ADC

Interopérabilité du CloudBridge Connector — F5 BIG-IP

Vous pouvez configurer un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance F5 BIG-IP pour connecter deux centres de données ou étendre votre réseau à un fournisseur de cloud. L’appliance NetScaler et l’appliance F5 BIG-IP constituent les points de terminaison du tunnel CloudBridge Connector et sont appelées homologues.

Exemple de configuration d’un tunnel CloudBridge Connector

Pour illustrer le flux de trafic dans un tunnel CloudBridge Connector, prenons un exemple dans lequel un tunnel CloudBridge Connector est configuré entre les appareils suivants :

  • Appliance NetScaler NS_Appliance-1 dans un centre de données désigné Datacenter-1
  • Appliance F5 BIG-IP F5-BIG-IP-Appliance-1 dans un centre de données désigné Datacenter-2

NS_Appliance-1 et F5-big-IP-Appliance-1 permettent la communication entre les réseaux privés du Datacenter-1 et du Datacenter-2 via le tunnel CloudBridge Connector. Dans l’exemple, NS_Appliance-1 et F5-big-IP-Appliance-1 permettent la communication entre le client CL1 dans Datacenter-1 et le serveur S1 dans Datacenter-2 via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Sur NS_Appliance-1, la configuration du tunnel CloudBridge Connector inclut l’entité de profil IPsec NS_F5-BIG-IP_Profile, l’entité de tunnel du CloudBridge Connector NS_F5-BIG-IP_Tunnel et l’entité de routage basé sur des règles (PBR) NS_F5-big-IP_PBR.

Image localisée

Pour plus d’informations, reportez-vous à F5 big IP pdf.

Points à considérer pour une configuration de tunnel CloudBridge Connector

  • L’appliance NetScaler est opérationnelle, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.
  • L’appliance F5 BIG-IP est opérationnelle, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.
  • Les paramètres IPsec suivants sont pris en charge pour un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance F5 BIG-IP.
    • Mode IPsec : mode tunnel
    • Version d’IKE : Version 1
    • Méthode d’authentification IKE : clé pré-partagée
    • Algorithme de chiffrement IKE : AES
    • Algorithme de hachage IKE : HMAC SHA1
    • Algorithme de chiffrement ESP : AES
    • Algorithme de hachage ESP : HMAC SHA1
  • Vous devez spécifier les mêmes paramètres IPsec sur l’appliance NetScaler et sur l’appliance F5 BIG-IP aux deux extrémités du tunnel CloudBridge Connector.
  • NetScaler fournit un paramètre commun (dans les profils IPsec) pour spécifier un algorithme de hachage IKE et un algorithme de hachage ESP. Il fournit également un autre paramètre commun pour spécifier un algorithme de chiffrement IKE et un algorithme de cryptage ESP. Par conséquent, dans l’appliance F5 BIG-IP, vous devez spécifier le même algorithme de hachage et le même algorithme de chiffrement dans IKE (configuration de phase 1) et ESP (configuration de phase 2).
  • Vous devez configurer le pare-feu côté NetScaler et côté F5 BIG-IP pour autoriser ce qui suit.
    • Tous les paquets UDP pour le port 500
    • Tous les paquets UDP pour le port 4500
    • Tous les paquets ESP (numéro de protocole IP 50)

Configuration de F5 BIG-IP pour le tunnel CloudBridge Connector

Pour configurer un tunnel de connecteur CloudBridge entre une appliance NetScaler et une appliance F5 BIG-IP, effectuez les tâches suivantes sur l’appliance F5 BIG-IP :

  • Créez un serveur virtuel de transfert pour IPsec. Un serveur virtuel de transfert intercepte le trafic IP pour le tunnel IPsec.
  • Créez un pair IKE. Un homologue IKE spécifie les points de terminaison du tunnel IPsec local et distant. Il spécifie également les algorithmes et les informations d’identification à utiliser pour la phase 1 d’IPsec IKE.
  • Créez une stratégie IPsec personnalisée. Une stratégie spécifie le protocole IPsec (ESP) et le mode (tunnel) à utiliser pour former le tunnel IPsec. Il spécifie également les algorithmes et les paramètres de sécurité à utiliser pour la phase 2 d’IKE IPsec.
  • Créez un sélecteur de trafic IPsec bidirectionnel. Un sélecteur de trafic spécifie les sous-réseaux côté F5 BIG-IP et côté NetScaler dont le trafic IP doit être traversé par le tunnel IPsec.

