ADC

Konfiguration eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren

Sie können einen CloudBridge Connector-Tunnel zwischen zwei verschiedenen Rechenzentren konfigurieren, um Ihr Netzwerk zu erweitern, ohne es neu konfigurieren zu müssen, und die Funktionen der beiden Rechenzentren nutzen. Ein CloudBridge Connector-Tunnel zwischen den beiden geografisch getrennten Rechenzentren ermöglicht es Ihnen, Redundanz zu implementieren und Ihr Setup vor Ausfällen zu schützen. Der CloudBridge Connector-Tunnel trägt dazu bei, die Infrastruktur und Ressourcen in den Rechenzentren optimal zu nutzen. Die Anwendungen, die in den beiden Rechenzentren verfügbar sind, werden für den Benutzer als lokal angezeigt.

Um ein Rechenzentrum mit einem anderen Rechenzentrum zu verbinden, richten Sie einen CloudBridge Connector-Tunnel zwischen einer NetScaler-Appliance in einem Rechenzentrum und einer NetScaler-Appliance im anderen Rechenzentrum ein.

Betrachten Sie zur Veranschaulichung des CloudBridge Connector-Tunnels zwischen Rechenzentren ein Beispiel, in dem ein CloudBridge Connector-Tunnel zwischen der NetScaler-Appliance NS_Appliance-1 im Rechenzentrum DC1 und der NetScaler-Appliance NS_Appliance-2 im Rechenzentrum DC2 eingerichtet wird.

localized image

Sowohl NS_Appliance-1 als auch NS_Appliance-2 funktionieren im L2- und L3-Modus. Sie ermöglichen die Kommunikation zwischen privaten Netzwerken in Rechenzentren DC1 und DC2. Im L3-Modus ermöglichen NS_Appliance-1 und NS_Appliance-2 die Kommunikation zwischen dem Client CL1 im Rechenzentrum DC1 und dem Server S1 im Rechenzentrum DC2 über den CloudBridge Connector-Tunnel. Client CL1 und Server S1 sind in verschiedenen privaten Netzwerken.

Da sich Client CL1 und Server S1 in unterschiedlichen privaten Netzwerken befinden, ist der L3-Modus auf NS_Appliance-1 und NS_Appliance-2 aktiviert, und die Routen werden wie folgt aktualisiert:

  • CL1 hat eine Route zu NS_Appliance-1, um S1 zu erreichen.
  • NS_Appliance-1 hat eine Route zu NS_Appliance-2, um S1 zu erreichen.
  • S1 hat eine Route zu NS_Appliance-2, um CL1 zu erreichen.
  • NS_Appliance-2 hat eine Route zu NS_Appliance-1, um CL1 zu erreichen.

In der folgenden Tabelle sind die Einstellungen der NetScaler-Appliance NS_Appliance-1 im Rechenzentrum DC1 aufgeführt.

In der folgenden Tabelle sind die Einstellungen der NetScaler-Appliance NS_Appliance-2 im Rechenzentrum DC2 aufgeführt.

Entität Name Details
Die NSIP-Adresse 198.51.100.12
SNIP-Adresse 198.51.100.15
CloudBridge Connector-Tunnel Cloud_Connector_DC1-DC2
  1. Lokale Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 198.51.100.15, 2. IP-Adresse des Remote-Endpunkts des CloudBridge Connector-Tunnels: 203.0.113.133. Name der GRE-Tunneldetails = Cloud_Connector_DC1-DC2, Name der IPSec-Profildetails = Cloud_Connector_DC1-DC2, Verschlüsselungsalgorithmus = AES, Hash-Algorithmus = HMAC SHA1

Punkte, die bei der Konfiguration des CloudBridge Connector-Tunnels zu beachten sind

Stellen Sie vor der Einrichtung eines CloudBridge Connector-Tunnels sicher, dass die folgenden Aufgaben abgeschlossen wurden:

  1. Stellen Sie in jedem der beiden Rechenzentren eine NetScaler-Appliance bereit und richten Sie sie ein.
  2. Stellen Sie sicher, dass die IP-Adressen der CloudBridge Connector-Tunnelendpunkte für einander zugänglich sind.

Konfigurationsprozedur

Um einen CloudBridge Connector-Tunnel zwischen einer NetScaler-Appliance, die sich in einem Rechenzentrum befindet, und einer anderen NetScaler-Appliance, die sich im anderen Rechenzentrum befindet, einzurichten, verwenden Sie die GUI oder die Befehlszeilenschnittstelle einer der NetScaler-Appliances.

Wenn Sie die GUI verwenden, wird die auf der ersten NetScaler-Appliance erstellte CloudBridge Connector-Tunnelkonfiguration automatisch auf den anderen Endpunkt (die andere NetScaler-Appliance) des CloudBridge Connector-Tunnels übertragen. Daher müssen Sie nicht auf die GUI der anderen NetScaler-Appliance zugreifen, um die entsprechende CloudBridge Connector-Tunnelkonfiguration darauf zu erstellen.

