Interoperabilidad de CloudBridge Connector: F5 BIG-IP

Puede configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo F5 BIG-IP para conectar dos centros de datos o ampliar la red a un proveedor de nube. El dispositivo Citrix ADC y el dispositivo F5 BIG-IP forman los puntos finales del túnel CloudBridge Connector y se denominan pares.

Ejemplo de configuración de túnel de CloudBridge Connector

Como ilustración del flujo de tráfico en un túnel de CloudBridge Connector, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre los siguientes dispositivos:

  • Dispositivo Citrix ADC NS_Appliance-1 en un centro de datos designado como Datacenter-1
  • Dispositivo F5 BIG-IP F5-BIG-IP-Spliance-1 en un centro de datos designado como Datacenter-2

NS_Appliance-1 y F5-Big-IP-Appliance-1 permiten la comunicación entre redes privadas en Datacenter-1 y Datacenter-2 a través del túnel CloudBridge Connector. En el ejemplo, NS_Appliance-1 y F5-Big-IP-Appliance-1 permiten la comunicación entre el cliente CL1 en Datacenter-1 y el servidor S1 en Datacenter-2 a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

En NS_Appliance-1, la configuración del túnel de CloudBridge Connector incluye la entidad de perfil IPSec NS_F5-Big-IP_IPSEC_Profile, la entidad de túnel del conector de CloudBridge NS_F5-Big-IP_Tunnel y la entidad de enrutamiento basado en políticas (PBR) NS_F5-Big-IP_PBR.

Imagen localizada

Para obtener más información, consulte el PDF F5 IP grande.

Puntos a tener en cuenta para una configuración de túnel de CloudBridge Connector

  • El dispositivo Citrix ADC está en funcionamiento, está conectado a Internet y también está conectado a las subredes privadas cuyo tráfico se va a proteger a través del túnel CloudBridge Connector.
  • El dispositivo F5 BIG-IP está en funcionamiento, está conectado a Internet y también está conectado a las subredes privadas cuyo tráfico se va a proteger a través del túnel CloudBridge Connector.
  • La siguiente configuración de IPSec se admite para un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo F5 BIG-IP.
    • Modo IPSec: modo túnel
    • Versión IKE: Versión 1
    • Método de autenticación IKE: clave previamente compartida
    • Algoritmo de cifrado IKE: AES
    • Algoritmo hash IKE: HMAC SHA1
    • Algoritmo de cifrado ESP: AES
    • Algoritmo hash ESP: HMAC SHA1
  • Debe especificar la misma configuración IPSec en el dispositivo Citrix ADC y en el dispositivo F5 BIG-IP en los dos extremos del túnel CloudBridge Connector.
  • Citrix ADC proporciona un parámetro común (en perfiles IPSec) para especificar un algoritmo hash IKE y un algoritmo hash ESP. También proporciona otro parámetro común para especificar un algoritmo de cifrado IKE y un algoritmo de cifrado ESP. Por lo tanto, en el dispositivo F5 BIG-IP, debe especificar el mismo algoritmo hash y el mismo algoritmo de cifrado en IKE (configuración de fase 1) y ESP (configuración de fase 2).
  • Debe configurar el firewall en el extremo Citrix ADC y el extremo F5 BIG-IP para permitir lo siguiente.
    • Cualquier paquete UDP para el puerto 500
    • Cualquier paquete UDP para el puerto 4500
    • Cualquier paquete ESP (protocolo IP número 50)

Configuración de F5 BIG-IP para el túnel CloudBridge Connector

Para configurar un túnel de conector CloudBridge entre un dispositivo Citrix ADC y un dispositivo F5 BIG-IP, realice las siguientes tareas en el dispositivo F5 BIG-IP:

  • Cree un servidor virtual de reenvío para IPSec. Un servidor virtual de reenvío intercepta el tráfico IP para el túnel IPSec.
  • Cree un par IKE. Un par IKE especifica los extremos del túnel IPSec locales y remotos. También especifica algoritmos y credenciales que se utilizarán para IPSec IKE fase 1.
  • Cree una directiva IPSec personalizada. Una directiva especifica el protocolo IPSec (ESP) y el modo (túnel) que se utilizará para formar el túnel IPSec. También especifica los algoritmos y parámetros de seguridad que se utilizarán para IKE IPSec fase 2.
  • Cree un selector de tráfico IPSec bidireccional. Un selector de tráfico especifica las subredes F5 BIG-IP y Citrix ADC lado cuyo tráfico IP debe atravesarse a través del túnel IPSec.

