Produktdokumentation
Citrix ADC
当前版本 13.0 12.1 11.1
PDF anzeigen

Interoperabilität des CloudBridge-Connectors - F5 BIG-IP

2021年8月19日
Beitrag冯:
C

Sie können einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance und einer F5 big - ip Appliance配置,um zwei rechenzenten zu verbinden oder Ihr Netzwerk mit einem Cloud-Anbieter zu erweitern。模具Citrix ADC设备和模具F5大ip设备bilden最后punkte des CloudBridge连接器隧道和werden als peer bezeichnet。

Beispiel für eine CloudBridge connector - tunnelconfigurconfiguration

Betrachten Sie als veranschauulichung des Verkehrsflusses in einem CloudBridge Connector-Tunnel in Beispiel, in dem in CloudBridge Connector-Tunnel zwischen den folgenden Geräten eingerichet ist:

  • Citrix ADC Appliance NS_Appliance-1在einem Rechenzentrum, das Datacenter-1 bezeichnet世界
  • F5 BIG-IP-Appliance F5 BIG-IP-Appliance-1在einem Rechenzentrum, das als Datacenter-2 bezeichnet wird

NS_Appliance-1 und F5-BIG-IP-Appliance-1 ermöglichen die Kommunikation zwischen private Netzwerken in Datacenter-1 und Datacenter-2 über den CloudBridge Connector-Tunnel。Im Beispiel ermöglichen NS_Appliance-1 und F5-BIG-IP-Appliance-1 die Kommunikation zwischen Client CL1 in datacenter1 and Server S1 in datacenter2 über den CloudBridge Connector-Tunnel。客户端CL1和服务器S1建立私有网络。

Unter NS_Appliance-1 umfastdie CloudBridge connector - tunnelconfiguration die IPsec-Profilentität NS_F5-BIG-IP_IPsec_Profile, CloudBridge Connector-Tunnelentität NS_F5-BIG-IP_Tunnel und die richtlinienbasierte Routing-Entität NS_F5-BIG-IP_PBR (PBR)。

lokalisierte Grafik

Weitere Informationen找到你F5大知识产权pdf。

Punkte, die für eine CloudBridge Connector-Tunnelkonfiguration zu beachten sind

  • Die Citrix ADC Appliance ist betriebsbereit, ist dem Internet verbunden and auch mit den private Subnetzen verbunden, deren Datenverkehr über den CloudBridge Connector-Tunnel geschützt werden soll。
  • Die F5 BIG-IP-Appliance ist UP und läuft, ist dem Internet verbunden und ist auch mit den private Subnetzen verbunden, deren Datenverkehr über den CloudBridge Connector-Tunnel geschützt werden soll。
  • 模具folgenden ipsec - einstein werden für einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance和einer F5 BIG-IP-Appliance unterstützt。
    • IPsec-Modus: Tunnelmodus
    • IKE版本:版本1
    • IKE-Authentifizierungsmethode: Pre-Shared键
    • IKE-Verschlusselungsalgorithmus: AES
    • IKE-Hash-Algorithmus: HMAC SHA1,
    • ESP-Verschlusselungsalgorithmus: AES
    • ESP-Hash-Algorithmus: HMAC SHA1,
  • Sie müssen dieselben IPsec-Einstellungen auf der Citrix ADC Appliance und under F5 big - ip Appliance an den beiden des CloudBridge Connector-Tunnels。
  • Citrix ADC stellt einen gemeinsamen参数(在IPsec-Profilen中)zur Angabe eines IKE-Hash-Algorithmus und eines ESP-Hash-Algorithmus bereit。Es bietet auch einen weiteren gemeinsamen参数für die Angabe eines IKE-Verschlüsselungsalgorithmus und eines ESP-Verschlüsselungsalgorithmus。Daher müssen Sie in der F5 BIG-IP-Appliance denselben hash算法和denselben Verschlüsselungsalgorithmus in IKE (phase -1- configuration)和ESP (phase -2- configuration) angeben。
  • Sie müssen die Firewall am Citrix ADC Ende und am Ende F5 BIG-IP konfigurieren, um Folgendes zuzulassen。
    • Alle UDP-Pakete für端口500
    • Alle UDP-Pakete für端口4500
    • Alle ESP-Pakete (ip - protokollnumber 50)

