CloudBridge连接器:Cisco ASA
Puede配置云桥连接器túnel de CloudBridge连接器中心处理Citrix ADC和处理思科ASA接头中心处理数据和放大器的红色unproveedor de nube。配置Citrix ADC和配置Cisco ASA最终的puntos del túnel de CloudBridge连接器的名称。
Ejemplo de configuración de túnel de CloudBridge连接器
Como ilustración del flujo de tráfico en un túnel de CloudBridge Connector,考虑un ejemplo en el que se configura un túnel de CloudBridge Connector entre los siguentes dispositivos:
- Dispositivo Citrix ADC NS_Appliance-1 en un centro de datos designado como datacenter1
- Cisco ASA appliance Cisco -ASA- appliance -1 en un centro de datos designado como Datacenter-2
NS_Appliance-1 y CISCO-ASA-Appliance-1 permiten la comunicación centre redes privadas en Datacenter-1 y Datacenter-2 a través del túnel CloudBridge Connector。En el ejemplo, NS_Appliance-1 y Cisco-ASA-Appliance-1 permiten la comunicación entre el clientcl1 En Datacenter-1 y el serveror S1 En Datacenter-2 a través del túnel CloudBridge连接器。客户端CL1 y服务端S1 están en diferentes redes privadas。
En NS_Appliance-1, la configuración del túnel de CloudBridge Connector incluye la entidad de perfil IPSec NS_CISCO-ASA_IPSEC_Profile, la entidad de túnel de CloudBridge Connector NS_CISCO-ASA_Tunnel y la entidad de redirección basada En directivas (PBR) NS_CISCO-ASA_PBR。
Puntos a tener en cuenta para configuración de túnel de CloudBridge连接器
Antes de comenzar a configuration el túnel del conector de CloudBridge, asegúrese de que:
- La siguente configuración de IPSec se admite para un túnel de CloudBridge Connector entre un dispositivo Citrix ADC y un dispositivo Cisco ASA。
| Propiedades IPSec | Parametros |
|---|---|
| Modo IPSec | Modo tunel |
| 版本de艾克 | 版本1 |
| Método de autenticación IKE | 劈开previamente compartida |
| IKE算法 | AES、3 des |
| Algoritmo散列艾克 | Hmac sha1, Hmac md5 |
| 超感知算法 | AES、3 des |
| Algoritmo散列ESP | Hmac sha1, Hmac md5 |
- 具体的接口configuración IPSec en el dispositivo Citrix ADC y en el dispositivo Cisco ASA en los dos extremos del túnel CloudBridge连接器。
- Citrix ADC proporciona un parámetro común (en perfiles IPSec) para specificun algoritmo hash IKE y un algoritmo hash ESP. También proporciona otro parámetro común para specificun algorithm de cifrado IKE y un algorithm de cifrado ESP. Por o, en el dispositivo Cisco ASA, debe specificel mismo algorithm hash y el mismo algorithm de cifrado en IKE (configuración de fase 1) y ESP (configuración de fase 2)。
- 配置防火墙极值Citrix ADC和Cisco ASA para permitir o siguente。
- 夸尔基耶帕奎特UDP段500港
- 夸尔基耶帕奎特UDP段,波多黎各4500
- Cualquier paquete ESP(协议IP número 50)
Configuración de Cisco ASA para túnel CloudBridge连接器
Para配置túnel de CloudBridge Connector en dispositivo Cisco ASA,使用interfaz de línea de comandos ASA de Cisco,使用interfaz通常的主要Para配置,监督mantener dispositivos Cisco ASA。
Antes de comenzar la configuración del túnel de CloudBridge Connector en un dispositivo Cisco ASA, asegúrese de que:
- 思科公司的行政主管和处置的一般凭证。
- Está familiarizado con la interfaz de línea de comandos ASA de Cisco。
- El dispositivo Cisco ASA está en funcionamiento, está conectado a Internet y también está conectado a las subredes privadas cuyo tráfico se va a proteger través del túnel CloudBridge连接器。
背板
配置步骤túnel de CloudBridge Connector en dispositivo ASA de Cisco pueden cambiar con el empo,依赖ciclo de lanzamiento de Cisco。Citrix recommended que siga la documentación official del producto ASA de Cisco para configuration túneles VPN IPSec, en:
Para配置túnel de conector CloudBridge entrun dispositivo Citrix ADC y un dispositivo ASA de Cisco, realice las siguentes tareas en la línea de comandos del dispositivo ASA de Cisco:
- 克里乌纳指令IKE.Una directiva IKE定义Una combinación de parámetros de seguridad que se utilizarán durante la negociación IKE(第一阶段)。Por ejemplo, parámetros como el algoritmo hash, el algoritmo de cifrado y el método de autenticación que se utilizarán en la negociación IKE se establecen en esta tarea。
