CloudBridge连接器互操作性——思科亚撒
您可以在Citrix ADC设备和思科ASA设备之间配置CloudBridge连接器通道,以连接两个数据中心或将网络扩展到云提供商。Citrix ADC设备和思科ASA设备构成CloudBridge连接器隧道的端点,称为对等体。
CloudBridge连接器通道配置示例
作为CloudBridge连接器通道中流量的示例,请考虑在以下设备之间设置CloudBridge连接器通道的示例:
- 数据中心指定为Datacenter-1的Citrix ADC设备NS_Appliance-1
- 数据中心中指定为Datacenter-2的思科ASA设备Cisco-ASA-Appliance-1
NS_Appliance-1和Cisco-ASA-Appliance-1可以通过CloudBridge连接器通道在Datacenter-1和Datacenter-2中的专用网络之间进行通信。在此示例中,NS_Appliance-1 和 Cisco-ASA-Appliance-1 通过 CloudBridge Connector 通道启用 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间的通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。
在NS_Appliance-1上,CloudBridge连接器通道配置包括IPsec配置文件实体NS_Cisco-ASA_IPsec_Profile, CloudBridge连接器通道实体NS_Cisco-ASA_Tunnel和基于策略的路由(PBR)实体NS_Cisco-ASA_Pbr。
CloudBridge连接器通道配置需要考虑的事项
在开始配置CloudBridge连接器隧道之前,请确保:
- Citrix ADC设备和思科ASA设备之间的CloudBridge连接器通道支持以下IPsec设置。
IPsec属性 | 设置 |
---|---|
IPsec模式 | 通道模式 |
艾克版本 | 版本 1 |
艾克身份验证方法 | 预共享密钥 |
艾克加密算法 | AES、3 des |
艾克哈希算法 | Hmac sha1, Hmac md5 |
ESP加密算法 | AES、3 des |
ESP哈希算法 | Hmac sha1, Hmac md5 |
- 您必须在Citrix ADC设备和CloudBridge连接器通道两端的思科ASA设备上指定相同的IPsec设置。
- Citrix ADC提供了一个通用参数(在IPsec配置文件中),用于指定艾克哈希算法和ESP哈希算法。它还提供了另一个用于指定艾克加密算法和ESP加密算法的常见参数。因此,在思科ASA设备中,必须在艾克(阶段1配置)和ESP(阶段2配置)中指定相同的哈希算法和相同的加密算法。
- 必须在Citrix ADC端和思科ASA端配置防火墙,以允许执行以下操作。
- 端口500的任何UDP数据包
- 端口4500的任何UDP数据包
- 任何ESP (IP协议编号50)数据包
为CloudBridge连接器通道配置思科亚撒
要在思科ASA设备上配置CloudBridge连接器隧道,请使用思科ASA命令行界面,该界面是配置,监视和维护思科ASA设备的主要用户界面。
在思科ASA设备上开始CloudBridge连接器通道配置之前,请确保:
- 您在思科ASA设备上有一个具有管理员凭据的用户帐户。
- 您熟悉思科ASA命令行界面。
- 思科ASA设备已启动并且正在运行,连接到互联网,并且还连接到专用子网,其流量将通过CloudBridge连接器通道受到保护。
注意
在思科ASA设备上配置CloudBridge连接器通道的过程可能会随着时间的推移而发生变化,具体取决于思科发布周期。Citrix建议您遵循关于配置IPsec VPN通道的官方思科ASA产品文档,网站为:
要在Citrix ADC设备和思科ASA设备之间配置CloudBridge连接器通道,请在思科ASA设备的命令行上执行以下任务:
- 创建艾克策略。艾克策略定义了艾克协商(阶段1)期间要使用的安全参数组合。例如,在此任务中设置了将在艾克协商中使用的哈希算法,加密算法和身份验证方法等参数。
- 在外部接口上启用艾克。在外部接口上启用 IKE,通道流量将通过该接口流向通道对等层。
- 创建通道组。通道组指定通道类型和预共享密钥。隧道类型必须设置为ipsec-l2l,这代表IPsec局域网到局域网。预共享密钥是一个文本字符串,CloudBridge Connector 通道的对等级用于相互进行身份验证。 预共享的密钥相互匹配,以便进行 IKE 身份验证。因此,要成功进行身份验证,必须在 Cisco ASA 设备和 Citrix ADC 设备上配置相同的预共享密钥。
- 定义一个变换集。转换集定义了在艾克协商成功后用于通过CloudBridge连接器隧道交换数据的安全参数(阶段2)的组合。
- 创建访问列表。加密访问列表用于定义其IP流量将通过CloudBridge通道受到保护的子网。访问列表中的源和目标参数指定要通过CloudBridge连接器通道保护的思科设备端和Citrix ADC端子网。访问列表必须设置为允许。任何来自思科设备端子网中的设备且发往Citrix ADC端子网中的设备且与访问列表的源和目标参数相匹配的请求数据包都将通过CloudBridge连接器通道发送。
