在Citrix ADC设备和fortinet fortiGate设备之间配置CloudBridge连接器隧道
您可以在Citrix ADC设备和Fortinet FortiGate设备之间配置CloudBridge连接器隧道,以连接两个数据中心或将您的网络扩展到云提供商。Citrix ADC设备和FortiGate设备构成了CloudBridge连接器隧道的端点,它们被称为对等体。
CloudBridge连接器隧道配置示例
为了说明CloudBridge Connector隧道中的流量流程,请考虑以下设备之间建立CloudBridge Connector隧道的示例:
- Citrix ADC设备NS_Appliance-1在指定为datacenter -1的数据中心中
- FortiGate设备FortiGate- appliance -1位于指定为datacenter -2的数据中心中
NS_Appliance-1和fortigate appliance -1使Datacenter-1和Datacenter-2中的私有网络通过CloudBridge Connector隧道进行通信。在本例中,NS_Appliance-1和FortiGate-Appliance-1使Datacenter-1中的客户端CL1和Datacenter-2中的服务器S1通过CloudBridge Connector隧道进行通信。客户端CL1和服务器S1位于不同的私有网络。
在NS_Appliance-1上,CloudBridge Connector隧道的配置包括IPSec安全框架实体NS_Fortinet_IPSec_Profile、CloudBridge Connector隧道实体NS_Fortinet_Tunnel和策略路由实体NS_Fortinet_Pbr。
有关更多信息,请参见CloudBridge连接器隧道配置表pdf。
有关数据中心-2中Fortinet FortiGate-Appliance-1上的设置的信息,请参见表格。
CloudBridge连接器隧道配置需要考虑的要点
在配置Citrix ADC设备和FortiGate设备之间的CloudBridge连接器隧道之前,请考虑以下几点:
Citrix ADC设备和FortiGate设备之间的CloudBridge连接器隧道支持以下IPSec设置。
IPSec属性 设置 IPSec模式 隧道模式 艾克版本 版本1 象DH组 DH组2(1024位MODP算法) IKE认证方法 Pre-Shared关键 类加密算法 AES 类哈希算法 HMAC SHA1, ESP加密算法 AES ESP散列算法 HMAC SHA1, - 您必须在CloudBridge连接器两端的Citrix ADC设备和FortiGate设备上指定相同的IPSec设置。
- Citrix ADC提供了一个通用参数(在IPSec配置文件中)来指定IKE哈希算法和ESP哈希算法。它还提供了另一个用于指定IKE加密算法和ESP加密算法的通用参数。因此,在FortiGate设备中,必须在IKE(阶段1配置)和ESP(阶段2配置)中指定相同的哈希算法和加密算法。
- 需要在Citrix ADC端和FortiGate端配置防火墙,允许以下操作。
- 端口500的任何UDP数据包
- 端口4500的任何UDP数据包
- 任何ESP (IP协议号50)数据包
- FortiGate设备支持两种类型的VPN隧道:基于策略的和基于路由的。在FortiGate设备和Citrix ADC设备之间只支持基于策略的VPN隧道。
为CloudBridge连接器隧道配置FortiGate设备
要在FortiGate设备上配置CloudBridge连接器隧道,请使用Fortinet Web-based Manager,它是用于配置、监视和维护FortiGate设备的主要用户界面。
在FortiGate设备上开始CloudBridge连接器隧道配置之前,请确保:
- 您在FortiGate设备上拥有一个具有管理员凭据的用户帐户。
- 您熟悉Fortinet Web-based Manager。
- FortiGate设备已启动并运行,已连接到Internet,还连接到私有子网,这些子网的流量将通过CloudBridge连接器隧道受到保护。
请注意
在FortiGate设备上配置CloudBridge连接器隧道的过程可能会随时间而变化,具体取决于Fortinet的发布周期。Citrix建议您遵循Fortinet的官方产品文档配置IPSec VPN隧道。
要在Citrix ADC设备和FortiGate设备之间配置CloudBridge连接器隧道,请使用Fortinet基于web的管理器在FortiGate设备上执行以下任务:
- 启用策略IPSec VPN特性。在FortiGate设备上启用此特性以创建基于策略的VPN隧道。在FortiGate设备和Citrix ADC设备之间只支持基于策略的VPN隧道。FortiGate设备上基于策略的VPN隧道配置包括阶段1设置、阶段2设置和IPSec安全策略。
