CloudBridge连接器の相互運用性-思科ASA
Citrix ADCアプライアンスと思科ASAアプライアンスの間にCloudBridge连接器トンネルを構成して,2つのデータセンターを接続したり,ネットワークをクラウドプロバイダーに拡張したりできます。Citrix ADCアプライアンスと思科ASAアプライアンスは,CloudBridge连接器トンネルのエンドポイントを形成し,ピアと呼ばれます。
CloudBridge连接器のトンネル設定の例
CloudBridge连接器トンネル内のトラフィックフローの図のように,CloudBridge连接器トンネルが次のアプライアンス間でセットアップされる例について考えてみます。
- データセンター1として指定されたデータセンター内のCitrix ADCアプライアンスNS_アプライアンス1
- データセンター2として指定されたデータセンター内の思科ASAアプライアンス思科ASAアプライアンス1
NS_アプライアンス1および思科ASA -アプライアンス1はCloudBridge连接器トンネルを介したデータセンター1とデータセンター2のプライベートネットワーク間の通信を可能にします。この例では,NS_アプライアンス1と思科ASA -アプライアンス1はデータセンター1のクライアントCL1とデータセンター2のサーバS1との間の通信をCloudBridge连接器トンネル経由で有効にします。クラアントcl1とサバs1は,異なるプラベトネットワク上にあります。
NS_Appliance-1ではCloudBridge连接器トンネル設定には,IPSecプロファイルエンティティNS_Cisco-ASA_IPSec_Profile, CloudBridge连接器トンネルエンティティNS_Cisco-ASA_Tunnel,およびポリシーベースルーティング(PBR)エンティティNS_Cisco-ASA_Pbrが含まれます。
CloudBridge连接器のトンネル設定にント
CloudBridge连接器トンネルの設定を開始する前に,次のことを確認してください。
- Citrix ADCアプライアンスと思科ASAアプライアンス間のCloudBridge连接器トンネルでは,次のIPSec設定がサポートされています。
IPSecのプロパティ | 設定 |
---|---|
IPSecモド | トンネルモ,ド |
Ikeのバ,ジョン | バ,ジョン |
艾克認証方式 | 事前共有キ |
艾克暗号化アルゴリズム | AES、3 des |
艾克ハッシュアルゴリズム | Hmac sha1, Hmac md5 |
Esp暗号化アルゴリズム | AES、3 des |
Espハッシュアルゴリズム | Hmac sha1, Hmac md5 |
- CloudBridge连接器トンネルの両端で,Citrix ADCアプライアンスと思科ASAアプライアンスで同じIPSec設定を指定する必要があります。
- Citrix ADCは,艾克ハッシュアルゴリズムとESPハッシュアルゴリズムを指定するための共通パラメータ(IPSecプロファイル内)を提供します。また,艾克暗号化アルゴリズムとESP暗号化アルゴリズムを指定するためのもう1つの共通パラメータも用意されています。したがって,思科ASAアプライアンスでは,艾克(フェーズ1構成)およびESP(フェーズ2構成)で同じハッシュアルゴリズムと同じ暗号化アルゴリズムを指定する必要があります。
- 次のことを許可するには,Citrix ADC側と思科ASA側でファイアウォールを設定する必要があります。
- ポ,ト500の任意のudpパケット
- ポト4500に対する任意のudpパケット
- 任意のesp (ipプロトコル番号50)パケット
CloudBridge连接器トンネル用のCisco ASAの設定
思科ASAアプライアンスでCloudBridge连接器トンネルを設定するには,思科ASAコマンドラインインターフェイスを使用します。これは,思科ASAアプライアンスの設定,モニタリング,および保守のための主要なユーザインターフェイスです。
思科ASAアプライアンスでCloudBridge连接器トンネル設定を開始する前に,次の点を確認してください。
- Cisco ASAアプラaapl . exeアプラaapl . exeユ. exeザアカウントがあること。
- Cisco ASAコマンドラ▪▪ン▪▪ンタ▪フェ▪▪スに精通していること。
- 思科ASAアプライアンスは稼動しており,インターネットに接続されており,トラフィックがCloudBridge连接器トンネルを介して保護されるプライベートサブネットにも接続されています。
注
思科ASAアプライアンスでCloudBridge连接器トンネルを設定する手順は,思科のリリースサイクルによっては,時間の経過とともに変化する場合があります。IPSec VPNトンネルの構成に関する公式の思科ASA製品マニュアルに従うことをお勧めします。
Citrix ADCアプライアンスと思科ASAアプライアンスの間にCloudBridge连接器トンネルを設定するには,思科ASAアプライアンスのコマンドラインで次のタスクを実行します。
- Ikeポリシ,を作成します。艾克ポリシーは,艾克ネゴシエーション(フェーズ1)で使用されるセキュリティパラメータの組み合わせを定義します。たとえば,艾克ネゴシエーションで使用されるハッシュアルゴリズム,暗号化アルゴリズム,認証方式などのパラメータは,このタスクで設定されます。
