此内容已由机器动态翻译。
这是我的机器Übersetzung,这是我的机器。(哈夫通萨斯库罗斯)
文章a été traduit automatiquement de manière dynamicity。(非responsabilité条款)
艺术是传统的艺术形式。(Aviso合法)
此此已动态机械器翻译。放弃
このコンテンツは动的に机械されています。免責事項
此内容已由机器动态翻译。
此内容已由机器动态翻译。
此内容已由机器动态翻译。
这篇文章已由机器翻译。
Dieser Artikel wurde maschinell übersetzt。(哈夫通萨斯库罗斯)
这篇文章叫做été traduit automation。(非responsabilité条款)
EsteArtículoHaSido TraducidoAutomáticamente。(Aviso合法)
この記事は機械翻訳されています。免責事項
이기사는는기계번역。
我想买一条自动的artigo。
这篇文章已经过机器翻译.放弃
翻译失败!
CloudBridge连接器
注:当前Citrix ADC 1000V版本不支持此功能。
Citrix ADC设备的CloudBridge连接器特性将企业数据中心连接到外部云和托管环境,使云成为企业网络的安全扩展。云托管应用程序看起来就像在一个连续的企业网络上运行。使用Citrix CloudBridge连接器,您可以使用云提供商提供的容量和效率来增强数据中心。
CloudBridge连接器使您能够将应用程序移动到云,以降低成本并提高可靠性。
除了在数据中心和云之间使用CloudBridge连接器外,您还可以使用它连接两个数据中心,以实现高容量的安全和加速链接。
理解CloudBridge连接器
要实现Citrix CloudBridge连接器解决方案,请通过设置称为CloudBridge连接器隧道的隧道将数据中心连接到另一个数据中心或外部云。
要将一个数据中心连接到另一个数据中心,需要在两个Citrix ADC设备(每个数据中心有一个)之间设置一个CloudBridge Connector隧道。
要将数据中心连接到外部云(例如Amazon AWS云),需要在数据中心的Citrix ADC设备和云中的虚拟设备(VPX)之间设置一个CloudBridge Connector隧道。远程端点可以是CloudBridge连接器或具有高级许可证的Citrix ADC VPX。
下图显示了在数据中心和外部云之间设置的CloudBridge连接器隧道。
设置CloudBridge连接器隧道的设备称为结束点或同龄人CloudBridge Connector隧道。
CloudBridge连接器隧道使用以下协议:
通用路由封装(GRE)协议
在传输模式下的开放标准IPSec协议套件
GRE协议提供了一种机制来封装来自各种网络协议的数据包,以便在另一协议上转发。GRE习惯于:
连接运行非IP和不可路由协议的网络。
跨广域网(WAN)的网桥。
为任何类型的流量创建传输隧道,需要在不同的网络上保持不变。
GRE协议通过在报文中添加GRE头和GRE IP头对报文进行封装。
Internet协议安全(IPSec)协议套件保护CloudBridge连接器隧道中对等体之间的通信。
在CloudBridge连接器隧道中,IPSec保证:
数据的完整性
数据源身份验证
数据机密性(加密)
防止重放攻击
IPSec使用传输模式,其中GRE封装的数据包被加密。加密由封装安全有效载荷(ESP)协议完成。ESP协议通过使用HMAC哈希函数来确保数据包的完整性,并通过使用加密算法来确保机密性。在加密数据包并计算HMAC之后,生成ESP标题。在GRE IP标题之后插入ESP标题,并在加密的有效载荷结束时插入ESP预告片。
CloudBridge连接器隧道中的对等体使用IKE (Internet Key Exchange version)协议(IPSec协议套件的一部分)进行安全通信协商,具体如下:
两个对等体相互认证,认证方式如下:
- Pre-shared密钥身份验证.在每个对等体上手动配置一个名为预共享密钥的文本字符串。对等体之间的预共享密钥进行匹配验证。因此,要使认证成功,必须在对等体上配置相同的预共享密钥。
- 数字证书身份验证.启动器(发件人)对等体通过使用其私钥签署消息交换数据,另一个接收器对等体使用发件人的公钥来验证签名。通常,公钥在包含x.509v3证书的消息中交换。此证书提供了一定程度的保证,即证书中表示的对等体的身份与特定的公钥相关联。
然后,对等方进行谈判,就以下事项达成协议:
加密算法。
用于在一个对等机中加密数据并在另一个对等机中解密数据的加密密钥。
本协议对安全协议,加密算法和加密密钥称为安全关联(SA)。SA是单程(单纯x)。例如,当两个对等体,CB1和CB2通过连接器隧道通信时,CB1具有两个安全关联。一个SA用于处理超出绑定的数据包,另一个SA用于处理入站数据包。
SAs在指定的时间长度(称为一生.双方使用IKE (Internet Key Exchange)协议(IPSec协议套件的一部分)协商新的加密密钥,建立新的安全联盟。有限的生命周期的目的是防止攻击者破解密钥。
下表列出了Citrix ADC设备支持的一些IPSec属性:
IPSec属性 | 支持的类型 |
---|---|
IKE版本 | V1、V2 |
艾克DH集团 | Citrix ADC设备仅支持IKEv1和IKEv2的DH组2(1024位MODP算法)。 |
艾克身份验证方法 | 预共享密钥认证、数字证书认证 |
加密算法 | AES(128位)、AES 256(256位)、3DES |
散列算法 | Hmac sha1、Hmac sha256、Hmac sha384、Hmac sha512、Hmac md5 |
分享
分享
在这篇文章中
此预览产品文档是思杰机密。
您同意根据Citrix Beta / Tech预览协议的条款保密。
预览文档中描述的任何特性或功能的开发、发布和时间安排均由我们自行决定,并可在不另行通知或咨询的情况下进行更改。
本文档仅供参考之用,并不是提供任何材料、代码或功能的承诺、承诺或法律义务,在做出思杰产品购买决定时不应依赖。
如果不同意,请选择“不同意退出”。