CloudBridge连接器の相互運用性-思科ASA
Citrix ADCアプライアンスと思科ASAアプライアンスの間にCloudBridge连接器トンネルを構成して,2つのデータセンターを接続したり,ネットワークをクラウドプロバイダーに拡張したりできます。Citrix ADCアプライアンスと思科ASAアプライアンスは,CloudBridge连接器トンネルのエンドポイントを形成し,ピアと呼ばれます。
CloudBridge连接器のトンネル設定の例
CloudBridge连接器トンネル内のトラフィックフローの図のように,CloudBridge连接器トンネルが次のアプライアンス間でセットアップされる例について考えてみます。
- データセンター1として指定されたデータセンター内のCitrix ADCアプライアンスNS_アプライアンス1
- データセンター2として指定されたデータセンター内の思科ASAアプライアンス思科ASAアプライアンス1
NS_アプライアンス1および思科ASA -アプライアンス1はCloudBridge连接器トンネルを介したデータセンター1とデータセンター2のプライベートネットワーク間の通信を可能にします。この例では,NS_アプライアンス1と思科ASA -アプライアンス1はデータセンター1のクライアントCL1とデータセンター2のサーバS1との間の通信をCloudBridge连接器トンネル経由で有効にします。クライアントcl1とサーバーs1は,異なるプライベートネットワーク上にあります。
NS_Appliance-1ではCloudBridge连接器トンネル設定には,IPSecプロファイルエンティティNS_Cisco-ASA_IPSec_Profile, CloudBridge连接器トンネルエンティティNS_Cisco-ASA_Tunnel,およびポリシーベースルーティング(PBR)エンティティNS_Cisco-ASA_Pbrが含まれます。
CloudBridge连接器のトンネル設定について考慮すべきポイント
CloudBridge连接器トンネルの設定を開始する前に,次のことを確認してください。
- Citrix ADCアプライアンスと思科ASAアプライアンス間のCloudBridge连接器トンネルでは,次のIPSec設定がサポートされています。
| IPSecのプロパティ | 設定 |
|---|---|
| IPSecモード | トンネルモード |
| 艾克のバージョン | バージョン1 |
| 艾克認証方式 | 事前共有キー |
| 艾克暗号化アルゴリズム | AES、3 des |
| 艾克ハッシュアルゴリズム | Hmac sha1, Hmac md5 |
| Esp暗号化アルゴリズム | AES、3 des |
| Espハッシュアルゴリズム | Hmac sha1, Hmac md5 |
- CloudBridge连接器トンネルの両端で,Citrix ADCアプライアンスと思科ASAアプライアンスで同じIPSec設定を指定する必要があります。
- Citrix ADCは,艾克ハッシュアルゴリズムとESPハッシュアルゴリズムを指定するための共通パラメータ(IPSecプロファイル内)を提供します。また,艾克暗号化アルゴリズムとESP暗号化アルゴリズムを指定するためのもう1つの共通パラメータも用意されています。したがって,思科ASAアプライアンスでは,艾克(フェーズ1構成)およびESP(フェーズ2構成)で同じハッシュアルゴリズムと同じ暗号化アルゴリズムを指定する必要があります。
- 次のことを許可するには,Citrix ADC側と思科ASA側でファイアウォールを設定する必要があります。
- ポート500の任意のudpパケット
- ポート4500に対する任意のudpパケット
- 任意のesp (ipプロトコル番号50)パケット
CloudBridge连接器トンネル用のCisco ASAの設定
思科ASAアプライアンスでCloudBridge连接器トンネルを設定するには,思科ASAコマンドラインインターフェイスを使用します。これは,思科ASAアプライアンスの設定,モニタリング,および保守のための主要なユーザインターフェイスです。
思科ASAアプライアンスでCloudBridge连接器トンネル設定を開始する前に,次の点を確認してください。
- 思科ASAアプライアンスで管理者クレデンシャルを持つユーザアカウントがあること。
- 思科ASAコマンドラインインターフェイスに精通していること。
- 思科ASAアプライアンスは稼動しており,インターネットに接続されており,トラフィックがCloudBridge连接器トンネルを介して保護されるプライベートサブネットにも接続されています。
注
思科ASAアプライアンスでCloudBridge连接器トンネルを設定する手順は,思科のリリースサイクルによっては,時間の経過とともに変化する場合があります。IPSec VPNトンネルの構成に関する公式の思科ASA製品マニュアルに従うことをお勧めします。
Citrix ADCアプライアンスと思科ASAアプライアンスの間にCloudBridge连接器トンネルを設定するには,思科ASAアプライアンスのコマンドラインで次のタスクを実行します。
- 艾克ポリシーを作成します。艾克ポリシーは,艾克ネゴシエーション(フェーズ1)で使用されるセキュリティパラメータの組み合わせを定義します。たとえば,艾克ネゴシエーションで使用されるハッシュアルゴリズム,暗号化アルゴリズム,認証方式などのパラメータは,このタスクで設定されます。