Les procédures de configuration du VPN IPsec (tunnel CloudBridge Connector) sur une appliance F5 BIG-IP peuvent changer au fil du temps, en fonction du cycle de publication de F5. Citrix vous recommande de suivre la documentation officielle de F5 BIG-IP pour configurer les tunnels VPN IPsec, à l’adresse suivante :

https://f5.com

Pour créer un serveur virtuel de transfert pour IPsec à l’aide de l’interface graphique F5 BIG-IP

  1. Sous l’onglet Principal, cliquez sur Trafic local > Serveurs virtuels, puis cliquez sur Créer.
  2. Dans l’écran Nouvelle liste de serveurs virtuels, définissez les paramètres suivants :
    • Nom. Entrez un nom unique pour le serveur virtuel.
    • Tapez. Sélectionnez Transfert (IP).
    • Adresse de destination. Tapez une adresse réseau générique au format CIDR, par exemple, 0.0.0.0/0 pour IPv4 afin d’accepter tout trafic.
    • Port de service. Sélectionnez Tous les ports dans la liste.
    • Liste des protocoles. Sélectionnez Tous les protocoles dans la liste.
    • Trafic VLAN et tunnel. Conservez la sélection par défaut, Tous les VLAN et tunnels.
  3. Cliquez sur Terminé.

Pour créer une stratégie IPsec personnalisée à l’aide de l’interface graphique BIG-IP F5

  1. Sous l’onglet Principal, cliquez sur Réseau > IPSec > Stratégies IPsec, puis cliquez sur Créer.
  2. Dans l’écran Nouvelle stratégie, définissez les paramètres suivants :
    • Nom. Tapez un nom unique pour la stratégie.
    • Protocole IPSec. Conservez la sélection par défaut, ESP.
    • Mode. Sélectionnez Tunnel. L’écran s’actualise pour afficher d’autres paramètres connexes.
    • Adresse locale du tunnel. Tapez l’adresse IP du point de terminaison du tunnel IPsec local (configurée sur l’appliance F5 BIG-IP).
    • Adresse distante du tunnel. Tapez l’adresse IP du point de terminaison du tunnel IPsec distant (configurée sur l’appliance NetScaler).
  3. Pour les paramètres de phase 2 d’IKE, conservez les valeurs par défaut ou sélectionnez les options adaptées à votre déploiement.
  4. Cliquez sur Terminé.

Pour créer un sélecteur de trafic IPsec bidirectionnel à l’aide de l’interface graphique F5 BIG-IP

  1. Sous l’onglet Principal, cliquez sur Réseau > IPsec > Sélecteurs de trafic, puis cliquez sur Créer.
  2. Dans l’écran Nouveau sélecteur de trafic, définissez les paramètres suivants :
    • Nom. Entrez un nom unique pour le sélecteur de trafic.
    • Commande. Conservez la valeur par défaut (d’abord). Ce paramètre spécifie l’ordre dans lequel le sélecteur de trafic apparaît sur l’écran Liste des sélecteurs de trafic.
  3. Dans la liste Configuration, sélectionnez Avancé et définissez les paramètres suivants :
    • Adresse IP source. Cliquez sur Hôte ou Réseau, et dans le champ Adresse, tapez l’adresse du sous-réseau côté BIG-IP F5 dont le trafic doit être protégé via le tunnel IPSec.
    • Port source. Sélectionnez * Tous les ports.
    • Adresse IP de destination. Cliquez sur Hôte, puis dans le champ Adresse, saisissez l’adresse du sous-réseau côté NetScaler dont le trafic doit être protégé via le tunnel IPsec.
    • Port de destination. Sélectionnez * Tous les ports.
    • Protocole. Sélectionnez * Tous les protocoles.
    • Orientation. Sélectionnez Les deux.
    • Action. Sélectionnez Protéger. Le paramètre Nom de la stratégie IPSec s’affiche.
    • Nom de la stratégie IPSec. Sélectionnez le nom de la stratégie IPsec personnalisée que vous avez créée.
  4. Cliquez sur Terminé.

