在AWS上配置Citrix ADC设备和虚拟私有网关之间的CloudBridge连接器隧道
要将数据中心连接到Amazon Web Services (AWS),您可以在数据中心中的Citrix ADC设备和AWS上的虚拟私有网关之间配置CloudBridge连接器隧道。Citrix ADC设备和虚拟专用网关构成CloudBridge连接器隧道的端点,称为对等体。
注意:
您还可以在数据中心的Citrix ADC设备和AWS上的Citrix ADC VPX实例(而不是虚拟专用网关)之间设置CloudBridge连接器隧道。有关更多信息,请参见配置数据中心与AWS Cloud之间的CloudBridge连接器.
AWS上的虚拟私有网关支持对CloudBridge Connector隧道进行如下IPSec设置。因此,在为CloudBridge连接器隧道配置Citrix ADC设备时,必须指定相同的IPSec设置。
| IPSec属性 | 设置 |
|---|---|
| IPSec模式 | 隧道模式 |
| 艾克版本 | 版本1 |
| IKE认证方式 | Pre-Shared关键 |
| 加密算法 | AES |
| 散列算法 | HMAC SHA1, |
CloudBridge连接器隧道配置和数据流示例
为了说明CloudBridge连接器隧道中的流量流,请考虑以下示例:在数据中心的Citrix ADC设备NS_Appliance-1和AWS云上的虚拟私有网关网关AWS- virtual - private - gateway -1之间建立CloudBridge连接器隧道。
NS_Appliance-1还可以作为L3路由器,使数据中心的私有网络通过CloudBridge Connector隧道连接到AWS云中的私有网络。NS_Appliance-1作为路由器,通过CloudBridge Connector隧道实现数据中心客户端CL1与AWS云服务器S1之间的通信。客户端CL1和服务器S1处于不同的私网中。
在NS_Appliance-1上,CloudBridge Connector隧道配置包括一个名为NS_AWS_IPSec_Profile的IPSec安全框架实体、一个名为NS_AWS_Tunnel的CloudBridge连接器隧道实体和一个名为NS_AWS_Pbr的策略路由(policy - based routing,策略路由)实体。
IPSec安全框架实体NS_AWS_IPSec_Profile指定了CloudBridge Connector隧道中IPSec协议使用的IKE版本、加密算法、哈希算法等IPSec协议参数。NS_AWS_IPSec_Profile绑定IP隧道实体NS_AWS_Tunnel。
CloudBridge连接器隧道实体NS_AWS_Tunnel指定了用于建立CloudBridge连接器隧道的本端IP地址(Citrix ADC设备上配置的一个公共IP - snip地址)、远端IP地址(AWS-Virtual-Private-Gateway-1的IP地址)和协议(IPSec)。NS_AWS_Tunnel绑定策略路由实体NS_AWS_Pbr。
策略路由实体NS_AWS_Pbr指定了一组条件和一个CloudBridge连接器隧道实体(NS_AWS_Tunnel)。源IP地址范围和目的IP地址范围是ns_aws_策略路由的条件。源IP地址范围指定为数据中心子网,目的IP地址范围指定为AWS云子网。任何来自数据中心子网中的客户端并目的地为AWS云中子网中的服务器的请求包都匹配NS_AWS_Pbr中的条件。然后,该数据包被考虑用于CloudBridge连接器处理,并通过绑定到策略路由实体的CloudBridge连接器隧道(NS_AWS_Tunnel)发送。
下表列出了本例中使用的设置。
| 数据中心侧CloudBridge Connector隧道端点(NS_Appliance-1)的IP地址 | 66.165.176.15 |
|---|---|
| AWS中的CloudBridge连接器隧道端点(AWS- virtual - private - gateway -1)的IP地址 | 168.63.252.133 |
| 数据中心子网,流量通过CloudBridge连接器隧道 | 10.102.147.0/24 |
| AWS子网,其流量将穿过CloudBridge连接器隧道 | 10.20.20.0/24 |
Amazon AWS设置
| 客户的网关 | AWS-Customer-Gateway-1 | Routing = Static, IP Address = internet - Routing CloudBridge Citrix ADC端的连接器隧道端点IP地址= 66.165.176.15 |
|---|---|---|
| 虚拟专用网关 | AWS-Virtual-Private-Gateway-1 | 关联VPC = AWS-VPC-1 |
| VPN连接 | AWS-VPN-Connection-1 | 客户网关= AWS-Customer-Gateway-1,虚拟专用网关= Virtual-Private-Gateway-1,路由选项:Type = Static,静态IP前缀= Citrix ADC侧子网= 10.102.147.0/24 |
数据中心1中Citrix ADC设备NS_Appliance-1的设置:
| 设备 | 设置 | |
|---|---|---|
