StrongSwan CloudBridge连接器互操作性
Strongswan是一只开口的IPsec实现,实用性于linux平台。您可口在Citrix ADC设备和Strongswan设备之间配置CloudBridge连接器通道,以以两个数码中心或将网页扩展扩展云到商.citrix adc设备和强大的stronfswan设备构成CloudBridge连接器通道的终点,称为对对。
CloudBridge连接器通道配置示例
作为CloudBridge连接器通道中流量的示例,请考虑在以下设备之间设置CloudBridge连接器通道的示例:
- 数据中心指定为Datacenter-1的Citrix ADC设备NS_Appliance-1
- 指定为Datacenter-2的数据中心内的StrongSwan设备StrongSwan-Appliance-1
NS_设备-1和 StrongSwan-Appliance-1可通过 云桥连接器通道在 数据中心-1和 数据中心-2中的专用网络之间进行通信。在此示例中,NS_设备-1和 StrongSwan-Appliance-1通过 云桥连接器通道启用 数据中心-1中的客户端 CL1与数据中心 2.中的服务器 S1之间的通信。客户端 CL1和服务器 S1位于不同的专用网络上。
在NS_APPLANE-1上,CloudBridge连接器通信配置包括iPsec配置文章繁体ns_strongswan_ipsec_profile,cloudbridge连接器通量ns_strongswan_tunnel和基站策略的路由(pbr)传输ns_strongswan_pbr。
下表列出了此示例中使用的设置。
CloudBridge连接器通道设置的主设置
| 繁体 | 详细信息 |
|---|---|
| Datacenter-1中的CloudBridge连接器通讯端点(NS_APPLISIANCE-1)的IP地址 | 198.51.100.100 |
| Datacenter-2中的CloudBridge连接器通道端点(StrongSwan-Appliance-1)的IP地址 | 203.0.113.200 |
| 数据中心- 1的子网,其流量将通过CloudBridge连接器通道受到保护 | 10.102.147.0/24 |
| 数据中心 — 2.的子网,其流量将通过 云桥连接器通道受到保护 | 10.20.20.0/24 |
Datacenter-1中的Citrix ADC设备NS_Appliance-1上的设置
| SNIP1(仅供参考)| 198.51.100.100 | |–|–|–| | IPsec配置文件| NS_StrongSwan_IPsec_Profile |艾克版本:v1;加密算法:AES;哈希算法:HMAC_SHA1相移键控= examplepresharedkey(注意:这是预共享密钥的示例,仅用于图示说明。Citrix 不建议在您的 CloudBridge Connector 配置中使用此字符串) | | CloudBridge Connector 通道|NS_StrongSwan_Tunnel| 远程 IP = 203.0.113.200,本地 IP = 198.51.100.100,通道协议 = IPsec,IPsec 配置文件 = NS_StrongSwan_IPsec_Profile |基于策略的路由|NS_StrongSwan_Pbr|源 IP 范围 = Datacenter-1 中的子网 =10.102.147.0-10.102.147.255,目标 IP 范围 = Datacenter-2 中的子网 = 10.20.20.0-10.20.20.255,IP 通道 = NS_StrongSwan_Tunnel|
CloudBridge连接器通道配置需要考虑的事项
在开始配置cloudbridge连接连接隧道之后,请确保:
- 您有一个关于Linux配置的基本知识。
- 您有一个关于IPsec协议套件的基本知识。
- Strongswan设备处于处于处于状态状态运,连接到互联网,并且并且连接连接到到到过桥连接器通讯。
- Citrix ADC设备已驾驶并正在驾驶,已已到互联网,并且并且还到销售。Cloudbridge连接器通道受到保护。
- Citrix ADC设备和Strongswan设备之间的CloudBridge连接器通讯支持支持以以以以以设置设置。
- IPsec模式:通道模式
- 艾克版本:版1本
- 艾克身份验证方法:预共享密钥
- Ike加法法:AES
- IKE哈希算法:HMAC SHA1
- ESP加密算法:AES
- ESP哈希算法:HMAC SHA1,
- 您必须处在Citrix ADC设备和CloudBridge连接器通信的强大的Strongswan设备上指定相同的IPsec设置。
- Citrix ADC提供了一个通用数量(在IPsec配置文件中),用来于指定ike哈希算法和esp哈希算法。它还提供了另另指定ike加载方法和esp加入法的常见数。在强大的警告中,必须在ipsec.conf文章中的Ike和esp exfirs中间指定相同的哈希算法和相同的加法法。
- 必须在思杰ADC端和StrongSwan端配置防火墙,以允许执行以下操作。
- 端口500的任何udp数码包
- 端口4500的任何udp数码包
- 任何ESP (IP协议编号50)数据包
为CloudBridge连接器通道配置StrongSwan
要在Citrix ADC设备和StrongSwan设备之间配置CloudBridge连接器通道,请在StrongSwan设备上执行以下任务:
- 在IPsec.conf文件中指定IPsec连接信息.IPsec.conf文件定义strongSwan设备中IPsec连接的所有控制和配置信息。
- 在IPsec。秘密文件中指定预共享的密钥.ipsec.secrets文章定义在强大的警告中IPSec连接的IKE / IPSec身份身份的密钥。
在 大天鹅设备上配置 IPsec VPN(云桥连接器通道)的过程可能会随着时间的推移而更改,具体取决于 大天鹅发布周期。Citrix建议您遵循有关配置 IPSecVPN隧道的官方StronSwan文档。