- 外部ンタフェスでIkeを有効にします。トンネルトラフィックがトンネルピアに流れる外部ンタフェスでIkeを有効にします。
- トンネルグル,プを作成します。トンネルグル,プは,トンネルのタ,プと事前共有キ,を指定します。トンネルタaapl . exeプはipsec-l2lに設定する必要があります。これは,IPsec LANからLANへの対応を表します。事前共有キは、CloudBridge Connector トンネルのピアが相互に認証するために使用するテキスト文字列です。 事前共有キーは、IKE 認証のために相互に照合されます。したがって、認証を成功させるには、Cisco ASA アプライアンスと Citrix ADC アプライアンスで同じ事前共有キーを設定する必要があります。
- トランスフォ,ムセットを定義します。トランスフォームセットは,艾克ネゴシエーションが成功した後,CloudBridge连接器トンネルを介したデータの交換に使用されるセキュリティパラメータ(フェーズ2)の組み合わせを定義します。
- アクセスリストを作成します。暗号化アクセスリストは,CloudBridgeトンネルを介してIPトラフィックを保護するサブネットを定義するために使用されます。アクセスリストの送信元パラメータと宛先パラメータは,CloudBridge连接器トンネル上で保護される思科アプライアンス側およびCitrix ADC側のサブネットを指定します。アクセスリストはpermitに設定する必要があります。Ciscoアプライアンス側のサブネット内のアプライアンスから発信され、Citrix ADC 側のサブネット内のアプライアンスを宛先とし、アクセスリストの送信元パラメータと宛先パラメータに一致する要求パケットは、CloudBridge Connector トンネルを介して送信されます。
- クリプトマップを作成します.クリプトマップは,セキュリティアソシエ,ション(SA)のIPSecパラメ,タを定義します。これには,CloudBridgeトンネルでトラフィックを保護するサブネットを識別する暗号化アクセスリスト,IPアドレスによるピア(Citrix ADC)識別,ピアセキュリティ設定に一致するようにトランスフォームセットが含まれます。
- 外部▪▪ンタ▪▪フェ▪▪スにクリプトマップを適用します。この作業では,トンネルトラフィックがトンネルピアに流れる外部インターフェイスにクリプトマップを適用します。@ @ @ @ @ @ @ @ @ @ @ @ @ @にクリプトマップを適用すると、Cisco ASA アプライアンスは、すべてのインターフェイストラフィックをクリプトマップセットに対して評価し、接続またはセキュリティアソシエーションのネゴシエーション中に指定したポリシーを使用するように指示します。
次の手順の例では,CloudBridge连接器の設定とデータフローの例で使用する思科ASAアプライアンスCisco-ASA——アプライアンス1の設定を作成します。
Cisco ASAコマンドラaapl . cerコマンドラaapl . cerンを使用してIKEポリシ
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを,表示されている順序で入力します。
コマンド | 例 | コマンドの説明 |
---|---|---|
Crypto ikev1策略优先级 | Cisco-ASA-appliance-1(config)# crypto ikev1策略 | Ikeポリシ,構成モ,ドを開始し,作成するポリシ,を指定します。(各ポリシ、は、割り当てたプラ、オリティ番号によって一意に識別されます)。この例では,ポリシ,1を設定します。 |
加密(3des | aes) | Cisco-ASA-appliance-1 (config-ikev1-policy)# encryption 3des | 暗号化アルゴリズムを指定します。この例では,3desアルゴリズムを設定します。 |
Hash (sha | md5) | Cisco-ASA-appliance-1 (config- ikev1-policy)# hash sha | ハッシュアルゴリズムを指定します。この例では,shaを設定します。 |
authenticationpre-share | 思科- asa -appliance-1 (config- ikev1-policy)#认证预共享 | 事前共有認証方法を指定します。 |
组2 | 1 .配置ikev1-policy | 1024ビットの迪菲-海尔曼グル,プ識別子(2)を指定します。 |
一生秒 | Cisco-ASA-appliance-1 (config- ikev1-policy)# lifetime 28800 | セキュリティアソシエ,ションの有効期間を秒単位で指定します。この例では,Citrix ADCアプライアンスの有効期間のデフォルト値である28800秒を設定します。 |
Cisco ASAコマンドラaapl . aapl . aapl . aapl . aapl . aapl . aapl . aapl . aapl . aapl
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを,表示されている順序で入力します。
