Puerta de enlace de capa de aplicación para protocolo IPSec
Si la comunicación entre dos dispositivos de red (por ejemplo, cliente y servidor) utiliza el protocolo IPSec, el tráfico IKE (que es sobre UDP) utiliza campos de puerto, pero el tráfico de carga de seguridad encapsuladora (ESP) no lo hace. Si un dispositivo NAT en la ruta asigna la misma dirección IP NAT (pero puertos diferentes) a dos o más clientes en el mismo destino, el dispositivo NAT no puede distinguir y enrutar correctamente el tráfico ESP de retorno no contiene información de puerto. Por lo tanto, el tráfico ESP IPSec falla en el dispositivo NAT.
Los extremos IPSec compatibles con NAT-T (NAT-T) detectan la presencia de un dispositivo NAT intermedio durante la fase 1 de IKE y conmutan al puerto UDP 4500 para todo el tráfico IKE y ESP subsiguiente (encapsulando ESP en UDP). Sin compatibilidad con NAT-T en los extremos IPSec del mismo nivel, el tráfico ESP protegido IPSec se transmite sin encapsulación UDP. Por lo tanto, el tráfico ESP IPSec falla en el dispositivo NAT.
El dispositivo Citrix ADC admite la funcionalidad de Gateway de capa de aplicación (ALG) IPSec para configuraciones NAT a gran escala. El ALG IPSec procesa el tráfico ESP IPSec y mantiene la información de sesión para que el tráfico no se produzca un error cuando los extremos IPSec no admiten NAT-T (encapsulación UDP del tráfico ESP).
Cómo funciona IPSec ALG
Un ALG IPSec supervisa el tráfico IKE entre un cliente y el servidor y permite solo un intercambio de mensajes IKE fase 2 entre el cliente y el servidor en un momento dado.
Una vez que se reciben los paquetes ESP bidireccionales para un flujo determinado, el ALG IPSec crea una sesión NAT para este flujo concreto de modo que el tráfico ESP posterior pueda fluir sin problemas. El tráfico ESP se identifica mediante índices de parámetros de seguridad (SPI), que son únicos para un flujo y para cada dirección. Un ALG IPSec utiliza SPI ESP en lugar de puertos de origen y destino para realizar NAT a gran escala.
Si una puerta no recibe tráfico, el tiempo de espera. Tras el tiempo de espera de ambas puertas, se permite otro intercambio de fase 2 de IKE.
Tiempos de espera IPSec ALG
IPSec ALG en un dispositivo Citrix ADC tiene tres parámetros de tiempo de espera:
- Tiempo deespera de puerta ESP. Tiempo máximo que el dispositivo Citrix ADC bloquea una puerta ALG IPSec para un cliente concreto en una dirección IP NAT específica para un servidor determinado si no se intercambia tráfico ESP bidireccional entre el cliente y el servidor.
- Tiempo deespera de sesión IKE. Tiempo máximo que el dispositivo Citrix ADC conserva la información de sesión IKE antes de quitarla si no hay tráfico IKE para esa sesión.
- Tiempo deespera de la sesión ESP. Tiempo máximo que el dispositivo Citrix ADC conserva la información de sesión ESP antes de eliminarla si no hay tráfico ESP para esa sesión.
Puntos a considerar antes de configurar IPSec ALG
Antes de comenzar a configurar IPSec ALG, tenga en cuenta los siguientes puntos:
- Debe comprender los diferentes componentes del protocolo IPSec.
- IPSec ALG no es compatible con las configuraciones DS-Lite y NAT64 de gran escala.
- IPsec ALG no es compatible con el flujo LSN de horquilla.
- IPSec ALG no funciona con configuraciones RNAT.
- IPsec ALG no es compatible con los clústeres de Citrix ADC.
Pasos de configuración
La configuración de IPSec ALG para NAT44 a gran escala en un dispositivo Citrix ADC consta de las siguientes tareas:
-
Cree un perfil de aplicación LSN y vincularlo a la configuración de LSN. Defina los siguientes parámetros al configurar un perfil de aplicación:
- Protocolo=UDP
- Agrupamiento de IP = PAIRED
- Port=500
Enlace el perfil de aplicación al grupo LSN de una configuración LSN. Para obtener instrucciones sobre cómo crear una configuración de LSN, consulte Pasos de configuración para LSN.
