Configuración de un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y una Gateway privada virtual en AWS

Para conectar un centro de datos a Amazon Web Services (AWS), puede configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC en el centro de datos y una Gateway privada virtual en AWS. El dispositivo Citrix ADC y la Gateway privada virtual forman los extremos del túnel CloudBridge Connector y se denominan pares.

Nota:

También puede configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC en un centro de datos y una instancia de Citrix ADC VPX (en lugar de una Gateway privada virtual) en AWS. Para obtener más información, consulte Configuración de CloudBridge Connector entre Datacenter y AWS Cloud.

Las puertas de enlace privadas virtuales de AWS admiten la siguiente configuración de IPSec para un túnel de CloudBridge Connector. Por lo tanto, debe especificar la misma configuración de IPSec al configurar el dispositivo Citrix ADC para el túnel de CloudBridge Connector.

Propiedades IPSec Parámetro
Modo IPSec Modo túnel
Versión de IKE Versión 1
Método de autenticación IKE Clave previamente compartida
Algoritmo de cifrado AES
Algoritmo hash HMAC SHA1

Ejemplo de configuración del túnel de CloudBridge Connector y flujo de datos

Como ejemplo del flujo de tráfico en un túnel de CloudBridge Connector, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre el dispositivo Citrix ADC NS_Appliance-1 en un centro de datos y la Gateway privada virtual AWS-Virtual-Private-Gateway-1 en la nube de AWS.

Imagen localizada

NS_Appliance-1 también funciona como enrutador L3, lo que permite que una red privada del centro de datos llegue a una red privada en la nube de AWS a través del túnel CloudBridge Connector. Como router, NS_Appliance-1 permite la comunicación entre el cliente CL1 en el centro de datos y el servidor S1 en la nube de AWS a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

En NS_Appliance-1, la configuración del túnel de CloudBridge Connector incluye una entidad de perfil IPSec denominada NS_AWS_IPSEC_Profile, una entidad de túnel de CloudBridge Connector denominada NS_AWS_Tunnel y una entidad de enrutamiento basada en políticas (PBR) denominada NS_AWS_PBR.

La entidad de perfil IPSec NS_AWS_IPSEC_PROFILE especifica los parámetros del protocolo IPSec, como la versión IKE, el algoritmo de cifrado y el algoritmo hash, que utilizará el protocolo IPSec en el túnel del conector de CloudBridge. NS_AWS_IPSEC_Profile está enlazado a la entidad de túnel IP NS_AWS_Tunnel.

La entidad de túnel del conector de CloudBridge NS_AWS_Tunnel especifica la dirección IP local (una dirección IP pública —SNIP configurada en el dispositivo Citrix ADC), la dirección IP remota (la dirección IP del AWS-Virtual-Private-gateway-1) y el protocolo (IPSec) utilizado para configurar el túnel del conector de CloudBridge. NS_AWS_Tunnel está enlazado a la entidad de enrutamiento basado en políticas (PBR) NS_AWS_PBR.

La entidad PBR NS_AWS_PBR especifica un conjunto de condiciones y una entidad de túnel CloudBridge Connector (NS_AWS_Tunnel). El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino son las condiciones para NS_AWS_PBR. El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino se especifican como una subred en el centro de datos y una subred en la nube de AWS, respectivamente. Cualquier paquete de solicitud procedente de un cliente de la subred del centro de datos y destinado a un servidor de la subred de la nube de AWS coincide con las condiciones de NS_AWS_PBR. Este paquete se considera entonces para el procesamiento de CloudBridge Connector y se envía a través del túnel de CloudBridge Connector (NS_AWS_Tunnel) vinculado a la entidad PBR.

En la tabla siguiente se enumeran los parámetros utilizados en este ejemplo.

