Citrix ADC

Interopérabilité du connecteur CloudBridge — F5 BIG-IP

Vous pouvez configurer un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance BIG-IP F5 pour connecter deux centres de données ou étendre votre réseau à un fournisseur de cloud. L’appliance Citrix ADC et l’appliance BIG-IP F5 forment les points d’extrémité du tunnel CloudBridge Connector et sont appelés homologues.

Exemple de configuration de tunnel CloudBridge Connector

À titre d’illustration du flux de trafic dans un tunnel CloudBridge Connector, considérez un exemple dans lequel un tunnel CloudBridge Connector est configuré entre les périphériques suivants :

  • Appliance Citrix ADC NS_Appliance-1 dans un centre de données désigné comme Datacenter-1
  • Appliance F5 BIG-IP F5-BIG-IP-Appliance-1 dans un centre de données désigné comme Datacenter-2

NS_Appliance-1 et F5-Big-IP-Appliance-1 permettent la communication entre les réseaux privés dans Datacenter-1 et Datacenter-2 via le tunnel CloudBridge Connector. Dans l’exemple, NS_Appliance-1 et F5-Big-IP-Appliance-1 permettent la communication entre le client CL1 dans Datacenter-1 et le serveur S1 dans Datacenter-2 via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Sur NS_Appliance-1, la configuration du tunnel du connecteur CloudBridge inclut l’entité de profil IPSec NS_F5-Big-IP_IPSEC_Profile, l’entité de tunnel du connecteur CloudBridge NS_F5-big-IP_Tunnel et l’entité de routage basé sur des stratégies (PBR) NS_F5-big-IP_PBR.

image localisée

Pour plus d’informations, reportez-vous auF5 Big IPpdf.

Points à considérer pour une configuration de tunnel CloudBridge Connector

  • L’appliance Citrix ADC est mise en service et en cours d’exécution, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.
  • L’appliance F5 BIG-IP est mise en service et fonctionne, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.
  • Les paramètres IPsec suivants sont pris en charge pour un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance BIG-IP F5.
    • Mode IPsec : mode tunnel
    • Version IKE : Version 1
    • Méthode d’authentification IKE : Clé pré-partagée
    • Algorithme de chiffrement IKE : AES
    • Algorithme de hachage IKE : HMAC SHA1
    • Algorithme de chiffrement ESP : AES
    • Algorithme de hachage ESP : HMAC SHA1
  • Vous devez spécifier les mêmes paramètres IPSec sur l’appliance Citrix ADC et l’appliance F5 BIG-IP aux deux extrémités du tunnel CloudBridge Connector.
  • Citrix ADC fournit un paramètre commun (dans les profils IPSec) pour spécifier un algorithme de hachage IKE et un algorithme de hachage ESP. Il fournit également un autre paramètre commun pour spécifier un algorithme de chiffrement IKE et un algorithme de chiffrement ESP. Par conséquent, dans l’appliance F5 BIG-IP, vous devez spécifier le même algorithme de hachage et le même algorithme de chiffrement dans IKE (configuration de phase 1) et ESP (configuration de phase 2).
  • Vous devez configurer le pare-feu à l’extrémité Citrix ADC et à l’extrémité F5 BIG-IP pour autoriser ce qui suit.
    • Tous les paquets UDP pour le port 500
    • Tous les paquets UDP pour le port 4500
    • Tous les paquets ESP (numéro de protocole IP 50)

Configuration de F5 BIG-IP pour le tunnel CloudBridge Connector

Pour configurer un tunnel de connecteur CloudBridge entre une appliance Citrix ADC et une appliance BIG-IP F5, effectuez les tâches suivantes sur l’appliance F5 BIG-IP :

  • Créez un serveur virtuel de transfert pour IPsec. Un serveur virtuel de transfert intercepte le trafic IP pour le tunnel IPsec.
  • Créez un pair IKE. Un homologue IKE spécifie les points de terminaison du tunnel IPSec locaux et distants. Il spécifie également les algorithmes et les informations d’identification à utiliser pour IPSec IKE phase 1.
  • Créez une stratégie IPsec personnalisée. Une stratégie spécifie le protocole IPsec (ESP) et le mode (tunnel) à utiliser pour former le tunnel IPsec. Il spécifie également les algorithmes et les paramètres de sécurité à utiliser pour IKE IPSec phase 2.
  • Créez un sélecteur de trafic IPSec bidirectionnel. Un sélecteur de trafic spécifie les sous-réseaux F5 BIG-IP et Citrix ADC dont le trafic IP doit être traversé par le tunnel IPsec.

