在Citrix ADC设备和Cisco IOS设备之间配置CloudBridge连接器隧道
您可以在Citrix ADC设备和Cisco设备之间配置CloudBridge连接器隧道,以连接两个数据中心或将您的网络扩展到云提供商。Citrix ADC设备和Cisco IOS设备构成CloudBridge连接器隧道的端点,称为对等体。
CloudBridge Connector隧道配置和数据流示例
为了说明CloudBridge Connector隧道中的流量流程,请考虑以下设备之间建立CloudBridge Connector隧道的示例:
- Citrix ADC设备NS_Appliance-1在指定为datacenter -1的数据中心中
- Cisco IOS设备Cisco-IOS- device -1位于指定为datacenter -2的数据中心
NS_Appliance-1和Cisco-IOS-Device-1使Datacenter-1和Datacenter-2中的私有网络通过CloudBridge Connector隧道进行通信。本例中,NS_Appliance-1和Cisco-IOS-Device-1使Datacenter-1中的客户端CL1和Datacenter-2中的服务器S1通过CloudBridge Connector隧道进行通信。客户端CL1和服务器S1位于不同的私有网络。
在NS_Appliance-1上,CloudBridge Connector隧道的配置包括IPSec安全框架实体NS_Cisco_IPSec_Profile、CloudBridge Connector隧道实体NS_Cisco_Tunnel和策略路由实体NS_Cisco_Pbr。
有关更多信息,请参阅Citrix ADC设备和Cisco IOS设备设置之间的CloudBridge连接器隧道pdf。
CloudBridge连接器隧道配置的注意事项
在配置Citrix ADC设备和Cisco IOS设备之间的CloudBridge连接器隧道之前,请考虑以下几点:
Citrix ADC设备和Cisco IOS设备之间的CloudBridge连接器隧道支持以下IPSec设置。
IPSec属性 设置 IPSec模式 隧道模式 艾克版本 版本1 象DH组 DH组2(1024位MODP算法) IKE认证方法 Pre-Shared关键 类加密算法 AES、3 des 类哈希算法 Hmac sha1, Hmac sha256, Hmac sha384, Hmac sha512, Hmac md5 ESP加密算法 AES、3 des ESP散列算法 Hmac sha1, Hmac sha256, Hmac sha256, Hmac sha256, Hmac md5 - 您必须在Citrix ADC设备和CloudBridge连接器两端的Cisco IOS设备上指定相同的IPSec设置。
- Citrix ADC提供了一个通用参数(在IPSec配置文件中)来指定IKE哈希算法和ESP哈希算法。它还提供了另一个通用参数,用于指定IKE加密算法和ESP加密算法。因此,在Cisco设备上,IKE(创建IKE策略)和ESP(创建IPSec转换集)必须指定相同的哈希算法和加密算法。
- 需要在Citrix ADC端和Cisco设备端配置防火墙,允许以下操作。
- 端口500的任何UDP数据包
- 端口4500的任何UDP数据包
- 任何ESP (IP协议号50)数据包
为CloudBridge Connector隧道配置Cisco IOS设备
在Cisco IOS设备上配置CloudBridge Connector隧道,需要使用Cisco IOS命令行界面,这是配置、监控和维护Cisco设备的主要用户界面。
在开始在Cisco IOS设备上配置CloudBridge Connector隧道之前,请确保:
- 您在Cisco IOS设备上拥有一个具有管理员凭证的用户帐户。
- 熟悉Cisco IOS命令行界面。
- 前提条件Cisco IOS设备正常运行,连接到Internet,同时连接到需要通过CloudBridge Connector隧道保护流量的私有子网。
请注意:
在Cisco IOS设备上配置CloudBridge Connector隧道的过程可能会随时间而变化,具体取决于Cisco的发布周期。Citrix建议您按照Cisco官方产品文档获取更多信息,请参见配置IPSec VPN隧道的话题。
要在Citrix ADC设备和Cisco IOS设备之间配置CloudBridge连接器隧道,请在Cisco设备的IOS命令行上执行以下任务:
- 创建IKE策略。
- 配置IKE认证预共享密钥。
- 定义转换集,配置隧道模式下的IPSec。
- 创建加密访问列表
- 创建一个加密映射
- 将crypto Map应用到接口
中的示例创建设置Cisco IOS设备Cisco-IOS- device -1在“CloudBridge连接器配置和数据流示例”一节中提到。
创建IKE策略,请参阅艾克政策pdf。
使用Cisco IOS命令行配置预共享密钥:
在Cisco IOS设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| 加密isakmp身份地址 | Cisco-ios-device-1(config)# crypto isakmp身份地址 | 指定Cisco IOS设备在IKE协商过程中与对等体(Citrix ADC设备)通信时使用的ISAKMP身份(地址)。本例中指定address关键字,使用IP地址203.0.113.200 (Cisco-IOS-Device-1的千兆以太网接口0/1)作为设备的标识。 |