Dirección IP del punto final del túnel de CloudBridge Connector (NS_Appliance-1) en el lado del centro de datos 66.165.176.15
Dirección IP del punto final del túnel de CloudBridge Connector (AWS-Virtual-Private-Gateway-1) en AWS 168.63.252.133
Subred del centro de datos, cuyo tráfico debe atravesar el túnel del conector de CloudBridge 10.102.147.0/24
Subred de AWS, cuyo tráfico es atravesar el túnel de CloudBridge Connector 10.20.20.0/24

Configuración de Amazon AWS

Puerta de enlace del cliente AWS-Customer-Gateway-1 Enrutamiento = estática, dirección IP = dirección IP del extremo del túnel del conector CloudBridge Routable a través de Internet en el lado Citrix ADC = 66.165.176.15
Puerta de enlace privada virtual AWS-Virtual-Private-Gateway-1 VPC asociada = AWS-VPC-1
Conexión VPN AWS-VPN-Connection-1 Puerta de enlace del cliente = AWS-Customer-gateway-1, Puerta de enlace privada virtual= Puerta de enlace virtual-privada-1, Opciones de enrutamiento: Tipo = Prefijos de IP estáticos y estáticos = Subredes en el lado Citrix ADC = 10.102.147.0/24

Configuración del dispositivo Citrix ADC NS_Appliance-1 en Datacenter-1:

|Dispositivo|Parámetros| |–|–| |SNIP1 (solo para fines de referencia)|66.165.176.15| |IPSec profile|NS_AWS_IPSec_Profile|IKE version = v1, Encryption algorithm = AES, Hash algorithm = HMAC SHA1| |CloudBridge Connector tunnel|NS_AWS_Tunnel|Remote IP = 168.63.252.133, Local IP= 66.165.176.15, Tunnel protocol = IPSec, IPSec profile= NS_AWS_IPSec_Profile| |Policy based route|NS_AWS_Pbr|Source IP range = Subnet in the datacenter =10.102.147.0-10.102.147.255, Destination IP range =Subnet in AWS =10.20.20.0-10.20.20.255, IP Tunnel = NS_AWS_Tunnel|

Puntos a tener en cuenta para una configuración de túnel de CloudBridge Connector

Antes de configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y una Gateway de AWS, tenga en cuenta los siguientes puntos:

  1. AWS admite la siguiente configuración de IPSec para un túnel de CloudBridge Connector. Por lo tanto, debe especificar la misma configuración de IPSec al configurar el dispositivo Citrix ADC para el túnel de CloudBridge Connector.

    • Versión IKE = v1
    • Algoritmo de cifrado = AES
    • Algoritmo hash = HMAC SHA1
  2. Debe configurar el firewall en el extremo Citrix ADC para permitir lo siguiente.

    • Cualquier paquete UDP para el puerto 500
    • Cualquier paquete UDP para el puerto 4500
    • Cualquier paquete ESP (protocolo IP número 50)
  3. Debe configurar Amazon AWS antes de especificar la configuración del túnel en Citrix ADC, ya que la dirección IP pública del extremo de AWS (Gateway) del túnel y el PSK se generan automáticamente al configurar la configuración del túnel en AWS. Necesita esta información para especificar la configuración del túnel en el dispositivo Citrix ADC.

  4. AWS Gateway admite rutas estáticas y el protocolo BGP para las actualizaciones de rutas. El dispositivo Citrix ADC no admite el protocolo BGP en un túnel de CloudBridge Connector a la Gateway de AWS. Por lo tanto, se deben utilizar rutas estáticas adecuadas a ambos lados del túnel CloudBridge Connector para enrutar correctamente el tráfico a través del túnel.

Configuración de Amazon AWS para el túnel de CloudBridge Connector

Para crear una configuración de túnel de CloudBridge Connector en Amazon AWS, utilice Amazon AWS Management Console, que es una interfaz gráfica basada en web para crear y administrar recursos en Amazon AWS.

Antes de comenzar la configuración del túnel de CloudBridge Connector en la nube de AWS, asegúrese de que:

  • Tiene una cuenta de usuario para la nube de Amazon AWS.
  • Tiene una nube privada virtual cuyas redes desea conectarse a las redes del lado Citrix ADC a través del túnel CloudBridge Connector.
  • Está familiarizado con Amazon AWS Management Console.

Nota:

Los procedimientos para configurar Amazon AWS para un túnel de CloudBridge Connector pueden cambiar con el tiempo, dependiendo del ciclo de lanzamiento de Amazon AWS. Citrix recomienda consultarDocumentación de Amazon AWSlos procedimientos más recientes.