| SNIP1(仅供参考) | 66.165.176.15 | |
| IPSec配置文件 | NS_AWS_IPSec_Profile | IKE版本= v1,加密算法= AES,哈希算法= HMAC SHA1 |
| CloudBridge连接器隧道 | NS_AWS_Tunnel | 远端IP= 168.63.252.133,本端IP= 66.165.176.15,隧道协议= IPSec, IPSec安全框架= NS_AWS_IPSec_Profile |
| 基于策略路由 | NS_AWS_Pbr | 源IP范围=数据中心子网=10.102.147.0-10.102.147.255,目的IP范围= AWS子网=10.20.20.0-10.20.20.255,IP隧道= NS_AWS_Tunnel |
CloudBridge连接器隧道配置需要考虑的要点
在Citrix ADC设备和AWS网关之间配置CloudBridge连接器隧道之前,请考虑以下几点:
AWS对CloudBridge连接器隧道支持以下IPSec设置。因此,在为CloudBridge连接器隧道配置Citrix ADC设备时,必须指定相同的IPSec设置。
- IKE版本= v1
- 加密算法= AES
- 哈希算法= HMAC SHA1
需要在Citrix ADC端配置防火墙,以允许以下功能。
- 端口500的任何UDP数据包
- 端口4500的任何UDP数据包
- 任何ESP (IP协议号50)数据包
在Citrix ADC上指定隧道配置前,需要先配置Amazon AWS,因为隧道的AWS端(网关)的公网IP地址和PSK是在AWS上配置隧道时自动生成的。您需要这些信息来指定Citrix ADC设备上的隧道配置。
AWS网关支持静态路由,支持BGP协议进行路由更新。Citrix ADC设备不支持到AWS网关的CloudBridge连接器隧道中的BGP协议。因此,必须在CloudBridge Connector隧道两侧配置适当的静态路由,才能保证流量通过隧道的正确路由。
为CloudBridge Connector隧道配置Amazon AWS
要在Amazon AWS上创建CloudBridge连接器隧道配置,请使用Amazon AWS管理控制台,这是一个基于web的图形界面,用于在Amazon AWS上创建和管理资源。
在AWS云上开始CloudBridge连接器隧道配置之前,请确保:
- 您有一个Amazon AWS云的用户帐户。
- 您有一个虚拟私有云,希望通过CloudBridge连接器隧道将其网络连接到Citrix ADC端的网络。
- 您熟悉Amazon AWS管理控制台。
请注意:
为CloudBridge连接器隧道配置Amazon AWS的过程可能会随着时间的推移而改变,这取决于Amazon AWS的发布周期。Citrix建议您参考Amazon AWS文档了解最新的程序。
配置Citrix ADC与AWS网关之间的CloudBridge连接器隧道,需要在AWS管理控制台中完成以下任务:
- 创建客户网关.客户网关是表示CloudBridge连接器隧道端点的AWS实体。对于Citrix ADC设备和AWS网关之间的CloudBridge连接器隧道,客户网关表示AWS上的Citrix ADC设备。客户网关指定名称、隧道中使用的路由类型(静态或BGP)以及Citrix ADC端CloudBridge连接器隧道端点IP地址。IP地址可以是可通过internet路由的Citrix ADC所属子网IP (SNIP)地址,如果Citrix ADC设备位于NAT设备后面,则可以是表示SNIP地址的可通过internet路由的NAT IP地址。
- 创建虚拟私有网关,并将其绑定到VPC中.虚拟私有网关是AWS侧的CloudBridge连接器隧道端点。创建虚拟专用网关时,为其分配名称或允许AWS分配名称。将虚拟私有网关与VPC关联。通过“CloudBridge Connector”隧道连接到Citrix ADC侧的子网。
- 创建VPN连接.VPN连接指定在客户网关和虚拟私有网关之间创建CloudBridge Connector隧道。它还为Citrix ADC端网络指定一个IP前缀。只有虚拟私有网关(静态路由表项)知道的IP前缀才能通过隧道接收来自VPC的流量。此外,虚拟私有网关不会将目的地址不在指定IP地址前缀的流量通过隧道。配置VPN连接后,您可能需要等待几分钟才能创建VPN连接。
- 配置路由选项.为了使VPC的网络能够通过CloudBridge Connector隧道到达Citrix ADC侧网络,需要在VPC的路由表中包含Citrix ADC侧网络的路由,并将这些路由指向虚拟私有网关。在VPC的路由表中包含路由有以下两种方式:
- 启用路由传播.可以为路由表启用路由传播功能,使路由自动传播到路由表中。创建VPN连接后,为VPN配置指定的静态IP前缀将传播到路由表。
- 手动输入静态路由.如果不启用路由传播,则必须手动输入Citrix ADC端网络的静态路由。
- 下载配置.在AWS上完成CloudBridge Connector隧道(VPN连接)配置后,请将VPN连接的配置文件下载到本地。在Citrix ADC设备上配置CloudBridge Connector隧道时,您可能需要配置文件中的信息。
创建客户网关
- 进入Amazon VPC控制台https://console.aws.amazon.com/vpc/.
