ADC

Citrix ADC アプライアンスと Cisco IOS デバイス間のCloudBridge Connectorトンネルの設定

Citrix ADCアプライアンスとCiscoデバイス間のCloudBridge Connectorトンネルを構成して、2つのデータセンターを接続したり、ネットワークをクラウドプロバイダーに拡張したりできます。Citrix ADC アプライアンスと Cisco IOS デバイスは、CloudBridge Connectorトンネルのエンドポイントを形成し、ピアと呼ばれます。

CloudBridge Connectorのトンネル設定とデータフローの例

CloudBridge Connectorトンネルのトラフィックフローの図のように、CloudBridge Connectorトンネルが次のデバイス間でセットアップされる例について考えてみます。

  • データセンター1として指定されたデータセンター内のCitrix ADCアプライアンスNS_アプライアンス-1
  • データセンター-2 として指定されたデータセンター内の Cisco IOS デバイス Cisco IOS-デバイス 1

NS_Appliance-1 および Cisco-IOS-Device-1 は、CloudBridge Connectorトンネルを介したデータセンター 1 とデータセンター 2 のプライベートネットワーク間の通信を可能にします。この例では、NS_Appliance-1 および Cisco-IOS-Device-1 により、データセンター-1 のクライアント CL1 とデータセンター-2 のサーバ S1 との間の通信が CloudBridge Connectorトンネルを介して有効になります。クライアント CL1 とサーバー S1 は、異なるプライベートネットワーク上にあります。

NS_Appliance-1 では、CloudBridge Connectorトンネル設定には、IPSec プロファイルエンティティ NS_Cisco_IPSec_Profile、CloudBridge Connectorトンネルエンティティ NS_Cisco_Tunnel、およびポリシーベースルーティング(PBR)エンティティ NS_Cisco_Pbr が含まれます。

ローカライズされた画像

詳細については、 Citrix ADCアプライアンスとCisco IOSデバイスの設定間のCloudBridge Connector トンネルを参照してください

CloudBridge Connectorのトンネル設定について考慮すべきポイント

Citrix ADCアプライアンスとCisco IOSデバイス間のCloudBridge Connectorトンネルを設定する前に、次の点を考慮してください。

  • Citrix ADC アプライアンスと Cisco IOS デバイス間のCloudBridge Connectorトンネルでは、次の IPSec 設定がサポートされています。

    IPSec のプロパティ 設定
    IPSec モード トンネルモード
    IKE のバージョン バージョン1
    IKE DHグループ DH グループ 2 (1024 ビット MODPアルゴリズム)
    IKE 認証方式 事前共有キー
    IKE 暗号化アルゴリズム AES, 3DES
    IKE ハッシュアルゴリズム HMAC SHA1, HMAC SHA256, HMAC SHA384, HMAC SHA512, HMAC MD5
    ESP 暗号化アルゴリズム AES, 3DES
    ESP ハッシュアルゴリズム HMAC SHA1, HMAC SHA256, HMAC SHA256, HMAC SHA256, HMAC MD5
  • Citrix ADC アプライアンスと Cisco IOS デバイスで、CloudBridge Connectorの両端で同じ IPSec 設定を指定する必要があります。
  • Citrix ADCは、IKEハッシュアルゴリズムとESPハッシュアルゴリズムを指定するための共通パラメータ(IPSecプロファイル内)を提供します。また、IKE 暗号化アルゴリズムと ESP 暗号化アルゴリズムを指定するためのもう 1 つの共通パラメータも用意されています。 したがって、Cisco デバイスでは、IKE(IKE ポリシーの作成時)および ESP(IPSec トランスフォームセットの作成時)に同じハッシュアルゴリズムと同じ暗号化アルゴリズムを指定する必要があります。
  • 次のことを許可するには、Citrix ADC 側とCiscoデバイス側でファイアウォールを設定する必要があります。
    • ポート 500 の任意の UDP パケット
    • ポート 4500 に対する任意の UDP パケット
    • 任意の ESP(IP プロトコル番号 50)パケット