-
Cree un perfil ALG IPSec. Un perfil IPSec incluye varios tiempos de espera IPSec, como tiempo de espera de sesión IKE, tiempo de espera de sesión ESP y tiempo de espera de puerta ESP. Vincular un perfil ALG IPSec a un grupo LSN. Un perfil ALG IPSec tiene la siguiente configuración predeterminada:
- Tiempo de espera de la sesión IKE = 60 minutos
- Tiempo de espera de la sesión ESP = 60 minutos
- Tiempo de espera de puerta ESP = 30 segundos
- Enlace el perfil ALG IPSec a la configuración LSN. IPSec ALG está habilitado para una configuración LSN cuando se vincula un perfil IPSec ALG a la configuración LSN. Enlace el perfil IPSec ALG a la configuración LSN estableciendo el parámetro de perfil IPSec ALG en el nombre del perfil creado en el grupo LSN. Un perfil ALG IPSec se puede enlazar a varios grupos LSN, pero un grupo LSN solo puede tener un perfil ALG IPSec.
Para crear un perfil de aplicación LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
add lsn appsprofile <appsprofilename> UDP -ippooling PAIRED
show lsn appsprofile
Para enlazar el puerto de destino al perfil de aplicación LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind lsn appsprofile <appsprofilename> <lsnport>
show lsn appsprofile
Para enlazar un perfil de aplicación LSN a un grupo LSN mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba:
bind lsn group <groupname> -appsprofilename <string>
show lsn group
Para crear un perfil ALG IPSec mediante la CLI
En el símbolo del sistema, escriba:
add ipsecalg profile <name> [-ikeSessionTimeout <positive_integer>] [-espSessionTimeout <positive_integer>] [-espGateTimeout <positive_integer>] [-connfailover ( ENABLED | DISABLED)
show ipsecalg profile <name>
Para enlazar un perfil ALG IPSec a una configuración LSN mediante la CLI
En el símbolo del sistema, escriba:
bind lsn group <groupname> -poolname <string> - ipsecAlgProfile <string>
show lsn group <name>
Para crear un perfil de aplicación LSN y vincularlo a una configuración LSN mediante la interfaz gráfica de usuario
Vaya a Sistema > NAT a gran escala > Perfiles, haga clic en la ficha Aplicación, agregue un perfil de aplicación LSN y enlácelo a un grupo LSN.
Para crear un perfil ALG IPSec mediante la interfaz gráfica de usuario**
Vaya a Sistema > NAT a gran escala > Perfiles, haga clic en la ficha ALG IPSEC y, a continuación, agregue un perfil ALG IPSec.
Para enlazar un perfil ALG IPSec a una configuración LSN mediante la interfaz gráfica de usuario**
- Vaya a Sistema > NAT a gran escala > Grupo LSN, abra el grupo LSN.
- En Configuración avanzada, haga clic en + Perfil ALG IPSEC para enlazar el perfil ALG IPSec creado al grupo LSN.
Configuración de ejemplo
En el siguiente ejemplo de configuración NAT44 a gran escala, IPSec ALG está habilitado para suscriptores en la red 192.0.2.0/24. IPSec ALG perfil IPSECALGPROFILE-1 con varias configuraciones de tiempo de espera IPSec se crea y se vincula al grupo LSN LSN Grupo -1.
Configuración de ejemplo:
add lsn client LSN-CLIENT-1
Done
bind lsn client LSN-CLIENT-1 -network 192.0.2.0 -netmask 255.255.255.0
Done
add lsn pool LSN-POOL-1
Done
bind lsn pool LSN-POOL-1 203.0.113.3-203.0.113.9
Done
add lsn appsprofile LSN-APPSPROFILE-1 UDP -ippooling PAIRED
Done
bind lsn appsprofile LSN-APPSPROFILE-1 500
Done
add ipsecalg profile IPSECALGPROFILE-1 -ikeSessionTimeout 45 –espSessionTimeout 40 –espGateTimeout 20 -connfailover ENABLED
Done
bind lsn group LSN-GROUP-1 -appsprofilename LSN-APPSPROFILE-1
Done
bind lsn group LSN-GROUP-1 -poolname LSN-POOL-1
Done
bind lsn group LSN-GROUP-1 - ipsecAlgProfile IPSECALGPROFILE-1
Done