在Citrix ADC设备和AWS上的虚拟专用网关之间配置CloudBridge连接器隧道
要将数据中心连接到Amazon Web Services (AWS),您可以在数据中心中的Citrix ADC设备和AWS上的虚拟专用网关之间配置CloudBridge Connector隧道。Citrix ADC设备和虚拟专用网关构成CloudBridge连接器隧道的端点,称为对等体。
注意:
您还可以在数据中心中的Citrix ADC设备和AWS上的Citrix ADC VPX实例(而不是虚拟专用网关)之间设置CloudBridge连接器隧道。有关更多信息,请参见配置数据中心与AWS云之间的CloudBridge连接器。
AWS上的虚拟专用网关支持以下用于CloudBridge Connector隧道的IPSec设置。因此,在为CloudBridge连接器隧道配置Citrix ADC设备时,必须指定相同的IPSec设置。
| IPSec属性 | 设置 |
|---|---|
| IPSec模式 | 隧道模式 |
| 艾克版本 | 版本1 |
| IKE认证方式 | Pre-Shared关键 |
| 加密算法 | AES |
| 散列算法 | HMAC SHA1, |
CloudBridge Connector隧道配置和数据流示例
为了说明CloudBridge连接器隧道中的流量流,请考虑一个示例,其中在数据中心的Citrix ADC设备NS_Appliance-1和AWS云上的虚拟专用网关网关AWS- virtual - private - gateway -1之间建立了CloudBridge连接器隧道。
NS_Appliance-1还可以作为L3路由器,使数据中心的私有网络通过CloudBridge Connector隧道到达AWS云中的私有网络。NS_Appliance-1作为路由器,通过CloudBridge连接器隧道实现数据中心的客户端CL1与AWS云中的服务器S1之间的通信。客户端CL1和服务器S1位于不同的私有网络。
在NS_Appliance-1上,CloudBridge Connector隧道的配置包括IPSec安全框架实体NS_AWS_IPSec_Profile、CloudBridge Connector隧道实体NS_AWS_Tunnel和策略路由实体NS_AWS_Pbr。
IPSec安全框架实体NS_AWS_IPSec_Profile指定了CloudBridge Connector隧道中IPSec协议使用的IKE版本、加密算法、哈希算法等IPSec协议参数。NS_AWS_IPSec_Profile与IP隧道实体NS_AWS_Tunnel绑定。
CloudBridge Connector隧道实体NS_AWS_Tunnel指定本端IP地址(Citrix ADC设备上配置的公网IP地址)、远端IP地址(AWS-Virtual-Private-Gateway-1的IP地址)和用于建立CloudBridge Connector隧道的协议(IPSec)。NS_AWS_Tunnel与策略路由实体NS_AWS_Pbr绑定。
策略路由实体NS_AWS_Pbr指定了一组条件和一个CloudBridge Connector隧道实体(NS_AWS_Tunnel)。源IP地址范围和目的IP地址范围是ns_aws_策略路由的条件。源IP地址段和目的IP地址段在数据中心和AWS云中分别指定为子网和子网。数据中心子网内的客户端发送到AWS云子网内的服务器的任何请求报文都符合ns_aws_策略路由中的条件。然后,该数据包被考虑用于CloudBridge Connector处理,并通过绑定到策略路由实体的CloudBridge Connector隧道(NS_AWS_Tunnel)发送。
下表列出了本示例中使用的设置。
| 数据中心侧CloudBridge Connector隧道端点(NS_Appliance-1)的IP地址 | 66.165.176.15 |
|---|---|
| AWS中CloudBridge Connector隧道端点(AWS- virtual - private - gateway -1)的IP地址 | 168.63.252.133 |
| 数据中心子网,其流量将通过CloudBridge Connector隧道 | 10.102.147.0/24 |
| AWS子网,其流量将通过CloudBridge连接器隧道 | 10.20.20.0/24 |
亚马逊AWS上的设置
| 客户的网关 | AWS-Customer-Gateway-1 | 路由=静态,IP地址=可internet路由的CloudBridge Connector隧道端点Citrix ADC端的IP地址= 66.165.176.15 |