- 外部性的适应性IKE.能人对外交流方式través de la cual el tráfico del túnel fluirá al par del túnel。
- 克里昂集团túneles.我们的组织túneles具体的tipo túnel和我们的共青团。ip地址túnel debe established IPSec -l2l, que significa IPSec LAN LAN。世界上最美丽的东西是什么?世界上最美丽的东西是什么? túnel云桥连接器利用相互关系中心sí。世界各国人民前比较中心sí para autenticación IKE。在此基础上,以思科公司为例,以思科公司为例,以思科公司为例,以思科公司为例。
- 定义un conjunto de transformación.Un conjunto de transformaciones定义una combinación de parámetros de seguridad (fase 2) que se utilizarán en el intercambio de datos a través del túnel de CloudBridge Connector después de que la negociación IKE sea correcta。
- 一切都是清白的.Las listas de acceso criptográfico se use para Las subredes cuyo tráfico IP se protegerá sobre el túnel CloudBridge。Los parámetros de origen y destino de la lista de lado del dispositivo Cisco y lado del Citrix ADC que se van proteger través del túnel del conector de CloudBridge。可配置参数列表。Cualquier paquete de dispositivo de subpositivo de dispositivo de subpositivo de dispositivo Cisco y esté destinado de de subpositivo de subpositivo Citrix ADC y que conida con parámetros de origen y destino de la lista de acceso, se envía a través del túnel de CloudBridge连接器。
- Crear un mapa criptográfico.Los mapas criptográficos definen Los parámetros IPSec para asciacones de seguridad (SA)。include lo siguente: Lista de acceso criptográfico para identiar las subredes cuyo tráfico se va a proteger a través del túnel CloudBridge, identificación de pares (Citrix ADC) por dirección IP y transformación configurada para que conconan la configuración de seguridad del mismo nivel。
- Aplique el mapa criptográfico a la interfaz externa.En esta tarea, se aplica el mapa criptográfico a la interfaz externa a través de la cual el tráfico del túnel fluirá al par del túnel。地图criptográfico一个国际标准,indica Al dispositivo ASA de Cisco evalúe todo el tráfico国际标准relación conjunto de mapas criptográficos y que que实用具体的durante la negociones conexión o asociación de seguridad。
Cisco ASA Appliance-1 utilizado en Ejemplo de configuración del conector CloudBridge y flujo de datos。
Para crear una directive IKE mediante la línea de comandos ASA de Cisco
En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguentes comandos En el modo de configuración全球,En el orden mostrado:
| 第一 | 比如 | Descripcion del第一 |
|---|---|---|
| Crypto ikev1策略优先级 | Cisco-ASA-appliance-1(config)# crypto ikev1 policy 1 | 导读:configuración指示的方式是唯一明确的指示。(Cada directiva se identiica de forma única por el número de prioridad que asigne)方向性结构的este ejemplse配置1。 |
| 西弗拉多(3des | aes) | Cisco-ASA-Appliance-1 (config-ikev1-policy) # cifrado 3des | 特别是西弗拉多的算法。3DES的配置算法。 |
| Hash (sha | md5) | Cisco-ASA-Appliance-1 (config- ikev1-policy) # hash sha | 特定的算法哈希。En este ejemplo se configura SHA。 |
| authenticationpre-share | Cisco-ASA-Appliance-1 (config- ikev1-policy) # autenticación previa a la compartición | 特别是método de autenticación previa al recurso comppartido。 |
| grupo 2 | Cisco-ASA-Appliance-1 (config- ikev1-policy) # grupo 2 | 具体的identificador de grupo Diffie-Hellman de 1024位(2)。 |
| 塞贡多·德·维达 | Cisco-ASA-Appliance-1 (config- ikev1-policy) # duración 28800 | 特别是la duración de la asociación de seguridad en segundos。在este ejemplse配置28800秒,英勇的预先决定的生活útil de un dispositivo Citrix ADC。 |
外部性交流línea de comandos ASA de Cisco
En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguentes comandos En el modo de configuración全球,En el orden mostrado:
| 第一 | 比如 | Descripcion del第一 |
|---|---|---|
| Crypto ikev1 enable outside | Cisco-ASA-appliance-1(config)# crypto ikev1在外部启用 | 国际通行的IKEv1 través de la cual el tráfico del túnel fluye hacia el par del túnel。在外面的国际社会,我们有自己的能力。 |
Para crear un grupo de túnel mediante la línea de comandos Cisco ASA
En el símbolo del sistema del dispositivo Cisco ASA, escriba los siguentes comando En el modo de configuración global, como se muestra En el pdf隧道集团附mediante la línea de comandos ASA de Cisco:
accesso的基本信息criptográfico mediante la línea de comandos Cisco ASA
En el símbolo del sistema del dispositivo Cisco ASA, escriba el comando siguente En el modo de configuración全球,En el orden mostrado:
| 第一 | 比如 | Descripcion del第一 |
|---|---|---|
| 获取信息列表accesos-número permitir origen IP origen comodín destino destino comodín | Cisco-ASA-Appliance-1 (config) # lista de accesos 111 permiso ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 | 具体的条件para determinar subredes cuyo tráfico IP debe protegerse sobre el túnel de CloudBridge Connector。eneste ejemplo se configure la lista de acceso 111 para proteger el tráfico de las subredes 10.20.20.0/24 (En el lado Cisco-ASA-Appliance-1) y 10.102.147.0/24 (En el lado NS_Appliance-1)。 |
中线变形的定义línea de comandos ASA de Cisco
En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguente comandos, comenzando En el modo de configuración global。Consulte连音de transformaciones mediante la tabla de línea de comandos ASApdf。
Para crear un mapa criptográfico mediante la línea de comandos ASA de Cisco
En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguentes comenzando En el modo de configuración全球,En el orden mostrado:
| 第一 | 比如 | Descripcion del第一 |
|---|---|---|
| Crypto map map-name seq-num match address access-list-name | Cisco-ASA-appliance-1 (config)# crypto映射NS-CISCO-CM 1匹配地址111 | Cree un mapa criptográfico y具体的列表él。配置文件criptográfico NS-CISCO-CM conel número安全标识111 a NS-CISCO-CM。 |
| Crypto map map-name seq-num set peer ip-address | Cisco-ASA-Appliance-1 (config) # mapa criptográfico NS-CISCO-CM 1 conjunto par 198.51.100.100 | 特定el par (dispositivo Citrix ADC) por su dirección IP。具体198.51.100.100,que es la dirección IP del extremo del túnel En el dispositivo Citrix ADC。 |
| Crypto map map-name seq-num set ikev1 transform-set transform-set-name | Cisco-ASA-Appliance-1 (config) # mapa criptográfico NS-CISCO-CM 1 conjunto ikev1 transform-set NS-CISCO-TS | 特别是qué conjunto de transformaciones se permite para entada de mapa criptográfico。NS-CISCO-TS结合物特异性去转化。 |
Para aplicar un mapa criptográfico a una interfaz mediante la línea de comandos Cisco ASA
En el símbolo del sistema del dispositivo ASA de Cisco, escriba los siguentes comenzando En el modo de configuración全球,En el orden mostrado:
| 第一 | 比如 | Descripcion del第一 |
|---|---|---|
| Crypto map map-nameinterface interface-name | Cisco-ASA-Appliance-1 (config) # mapa criptográfico NS-CISCO-CM interfaz fuera | Aplique el mapa de cifrado a la interfaz a través de la cual fluirá el tráfico del túnel de CloudBridge Connector。aplo aplica el mapa criptográfico NS-CISCO-CM外部接口。 |
Configuración del dispositivo Citrix ADC para túnel de CloudBridge连接器
Para配置túnel de CloudBridge连接器中心配置Citrix ADC和配置Cisco ASA,实现Citrix ADC配置的sigientareas。Citrix ADC / la interfaz gráfica de usuario (GUI) de Citrix ADC:
- Cree un perfil IPSec。
- Cree un túnel IP应用协议IPSec asocie el perfil IPSec con él。
- Cree una regla PBR y asociarla con el túnel IP。
IPSEC mediante línea de comandos de Citrix ADC:
En el símbolo del sistema, escriba:
add ipsec profile-psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE说明 显示ipsec profile <名称>
Para creun túnel IPSEC y enlazar el perfil IPSEC con él mediante la línea de comandos de Citrix ADC:
En el símbolo del sistema, escriba:
添加ipTunnel-protocol IPSEC -ipsecProfileName 显示ipTunnel <名称>
Para crear una regla PBR y enlazar el túnel IPSEC a ella mediante la línea de comandos de Citrix ADC:
En el símbolo del sistema, escriba:
* *添加pbr * * < pbrName > * *允许* * - * * srcIP * * < subnet-range > - * * destIP * * < subnet-range >* * ipTunnel * * < tunnelName >* *应用为pbrs * ** *显示pbr * * < pbrName >
Para crear un perfil IPSEC mediante la GUI:
- Vaya一Sistema>Conector de CloudBridge>Perfil IPSec.