Los procedimientos para configurar IPSec VPN (túnel de conector de CloudBridge) en un dispositivo F5 BIG-IP pueden cambiar con el tiempo, dependiendo del ciclo de lanzamiento de F5. Citrix recomienda seguir la documentación oficial de F5 BIG-IP para configurar túneles VPN IPSec, en:

https://f5.com

Para crear un servidor virtual de reenvío para IPSec mediante la GUI F5 BIG-IP

  1. En la ficha Principal, haga clic en Tráfico local > Servidores virtuales y, a continuación, haga clic en Crear.
  2. En la pantalla Nueva lista de servidores virtuales, establezca los siguientes parámetros:
    • Nombre. Escriba un nombre único para el servidor virtual.
    • Tipo. Seleccione Reenvío (IP).
    • Dirección de destino. Escriba una dirección de red comodín en formato CIDR, por ejemplo, 0.0.0.0/0 para IPv4 para aceptar cualquier tráfico.
    • Puerto de servicio. Seleccione Todos los puertos de la lista.
    • Lista de protocolos. Seleccione Todos los protocolos de la lista.
    • VLAN y tráfico de túnel. Conservar la selección predeterminada, Todas las VLAN y túneles.
  3. Haga clic en Finalizado.

Para crear una directiva IPSec personalizada mediante la GUI F5 BIG-IP

  1. En la ficha Principal, haga clic en Red > IPSec > Directivas IPSec y, a continuación, haga clic en Crear.
  2. En la pantalla Nueva directiva, establezca los siguientes parámetros:
    • Nombre. Escriba un nombre único para la directiva.
    • Protocolo IPSec. Conservar la selección predeterminada, ESP.
    • Modo. Seleccione Túnel. La pantalla se actualiza para mostrar configuraciones adicionales relacionadas.
    • Dirección local del túnel. Escriba la dirección IP del extremo del túnel IPSec local (configurada en el dispositivo F5 BIG-IP).
    • Dirección remota del túnel.Escriba la dirección IP del extremo del túnel IPSec remoto (configurada en el dispositivo Citrix ADC).
  3. Para los parámetros IKE Phase 2, conserve los valores predeterminados o seleccione las opciones adecuadas para su implementación.
  4. Haga clic en Finalizado.

Para crear un selector de tráfico IPSec bidireccional mediante la GUI F5 BIG-IP

  1. En la ficha Principal, haga clic en Red > IPSec > Selectores de tráfico y, a continuación, haga clic en Crear.
  2. En la pantalla Nuevo selector de tráfico, establezca los siguientes parámetros:
    • Nombre. Escriba un nombre único para el selector de tráfico.
    • Orden. Conservar el valor predeterminado (First).Esta configuración especifica el orden en que aparece el selector de tráfico en la pantalla Lista del selector de tráfico.
  3. En la lista Configuración, seleccione Avanzadas y defina los siguientes parámetros:
    • Dirección IP de origen. Haga clic en Host o Red y, en el campo Dirección, escriba la dirección de la subred del lado BIG-IP F5 cuyo tráfico se va a proteger a través del túnel IPSec.
    • Puerto de origen. Seleccione * Todos los puertos.
    • Dirección IP de destino. Haga clic en Hosty, en el campo Dirección, escriba la dirección de la subred del lado Citrix ADC cuyo tráfico debe protegerse a través del túnel IPSec.
    • Puerto de destino. Seleccione * Todos los puertos.
    • Protocolo. Seleccione * Todos los protocolos.
    • Dirección. Seleccione Ambos.
    • Acción. Seleccione Proteger. Aparece la configuración Nombre de directiva IPSec.
    • Nombre de directiva IPSec. Seleccione el nombre de la directiva IPSec personalizada que creó.
  4. Haga clic en Finalizado.