CloudBridge Connector トンネル用の Cisco IOS デバイスの設定

Cisco IOS デバイスで CloudBridge Connectorトンネルを設定するには、Cisco IOS コマンドラインインターフェイスを使用します。これは、Ciscoデバイスの設定、モニタリング、および保守のための主要なユーザインターフェイスです。

Cisco IOS デバイスで CloudBridge Connectorトンネルの設定を開始する前に、次の点を確認してください。

  • Cisco IOS デバイスに、管理者クレデンシャルを持つユーザアカウントがあること。
  • Cisco IOS コマンドラインインターフェイスに精通していること。
  • Cisco IOS デバイスは稼動しており、インターネットに接続されており、トラフィックが CloudBridge Connector トンネルを介して保護されるプライベートサブネットにも接続されています。

:

Cisco IOS デバイスで CloudBridge Connectorトンネルを設定する手順は、Ciscoのリリースサイクルによって時間が経つにつれ、変更されることがあります。詳細については、Cisco の公式製品ドキュメントに従うことをお勧めします。詳細については、「 IPsec VPNトンネルの構成 」を参照してください。

Citrix ADCアプライアンスとCisco IOSデバイスの間にCloudBridgeコネクタトンネルを設定するには、CiscoデバイスのIOSコマンドラインで次のタスクを実行します

  • IKE ポリシーを作成します。
  • IKE 認証用の事前共有キーを設定します。
  • トランスフォームセットを定義し、トンネルモードで IPSec を設定します。
  • 暗号アクセスリストを作成する
  • クリプトマップを作成する
  • インターフェイスにクリプトマップを適用する

次の手順の例では、「CloudBridge Connector の設定とデータフローの例」 で説明されているCisco IOS device Cisco-IOS-Device-1の設定を作成します。

IKE ポリシーを作成するにはIKE ポリシー pdf を参照してください。

Cisco IOS コマンドラインを使用して事前共有キーを設定するには、次の手順を実行します。

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを、表示されている順序で入力します。

コマンド コマンドの説明
crypto isakmp identity address Cisco-ios-device-1(config)# crypto isakmp identity address IKE ネゴシエーション中にピア(Citrix ADC アプライアンス)と通信するときに使用する Cisco IOS デバイスの ISAKMP アイデンティティ(アドレス)を指定します。次に、address キーワードを指定する例を示します。このキーワードでは、IP アドレス 203.0.113.200(Cisco-IOS-Device-1 のギガビットイーサネットインターフェイス 0/1)をデバイスのアイデンティティとして使用します。
crypto isakmp key keystringaddress peer-address Cisco-ios-device-1 (config)# crypto isakmp key examplepresharedkey address 198.51.100.100 IKE 認証の事前共有キーを指定します。この例では、Citrix ADCアプライアンス NS_アプライアンス 1(198.51.100.100)で使用する共有キーの例事前共有キーを構成します。Cisco IOS デバイスと Citrix ADC アプライアンス間でIKE 認証を成功させるには、Citrix ADC アプライアンスで同じ事前共有キーを設定する必要があります。

Cisco IOS コマンドラインを使用して暗号アクセスリストを作成するには、次の手順を実行します。

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを次の順序で入力します。

コマンド コマンドの説明
access-listaccess-list-number permit IPsource source-wildcard destination destination-wildcard Cisco-ios-device-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 CloudBridge Connector トンネルを介して IP トラフィックを保護するサブネットを決定する条件を指定します。この例では、サブネット 10.20.0/24(Cisco-IOS-デバイス 1 側)および 10.102.147.0/24(NS_アプライアンス 1 側)からのトラフィックを保護するように、アクセスリスト 111 を設定します。