| 加密isakmp key keystringaddress peer-address | Cisco-ios-device-1 (config)# crypto isakmp key examplepreharedkey address 198.51.100.100 | 配置IKE认证的预共享密钥。本例配置共享密钥examplepresharedkey,用于Citrix ADC设备NS_Appliance-1(198.51.100.100)。为了在Cisco IOS设备和Citrix ADC设备之间成功进行IKE认证,必须在Citrix ADC设备上配置相同的预共享密钥。 |
通过使用Cisco IOS命令行创建加密访问列表:
在Cisco IOS设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| access-listaccess-list-number允许ip源源通配符目的目的通配符 | Cisco-ios-device-1(config)# access-list 111允许ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 | 通过指定条件确定需要通过CloudBridge Connector隧道保护IP流量的子网。本例配置访问列表111,保护来自子网10.20.20.0/24 (Cisco-IOS-Device-1侧)和10.102.147.0/24 (NS_Appliance-1侧)的流量。 |
通过Cisco IOS命令行定义转换和配置IPSec隧道模式:
在Cisco IOS设备的命令提示符下,从全局配置模式开始,按如下顺序输入以下命令:|命令|示例|命令说明| | - | - | - | |crypto ipsec transform-setname ESP_Authentication_Transform ESP_Encryption_Transform注:ESP_Authentication_Transform取值如下:esp-sha-hmac、esp-sha256-hmac、esp-sha384-hmac、esp-sha512-hmac、esp-md5-hmac。ESP_Encryption_Transform可以取以下值:ESP -aes或ESP -3des|Cisco-ios-device-1(config)# crypto ipsec transform-set NS-CISCO-TS ESP -sha256-hmac ESP -3des|定义一个转换集,指定在CloudBridge Connector隧道对等体之间交换数据时使用的ESP哈希算法(用于认证)和ESP加密算法。本例定义了转换集NS-CISCO-TS,指定ESP认证算法为ESP -sha256-hmac, ESP加密算法为ESP -3des。| |mode tunnel|Cisco-ios-device-1 (config-crypto-trans)# mode tunnel|设置IPSec采用隧道模式。||退出|Cisco-ios-device-1 (config-crypto-trans)# exit, Cisco-ios-device-1 (config)#|Exit back to global configuration mode.|
使用Cisco IOS命令行创建加密映射:
在Cisco IOS设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| 加密mapmap-name seq-num ipsec-isakmp | Cisco-ios-device-1 (config)# crypto map NS-CISCO-CM 2 ipsec-isakmp | 进入加密映射配置模式,指定加密映射的序号,配置加密映射采用IKE方式建立安全联盟。本例为加密映射NS-CISCO-CM配置序号为2和IKE。 |
| 设置对端ip地址 | #设置peer 172.23.2.7 | 通过IP地址指定对等体(Citrix ADC设备)。本例指定198.51.100.100,这是Citrix ADC设备上的CloudBridge Connector端点IP地址。 |
| 匹配addressaccess-list-id | Cisco-ios-device-1 (config-crypto-map)#匹配地址111 | 指定扩展访问列表。此访问列表指定了通过CloudBridge Connector隧道保护IP流量的子网的条件。本例指定访问列表111。 |
| 设置transform-set- Set -name | Cisco-ios-device-1 (config-crypto-map)# set transform-set NS-CISCO-TS | 指定此加密映射项允许使用哪些转换集。这个例子指定了转换集NS-CISCO-TS。 |
| 退出 | Cisco-ios-device-1 (config-crypto-map | |
| Cisco-ios-device-1(配置)# | 退出返回到全局配置模式。 |