|---|---|---|
| 虚拟专用网关 | AWS-Virtual-Private-Gateway-1 | 关联VPC = AWS-VPC-1 |
| VPN连接 | AWS-VPN-Connection-1 | 客户网关= AWS-Customer-Gateway-1,虚拟私有网关= Virtual-Private-Gateway-1,路由选项:类型=静态,静态IP前缀= Citrix ADC侧子网= 10.102.147.0/24 |
Datacenter-1中Citrix ADC一体机NS_Appliance-1的设置:
| 设备 | 设置 | |
|---|---|---|
| SNIP1(仅供参考) | 66.165.176.15 | |
| IPSec配置文件 | NS_AWS_IPSec_Profile | IKE版本= v1,加密算法= AES,哈希算法= HMAC SHA1 |
| CloudBridge连接器隧道 | NS_AWS_Tunnel | 对端IP= 168.63.252.133,本端IP= 66.165.176.15,隧道协议= IPSec, IPSec安全框架= NS_AWS_IPSec_Profile |
| 策略路由 | NS_AWS_Pbr | 源IP范围=数据中心内子网=10.102.147.0 ~ 10.102.147.255,目的IP范围= AWS内子网=10.20.20.0 ~ 10.20.20.255,IP隧道= NS_AWS_Tunnel |
CloudBridge连接器隧道配置需要考虑的要点
在配置Citrix ADC设备和AWS网关之间的CloudBridge Connector隧道之前,请考虑以下几点:
对于CloudBridge连接器隧道,AWS支持以下IPSec设置。因此,在为CloudBridge连接器隧道配置Citrix ADC设备时,必须指定相同的IPSec设置。
- IKE版本= v1
- 加密算法= AES
- 哈希算法= HMAC SHA1
需要在Citrix ADC端配置防火墙,允许以下操作。
- 端口500的任何UDP数据包
- 端口4500的任何UDP数据包
- 任何ESP (IP协议号50)数据包
在Citrix ADC上指定隧道配置前,必须先配置Amazon AWS,因为在AWS上配置隧道时,会自动生成隧道的AWS端公网IP地址(网关)和PSK。您需要这些信息来指定Citrix ADC设备上的隧道配置。
AWS网关支持静态路由,支持BGP协议进行路由更新。Citrix ADC设备在通往AWS网关的CloudBridge连接器隧道中不支持BGP协议。因此,必须在CloudBridge Connector隧道的两侧使用适当的静态路由,以便正确路由通过隧道的流量。
为CloudBridge连接器隧道配置Amazon AWS
要在Amazon AWS上创建CloudBridge连接器隧道配置,请使用Amazon AWS管理控制台,这是一个基于web的图形界面,用于在Amazon AWS上创建和管理资源。
在开始在AWS云上配置CloudBridge连接器隧道之前,请确保:
- 您有一个亚马逊AWS云的用户帐户。
- 您有一个虚拟私有云,您希望通过CloudBridge连接器隧道将其网络连接到Citrix ADC端的网络。
- 熟悉Amazon AWS Management Console。
请注意:
根据Amazon AWS的发布周期,为CloudBridge连接器隧道配置Amazon AWS的过程可能会随时间而变化。思杰建议您参考亚马逊AWS文档查看最新的程序。
为了在Citrix ADC和AWS网关之间配置CloudBridge连接器隧道,请在AWS管理控制台上执行以下任务:
- 创建客户网关。客户网关是代表CloudBridge连接器隧道端点的AWS实体。对于Citrix ADC设备和AWS网关之间的CloudBridge连接器隧道,客户网关代表AWS上的Citrix ADC设备。客户网关指定名称、隧道中使用的路由类型(静态或BGP)以及Citrix ADC端的CloudBridge Connector隧道端点IP地址。IP地址可以是internet可路由的Citrix ADC拥有的子网IP (SNIP)地址,或者,如果Citrix ADC设备位于NAT设备后面,则可以是表示SNIP地址的internet可路由的NAT IP地址。
- 创建虚拟私有网关,并将其绑定到VPC中。虚拟专用网关是AWS端的CloudBridge连接器隧道端点。当您创建虚拟专用网关时,您为其分配了一个名称或允许AWS分配该名称。将虚拟私网网关与VPC关联。将VPC的子网通过CloudBridge Connector隧道连接到Citrix ADC侧的子网。
