa criptográfico. Los mapas de cifrado definen los parámetros IPSec para asociaciones de seguridad (SA). Incluyen lo siguiente: Lista de acceso criptográfico para identificar las subredes cuyo tráfico se va a proteger a través del túnel CloudBridge, identificación de pares (Citrix ADC) por dirección IP y transformación configurada para que coincidan con la configuración de seguridad del mismo nivel.
  • Aplique el mapa criptográfico a la interfaz externa. En esta tarea, se aplica el mapa criptográfico a la interfaz externa a través de la cual el tráfico del túnel fluirá al par del túnel. Al aplicar el mapa criptográfico a una interfaz, se indica al dispositivo ASA de Cisco que evalúe todo el tráfico de interfaz en relación con el conjunto de mapas criptográficos y que utilice la política especificada durante las negociaciones de conexión o asociación de seguridad.

Los ejemplos de los procedimientos siguientes crean la configuración del dispositivo Cisco ASA Appliance-1 utilizado en Ejemplo de configuración del conector CloudBridge y flujo de datos.

Para crear una política IKE mediante la línea de comandos ASA de Cisco

En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguientes comandos, comenzando en el modo de configuración global, en el orden mostrado:

|Comando|Ejemplo|Descripción del comando| |— |— |— | |prioridad de política crypto ikev1|Cisco-ASA-Appliance-1 (config) # crypto ikev1 política 1|Introduzca el modo de configuración de directivas IKE e identifique la directiva que desea crear. (Cada política se identifica de forma única por el número de prioridad que asigne.) En este ejemplo se configura la directiva 1.| |cifrado (3des| aes) |Cisco-ASA-Appliance-1 (config-ikev1-policy) # cifrado 3des|Especifique el algoritmo de cifrado. En este ejemplo se configura el algoritmo 3DES. | |hash (sha | md5) |Cisco-ASA-Appliance-1 (config- ikev1-policy) # hash SHA|Especifique el algoritmo hash. Este ejemplo configura SHA. | |AuthenticationPre-Share|Cisco-ASA-Appliance-1 (config- ikev1-policy) # autenticación Pre-share|Especifique el método de autenticación pre-share. | |group 2|Cisco-ASA-Appliance-1 (config- ikev1-policy) # group 2|Especifique el identificador de grupo Diffie-Hellman de 1024 bits (2) .| |Seconds|Cisco-ASA-Appliance-1 (config- ikev1-policy) # lifetime 28800|Especifique la vida útil de la asociación de seguridad en segundos. En este ejemplo se configuran 28800 segundos, que es el valor predeterminado de la vida útil de un dispositivo Citrix ADC. | |

Para habilitar IKE en la interfaz externa mediante la línea de comandos ASA de Cisco

En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguientes comandos, comenzando en el modo de configuración global, en el orden mostrado:

Comando Ejemplo Descripción del comando
crypto ikev1 habilitar fuera Cisco-ASA-appliance-1 (config) # crypto ikev1 habilitar fuera Habilite IKEv1 en la interfaz a través de la cual el tráfico del túnel fluye hacia el par del túnel. En este ejemplo se habilita IKEv1 en la interfaz denominada outside.

Para crear un grupo de túneles mediante la línea de comandos ASA de Cisco En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguientes comandos, comenzando en el modo de configuración global, como se muestra en el documento PDF Crear grupo de túneles desde la línea de comandos ASA de Cisco:

Para crear una lista de acceso criptográfico mediante la línea de comandos ASA de Cisco

En el símbolo del sistema del dispositivo Cisco ASA, escriba el comando siguiente en el modo de configuración global, en el orden mostrado:

Comando Ejemplo Descripción del comando
access-list access-list-number permit IP source source-wildcard destination destination-wildcard Cisco-ASA-appliance-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 Especifique las condiciones para determinar las subredes cuyo tráfico IP debe protegerse sobre el túnel de CloudBridge Connector.En este ejemplo se configura la lista de acceso 111 para proteger el tráfico de las subredes 10.20.20.0/24 (en el lado Cisco-ASA-Appliance-1) y 10.102.147.0/24 (en el lado NS_Appliance-1).

Para definir un conjunto de transformaciones mediante la línea de comandos ASA de Cisco

En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguientes comandos, comenzando en el modo de configuración global. VéaseConjunto de transformación mediante la línea de comandos ASAla tabla pdf.

