CloudBridge连接器互操作性- Cisco ASA
您可以在Citrix ADC设备和Cisco ASA设备之间配置CloudBridge连接器隧道,以连接两个数据中心或将您的网络扩展到云提供商。Citrix ADC设备和Cisco ASA设备构成CloudBridge连接器隧道的端点,称为对等体。
CloudBridge连接器隧道配置示例
为了说明CloudBridge连接器隧道中的流量,请考虑一个示例,其中在以下设备之间建立了CloudBridge连接器隧道:
- Citrix ADC设备NS_Appliance-1在指定为datacenter -1的数据中心中
- Cisco ASA设备Cisco-ASA- appliance -1位于指定为datacenter -2的数据中心
NS_Appliance-1和Cisco-ASA-Appliance-1使Datacenter-1和Datacenter-2中的私有网络通过CloudBridge Connector隧道进行通信。在本例中,NS_Appliance-1和Cisco-ASA-Appliance-1使Datacenter-1中的客户端CL1和Datacenter-2中的服务器S1通过CloudBridge Connector隧道进行通信。客户端CL1和服务器S1位于不同的私有网络。
在NS_Appliance-1上,CloudBridge Connector隧道的配置包括IPSec安全框架实体NS_Cisco-ASA_IPSec_Profile、CloudBridge Connector隧道实体NS_Cisco-ASA_Tunnel和策略路由实体NS_Cisco-ASA_Pbr。
CloudBridge连接器隧道配置需要考虑的要点
在开始配置CloudBridge连接器隧道之前,请确保:
- Citrix ADC设备和Cisco ASA设备之间的CloudBridge连接器隧道支持以下IPSec设置。
| IPSec属性 | 设置 |
|---|---|
| IPSec模式 | 隧道模式 |
| 艾克版本 | 版本1 |
| IKE认证方法 | Pre-Shared关键 |
| 类加密算法 | AES、3 des |
| 类哈希算法 | Hmac sha1, Hmac md5 |
| ESP加密算法 | AES、3 des |
| ESP散列算法 | Hmac sha1, Hmac md5 |
- 您必须在CloudBridge连接器隧道两端的Citrix ADC设备和Cisco ASA设备上指定相同的IPSec设置。
- Citrix ADC提供了一个通用参数(在IPSec配置文件中)来指定IKE哈希算法和ESP哈希算法。它还提供了另一个用于指定IKE加密算法和ESP加密算法的通用参数。因此,在Cisco ASA设备中,IKE(第一阶段配置)和ESP(第二阶段配置)必须指定相同的哈希算法和加密算法。
- 需要在Citrix ADC端和Cisco ASA端配置防火墙,允许以下操作。
- 端口500的任何UDP数据包
- 端口4500的任何UDP数据包
- 任何ESP (IP协议号50)数据包
为CloudBridge连接器隧道配置Cisco ASA
要在Cisco ASA设备上配置CloudBridge连接器隧道,请使用Cisco ASA命令行界面,这是用于配置、监视和维护Cisco ASA设备的主要用户界面。
在开始在Cisco ASA设备上配置CloudBridge连接器隧道之前,请确保:
- 您在Cisco ASA设备上拥有一个具有管理员凭证的用户帐户。
- 熟悉Cisco ASA命令行界面。
- Cisco ASA设备已启动并运行,已连接到Internet,并且还连接到私有子网,这些子网的流量将通过CloudBridge连接器隧道进行保护。
请注意
在Cisco ASA设备上配置CloudBridge Connector隧道的过程可能会随时间而变化,具体取决于Cisco的发布周期。Citrix建议您按照Cisco ASA官方产品文档配置IPSec VPN隧道:
要在Citrix ADC设备和Cisco ASA设备之间配置CloudBridge连接器隧道,请在Cisco ASA设备的命令行上执行以下任务:
- 创建IKE策略。IKE策略定义了IKE协商(阶段1)时使用的安全参数的组合,例如配置IKE协商时使用的哈希算法、加密算法、认证方法等。
- 在外部接口上使能IKE。2 .在隧道流量流向隧道对等体的外部接口上启用IKE。
- 新建隧道组。隧道组指定隧道的类型和预共享密钥。隧道类型必须配置为IPsec -l2l,即IPsec LAN到LAN。预共享密钥是一个文本字符串,CloudBridge Connector隧道的对等体使用它来相互验证。预共享密钥匹配用于IKE认证。因此,要使身份验证成功,必须在Cisco ASA设备和Citrix ADC设备上配置相同的预共享密钥。
- 定义转换集。转换集定义了安全参数的组合(阶段2),这些参数将在IKE协商成功后通过CloudBridge Connector隧道交换数据时使用。
- 创建访问列表。加密访问列表用于定义子网,其IP流量将通过CloudBridge隧道受到保护。访问列表中的源和目标参数指定要通过CloudBridge连接器隧道保护的Cisco设备端和Citrix ADC端子网。访问列表必须设置为允许。任何来自Cisco设备端子网中的设备并以Citrix ADC端子网中的设备为目的地的请求数据包,如果符合访问列表的源和目标参数,则通过CloudBridge连接器隧道发送。
