Citrix ADC

Configuración de un túnel de CloudBridge Connector entre dos centros de datos

Puede configurar un túnel de CloudBridge Connector entre dos centros de datos diferentes para ampliar la red sin reconfigurarla y aprovechar las capacidades de los dos centros de datos. Un túnel de CloudBridge Connector entre los dos centros de datos separados geográficamente le permite implementar redundancia y proteger su configuración de fallos. El túnel CloudBridge Connector ayuda a lograr una utilización óptima de la infraestructura y los recursos en todos los centros de datos. Las aplicaciones disponibles en los dos centros de datos aparecen como locales para el usuario.

Para conectar un centro de datos a otro centro de datos, configure un túnel de CloudBridge Connector entre un dispositivo Citrix ADC en un centro de datos y un dispositivo Citrix ADC en el otro centro de datos.

Como ilustración del túnel de CloudBridge Connector entre centros de datos, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre el dispositivo Citrix ADC NS_Appliance-1 en el centro de datos DC1 y el dispositivo Citrix ADC NS_Appliance-2 en el centro de datos DC2.

Imagen localizada

Ambos NS_Appliance-1 y NS_Appliance-2 funcionan en modo L2 y L3. Permiten la comunicación entre redes privadas en centros de datos DC1 y DC2. En el modo L3, NS_Appliance-1 y NS_Appliance-2 habilitan la comunicación entre el cliente CL1 en el centro de datos DC1 y el servidor S1 en el centro de datos DC2 a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

Dado que el cliente CL1 y el servidor S1 están en diferentes redes privadas, el modo L3 está habilitado en NS_Appliance-1 y NS_Appliance-2, y las rutas se actualizan de la siguiente manera:

  • CL1 tiene una ruta a NS_Appliance-1 para llegar a S1.
  • NS_appliance-1 tiene una ruta a NS_appliance-2 para llegar a S1.
  • S1 tiene una ruta a NS_Appliance-2 para llegar a CL1.
  • NS_Appliance-2 tiene una ruta a NS_Appliance-1 para llegar a CL1.

En la tabla siguiente se enumeran las opciones de configuración del dispositivo Citrix ADC NS_Appliance-1 en el centro de datos DC1.

En la tabla siguiente se enumeran las opciones de configuración del dispositivo Citrix ADC NS_Appliance-2 en el centro de datos DC2.

Entidad Nombre Detalles
La dirección NSIP   198.51.100.12
Dirección SNIP   198.51.100.15
Túnel del conector CloudBridge Cloud_Connector_DC1-DC2 1. Dirección IP del extremo local del túnel CloudBridge Connector: 198.51.100.15, 2. Dirección IP del extremo remoto del túnel CloudBridge Connector: 203.0.113.133. Detalles del túnel GRE Nombre = Cloud_Connector_DC1-DC2, Detalles del perfil IPsec Nombre = Cloud_Connector_DC1-DC2, Algoritmo de cifrado = AES, Algoritmo de hash = HMAC SHA1

Puntos a tener en cuenta para configurar el túnel de CloudBridge Connector

Antes de configurar un túnel de CloudBridge Connector, compruebe que se han completado las siguientes tareas:

  1. Implemente y configure un dispositivo Citrix ADC en cada uno de los dos centros de datos.
  2. Asegúrese de que las direcciones IP de punto final del túnel CloudBridge Connector sean accesibles entre sí.

Procedimiento de configuración

Para configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC que reside en un centro de datos y otro dispositivo Citrix ADC que reside en el otro centro de datos, utilice la GUI o la interfaz de línea de comandos de uno de los dispositivos Citrix ADC.

Cuando se utiliza la GUI, la configuración del túnel de CloudBridge Connector creada en el primer dispositivo Citrix ADC se envía automáticamente al otro extremo (el otro dispositivo Citrix ADC) del túnel de CloudBridge Connector. Por lo tanto, no es necesario acceder a la GUI del otro dispositivo Citrix ADC para crear la configuración de túnel de CloudBridge Connector correspondiente en él.

La configuración del túnel de CloudBridge Connector en cada uno de los dispositivos Citrix ADC consta de las siguientes entidades:

  • Perfil IPSec: Una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión IKE, el algoritmo de cifrado, el algoritmo hash y PSK, que utilizará el protocolo IPSec en el túnel de CloudBridge Connector.
  • Túnel GRE: Un túnel IP especifica la dirección IP local (una dirección SNIP pública configurada en el dispositivo Citrix ADC local), la dirección IP remota (una dirección SNIP pública configurada en el dispositivo Citrix ADC remoto), el protocolo (GRE) utilizado para configurar el túnel CloudBridge Connector y un IPSec entidad de perfil.
  • Cree una regla PBR y asocie el túnel IP a ella: Una entidad PBR especifica un conjunto de condiciones y una entidad de túnel IP. El intervalo de direcciones IP de origen y el intervalo IP de destino son las condiciones para la entidad PBR. Debe establecer el intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino para especificar la subred cuyo tráfico va a atravesar el túnel del conector de CloudBridge. Por ejemplo, considere un paquete de solicitud que se origina en un cliente de la subred del primer centro de datos y está destinado a un servidor de la subred del segundo centro de datos. Si este paquete coincide con el intervalo de direcciones IP de origen y destino de la entidad PBR en el dispositivo Citrix ADC en el primer centro de datos, se envía a través del túnel CloudBridge Connector asociado a la entidad PBR.