Para crear un mapa criptográfico mediante la línea de comandos ASA de Cisco

En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguientes comandos comenzando en el modo de configuración global, en el orden mostrado:

Comando Ejemplo Descripción del comando
crypto map map-name seq-num match address access-list-name Cisco-ASA-appliance-1 (config) # mapa criptográfico NS-CISCO-CM 1 dirección de coincidencia 111 Cree un mapa criptográfico y especifique una lista de acceso a él.En este ejemplo se configura el mapa criptográfico NS-CISCO-CM con el número de secuencia 1 y se asigna la lista de acceso 111 a NS-CISCO-CM.
crypto map map-name seq-num set peer ip-address Cisco-ASA-appliance-1 (config) # mapa criptográfico NS-CISCO-CM 1 conjunto peer 198.51.100.100 Especifique el par (dispositivo Citrix ADC) por su dirección IP. En este ejemplo se especifica 198.51.100.100, que es la dirección IP del extremo del túnel en el dispositivo Citrix ADC.
mapa crypto map-name seq-num set ikev1 transform-set transform-set-name Cisco-ASA-appliance-1 (config) # mapa criptográfico NS-CISCO-CM 1 conjunto ikev1 transform-set NS-CISCO-TS Especifique qué conjunto de transformaciones se permite para esta entrada de mapa criptográfico. En este ejemplo se especifica el conjunto de transformaciones NS-CISCO-TS.

Para aplicar un mapa criptográfico a una interfaz mediante la línea de comandos ASA de Cisco

En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguientes comandos comenzando en el modo de configuración global, en el orden mostrado:

Comando Ejemplo Descripción del comando
crypto map map-nameinterface interface-name Cisco-ASA-appliance-1(config)# crypto map NS-CISCO-CM interface outside Aplique el mapa de cifrado a la interfaz a través de la cual fluirá el tráfico del túnel de CloudBridge Connector. Este ejemplo aplica el mapa criptográfico NS-CISCO-CM a la interfaz externa.

Configuración del dispositivo Citrix ADC para el túnel de CloudBridge Connector

Para configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo Cisco ASA, realice las siguientes tareas en el dispositivo Citrix ADC. Puede utilizar la línea de comandos de Citrix ADC o la interfaz gráfica de usuario (GUI) de Citrix ADC:

  • Cree un perfil IPSec.
  • Cree un túnel IP que utilice el protocolo IPSec y asocie el perfil IPSec con él.
  • Cree una regla PBR y asociarla con el túnel IP.

Para crear un perfil IPSEC mediante la línea de comandos de Citrix ADC En el símbolo del sistema, escriba:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE
  • show ipsec profile <name>

**Para crear un túnel IPSEC y enlazar el perfil IPSEC con él mediante la línea de comandos Citrix ADC **En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

**Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la línea de comandos Citrix ADC **En el símbolo del sistema, escriba:

  • **add pbr** <pbrName> **ALLOW** –**srcIP** <subnet-range> -**destIP** <subnet-range>
  • **ipTunnel** <tunnelName>
  • **apply pbrs**
  • **show pbr** <pbrName>

Para crear un perfil IPSEC mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Conector de CloudBridge > Perfil de IPSec.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Agregar perfil IPSec, establezca los siguientes parámetros:
    • Nombre
    • Algoritmo de cifrado
    • Algoritmo hash
    • Versión del protocolo IKE
    • Secreto directo perfecto (Habilitar este parámetro)
  4. Configure el método de autenticación IPSec que utilizarán los dos pares del túnel de CloudBridge Connector para autenticarse mutuamente: seleccione el método de autenticación de clave previamente compartida y establezca el parámetro Claves previamente compartidas.
  5. Haga clic en Creary, a continuación, haga clic en Cerrar.

Para crear un túnel IP y enlazar el perfil IPSEC con él mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Conector de CloudBridge > TúnelesIP.
  2. En la ficha Túneles IPv4, haga clic en Agregar.
  3. En la página Agregar IP de túnel, establezca los siguientes parámetros:
    • Nombre
    • IP remota
    • Máscara remota
    • Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred).
    • IP local (todas las direcciones IP configuradas del tipo IP seleccionado se encuentran en la lista desplegable de IP local. Seleccione la IP deseada de la lista.)
    • Protocolo
    • Perfil IPSec
  4. Haga clic en Creary, a continuación, haga clic en Cerrar.

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Red > PBR.
  2. En la ficha PBR, haga clic en Agregar.
  3. En la página CrearPBR, defina los siguientes parámetros:
    • Nombre
    • Acción
    • Tipo de salto siguiente (Seleccionar túnel IP)
    • Nombre del túnel IP
    • IP de origen bajo
    • IP de origen alto
    • IP de destino bajo
    • IP de destino alto
  4. Haga clic en Creary, a continuación, haga clic en Cerrar.

La nueva configuración de túnel de CloudBridge Connector correspondiente en el dispositivo Citrix ADC aparece en la GUI. El estado actual del túnel del conector de CloudBridge se muestra en el panel Connector configurado de CloudBridge. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Los siguientes comandos crean la configuración del dispositivo Citrix ADC NS_Appliance-1 en “Ejemplo de una configuración de conector de CloudBridge.”:

>  add ipsec profile NS_Cisco-ASA_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE

Done

>  add iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco-ASA_IPSec_Profile


Done

> add pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco-ASA_Tunnel


Done

> apply pbrs  

Done

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo Citrix ADC mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas del túnel de CloudBridge Connector en un dispositivo Citrix ADC, consulte Supervisión de túneles de conectores de CloudBridge.