- 导航到VPN连接>客户的网关点击创建客户网关.
- 在创建客户网关对话框中,设置以下参数后,单击是的,创建:
- 姓名标签.客户网关的名称。
- 路由表.Citrix ADC设备和AWS虚拟私有网关之间的路由类型,用于通过CloudBridge连接器隧道相互发布路由。选择静态路由从路由列表。请注意: Citrix ADC设备不支持到AWS网关的CloudBridge连接器隧道中的BGP协议。因此,必须在CloudBridge Connector隧道两侧配置适当的静态路由,才能保证流量通过隧道的正确路由。
- IP地址.Citrix ADC端可上网的CloudBridge连接器隧道端点IP地址。IP地址可以是可通过internet路由的Citrix ADC所属子网IP (SNIP)地址,如果Citrix ADC设备位于NAT设备后面,则可以是表示SNIP地址的可通过internet路由的NAT IP地址。
创建虚拟私有网关,并将其绑定到VPC中
- 导航到VPN连接>虚拟专用网关,单击“创建虚拟专用网关”。
- 输入虚拟私有网关名称,单击“是,创建”。
- 2 .选择已创建的虚拟私有网关,单击“绑定VPC”。
- 在“绑定VPC”对话框中,在列表中选择需要绑定的VPC,单击“是,绑定”。
创建VPN连接:
- 进入“VPN连接> VPN连接”界面,单击“创建VPN连接”。
- 2 .在“创建VPN连接”对话框中输入以下参数,然后选择“是,创建”。
- 姓名标签.VPN连接的名称。
- 虚拟专用网关.选择前面创建的虚拟专用网关。
- 客户的网关.选择现有的。然后,从下拉列表中选择前面创建的客户网关。
- 路由选择.虚拟私有网关和客户网关(Citrix ADC设备)之间的路由类型。选择静态的。在“Static IP Prefixes”字段中,指定Citrix ADC侧子网的IP前缀,以逗号分隔。
启用路由传播:
- 导航到路由表选择与流量要通过CloudBridge连接器隧道的子网相关联的路由表。
请注意
缺省情况下,这是VPC的主路由表。
- 在途径传播在详细信息窗格中,选择编辑,选择虚拟私有网关,然后选择保存.
手动输入静态路由:
- 导航到路由表并选择路由表。
- 在路线选项卡上,单击编辑.
- 在目的地字段,输入CloudBridge连接器隧道(VPN连接)使用的静态路由。
- 中选择虚拟私有网关ID目标列表,然后单击保存.
下载配置文件:
- 导航到VPN连接,选择VPN连接,单击下载配置.
- 在下载配置对话框中,输入以下参数,然后单击是的,下载.
- 供应商.选择通用的.
- 平台.选择通用的.
- 软件.选择供应商无关.