- 创建一个加密映射。加密映射定义了安全关联(SA)的IPsec参数。它们包括以下内容:用于标识通过CloudBridge通道保护其流量的子网的加密访问列表,通过IP地址进行对等(Citrix ADC)标识以及与对等安全设置匹配的转换集。
- 将加密映射应用到外部界面。在此任务中,您将加密映射应用于外部界面,通道流量将通过该界面流向通道对等层。将加密映射应用于接口会指示 Cisco ASA 设备根据加密映射集评估所有接口流量,并在连接或安全关联协商期间使用指定的策略。
下面的过程中的示例将创建在CloudBridge连接器配置和数据流的示例中使用的思科ASA设备Cisco-ASA-Appliance-1的设置。
使用思科ASA命令行创建艾克策略
在思科ASA设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始):
命令 | 示例 | 命令描述 |
---|---|---|
Crypto ikev1策略优先级 | Cisco-ASA-appliance-1(config)# crypto ikev1 policy 1 .配置ikev1策略 | 进入艾克策略配置模式并确定要创建的策略。(每个策略都由您分配的优先级号码唯一标识)。此示例配置策略1。 |
加密(3des | aes) | Cisco-ASA-appliance-1 (config-ikev1-policy)#加密3des | 指定加密算法。此示例配置了3 des算法。 |
Hash (sha | md5) | Cisco-ASA-appliance-1 (config- ikev1-policy)# hash sha | 指定哈希算法。此示例配置沙。 |
身份验证前共享 | Cisco-ASA-appliance-1 (config- ikev1-policy)#认证预共享 | 指定共享前身份验证方法。 |
组2 | Cisco-ASA-appliance-1 (config- ikev1-policy)# group 2 | 指定1024位diffie - hellman组标识符(2)。 |
一生秒 | Cisco-ASA-appliance-1 (config- ikev1-policy)# lifetime 28800 .使用实例 | 以秒为单位指定安全关联的生命周期。本示例配置28800秒,这是Citrix ADC设备中的默认生命周期值。 |
使用思科ASA命令行在外部接口上启用艾克
在思科ASA设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始):
命令 | 示例 | 命令描述 |
---|---|---|
Crypto ikev1在外部启用 | Cisco-ASA-appliance-1(config)# crypto ikev1 enable outside . conf配置文件 | 在通道流量流向通道对等方的接口上启用IKEv1。此示例在外部命名的接口上启用IKEv1。 |
使用思科ASA命令行创建隧道组
在思科ASA设备的命令提示符下,键入以下命令,从全局配置模式开始,如使用思科ASA命令行附加的pdf隧道组中所示:
使用思科ASA命令行创建加密访问列表
在思科ASA设备的命令提示符下,按所示顺序在全局配置模式下键入以下命令:
命令 | 示例 | 命令描述 |
---|---|---|
访问列表访问列表编号允许IP源源通配符目标通配符通配符 | Cisco-ASA-appliance-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.2.147.0 0.0.0.255 | 指定条件以确定要通过CloudBridge连接器通道保护其IP流量的子网。111年此示例将访问列表配置为保护来自子网10.20.20.0/24(位于Cisco-ASA-Appliance-1端)和10.102.147.0/24(位于NS_Appliance-1端)的流量。 |
使用思科ASA命令行定义转换集
在思科ASA设备的命令提示符处,键入以下命令,从全局配置模式开始。请参阅使用ASA命令行表格转换集pdf。
使用思科ASA命令行创建加密映射
在思科ASA设备的命令提示符处,按照所示顺序键入以下以全局配置模式开始的命令:
命令 | 示例 | 命令描述 |
---|---|---|
加密映射地图名称seq-num匹配地址访问列表名 | cisco - sa -appliance-1 (config)# crypto map ns - cisco - cm1 match address 111 .使用实例 | 创建一个加密映射并指定一个访问列表。此示例将加密映射NS-CISCO-CM配置为序列号1,并将访问列表111分配给NS-CISCO-CM。 |
加密映射地图名称seq-num集对等IP地址 | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 set peer 198.51.100.100 .使用实例 | 通过其IP地址指定对等方(Citrix ADC设备)。此示例指定198.51.100.100,即Citrix ADC设备上的通道端点IP地址。 |
加密映射地图名称seq-num设置ikev1转换集变换集名 | Cisco-ASA-appliance-1(配置)#加密地图NS-CISCO-CM 1组ikev1 transform-set NS-CISCO-TS | 指定此加密映射条目允许哪个转换集。此示例指定变换集NS-CISCO-TS。 |
使用思科ASA命令行将加密映射应用于接口