以尾IPSec.conf文章的示例摘录指定指定了于ipsecvpn通讯的IPsec信息,如cloudbridge连接器配置配置示例中所述。有关更多信息,请参阅CloudBridge连接器配置pdf
以下IPsec。秘密文件示例指定艾克身份验证预共享密钥,用于设置IPsec VPN通道,如CloudBridge连接器配置主题示例中所述。
-
/etc/ipsec.secrets -
相移键控的示例预共享密钥”# pre -用于IPsec艾克身份验证的共享密钥
为CloudBridge连接器通道配置Citrix ADC设备
要在Citrix ADC设备和StrongSwan设备之间配置CloudBridge连接器通道,请在Citrix ADC设备上执行以下任务。您可以使用Citrix ADC命令行或Citrix ADC图形用户界面(GUI):
- 创建IPsec配置文件。IPsec配置文件实体指定IPsec协议参数,如艾克版本,加密算法,哈希算法和身份验证方法,以供CloudBridge连接器通道中的IPsec协议使用。
- 创建使用IPsec协议的IP通道,并将IPsec配置文件与其关联。IP通道指定本地IP地址(Citrix ADC设备上配置的CloudBridge连接器通道端点IP地址(剪类型)),远程IP地址(在StrongSwan设备上配置的CloudBridge连接器通道端点IP地址),用于设置CloudBridge设备的协议(IPsec)连接器通道和IPsec配置文件实体。创建的IP通道实体也称为CloudBridge连接器通道实体。
- 创建PBR规则并将其与IP隧道相关联。PBR实体指定一组规则和一个IP通道(CloudBridge连接器通道)实体。源IP地址范围和目标IP地址范围是PBR实体的条件。设置源IP地址范围以指定要通过通道保护其流量的Citrix ADC端子网,并设置目标IP地址范围以指定通过通道保护其流量的StrongSwan端子网。
使用Citrix ADC命令行创建IPsec配置文件
在命令提示符下,键入:
添加IPSec配置文件-psk -ikeversion v1 -encalgo aes -hashalgo hmac_sha1 显示ipsec安全框架
使用Citrix ADC命令行创建IPsec通道并将IPsec配置文件绑定到该通道
在命令提示符下,键入:
添加IPtunnel<远程> -protocol ipsec -ivecprofilename 显示ipTunnel <名称>
使用Citrix ADC命令行创建PBR规则并将iPsec通讯绑定到该该
在命令提示符下,键入:
添加PBR允许-srcip -destip --iptunnel 应用为pbrs显示pbr < pbrName >
使用GUI创建IPsec配置文件
- 导航到系统>CloudBridge连接器>IPsec配置文件。
- 在详细信息窗格中,单击添加(添加)。
- 在“添加IPsec配置文件”页面中,设置以下参数:
- 名字
- 加密算法
- 哈希算法
- 艾克协议版本
- 将两个CloudBridge连接器隧道对等体使用的IPsec身份验证方法配置为相互身份验证:选择预共享密钥身份验证方法并设置预共享密钥现处参数。
- 单击创造(创建),然后单击关闭(关闭)。
创建IP通讯并使用GUI将iPsec配置文库绑定到它
- 导航到系统>CloudBridge连接器>IP通道。
- 在IPv4隧道选项卡上,单击加加。
- 在“加加IP隧道”页中,设置以下参数:
- 名字
- 远程IP.
- 远程屏蔽
- 本地IP类型(在本地IP类型下拉中,选择子网IP)。
- 本地IP(所选IP类型的没有已的IP地图的IP地图均位于“本地IP”下拉中。)
- 协议
- IPsec配置文章
- 单击创造(创建),然后单击关闭(关闭)。
创建 PBR规则并使用 桂将 IPsec通道绑定到它
- 导航到系统>网络>PBR。
- 在PBR选项卡上,单击加加。
- 在“创建 PBR”页中,设置以下参数:
- 名字
- 操
- 下一个跳类型(选择IP通道)
- IP通讯名称
- 源IP低
- 源IP高
- 目标 知识产权低
- 目标IP高
- 单击创造(创建),然后单击关闭(关闭)。
Citrix ADC设备上相应的新CloudBridge连接器通道配置显示在GUI中。CloudBridge连接器通道的当前状态显示在已配置的 CloudBridge Connector 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。 以下命令在“CloudBridge Connector 配置示例”中创建 Citrix ADC 设备 NS_Appliance-1 的设置:
>添加ipsec配置文件NS\u StrongSwan\u ipsec\u配置文件-psk示例预共享密钥-ikeVersion v1–encAlgo AES–hashalgo HMAC\u SHA1 Done>添加iptunnel NS\u StrongSwan\u隧道203.0.113.200 255.255.255 198.51.100.100–协议ipsec–IPSecProfile名称NS\u StrongSwan\u ipsec\u配置文件Done>添加pbr NS\u StrongSwan\u pbr-srcIP 10.102.147.0-10.102.147.255.255–destIP 10.20.0.0-10.20.255.255–ipTunnel NS_StrongSwan_Tunnel Done>应用PBR Done<<--需要复制-->监视 云桥连接器通道
您可以使用CloudBridge连接器通量统计频分数器监视Citrix ADC设备上的CloudBridge连接器通讯的性能。简而言之在Citrix ADC设备上显示CloudBridge连接器隧道隧道信息的更多信息,请请监视CloudBridge连接器隧道。