Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren

Sie können einen CloudBridge Connector-Tunnel zwischen zwei verschiedenen Rechenzentren konfigurieren, um Ihr Netzwerk zu erweitern, ohne es neu zu konfigurieren, und die Funktionen der beiden Rechenzentren nutzen zu müssen. Ein CloudBridge Connector-Tunnel zwischen den beiden geografisch getrennten Rechenzentren ermöglicht es Ihnen, Redundanz zu implementieren und Ihre Einrichtung vor Fehlern zu schützen. Der CloudBridge Connector-Tunnel ermöglicht eine optimale Nutzung der Infrastruktur und Ressourcen in Rechenzentren. Die Anwendungen, die in den beiden Rechenzentren verfügbar sind, werden für den Benutzer als lokal angezeigt.

Um ein Datencenter mit einem anderen Datencenter zu verbinden, richten Sie einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance in einem Rechenzentrum und einer Citrix ADC-Appliance im anderen Datencenter ein.

Betrachten Sie als Illustration des CloudBridge Connector-Tunnels zwischen Rechenzentren ein Beispiel, in dem ein CloudBridge Connector-Tunnel zwischen der Citrix ADC Appliance NS_Appliance-1 im Rechenzentrum DC1 und der Citrix ADC-Appliance NS_Appliance-2 im Rechenzentrum DC2 eingerichtet wird.

lokalisiertes Bild

Sowohl NS_Appliance-1 als auch NS_Appliance-2 funktionieren im L2- und L3-Modus. Sie ermöglichen die Kommunikation zwischen privaten Netzwerken in Rechenzentren DC1 und DC2. Im L3-Modus ermöglichen NS_Appliance-1 und NS_Appliance-2 die Kommunikation zwischen Client CL1 im Rechenzentrum DC1 und Server S1 im Rechenzentrum DC2 über den CloudBridge Connector-Tunnel. Client CL1 und Server S1 sind in verschiedenen privaten Netzwerken.

Da Client CL1 und Server S1 sich in verschiedenen privaten Netzwerken befinden, ist der L3-Modus auf NS_Appliance-1 und NS_Appliance-2 aktiviert und Routen werden wie folgt aktualisiert:

  • CL1 hat eine Route zu NS_Appliance-1, um S1 zu erreichen.
  • NS_Appliance-1 hat eine Route zu NS_Appliance-2, um S1 zu erreichen.
  • S1 hat eine Route zu NS_Appliance-2, um CL1 zu erreichen.
  • NS_Appliance-2 hat eine Route zu NS_Appliance-1, um CL1 zu erreichen.

In der folgenden Tabelle sind die Einstellungen der Citrix ADC Appliance NS_Appliance-1 im Rechenzentrum DC1 aufgeführt.

In der folgenden Tabelle sind die Einstellungen der Citrix ADC Appliance NS_Appliance-2 im Rechenzentrum DC2 aufgeführt.

Entität Name Details
Die NSIP-Adresse   198.51.100.12
SNIP-Adresse   198.51.100.15
CloudBridge-Connector-Tunnel Cloud_Connector_DC1-DC2 1. Lokale Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 198.51.100.15, 2. Remote-Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 203.0.113.133.GRE Tunnel Details Name = Cloud_Connector_DC1-DC2, IPSec-Profildetails Name = Cloud_Connector_DC1-DC2, Verschlüsselungsalgorithmus = AES, Hash-Algorithmus = HMAC SHA1

Punkte, die bei der Konfiguration des CloudBridge Connector-Tunnels berücksichtigt werden müssen

Stellen Sie vor dem Einrichten eines CloudBridge Connector-Tunnels sicher, dass die folgenden Aufgaben ausgeführt wurden:

  1. Bereitstellen und Einrichten einer Citrix ADC Appliance in jedem der beiden Rechenzentren.
  2. Stellen Sie sicher, dass die Endpunkt-IP-Adressen des CloudBridge Connector-Tunnels für einander zugänglich sind.

Konfigurationsprozedur

Um einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance, die sich in einem Rechenzentrum befindet, und einer anderen Citrix ADC-Appliance, die sich im anderen Rechenzentrum befindet, einzurichten, verwenden Sie die GUI oder die Befehlszeilenschnittstelle einer der Citrix ADC-Appliances.

Wenn Sie die GUI verwenden, wird die CloudBridge Connector-Tunnelkonfiguration, die auf der ersten Citrix ADC Appliance erstellt wurde, automatisch an den anderen Endpunkt (die andere Citrix ADC-Appliance) des CloudBridge Connector-Tunnels übertragen. Daher müssen Sie nicht auf die GUI der anderen Citrix ADC Appliance zugreifen, um die entsprechende CloudBridge Connector-Tunnelkonfiguration zu erstellen.

Die CloudBridge Connector-Tunnelkonfiguration auf jeder der Citrix ADC Appliances besteht aus den folgenden Entitäten:

  • IPSec-Profil— Eine IPSec-Profilentität gibt die IPSec-Protokollparameter an, z. B. IKE-Version, Verschlüsselungsalgorithmus, Hash-Algorithmus und PSK, die vom IPSec-Protokoll im CloudBridge Connector-Tunnel verwendet werden sollen.
  • GRE-Tunnel— Ein IP-Tunnel gibt die lokale IP-Adresse (eine öffentliche SNIP-Adresse, die auf der lokalen Citrix ADC Appliance konfiguriert ist), die Remote-IP-Adresse (eine öffentliche SNIP-Adresse, die auf der Remote-Citrix ADC-Appliance konfiguriert ist), das zum Einrichten des CloudBridge Connector-Tunnels verwendet wird, und ein IPSec an -Profil-Entität.
  • Erstellen Sie eine PBR-Regel und verknüpfen Sie den IP-Tunnel damit—Eine PBR-Entität gibt einen Satz von Bedingungen und eine IP-Tunnelentität an. Der Quell-IP-Adressbereich und der Ziel-IP-Bereich sind die Bedingungen für die PBR-Entität. Sie müssen den Quell-IP-Adressbereich und den Ziel-IP-Adressbereich festlegen, um das Subnetz anzugeben, dessen Datenverkehr den CloudBridge Connector-Tunnel durchqueren soll. Betrachten Sie beispielsweise ein Anforderungspaket, das von einem Client im Subnetz im ersten Datencenter stammt und für einen Server im Subnetz im zweiten Datencenter bestimmt ist. Wenn dieses Paket mit dem Quell- und Ziel-IP-Adressbereich der PBR-Entität auf der Citrix ADC Appliance im ersten Datencenter übereinstimmt, wird es über den CloudBridge Connector-Tunnel gesendet, der der PBR-Entität zugeordnet ist.

So erstellen Sie mit der Befehlszeilenschnittstelle ein IPSEC-Profil

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipsec profile <name> [-ikeVersion ( V1 | V2 )] [-encAlgo ( AES | 3DES ) ...] [-hashAlgo <hashAlgo\> ...] [-lifetime <positive_integer>] (-psk | (-publickey<string> -privatekey <string>-peerPublicKey <string>))[-livenessCheckInterval <positive_intege>][-replayWindowSize \<positive_integer>] [-ikeRetryInterval <positive_integer>] [-retransmissiontime <positive_integer>]

  • show ipsec profile <name>

So erstellen Sie einen IP-Tunnel und binden das IPSEC-Profil mit der Befehlszeilenschnittstelle an ihn

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

So erstellen Sie eine PBR-Regel und binden den IPSEC-Tunnel mit der Befehlszeilenschnittstelle an ihn

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Beispiel

 add ipsec profile Cloud_Connector_DC1-DC2  -encAlgo AES -hashAlgo HMAC_SHA1
    Done
    > add ipTunnel Cloud_Connector_DC1-DC2 203.0.113.133 255.255.255.255 198.51.100.15 -protocol GRE -ipsecProfileName Cloud_Connector_DC1-DC2

    Done
    > add ns pbr PBR-DC1-DC2 ALLOW -srcIP 198.51.100.15 -destIP 203.0.113.133 ipTunnel Cloud_Connector_DC1-DC2

    Done
    > apply ns pbrs

    Done

So konfigurieren Sie einen CloudBridge Connector-Tunnel in einer Citrix ADC Appliance mit der GUI

  1. Geben Sie die NSIP-Adresse einer Citrix ADC Appliance in die Adresszeile eines Webbrowsers ein.

  2. Melden Sie sich mit Ihren Kontoanmeldeinformationen für die Appliance an der Benutzeroberfläche der Citrix ADC Appliance an.

  3. Navigieren Sie zu System > CloudBridge Connector .

  4. Klicken Sie im rechten Bereich unter Erste Schritteauf CloudBridge erstellen/überwachen.

    Wenn Sie zum ersten Mal einen CloudBridge Connector-Tunnel auf der Appliance konfigurieren, wird ein Begrüßungsbildschirm angezeigt.

  5. Klicken Sie auf der Willkommensseite auf Erste Schritte .

lokalisiertes Bild

Hinweis:

Wenn Sie bereits einen CloudBridge Connector-Tunnel auf der Citrix ADC Appliance konfiguriert haben, wird der Begrüßungsbildschirm nicht angezeigt, sodass Sie nicht auf Erste Schritte klicken.

  1. Klicken Sie im Setup-Bereich CloudBridge Connector auf Citrix ADC .

lokalisiertes Bild

  1. Geben Sie im Citrix ADC Bereich Ihre Kontoanmeldeinformationen für die Citrix ADC Remote-Appliance an. Klicken Sie auf Weiter.

  2. Legen Sie im Bereich CloudBridge-Connector-Einstellungen den folgenden Parameter fest:

    • CloudBridge-Connector-Name— Name für die CloudBridge Connector-Konfiguration auf der lokalen Appliance. Muss mit einem alphabetischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstrich, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), equals (=) und Bindestriche (-) enthalten. Kann nicht geändert werden, nachdem die CloudBridge Connector-Konfiguration erstellt wurde.
  3. Legen Sie unter Lokale Einstellungden folgenden Parameter fest:

    • Subnetz-IP— IP-Adresse des lokalen Endpunkts des CloudBridge Connector-Tunnels.
  4. Legen Sie unter Remote Settingden folgenden Parameter fest:

    • Subnetz-IP— IP-Adresse des Peer-Endpunkts des CloudBridge Connector-Tunnels.
  5. Legen Sie unter PBR-Einstellung die folgenden Parameter fest:

    • Operation—Entweder gleich (=) oder nicht gleich (! =) logischer Operator.
    • Quell-IP Niedrig — Die niedrigste Quell-IP-Adresse, die mit der Quell-IP-Adresse eines ausgehenden IPv4-Pakets übereinstimmt.
    • Source IP High— Die höchste Quell-IP-Adresse, die mit der Quell-IP-Adresse eines ausgehenden IPv4-Pakets übereinstimmt.
    • Operation—Entweder gleich (=) oder nicht gleich (! =) logischer Operator.
    • Ziel-IP Niedrig* — Die niedrigste Ziel-IP-Adresse, die mit der Ziel-IP-Adresse eines ausgehenden IPv4-Pakets übereinstimmt.
    • Ziel-IP hoch— Die höchste Ziel-IP-Adresse, die mit der Ziel-IP-Adresse eines ausgehenden IPv4-Pakets übereinstimmt.
  6. (Optional) Legen Sie unter Sicherheitseinstellungendie folgenden IPSec-Protokollparameter für den CloudBridge Connector-Tunnel fest:

    • Verschlüsselungsalgorithmus— Verschlüsselungsalgorithmus, der vom IPSec-Protokoll im CloudBridge-Tunnel verwendet wird.
    • Hash-Algorithmus— Hash-Algorithmus, der vom IPSec-Protokoll im CloudBridge-Tunnel verwendet wird.
    • Schlüssel— Wählen Sie eine der folgenden IPSec-Authentifizierungsmethoden aus, die von den beiden Peers zur gegenseitigen Authentifizierung verwendet werden soll.
      • Schlüssel automatisch generieren— Authentifizierung basierend auf einer Textzeichenfolge, die als Pre-Shared Key (PSK) bezeichnet wird, die automatisch von der lokalen Appliance generiert wird. Die PSKS-Schlüssel der Peers werden zur Authentifizierung gegeneinander abgestimmt.
      • Spezifischer Schlüssel— Authentifizierung basierend auf einer manuell eingegebenen PSK. Die PSKs der Peers werden zur Authentifizierung gegeneinander abgestimmt.
        • Pre Shared Security Key — Die Textzeichenfolge, die für die vorab freigegebene schlüsselbasierte Authentifizierung eingegeben wurde.
      • Zertifikate hochladen— Authentifizierung basierend auf digitalen Zertifikaten.
        • Öffentlicher Schlüssel: Ein lokales digitales Zertifikat, das zur Authentifizierung der lokalen Citrix ADC Appliance beim Peer verwendet wird, bevor IPSec-Sicherheitszuordnungen eingerichtet werden. Das gleiche Zertifikat sollte vorhanden sein und für den Peer-Public Key-Parameter im Peer festgelegt sein.
        • Privater Schlüssel— Privater Schlüssel des lokalen digitalen Zertifikats.
        • Öffentlicher Peer-Schlüssel— Digitales Zertifikat des Peers. Wird verwendet, um den Peer am lokalen Endpunkt zu authentifizieren, bevor IPSec-Sicherheitszuordnungen eingerichtet werden. Das gleiche Zertifikat sollte vorhanden sein und für den Parameter Öffentlicher Schlüssel im Peer festgelegt sein.
  7. Klicken Sie auf Fertig.

Die neue CloudBridge Connector-Tunnelkonfiguration auf beiden Citrix ADC Appliances wird auf der Registerkarte Start der jeweiligen GUI angezeigt. Der aktuelle Status des CloudBridge-Connector-Tunnels wird im Bereich Konfigurierte CloudBridge-Connectors angezeigt. Ein grüner Punkt zeigt an, dass der Tunnel oben ist. Ein roter Punkt zeigt an, dass der Tunnel heruntergefahren ist.

Überwachung des CloudBridge-Connector-Tunnels

Sie können die Leistung von CloudBridge Connector-Tunneln auf einer Citrix ADC Appliance mithilfe von CloudBridge Connector-Tunnel-Statistikindikatoren überwachen.Weitere Informationen zum Anzeigen von CloudBridge Connector-Tunnelstatistiken auf einer Citrix ADC Appliance finden Sie unter Überwachung von CloudBridge-Connector-Tunnels.