- 创建一个加密映射。加密映射定义安全联盟(sa)的IPSec参数。它们包括:加密访问列表,用于识别需要通过CloudBridge隧道保护流量的子网,通过IP地址识别对端(Citrix ADC),以及转换集以匹配对端安全设置。
- 将crypto Map应用到外部接口。在本任务中,将加密映射应用到隧道流量流向隧道对等体的外部接口上。将加密映射应用到接口指示Cisco ASA设备根据加密映射集评估所有接口流量,并在连接或安全关联协商期间使用指定的策略。
以下过程中的示例创建了CloudBridge连接器配置和数据流示例中使用的Cisco ASA设备Cisco-ASA- appliance -1的设置。
使用Cisco ASA命令行创建IKE策略
在Cisco ASA设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| 加密ikev1策略优先级 | Cisco-ASA-appliance-1(config)# crypto ikev1策略 | 进入IKE策略配置模式,并识别需要创建的策略。(每个策略由您分配的优先级编号唯一标识。)本例配置策略1。 |
| 加密(3des | aes) | Cisco-ASA-appliance-1 (config-ikev1-policy)#加密3des | 指定加密算法。本例配置3DES算法。 |
| 哈希(sha | md5) | Cisco-ASA-appliance-1 (config- ikev1-policy)# hash sha | 指定哈希算法。本例配置SHA。 |
| authenticationpre-share | Cisco-ASA-appliance-1 (config- ikev1-policy)# authentication pre-share | 指定预共享认证方式。 |
| 组2 | Cisco-ASA-appliance-1 (config- ikev1-policy)# group | 指定1024位的Diffie-Hellman组标识(2)。 |
| 一生秒 | Cisco-ASA-appliance-1 (config- ikev1-policy)# lifetime 28800 | 指定安全关联的生存期,以秒为单位。本例配置28800秒,这是Citrix ADC设备生命周期的默认值。 |
使用Cisco ASA命令行在外部接口使能IKE
在Cisco ASA设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| 加密ikev1在外部启用 | Cisco-ASA-appliance-1(config)# crypto ikev1 enable outside | 2 .在tunnel流量流向对端接口上使能IKEv1。本例在名为outside的接口上启用IKEv1。 |
使用Cisco ASA命令行创建隧道组
在Cisco ASA设备的命令提示符下,在全局配置模式下输入以下命令,如所附pdf所示隧道组使用Cisco ASA命令行:
通过使用Cisco ASA命令行创建加密访问列表
在Cisco ASA设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| access-list access-list-number允许IP源源通配符目的目的通配符 | Cisco-ASA-appliance-1(config)# access-list 111允许ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 | 通过指定条件确定需要通过CloudBridge Connector隧道保护IP流量的子网。本例配置访问列表111,保护来自10.20.20.0/24 (Cisco-ASA-Appliance-1侧)和10.102.147.0/24 (NS_Appliance-1侧)子网的流量。 |
通过使用Cisco ASA命令行定义转换集
在Cisco ASA设备的命令提示符下,从全局配置模式启动,键入以下命令。看到使用ASA命令行变换集合表pdf。
使用Cisco ASA命令行创建加密映射
在Cisco ASA设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| 加密映射map-name seq-num匹配地址access-list-name | Cisco-ASA-appliance-1 (config)#加密映射NS-CISCO-CM 1匹配地址111 | 创建加密映射并为其指定访问列表。本例配置序列号为1的加密映射NS-CISCO-CM,并将访问列表111分配给NS-CISCO-CM。 |
| 加密映射map-name seq-num set peer ip-address | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 set peer 198.51.100.100 | 通过IP地址指定对等体(Citrix ADC设备)。本例指定198.51.100.100,这是Citrix ADC设备上的隧道端点IP地址。 |