Para configurar un túnel de conector de CloudBridge entre un Citrix ADC y una Gateway de AWS, realice las siguientes tareas en AWS Management Console:

  • Cree una puerta de enlace de clientes. Una Gateway del cliente es una entidad de AWS que representa un extremo de túnel de CloudBridge Connector. Para un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y una Gateway de AWS, la Gateway del cliente representa el dispositivo Citrix ADC en AWS. La Gateway del cliente especifica un nombre, el tipo de enrutamiento (estático o BGP) utilizado en el túnel y la dirección IP del extremo del túnel de CloudBridge Connector en el lado Citrix ADC. La dirección IP puede ser una dirección IP de subred (SNIP) propiedad de Citrix ADC enrutable por Internet o, si el dispositivo Citrix ADC está detrás de un dispositivo NAT, una dirección IP NAT enrutable por Internet que represente la dirección SNIP.
  • Cree una puerta de enlace privada virtual y adjúntela a una VPC. Una Gateway privada virtual es un extremo de túnel de CloudBridge Connector en el lado de AWS. Cuando crea una Gateway privada virtual, le ha asignado un nombre o permite que AWS le asigne el nombre. A continuación, asocie la Gateway privada virtual con una VPC. Esta asociación permite que las subredes de la VPC se conecten a las subredes del lado Citrix ADC a través del túnel CloudBridge Connector.
  • Cree una conexión VPN. Una conexión VPN especifica una Gateway de cliente y una Gateway privada virtual entre la que se va a crear un túnel de CloudBridge Connector. También especifica un prefijo IP para las redes en el lado Citrix ADC. Solo los prefijos IP conocidos por la puerta de enlace privada virtual (mediante la entrada de ruta estática) pueden recibir tráfico de la VPC a través del túnel. Además, la Gateway privada virtual no enruta ningún tráfico no destinado a los prefijos IP especificados a través del túnel. Después de configurar una conexión VPN, es posible que tenga que esperar unos minutos para que se cree.
  • Configurar las opciones de enrutamiento. Para que la red de la VPC llegue a las redes del lado Citrix ADC a través del túnel de CloudBridge Connector, debe configurar la tabla de enrutamiento de la VPC para que incluya rutas para las redes en el lado Citrix ADC y señale esas rutas a la Gateway privada virtual. Puede incluir rutas en la tabla de enrutamiento de una VPC de una de las siguientes maneras:
    • Habilite la propagación de rutas. Puede habilitar la propagación de rutas para la tabla de enrutamiento, de modo que las rutas se propaguen automáticamente a la tabla. Los prefijos IP estáticos que especifique para la configuración VPN se propagan a la tabla de enrutamiento después de crear la conexión VPN.
    • Introduzca manualmente rutas estáticas. Si no habilita la propagación de rutas, debe introducir manualmente las rutas estáticas para las redes en el lado Citrix ADC.
  • Configuración de descarga. Una vez creada la configuración del túnel de CloudBridge Connector (conexión VPN) en AWS, descargue el archivo de configuración de la conexión VPN en su sistema local. Es posible que necesite la información del archivo de configuración para configurar el túnel de CloudBridge Connector en el dispositivo Citrix ADC.

Para crear una Gateway de cliente

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
  2. Vaya a Conexiones VPN > Puertas de enlace del cliente y haga clic en Crear puerta de enlace del cliente.
  3. En el cuadro de diálogo Crear puerta de enlace de cliente, establezca los parámetros siguientes y, a continuación, haga clic en Sí, crear:
    • Etiqueta de nombre. Un nombre para la Gateway del cliente.
    • Lista de rutas. Tipo de enrutamiento entre el dispositivo Citrix ADC y la Gateway privada virtual de AWS para las rutas publicitarias entre sí a través del túnel CloudBridge Connector. Seleccione Enrutamiento estático en la lista Enrutamiento. Nota: El dispositivo Citrix ADC no admite el protocolo BGP en un túnel de CloudBridge Connector a AWS Gateway. Por lo tanto, se deben utilizar rutas estáticas adecuadas a ambos lados del túnel CloudBridge Connector para enrutar correctamente el tráfico a través del túnel.
    • Dirección IP. Dirección IP del extremo del túnel de CloudBridge Connector enrutable a Internet en el lado Citrix ADC. La dirección IP puede ser una dirección IP de subred (SNIP) propiedad de Citrix ADC enrutable por Internet o, si el dispositivo Citrix ADC está detrás de un dispositivo NAT, una dirección IP NAT enrutable por Internet que represente la dirección SNIP.

