CloudBridge连接器の相互運用性-ストロングスワン
StrongSwanはLinuxプラットフォーム用のオープンソースのIPSec実装です。Citrix ADCアプライアンスとStrongSwanアプライアンスの間にCloudBridge连接器トンネルを構成して,2つのデータセンターを接続したり,ネットワークをクラウドプロバイダーに拡張したりできます。Citrix ADCアプライアンスとStrongSwanアプライアンスは,CloudBridge连接器トンネルのエンドポイントを形成し,ピアと呼ばれます。
CloudBridge连接器のトンネル設定の例
CloudBridge连接器トンネルのトラフィックフローの図のように,CloudBridge连接器トンネルが次のデバイス間でセットアップされる例について考えてみます。
- データセンター1として指定されたデータセンター内のCitrix ADCアプライアンスNS_アプライアンス1
- StrongSwanアプライアンスStrongSwanアプライアンス1はデータセンター2として指定されたデータセンターにあります。
NS_Appliance-1とStrongSwan-Appliance-1は,データセンター1とデータセンター2のプライベートネットワーク間でCloudBridge连接器トンネルを介して通信できるようにします。この例では,NS_Appliance-1とStrongSwan-Appliance-1では,データセンター1のクライアントCL1と,データセンター2のサーバーS1がCloudBridge连接器トンネルを介して通信できるようにします。クライアントcl1とサーバーs1は,異なるプライベートネットワーク上にあります。
NS_アプライアンス1では,CloudBridge连接器のトンネル構成には,IPSecプロファイルエンティティNS_StrongSwan_IPSec_Profile, CloudBridge连接器トンネルエンティティNS_StrongSwan_Tunnel,およびポリシーベースルーティング(PBR)エンティティNS_StrongSwan_Pbrが含まれます。
次の表に,この例で使用される設定を示します。
CloudBridge连接器のトンネルのセットアップの主な設定
| エンティティ | 詳細 |
|---|---|
| データセンター1のCloudBridge连接器トンネルエンドポイント(NS_アプライアンス1)のIPアドレス | 198.51.100.100 |
| データセンター2のCloudBridge连接器トンネルエンドポイント(ストロングスワン——アプライアンス1)のIPアドレス | 203.0.113.200 |
| データセンター——CloudBridge连接器トンネルを介してトラフィックを保護する対象のサブネット | 10.102.147.0/24 |
| データセンター-CloudBridge连接器トンネルを介してトラフィックを保護する対象のサブネット | 10.20.20.0/24 |
データセンター1のCitrix ADCアプライアンスNS_アプライアンス1での設定
| snip1(参考目的のみ) | 198.51.100.100 | |
|---|---|---|
| IPSecプロファイル | NS_StrongSwan_IPSec_プロファイル | IKEバージョン:v1,暗号化アルゴリズム:AES,ハッシュアルゴリズム:HMAC_SHA1 |
| PSK =サンプル共有キー(注:これは事前共有キーの例です。この文字列は,CloudBridge Connector構成で使用することはお勧めしません) | ||
| CloudBridge连接器トンネル | NS_StrongSwan_Tunnel | リモートIP = 203.0.113.200ローカルIP = 198.51.100.100トンネルプロトコル= IPSEC, IPSECプロファイル= NS_StrongSwan_Profile |
| ポリシーベースのルート | NS_StrongSwan_Pbr | 送信元IP範囲=データセンターのサブネット1 = 10.102.147.0-010.102.147.255,送信先IP範囲=データセンターのサブネット2 = 10.20.0-010.20.255,IPトンネル= NS_ストロングスワン_トンネル |
CloudBridge连接器のトンネル設定について考慮すべきポイント
CloudBridge连接器トンネルの設定を開始する前に,次のことを確認してください。
- あなたは,Linuxの設定に関する基本的な知識を持っています。
- IPSecプロトコルスイートに関する基本的な知識があります。
- StrongSwanアプライアンスは稼働しており,インターネットに接続されており,トラフィックがCloudBridge连接器トンネルを介して保護されるプライベートサブネットにも接続されています。
- Citrix ADCアプライアンスは稼働しており,インターネットに接続されており,CloudBridge连接器トンネルを介してトラフィックを保護するプライベートサブネットにも接続されています。
