IPSec

2021年8月20日

Contributeur:

Si la通信entre deux périphériques réseau(例如，客户端和服务器)使用le protocol IPSec, le traffic IKE(通过UDP进行查询)使用des champs de port, mais pas le traffic ESP(封装安全有效载荷)。Si un périphérique NAT sur le chemin attribute la même address IP NAT (mais des ports différents) à双客户端ou加上à la même destination, le périphérique NAT n 'est pas en mesure de distinguer et d ' cheminer correction le流量ESP de reour ne continent pas d ' information de port。Par conséquent, le流量IPsec ESP échoue sur le périphérique NAT。

IPSec兼容NAT- traversal (NAT- t) détectent la présence d 'un périphérique NAT intermédiaire pendant la phase 1 IKE et basculent vers le port UDP 4500 pour tout le traffic IKE et ESP ultérieur (encapsulant ESP danans UDP)。NAT-T根据IPsec同源点确定流量ESP protégé IPsec est传输无封装UDP。Par conséquent, le流量IPsec ESP échoue sur le périphérique NAT。

L 'appliance Citrix ADC prend en charge la fonctionnalité ALG(应用层网关)IPsec pour les configurations NAT à grande échelle。L ' alg IPsec traite le traffic ESP IPsec et gère les information de session de sorte que le traffic n ' échoue pas lorsque les points de terminaison IPsec ne prennent pas en charge NAT-T (encapsulation UDP du traffic ESP)。

ipsec ALG功能

Un ALG IPsec监控流量IKE entre Un client et le server et n 'autorise qu 'un seul échange de messages IKE phase 2 entre le client et le server à Un moment donné。

Une fois que les paquets ESP双向sont reçus pour un flux speciiler, l 'ALG IPSec crée Une session NAT pour ce flux speciiler afin que le traffic ESP ultérieur puisse circuler en douceur。Le traffic ESP est identifié par les SPI(安全参数索引)，quissonunique pour un flux et pour chque direction。Un ALG IPsec utilization des SPI ESP à la place des ports source et destination pour effectuer des NAT à grande échelle。

Si une porte ne reçoit pas de traffic, elle过期。Après l 'expiration des deux portes, un autre échange IKE第二阶段est autorisé。

Délais d 'expiration IPsec ALG

IPSec ALG sur une appliance Citrix ADC comporte trois paramètres de délai d 'expiration:

Delai d '出口期满．Durée maximale pendant laquelle l 'appliance Citrix ADC阻断une porte ALG IPSec倒客户端特定地址IP NAT spécifique倒服务器donné si aucun流量ESP双向nel n 'est échangé入口客户端和服务器。
Delai d '会话过期．Durée maximale pendant laquelle l 'appliance Citrix ADC保存会话信息IKE前卫供应商s 'il n 'y pas de traffic IKE倒会话。
Delai d '会话到期ESP．Durée maximale吊坠水层l 'appliance Citrix ADC保存会话信息ESP先手，供应商在会话中使用ESP倾倒会话。

要点à considérer avant de configurer IPSec ALG

Avant de commencer à configurer IPSec ALG

Vous devez comprenre les différents组合协议IPSec。
IPSec ALG n 'est pas pris en charge pour les configurations DS-Lite et Large échelle NAT64。
IPSec ALG n 'est pas pris en charge pour le flux LSN en épingle à cheveux。
IPSec ALG功能通道配置RNAT。
IPSec ALG n 'est pas pris en charge dans les clusters Citrix ADC。

Étapes de configuration

La configuration d 'IPSec ALG pour NAT44 à grande échelle sur une appliance Citrix ADC comporte les tâches suivantes:

Créez un profile d 'application LSN et liez-le à la configuration LSN。Définissez les paramètres suivants lors de la配置d 'un profile d 'application:
- = UDP协议
- IP池=配对
- 端口= 500

Liez le profile d 'application au groupe LSN d 'une configuration LSN。倒obtenir des指示参照la création d’une配置LSN, voirÉtapes de configuration pour LSN．

Créez un profile IPSec ALG．unprofile IPsec包括délais d 'expiration IPsec、délai d 'expiration de session IKE、délai d 'expiration de session ESP et le délai d 'expiration de la porte ESP. Vous liez Un profile ALG IPsec à Un groupe LSN。Un profile IPSec ALG possède les paramètres par défaut suivants:
- Délai d 'expiration de la session IKE = 60分钟
- Délai d 'expiration de session ESP = 60分钟
- Délai d 'expiration de la porte ESP = 30秒
Liez le profile ALG IPsec à la配置LSN．ALG IPsec est activé pour une configuration LSN lorsque vous liez un profile ALG IPsec à la configuration LSN。Liez le profile ALG IPsec à la configuration LSN en définissant le paramètre de profile ALG IPsec sur le nom du profile créé dans le groupe LSN。Un profile ALG IPsec peut être lié à plusieurs groupes LSN, mais Un groupe LSN ne peut avoir qu 'un seul profile ALG IPsec。