Die CloudBridge Connector-Tunnelkonfiguration auf jeder der NetScaler-Appliances besteht aus den folgenden Entitäten:

  • IPSec-Profil— Eine IPSec-Profilentität gibt die IPSec-Protokollparameter wie IKE-Version, Verschlüsselungsalgorithmus, Hash-Algorithmus und PSK an, die vom IPSec-Protokoll im CloudBridge Connector-Tunnel verwendet werden sollen.
  • GRE-Tunnel— Ein IP-Tunnel gibt die lokale IP-Adresse (eine öffentliche SNIP-Adresse, die auf der lokalen NetScaler-Appliance konfiguriert ist), die Remote-IP-Adresse (eine öffentliche SNIP-Adresse, die auf der Remote-NetScaler-Appliance konfiguriert ist), das für die Einrichtung des CloudBridge Connector-Tunnels verwendete Protokoll (GRE) und eine IPSec-Profilentität an.
  • Erstellen Sie eine PBR-Regel und verknüpfen Sie den IP-Tunnel damit— Eine PBR-Entität spezifiziert eine Reihe von Bedingungen und eine IP-Tunnelentität. Der Quell-IP-Adressbereich und der Ziel-IP-Bereich sind die Bedingungen für die PBR-Entität. Sie müssen den Quell-IP-Adressbereich und den Ziel-IP-Adressbereich festlegen, um das Subnetz anzugeben, dessen Datenverkehr den CloudBridge Connector-Tunnel durchqueren soll. Stellen Sie sich beispielsweise ein Anforderungspaket vor, das von einem Client im Subnetz im ersten Rechenzentrum stammt und für einen Server im Subnetz im zweiten Rechenzentrum bestimmt ist. Wenn dieses Paket mit dem Quell- und Ziel-IP-Adressbereich der PBR-Entität auf der NetScaler-Appliance im ersten Rechenzentrum übereinstimmt, wird es über den CloudBridge Connector-Tunnel gesendet, der der PBR-Entität zugeordnet ist.

So erstellen Sie ein IPSEC-Profil mithilfe der Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile Folgendes ein:

  • add ipsec profile <name> [-ikeVersion ( V1 | V2 )] [-encAlgo ( AES | 3DES ) ...] [-hashAlgo <hashAlgo\> ...] [-lifetime <positive_integer>] (-psk | (-publickey<string> -privatekey <string>-peerPublicKey <string>))[-livenessCheckInterval <positive_intege>][-replayWindowSize \<positive_integer>] [-ikeRetryInterval <positive_integer>] [-retransmissiontime <positive_integer>]

  • show ipsec profile <name>

Um einen IP-Tunnel zu erstellen und das IPSEC-Profil mithilfe der Befehlszeilenschnittstelle daran zu binden

Geben Sie in der Befehlszeile Folgendes ein:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

Um eine PBR-Regel zu erstellen und den IPSEC-Tunnel mithilfe der Befehlszeilenschnittstelle daran zu binden

Geben Sie in der Befehlszeile Folgendes ein:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Beispiel

 add ipsec profile Cloud_Connector_DC1-DC2  -encAlgo AES -hashAlgo HMAC_SHA1
    Done
    > add ipTunnel Cloud_Connector_DC1-DC2 203.0.113.133 255.255.255.255 198.51.100.15 -protocol GRE -ipsecProfileName Cloud_Connector_DC1-DC2

    Done
    > add ns pbr PBR-DC1-DC2 ALLOW -srcIP 198.51.100.15 -destIP 203.0.113.133 ipTunnel Cloud_Connector_DC1-DC2

    Done
    > apply ns pbrs

    Done
<!--NeedCopy-->

So konfigurieren Sie einen CloudBridge Connector-Tunnel in einer NetScaler-Appliance mithilfe der GUI

  1. Geben Sie die NSIP-Adresse einer NetScaler-Appliance in die Adresszeile eines Webbrowsers ein.

  2. Melden Sie sich an der GUI der NetScaler-Appliance an, indem Sie Ihre Kontoanmeldeinformationen für die Appliance verwenden.

  3. Navigieren Sie zu System > CloudBridge Connector.

  4. Klicken Sie im rechten Bereich unter Erste Schritteauf CloudBridge erstellen/überwachen.

    Wenn Sie zum ersten Mal einen CloudBridge Connector-Tunnel auf der Appliance konfigurieren, wird ein Willkommensbildschirm angezeigt.

  5. Klicken Sie auf dem Willkommensbildschirm auf Get Started.

localized image

Hinweis:

Wenn Sie bereits einen CloudBridge Connector-Tunnel auf der NetScaler-Appliance konfiguriert haben, wird der Willkommensbildschirm nicht angezeigt, sodass Sie nicht auf Get Started klicken.

  1. Klicken Sie im Bereich CloudBridge Connector Setup auf NetScaler.

localized image

  1. Geben Sie im NetScaler-Bereich Ihre Kontoanmeldeinformationen für die Remote-NetScaler-Appliance ein. Klicken Sie auf Weiter.