- 新建VPN连接。一个VPN连接指定一个客户网关和一个虚拟私有网关,它们之间需要创建CloudBridge Connector隧道。它还为Citrix ADC端的网络指定了一个IP前缀。只有虚拟私网网关(通过静态路由表项)知道的IP地址前缀,才能通过隧道接收来自VPC的流量。同时,非目的地址为指定IP地址前缀的流量不会经过隧道。配置VPN连接后,可能需要等待几分钟才能创建VPN连接。
- 配置路由选项。为了使VPC的网络能够通过CloudBridge Connector隧道到达Citrix ADC侧的网络,需要在VPC的路由表中配置Citrix ADC侧网络的路由,并将这些路由指向虚拟私有网关。可以通过以下两种方式将路由添加到VPC的路由表中:
- 使能路由传播。您可以为您的路由表启用路由传播,以便路由自动传播到表中。创建VPN连接后,为VPN配置指定的静态IP前缀将被传播到路由表中。
- 手动输入静态路由。如果不启用路由传播功能,则需要在Citrix ADC侧手动输入网络的静态路由。
- 下载配置。在AWS上创建CloudBridge Connector隧道(VPN连接)配置后,需要将VPN连接的配置文件下载到本地系统。您可能需要配置文件中的信息来配置Citrix ADC设备上的CloudBridge Connector隧道。
创建客户网关
- 打开Amazon VPC控制台https://console.aws.amazon.com/vpc/。
- 导航到VPN连接>客户的网关然后点击创建客户网关。
- 在创建客户网关对话框,设置以下参数后,单击是的,创建:
- 姓名标签。客户网关的名称。
- 路由表。Citrix ADC设备和AWS虚拟专用网关之间的路由类型,用于通过CloudBridge连接器隧道向彼此发布路由。选择静态路由从路由列表。请注意: Citrix ADC设备不支持在CloudBridge连接器到AWS网关的隧道中使用BGP协议。因此,必须在CloudBridge Connector隧道的两侧使用适当的静态路由,以便正确路由通过隧道的流量。
- IP地址。Citrix ADC端的可internet路由CloudBridge Connector隧道端点IP地址。IP地址可以是internet可路由的Citrix ADC拥有的子网IP (SNIP)地址,或者,如果Citrix ADC设备位于NAT设备后面,则可以是表示SNIP地址的internet可路由的NAT IP地址。
创建虚拟私有网关,并将其绑定到VPC中
- 导航到VPN连接>虚拟专用网关,单击“创建虚拟专用网关”。
- 输入虚拟专用网关的名称,然后单击“是,创建”。
- 2 .选择创建的虚拟私有网关,单击“绑定到VPC”。
- 在“绑定VPC”对话框中,在列表中选择需要绑定的VPC,单击“是,绑定”。
创建VPN连接:
- 在“VPN连接> VPN连接”界面,单击“创建VPN连接”。
- 在“创建VPN连接”对话框中,输入以下参数后选择“是,创建”。
- 姓名标签。VPN连接的名称。
- 虚拟专用网关。选择前面创建的虚拟专用网关。
- 客户的网关。选择现有的。然后,从下拉列表中选择前面创建的客户网关。
- 路由选择。虚拟专用网关和客户网关(Citrix ADC设备)之间的路由类型。选择静态的。在“静态IP前缀”字段中填写Citrix ADC侧子网的IP前缀,以逗号分隔。
启用路由传播:
- 导航到路由表并选择与子网相关联的路由表,该子网的流量将穿越CloudBridge连接器隧道。
请注意
缺省情况下,该表是VPC的主路由表。
- 在途径传播选项卡,选择编辑,选中虚拟专用网关,单击保存。
手动输入静态路由:
- 导航到路由表然后选择路由表。
- 在路线选项卡上,单击编辑。
- 在目的地字段,输入CloudBridge连接器隧道(VPN连接)使用的静态路由。
- 中选择虚拟私网网关ID目标列表,然后单击保存。
下载配置文件:
- 导航到VPN连接,选择VPN连接,单击下载配置。
- 在下载配置对话框,设置以下参数,然后单击是的,下载。
- 供应商。选择通用的。
- 平台。选择通用的。
- 软件。选择供应商无关。
为CloudBridge连接器隧道配置Citrix ADC设备
要在Citrix ADC设备和AWS云上的虚拟专用网关之间配置CloudBridge Connector隧道,请在Citrix ADC设备上执行以下任务。您可以使用Citrix ADC命令行或GUI。
创建IPSec安全框架。IPSec安全框架实体指定了IPSec协议在CloudBridge Connector隧道中使用的IKE版本、加密算法、哈希算法、PSK等IPSec协议参数。