- 定义阶段1参数。在形成通往Citrix ADC设备的安全隧道之前,FortiGate设备将使用阶段1参数进行IKE身份验证。
- 定义阶段2参数。FortiGate设备使用阶段2参数通过建立IKE安全关联(SA)来形成通往Citrix ADC设备的安全隧道。
- 指定私网子网。定义需要通过隧道传输IP流量的fortigate侧私网和Citrix adc侧私网。
- 2 .定义隧道安全策略。安全策略允许IP流量在FortiGate设备的接口之间传递。IPSec安全策略指定到专用子网的接口和通过隧道连接Citrix ADC设备的接口。
通过Fortinet web Manager启用策略IPSec VPN特性
- 导航到系统>配置>特性。
- 在功能设置页面,选择显示更多然后打开策略IPSec VPN。
通过使用Fortinet Web-based Manager定义阶段1参数
- 导航到VPN>IPsec>自动密钥(IKE)并点击创建Phase1。
- 在新一期界面,设置如下参数:
- 名称:输入阶段1配置的名称。
- 远程网关:选择静态IP地址。
- 模式:选择主(ID保护)。
- 认证方式:选择预共享密钥。
- 预共享密钥:输入预共享密钥。必须在Citrix ADC设备上配置相同的预共享密钥。
- 对端选项:设置以下IKE参数,用于对Citrix ADC设备进行认证。
- IKE版本:选择1。
- 模式配置:如果已选中,则清除此选项。
- 本端网关IP:选择主接口IP。
- P1提议:在与Citrix ADC设备建立安全隧道之前,选择IKE认证的加密和认证算法。
- 1—加密:选择AES128。
- 身份验证:选择SHA1。
- 键寿命:输入阶段1键寿命的时间量(以秒为单位)。
- DH组:选择“2”。
- X-Auth:选择禁用。
- 契据对等检测:选择此选项。
- 点击好吧。
使用Fortinet web管理器指定专用子网
- 导航到防火墙的对象>地址>地址并选择创建新的。
- 在新地址界面,设置如下参数:
- 名称:输入网关侧子网的名称。
- 类型:选择子网。
- 子网/ IP范围:输入网关侧子网的地址。
- 接口:选择子网的本地接口。
- 点击好吧。
- 重复步骤1-3,指定Citrix的adc端子网。
通过使用Fortinet Web-based Manager定义阶段2参数
- 导航到VPN>IPsec>自动密钥(IKE)并点击创建阶段2。
- 在新第2期界面,设置如下参数:
- 名称:输入阶段2配置的名称。
- 阶段1:在下拉列表中选择阶段1的配置。
- 点击先进的并设置如下参数:
- P2提议:选择加密和认证算法,以形成到Citrix ADC设备的安全隧道。
- 1—加密:选择AES128。
- 身份验证:选择SHA1。
- 启用重放检测:选择此选项。
- 启用完全前向保密(PFS):选择此选项。
- DH组:选择2。
- Keylife:输入阶段2密钥寿命的时间(以秒为单位)。
- Autokey Keep Alive:选择此选项。
- 自动协商:选择此选项。
- 快速模式选择器:指定需要通过隧道的fortigate侧私网和Citrix adc侧私网。
- 源地址:在下拉列表中选择“fortigate侧子网”。
- 源端口:输入0。
- 目的地址:在下拉列表中选择Citrix的adc端子网。
- 目的端口:输入0。
- 协议:输入0。
- P2提议:选择加密和认证算法,以形成到Citrix ADC设备的安全隧道。
- 点击好吧。
使用Fortinet web - Manager定义IPSec安全策略
- 导航到政策>政策>政策并点击创建新的。
- 在编辑政策界面,设置如下参数:
- 策略类型:选择VPN。
- 策略子类型:选择IPSec。
- 本地接口:选择内部网络(私网)的本地接口。
- 本地保护子网:在下拉列表中选择需要流量通过隧道的加固侧子网。
- VPN出接口:选择本端到外(公网)网络的接口。
- 远端保护子网:在下拉列表中选择需要流量通过隧道的Citrix adc侧子网。
- Schedule:保持默认设置(总是),除非需要更改以满足特定要求。
- 服务:保持默认设置(任何),除非需要更改以满足您的特定要求。
- VPN隧道:选择使用现有的在下拉列表中选择隧道。
- 允许远端站点发起流量:选择是否允许远端网络发起隧道。
- 点击好吧。
为CloudBridge连接器隧道配置Citrix ADC设备
要在Citrix ADC设备和FortiGate设备之间配置CloudBridge Connector隧道,请在Citrix ADC设备上执行以下任务。您可以使用Citrix ADC命令行或Citrix ADC图形用户界面(GUI):
- 创建IPSec安全框架。IPSec安全框架实体指定了IPSec协议在CloudBridge Connector隧道中使用的IKE版本、加密算法、哈希算法、认证方式等IPSec协议参数。
