Interopérabilité CloudBridge连接器-思科ASA
Vous pouvez configurer un tunnel CloudBridge连接器entre une appliance Citrix ADC et une appliance Cisco ASA pour connecter deux centres de données ou étendre votre réseau à un fournisseur de cloud。L 'appliance Citrix ADC et L 'appliance Cisco ASA forment les points d 'extrémité du tunnel CloudBridge Connector et sont appelés同源。
tunnel CloudBridge Connector配置示例
Pour illustrer le flux de traffic dans un tunnel CloudBridge连接器,considérez un example dans leel un tunnel CloudBridge连接器est configuré entre les appliances suivantes:
- Appliance Citrix ADC NS_Appliance-1 dans un centre de données désigné comme Datacenter-1
- Appliance Cisco ASA Cisco Cisco Appliance-1 dans un centre de données désigné comme数据中心-2
NS_Appliance-1 et CISCO-ASA-Appliance-1渗透la通信入口réseaux privés dans数据中心-1 et数据中心-2通过隧道CloudBridge连接器。举例来说,NS_Appliance-1和CISCO-ASA-Appliance-1渗透通信入口客户端CL1与数据中心-1连接,服务器S1通过隧道CloudBridge连接器与数据中心-2连接。客户端CL1 et Le服务器S1 se trouvent sur différents réseaux privés。
根据NS_Appliance-1, la configuration du tunnel du Connecteur CloudBridge包括l 'entité de profile IPSec NS_CISCO-ASA_IPSEC_profile, l 'entité de tunnel du Connecteur CloudBridge NS_CISCO-ASA_Tunnel et l 'entité de routing basé Sur des stratégies(策略路由)NS_CISCO-ASA_PBR。
Points à considérer pour une configuration de tunnel CloudBridge连接器
Avant de commencer à configurer le tunnel du connecteur CloudBridge, assurez-vous que:
- Les paramètres IPsec suivants sont pris en charge pour un tunnel CloudBridge连接器entre une appliance Citrix ADC et une appliance Cisco ASA。
| Proprietes IPSec | 产品的 |
|---|---|
| 模式IPsec | 隧道模式 |
| 版本艾克 | 版本1 |
| Méthode d’authentication IKE | Cle pre-partagee |
| IKE算法 | AES、3 des |
| IKE算法 | Hmac sha1, Hmac md5 |
| ESP算法 | AES、3 des |
| 算法ESP | Hmac sha1, Hmac md5 |
- Vous devez spécifier les mêmes paramètres IPSec sur l 'appliance Citrix ADC et l 'appliance Cisco ASA aux deux extrémités du tunnel CloudBridge连接器。
- Citrix ADC fournit un paramètre commun (dans les profils IPSec) pour spécifier un algorithm me de hachage IKE et un algorithm me de hachage ESP. Il fournit également un autre paramètre commun pour spécifier un algorithm me de chiffment IKE et un algorithm me de chiffment ESP. Par conséquent, dans l 'appliance Cisco ASA, vous devez spécifier le même algorithm me de hachage et le même algorithm me de chiffment dans IKE(配置阶段1)et ESP(配置阶段2)。
- Vous devez configure le par -feu à l 'extrémité Citrix ADC et Cisco ASA pour autoriser ce quisuit。
- UDP端口500
- UDP端口4500
- Tous les paquets ESP (numéro de protocol IP 50)
配置思科ASA倒流隧道CloudBridge连接器
倒配置untunnel CloudBridge连接器对设备思科ASA,利用接口的命令思科ASA, qui ' est接口利用的原则倒配置,监控和维护的设备思科ASA。
acant de commencer la configuration du tunnel CloudBridge Connector sur une appliance Cisco ASA, assure -vous que:
- 你是思科公司的信息识别管理人员。
- 你是思科ASA的接口工程师。
- L 'appliance Cisco ASA est mise en service et en courd 'exécution, est connectée à Internet et est également connectée aux sous-réseaux privés不le流量doit être protégé通过le隧道CloudBridge连接器。
标记
Les procédures de configuration du tunnel CloudBridge Connector sur une appliance Cisco ASA peuvent change au fil du temp, en function du cycle de publication de Cisco。Citrix vous recommended de suivre la documentation officielle du product Cisco ASA pour la configuration des tunnels VPN IPSec, à l 'adresse suivante:
Pour configurer un tunnel de connecur CloudBridge entre une appliance Citrix ADC et une appliance Cisco ASA, effectuez les tâches suivantes sur la ligne de commander de l 'appliance Cisco ASA:
