CloudBridge连接器互操作性-强天鹅
StrongSwan是Linux平台上的开源IPSec实现。您可以在Citrix ADC设备和StrongSwan设备之间配置CloudBridge连接器隧道,以连接两个数据中心或将您的网络扩展到云提供商。Citrix ADC设备和StrongSwan设备构成了CloudBridge连接器隧道的端点,它们被称为对等体。
CloudBridge连接器隧道配置示例
为了说明CloudBridge Connector隧道中的流量流程,请考虑以下设备之间建立CloudBridge Connector隧道的示例:
- Citrix ADC设备NS_Appliance-1在指定为datacenter -1的数据中心中
- StrongSwan设备StrongSwan- appliance -1位于指定为datacenter -2的数据中心
NS_Appliance-1和StrongSwan-Appliance-1使Datacenter-1和Datacenter-2中的私有网络通过CloudBridge连接器隧道进行通信。在本例中,NS_Appliance-1和StrongSwan-Appliance-1使Datacenter-1中的客户端CL1和Datacenter-2中的服务器S1通过CloudBridge Connector隧道进行通信。客户端CL1和服务器S1位于不同的私有网络。
在NS_Appliance-1上,CloudBridge Connector隧道的配置包括IPSec安全框架实体NS_StrongSwan_IPSec_Profile、CloudBridge Connector隧道实体NS_StrongSwan_Tunnel和策略路由实体NS_StrongSwan_Pbr。
下表列出了本示例中使用的设置。
CloudBridge连接器隧道设置的主要设置
| 实体 | 细节 |
|---|---|
| Datacenter-1中CloudBridge Connector隧道端点(NS_Appliance-1)的IP地址 | 198.51.100.100 |
| 数据中心2中CloudBridge Connector隧道端点(StrongSwan-Appliance-1)的IP地址 | 203.0.113.200 |
| 数据中心1的子网,其流量将通过CloudBridge连接器隧道进行保护 | 10.102.147.0/24 |
| 数据中心2的子网,其流量将通过CloudBridge连接器隧道进行保护 | 10.20.20.0/24 |
Datacenter-1中Citrix ADC一体机NS_Appliance-1的设置
| SNIP1(仅供参考) | 198.51.100.100 | |
|---|---|---|
| IPSec配置文件 | NS_StrongSwan_IPSec_Profile | IKE版本:v1,加密算法:AES,哈希算法:HMAC_SHA1 |
| psk = examplepresharedkey(注意:这是一个预共享密钥的示例,用于说明。Citrix不建议在您的CloudBridge Connector配置中使用此字符串) | ||
| CloudBridge连接器隧道 | NS_StrongSwan_Tunnel | 对端IP= 203.0.113.200,本端IP= 198.51.100.100,隧道协议= IPSEC, IPSEC配置文件= NS_StrongSwan_IPSec_Profile |
| 策略路由 | NS_StrongSwan_Pbr | 源IP范围= datacenter内的子网-1=10.102.147.0-10.102.147.255,目的IP范围= datacenter内的子网-2=10.20.20.0-10.20.20.255,IP隧道= NS_StrongSwan_Tunnel |
CloudBridge连接器隧道配置需要考虑的要点
在开始配置CloudBridge连接器隧道之前,请确保:
- 具备linux基本配置知识。
- 了解IPSec协议套件的基本知识。
- StrongSwan设备已启动并运行,已连接到Internet,并且还连接到私有子网,其流量将通过CloudBridge连接器隧道进行保护。
- Citrix ADC设备已启动并运行,已连接到Internet,还连接到私有子网,这些子网的流量将通过CloudBridge连接器隧道受到保护。
- Citrix ADC设备和StrongSwan设备之间的CloudBridge连接器隧道支持以下IPSec设置。
- IPSec模式:隧道模式
- IKE版本:版本1
- IKE认证方式:预共享密钥
- IKE加密算法:AES
- IKE哈希算法:HMAC SHA1
- ESP加密算法:AES
- ESP哈希算法:HMAC SHA1
- 您必须在CloudBridge连接器隧道两端的Citrix ADC设备和StrongSwan设备上指定相同的IPSec设置。
- Citrix ADC提供了一个通用参数(在IPSec配置文件中)来指定IKE哈希算法和ESP哈希算法。它还提供了另一个用于指定IKE加密算法和ESP加密算法的通用参数。因此,在StrongSwan设备中,必须在IPSec.conf文件中的IKE和ESP参数中指定相同的哈希算法和加密算法。
- 需要在Citrix ADC端和StrongSwan端配置防火墙,允许以下操作。
- 端口500的任何UDP数据包
- 端口4500的任何UDP数据包
- 任何ESP (IP协议号50)数据包
为CloudBridge连接器隧道配置StrongSwan
要在Citrix ADC设备和StrongSwan设备之间配置CloudBridge连接器隧道,请在StrongSwan设备上执行以下任务:
- 在IPsec .conf文件中指定IPsec连接信息。conf文件定义了strongSwan设备中IPsec连接的所有控制和配置信息。
- 在ipsec中指定预共享密钥。秘密文件。ipsec。secrets文件为strongSwan设备中的IPsec连接定义IKE/IPsec认证的秘密。
在StrongSwan设备上配置IPsec VPN (CloudBridge连接器隧道)的过程可能会随着时间的推移而改变,具体取决于StrongSwan的发布周期。Citrix建议您遵循StrongSwan的官方文档配置IPSec VPN隧道。
下面的IPsec .conf文件的示例摘录指定用于设置IPsec VPN隧道的IPsec信息,在CloudBridge连接器配置示例主题中描述。有关更多信息,请参见CloudBridge连接器配置pdf。
下面是ipsec的示例摘录。秘密文件specifies the IKE authentication pre-shared key for setting up the IPsec VPN tunnel, described in Example of a CloudBridge Connector Configuration topic.
