Citrix SD-WAN WANOP

Configurar el túnel del conector de nube entre dos centros de datos

Puede configurar un túnel de Citrix Cloud Connector entre dos centros de datos diferentes para ampliar la red sin reconfigurarla y aprovechar las capacidades de los dos centros de datos. Un túnel de Citrix Cloud Connector entre los dos centros de datos separados geográficamente le permite implementar redundancia y proteger la configuración de fallos. El túnel Citrix Cloud Connector ayuda a lograr una utilización óptima de la infraestructura y los recursos en dos centros de datos. Las aplicaciones disponibles en los dos centros de datos aparecen como locales para el usuario.

Para conectar un centro de datos a otro centro de datos, configure un túnel Citrix Cloud Connector entre un dispositivo SD-WAN WANOP 4000/5000 que reside en un centro de datos y otro dispositivo SD-WAN WANOP 4000/5000 que reside en el otro centro de datos.

Para comprender cómo se configura un túnel de Citrix Cloud Connector entre dos centros de datos diferentes, considere un ejemplo en el que se configura un túnel de Cloud Connector entre el dispositivo Citrix CB_4000/5000-1 en el centro de datos DC1 y el dispositivo Citrix CB_4000/5000-2 en el centro de datos DC2.

Imagen localizada

Tanto CB_ 4000/5000-1 como CB_4000/5000-2 funcionan en modo de un brazo (WCCP/PBR). Permiten la comunicación entre redes privadas en centros de datos DC1 y DC2. Por ejemplo, CB_ 4000/5000-1 y CB_4000/5000-2 permiten la comunicación entre el cliente CL1 en el centro de datos DC1 y el servidor S1 en el centro de datos DC2 a través del túnel Citrix Cloud Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

Para una comunicación adecuada entre CL1 y S1, el modo L3 está habilitado en NS_VPX_CB_ 4000/5000-1 y NS_VPX_CB_ 4000/5000-2, y las rutas se configuran de la siguiente manera:

  • El router R1 tiene una ruta para llegar a S1 a través de NS_VPX_CB_ 4000/5000-1.

  • NS_VPX_CB_ 4000/5000_1 tiene una ruta para llegar a NS_VPX-CB_4000/5000-2 a través de R1.

  • S1 debe tener una ruta que llegue a CL1 a través de NS_VPX-CB_4000/5000-2.

  • NS_VPX-CB_ 4000/5000-2 tiene una ruta para llegar a NS_VPX_CB_4000/5000-1 a R2.

La siguiente tabla muestra la configuración de CB_4000/5000-1 en el centro de datos DC1.

Entidad Nombre Detalles
Dirección IP del cliente CL1   10.102.147.10
Parámetros en el dispositivo NAT-Dev-1    
Dirección IP NAT en el lado público   203.0.113.30*
Dirección IP NAT en el lado privado   10.10.7.70
Configuración en CB_4000/5000-1    
Dirección IP del servicio de gestión de CB_4000/5000-1   10.10.1.10
Configuración en NS_VPX_CB_4000/5000-1 que se ejecuta en CB_4000/5000-1    
La dirección NSIP   10.10.1.20
Dirección SNIP   10.10.5.30
Túnel Cloud Connector Cloud_Connector_DC1-DC2 Dirección IP del extremo local del túnel de Citrix Cloud Connector = 10.10.5.30, dirección IP del extremo remoto del túnel de Citrix Cloud Connector = 203.0.210.30*
    Detalles del túnel GRE
    Nombre = Cloud_Connector_DC1-DC2
    Detalles del perfil IPSec
    Nombre = Cloud_Connector_DC1-DC2, Algoritmo de cifrado = AES, Algoritmo hash = HMAC SHA1
Ruta basada en políticas CBC_DC1_DC2_PBR Rango IP de origen = Subred en datacenter1 = 10.102.147.0-10.102.147.255, Intervalo IP de destino = Subred en datacenter2 = 10.20.20.0-10.20.20.255, Tipo de salto siguiente = túnel IP, Nombre del túnel IP = CBC_DC1_DC2

*Deben ser direcciones IP públicas.

En la siguiente tabla se enumeran los parámetros de CB-4000/5000-2 en el centro de datos DC2.

Entidad Nombre Detalles
Dirección IP del servidor S1   10.20.20.10
Parámetros en el dispositivo NAT-Dev-2    
Dirección IP NAT en el lado público   203.0.210.30*
Dirección IP NAT en el lado privado   10.10.8.80
Configuración en CB_4000/5000-2    
Dirección IP del servicio de administración de CB_SDX-1   10.10.2.10
Configuración en NS_VPX_CB_4000/5000-2 que se ejecuta en CB_4000/5000-2    
La dirección NSIP   10.10.2.20
Dirección SNIP   10.10.6.30
Túnel de Citrix Cloud Connector Cloud_Connector_DC1-DC2 Dirección IP del extremo local del túnel de Citrix Cloud Connector = 10.10.6.30, dirección IP del extremo remoto del túnel de Citrix Cloud Connector = 203.0.113.30*
    Detalles del túnel GRE
    Nombre = Cloud_Connector_DC1-DC2
    Detalles del perfil IPSec
    Nombre = Cloud_Connector_DC1-DC2, Algoritmo de cifrado = AES, Algoritmo hash = HMAC SHA1
Ruta basada en políticas CBC_DC1_DC2_PBR Rango IP de origen = Subred en datacenter2 = 10.20.20.0-10.20.20.255, Intervalo IP de destino = Subred en datacenter1 = 10.102.147.0-10.102.147.255, Tipo de salto siguiente = túnel IP, Nombre del túnel IP = CBC_DC1_DC2

*Deben ser direcciones IP públicas.