使用Cisco IOS命令行将加密映射应用到接口:
在Cisco IOS设备的命令提示符下,按如下顺序在全局配置模式下输入以下命令:
| 命令 | 例子 | 命令的描述 |
|---|---|---|
| interfaceinterface-ID | Cisco-ios-device-1(config)# interface GigabitEthernet 0/1 | 指定要应用加密映射的物理接口,并进入接口配置模式。此处以Cisco设备Cisco- ios - device -1的千兆以太网接口0/1为例。接口上已经配置了IP地址203.0.113.200。 |
| 加密mapmap-name | Cisco-ios-device-1 (config-if)#加密映射NS-CISCO-CM | 将加密映射应用到物理接口。本例应用加密映射NS-CISCO-CM。 |
| 退出 | #退出;#退出 | 退出返回到全局配置模式。 |
为CloudBridge连接器隧道配置Citrix ADC设备
要在Citrix ADC设备和Cisco IOS设备之间配置CloudBridge Connector隧道,请在Citrix ADC设备上执行以下任务。您可以使用Citrix ADC命令行或Citrix ADC图形用户界面(GUI):
- 创建IPSec安全框架。
- 创建使用IPSec协议的IP隧道,并关联IPSec安全框架。
- 创建策略路由规则,并与IP隧道关联。
使用Citrix ADC命令行创建IPSEC配置文件:
在命令提示符下,输入:
add ipsec profile-psk -ikeVersion v1 显示ipsec配置文件
使用Citrix ADC命令行创建IPSEC隧道并绑定IPSEC配置文件:
在命令提示符下,输入:
add ipTunnel-protocol IPSEC -ipsecProfileName 添加ipTunnel
通过Citrix ADC命令行创建策略路由规则并绑定IPSEC隧道:
在命令提示符下,输入:
add pbrALLOW -srcIP -destIP -ipTunnel 应用为pbrsshow pbrs
下面的命令在Citrix ADC设备NS_Appliance-1章节中提到CloudBridge连接器配置和数据流示例.
> add ipsec profile NS_Cisco_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 -lifetime 315360 -encAlgo 3DES Done > add iptunnel NS_Cisco_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 -protocol ipsec -ipsecProfileName NS_Cisco_IPSec_Profile Done > add pbr NS_Cisco_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_Cisco_Tunnel Done > apply pbrs Done 使用GUI创建IPSEC配置文件:
- 导航到系统>CloudBridge连接器>IPSec配置文件.
- 在详细信息窗格中,单击添加.
- 在新建IPSec安全框架对话框中,设置如下参数:
- 名字
- 加密算法
- 散列算法
- IKE协议版本
- 配置IPSec身份验证两个CloudBridge Connector隧道对等体用于相互身份验证的方法:选择预共享密钥认证方法并设置预共享密钥存在参数。
- 点击创建,然后点击关闭.
通过GUI创建IP隧道并绑定IPSEC配置文件:
- 导航到系统>CloudBridge连接器>IP隧道.
- 在IPv4隧道选项卡上,单击添加.
- 在添加IP隧道对话框中,设置如下参数:
- 名字
- 远程IP
- 远程面具
- 本地IP类型(在“本地IP类型”下拉列表中选择“子网IP”)。
- 本端IP(所选IP类型下拉列表中显示已配置的所有IP。从列表中选择所需的IP。)
- 协议
- IPSec配置文件
- 点击创建,然后点击关闭.
通过GUI创建策略路由规则,并将IPSEC隧道绑定到策略路由规则上
- 导航到系统>网络>PBR.
- 在PBR选项卡上,单击添加.
- 在创建PBR对话框中,设置如下参数:
- 名字
- 行动
- 下一跳类型(选择IP隧道)
- IP隧道名称
- 源IP低
- 源IP高
- 目的IP低
- 目的IP高
- 点击创建,然后点击关闭.
通过使用GUI应用PBR:
- 导航到系统>网络>为PBRs.
- 在为PBRs选项卡,选择PBR,在…动作列表中,选择应用.
Citrix ADC设备上相应的新CloudBridge Connector隧道配置出现在GUI中。CloudBridge连接器隧道的当前状态显示在Configured CloudBridge connector窗格中。绿色圆点表示隧道已连通。红点表示隧道已断开。
监控CloudBridge连接器隧道
您可以通过使用CloudBridge Connector隧道统计计数器来监控Citrix ADC设备上CloudBridge Connector隧道的性能。有关在Citrix ADC设备上显示CloudBridge Connector隧道统计信息的详细信息,请参见监控CloudBridge连接器隧道.