Les procédures de configuration du VPN IPSec (tunnel CloudBridge Connector) sur une appliance BIG-IP F5 peuvent changer au fil du temps, en fonction du cycle de publication F5. Citrix vous recommande de suivre la documentation officielle F5 BIG-IP pour configurer les tunnels VPN IPsec, à l’adresse suivante :

https://f5.com

Pour créer un serveur virtuel de transfert pour IPSec à l’aide de l’interface graphique BIG-IP F5

  1. Sous l’onglet Principal, cliquez sur Trafic local > Serveurs virtuels, puis cliquez sur Créer.
  2. Dans l’écran Nouvelle liste de serveurs virtuels, définissez les paramètres suivants :
    • Nom. Tapez un nom unique pour le serveur virtuel.
    • Tapez. Sélectionnez Transfert (IP).
    • Adresse de destination. Tapez une adresse réseau générique au format CIDR, par exemple, 0.0.0.0/0 pour IPv4 pour accepter tout trafic.
    • Port de service. Sélectionnez Tous les ports dans la liste.
    • Liste des protocoles. Sélectionnez Tous les protocoles dans la liste.
    • VLAN et trafic tunnel. Conservez la sélection par défaut Tous les VLAN et tunnels.
  3. Cliquez sur Terminé.

Pour créer une stratégie IPsec personnalisée à l’aide de l’interface graphique BIG-IP F5

  1. Sous l’onglet Principal, cliquez sur Réseau > IPSec > Stratégies IPsec, puis cliquez sur Créer.
  2. Dans l’écran Nouvelle stratégie, définissez les paramètres suivants :
    • Nom. Tapez un nom unique pour la stratégie.
    • Protocole IPsec. Conservez la sélection par défaut, ESP.
    • Mode. Sélectionnez Tunnel. L’écran s’actualise pour afficher d’autres paramètres associés.
    • Adresse locale du tunnel. Tapez l’adresse IP du point de terminaison du tunnel IPSec local (configurée sur l’appliance BIG-IP F5).
    • Adresse distante du tunnel. Tapez l’adresse IP du point de terminaison du tunnel IPSec distant (configurée sur l’appliance Citrix ADC).
  3. Pour les paramètres IKE Phase 2, conservez les valeurs par défaut ou sélectionnez les options appropriées pour votre déploiement.
  4. Cliquez sur Terminé.

Pour créer un sélecteur de trafic IPSec bidirectionnel à l’aide de l’interface graphique BIG-IP F5

  1. Sous l’onglet Principal, cliquez sur Réseau > IPSec > Sélecteurs de trafic, puis cliquez sur Créer.
  2. Dans l’écran Nouveau sélecteur de trafic, définissez les paramètres suivants :
    • Nom. Tapez un nom unique pour le sélecteur de trafic.
    • Ordre. Conservez la valeur par défaut (First). Ce paramètre spécifie l’ordre dans lequel le sélecteur de trafic apparaît sur l’écran Liste des sélecteurs de trafic.
  3. Dans la liste Configuration, sélectionnez Avancé et définissez les paramètres suivants :
    • Adresse IP source. Cliquez sur Hôte ou Réseau, puis dans le champ Adresse, tapez l’adresse du sous-réseau latéral F5 BIG-IP dont le trafic doit être protégé sur le tunnel IPSec.
    • Port source. Sélectionnez * Tous les ports.
    • Adresse IP de destination. Cliquez sur Hôteet, dans le champ Adresse, tapez l’adresse du sous-réseau côté Citrix ADC dont le trafic doit être protégé sur le tunnel IPSec.
    • Port de destination. Sélectionnez * Tous les ports.
    • Protocole. Sélectionnez * Tous les protocoles.
    • Direction. Sélectionnez les deux.
    • Action. Sélectionnez Protéger. Le paramètre Nom de la stratégie IPSec s’affiche.
    • Nom de la stratégie IPSec. Sélectionnez le nom de la stratégie IPsec personnalisée que vous avez créée.
  4. Cliquez sur Terminé.