Configuración del dispositivo Citrix ADC para el túnel de CloudBridge Connector

Para configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo F5 BIG-IP, realice las siguientes tareas en el dispositivo Citrix ADC. Puede utilizar la línea de comandos de Citrix ADC o la interfaz gráfica de usuario (GUI) de Citrix ADC:

  • Cree un perfil IPSec. Una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión IKE, el algoritmo de cifrado, el algoritmo hash y el método de autenticación que utilizará el protocolo IPSec en el túnel de CloudBridge Connector.
  • Cree un túnel IP que utilice el protocolo IPSec y asocie el perfil IPSec con él. Un túnel IP especifica la dirección IP local (dirección IP de punto final del túnel de CloudBridge Connector (de tipo SNIP) configurada en el dispositivo Citrix ADC), la dirección IP remota (dirección IP del extremo del túnel de CloudBridge Connector configurada en el dispositivo F5 BIG-IP), el protocolo (IPSec) utilizado para configurar CloudBridge Túnel de conector y una entidad de perfil IPSec. La entidad de túnel IP creada también se denomina entidad de túnel CloudBridge Connector.
  • Cree una regla PBR y asociarla con el túnel IP. Una entidad PBR especifica un conjunto de reglas y una entidad de túnel IP (túnel CloudBridge Connector). El intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino son las condiciones para la entidad PBR. Establezca el intervalo de direcciones IP de origen para especificar la subred del lado de Citrix ADC cuyo tráfico se va a proteger a través del túnel, y establezca el intervalo de direcciones IP de destino para especificar la subred del lado BIG-IP F5 cuyo tráfico se va a proteger a través del túnel.

Para crear un perfil IPSEC mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLE
  • show ipsec profile** <name>

Para crear un túnel IPSEC y enlazar el perfil IPSEC con él mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la línea de comandos de Citrix ADC

En el símbolo del sistema, escriba:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Para crear un perfil IPSEC mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Conector de CloudBridge > IPSecProfile.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Agregar perfil IPSec, establezca los siguientes parámetros:
    • Nombre
    • Algoritmo de cifrado
    • Algoritmo hash
    • Versión del protocolo IKE
  4. Configure el método de autenticación IPSec que utilizarán los dos pares del túnel de CloudBridge Connector para autenticarse mutuamente: seleccione el método de autenticación de clave previamente compartida y establezca el parámetro Claves previamente compartidas.
  5. Haga clic en Creary, a continuación, haga clic en Cerrar.

Para crear un túnel IP y enlazar el perfil IPSEC con él mediante la interfaz gráfica de usuario

  1. Desplácese hasta Sistema > Conector de CloudBridge > Túneles IP.
  2. En la ficha Túneles IPv4, haga clic en Agregar.
  3. En la página Agregar IP de túnel, establezca los siguientes parámetros:
    • Nombre
    • IP remota
    • Máscara remota
    • Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred).
    • IP local (todas las direcciones IP configuradas del tipo IP seleccionado se encuentran en la lista desplegable de IP local. Seleccione la IP deseada de la lista.)
    • Protocolo
    • Perfil IPSec
  4. Haga clic en Creary, a continuación, haga clic en Cerrar.

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Red > PBR.
  2. En la ficha PBR, haga clic en Agregar.
  3. En la página Crear PBR, defina los siguientes parámetros:
    • Nombre
    • Acción
    • Tipo de salto siguiente (Seleccionar túnel IP)
    • Nombre del túnel IP
    • IP de origen bajo
    • IP de origen alto
    • IP de destino bajo
    • IP de destino alto
  4. Haga clic en Creary, a continuación, haga clic en Cerrar.

La nueva configuración de túnel de CloudBridge Connector correspondiente en el dispositivo Citrix ADC aparece en la GUI. El estado actual del túnel del conector de CloudBridge se muestra en el panel Connector configurado de CloudBridge. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Los siguientes comandos crean la configuración del dispositivo Citrix ADC NS_Appliance-1 en “Ejemplo de una configuración de conector de CloudBridge. :

    >  add ipsec profile NS_F5-BIG-IP_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE


    Done

    >  add iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_F5-BIG-IP_IPSec_Profile


    Done

    > add pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_F5-BIG-IP_Tunnel


    Done

    > apply pbrs


    Done

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo Citrix ADC mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas del túnel de CloudBridge Connector en un dispositivo Citrix ADC, consulte Supervisión de túneles de conectores de CloudBridge.