- 外部インターフェイスでIkeを有効にします。トンネルトラフィックがトンネルピアに流れる外部インターフェイスでIkeを有効にします。
- トンネルグループを作成します。トンネルグループは,トンネルのタイプと事前共有キーを指定します。トンネルタイプはipsec-l2lに設定する必要があります。これは、IPsec LANからLANへの対応を表します。事前共有キーは、CloudBridge Connector トンネルのピアが相互に認証するために使用するテキスト文字列です。 事前共有キーは、IKE 認証のために相互に照合されます。したがって、認証を成功させるには、Cisco ASA アプライアンスと Citrix ADC アプライアンスで同じ事前共有キーを設定する必要があります。
- トランスフォームセットを定義します。トランスフォームセットは,艾克ネゴシエーションが成功した後,CloudBridge连接器トンネルを介したデータの交換に使用されるセキュリティパラメータ(フェーズ2)の組み合わせを定義します。
- アクセスリストを作成します。暗号化アクセスリストは,CloudBridgeトンネルを介してIPトラフィックを保護するサブネットを定義するために使用されます。アクセスリストの送信元パラメータと宛先パラメータは,CloudBridge连接器トンネル上で保護される思科アプライアンス側およびCitrix ADC側のサブネットを指定します。アクセスリストはpermitに設定する必要があります。Ciscoアプライアンス側のサブネット内のアプライアンスから発信され、Citrix ADC 側のサブネット内のアプライアンスを宛先とし、アクセスリストの送信元パラメータと宛先パラメータに一致する要求パケットは、CloudBridge Connector トンネルを介して送信されます。
- クリプトマップを作成します.クリプトマップは,セキュリティアソシエーション(SA)のIPSecパラメータを定義します。これには,CloudBridgeトンネルでトラフィックを保護するサブネットを識別する暗号化アクセスリスト,IPアドレスによるピア(Citrix ADC)識別,ピアセキュリティ設定に一致するようにトランスフォームセットが含まれます。
- 外部インターフェイスにクリプトマップを適用します。この作業では,トンネルトラフィックがトンネルピアに流れる外部インターフェイスにクリプトマップを適用します。インターフェイスにクリプトマップを適用すると、Cisco ASA アプライアンスは、すべてのインターフェイストラフィックをクリプトマップセットに対して評価し、接続またはセキュリティアソシエーションのネゴシエーション中に指定したポリシーを使用するように指示します。
次の手順の例では,CloudBridge连接器の設定とデータフローの例で使用する思科ASAアプライアンスCisco-ASA——アプライアンス1の設定を作成します。
Cisco ASAコマンドラインを使用してIKEポリシーを作成するには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを,表示されている順序で入力します。
| コマンド | 例 | コマンドの説明 |
|---|---|---|
| Crypto ikev1策略优先级 | Cisco-ASA-appliance-1(config)# crypto ikev1 policy 1 | 艾克ポリシー構成モードを開始し,作成するポリシーを指定します。(各ポリシーは,割り当てたプライオリティ番号によって一意に識別されます)。この例では,ポリシー1を設定します。 |
| 加密(3des | aes) | Cisco-ASA-appliance-1 (config-ikev1-policy)# encryption 3des | 暗号化アルゴリズムを指定します。この例では,3desアルゴリズムを設定します。 |
| Hash (sha | md5) | Cisco-ASA-appliance-1 (config- ikev1-policy)# hash sha | ハッシュアルゴリズムを指定します。この例では,shaを設定します。 |
| authenticationpre-share | Cisco-ASA-appliance-1 (config- ikev1-policy)# authentication pre-share | 事前共有認証方法を指定します。 |
| 组2 | Cisco-ASA-appliance-1 (config- ikev1-policy)#组2 | 1024ビットのDiffie-Hellmanグループ識別子(2)を指定します。 |
| 一生秒 | Cisco-ASA-appliance-1 (config- ikev1-policy)#生命周期28800 | セキュリティアソシエーションの有効期間を秒単位で指定します。この例では,Citrix ADCアプライアンスの有効期間のデフォルト値である28800秒を設定します。 |
Cisco ASAコマンドラインを使用して外部インターフェイスでIKEを有効にするには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを,表示されている順序で入力します。