- En el panel de details, haga clic En需要在.
- En la pagina在perfil IPSec, establezca los siguentes网站parámetros:
- 数量
- Algoritmo de cifrado
- Algoritmo散列
- Versión del protocolo IKE
- 完美总监秘书(Habilitar este parámetro)
- 配置el método de autenticación IPSec que utilizarán los dos pares de túnel de CloudBridge连接器para autenticase mutuamente: Seleccione el método deAutenticación de claave previamente compartiday establezca el parámetro La劈开precompartida存在.
- 哈加按在CrearY, continuación, enCerrar.
Para crear un túnel IP y enlazar el perfil IPSEC a él mediante la GUI:
- Vaya一Sistema>Conector de CloudBridge>tunel IP.
- 在洛杉矶ficha tunel IPv4, haga clic en需要在.
- En la pagina在tunel IP, establezca los siguentes网站parámetros:
- 数量
- IP remota
- 睫毛膏remota
- Tipo de IP local (en la lista desplegable Tipo de IP local, seleccione IP de subred)。
- IP local (IP configuration tipo IP seleccionado se encuentran en la lista desplegable de IP local)。选择la IP deseada de la lista)
- Protocolo
- Perfil IPSec
- 哈加按在CrearY, continuación, enCerrar.
Para crear una regla PBR y enlazar el túnel IPSEC a ella mediante la GUI:
- Vaya一Sistema>红色的>PBR.
- En la fichaPBR, haga clic en需要在.
- En la paginaCrearPBR, defina los siguentes parámetros:
- 数量
- 行动
- Tipo de salto siguente (select cionar túnel IP)
- Nombre del túnel IP
- IP de origen bajo
- IP de origen alto
- IP de destino bajo
- 命运之神
- 哈加按在CrearY, continuación, enCerrar.
La nueva configuración de túnel de CloudBridge连接器通信en el dispositivo Citrix ADC外观en La GUI。El estado实际del túnel del连接器CloudBridge se muestra en El面板连接器配置CloudBridge。unpunto verde indica que el túnel está arriba。Un punto rojo indica que el túnel está caído。
Los siguentes comandos crean la configuración del dispositivo Citrix ADC NS_Appliance-1 en“Ejemplo de una configuración de conector de CloudBridge.”:
>添加ipsec配置NS_Cisco-ASA_IPSec_Profile相移键控examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1一生315360 -perfectForwardSecrecy启用>加入iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100协议ipsec -ipsecProfileName NS_Cisco-ASA_IPSec_Profile做>添加pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_Cisco-ASA_Tunnel做>应用为pbrs做< !——NeedCopy >Supervisión del túnel de CloudBridge连接器
Puede监理el rendimiento de los túneles de CloudBridge Connector en un dispositivo Citrix ADC mediante contadores estadísticos del túnel de CloudBridge Connector。Para获取者más información sobre cómo mostrar estadísticas de túnel de CloudBridge Connector en dispositivo Citrix ADC,咨询Supervisión de túneles de CloudBridge连接器.