コマンド | 例 | コマンドの説明 |
---|---|---|
加密ikev1外部启用 | Cisco-ASA-appliance-1(config)# crypto ikev1启用外部 | トンネルトラフィックがトンネルピアに流れるaapl . exe / aapl . exe / aapl . exe / aapl . exe / aapl . exe / aapl . exeこの例では,外面という名前のインターフェイスでIKEv1を有効にします。 |
使用Cisco ASA命令行创建隧道组
思科ASAアプラaaplアンスのコマンドプロンプトで,思科ASAコマンドラインを使用して,接続されたpdfトンネルグループの显示のように,グローバル構成モードで次のコマンドを入力します。
Cisco ASAコマンドラaapl .ンを使用してクリプトアクセスリストを作成するには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを次の順序で入力します。
コマンド | 例 | コマンドの説明 |
---|---|---|
access-list access-list-number permit IP source source-通配符destination destination-通配符 | Cisco-ASA-appliance-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 | CloudBridge连接器トンネルを介してIPトラフィックを保護するサブネットを決定する条件を指定します。この例では,サブネット10.20.0/24(思科ASAアプライアンス1側)および10.102.147.0/24 (NS_アプライアンス1側)からのトラフィックを保護するように,アクセスリスト111を設定します。 |
Cisco ASAコマンドラaapl . aapl . aapl . aapl . aapl . aapl
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを入力します。Asaコマンドランテブルを使用したトランスフォムセットPDFを参照してください。
Cisco ASAコマンドラaapl .ンを使用してクリプトマップを作成するには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを,表示されている順序で入力します。
コマンド | 例 | コマンドの説明 |
---|---|---|
密码映射map-name seq-num匹配地址access-list-name | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1匹配地址111 | クリプトマップを作成し,アクセスリストを指定します。次に,シーケンス番1号のクリプトマップNS-CISCO-CMを設定し,アクセスリスト111をNS-CISCO-CMに割り当てる例を示します。 |
密码映射map-name seq-num设置对端ip地址 | (config)# crypto map NS-CISCO-CM 1设置peer 198.51.100.100 | ピア(Citrix ADCアプライアンス)をIPアドレスで指定します。この例では,198.51.100.100を指定します。これは,Citrix ADCアプラ▪▪アンス上のトンネルエンドポ▪▪ントのIPアドレスです。 |
密码映射map-name seq-num set ikev1 transform-set transform-set-name | ikev1 transform-set NS-CISCO-TS (config)# crypto map NS-CISCO-CM 1 set | このクリプトマップエントリに許可されるトランスフォ,ムセットを指定します。次に,トランスフォ,ムセットns-cisco-tsを指定する例を示します。 |
Cisco ASAコマンドラ▪▪ンを使用して▪▪ンタ▪フェ▪▪スにクリプトマップを適用するには
思科ASAアプライアンスのコマンドプロンプトで,グローバル構成モードで次のコマンドを,表示されている順序で入力します。
コマンド | 例 | コマンドの説明 |
---|---|---|
加密映射map-nameinterface interface-name | Cisco-ASA-appliance-1(config)# crypto映射NS-CISCO-CM接口外部 | CloudBridge连接器トンネルのトラフィックが流れるインターフェイスにクリプトマップを適用します。次に,クリプトマップns-cisco-cmを外部ンタスに適用する例を示します。 |
CloudBridge连接器トンネル用のCitrix ADCアプラアンスの構成
Citrix ADCアプライアンスと思科ASAアプライアンスの間にCloudBridge连接器トンネルを設定するには,Citrix ADCアプライアンスで次のタスクを実行します。Citrix ADCコマンドラインまたはCitrix ADCグラフィカルユーザーインターフェイス(GUI)のいずれかを使用できます。
- IPSecプロファleiルを作成します。
- IPSecプロトコルを使用するIPトンネルを作成し,IPSecプロファaaplルを関連付けます。
