Citrix ADC

Konfigurieren eines CloudBridge Connector-Tunnels zwischen einer Citrix ADC Appliance und einem Cisco IOS-Gerät

Sie können einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance und einem Cisco-Gerät konfigurieren, um zwei Rechenzentren zu verbinden oder Ihr Netzwerk mit einem Cloud-Anbieter zu erweitern. Die Citrix ADC Appliance und das Cisco IOS-Gerät bilden die Endpunkte des CloudBridge Connector-Tunnels und werden Peers genannt.

Beispiel für CloudBridge Connector-Tunnelkonfiguration und Datenfluss

Betrachten Sie als Veranschaulichung des Verkehrsflusses in einem CloudBridge Connector-Tunnel ein Beispiel, in dem ein CloudBridge Connector-Tunnel zwischen den folgenden Geräten eingerichtet ist:

  • Citrix ADC Appliance NS_Appliance-1 in einem Rechenzentrum, das als Datacenter-1 bezeichnet wird
  • Cisco IOS-Gerät Cisco-iOS-Device-1 in einem Rechenzentrum, das als Datacenter-2 bezeichnet wird

NS_Appliance-1 und Cisco-iOS-Device-1 ermöglichen die Kommunikation zwischen privaten Netzwerken in Datacenter-1 und Datacenter-2 über den CloudBridge Connector-Tunnel. Im Beispiel ermöglichen NS_Appliance-1 und Cisco-iOS-Device-1 die Kommunikation zwischen Client CL1 in Datacenter-1 und Server S1 in Datacenter-2 über den CloudBridge Connector-Tunnel. Client CL1 und Server S1 sind in verschiedenen privaten Netzwerken.

Unter NS_Appliance-1 umfasst die CloudBridge Connector-Tunnelkonfiguration die IPsec-Profilentität NS_CISCO_IPsec_Profile, CloudBridge Connector-Tunnelentität NS_CISCO_Tunnel und die richtlinienbasierte Routing-Entität NS_CISCO_PBR (PBR).

lokalisierte Grafik

Weitere Informationen finden Sie im CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance und den Cisco IOS-Geräteeinstellungen pdf.

Zu berücksichtigende Punkte für eine CloudBridge Connector-Tunnelkonfiguration

Bevor Sie einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance und einem Cisco IOS-Gerät konfigurieren, sollten Sie die folgenden Punkte beachten:

  • Die folgenden IPsec-Einstellungen werden für einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance und einem Cisco IOS-Gerät unterstützt.

    IPsec-Eigenschaften Einstellung
    IPsec-Modus Tunnelmodus
    IKE-Version Version 1
    IKE DH-Gruppe DH-Gruppe 2 (MODP-Algorithmus mit 1024 Bit)
    IKE-Authentifizierungsmethode Vorgeteilter Schlüssel
    IKE-Verschlüsselungsalgorithmus AES, 3DES
    IKE-Hash-Algorithmus HMAC SHA1, HMAC SHA256, HMAC SHA384, HMAC SHA512, HMAC MD5
    ESP-Verschlüsselungsalgorithmus AES, 3DES
    ESP-Hash-Algorithmus HMAC SHA1, HMAC SHA256, HMAC SHA256, HMAC SHA256, HMAC MD5
  • Sie müssen dieselben IPsec-Einstellungen auf der Citrix ADC Appliance und dem Cisco IOS-Gerät an den beiden Enden des CloudBridge Connectors angeben.
  • Citrix ADC stellt einen gemeinsamen Parameter (in IPsec-Profilen) zur Angabe eines IKE-Hash-Algorithmus und eines ESP-Hash-Algorithmus bereit. Es bietet auch einen weiteren und einen gemeinsamen Parameter für die Angabe eines IKE-Verschlüsselungsalgorithmus und eines ESP-Verschlüsselungsalgorithmus. Daher müssen Sie auf dem Cisco-Gerät den gleichen Hash-Algorithmus und den gleichen Verschlüsselungsalgorithmus für IKE (beim Erstellen von IKE-Richtlinien) und ESP (beim Erstellen von IPsec-Transformationssatz) angeben.
  • Sie müssen die Firewall am Citrix ADC Ende und am Cisco-Geräteende konfigurieren, um Folgendes zuzulassen.
    • Alle UDP-Pakete für Port 500
    • Alle UDP-Pakete für Port 4500
    • Alle ESP-Pakete (IP-Protokollnummer 50)