| コマンド | 例 | コマンドの説明 |
|---|---|---|
| Crypto ikev1 enable outside | Cisco-ASA-appliance-1(config)# crypto ikev1在外部启用 | トンネルトラフィックがトンネルピアに流れるインターフェイスでIKEv1を有効にします。この例では,在という名前のインターフェイスでIKEv1を有効にします。 |
使用Cisco ASA命令行创建隧道组
思科ASAアプライアンスのコマンドプロンプトで,思科ASAコマンドラインを使用して,接続されたpdfトンネルグループの显示のように,グローバル構成モードで次のコマンドを入力します。
思科ASAコマンドラインを使用してクリプトアクセスリストを作成するには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを次の順序で入力します。
| コマンド | 例 | コマンドの説明 |
|---|---|---|
| access-list access-list-number permit IP source-wildcard destination- destination-通配符 | Cisco-ASA-appliance-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 | CloudBridge连接器トンネルを介してIPトラフィックを保護するサブネットを決定する条件を指定します。この例では,サブネット10.20.0/24(思科ASAアプライアンス1側)および10.102.147.0/24 (NS_アプライアンス1側)からのトラフィックを保護するように,アクセスリスト111を設定します。 |
思科ASAコマンドラインを使用してトランスフォームセットを定義するには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを入力します。Asaコマンドラインテーブルを使用したトランスフォームセットPDFを参照してください。
思科ASAコマンドラインを使用してクリプトマップを作成するには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを,表示されている順序で入力します。
| コマンド | 例 | コマンドの説明 |
|---|---|---|
| Crypto map map-name seq-num match address access-list-name | Cisco-ASA-appliance-1 (config)# crypto映射NS-CISCO-CM 1匹配地址111 | クリプトマップを作成し,アクセスリストを指定します。次に,シーケンス番1号のクリプトマップNS-CISCO-CMを設定し,アクセスリスト111をNS-CISCO-CMに割り当てる例を示します。 |
| Crypto map map-name seq-num set peer ip-address | 设置peer 198.51.100.100 | ピア(Citrix ADCアプライアンス)をIPアドレスで指定します。この例では,198.51.100.100を指定します。これは,Citrix ADCアプライアンス上のトンネルエンドポイントのIPアドレスです。 |
| Crypto map map-name seq-num set ikev1 transform-set transform-set-name | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 set ikev1 transform-set NS-CISCO-TS | このクリプトマップエントリに許可されるトランスフォームセットを指定します。次に,トランスフォームセットns - ciscotsを指定する例を示します。 |
思科ASAコマンドラインを使用してインターフェイスにクリプトマップを適用するには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを,表示されている順序で入力します。
| コマンド | 例 | コマンドの説明 |
|---|---|---|
| Crypto map map-nameinterface interface-name | Cisco-ASA-appliance-1(config)# crypto将NS-CISCO-CM接口映射到外部 | CloudBridge连接器トンネルのトラフィックが流れるインターフェイスにクリプトマップを適用します。次に,クリプトマップns-cisco-cmを外部インターフェイスに適用する例を示します。 |
CloudBridge连接器トンネル用のCitrix ADCアプライアンスの構成
Citrix ADCアプライアンスと思科ASAアプライアンスの間にCloudBridge连接器トンネルを設定するには,Citrix ADCアプライアンスで次のタスクを実行します。Citrix ADCコマンドラインまたはCitrix ADCグラフィカルユーザーインターフェイス(GUI)のいずれかを使用できます。
- IPSecプロファイルを作成します。
- IPSecプロトコルを使用するIPトンネルを作成し,IPSecプロファイルを関連付けます。