为CloudBridge连接器隧道配置Citrix ADC设备
要在Citrix ADC设备和AWS云上的虚拟私有网关之间配置CloudBridge Connector隧道,请在Citrix ADC设备上执行以下任务。您可以使用Citrix ADC命令行或GUI。
创建IPSec安全框架.IPSec安全框架实体指定了IPSec协议在CloudBridge Connector隧道中使用的IKE版本、加密算法、哈希算法、PSK等IPSec协议参数。
- 创建使用IPSec协议的IP隧道,并关联IPSec安全框架.IP隧道指定本端IP地址(Citrix ADC设备上配置的SNIP地址)、远端IP地址(AWS中虚拟私有网关的公共IP地址)、用于建立CloudBridge连接器隧道的协议(IPSec)和IPSec配置文件实体。创建的IP隧道实体也称为CloudBridge连接器隧道实体。
- 创建策略路由规则,并将其与IP隧道关联.策略路由实体指定一组规则和一个IP隧道(CloudBridge Connector隧道)实体。源IP地址范围和目的IP地址范围是策略路由实体存在的条件。其中,源IP地址段为通过Citrix的adc侧子网,目的IP地址段为通过CloudBridge Connector隧道的AWS VPC子网。任何来自Citrix ADC端子网内客户端、目的地为AWS云子网内服务器的请求包,只要与策略br实体的源IP和目的IP范围匹配,就会通过与策略br实体关联的CloudBridge连接器隧道发送。
使用Citrix ADC命令行创建IPSEC安全框架
在命令提示符下,输入:
add ipsec profile-psk -**ikeVersion** v1 .使用实例 显示ipsec配置文件**
使用Citrix ADC命令行创建IPSEC隧道,并将IPSEC配置文件绑定到该隧道
在命令提示符下,输入:
add ipTunnel-protocol IPSEC -ipsecProfileName .使用实例 show ipTunnel
使用Citrix ADC命令行创建策略路由规则,并将IPSEC隧道与策略路由规则绑定
在命令提示符下,输入:
add pbrALLOW - srcip - destip ** -*ipTunnel . add pbr ALLOW - srcip 应用为pbrsshow pbr
以下命令创建“CloudBridge连接器配置和数据流示例”中使用的Citrix ADC设备NS_Appliance-1的所有设置。
> add ipsec profile NS_AWS_IPSec_Profile -psk DkiMgMdcbqvYREEuIvxsbKkW0Foyabcd -ikeVersion v1 -lifetime 31536000 Done > add iptunnel NS_AWS_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 -protocol ipsec -ipsecProfileName NS_AWS_IPSec_Profile Done > add策略br NS_AWS_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_AWS_Tunnel Done > apply pbrs Done 使用GUI方式创建IPSEC安全框架
- 导航到系统>CloudBridge连接器>IPSec配置文件.
- 在详细信息窗格中,单击添加.
在添加IPSec安全框架对话框中,设置如下参数:
- 的名字
- 加密算法
- 散列算法
- IKE协议版本(选择V1)
- 选择预共享密钥认证方法,并设置预共享密钥存在参数。
- 点击创建,然后按关闭.
GUI方式创建IP隧道,并绑定IPSEC安全框架
- 导航到系统>CloudBridge连接器>IP隧道.
- 在IPv4隧道页签,单击“添加”。
在添加IP隧道对话框中,设置如下参数:
- 的名字
- 远程IP
- 远程面具
- 本地IP类型(在“本地IP类型”下拉列表中选择“子网IP”)。
- 本端IP(所选IP类型中已配置的所有IP都在“本端IP”下拉列表中。从列表中选择所需的IP地址。)
- 协议
- IPSec配置文件
- 点击创建,然后按关闭.
使用GUI方式创建策略路由规则,并将IPSEC隧道与策略路由规则绑定
导航到系统>网络>PBR.
在PBR选项卡上,单击添加.
在创建PBR对话框中,设置如下参数:
- 的名字
- 行动
- 下一跳类型(选择IP隧道)
- IP隧道名称
- 源IP低
- 源IP高
- 目的IP低
- 目的IP高
点击创建,然后按关闭.
在GUI中显示Citrix ADC设备上相应的新的CloudBridge连接器隧道配置。
CloudBridge连接器隧道的当前状态显示在“已配置CloudBridge连接器”窗格中。绿色圆点表示隧道已打开。红点表示隧道已关闭。
监控CloudBridge连接器隧道
您可以使用CloudBridge连接器隧道统计计数器在Citrix ADC设备上监视CloudBridge连接器隧道的性能。有关在Citrix ADC设备上显示CloudBridge连接器隧道统计信息的详细信息,请参见监控CloudBridge连接器隧道.