Konfigurieren des Cisco IOS-Geräts für den CloudBridge Connector-Tunnel

Um einen CloudBridge Connector-Tunnel auf einem Cisco IOS-Gerät zu konfigurieren, verwenden Sie die Cisco IOS-Befehlszeilenschnittstelle, die die primäre Benutzeroberfläche für die Konfiguration, Überwachung und Wartung von Cisco-Geräten darstellt.

Bevor Sie die CloudBridge Connector-Tunnelkonfiguration auf einem Cisco IOS-Gerät beginnen, stellen Sie sicher, dass:

  • Sie haben ein Benutzerkonto mit Administratoranmeldeinformationen auf dem Cisco IOS-Gerät.
  • Sie sind mit der Cisco IOS-Befehlszeilenschnittstelle vertraut.
  • Das Cisco IOS-Gerät ist betriebsbereit, ist mit dem Internet verbunden und ist auch mit den privaten Subnetzen verbunden, deren Datenverkehr über den CloudBridge Connector-Tunnel geschützt werden soll.

Hinweis:

Die Verfahren zum Konfigurieren des CloudBridge Connector-Tunnels auf einem Cisco IOS-Gerät können sich je nach Cisco Release-Zyklus im Laufe der Zeit ändern. Citrix empfiehlt, die offizielle Cisco-Produktdokumention zu befolgen, um weitere Informationen zu erhalten, siehe Thema Konfigurieren von IPSec-VPN-Tunneln .

Um einen CloudBridge-Connector-Tunnel zwischen einer Citrix ADC Appliance und einem Cisco IOS-Gerät zu konfigurieren, führen Sie die folgenden Aufgaben in der IOS-Befehlszeile des Cisco-Gerätsaus:

  • Erstellen Sie eine IKE-Richtlinie.
  • Konfigurieren Sie einen vorab freigegebenen Schlüssel für die IKE-Authentifizierung.
  • Definieren Sie einen Transformationssatz und konfigurieren Sie IPsec im Tunnelmodus.
  • Erstellen Sie eine Krypto-Zugriffsliste
  • Erstellen Sie eine Krypto-Karte
  • Wenden Sie die Krypto-Map auf eine Schnittstelle an

Die Beispiele in den folgenden Prozeduren erstellen Einstellungen Cisco IOS device Cisco-IOS-Device-1 im Abschnitt “Beispiel für CloudBridge Connector-Konfiguration und Datenfluss. “

Informationenzum Erstellen einer IKE-Richtliniefinden Sie im PDF-Format der IKE-Richtlinie .

So konfigurieren Sie einen Pre-Shared-Key mithilfe der Cisco IOS-Befehlszeile:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts die folgenden Befehle ein, beginnend im globalen Konfigurationsmodus, in der angegebenen Reihenfolge:

Befehl Beispiel Beschreibung des Befehls
crypto isakmp identity address Cisco-ios-device-1(config)# crypto isakmp identity address Geben Sie die ISAKMP-Identität (Adresse) an, die das Cisco IOS-Gerät bei der Kommunikation mit dem Peer (Citrix ADC Appliance) während der IKE-Verhandlungen verwendet werden soll. In diesem Beispiel wird das Schlüsselwort address angegeben, das die IP-Adresse 203.0.113.200 (Gigabit Ethernet-Schnittstelle 0/1 von Cisco-iOS-Device-1) als Identität für das Gerät verwendet.
crypto isakmp key keystringaddress peer-address Cisco-ios-device-1 (config)# crypto isakmp key examplepresharedkey address 198.51.100.100 Geben Sie einen vorab freigegebenen Schlüssel für die IKE-Authentifizierung an. In diesem Beispiel wird der gemeinsam genutzte Schlüssel examplepresharedkey für die Verwendung mit der Citrix ADC Appliance NS_Appliance-1 (198.51.100.100) konfiguriert. Der gleiche vorab freigegebene Schlüssel muss auf der Citrix ADC Appliance konfiguriert werden, damit die IKE-Authentifizierung zwischen dem Cisco IOS-Gerät und der Citrix ADC-Appliance erfolgreich ist.