Cisco IOS コマンドラインを使用して、トランスフォームを定義して IPSec トンネルモードを設定するには、次の手順を実行します。

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを、表示されている順序で入力します。 |コマンド|例|コマンドの説明| |–|–|–| |暗号化 ipsec transform-setname esp_authentication_Transform Esp_Authentication_transform 注:Esp_Authentication_Transform は次の値を取ることができます:esp-sha-hmac, esp-sha256-hmac, esp-sha512-hmac, esp-md5-hmac。Esp_encryption_Transform は次の値を取ることができます:esp-aes または esp-3des|Cisco-ios-device-1(config)# crypto ipsec transform-set NS-CISCO-TS esp-sha256-hmac esp-3des|トランスフォームセットを定義し、CloudBridge Connector トンネルピア間のデータ交換時に使用する ESP ハッシュアルゴリズム(認証用)と ESP 暗号化アルゴリズムを指定します。次の例では、トランスフォームセット NS-CISCO-TS を定義し、ESP 認証アルゴリズムを esp-sha256-hmac、ESP 暗号化アルゴリズムを esp-3des に指定しています。| |モードトンネル|Cisco-iOS-device-1(設定暗号トランス)# モードトンネル|IPSec をトンネルモードに設定します。| |exit|Cisco-iOS-device-1 (設定-crypto-trans) # 終了、Cisco-iOS-device-1 (設定) #|グローバル構成モードに戻ります。|

Cisco IOS コマンドラインを使用してクリプトマップを作成するには、次の手順を実行します。

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを、表示されている順序で入力します。

コマンド コマンドの説明
crypto mapmap-name seq-num ipsec-isakmp Cisco-ios-device-1 (config)# crypto map NS-CISCO-CM 2 ipsec-isakmp クリプトマップ構成モードを開始し、クリプトマップのシーケンス番号を指定し、IKE を使用してセキュリティアソシエーション(SA)を確立するようにクリプトマップを設定します。次に、クリプトマップ NS-CISCO-CM のシーケンス番号 2 および IKE を設定する例を示します。
set peer ip-address Cisco-ios-device-1 (config-crypto-map)# set peer 172.23.2.7 ピア(Citrix ADCアプライアンス)をIPアドレスで指定します。この例では、198.51.100.100を指定します。これは、Citrix ADCアプライアンス上のCloudBridge ConnectorのエンドポイントIPアドレスです。
match addressaccess-list-id Cisco-ios-device-1 (config-crypto-map)# match address 111 拡張アクセスリストを指定します。このアクセスリストは、CloudBridge Connector トンネルを介して IP トラフィックを保護するサブネットを決定する条件を指定します。次に、アクセスリスト 111 を指定する例を示します。
トランスフォームセットのトランスフォームセット名の設定 Cisco-ios-device-1 (config-crypto-map)# set transform-set NS-CISCO-TS このクリプトマップエントリに許可されるトランスフォームセットを指定します。次に、トランスフォームセット NS-CISCO-TS を指定する例を示します。
exit Cisco-ios-device-1 (config-crypto-map)# exit Cisco-ios-device-1 (config)# Exit back to global configuration mode.

Cisco IOS コマンドラインを使用してインターフェイスにクリプトマップを適用するには、次の手順を実行します。

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを、表示されている順序で入力します。

コマンド コマンドの説明
interfaceinterface-ID Cisco-ios-device-1(config)# interface GigabitEthernet 0/1 クリプトマップを適用する物理インターフェイスを指定し、インターフェイス構成モードを開始します。この例では、Ciscoデバイス Cisco-IOS-Device-1 のギガビットイーサネットインターフェイス 0/1 を指定します。IP アドレス 203.0.113.200 はすでにこのインターフェイスに設定されています。
crypto mapmap-name Cisco-ios-device-1 (config-if)# crypto map NS-CISCO-CM 物理インターフェイスにクリプトマップを適用します。次に、クリプトマップ NS-CISCO-CM を適用する例を示します。
exit Cisco-ios-device-1 (config-if)# exit, Cisco-ios-device-1 (config)# グローバル構成モードに戻ります。

CloudBridge Connectorトンネル用のCitrix ADCアプライアンスの構成

Citrix ADCアプライアンスとCisco IOSデバイス間のCloudBridge Connectorトンネルを設定するには、Citrix ADCアプライアンスで次のタスクを実行します。Citrix ADCコマンドラインまたはCitrix ADCグラフィカルユーザーインターフェイス(GUI)のいずれかを使用できます。

  • IPSecプロファイルを作成します。
  • IPSec プロトコルを使用する IP トンネルを作成し、IPSec プロファイルを関連付けます。
  • PBR ルールを作成し、IP トンネルに関連付けます。