- 以下のIPSec設定は,Citrix ADCアプライアンスとStrongSwanアプライアンスの間のCloudBridge连接器トンネルでサポートされています。
- IPSecモード:トンネルモード
- Ikeバージョン:バージョン
- 艾克認証方法:事前共有キー
- Ike暗号化アルゴリズム:aes
- Ikeハッシュアルゴリズム:hmac sha1
- Esp暗号化アルゴリズム:aes
- Espハッシュアルゴリズム:hmac sha1
- Citrix ADCアプライアンスとStrongSwanアプライアンスで,CloudBridge连接器トンネルの両端で同じIPSec設定を指定する必要があります。
- Citrix ADCは,艾克ハッシュアルゴリズムとESPハッシュアルゴリズムを指定するための共通パラメータ(IPSecプロファイル内)を提供します。また,艾克暗号化アルゴリズムとESP暗号化アルゴリズムを指定するためのもう1つの共通パラメータも用意されています。したがって,StrongSwanアプライアンスでは,IPSec.confファイルの艾克パラメータとESPパラメータで同じハッシュアルゴリズムと同じ暗号化アルゴリズムを指定する必要があります。
- Citrix ADC端とStrongSwan端でファイアウォールを構成して,次のことを許可する必要があります。
- ポート500の任意のudpパケット
- ポート4500に対する任意のudpパケット
- 任意のesp (ipプロトコル番号50)パケット
CloudBridge连接器トンネル用のストロングスワンを設定する
Citrix ADCアプライアンスとStrongSwanアプライアンスの間にCloudBridge连接器トンネルを構成するには,StrongSwanアプライアンスで次のタスクを実行します。
- IPsec .confファイルにIPsec接続情報を指定します.ipsec.confファイルは,strongSwanアプライアンスのIPsec接続に関するすべての制御情報と構成情報を定義します。
- ipsec。秘密ファイルに事前共有キーを指定します.ipsec。秘密ファイルは,strongSwanアプライアンスのIPsec接続用の艾克/ IPsec認証用のシークレットを定義します。
StrongSwanアプライアンスでIPsec VPN (CloudBridge连接器トンネル)を設定する手順は,StrongSwanのリリースサイクルによって時間とともに変化する可能性があります。IPsec VPNトンネルの構成に関する公式のStrongSwanドキュメントに従うことをお勧めします。
ipsec.confファイルのサンプル抜粋に続いて,IPsec VPNトンネルを設定するためのIPsec情報を指定します。詳細については,“CloudBridge连接器設定の例”トピックを参照してください。詳細については,”CloudBridge连接器の設定を参照してください。
ipsec。秘密ファイルのサンプル抜粋に続いて,IPsec VPNトンネルを設定するための艾克認証事前共有キーを指定します(“CloudBridge连接器設定の例“トピックを参照)。
-
/etc/ipsec.secrets -
PSK ' examplepreharedkey ' # IPsec IKE验证的预共享密钥
CloudBridge连接器トンネル用のCitrix ADCアプライアンスの構成
Citrix ADCアプライアンスとStrongSwanアプライアンスの間にCloudBridge连接器トンネルを構成するには,Citrix ADCアプライアンスで以下のタスクを実行します。Citrix ADCコマンドラインまたはCitrix ADCグラフィカルユーザーインターフェイス(GUI)のいずれかを使用できます。
- IPSecプロファイルを作成します。IPSecプロファイルエンティティは,艾克バージョン,暗号化アルゴリズム,ハッシュアルゴリズム,認証方法などのIPSecプロトコルパラメータを指定します。このパラメータは,CloudBridge连接器トンネル内のIPSecプロトコルで使用されます。
- IPSecプロトコルを使用するIPトンネルを作成し,IPSecプロファイルを関連付けます。IPトンネルは,ローカルIPアドレス(Citrix ADCアプライアンス上で構成されたCloudBridge连接器トンネルエンドポイントIPアドレス(剪タイプ)),リモートIPアドレス(StrongSwanアプライアンス上で構成されたCloudBridge连接器トンネルエンドポイントIPアドレス),CloudBridgeのセットアップに使用するプロトコル(IPSec)を指定します。コネクタトンネル,およびIPSecプロファイルエンティティ。作成されたIPトンネルエンティティは,CloudBridge连接器トンネルエンティティとも呼ばれます。
- PBRルールを作成し,ipトンネルに関連付けます。PBRエンティティは,一連のルールとIPトンネル(CloudBridge连接器トンネル)エンティティを指定します。送信元IPアドレスの範囲と宛先IPアドレスの範囲は,pbrエンティティの条件です。送信元 IP アドレスの範囲を設定して、トンネル経由でトラフィックを保護する Citrix ADC 側のサブネットを指定します。宛先の IP アドレス範囲を設定して、トンネル経由でトラフィックを保護する StrongSwan 側のサブネットを指定します。