So erstellen Sie eine Krypto-Zugriffsliste mit der Cisco IOS-Befehlszeile:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts den folgenden Befehl im globalen Konfigurationsmodus in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
access-listaccess-list-number permit IPsource source-wildcard destination destination-wildcard Cisco-ios-device-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 Geben Sie Bedingungen an, um die Subnetze zu bestimmen, deren IP-Datenverkehr über den CloudBridge Connector-Tunnel geschützt werden soll. In diesem Beispiel wird die Zugriffsliste 111 so konfiguriert, dass der Datenverkehr vor Subnetzen 10.20.20.0/24 (auf der Seite Cisco-iOS-Device-1) und 10.102.147.0/24 (auf der Seite NS_Appliance-1) geschützt wird.

So definieren Sie eine Transformation und konfigurieren den IPSec-Tunnelmodus mithilfe der Cisco IOS-Befehlszeile:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts die folgenden Befehle ein, beginnend im globalen Konfigurationsmodus, in der angegebenen Reihenfolge: |Befehl|Beispiel|Beschreibung des Befehls| |–|–|–| |crypto ipsec transform-Setname ESP_Authentication_Transform ESP_Encryption_Transform Hinweis: ESP_Authentication_Transform kann die folgenden Werte annehmen: esp-sha-hmac, esp-sha256-hmac, esp-sha384-hmac, esp-sha512-hmac, esp-md5-hmac. ESP_Encryption_Transform kann die folgenden Werte annehmen: esp-aes oder esp-3des|Cisco-ios-device-1(config)# crypto ipsec transform-set NS-CISCO-TS esp-sha256-hmac esp-3des|Definieren Sie einen Transformationssatz und geben Sie den ESP-Hash-Algorithmus (für die Authentifizierung) und den ESP-Verschlüsselungsalgorithmus an, der beim Datenaustausch zwischen den CloudBridge Connector-Tunnelpeers verwendet werden soll. In diesem Beispiel wird der Transformationssatz NS-CISCO-TS definiert und der ESP-Authentifizierungsalgorithmus als esp-sha256-hmac und der ESP-Verschlüsselungsalgorithmus als esp-3des angegeben.| |Mode-Tunnel|Cisco-IOS-Gerät-1 (config-Crypto-Trans) # Modus-Tunnel|Stellen Sie IPSec im Tunnelmodus ein.| |exit|Cisco-IOS-Device-1 (config-Crypto-Trans) # exit, Cisco-IOS-Device-1 (config) #|Beenden Sie den globalen Konfigurationsmodus.|