在思科ASA设备的命令提示符处,按照所示顺序键入以下以全局配置模式开始的命令:
命令 | 示例 | 命令描述 |
---|---|---|
加密映射地图名称接口名称 | Cisco-ASA-appliance-1(config)# crypto映射外部的NS-CISCO-CM接口 | 将加密映射应用于CloudBridge连接器通道流量将通过的界面。此示例将加密映射NS-CISCO-CM应用于外部接口。 |
为CloudBridge连接器通道配置Citrix ADC设备
要在Citrix ADC设备和思科ASA设备之间配置CloudBridge连接器通道,请在Citrix ADC设备上执行以下任务。您可以使用Citrix ADC命令行或Citrix ADC图形用户界面(GUI):
- 创建IPsec配置文件。
- 创建使用IPsec协议的IP通道,并将IPsec配置文件与其关联。
- 创建PBR规则并将其与IP隧道相关联。
要使用Citrix ADC命令行创建IPsec配置文件,请执行以下操作:
在命令提示符下,键入:
add ipsec profile
-psk -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE 显示ipsec安全框架
若要使用Citrix ADC命令行创建IPsec通道并将IPsec配置文件绑定到该通道,请执行以下操作:
在命令提示符下,键入:
add ipTunnel
-protocol IPSEC -ipsecProfileName . add ipTunnel 显示ipTunnel <名称>
要使用Citrix ADC命令行创建PBR规则并将IPSEC隧道绑定到该规则,请执行以下操作:
在命令提示符下,键入:
* *添加pbr * * < pbrName > * *允许* * - * * srcIP * * < subnet-range > - * * destIP * * < subnet-range >
* * ipTunnel * * < tunnelName >
* *应用为pbrs * *
* *显示pbr * * < pbrName >
要使用GUI创建IPSEC配置文件:
- 导航到系统>CloudBridge连接器>IPsec配置文件。
- 在详细信息窗格中,单击添加(添加)。
- 在“添加IPsec配置文件”页面中,设置以下参数:
- 名称
- 加密算法
- 哈希算法
- 艾克协议版本
- 完全正向保密(启用此参数)
- 配置两个CloudBridge连接器隧道对等体使用的IPsec身份验证方法以进行相互身份验证:选择预共享密钥身份验证方法并设置预共享密钥存在参数。
- 单击创建(创建),然后单击关闭(关闭)。
要使用GUI创建IP隧道并将IPSEC配置文件绑定到它,请执行以下操作:
- 导航到系统>CloudBridge连接器>IP通道。
- 在IPv4隧道选项卡上,单击添加。
- 在“添加IP隧道”页中,设置以下参数:
- 名称
- 远程IP
- 远程屏蔽
- 本地IP类型(在本地IP类型下拉列表中,选择子网IP)。
- 本地IP(所选的IP类型的所有已配置的IP地址都位于“本地IP”下拉列表中。从列表中选择所需的IP)。
- 协议
- IPsec配置文件
- 单击创建(创建),然后单击关闭(关闭)。
要使用GUI创建PBR规则并将IPSEC隧道绑定到该规则,请执行以下操作:
- 导航到系统>网络>PBR。
- 在PBR选项卡上,单击添加。
- 在“创建PBR”页面中,设置以下参数:
- 名称
- 操作
- 下一个跳类型(选择IP通道)
- IP通道名称
- 源IP低
- 源IP高
- 目标IP低
- 目标IP高
- 单击创建(创建),然后单击关闭(关闭)。
Citrix ADC设备上相应的新CloudBridge连接器通道配置显示在GUI中。CloudBridge连接器通道的当前状态显示在已配置的 CloudBridge Connector 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。
以下命令在“CloudBridge连接器配置示例”中创建Citrix ADC设备NS_Appliance-1的设置。”:
>添加ipsec配置NS_Cisco-ASA_IPSec_Profile相移键控examplepresharedkey -ikeVersion v1 -encAlgo AES -hashalgo HMAC_SHA1一生315360 -perfectForwardSecrecy启用>加入iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100协议ipsec -ipsecProfileName NS_Cisco-ASA_IPSec_Profile >添加pbr NS_Cisco-ASA_Pbr完成-srcIP 10.10.147.0 - 10.10.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnel NS_Cisco-ASA_Tunnel Done > apply pbrs Done
监视CloudBridge连接器通道
您可以使用CloudBridge连接器通道统计计数器监视Citrix ADC设备上的CloudBridge连接器通道的性能。有关在Citrix ADC设备上显示CloudBridge连接器隧道统计信息的更多信息,请参阅监视CloudBridge连接器隧道。