- Créez une stratégie IKE.一个策略艾克definit一combinaison de产品使用的安全范围当时de la协商的艾克(阶段1)。比如,des产品的运输,l 'algorithme de hachage l 'algorithme de chiffrement等使用的方法d 'authentification在协商的艾克是definis在这个环节。
- Activez IKE接口外部.Activez IKE sur l 'interface external à travers laquelle le traffic du tunnel va circuler vers le pair du tunnel。
- Créez un groupe de tunnels.Un groupe de tunnels spécifie le type de tunnel et la clé pré-partagée。Le type de tunnel doit être défini sur IPsec -l2l, qui表示IPsec LAN到LAN。Une clé pré-partagée est Une chaîne de texte que les homologues d 'un tunnel CloudBridge连接器实用程序pour s ' authenticfier相互元素les uns avec les aures。Les clés pré-partagées sont comparées Les unes aux autres pour l ' authentication IKE。Par conséquent, pour que l ' authentication réussisse, vous devez configurer la même clé pré-partagée sur l 'appliance Cisco ASA et l 'appliance Citrix ADC。
- Définissez un jeu de transforms.Un ensemble de transformation définit une combination ison de paramètres de sécurité (phase 2) à utiliser dans l ' échange de données sur le tunnel CloudBridge连接器une fois la négociation IKE réussie。
- Créez une liste d 'accès.Les listes d 'accès crypto sont utilisées pour définir Les sous-réseaux不le流量IP sera protégé sur le隧道CloudBridge。Les paramètres源et目的地de la liste d 'accès spécifient Les sous-réseaux côté器具Cisco et côté Citrix ADC qui doivent être protégés par le tunnel du connecur CloudBridge。La liste d 'accès doit être définie pour autoriser。Tout paquet de requête qui provient d 'une appliance du sous-réseau Cisco côté appliance et qui est destiné à une appliance du sous-réseau côté Citrix ADC et qui对应aux paramètres源et destination de la liste d 'accès, est envoyé à travers le tunnel CloudBridge连接器。
- Créez une carte de chiffire.Les mapages cryptographiques définissent Les paramètres IPsec pour Les associations de sécurité (SA)。Ils组件les éléments suivants: liste d 'accès de chiffdemand pour identifier les sous-réseaux don ' t le traffic doit être protégé sur le tunnel CloudBridge,标识同源(Citrix ADC) par address IP et配置转换对应aux paramètres de sécurité同源。
- Appliquez le crypto Map à l 'interface externe.Dans cette tâche, vous appliquez le mappage crypto à l 'interface externe à travers laquelle le traffic du tunnel va circuler vers le pair du tunnel。L ' application du mappage de chiffire à une接口需求à L ' appliance Cisco ASA d ' évaluer tout le流量d ' interface par rapport au jeu de mappage de chiffire and utiliser la stratégie spécifiée lors des négociations de connection ou d ' association de sécurité。
Les examples présentés dans Les procédures suivantes créent Les paramètres de l 'appliance Cisco ASA Cisco-ASA- appliance -1 utilisée dans configuration et de flux de données CloudBridge连接器。
倒créer une stratégie IKE à l 'aide de la ligne de command思科ASA
À l 'invite de commands de l 'appliance Cisco ASA, tapez les commands suivantes, en commençant en mode de configuration global, dans l 'ordre indiqué:
| 对向 | 为例 | 命令说明 |
|---|---|---|
| Priorité de la stratégie crypto ikev1 | Cisco-ASA-Appliance-1 (config) # crypto ikev1 politique | 入口模式配置de la stratégie IKE et identifiez la stratégie à créer。(查克stratégie est identifiée de manière unique par le numéro de priorité que vous attribuez)Cet示例蒙特评论配置者la stratégie 1。 |
| 加密(3des | aes) | Cisco-ASA-Appliance-1 (config-ikev1-policy) # cryptage 3des | Spécifiez l 'algorithme de chiffrequirement。Cet示例蒙特评论配置器算法3DES。 |
| Hachage (sha | md5) | Cisco-ASA-Appliance-1 (config- ikev1-policy) # hachage sha | Spécifiez l 'algorithme de hachage。Cet例子蒙特评论配置器SHA。 |