- 策略路由ル,ルを作成し,ipトンネルに関連付けます。
Citrix ADCコマンドランを使用してIPSECプロファルを作成するには:
コマンドプロンプトで入力します。
add ipsec profile
-psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE 显示ipsec配置文件
Citrix ADCコマンドラインを使用してIPSECトンネルを作成し,そのトンネルにIPSECプロファイルをバインドするには,次の手順を実行します:
コマンドプロンプトで入力します。
add ipTunnel
-protocol IPSEC -ipsecProfileName .使用实例 show ipTunnel
Citrix ADCコマンドラインを使用してPBRルールを作成し,IPSECトンネルをバインドするには:
コマンドプロンプトで入力します。
* *添加pbr * * < pbrName > * *允许* * - * * srcIP * * < subnet-range > - * * destIP * * < subnet-range >
* * ipTunnel * * < tunnelName >
* *应用为pbrs * *
**show pbr**
GUIを使用してipsecプロファ
- [システム> [CloudBridge连接器> [IPsecプロファleiル]に移動します。
- 詳細ペ电子邮箱ンで,(添加)をクリックします。
- [IPSecプロファleiルの追加]ペ,ジで,次のパラメ,タを設定します。
- 的名字
- 暗号化アルゴリズム
- ハッシュアルゴリズム
- Ikeプロトコルバ,ジョン
- 完全前向保密(このパラメ,タを有効にする)
- 相互に認証するために2つのCloudBridge连接器トンネルピアで使用されるIPsec認証方法を設定します。事前共有キ,認証方法を選択し、[事前共有キ,が存在する]パラメ,タを設定します。
- (创建)をクリックしてから,(关闭)をクリックします。
guiを使用してipトンネルを作成し,ipsecプロファaaplルをそれにバaaplンドするには:
- [システム> [CloudBridge连接器> [IPトンネル]に移動します。
- [IPv4トンネル]タブで,[追加]をクリックします。
- [ipトンネルの追加]ペ,ジで,次のパラメ,タを設定します。
- 的名字
- リモ,トIP地址
- リモ,トマスク
- [ローカルIPタイプ]([ローカルIPタイプ]ドロップダウンリストで,[サブネットIP)を選択します)。
- ローカルIP(選択したIPタイプの構成済みのIPアドレスはすべて,[ローカルIP)ドロップダウンリストに表示されます。リストから目的のIPを選択します)。
- プロトコル
- IPSecプロファleiル
- (创建)をクリックしてから,(关闭)をクリックします。
GUI界面を使用して策略路由ル,ルを作成し,ipsecトンネルをバ化学键ンドするには:
- [システム> [ネットワ,ク> [PBR]に移動します。
- [PBR]タブで,[追加]をクリックします。
- [PBRの作成]ペ,ジで,次のパラメ,タ,を設定します。
- 的名字
- 操作(アクション)
- ネクストホップタepプ(IPトンネルの選択)
- IPトンネル名
- 送信元IP地址の低
- 送信元IP地址高
- 宛先IP地址の低
- 宛先IP高
- (创建)をクリックしてから,(关闭)をクリックします。
Citrix ADCアプライアンスの対応する新しいCloudBridge连接器トンネル構成がGUIに表示されます。CloudBridge连接器トンネルの現在のステータスは、[設定済み CloudBridge Connector] ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。
次のコマンドは”CloudBridge连接器構成の例“で,Citrix ADCアプライアンスのNS_Appliance-1の設定を作成します:
>添加ipsec配置NS_Cisco-ASA_IPSec_Profile相移键控examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1一生315360 -perfectForwardSecrecy启用>加入iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100协议ipsec -ipsecProfileName NS_Cisco-ASA_IPSec_Profile做>添加pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_Cisco-ASA_Tunnel做>应用为pbrs做< !——NeedCopy >
CloudBridge连接器トンネルのモニタリング
CloudBridge连接器のトンネル統計カウンタを使用して,Citrix ADCアプライアンス上のCloudBridge连接器トンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge连接器トンネル統計の表示の詳細については,”CloudBridge连接器トンネルの監視を参照してください。