ADC

Konfiguration eines CloudBridge Connector-Tunnels zwischen einer NetScaler-Appliance und einem Cisco IOS-Gerät

Sie können einen CloudBridge Connector-Tunnel zwischen einer NetScaler-Appliance und einem Cisco-Gerät konfigurieren, um zwei Rechenzentren zu verbinden oder Ihr Netzwerk auf einen Cloud-Anbieter auszudehnen. Die NetScaler-Appliance und das Cisco IOS-Gerät bilden die Endpunkte des CloudBridge Connector-Tunnels und werden als Peers bezeichnet.

Beispiel für CloudBridge Connector-Tunnelkonfiguration und Datenfluss

Betrachten Sie zur Veranschaulichung des Verkehrsflusses in einem CloudBridge Connector-Tunnel ein Beispiel, in dem ein CloudBridge Connector-Tunnel zwischen den folgenden Geräten eingerichtet wird:

  • NetScaler Appliance NS_Appliance-1 in einem Rechenzentrum, das als Datacenter-1 bezeichnet wird
  • Cisco IOS-Gerät Cisco-IOS-Device-1 in einem Rechenzentrum, das als Datacenter-2 bezeichnet wird

NS_Appliance-1 und Cisco-iOS-Device-1 ermöglichen die Kommunikation zwischen privaten Netzwerken in Datacenter-1 und Datacenter-2 über den CloudBridge Connector-Tunnel. Im Beispiel ermöglichen NS_Appliance-1 und Cisco-iOS-Device-1 die Kommunikation zwischen Client CL1 in Datacenter-1 und Server S1 in Datacenter-2 über den CloudBridge Connector-Tunnel. Client CL1 und Server S1 sind in verschiedenen privaten Netzwerken.

Auf NS_Appliance-1 umfasst die CloudBridge Connector-Tunnelkonfiguration die IPSec-Profilentität NS_Cisco_IPSec_Profile, die CloudBridge Connector-Tunnelentität NS_Cisco_Tunnel und die Policy-Based Routing (PBR) -Entität NS_Cisco_PBR.

localized image

Weitere Informationen finden Sie im CloudBridge Connector-Tunnel zwischen einer NetScaler Appliance und den Cisco IOS-Geräteeinstellungen pdf.

Zu berücksichtigende Punkte für eine CloudBridge Connector-Tunnelkonfiguration

Bevor Sie einen CloudBridge Connector-Tunnel zwischen einer NetScaler-Appliance und einem Cisco IOS-Gerät konfigurieren, sollten Sie die folgenden Punkte berücksichtigen:

  • Die folgenden IPSec-Einstellungen werden für einen CloudBridge Connector-Tunnel zwischen einer NetScaler-Appliance und einem Cisco IOS-Gerät unterstützt.

    IPsec-Eigenschaften Einstellung
    IPSec-Modus Tunnelmodus
    IKE-Version Version 1
    IKE DH-Gruppe DH-Gruppe 2 (MODP-Algorithmus mit 1024 Bit)
    IKE-Authentifizierungsmethode Vorab gemeinsam genutzter Schlüssel
    IKE-Verschlüsselungsalgorithmus ARSCH, 3DS
    IKE-Hash-Algorithmus HMAC SHA1, HMAC SHA256, HMAC SHA384, HMAC SHA512, HMAC MD5
    ESP-Verschlüsselungsalgorithmus ARSCH, 3DS
    ESP-Hash-Algorithmus HMAC SHA1, HMAC SHA256, HMAC SHA256, HMAC SHA256, HMAC MD5
  • Sie müssen dieselben IPSec-Einstellungen auf der NetScaler-Appliance und dem Cisco IOS-Gerät an den beiden Enden des CloudBridge Connector angeben.
  • NetScaler stellt einen gemeinsamen Parameter (in IPsec-Profilen) zur Angabe eines IKE-Hash-Algorithmus und eines ESP-Hash-Algorithmus bereit. Es bietet auch einen weiteren und gemeinsamen Parameter für die Spezifizierung eines IKE-Verschlüsselungsalgorithmus und eines ESP-Verschlüsselungsalgorithmus. Daher müssen Sie auf dem Cisco-Gerät denselben Hash-Algorithmus und denselben Verschlüsselungsalgorithmus für IKE (beim Erstellen der IKE-Richtlinie) und ESP (beim Erstellen des IPSec-Transformationssatzes) angeben.
  • Sie müssen die Firewall am NetScaler-Ende und am Cisco-Gerätesende konfigurieren, um Folgendes zu ermöglichen.
    • Alle UDP-Pakete für Port 500
    • Alle UDP-Pakete für Port 4500
    • Alle ESP-Pakete (IP-Protokollnummer 50)