| authenticationpre-share | 思科- asa -appliance-1 (config- ikev1-policy)#认证预共享 | Spécifiez la méthode d’authentication pré-partage。 |
| groupe 2 | 1 .配置ikev1-policy | Spécifiez l 'identificateur de groupe Diffie-Hellman 1024比特(2)。 |
| Secondes à vie | Cisco-ASA-appliance-1 (config- ikev1-policy)# lifetime 28800 | Spécifiez la durée生命联想sécurité秒。Cet示例蒙特评论配置器28800秒,价值par défaut de la durée de vie d 'une设备Citrix ADC。 |
倒激活IKE sur l 'interface external à l 'aide de la ligne de command Cisco ASA
À l 'invite de commands de l 'appliance Cisco ASA, tapez les commands suivantes, en commençant en mode de configuration global, dans l 'ordre indiqué:
| 对向 | 为例 | 命令说明 |
|---|---|---|
| Crypto ikev1 activer en dehors | Cisco-ASA-appliance-1(config)# crypto ikev1启用外部 | Activez IKEv1基于接口的隧道流量循环。Cet - instance montre comment active IKEv1 sur l 'interface nommée en dehors。 |
倒créer un groupe de tunnels à l 'aide de la ligne de command思科ASA
À l 'invite de commands de l 'appliance Cisco ASA, tapez les commands suivantes, en commençant en mode de configuration global, comme indiqué dans legroupe de tunnels pdf联合à l 'aide de la ligne de command思科ASA:
倒créer une liste d 'accès crypto à l 'aide de la ligne de command思科ASA
À l 'invite de commands de l 'appliance Cisco ASA, tapez la command suivante en mode de configuration global, dans l ' order indiqué:
| 对向 | 为例 | 命令说明 |
|---|---|---|
| access-list access-list-number permit IP source source-通配符destination destination-通配符 | Cisco-ASA-appliance-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 | Spécifiez des条件倒déterminer les sous-réseaux不le流量IP doit être protégé sur le隧道CloudBridge连接器。Cet example montre comment configurer la liste d 'accès 111 pour protéger le traffic des sous-réseaux 10.20.20.0/24 (côté CISCO-ASA-Appliance-1) et 10.102.147.0/24 (côté NS_Appliance-1)。 |
倒définir un ensemble de transformations à l 'aide de la ligne de command思科ASA
À l 'invite de commands de l 'appliance Cisco ASA, tapez les commands suivantes, en commençant en mode de configuration global。看到使用ASA命令行转换集合表pdf。
倒créer une carte crypto à l 'aide de la ligne de command思科ASA
À l 'invite de commands de l 'appliance Cisco ASA, tapez les commands suivantes en commençant en mode de configuration global, dans l 'ordre indiqué:
| 对向 | 为例 | 命令说明 |
|---|---|---|
| 密码映射map-name seq-num匹配地址access-list-name | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1匹配地址111 | Créez une carte crypto et spécifiez une liste d 'accès à cell -ci。配置NS-CISCO-CM avec le numéro de séquence 1 et affte la liste d 'accès 111 à NS-CISCO-CM。 |
| 密码映射map-name seq-num设置对端ip地址 | (config)# crypto map NS-CISCO-CM 1设置peer 198.51.100.100 | Spécifiez l 'homologue(应用Citrix ADC)参数地址IP。Cet示例spécifie 198.51.100.100,基于Citrix ADC的隧道终点站地址查询IP。 |
| 密码映射map-name seq-num set ikev1 transform-set transform-set-name | ikev1 transform-set NS-CISCO-TS (config)# crypto map NS-CISCO-CM 1 set | Spécifiez quel jeu de转换est autorisé pour cette entrée de mappage crypto。Cet -示例spécifie le jeu de transforms NS-CISCO-TS。 |
Pour appliquer un mappage crypto à une interface à l 'aide de la ligne de command Cisco ASA
À l 'invite de commands de l 'appliance Cisco ASA, tapez les commands suivantes en commençant en mode de configuration global, dans l 'ordre indiqué:
| 对向 | 为例 | 命令说明 |
|---|---|---|
| 加密映射map-nameinterface interface-name | Cisco-ASA-appliance-1(config)# crypto映射NS-CISCO-CM接口外部 | Appliquez la mappage crypto à l 'interface à travers laquelle le traffic du tunnel CloudBridge连接器va循环器。Cet样例贴花点菜NS-CISCO-CM à l 'interface extérieure。 |