- PBRルールを作成し,ipトンネルに関連付けます。
Citrix ADCコマンドラインを使用してIPSECプロファイルを作成するには:
コマンドプロンプトで入力します。
add ipsec profile-psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE说明 显示ipsec profile <名称>
Citrix ADCコマンドラインを使用してIPSECトンネルを作成し,そのトンネルにIPSECプロファイルをバインドするには,次の手順を実行します:
コマンドプロンプトで入力します。
添加ipTunnel-protocol IPSEC -ipsecProfileName 显示ipTunnel <名称>
Citrix ADCコマンドラインを使用してPBRルールを作成し,IPSECトンネルをバインドするには:
コマンドプロンプトで入力します。
* *添加pbr * * < pbrName > * *允许* * - * * srcIP * * < subnet-range > - * * destIP * * < subnet-range >* * ipTunnel * * < tunnelName >* *应用为pbrs * ** *显示pbr * * < pbrName >
GUIを使用してipsecプロファイルを作成するには:
- [システム] > [CloudBridge连接器] > [IPsecプロファイル]に移動します。
- 詳細ペインで,(添加)をクリックします。
- [IPSecプロファイルの追加]ページで,次のパラメータを設定します。
- 的名字
- 暗号化アルゴリズム
- ハッシュアルゴリズム
- 艾克プロトコルバージョン
- 完美前向保密(このパラメータを有効にする)
- 相互に認証するために2つのCloudBridge连接器トンネルピアで使用されるIPsec認証方法を設定します。事前共有キー認証方法を選択し、[事前共有キーが存在するパラメータを設定します。
- (创建)をクリックしてから,(关闭)をクリックします。
guiを使用してipトンネルを作成し,ipsecプロファイルをそれにバインドするには:
- [システム] > [CloudBridge连接器] > [IPトンネルに移動します。
- [IPv4トンネル[]タブで,[追加をクリックします。
- [ipトンネルの追加]ページで,次のパラメータを設定します。
- 的名字
- リモートIP地址
- リモートマスク
- [ローカルIPタイプ]([ローカルIPタイプ]ドロップダウンリストで,[サブネットIP)を選択します)。
- ローカルIP(選択したIPタイプの構成済みのIPアドレスはすべて,[ローカルIP)ドロップダウンリストに表示されます。リストから目的のIPを選択します)。
- プロトコル
- IPSecプロファイル
- (创建)をクリックしてから,(关闭)をクリックします。
GUIを使用して策略路由ルールを作成し,ipsecトンネルをバインドするには:
- [システム] > [ネットワーク] > [PBRに移動します。
- [PBR[]タブで,[追加をクリックします。
- [PBRの作成]ページで,次のパラメーターを設定します。
- 的名字
- 操作(アクション)
- ネクストホップタイプ(IPトンネルの選択)
- IPトンネル名
- 送信元IPの低
- 送信元IP高
- 宛先IPの低
- 宛先IP高
- (创建)をクリックしてから,(关闭)をクリックします。
Citrix ADCアプライアンスの対応する新しいCloudBridge连接器トンネル構成がGUIに表示されます。CloudBridge连接器トンネルの現在のステータスは、[設定済み CloudBridge Connector] ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。
次のコマンドは”CloudBridge连接器構成の例“で,Citrix ADCアプライアンスのNS_Appliance-1の設定を作成します:
>添加ipsec配置NS_Cisco-ASA_IPSec_Profile相移键控examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1一生315360 -perfectForwardSecrecy启用>加入iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100协议ipsec -ipsecProfileName NS_Cisco-ASA_IPSec_Profile做>添加pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_Cisco-ASA_Tunnel做>应用为pbrs做< !——NeedCopy >CloudBridge连接器トンネルのモニタリング
CloudBridge连接器のトンネル統計カウンタを使用して,Citrix ADCアプライアンス上のCloudBridge连接器トンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge连接器トンネル統計の表示の詳細については,”CloudBridge连接器トンネルの監視を参照してください。