Imagen localizada

Para crear una Gateway privada virtual y adjuntarla a una VPC

  1. Vaya a Conexiones VPN > Puertas de enlace privadas virtuales y, a continuación, haga clic en Crear puerta de enlace privada virtual.
  2. Escriba un nombre para la Gateway privada virtual y, a continuación, haga clic en Sí, Crear.

Imagen localizada

  1. Seleccione la Gateway privada virtual que creó y, a continuación, haga clic en Adjuntar a VPC.
  2. En el cuadro de diálogo Adjuntar a VPC, seleccione la VPC de la lista y, a continuación, elija Sí, Adjuntar.

Imagen localizada

Para crear una conexión VPN:

  1. Vaya a Conexiones VPN > Conexiones VPN y, a continuación, haga clic en Crear conexión VPN.
  2. En el cuadro de diálogo Crear conexión VPN, establezca los siguientes parámetros y, a continuación, elija Sí, Crear:
    • Etiqueta de nombre. Nombre para la conexión VPN.
    • Puerta deenlace privada virtual. Seleccione la Gateway privada virtual que creó anteriormente.
    • Puerta de enlace del cliente. Seleccione Existente. A continuación, en la lista desplegable, seleccione la Gateway del cliente que creó anteriormente.
    • Opciones de enrutamiento. Tipo de enrutamiento entre la Gateway privada virtual y la Gateway del cliente (dispositivo Citrix ADC). Seleccione Estático. En el campo Prefijos de IP estáticos, especifique los prefijos IP para la subred en el lado Citrix ADC, separados por comas.

Imagen localizada

Para habilitar la propagación de rutas:

  1. Desplácese hasta Tablas de ruta y seleccione la tabla de enrutamiento asociada a la subred cuyo tráfico va a atravesar el túnel de CloudBridge Connector.

Nota

De forma predeterminada, esta es la tabla de enrutamiento principal para la VPC.

  1. En la ficha Propagación de rutas del panel de detalles, elija Modificar, seleccione la puerta de enlace privada virtual y, a continuación, elija Guardar.

Para introducir manualmente rutas estáticas:

  1. Desplácese hasta Tablas de enrutamiento y seleccione la tabla de enrutamiento.
  2. En la ficha Rutas, haga clic en Modificar.
  3. En el campo Destino, introduzca la ruta estática utilizada por el túnel del conector de CloudBridge (conexión VPN).
  4. Seleccione el ID de Gateway privada virtual en la lista Destino y, a continuación, haga clic en Guardar.

Para descargar el archivo de configuración:

  1. Vaya a Conexión VPN, seleccione una conexión VPN y, a continuación, haga clic en Descargar configuración.
  2. En el cuadro de diálogo Configuración de descarga, establezca los parámetros siguientes y, a continuación, haga clic en Sí, descargar.
    • Vendedor. Seleccione Genérico.
    • Plataforma. Seleccione Genérico.
    • Software. Seleccione el proveedor independiente.

Configuración del dispositivo Citrix ADC para el túnel de CloudBridge Connector

Para configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y una Gateway privada virtual en la nube de AWS, realice las siguientes tareas en el dispositivo Citrix ADC. Puede utilizar la línea de comandos Citrix ADC o la GUI.

  • Cree un perfil IPSec. Una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión IKE, el algoritmo de cifrado, el algoritmo hash y PSK que utilizará el protocolo IPSec en el túnel de CloudBridge Connector.