So erstellen Sie eine Krypto-Map mit der Cisco IOS-Befehlszeile:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts die folgenden Befehle ab dem globalen Konfigurationsmodus in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
crypto mapmap-name seq-num ipsec-isakmp Cisco-ios-device-1 (config)# crypto map NS-CISCO-CM 2 ipsec-isakmp Rufen Sie den Kryptozuordnungskonfigurationsmodus ein, geben Sie eine Sequenznummer für die Kryptozuordnung an und konfigurieren Sie die Kryptozuordnung, um IKE zum Einrichten von Sicherheitszuordnungen (SAs) zu verwenden. In diesem Beispiel werden Sequenznummer 2 und IKE für Kryptozuordnung NS-CISCO-CM konfiguriert.
set peer ip-address Cisco-ios-device-1 (config-crypto-map)# set peer 172.23.2.7 Geben Sie den Peer (Citrix ADC Appliance) anhand seiner IP-Adresse an. In diesem Beispiel wird 198.51.100.100 angegeben. Dies ist die IP-Adresse des CloudBridge Connectors auf der Citrix ADC Appliance.
match addressaccess-list-id Cisco-ios-device-1 (config-crypto-map)# match address 111 Geben Sie eine erweiterte Zugriffsliste an. Diese Zugriffsliste gibt Bedingungen an, um die Subnetze zu bestimmen, deren IP-Datenverkehr über den CloudBridge Connector-Tunnel geschützt werden soll. In diesem Beispiel wird die Zugriffsliste 111 angegeben.
set transform-set transform-set-name Cisco-ios-device-1 (config-crypto-map)# set transform-set NS-CISCO-TS Geben Sie an, welche Transformationssätze für diesen Kryptozuordnungseintrag zulässig sind. In diesem Beispiel wird der Transformationssatz NS-CISCO-TS angegeben.
Exit cisco-iOS-Device-1 (config-crypto-map) # exit  
cisco-iOS-Device-1 (config) # Zurück in den globalen Konfigurationsmodus.  

So wenden Sie eine Krypto-Map über die Cisco IOS-Befehlszeile auf eine Schnittstelle an:

Geben Sie an der Eingabeaufforderung des Cisco IOS-Geräts die folgenden Befehle ab dem globalen Konfigurationsmodus in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
interfaceinterface-ID Cisco-ios-device-1(config)# interface GigabitEthernet 0/1 Geben Sie eine physikalische Schnittstelle an, auf die die Kryptozuordnung angewendet werden soll, und wechseln Sie in den Schnittstellenkonfigurationsmodus. In diesem Beispiel wird die Gigabit-Ethernet-Schnittstelle 0/1 des Cisco-iOS-Device-1 angegeben. Die IP-Adresse 203.0.113.200 ist bereits auf diese Schnittstelle eingestellt.
crypto mapmap-name Cisco-ios-device-1 (config-if)# crypto map NS-CISCO-CM Wenden Sie die Kryptozuordnung auf die physische Schnittstelle an. In diesem Beispiel wird die Kryptozuordnung NS-CISCO-CM angewendet.
exit Cisco-ios-device-1 (config-if)# exit, Cisco-ios-device-1 (config)# Beenden Sie den globalen Konfigurationsmodus.

Konfigurieren der Citrix ADC Appliance für den CloudBridge Connector-Tunnel

Um einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance und einem Cisco IOS-Gerät zu konfigurieren, führen Sie die folgenden Aufgaben auf der Citrix ADC-Appliance aus. Sie können entweder die Citrix ADC Befehlszeile oder die grafische Benutzeroberfläche (GUI) von Citrix ADC verwenden:

  • Erstellen Sie ein IPsec-Profil.
  • Erstellen Sie einen IP-Tunnel, der das IPsec-Protokoll verwendet, und verknüpfen Sie das IPsec-Profil damit.
  • Erstellen Sie eine PBR-Regel und verknüpfen Sie sie mit dem IP-Tunnel.

So erstellen Sie ein IPSEC-Profil mit der Citrix ADC-Befehlszeile:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipsec profile <name> -psk <string> -ikeVersion v1
  • show ipsec profile <name>

So erstellen Sie einen IPSEC-Tunnel und binden das IPSEC-Profil mithilfe der Citrix ADC-Befehlszeile daran:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • add ipTunnel <name>

So erstellen Sie eine PBR-Regel und binden den IPSEC-Tunnel mithilfe der Citrix ADC-Befehlszeile daran:

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbrs <pbrName>

Die folgenden Befehle erstellen Einstellungen im Citrix ADC appliance NS_Appliance-1 Abschnitt Beispiel für CloudBridge Connector-Konfiguration und Datenfluss.