- 创建使用IPSec协议的IP隧道,并关联IPSec安全框架。IP隧道指定本端IP地址(Citrix ADC设备上配置的CloudBridge Connector隧道终点IP地址(类型为SNIP))、远端IP地址(FortiGate设备上配置的CloudBridge Connector隧道终点IP地址)、用于建立CloudBridge Connector隧道的协议(IPSec)和IPSec配置文件实体。创建的IP隧道实体也称为CloudBridge Connector隧道实体。
- 创建策略路由规则,并与IP隧道关联。策略路由实体指定一组规则和一个IP隧道(CloudBridge Connector隧道)实体。源IP地址段和目的IP地址段是策略路由实体的条件。配置源IP地址范围,指定需要进行隧道保护的Citrix adc侧子网;配置目的IP地址范围,指定需要进行隧道保护的FortiGate一体机侧子网。
使用Citrix ADC命令行创建IPSEC配置文件
在命令提示符下,输入:
add ipsec profile
--psk -ikeVersion v1 encAlgo AES - hashhalgo HMAC_SHA1 -perfectForwardSecrecy ENABLE
显示ipsec配置文件
使用Citrix ADC命令行创建IPSEC隧道并绑定IPSEC配置文件
在命令提示符下,输入:
add ipTunnel
-protocol IPSEC -ipsecProfileName ** show ipTunnel
通过Citrix ADC命令行创建策略路由规则并绑定IPSEC隧道
在命令提示符下,输入:
add pbr
ALLOW -srcIP -destIP -ipTunnel 应用为pbrs
show pbr
使用GUI创建IPSEC配置文件
- 导航到系统>CloudBridge连接器>IPSec配置文件。
- 在详细信息窗格中,单击添加。
- 在新建IPSec安全框架界面,设置如下参数:
- 名字
- 加密算法
- 散列算法
- IKE协议版本
- 完全前向保密(启用此参数)
- 配置CloudBridge Connector隧道两端相互认证时使用的IPSec认证方式:选择“预共享密钥”认证方式,并设置“预共享密钥存在”参数。
- 点击创建,然后点击关闭。
通过GUI创建IP隧道并绑定IPSEC配置文件
- 导航到系统>CloudBridge连接器>IP隧道。
- 在IPv4隧道选项卡上,单击添加。
- 在添加IP隧道界面,设置如下参数:
- 名字
- 远程IP
- 远程面具
- 本地IP类型(在“本地IP类型”下拉列表中选择子网IP).
- 本端IP(所选IP类型下拉列表中显示已配置的所有IP地址。从列表中选择所需的IP。)
- 协议
- IPSec配置文件
- 点击创建,然后点击关闭。
通过GUI创建策略路由规则,并将IPSEC隧道绑定到策略路由规则上
- 导航到系统>网络>PBR。
- 在PBR选项卡上,单击添加。
- 在创建PBR界面,设置如下参数:
- 名字
- 行动
- 下一跳类型(选择IP隧道)
- IP隧道名称
- 源IP低
- 源IP高
- 目的IP低
- 目的IP高
- 点击创建,然后点击关闭。
Citrix ADC设备上相应的新CloudBridge Connector隧道配置出现在GUI中。
CloudBridge连接器隧道的当前状态显示在Configured CloudBridge connector窗格中。绿色圆点表示隧道已连通。红点表示隧道已断开。
下面的命令在“CloudBridge连接器配置示例”中创建Citrix ADC设备NS_Appliance-1的设置。
>添加ipsec配置NS_Fortinet_IPSec_Profile相移键控examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1一生315360 -perfectForwardSecrecy启用>加入iptunnel NS_Fortinet_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100协议ipsec -ipsecProfileName NS_Fortinet_IPSec_Profile做>添加pbr NS_Fortinet_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_Fortinet_Tunnel做>应用为pbrs做< !——NeedCopy >
监视CloudBridge连接器隧道
您可以通过使用CloudBridge Connector隧道统计计数器来监控Citrix ADC设备上CloudBridge Connector隧道的性能。有关在Citrix ADC设备上显示CloudBridge Connector隧道统计信息的详细信息,请参见监控CloudBridge连接器隧道。