A continuación se muestra el flujo de tráfico en el túnel de Citrix Cloud Connector:

  1. El cliente CL1 envía una solicitud al servidor S1.

  2. La solicitud llega al dispositivo virtual de Citrix NS_VPX_CB_4000/5000-1 que se ejecuta en el dispositivo Citrix SD-WAN WANOP CB_4000/5000-1.

  3. NS_VPX_CB_ 4000/5000-1 reenvía el paquete a una de las instancias WANOP de SD-WAN que se ejecutan en el dispositivo de Citrix SD-WAN WANOP CB_4000/5000-1 para la optimización de WAN. Después de procesar el paquete, la instancia WANOP de SD-WAN devuelve el paquete a NS_VPX_CB_4000/5000-1.

  4. El paquete de solicitud coincide con la condición especificada en la entidad PBR CBC_DC1_DC2_PBR (configurada en NS_VPX_CB_4000/5000-1), porque la dirección IP de origen y la dirección IP de destino del paquete de solicitud pertenecen al intervalo IP de origen y al intervalo IP de destino, respectivamente, establecidos en CBC_DC1_DC2_PBR.

  5. Dado que el túnel CBC_DC1_DC2_PBR está enlazado a CBC_DC1_DC2_PBR, el dispositivo prepara el paquete para que se envíe a través del túnel Cloud_Connector_DC1-DC2.

  6. NS_VPX_CB_ 4000/5000-1 utiliza el protocolo GRE para encapsular cada uno de los paquetes de solicitud mediante la adición de un encabezado GRE y un encabezado IP GRE al paquete. En el encabezado IP GRE, la dirección IP de destino es la dirección del punto final del túnel del conector de nube (Cloud_Connector_DC1-DC2) en el centro de datos DC2.

  7. Para el túnel de Cloud Connector Cloud_Connector_DC1-DC2, NS_VPX_CB_4000/5000-1 comprueba los parámetros de asociación de seguridad (SA) StoredIPSec para procesar paquetes salientes, según lo acordado entre NS_VPX_CB_4000/5000-1 y NS_VPX_CB_4000/5000-2. El protocolo IPSec Encapsulating Security Payload (ESP) en NS_VPX_CB_4000/5000-1 utiliza estos parámetros de SA para los paquetes salientes, para cifrar la carga útil del paquete encapsulado GRE.

  8. El protocolo ESP garantiza la integridad y confidencialidad del paquete mediante la función hash HMAC y el algoritmo de cifrado especificado para el túnel Cloud_Connector_DC1-DC2 de Citrix Cloud Connector. El protocolo ESP, después de cifrar la carga útil GRE y calcular el HMAC, genera un encabezado ESP y un remolque ESP y los inserta antes y al final de la carga útil GRE cifrada, respectivamente.

  9. NS_VPX_CB_4000/5000-1 envía el paquete resultante NS_VPX_CB_4000/5000-2.

  10. NS_VPX_CB_4000/5000-2 comprueba los parámetros de asociación de seguridad (SA) IPSec almacenados para procesar paquetes entrantes, según lo acordado entre CB_DC-1 y NS_VPX-AWS para el túnel de Cloud Connector Cloud_Connector_DC1-DC2. El protocolo ESP IPSec en NS_VPX_CB_4000/5000-2 utiliza estos parámetros de SA para los paquetes entrantes y el encabezado ESP del paquete de solicitud para descifrar el paquete.

  11. NS_VPX_CB_4000/5000-2 luego descapsulará el paquete mediante la eliminación del encabezado GRE.

  12. NS_VPX_CB_4000/5000-2 reenvía el paquete resultante a CB_VPX_CB_4000/5000-2, que aplica el procesamiento relacionado con la optimización WAN al paquete. CB_VPX_CB_4000/5000-2 devuelve el paquete resultante a NS_VPX_CB_4000/5000-2.

  13. El paquete resultante es el mismo que recibió CB_VPX_CB_4000/5000-2 en el paso 2. Este paquete tiene la dirección IP de destino establecida en la dirección IP del servidor S1. NS_VPX_CB_4000/5000-2 reenvía este paquete al servidor S1.

  14. S1 procesa el paquete de solicitud y envía un paquete de respuesta. La dirección IP de destino del paquete de respuesta es la dirección IP del cliente CL1 y la dirección IP de origen es la dirección IP del servidor S1.

Configurar el túnel del conector de nube entre dos centros de datos