  2. Stellen Sie im Bereich CloudBridge Connector-Einstellungen den folgenden Parameter ein:

    • CloudBridge Connector-Name— Name für die CloudBridge Connector-Konfiguration auf der lokalen Appliance. Muss mit einem ASCII-Zeichen oder einem Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), gleich (=) und Bindestrich (-) enthalten. Kann nicht geändert werden, nachdem die CloudBridge Connector-Konfiguration erstellt wurde.
  3. Stellen Sie unter Lokale Einstellungden folgenden Parameter ein:

    • Subnetz-IP — IP-Adressedes lokalen Endpunkts des CloudBridge Connector-Tunnels.
  4. Stellen Sie unter Remote Settingden folgenden Parameter ein:

    • Subnetz-IP — IP-Adressedes Peer-Endpunkts des CloudBridge Connector-Tunnels.
  5. Stellen Sie unter PBR-Einstellung die folgenden Parameter ein:

    • Operation— Entweder ist gleich (=) oder ist nicht gleich (! =) logischer Operator.
    • Source IP Low — NiedrigsteQuell-IP-Adresse, die mit der Quell-IP-Adresse eines ausgehenden IPv4-Pakets verglichen werden kann.
    • Source IP High— Die höchste Quell-IP-Adresse, die mit der Quell-IP-Adresse eines ausgehenden IPv4-Pakets verglichen werden soll.
    • Operation— Entweder ist gleich (=) oder ist nicht gleich (! =) logischer Operator.
    • Ziel-IP Low* — Niedrigste Ziel-IP-Adresse, die mit der Ziel-IP-Adresse eines ausgehenden IPv4-Pakets verglichen werden kann.
    • Ziel-IP High— Die höchste Ziel-IP-Adresse, die mit der Ziel-IP-Adresse eines ausgehenden IPv4-Pakets verglichen werden soll.
  6. (Optional) Stellen Sie unter Sicherheitseinstellungendie folgenden IPSec-Protokollparameter für den CloudBridge Connector-Tunnel ein:

    • Verschlüsselungsalgorithmus— Verschlüsselungsalgorithmus, der vom IPSec-Protokoll im CloudBridge-Tunnel verwendet wird.
    • Hash-Algorithmus— Hash-Algorithmus, der vom IPSec-Protokoll im CloudBridge-Tunnel verwendet wird.
    • Schlüssel— Wählen Sie eine der folgenden IPSec-Authentifizierungsmethoden aus, die von den beiden Peers verwendet werden sollen, um sich gegenseitig zu authentifizieren.
      • Automatisch generierter Schlüssel— Die Authentifizierung basiert auf einer Textzeichenfolge, einem sogenannten Pre-Shared Key (PSK), der automatisch von der lokalen Appliance generiert wird. Die PSK-Schlüssel der Peers werden zur Authentifizierung miteinander abgeglichen.
      • Spezifischer Schlüssel— Authentifizierung auf der Grundlage einer manuell eingegebenen PSK. Die PSKs der Peers werden zur Authentifizierung miteinander verglichen.
        • Pre Shared Security Key — Die Textzeichenfolge, die für die auf Pre-Shared Keys basierende Authentifizierung eingegeben wurde.
      • Zertifikate hochladen— Authentifizierung auf der Grundlage digitaler Zertifikate.
        • Öffentlicher Schlüssel— Ein lokales digitales Zertifikat, das verwendet wird, um die lokale NetScaler-Appliance gegenüber dem Peer zu authentifizieren, bevor IPSec-Sicherheitszuordnungen eingerichtet werden. Dasselbe Zertifikat sollte vorhanden und für den Peer Public Key-Parameter im Peer festgelegt sein.
        • Privater Schlüssel— Privater Schlüssel des lokalen digitalen Zertifikats.
        • Peer Public Key— Digitales Zertifikat des Peers. Wird verwendet, um den Peer zum lokalen Endpunkt zu authentifizieren, bevor IPSec-Sicherheitszuordnungen eingerichtet werden. Dasselbe Zertifikat sollte vorhanden und für den Public-Key-Parameter im Peer festgelegt sein.
  7. Klicken Sie auf Fertig.

Die neue CloudBridge Connector-Tunnelkonfiguration auf beiden NetScaler-Appliances wird auf der Registerkarte Home der jeweiligen GUI angezeigt. Der aktuelle Status des CloudBridge Connector-Tunnels wird im Bereich Configured CloudBridge Connectors angezeigt. Ein grüner Punkt zeigt an, dass der Tunnel oben ist. Ein roter Punkt zeigt an, dass der Tunnel heruntergefahren ist.

Überwachung des CloudBridge Connector-Tunnels

Sie können die Leistung von CloudBridge Connector-Tunneln auf einer NetScaler Appliance mithilfe von CloudBridge Connector-Tunnelstatistikindikatoren überwachen. Weitere Informationen zum Anzeigen von CloudBridge Connector-Tunnelstatistiken auf einer NetScaler Appliance finden Sie unter Monitoring von CloudBridge Connector Tunnels.

Konfiguration eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren