IPSecプロトコルのアプリケション層ゲトウェ
2つのネットワークデバイス(クライアントとサーバなど)間の通信でIPSecプロトコルが使用されている場合,艾克トラフィック(UDP経由の)ではポートフィールドが使用されますが,カプセル化セキュリティペイロード(ESP)トラフィックでは使用されません。パス上のNATデバイスが,同じ宛先の2つ以上のクライアントに同じNAT IPアドレス(ただし,異なるポート)を割り当てた場合,NATデバイスはポート情報を含まないリターンESPトラフィックを区別できず,適切にルーティングできません。したがって,NATデバ邮箱スでIPSec ESPトラフィックが失敗します。
NAT -トラバーサル(NAT-T)対応のIPSecエンドポイントは,艾克フェーズ1中に中間NATデバイスの存在を検出し,後続のすべての艾克およびESPトラフィック(UDPでESPをカプセル化)に対してUDPポート4500に切り替えます。ピアIPSecエンドポイントでNAT-Tがサポートされていない場合,IPSecで保護されたESPトラフィックはUDPカプセル化なしで送信されます。したがって,NATデバ邮箱スでIPSec ESPトラフィックが失敗します。
Citrix ADCアプライアンスは,大規模なNAT構成用のIPSecアプリケーション層网关(ALG)機能をサポートしています。IPSec ALGはIPSec ESPトラフィックを処理し,セッション情報を維持して,IPSecエンドポイントがNAT-T (ESPトラフィックのUDPカプセル化)をサポートしていない場合にトラフィックに障害が発生しないようにします。
IPSec ALGのしくみ
IPSec ALGは,クライアントとサーバ間の艾克トラフィックを監視し,クライアントとサーバ間の艾克フェーズ2メッセージ交換を1つだけ許可します。
特定のフローに対して双方向のESPパケットが受信されると,IPSec ALGはこの特定のフローに対してNATセッションを作成し,後続のESPトラフィックがスムーズに流れるようにします。Espトラフィックは,セキュリティパラメ。Spiは,フロ,および方向ごとに一意です。IPSec ALGは,大規模なNATを実行するために,送信元ポートと宛先ポートの代わりにESP SPIを使用します。
ゲトがトラフィックを受信しない場合,ゲムアウトします。両方のゲ,別のIkeフェ2交換が許可されます。
IPSec ALGタecongムアウト
Citrix ADCアプライアンス上のIPsec ALGには,次の3つのタイムアウト・パラメータがあります。
- Espゲトタムアウト。クライアントとサーバー間で双方向ESPトラフィックが交換されない場合,Citrix ADCアプライアンスが,特定のサーバーの特定のNAT IPアドレス上の特定のクライアントのIPSec ALGゲートをブロックする最大時間。
- Ikeセッションタムアウト。Citrix ADCアプラereplicationアンスがIKEセッション情報を保持する最大時間。そのセッションにikeトラフィックがない場合,ikeセッション情報を削除します。
- Espセッションタムアウト。そのセッションにESPトラフィックがない場合,Citrix ADCアプライアンスがESPセッション情報を削除する前に保持する最大時間。
IPSec ALGを設定する前に考慮すべきポecongント
IPSec ALGの設定を開始する前に,次の点を考慮してください。
- IPSecプロトコルのさまざまなコンポネントを理解する必要があります。
- IPSec ALGは,DS-Liteおよび大規模なNAT64構成ではサポトされません。
- IPSec ALGは,ヘアピンLSNフロ。
- IPSec ALGは,RNAT設定では機能しません。
- IPsec ALGは,Citrix ADCクラスタではサポトされていません。
構成の手順
Citrix ADCアプライアンスで大規模なNAT44用のIPSec ALGを構成するには,次の作業を行います。
- LSNアプリケ,LSN構成にバ。アプリケ。
- = UDP协议
- IPプリング=配对
- 端口= 500
アプリケ邮箱ルをLSN設定のLSNグル邮箱ンドします。LSN構成の作成手順にいては,”LSN . LSNの設定手順を参照してください。
- IPSec ALGプロファecongルを作成します。IPSecプロファイルには,艾克セッションタイムアウト,ESPセッションタイムアウト,ESPゲートタイムアウトなど,さまざまなIPSecタイムアウトが含まれます。IPSec ALGプロファereplicationルをLSNグルereplicationプにバereplicationンドするとします。IPSec ALGプロファereplicationルには,次のデフォルト設定があります。
- Ikeセッションタereplicationムアウト= 60分
- Espセッションタセッションタムアウト= 60分
- Espゲトタ= 30秒
- IPSec ALGプロファereplicationルをLSN設定にバereplicationンドします。IPSec ALGプロファイルをLSN設定にバインドすると,LSN設定に対してIPSec ALGが有効になります。IPSec ALGプロファイルパラメータをLSNグループに作成したプロファイルの名前に設定して,IPSec ALGプロファイルをLSN構成にバインドします。IPSec ALGプロファイルは,複数のLSNグループにバインドできますが,1つのLSNグループに設定できるIPSec ALGプロファイルは1つだけです。
コマンドラ
コマンドプロンプトで入力します。
add lsn appsprofile UDP -ippooling PAIRED show lsn appsprofile コマンドラインインターフェイスを使用して宛先ポートをLSNアプリケーションプロファイルにバインドするには
コマンドプロンプトで入力します。
绑定LSN appsprofile show LSN appsprofile コマンドラインインターフェイスを使用してLSNアプリケーションプロファイルをLSNグループにバインドするには
コマンドプロンプトで入力します。
Bind LSN group -appsprofilename show LSN group CLIを使用してIPSec ALGプロファereplicationルを作成するには
コマンドプロンプトで入力します。
add ipsecalg profile [-ikeSessionTimeout ] [-espSessionTimeout ] [-espGateTimeout ] [-connfailover (ENABLED | DISABLED) show ipsecalg profile CLIを使用してIPSec ALGプロファereplicationルをLSN設定にバereplicationンドするには
コマンドプロンプトで入力します。
bind lsn group -poolname - ipsecAlgProfile show lsn group 界面を使用してLSNアプリケ
[システム] > [大規模nat] > [プロファ邮箱ル]に移動し,[アプリケション]タブをクリックし,LSNアプリケーションプロファイルを追加してLSNグループにバインドします。
GUI**を使用してIPSec ALGプロファereplicationルを作成するには
[システム] > [大規模nat] > [プロファ邮箱ル]に移動し,[IPSEC ALGタブをクリックして,IPSec ALGプロファ。
GUI**を使用してIPSec ALGプロファLSN構成にバ
- システムに移動>大規模nat>lsnグルプ、lsnグルプを開きます。
- [詳細設定]で,[+ ipsec algプロファル]をクリックして,作成されたIPSec ALGプロファイルをLSNグループにバインドします。
構成例
次の大規模なNAT44設定例では,192.0.2.0/24ネットワーク内のサブスクライバに対してIPSec ALGが有効になっています。さまざまなIPSecタイムアウト設定を持つIPSec ALGプロファイルIPSECALGPROFILE-1が作成され,LSNグループLSNグループ1にバインドされます。
設定例:
添加lsn客户机LSN-CLIENT-1做绑定lsn客户机LSN-CLIENT-1网络192.0.2.0子网掩码255.255.255.0完成添加lsn池LSN-POOL-1做绑定lsn池LSN-POOL-1 203.0.113.3-203.0.113.9完成添加lsn appsprofile LSN-APPSPROFILE-1 UDP -ippooling配对完成绑定lsn appsprofile LSN-APPSPROFILE-1 500完成添加ipsecalg概要IPSECALGPROFILE-1 -ikeSessionTimeout 45 -espSessionTimeout 40 -espGateTimeout 20 -connfailover启用完成绑定lsn集团LSN-GROUP-1 -appsprofilename LSN-APPSPROFILE-1完成bind lsn group LSN-GROUP-1 -poolname LSN-POOL-1 Done bind lsn group LSN-GROUP-1 - ipsecAlgProfile IPSECALGPROFILE-1 Done