Konfigurieren des Cisco IOS-Geräts für den CloudBridge Connector-Tunnel

Um einen CloudBridge Connector-Tunnel auf einem Cisco IOS-Gerät zu konfigurieren, verwenden Sie die Cisco IOS-Befehlszeilenschnittstelle, die die primäre Benutzeroberfläche für die Konfiguration, Überwachung und Wartung von Cisco-Geräten darstellt.

Bevor Sie mit der CloudBridge Connector-Tunnelkonfiguration auf einem Cisco IOS-Gerät beginnen, stellen Sie sicher, dass:

  • Sie haben ein Benutzerkonto mit Administratoranmeldeinformationen auf dem Cisco IOS-Gerät.
  • Sie sind mit der Cisco IOS-Befehlszeilenschnittstelle vertraut.
  • Das Cisco IOS-Gerät ist in Betrieb, ist mit dem Internet verbunden und ist auch mit den privaten Subnetzen verbunden, deren Datenverkehr über den CloudBridge Connector-Tunnel geschützt werden soll.

Hinweis:

Die Verfahren zum Konfigurieren des CloudBridge Connector-Tunnels auf einem Cisco IOS-Gerät können sich je nach Cisco Release-Zyklus im Laufe der Zeit ändern. Citrix empfiehlt, die offizielle Cisco-Produktdokumention zu befolgen, um weitere Informationen zu erhalten, siehe Thema Konfigurieren von IPSec-VPN-Tunneln .

Um einen CloudBridge-Connector-Tunnel zwischen einer NetScaler Appliance und einem Cisco IOS-Gerät zu konfigurieren, führen Sie die folgenden Aufgaben in der IOS-Befehlszeile des Cisco-Gerätsaus:

  • Erstellen Sie eine IKE-Richtlinie.
  • Konfigurieren Sie einen vorab freigegebenen Schlüssel für die IKE-Authentifizierung.
  • Definieren Sie einen Transformationssatz und konfigurieren Sie IPsec im Tunnelmodus.
  • Erstellen Sie eine Krypto-Zugriffsliste
  • Erstellen Sie eine Krypto-Karte
  • Wenden Sie die Krypto-Map auf eine Schnittstelle an

Die Beispiele in den folgenden Prozeduren erstellen Einstellungen Cisco IOS device Cisco-IOS-Device-1 im Abschnitt “Beispiel für CloudBridge Connector-Konfiguration und Datenfluss. “

Informationenzum Erstellen einer IKE-Richtliniefinden Sie im PDF-Format der IKE-Richtlinie .

So konfigurieren Sie einen Pre-Shared-Key mithilfe der Cisco IOS-Befehlszeile:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts die folgenden Befehle ein, beginnend im globalen Konfigurationsmodus, in der angegebenen Reihenfolge:

Befehl Beispiel Beschreibung des Befehls
krypto-isakmp-Identitätsadresse Cisco-iOS-Device-1 (Konfiguration) # Crypto-ISAKMP-Identitätsadresse Geben Sie die ISAKMP-Identität (Adresse) für das Cisco IOS-Gerät an, das bei der Kommunikation mit dem Peer (NetScaler-Appliance) während IKE-Verhandlungen verwendet werden soll. In diesem Beispiel wird das Schlüsselwort address angegeben, das die IP-Adresse 203.0.113.200 (Gigabit-Ethernet-Schnittstelle 0/1 von Cisco-iOS-Device-1) als Identität für das Gerät verwendet.
Krypto ist ein KMP-Schlüssel, Schlüsselzeichenfolge, Adresse, Peer-Adresse Cisco-iOS-Device-1 (Config) # crypto isakmp key example presharedkey address 198.51.100.100 Geben Sie einen Pre-Shared-Schlüssel für die IKE-Authentifizierung an. In diesem Beispiel wird der gemeinsame Schlüssel examplepresharedkey für die Verwendung mit der NetScaler-Appliance NS_Appliance-1 (198.51.100.100) konfiguriert. Der gleiche vorab freigegebene Schlüssel muss auf der NetScaler Appliance konfiguriert werden, damit die IKE-Authentifizierung zwischen dem Cisco IOS-Gerät und der NetScaler-Appliance erfolgreich ist.