配置de l 'appliance Citrix ADC浇注隧道CloudBridge连接器
倒配置untunnel CloudBridge连接器entre une appliance Citrix ADC et une appliance Cisco ASA, effectuez les tâches suivantes sur l 'appliance Citrix ADC。Vous pouvez utiliser la ligne de command Citrix ADC ou l’interface utilisateur graphique (GUI) Citrix ADC:
- Créez un profile IPSec。
- Créez un tunnel IP qui utilization le protocol IPSec et associez le profile IPSec à celui-ci。
- Créez une règle策略路由et associez-la au隧道IP。
倒créer un profile IPSEC à l 'aide de la ligne de command Citrix ADC:
À l 'invite de commands, tapez:
add ipsec profile-psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE 显示ipsec配置文件
倒créer un tunnel IPSEC et y lier le profile IPSEC à l 'aide de la ligne de command Citrix ADC:
À l 'invite de commands, tapez:
add ipTunnel-protocol IPSEC -ipsecProfileName .使用实例 show ipTunnel
倒créer une règle策略br et y lier le tunnel IPSEC à l 'aide de la ligne de command Citrix ADC:
À l 'invite de commands, tapez:
* *添加pbr * * < pbrName > * *允许* * - * * srcIP * * < subnet-range > - * * destIP * * < subnet-range >* * ipTunnel * * < tunnelName >* *应用为pbrs * ***show pbr**
Pour créer un profile IPSEC à l 'aide de l 'interface graphique:
- Accedez一和>CloudBridge连接器>《Profil IPsec.
- 信息的力量,我们的力量Ajouter.
- Dans la pageAjouter un profile IPSec, définissez les paramètres suivants:
- 笔名
- 计算算法
- 算法
- 版本du协议IKE
- Perfect Forward Secrecy (activerce paramètre)
- Configurez la méthode d ' authentication IPSec à utiliser par les deux homologues du tunnel CloudBridge Connector pour s ' authenticfier mutuelement: Sélectionnez la méthodeD ' authentication par clé pré-partagéeEt définissez le paramètre预共享密钥存在.
- 双击苏尔克里尔, puis sur关闭.
Pour créer un tunnel IP et y lier le profile IPSEC à l 'aide de l 'interface graphhique:
- Accedez一和>CloudBridge连接器>IP隧道.
- 在l 'onglet隧道IPv4, cliquez surAjouter.
- Dans la pageAjouter un隧道IP, définissez les paramètres suivants:
- 笔名
- IP distante
- 面膜遥远
- 类型IP local (dans la liste déroulante类型IP local, sélectionnez IP du sous-réseau)。
- IP locale (Toutes les address IP configurées du type IP sélectionné se trouvent dans la liste déroulante IP locale。Sélectionnez l 'adresse IP souhaitée dans la liste)
- Protocole
- 《Profil IPsec
- 双击苏尔克里尔, puis sur关闭.
Pour créer une règle策略路由et y lier le tunnel IPSEC à l 'aide de l 'interface graphhique:
- Accedez一和>网格>PBR.
- 在l 'ongletPBR, cliquez surAjouter.
- Dans la page克里尔PBR, définissez les paramètres suivants:
- 笔名
- 行动
- 类型(选择IP隧道)
- Nom du隧道IP
- IP源故障
- IP来源élevée
- IP de destination失败
- 目的IP地址élevée
- 双击苏尔克里尔, puis sur关闭.
La nouvelle配置隧道CloudBridge连接器通信sur l 'appliance Citrix ADC apparaît dan l '接口图形。L ' état actuel du tunnel de connecur CloudBridge est affiché dans le volet CloudBridge Connector configuré。这是一种不寻常的行为。Un point rouge indique que le tunnel est arrêté。
Les commands suivantes créent Les paramètres de l 'appliance Citrix ADC NS_Appliance-1 dans“exampleple de configuration du connecteur CloudBridge.”:
>添加ipsec配置NS_Cisco-ASA_IPSec_Profile相移键控examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1一生315360 -perfectForwardSecrecy启用>加入iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100协议ipsec -ipsecProfileName NS_Cisco-ASA_IPSec_Profile做>添加pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_Cisco-ASA_Tunnel做>应用为pbrs做< !——NeedCopy >监控杜隧道CloudBridge连接器
Vous pouvez监视性能des隧道CloudBridge连接器sur une appliance Citrix ADC à l 'aide des计算机统计数据de隧道CloudBridge连接器。提供隧道统计信息,CloudBridge连接器,Citrix ADC,咨询监控CloudBridge连接器的隧道.