Para crear un perfil IPSEC mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ipsec profile <name> [-ikeVersion ( V1 | V2 )] [-encAlgo ( AES | 3DES ) ...] [-hashAlgo <hashAlgo\> ...] [-lifetime <positive_integer>] (-psk | (-publickey<string> -privatekey <string>-peerPublicKey <string>))[-livenessCheckInterval <positive_intege>][-replayWindowSize \<positive_integer>] [-ikeRetryInterval <positive_integer>] [-retransmissiontime <positive_integer>]

  • show ipsec profile <name>

Para crear un túnel IP y enlazar el perfil IPSEC mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Ejemplo

 add ipsec profile Cloud_Connector_DC1-DC2  -encAlgo AES -hashAlgo HMAC_SHA1
    Done
    > add ipTunnel Cloud_Connector_DC1-DC2 203.0.113.133 255.255.255.255 198.51.100.15 -protocol GRE -ipsecProfileName Cloud_Connector_DC1-DC2

    Done
    > add ns pbr PBR-DC1-DC2 ALLOW -srcIP 198.51.100.15 -destIP 203.0.113.133 ipTunnel Cloud_Connector_DC1-DC2

    Done
    > apply ns pbrs

    Done

Para configurar un túnel de CloudBridge Connector en un dispositivo Citrix ADC mediante la interfaz gráfica de usuario

  1. Escriba la dirección NSIP de un dispositivo Citrix ADC en la línea de direcciones de un explorador web.

  2. Inicie sesión en la GUI del dispositivo Citrix ADC mediante las credenciales de cuenta del dispositivo.

  3. Vaya a Sistema > Conector de CloudBridge.

  4. En el panel derecho, en Introducción, haga clic en Crear/Supervisar CloudBridge.

    La primera vez que configure un túnel de CloudBridge Connector en el dispositivo, aparece una pantalla de bienvenida.

  5. En la pantalla de bienvenida, haga clic en Introducción.

Imagen localizada

Nota:

Si ya tiene configurado un túnel de CloudBridge Connector en el dispositivo Citrix ADC, la pantalla de bienvenida no aparece, por lo que no hace clic en Comenzar.

  1. En el panel Configuración de CloudBridge Connector, haga clic en Citrix ADC.

Imagen localizada

  1. En el panel Citrix ADC, proporcione las credenciales de su cuenta para el dispositivo Citrix ADC remoto. Haga clic en Continuar.

  2. En el panel Configuración del conector de CloudBridge, establezca el siguiente parámetro:

    • CloudBridge Connector Name: Nombre para la configuración de CloudBridge Connector en el dispositivo local. Debe comenzar con un carácter alfabético ASCII o de subrayado (_) y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar después de crear la configuración de CloudBridge Connector.
  3. En Configuración local, establezca el siguiente parámetro:

    • IP de subred: Dirección IP del extremo local del túnel de CloudBridge Connector.
  4. En Configuración remota, establezca el siguiente parámetro:

    • IP de subred: Dirección IP del punto final del mismo nivel del túnel de CloudBridge Connector.
  5. En Configuración de PBR, establezca los siguientes parámetros:

    • Operación: El igual (=) o no es igual a (! =) operador lógico.
    • IP de origen bajo: La dirección IP de origen más baja para que coincida con la dirección IP de origen de un paquete IPv4 saliente.
    • IP de origen alto: La dirección IP de origen más alta que debe coincidir con la dirección IP de origen de un paquete IPv4 saliente.
    • Operación: El igual (=) o no es igual a (! =) operador lógico.
    • IP de destino Low*: La dirección IP de destino más baja para que coincida con la dirección IP de destino de un paquete IPv4 saliente.
    • DirecciónIP de destino alta: La dirección IP de destino más alta que debe coincidir con la dirección IP de destino de un paquete IPv4 saliente.
  6. (Opcional) En Configuración de seguridad, establezca los siguientes parámetros de protocolo IPSec para el túnel de CloudBridge Connector:

    • Algoritmode cifrado: Algoritmo de cifrado que utilizará el protocolo IPSec en el túnel de CloudBridge.
    • Algoritmo hash: Algoritmo hash que utilizará el protocolo IPSec en el túnel CloudBridge.
    • Clave: Seleccione uno de los siguientes métodos de autenticación IPSec que los dos pares utilizarán para autenticarse mutuamente.
      • Generación automática de clave: Autenticación basada en una cadena de texto, denominada clave previamente compartida (PSK), generada automáticamente por el dispositivo local. Las claves PSK de los pares se comparan entre sí para la autenticación.
      • Clave específica: Autenticación basada en un PSK introducido manualmente. Los PSK de los pares se comparan entre sí para la autenticación.
        • Clave de seguridad precompartida: La cadena de texto introducida para la autenticación basada en claves previamente compartidas.
      • Cargar certificados: Autenticación basada en certificados digitales.
        • Clave pública: Certificado digital local que se utilizará para autenticar el dispositivo Citrix ADC local en el mismo nivel antes de establecer asociaciones de seguridad IPSec. El mismo certificado debe estar presente y configurado para el parámetro Peer Public Key en el peer.
        • Clave privada: Clave privada del certificado digital local.
        • Clave pública del mismo nivel: Certificado digital del mismo nivel. Se utiliza para autenticar el par en el punto final local antes de establecer asociaciones de seguridad IPSec. El mismo certificado debe estar presente y configurado para el parámetro de clave pública en el par.
  7. Haga clic en Listo.

La nueva configuración del túnel de CloudBridge Connector en ambos dispositivos Citrix ADC aparece en la ficha Inicio de la interfaz gráfica de usuario correspondiente. El estado actual del túnel del conector de CloudBridge se indica en el panel Connectors configurados de CloudBridge. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo Citrix ADC mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas del túnel de CloudBridge Connector en un dispositivo Citrix ADC, consulte Supervisión de túneles de conectores de CloudBridge.

Configuración de un túnel de CloudBridge Connector entre dos centros de datos