Configuration de l’appliance NetScaler pour le tunnel CloudBridge Connector

Pour configurer un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance F5 BIG-IP, effectuez les tâches suivantes sur l’appliance NetScaler. Vous pouvez utiliser la ligne de commande NetScaler ou l’interface utilisateur graphique (GUI) de NetScaler :

  • Créez un profil IPsec. Une entité de profil IPsec spécifie les paramètres du protocole IPsec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et la méthode d’authentification à utiliser par le protocole IPsec dans le tunnel CloudBridge Connector.
  • Créez un tunnel IP qui utilise le protocole IPsec et associez-y le profil IPsec. Un tunnel IP spécifie l’adresse IP locale (adresse IP du point de terminaison du tunnel CloudBridge Connector (de type SNIP) configurée sur l’appliance NetScaler), l’adresse IP distante (adresse IP du point de terminaison du tunnel CloudBridge Connector configurée sur l’appliance F5 BIG-IP), le protocole (IPsec) utilisé pour configurer le tunnel CloudBridge Connector et une entité de profil IPsec. L’entité de tunnel IP créée est également appelée entité de tunnel CloudBridge Connector.
  • Créez une règle PBR et associez-la au tunnel IP. Une entité PBR spécifie un ensemble de règles et une entité de tunnel IP (tunnel CloudBridge Connector). La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Définissez la plage d’adresses IP source pour spécifier le sous-réseau côté NetScaler dont le trafic doit être protégé via le tunnel, et définissez la plage d’adresses IP de destination pour spécifier le sous-réseau côté F5 BIG-IP dont le trafic doit être protégé via le tunnel.

Pour créer un profil IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commandes, tapez :

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLE
  • show ipsec profile** <name>

Pour créer un tunnel IPSEC et y lier le profil IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commandes, tapez :

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commandes, tapez :

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Pour créer un profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Profil IPsec.
  2. Dans le volet de détails, cliquez sur Ajouter.
  3. Dans la page Ajouter un profil IPSec, définissez les paramètres suivants :
    • Nom
    • Algorithme de chiffrement
    • Algorithme de hachage
    • Version du protocole IKE
  4. Configurez la méthode d’authentification IPsec à utiliser par les deux homologues de tunnel CloudBridge Connector pour s’authentifier mutuellement : sélectionnez la méthode d’authentification de clé pré-partagée et définissez le paramètre Clé pré-partagée Exists.
  5. Cliquez sur Créer, puis sur Fermer.

Pour créer un tunnel IP et y lier le profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Tunnels IP.
  2. Dans l’onglet Tunnels IPv4, cliquez sur Ajouter.
  3. Dans la page Ajouter un tunnel IP, définissez les paramètres suivants :
    • Nom
    • IP distante
    • Masque à distance
    • Type d’adresse IP locale (Dans la liste déroulante Type d’adresse IP locale, sélectionnez Adresse IP du sous-réseau).
    • IP locale (Toutes les adresses IP configurées du type IP sélectionné figurent dans la liste déroulante IP locale. Sélectionnez l’adresse IP souhaitée dans la liste.)
    • Protocole
    • Profil IPSec
  4. Cliquez sur Créer, puis sur Fermer.

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > Réseau > PBR.
  2. Dans l’onglet PBR, cliquez sur Ajouter.
  3. Dans la page Créer un PBR, définissez les paramètres suivants :
    • Nom
    • Action
    • Type de saut suivant (sélectionnez le tunnel IP)
    • Nom du tunnel IP
    • IP de la source : faible
    • IP de la source : élevée
    • IP de destination faible
    • IP de destination : élevée
  4. Cliquez sur Créer, puis sur Fermer.

La nouvelle configuration du tunnel CloudBridge Connector correspondante sur l’appliance NetScaler apparaît dans l’interface graphique. L’état actuel du tunnel du connecteur CloudBridge est affiché dans le volet Configuré du CloudBridge Connector. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté.

Les commandes suivantes créent les paramètres de l’appliance NetScaler NS_Appliance-1 dans « Exemple de configuration d’un CloudBridge Connector ». :

    >  add ipsec profile NS_F5-BIG-IP_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE


    Done

    >  add iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_F5-BIG-IP_IPSec_Profile


    Done

    > add pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_F5-BIG-IP_Tunnel


    Done

    > apply pbrs


    Done
<!--NeedCopy-->

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance NetScaler à l’aide des compteurs statistiques des tunnels CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques des tunnels CloudBridge Connector sur une appliance NetScaler, consultez la section Surveillance des tunnels CloudBridgeConnector.

Interopérabilité du CloudBridge Connector — F5 BIG-IP