配置figureeren von F5 BIG-IP für den云桥连接器隧道

Um einen CloudBridge-Connector-Tunnel zwischen einer Citrix ADC Appliance und einer F5 BIG-IP-Appliance zu konfigurieren, führen Sie die folgenden Aufgaben auf der F5 BIG-IP-Appliance aus:

  • Erstellen Sie einen virtuellen Weiterleitungsserver für IPsec.Ein virtueller Weiterleitungsserver fängt IP-Datenverkehr für den IPsec-Tunnel ab。
  • Erstellen Sie einen IKE-Peer。Ein IKE-Peer gibt die lokalen und Remote-IPsec-Tunnelendpunkte an。具体算法和Anmeldeinformationen für IPsec IKE第一阶段运行。
  • Erstellen Sie eine benutzerdefinierte IPsec-Richtlinie。Eine Richtlinie gibt das ipsec协议(ESP)和隧道(Tunnel), für die Bildung des ipsec -Tunnel verwendet werden soll。具体算法和参数für IKE IPsec Phase 2 verwendet werden。
  • 我是说IPsec-Verkehrsauswahl.Eine Verkehrsauswahl gibt die F5 BIG-IP-Seite und die Citrix ADC Seite Subnetze an, deren IP-Datenverkehr durch den IPsec-Tunnel durchlaufen werden soll。

IPsec VPN (CloudBridge Connector Tunnel) auf einer F5 BIG-IP-Appliance können siich je nach F5- release - zyklus im Laufe der Zeit ändern。Citrix empfiehlt, die offizielle F5 big - ip dockumenten von IPsec-VPN-Tunneln zu befolgen,以下:

https://f5.com

所以erstellen Sie einen virtuellen Weiterleitungsserver für IPsec mit der F5 BIG-IP GUI

  1. Klicken Sie auf der Registerkarte主要汪汪汪Lokaler交通>虚拟服务器和丹汪汪汪创建
  2. 我是范斯特莱纳virtuelle Serverliste参数说明:
    • 的名字.Geben Sie einen eindeutigen Namen für den virtuellen Server ein。
    • 您静脉.民意调查您Weiterleitung (IP)来自。
    • Zieladresse.Geben Sie eine Platzhalternetzwerkadresse im CIDR-Format ein, z. B. 0.0.0.0/0 für IPv4, um Datenverkehr zu akzeptieren。
    • Dienstport.民意调查您阿莱港口澳大利亚der列表澳大利亚。
    • Protokollliste.民意调查您阿莱Protokolle澳大利亚der列表澳大利亚。
    • VLAN——和Tunnelverkehr.我们死于标准道斯瓦尔,allle vlan und Tunnel
  3. Klicken您再见多数时候

所以说,我们Sie eine benutzerdefinierte IPsec-Richtlinie mit der F5 BIG-IP-GUI

  1. Klicken Sie auf der Registerkarte主要汪汪汪Netzwerk>IPsec>IPsec-Richtlinien, und klicken Sie dann aufErstellen
  2. 你是我的老师莱纳Richtlinie参数说明:
    • 的名字.Geben Sie einen eindeutigen Namen für die Richtlinie ein。
    • IPsec-Protokoll.标准美语,尤指标准美语。
    • 方法.Wählen Sie Tunnel aus。像这样的怪事,嗯,weitere verwandte einstein anzuzegen。
    • Lokale address des tunnel.配置大ip设备F5的ip地址。
    • Tunnel-Remote-Adresse.ip - address des Remote-IPsec-Tunnel-Endpunkts in(配置Citrix ADC设备)。
  3. Behalten Sie für die IKE Phase 2-Parameter die Standardwerte bei, oder wählen Sie die Optionen aus, die für Ihre Bereitstellung geeignet sind。
  4. Klicken您再见多数时候

所以,Sie einen bidirektionalen IPsec-Datenverkehrs-Selektor mit der F5 BIG-IP GUI

  1. Klicken Sie auf der Registerkarte主要汪汪汪Netzwerk>IPsec>流量选择器和丹汪汪汪创建
  2. Legen Sie auf dem Bildschirm "诺伊尔流量选择器参数fest:
    • 的名字.Geben Sie einen eindeutigen Namen für die Verkehrsauswahl ein。
    • .你们的标准(第一个)贝。“流量选择器列表”天使之鸟。
  3. Wählen Sie in der listKonfiguration死亡的选择Erweitertaus, und legen Sie die folgenden
    • Quell-IP-Adresse.Klicken您再见宿主奥得河Netzwerkund geben Sie im Feld地址地址F5 BIG-IP-Seiten-Subnetzes ein, dessen Datenverkehr über den IPsec-Tunnel geschützt werden soll。
    • Quellport.民意调查您*阿莱港口来自。
    • Ziel-IP-Adresse.Klicken您再见宿主, und geben Sie im Feld地址地址Citrix ADC seitigen Subnetzes ein, dessen Datenverkehr über den IPsec-Tunnel geschützt werden soll。
    • Zielport.民意调查您*阿莱港口来自。
    • Protokoll.民意调查您*阿莱Protokolle
    • Richtung.民意调查您Beide来自。
    • Aktion:民意调查您Schutzen来自。死定势IPsec-Richtlinienname将angezeigt。
    • IPsec-Richtlinienname.Wählen Sie den Namen der benutzerdefinierten IPsec-Richtlinie aus, die Sie erstellt haben。
  4. Klicken您再见多数时候

配置Citrix ADC Appliance für den CloudBridge Connector-Tunnel

Citrix ADC Appliance CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance F5 big - ip Appliance zu konfigureeren, führen Sie die folgenden Aufgaben auf der Citrix ADC-Appliance ausSie können entweder die Citrix ADC Befehlszeile odder die grafische Benutzeroberfläche (GUI) von Citrix ADC verwenden:

  • Erstellen Sie ein ipsec - profile.Eine IPsec-Profilentität gibt die IPsec-Protokollparameter an, z. B. IKE-Version, Verschlüsselungsalgorithmus, Hash-Algorithmus und authentifizerungsmethode, die vom ipsec - protocol im CloudBridge Connector-Tunnel verwendet werden sollen。
  • Erstellen Sie einen IP-Tunnel, der das ipsec - protocol verwendet, und verknüpfen Sie das ipsec - profile damit.Ein IP-Tunnel gibt die lokale ip - address (CloudBridge connector - tunnelendpunkt - ip - address (vom Typ SNIP), die auf der Citrix ADC Appliance配置ip - address), die auf der F5大ip -Appliance配置ip - address), das zum Einrichten der CloudBridge verwendete protocol (IPsec) an Connector-Tunnel und eine IPsec-Profilentität。Die erstellte IP-Tunnelentität wird auch als CloudBridge Connector-Tunnelentität bezeichnet。
  • Erstellen Sie eine PBR-Regel und verknüpfen Sie Sie mit dem IP-Tunnel.Eine PBR-Entität gibt einen Satz von Regeln und Eine IP-Tunnelentität (CloudBridge连接器隧道)。Der quell - ip - addressbereich und under zel - ip - addressbereich sind die Bedingungen für die PBR-Entität。Legen Sie den quel - ip - address bereich fest, um das Citrix dc -seitige Subnetz anzugeben, dessen Datenverkehr über den Tunnel geschützt werden soll, and Legen Sie den ziel - ip - address bereich fest, um das F5大ip - seite -Subnetz anzugeben, dessen Datenverkehr über den Tunnel geschützt werden soll。

因此,我们在ipsec - profile über die Citrix ADC Befehlszeile

Geben Sie an der eingabeauforderung Folgendes ein:

  • add ipsec profile -psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLE
  • 显示ipsec安全框架** <名称>

因此,ipsec隧道和ipsec配置文件绑定在Citrix ADC上

Geben Sie an der eingabeauforderung Folgendes ein:

  • 添加ipTunnel -protocol IPSEC -ipsecProfileName
  • 显示ipTunnel <名称>

所以说,Sie eine PBR-Regel and binden den den ipsec tunnel mit der Citrix ADC Befehlszeile

Geben Sie an der eingabeauforderung Folgendes ein:

  • add pbr ALLOW -srcIP -destIP -ipTunnel
  • 应用为pbrs
  • 显示pbr < pbrName >

所以在ipsec配置文件中使用GUI

  1. Navigieren您祖茂堂系统>CloudBridge连接器>IPsecProfile
  2. Klicken你好,我很好Hinzufugen
  3. Legen Sie auf der SeiteIPsec-Profil hinzufugen参数说明:
    • 的名字
    • Verschlusselungsalgorithmus
    • Hash-Algorithmus
    • IKE-Protokollversion
  4. CloudBridge Connector-Tunnel-Peers接口:Wählen Sie dieAuthentifizierungsmethode für预共享密钥存在aus, und legen Sie den参数Pre-Shared键存在电影节。
  5. Klicken您再见Erstellen和丹汪汪汪Schließen

因此,IP-Tunnel和ipsec配置文件绑定在GUI和ihn上

  1. Navigieren您祖茂堂系统>CloudBridge连接器>IP-Tunnel
  2. Klicken Sie auf der RegisterkarteIPv4-Tunnel汪汪汪Hinzufugen
  3. Legen Sie auf der SeiteIP-Tunnel hinzufugen参数说明:
    • 的名字
    • 远程ip
    • Remote-Maske
    • lokler IP-Typ (Wählen Sie在下拉列表中lokler IP-Typ选项Subnetz-IP).
    • Lokale IP (Alle konfigureerten IP- adressen des ausgewählten IP- typs befinden siich在下拉列表Lokale IP。Wählen Sie die gewünschte IP aus der list aus.)
    • Protokoll
    • IPsec-Profil
  4. Klicken您再见Erstellen和丹汪汪汪Schließen

所以说,Sie eine PBR-Regel und bind den IPSEC-Tunnel mit der GUI daran

  1. Navigieren您祖茂堂系统>Netzwerk>PBR
  2. Klicken Sie auf der RegisterkartePBR汪汪汪Hinzufugen
  3. Legen Sie auf der Seite创建PBR参数说明:
    • 的名字
    • Aktion
    • Nächster Hop-Typ (Wählen Sie .IP隧道
    • IP-Tunnelname
    • Quell-IP Niedrig
    • Quell-IP霍克
    • Ziel-IP niedrig
    • Ziel-IP霍克
  4. Klicken您再见Erstellen和丹汪汪汪Schließen

CloudBridge connector - tunnelconfiguration在Citrix ADC应用程序中使用。CloudBridge-Connector-隧道的状态。Ein grüner Punkt zeigt an, dass der Tunnel oben ist。在这艘船里,她的船在隧道里。

Befehle erstellen Einstellungen在Citrix ADC Appliance NS_Appliance-1在Beispiel für eine云桥连接器配置。:

>添加ipsec配置NS_F5-BIG-IP_IPSec_Profile相移键控examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1一生315360 -perfectForwardSecrecy启用>加入iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100协议ipsec -ipsecProfileName NS_F5-BIG-IP_IPSec_Profile做>添加pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_F5-BIG-IP_Tunnel做>应用为pbrs做< !——NeedCopy >

Überwachung des CloudBridge连接器隧道

Sie können die Leistung von CloudBridge connector - tunnelstatistickindikatoren überwachen。Weitere信息en zum Anzeigen von CloudBridge connector tunnelstatiken auf einer Citrix ADC Appliance找到您的位置监测冯云桥连接器隧道

Interoperabilität des CloudBridge-Connectors - F5 BIG-IP
2021年8月19日
Beitrag冯:
C
2021年8月19日
Beitrag冯:
C

在diesem Artikel

反馈这苏珥是网站 | 约会和约会是最好的 | Cookie-Einstellungen | 爱因斯坦für die Zustimmung
©1999 -思杰系统有限公司。保留所有权利。