Citrix ADCコマンドラインを使用してIPSECプロファイルを作成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

  • add ipsec profile <name> -psk <string> -ikeVersion v1
  • show ipsec profile <name>

Citrix ADCコマンドラインを使用してIPSECトンネルを作成し、IPSECプロファイルをバインドするには

コマンドプロンプトで、次のように入力します。

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • add ipTunnel <name>

Citrix ADCコマンドラインを使用してPBRルールを作成し、IPSECトンネルをそれにバインドするには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbrs <pbrName>

次のコマンドは、「 CloudBridge Connector の設定とデータフローの例」で説明されているCitrix ADC appliance NS_Appliance-1の設定を作成します

    >  add ipsec profile NS_Cisco_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –lifetime 315360 –encAlgo 3DES
    Done
    >  add iptunnel NS_Cisco_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco_IPSec_Profile  

    Done
    > add pbr NS_Cisco_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco_Tunnel  

    Done
    > apply pbrs

    Done
<!--NeedCopy-->

GUI を使用して IPSEC プロファイルを作成するには、次の手順を実行します

  1. [ システム ] > [ CloudBridge Connector ] > [ IPsec プロファイル]に移動します。
  2. 詳細ペインで、[Add] をクリックします。
  3. [IPSec プロファイルの追加] ダイアログボックスで、次のパラメータを設定します。
    • Name
    • 暗号化アルゴリズム
    • ハッシュアルゴリズム
    • IKE プロトコルバージョン
  4. 相互に認証するために 2 つの CloudBridge Connector トンネルピアで使用される IPsec 認証方法を設定します。 事前共有キー認証方法を選択し 、[ 事前共有キーが存在する ] パラメータを設定します。
  5. [Create] をクリックしてから、[Close] をクリックします。

GUI を使用して IP トンネルを作成し、IPSEC プロファイルをそのトンネルにバインドするには、次の手順を実行します

  1. [システム] > [CloudBridge Connector] > [IP トンネル] に移動します。
  2. [ IPv4 トンネル ] タブで、[ 追加] をクリックします。
  3. [Add IP Tunnel] ダイアログボックスで、次のパラメータを設定します。
    • Name
    • リモート IP
    • リモートマスク
    • ローカル IP タイプ ([ローカル IP タイプ] ドロップダウンリストで、[サブネット IP] を選択します)。
    • ローカル IP(選択した IP タイプの構成済みの IP はすべて、[ローカル IP] ドロップダウンリストに表示されます。リストから目的の IP を選択します)。
    • プロトコル
    • IPSec プロファイル
  4. [Create] をクリックしてから、[Close] をクリックします。

GUI を使用して PBR ルールを作成し、IPSEC トンネルをバインドするには

  1. [システム] > [ネットワーク] > [PBR] に移動します。
  2. [ PBR ] タブで、[ 追加] をクリックします。
  3. [PBRの作成]ダイアログボックスで、次のパラメータを設定します。
    • Name
    • 操作(アクション)
    • ネクストホップタイプ( IP トンネルの選択)
    • IP トンネル名
    • 送信元 IP の低
    • 送信元 IP 高
    • 宛先 IP の低
    • 宛先 IP 高
  4. [Create] をクリックしてから、[Close] をクリックします。

GUI を使用して PBR を適用するには、次の手順を実行します

  1. System > Network > PBRsに移動します。
  2. [PBR] タブで PBR を選択し、[アクション] リストで [適用] を選択します。

Citrix ADCアプライアンスの対応する新しいCloudBridge Connectorトンネル構成がGUIに表示されます。CloudBridge Connectorトンネルの現在のステータスは、[設定済み CloudBridge Connector] ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。

CloudBridge Connectorトンネルのモニタリング

CloudBridge Connectorのトンネル統計カウンタを使用して、Citrix ADCアプライアンス上のCloudBridge Connectorトンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge Connector トンネル統計の表示の詳細については、「 CloudBridge Connector トンネルの監視」を参照してください。

Citrix ADC アプライアンスと Cisco IOS デバイス間のCloudBridge Connectorトンネルの設定