Citrix ADCコマンドラインを使用してIPSECプロファイルを作成するには
コマンドプロンプトで入力します。
add ipsec profile-psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 .使用实例 显示ipsec profile <名称>
Citrix ADCコマンドラインを使用してIPSECトンネルを作成し,そのトンネルにIPSECプロファイルをバインドするには
コマンドプロンプトで入力します。
添加ipTunnel-protocol IPSEC -ipsecProfileName 显示ipTunnel <名称>
Citrix ADCコマンドラインを使用してPBRルールを作成し,IPSECトンネルをバインドするには
コマンドプロンプトで入力します。
add pbrALLOW -srcIP -destIP -ipTunnel 应用为pbrs显示pbr < pbrName >
GUIを使用してipsecプロファイルを作成するには
- 系统>CloudBridge连接器>IPSec配置文件に移動します。
- 詳細ペインで,(添加)をクリックします。
- [IPSecプロファイルの追加]ページで,次のパラメータを設定します。
- 的名字
- 暗号化アルゴリズム
- ハッシュアルゴリズム
- 艾克プロトコルバージョン
- 2つのCloudBridge连接器トンネルピアが相互認証に使用するIPSec認証方法を設定します。事前共有キー認証方法を選択し,事前共有キーが存在パラメータを設定します。
- (创建)をクリックしてから,(关闭)をクリックします。
GUIを使用してIPトンネルを作成し,IPSECプロファイルをそのトンネルにバインドするには
- [システム] > [CloudBridge连接器] > [IPトンネルに移動します。
- [IPv4トンネル[]タブで,[追加をクリックします。
- [ipトンネルの追加]ページで,次のパラメータを設定します。
- 的名字
- リモートIP地址
- リモートマスク
- [ローカルIPタイプ]([ローカルIPタイプ]ドロップダウンリストで,[サブネットIP地址]を選択します)。
- [ローカルIP)(選択したIPタイプの構成済みのIPアドレスはすべて[ローカルIP)ドロップダウンリストに表示されます。リストから目的のIPを選択します)。
- プロトコル
- IPSecプロファイル
- (创建)をクリックしてから,(关闭)をクリックします。
GUIを使用して策略路由ルールを作成し,ipsecトンネルをバインドするには
- [システム] > [ネットワーク] > [PBRに移動します。
- [PBR[]タブで,[追加をクリックします。
- (PBRの作成(创建策略路由)]ページで,次のパラメータを設定します。
- 的名字
- 操作(アクション)
- ネクストホップタイプ(IPトンネルの選択)
- IPトンネル名
- 送信元IPの低
- 送信元IP高
- 宛先IPの低
- 宛先IP高
- (创建)をクリックしてから,(关闭)をクリックします。
Citrix ADCアプライアンスの対応する新しいCloudBridge连接器トンネル構成がGUIに表示されます。CloudBridge连接器トンネルの現在のステータスは、[設定済み CloudBridge Connector] ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。 次のコマンドは、「CloudBridge Connector構成の例」で、Citrix ADCアプライアンスのNS_Appliance-1の設定を作成します。
> add ipsec profile NS_StrongSwan_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1 Done > add iptunnel NS_StrongSwan_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 -protocol ipsec -ipsecProfileName NS_StrongSwan_IPSec_Profile Done > add pbr NS_StrongSwan_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_StrongSwan_Tunnel Done > apply pbr Done CloudBridge连接器トンネルの監視
CloudBridge连接器のトンネル統計カウンタを使用して,Citrix ADCアプライアンス上のCloudBridge连接器トンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge连接器トンネル統計の表示の詳細については,”CloudBridge连接器トンネルの監視を参照してください。