- 创建使用IPSec协议的IP隧道,并关联IPSec安全框架。IP隧道指定本端IP地址(Citrix ADC设备上配置的SNIP地址)、远端IP地址(AWS中虚拟专用网关的公网IP地址)、用于建立CloudBridge Connector隧道的协议(IPSec)和IPSec配置文件实体。创建的IP隧道实体也称为CloudBridge Connector隧道实体。
- 创建策略路由规则,并与IP隧道关联。策略路由实体指定一组规则和一个IP隧道(CloudBridge Connector隧道)实体。源IP地址段和目的IP地址段是策略路由实体的条件。配置源IP地址范围,指定要通过隧道的Citrix adc端子网;配置目的IP地址范围,指定要通过CloudBridge Connector隧道的AWS VPC子网。任何来自Citrix ADC端子网内的客户端并到达AWS云子网内的服务器的请求数据包,如果匹配策略路由实体的源IP范围和目的IP范围,则通过与策略路由实体关联的CloudBridge连接器隧道发送。
使用Citrix ADC命令行创建IPSEC配置文件
在命令提示符下,输入:
添加ipsec安全框架-psk -**ikeVersion** v1 显示ipsec配置文件**
使用Citrix ADC命令行创建IPSEC隧道并绑定IPSEC配置文件
在命令提示符下,输入:
add ipTunnel-protocol IPSEC -ipsecProfileName 显示ipTunnel
通过Citrix ADC命令行创建策略路由规则并绑定IPSEC隧道
在命令提示符下,输入:
add pbrALLOW - srcip - destip ** -*ipTunnel 应用为pbrsshow pbr
以下命令创建“CloudBridge连接器配置和数据流示例”中使用的Citrix ADC设备NS_Appliance-1的所有设置。
> add ipsec profile NS_AWS_IPSec_Profile -psk DkiMgMdcbqvYREEuIvxsbKkW0Foyabcd -ikeVersion v1 -lifetime 31536000完成> add iptunnel NS_AWS_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 -protocol ipsec -ipsecProfileName NS_AWS_IPSec_Profile完成> add pbr NS_AWS_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_AWS_Tunnel完成> apply pbrs完成使用GUI创建IPSEC配置文件
- 导航到系统>CloudBridge连接器>IPSec配置文件。
- 在详细信息窗格中,单击添加。
在新建IPSec安全框架对话框中,设置如下参数:
- 名字
- 加密算法
- 散列算法
- IKE协议版本(选择V1)
- 选择预共享密钥认证方法并设置预共享密钥存在参数。
- 点击创建,然后点击关闭。
通过GUI创建IP隧道并绑定IPSEC配置文件
- 导航到系统>CloudBridge连接器>IP隧道。
- 在IPv4隧道页签,单击“添加”。
在添加IP隧道对话框中,设置如下参数:
- 名字
- 远程IP
- 远程面具
- 本地IP类型(在“本地IP类型”下拉列表中选择“子网IP”)。
- 本端IP(所选IP类型下拉列表中显示已配置的所有IP。从列表中选择所需的IP。)
- 协议
- IPSec配置文件
- 点击创建,然后点击关闭。
通过GUI创建策略路由规则,并将IPSEC隧道绑定到策略路由规则上
导航到系统>网络>PBR。
在PBR选项卡上,单击添加。
在创建PBR对话框中,设置如下参数:
- 名字
- 行动
- 下一跳类型(选择IP隧道)
- IP隧道名称
- 源IP低
- 源IP高
- 目的IP低
- 目的IP高
点击创建,然后点击关闭。
Citrix ADC设备上相应的新CloudBridge Connector隧道配置出现在GUI中。
CloudBridge连接器隧道的当前状态显示在Configured CloudBridge connector窗格中。绿色圆点表示隧道已连通。红点表示隧道已断开。
监视CloudBridge连接器隧道
您可以通过使用CloudBridge Connector隧道统计计数器来监控Citrix ADC设备上CloudBridge Connector隧道的性能。有关在Citrix ADC设备上显示CloudBridge Connector隧道统计信息的详细信息,请参见监控CloudBridge连接器隧道。