  • Cree un túnel IP que utilice el protocolo IPSec y asocie el perfil IPSec con él. Un túnel IP especifica la dirección IP local (una dirección SNIP configurada en el dispositivo Citrix ADC), la dirección IP remota (la dirección IP pública de la Gateway privada virtual en AWS), el protocolo (IPSec) utilizado para configurar el túnel CloudBridge Connector y una entidad de perfil IPSec. La entidad de túnel IP creada también se denomina entidad de túnel CloudBridge Connector.
  • Cree una regla PBR y asociarla con el túnel IP. Una entidad PBR especifica un conjunto de reglas y una entidad de túnel IP (túnel CloudBridge Connector). El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino son las condiciones para la entidad PBR. Establezca el intervalo de direcciones IP de origen para especificar la subred del lado de Citrix ADC cuyo tráfico va a atravesar el túnel y establezca el intervalo de direcciones IP de destino para especificar la subred de AWS VPC cuyo tráfico va a atravesar el túnel de CloudBridge Connector. Cualquier paquete de solicitud que se origina en un cliente de la subred del lado Citrix ADC y esté destinado a un servidor de la subred de la nube de AWS y que coincida con el rango IP de origen y destino de la entidad PBR, se envía a través del túnel de CloudBridge Connector asociado a la entidad PBR.

Para crear un perfil IPSEC mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add ipsec profile <name> -psk <string> -**ikeVersion** v1
  • show ipsec profile** <name>

Para crear un túnel IPSEC y enlazar el perfil IPSEC con él mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP** <subnet-range> -*ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Los siguientes comandos crean toda la configuración del dispositivo Citrix ADC NS_Appliance-1 utilizado en “Ejemplo de configuración y flujo de datos de CloudBridge Connector.”

    > add ipsec profile NS_AWS_IPSec_Profile -psk  DkiMgMdcbqvYREEuIvxsbKkW0Foyabcd -ikeVersion v1 –lifetime 31536000
    Done
    > add iptunnel NS_AWS_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 –protocol IPSEC –ipsecProfileName NS_AWS_IPSec_Profile

    Done
    > add pbr NS_AWS_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_AWS_Tunnel
    Done

    > apply pbrs

    Done

Para crear un perfil IPSEC mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Conector de CloudBridge > Perfil de IPSec.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Agregar perfil IPSec, defina los siguientes parámetros:

    • Nombre
    • Algoritmo de cifrado
    • Algoritmo hash
    • Versión del protocolo IKE (seleccione V1)
  4. Seleccione el método de autenticación de clave previamente compartida y establezca el parámetro Claves previamente compartidas.
  5. Haga clic en Crear y, a continuación, haga clic en Cerrar.

Para crear un túnel IP y enlazar el perfil IPSEC con él mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Conector de CloudBridge > Túneles IP.
  2. En la ficha Túneles IPv4, haga clic en Agregar.
  3. En el cuadro de diálogo Agregar túnel IP, establezca los siguientes parámetros:

    • Nombre
    • IP remota
    • Máscara remota
    • Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred).
    • IP local (todas las direcciones IP configuradas del tipo IP seleccionado se encuentran en la lista desplegable de IP local. Seleccione la IP deseada de la lista.)
    • Protocolo
    • Perfil IPSec
  4. Haga clic en Crear y, a continuación, haga clic en Cerrar.

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Red > PBR.

  2. En la ficha PBR, haga clic en Agregar.

  3. En el **cuadro de diálogo **Crear PBR, defina los siguientes parámetros:

    • Nombre
    • Acción
    • Tipo de salto siguiente (Seleccionar túnel IP)
    • Nombre del túnel IP
    • IP de origen bajo
    • IP de origen alto
    • IP de destino bajo
    • IP de destino alto
  4. Haga clic en Crear y, a continuación, haga clic en Cerrar.

La nueva configuración de túnel de CloudBridge Connector correspondiente en el dispositivo Citrix ADC aparece en la GUI.

El estado actual del túnel del conector de CloudBridge se muestra en el panel Connector configurado de CloudBridge. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo Citrix ADC mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas del túnel de CloudBridge Connector en un dispositivo Citrix ADC, consulte Supervisión de túneles de conectores de CloudBridge.