So erstellen Sie eine Krypto-Zugriffsliste mit der Cisco IOS-Befehlszeile:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts den folgenden Befehl im globalen Konfigurationsmodus in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
Zugriffsliste Zugriffslistennummer zulassen IP-Quelle Wildcard Ziel Wildcard Cisco-iOS-Device-1 (Config) # Zugriffsliste 111 erlaubt IP 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 Geben Sie Bedingungen an, um die Subnetze zu bestimmen, deren IP-Verkehr über den CloudBridge Connector-Tunnel geschützt werden soll. In diesem Beispiel wird die Zugriffsliste 111 so konfiguriert, dass der Datenverkehr vor Subnetzen 10.20.20.0/24 (auf der Seite Cisco-iOS-Device-1) und 10.102.147.0/24 (auf der Seite NS_Appliance-1) geschützt wird.

So definieren Sie eine Transformation und konfigurieren den IPSec-Tunnelmodus mithilfe der Cisco IOS-Befehlszeile:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts die folgenden Befehle ein, beginnend im globalen Konfigurationsmodus, in der angegebenen Reihenfolge: |Befehl|Beispiel|Beschreibung des Befehls| |–|–|–| |crypto ipsec transform-Setname ESP_Authentication_Transform ESP_Encryption_Transform Hinweis: ESP_Authentication_Transform kann die folgenden Werte annehmen: esp-sha-hmac, esp-sha256-hmac, esp-sha384-hmac, esp-sha512-hmac, esp-md5-hmac. ESP_Encryption_Transform kann die folgenden Werte annehmen: esp-aes oder esp-3des|Cisco-ios-device-1(config)# crypto ipsec transform-set NS-CISCO-TS esp-sha256-hmac esp-3des|Definieren Sie einen Transformationssatz und geben Sie den ESP-Hash-Algorithmus (für die Authentifizierung) und den ESP-Verschlüsselungsalgorithmus an, die beim Datenaustausch zwischen den CloudBridge Connector-Tunnel-Peers verwendet werden sollen. In diesem Beispiel wird der Transformationssatz NS-CISCO-TS definiert und der ESP-Authentifizierungsalgorithmus als esp-sha256-hmac und der ESP-Verschlüsselungsalgorithmus als esp-3des angegeben.| |Mode-Tunnel|Cisco-IOS-Gerät-1 (config-Crypto-Trans) # Modus-Tunnel|Stellen Sie IPSec im Tunnelmodus ein.| |exit|Cisco-IOS-Device-1 (config-Crypto-Trans) # exit, Cisco-IOS-Device-1 (config) #|Beenden Sie den globalen Konfigurationsmodus.|

So erstellen Sie eine Krypto-Map mit der Cisco IOS-Befehlszeile:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts die folgenden Befehle ab dem globalen Konfigurationsmodus in der angegebenen Reihenfolge ein:

|Befehl|Beispiel|Beschreibung des Befehls| |—|–|–| |Crypto Mapmap-Name seq-num ipsec-isakmp|Cisco-iOS-Device-1 (Konfiguration) # Krypto-Map NS-CISCO-CM 2 ipsec-isakmp|Rufen Sie den Crypto-Map-Konfigurationsmodus auf, geben Sie eine Sequenznummer für die Crypto-Map an und konfigurieren Sie die Crypto-Map so, dass IKE zur Einrichtung von Sicherheitszuordnungen (SAs) verwendet wird. In diesem Beispiel werden Sequenznummer 2 und IKE für die Crypto-Map NS-CISCO-CM konfiguriert.| |Peer-IP-Adresse festlegen|Cisco-iOS-Device-1 (config-crypto-map) # auf Peer 172.23.2.7 setzen|Geben Sie den Peer (NetScaler Appliance) anhand seiner IP-Adresse an. In diesem Beispiel wird 198.51.100.100 angegeben, was die CloudBridge Connector-Endpunkt-IP-Adresse auf der NetScaler-Appliance ist.| |übereinstimmen/adresse/zugriffslist-id|Cisco-iOS-Device-1 (config-crypto-map) # entspricht der Adresse 111|Geben Sie eine erweiterte Zugriffsliste an. Diese Zugriffsliste legt die Bedingungen fest, um die Subnetze zu bestimmen, deren IP-Verkehr über den CloudBridge Connector-Tunnel geschützt werden soll. In diesem Beispiel wird die Zugriffsliste 111 spezifiziert.| |Transformationssatz Transformationssatzname setzen|Cisco-iOS-Device-1 (Config-Crypto-Map) # Transformationssatz NS-CISCO-TS festlegen|Geben Sie an, welche Transformationssätze für diesen Crypto-Map-Eintrag zulässig sind. In diesem Beispiel wird der Transformationssatz NS-CISCO-TS spezifiziert.| |Exit|cisco-iOS-Device-1 (config-crypto-map) # exit cisco-iOS-Device-1 (config) #|Zurück in den globalen Konfigurationsmodus. | |

So wenden Sie eine Krypto-Map über die Cisco IOS-Befehlszeile auf eine Schnittstelle an:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts die folgenden Befehle ab dem globalen Konfigurationsmodus in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
Schnittstellen-Schnittstellen-ID Cisco-iOS-Device-1 (Konfiguration) # Schnittstelle GigabitEthernet 0/1 Geben Sie eine physische Schnittstelle an, auf die die Crypto-Map angewendet werden soll, und wechseln Sie in den Schnittstellenkonfigurationsmodus. Dieses Beispiel spezifiziert die Gigabit-Ethernet-Schnittstelle 0/1 des Cisco-iOS-Device-1 von Cisco. Die IP-Adresse 203.0.113.200 ist bereits für diese Schnittstelle festgelegt.
Krypto-Mapmap-Name Cisco-iOS-Device-1 (config-if) # Krypto-Map NS-CISCO-CM Wenden Sie die Crypto-Map auf die physische Schnittstelle an. In diesem Beispiel wird die Krypto-Map NS-CISCO-CM angewendet.
exit Cisco-iOS-Device-1 (config-if) # beenden, Cisco-IOS-Device-1 (config) # Beenden Sie den globalen Konfigurationsmodus.

Konfigurieren der NetScaler Appliance für den CloudBridge Connector-Tunnel

Um einen CloudBridge Connector-Tunnel zwischen einer NetScaler-Appliance und einem Cisco IOS-Gerät zu konfigurieren, führen Sie die folgenden Aufgaben auf der NetScaler-Appliance aus. Sie können entweder die NetScaler-Befehlszeile oder die grafische Benutzeroberfläche (GUI) von NetScaler verwenden:

  • Erstellen Sie ein IPSec-Profil.
  • Erstellen Sie einen IP-Tunnel, der das IPSec-Protokoll verwendet, und verknüpfen Sie das IPSec-Profil damit.
  • Erstellen Sie eine PBR-Regel und verknüpfen Sie sie mit dem IP-Tunnel.

So erstellen Sie ein IPSEC-Profil mit der NetScaler-Befehlszeile:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipsec profile <name> -psk <string> -ikeVersion v1
  • show ipsec profile <name>

So erstellen Sie einen IPSEC-Tunnel und binden das IPSEC-Profil mithilfe der NetScaler-Befehlszeile daran:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • add ipTunnel <name>

So erstellen Sie eine PBR-Regel und binden den IPSEC-Tunnel mithilfe der NetScaler-Befehlszeile daran:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbrs <pbrName>

Die folgenden Befehle erstellen Einstellungen im NetScaler appliance NS_Appliance-1 Abschnitt Beispiel für CloudBridge Connector-Konfiguration und Datenfluss.

    >  add ipsec profile NS_Cisco_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –lifetime 315360 –encAlgo 3DES
    Done
    >  add iptunnel NS_Cisco_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco_IPSec_Profile  

    Done
    > add pbr NS_Cisco_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco_Tunnel  

    Done
    > apply pbrs

    Done
<!--NeedCopy-->

So erstellen Sie ein IPSEC-Profil mit der GUI:

  1. Navigieren Sie zu System > CloudBridge Connector > IPSec-Profil.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Stellen Sie im Dialogfeld IPSec-Profil hinzufügen die folgenden Parameter ein:
    • Name
    • Verschlüsselungsalgorithmus
    • Hash-Algorithmus
    • IKE-Protokollversion
  4. Konfigurieren Sie die IPSec-Authentifizierungsmethode, die von den beiden CloudBridge Connector-Tunnel-Peers zur gegenseitigen Authentifizierung verwendet wird: Wählen Sie die Pre-Shared Key Authentifizierungsmethode aus, und legen Sie den Parameter Pre-Shared Key Exists fest.
  5. Klicken Sie auf Erstellenund dann auf Schließen.

So erstellen Sie einen IP-Tunnel und binden das IPSEC-Profil über die grafische Benutzeroberfläche daran:

  1. Navigieren Sie zu System > CloudBridge Connector > IP-Tunnel.
  2. Klicken Sie auf der Registerkarte IPv4-Tunnel auf Hinzufügen.
  3. Stellen Sie im Dialogfeld IP-Tunnel hinzufügen die folgenden Parameter ein:
    • Name
    • Remote-IP
    • Maske aus der Ferne
    • Lokaler IP-Typ (Wählen Sie in der Dropdownliste Lokaler IP-Typ die Option Subnetz-IP aus).
    • Lokale IP (Alle konfigurierten IPs des ausgewählten IP-Typs befinden sich in der Dropdownliste Lokale IP. Wählen Sie die gewünschte IP aus der Liste aus.)
    • Protokoll
    • IPSec-Profil
  4. Klicken Sie auf Erstellenund dann auf Schließen.

Um eine PBR-Regel zu erstellen und den IPSEC-Tunnel mithilfe der GUI daran zu binden

  1. Navigieren Sie zu System > Netzwerk > PBR.
  2. Klicken Sie auf der Registerkarte PBR auf Hinzufügen.
  3. Stellen Sie im Dialogfeld PBR erstellen die folgenden Parameter ein:
    • Name
    • Aktion
    • Nächster Hop-Typ ( IP-Tunnelauswählen)
    • Name des IP-Tunnels
    • Quell-IP Low
    • Quell-IP High
    • Ziel-IP Niedrig
    • Ziel-IP hoch
  4. Klicken Sie auf Erstellenund dann auf Schließen.

So wenden Sie eine PBR mit der GUIan:

  1. Navigieren Sie zu System > Netzwerk > PBRs.
  2. Wählen Sie auf der RegisterkartePBRsdiePBRaus und wählen Sie in derAktionslistedie Option Anwenden aus.

Die entsprechende neue CloudBridge Connector-Tunnelkonfiguration auf der NetScaler-Appliance wird in der GUI angezeigt. Der aktuelle Status des CloudBridge Connector-Tunnels wird im Bereich Configured CloudBridge Connector angezeigt. Ein grüner Punkt zeigt an, dass der Tunnel oben ist. Ein roter Punkt zeigt an, dass der Tunnel heruntergefahren ist.

Überwachung des CloudBridge Connector-Tunnels

Sie können die Leistung von CloudBridge Connector-Tunneln auf einer NetScaler Appliance mithilfe von CloudBridge Connector-Tunnelstatistikindikatoren überwachen. Weitere Informationen zum Anzeigen von CloudBridge Connector-Tunnelstatistiken auf einer NetScaler Appliance finden Sie unter Monitoring von CloudBridge Connector Tunnels.

Konfiguration eines CloudBridge Connector-Tunnels zwischen einer NetScaler-Appliance und einem Cisco IOS-Gerät