| 加密映射map-name seq-num set ikev1 transform-set transform-set-name | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 set ikev1 transform-set NS-CISCO-TS | 指定此加密映射项允许使用哪个转换集。这个例子指定了转换集NS-CISCO-TS。 |
使用Cisco ASA命令行将加密映射应用到接口
在Cisco ASA设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| 加密映射map-nameinterface interface-name | Cisco-ASA-appliance-1(config)# crypto map NS-CISCO-CM接口外部 | 将加密映射应用到CloudBridge Connector隧道流量将流经的接口。本例将加密映射NS-CISCO-CM应用于外部接口。 |
为CloudBridge连接器隧道配置Citrix ADC设备
要在Citrix ADC设备和Cisco ASA设备之间配置CloudBridge连接器隧道,请在Citrix ADC设备上执行以下任务。您可以使用Citrix ADC命令行或Citrix ADC图形用户界面(GUI):
- 创建IPSec安全框架。
- 创建使用IPSec协议的IP隧道,并关联IPSec安全框架。
- 创建策略路由规则,并与IP隧道关联。
使用Citrix ADC命令行创建IPSEC配置文件:
在命令提示符下,输入:
add ipsec profile-psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE 显示ipsec配置文件
使用Citrix ADC命令行创建IPSEC隧道并绑定IPSEC配置文件。
在命令提示符下,输入:
add ipTunnel-protocol IPSEC -ipsecProfileName 显示ipTunnel
使用Citrix ADC命令行创建策略路由规则并绑定IPSEC隧道。
在命令提示符下,输入:
* *添加pbr * * < pbrName > * *允许* * - * * srcIP * * < subnet-range > - * * destIP * * < subnet-range >* * ipTunnel * * < tunnelName >* *应用为pbrs * ***显示pbr**
使用GUI创建IPSEC配置文件。
- 导航到系统>CloudBridge连接器>IPSec配置文件。
- 在详细信息窗格中,单击添加。
- 在新建IPSec安全框架界面,设置如下参数:
- 名字
- 加密算法
- 散列算法
- IKE协议版本
- 完全前向保密(启用此参数)
- 配置CloudBridge Connector两个隧道对等体相互认证时使用的IPSec认证方式:选择预共享密钥认证方法并设置预共享密钥存在参数。
- 点击创建,然后点击关闭。
使用GUI界面创建IP隧道并绑定IPSEC安全框架。
- 导航到系统>CloudBridge连接器>IP隧道。
- 在“IPv4隧道”页签,点击添加。
- 在添加IP隧道界面,设置如下参数:
- 名字
- 远程IP
- 远程面具
- 本端IP类型(在“本端IP类型”下拉列表中选择“子网IP”)。
- 本端IP(所选IP类型下拉列表中显示已配置的所有IP地址。从列表中选择所需的IP。)
- 协议
- IPSec配置文件
- 点击创建,然后点击关闭。
使用GUI界面创建策略路由规则并绑定IPSEC隧道。
- 导航到系统>网络>PBR。
- 在PBR选项卡上,单击添加。
- 在创建PBR界面,设置如下参数:
- 名字
- 行动
- 下一跳类型(选择IP隧道)
- IP隧道名称
- 源IP低
- 源IP高
- 目的IP低
- 目的IP高
- 点击创建,然后点击关闭。
Citrix ADC设备上相应的新CloudBridge Connector隧道配置出现在GUI中。CloudBridge连接器隧道的当前状态显示在Configured CloudBridge connector窗格中。绿色圆点表示隧道已连通。红点表示隧道已断开。
以下命令在“CloudBridge连接器配置示例”中创建Citrix ADC设备NS_Appliance-1的设置:
>添加ipsec配置NS_Cisco-ASA_IPSec_Profile相移键控examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1一生315360 -perfectForwardSecrecy启用>加入iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100协议ipsec -ipsecProfileName NS_Cisco-ASA_IPSec_Profile做>添加pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_Cisco-ASA_Tunnel做>应用为pbrs做< !——NeedCopy >监控CloudBridge连接器隧道
您可以通过使用CloudBridge Connector隧道统计计数器来监控Citrix ADC设备上CloudBridge Connector隧道的性能。有关在Citrix ADC设备上显示CloudBridge Connector隧道统计信息的详细信息,请参见监控CloudBridge连接器隧道。