-
/etc/ipsec.secrets -
PSK ' examplepreharedkey ' # IPsec IKE认证的预共享密钥
为CloudBridge连接器隧道配置Citrix ADC设备
要在Citrix ADC设备和StrongSwan设备之间配置CloudBridge连接器隧道,请在Citrix ADC设备上执行以下任务。您可以使用Citrix ADC命令行或Citrix ADC图形用户界面(GUI):
- 创建IPSec安全框架。IPSec安全框架实体指定了IPSec协议在CloudBridge Connector隧道中使用的IKE版本、加密算法、哈希算法、认证方式等IPSec协议参数。
- 创建使用IPSec协议的IP隧道,并关联IPSec安全框架。IP隧道指定本端IP地址(Citrix ADC设备上配置的CloudBridge Connector隧道端点IP地址(SNIP类型))、远端IP地址(StrongSwan设备上配置的CloudBridge Connector隧道端点IP地址)、用于建立CloudBridge Connector隧道的协议(IPSec)和IPSec配置文件实体。创建的IP隧道实体也称为CloudBridge Connector隧道实体。
- 创建策略路由规则,并与IP隧道关联。策略路由实体指定一组规则和一个IP隧道(CloudBridge Connector隧道)实体。源IP地址段和目的IP地址段是策略路由实体的条件。配置源IP范围,指定需要通过隧道保护流量的Citrix adc侧子网;配置目的IP范围,指定需要通过隧道保护流量的StrongSwan侧子网。
使用Citrix ADC命令行创建IPSEC配置文件
在命令提示符下,输入:
add ipsec profile-psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 显示ipsec配置文件
使用Citrix ADC命令行创建IPSEC隧道并绑定IPSEC配置文件
在命令提示符下,输入:
add ipTunnel-protocol IPSEC -ipsecProfileName show ipTunnel
通过Citrix ADC命令行创建策略路由规则并绑定IPSEC隧道
在命令提示符下,输入:
add pbrALLOW -srcIP -destIP -ipTunnel 应用为pbrsshow pbr
使用GUI创建IPSEC配置文件
- 导航到系统>CloudBridge连接器>IPSec配置文件。
- 在详细信息窗格中,单击添加。
- 在新建IPSec安全框架界面,设置如下参数:
- 名字
- 加密算法
- 散列算法
- IKE协议版本
- 配置CloudBridge Connector两个隧道对等体相互认证时使用的IPSec认证方式:选择预共享密钥认证方式然后设置预共享密钥存在参数。
- 点击创建,然后点击关闭。
通过GUI创建IP隧道并绑定IPSEC配置文件
- 导航到系统>CloudBridge连接器>IP隧道。
- 在IPv4隧道选项卡上,单击添加。
- 在“新建IP隧道”页面中,依次输入或选择各项参数。
- 名字
- 远程IP
- 远程面具
- 本地IP类型(在“本地IP类型”下拉列表中选择子网IP).
- 本端IP(所选IP类型下拉列表中显示所有已配置的IP地址。从列表中选择所需的IP。)
- 协议
- IPSec配置文件
- 点击创建,然后点击关闭。
通过GUI创建策略路由规则,并将IPSEC隧道绑定到策略路由规则上
- 导航到系统>网络>PBR。
- 在PBR选项卡上,单击添加。
- 在创建PBR界面,设置如下参数:
- 名字
- 行动
- 下一跳类型(选择IP隧道)
- IP隧道名称
- 源IP低
- 源IP高
- 目的IP低
- 目的IP高
- 点击创建,然后点击关闭。
Citrix ADC设备上相应的新CloudBridge Connector隧道配置出现在GUI中。CloudBridge连接器隧道的当前状态显示在Configured CloudBridge connector窗格中。绿色圆点表示隧道已连通。红点表示隧道已断开。以下命令在“CloudBridge连接器配置示例”中创建Citrix ADC设备NS_Appliance-1的设置:
> add ipsec profile NS_StrongSwan_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1 Done > add iptunnel NS_StrongSwan_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 -protocol ipsec -ipsecProfileName NS_StrongSwan_IPSec_Profile Done > add pbr NS_StrongSwan_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_StrongSwan_Tunnel Done > apply pbrs Done 监视CloudBridge连接器隧道
您可以通过使用CloudBridge Connector隧道统计计数器来监控Citrix ADC设备上CloudBridge Connector隧道的性能。有关在Citrix ADC设备上显示CloudBridge Connector隧道统计信息的详细信息,请参见监控CloudBridge连接器隧道。