Configuration de l’appliance Citrix ADC pour le tunnel CloudBridge Connector

Pour configurer un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance BIG-IP F5, effectuez les tâches suivantes sur l’appliance Citrix ADC. Vous pouvez utiliser la ligne de commande Citrix ADC ou l’interface utilisateur graphique (GUI) Citrix ADC :

  • Créez un profil IPSec. Une entité de profil IPsec spécifie les paramètres du protocole IPSec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et la méthode d’authentification à utiliser par le protocole IPSec dans le tunnel CloudBridge Connector.
  • Créez un tunnel IP qui utilise le protocole IPSec et associez le profil IPSec à celui-ci. Un tunnel IP spécifie l’adresse IP locale (adresse IP du point d’extrémité du tunnel CloudBridge Connector (de type SNIP) configurée sur l’appliance Citrix ADC), l’adresse IP distante (adresse IP du point de terminaison du tunnel CloudBridge Connector configurée sur l’appliance F5 BIG-IP), le protocole (IPSec) utilisé pour configurer CloudBridge Tunnel de connecteur et une entité de profil IPsec. L’entité de tunnel IP créée est également appelée entité de tunnel CloudBridge Connector.
  • Créez une règle PBR et associez-la au tunnel IP. Une entité PBR spécifie un ensemble de règles et une entité tunnel IP (tunnel CloudBridge Connector). La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Définissez la plage d’adresses IP source pour spécifier le sous-réseau côté Citrix AD dont le trafic doit être protégé sur le tunnel, et définissez la plage d’adresses IP de destination pour spécifier le sous-réseau côté BIG-IP F5 dont le trafic doit être protégé sur le tunnel.

Pour créer un profil IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLE
  • show ipsec profile** <name>

Pour créer un tunnel IPSEC et lier le profil IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Pour créer un profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > Connecteur CloudBridge > IpsecProfile .
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Ajouter un profil IPSec, définissez les paramètres suivants :
    • Name
    • Algorithme de chiffrement
    • Algorithme de hachage
    • Version du protocole IKE
  4. Configurez la méthode d’authentification IPSec à utiliser par les deux homologues de tunnel CloudBridge Connector pour s’authentifier mutuellement : sélectionnez la méthode d’authentification par clé pré-partagée et définissez le paramètre Pre-Shared Key Exists.
  5. Cliquez sur Créer, puis sur Fermer.

Pour créer un tunnel IP et lier le profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Tunnels IP.
  2. Sous l’onglet Tunnels IPv4, cliquez sur Ajouter.
  3. Dans la page Ajouter un tunnel IP, définissez les paramètres suivants :
    • Name
    • IP distante
    • Masque distant
    • Type IP local (dans la liste déroulante Type IP local, sélectionnez IP du sous-réseau).
    • IP locale (Toutes les adresses IP configurées du type IP sélectionné se trouvent dans la liste déroulante IP locale. Sélectionnez l’adresse IP souhaitée dans la liste.)
    • Protocole
    • Profil IPsec
  4. Cliquez sur Créer, puis sur Fermer.

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > Réseau > PBR.
  2. Sous l’onglet PBR, cliquez sur Ajouter.
  3. Dans la page Créer PBR, définissez les paramètres suivants :
    • Name
    • Action
    • Type de saut suivant (Select IP Tunnel)
    • Nom du tunnel IP
    • IP source Faible
    • IP source élevée
    • IP de destination faible
    • IP de destination élevée
  4. Cliquez sur Créer, puis sur Fermer.

La nouvelle configuration de tunnel CloudBridge Connector correspondante sur l’appliance Citrix ADC apparaît dans l’interface graphique. L’état actuel du tunnel de connecteur CloudBridge est affiché dans le volet CloudBridge Connector configuré. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté.

Les commandes suivantes créent les paramètres de l’appliance Citrix ADC NS_Appliance-1 dans Exemple de configuration du connecteur CloudBridge. :

    >  add ipsec profile NS_F5-BIG-IP_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE


    Done

    >  add iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_F5-BIG-IP_IPSec_Profile


    Done

    > add pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_F5-BIG-IP_Tunnel


    Done

    > apply pbrs


    Done

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance Citrix ADC à l’aide des compteurs statistiques de tunnel CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques de tunnel CloudBridge Connector sur une appliance Citrix ADC, reportez-vous à la section Surveillance des tunnels CloudBridge Connector.