    >  add ipsec profile NS_Cisco_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –lifetime 315360 –encAlgo 3DES
    Done
    >  add iptunnel NS_Cisco_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco_IPSec_Profile  

    Done
    > add pbr NS_Cisco_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco_Tunnel  

    Done
    > apply pbrs

    Done
<!--NeedCopy-->

So erstellen Sie ein IPSEC-Profil mit der GUI:

  1. Navigieren Sie zu System > CloudBridge Connector > IPSec-Profil.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Legen Sie im Dialogfeld IPsec-Profil hinzufügen die folgenden Parameter fest:
    • Name
    • Verschlüsselungsalgorithmus
    • Hash-Algorithmus
    • IKE-Protokollversion
  4. Konfigurieren Sie die IPSec-Authentifizierungsmethode, die von den beiden CloudBridge Connector-Tunnel-Peers zur gegenseitigen Authentifizierung verwendet wird: Wählen Sie die Pre-Shared Key Authentifizierungsmethode aus, und legen Sie den Parameter Pre-Shared Key Exists fest.
  5. Klicken Sie auf Erstellenund dann auf Schließen.

So erstellen Sie einen IP-Tunnel und binden das IPSEC-Profil über die grafische Benutzeroberfläche daran:

  1. Navigieren Sie zu System > CloudBridge Connector > IP-Tunnel.
  2. Klicken Sie auf der Registerkarte IPv4-Tunnel auf Hinzufügen.
  3. Legen Sie im Dialogfeld IP-Tunnel hinzufügen die folgenden Parameter fest:
    • Name
    • Remote-IP
    • Remote-Maske
    • Lokaler IP-Typ (Wählen Sie in der Dropdownliste Lokaler IP-Typ die Option Subnetz-IP).
    • Lokale IP (Alle konfigurierten IPs des ausgewählten IP-Typs befinden sich in der Dropdownliste Lokale IP. Wählen Sie die gewünschte IP aus der Liste aus.)
    • Protokoll
    • IPsec-Profil
  4. Klicken Sie auf Erstellenund dann auf Schließen.

So erstellen Sie eine PBR-Regel und binden den IPSEC-Tunnel mit der GUI daran

  1. Navigieren Sie zu System > Netzwerk > PBR.
  2. Klicken Sie auf der Registerkarte PBR auf Hinzufügen.
  3. Legen Sie im Dialogfeld PBR erstellen die folgenden Parameter fest:
    • Name
    • Aktion
    • Nächster Hop-Typ (Wählen Sie IP Tunnel)
    • IP-Tunnelname
    • Quell-IP Niedrig
    • Quell-IP hoch
    • Ziel-IP niedrig
    • Ziel-IP hoch
  4. Klicken Sie auf Erstellenund dann auf Schließen.

So wenden Sie eine PBR mit der GUIan:

  1. Navigieren Sie zu System > Netzwerk > PBRs.
  2. Wählen Sie auf der Registerkarte PBRs den PBRaus, und wählen Sie in der Liste Aktiondie Option Übernehmenaus.

Die entsprechende neue CloudBridge Connector-Tunnelkonfiguration auf der Citrix ADC Appliance wird in der GUI angezeigt. Der aktuelle Status des CloudBridge-Connector-Tunnels wird im Bereich Konfigurierter CloudBridge-Connector angezeigt. Ein grüner Punkt zeigt an, dass der Tunnel oben ist. Ein roter Punkt zeigt an, dass der Tunnel heruntergefahren ist.

Überwachung des CloudBridge-Connector-Tunnels

Sie können die Leistung von CloudBridge Connector-Tunneln auf einer Citrix ADC Appliance mithilfe von CloudBridge Connector-Tunnelstatistikindikatoren überwachen. Weitere Informationen zum Anzeigen von CloudBridge Connector-Tunnelstatistiken auf einer Citrix ADC Appliance finden Sie unter Monitoring von CloudBridge Connector Tunnels.

Konfigurieren eines CloudBridge Connector-Tunnels zwischen einer Citrix ADC Appliance und einem Cisco IOS-Gerät