Citrix ADC

Citrix ADC アプライアンスと Cisco IOS デバイス間のCloudBridge Connectorトンネルの設定

Citrix ADCアプライアンスとCiscoデバイス間のCloudBridge Connectorトンネルを構成して、2つのデータセンターを接続したり、ネットワークをクラウドプロバイダーに拡張したりできます。Citrix ADC アプライアンスと Cisco IOS デバイスは、CloudBridge Connectorトンネルのエンドポイントを形成し、ピアと呼ばれます。

CloudBridge Connectorのトンネル設定とデータフローの例

CloudBridge Connectorトンネルのトラフィックフローの図のように、CloudBridge Connectorトンネルが次のデバイス間でセットアップされる例について考えてみます。

  • データセンター1として指定されたデータセンター内のCitrix ADCアプライアンスNS_アプライアンス-1
  • データセンター-2 として指定されたデータセンター内の Cisco IOS デバイス Cisco IOS-デバイス 1

NS_Appliance-1 および Cisco-IOS-Device-1 は、CloudBridge Connectorトンネルを介したデータセンター 1 とデータセンター 2 のプライベートネットワーク間の通信を可能にします。この例では、NS_Appliance-1 および Cisco-IOS-Device-1 により、データセンター-1 のクライアント CL1 とデータセンター-2 のサーバ S1 との間の通信が CloudBridge Connectorトンネルを介して有効になります。クライアント CL1 とサーバー S1 は、異なるプライベートネットワーク上にあります。

NS_Appliance-1 では、CloudBridge Connectorトンネル設定には、IPSec プロファイルエンティティ NS_Cisco_IPSec_Profile、CloudBridge Connectorトンネルエンティティ NS_Cisco_Tunnel、およびポリシーベースルーティング(PBR)エンティティ NS_Cisco_Pbr が含まれます。

ローカライズされた画像

詳細については、Citrix ADC アプライアンスと Cisco IOS デバイス設定の間のCloudBridge Connectorトンネルpdfを参照してください。

CloudBridge Connectorのトンネル設定について考慮すべきポイント

Citrix ADCアプライアンスとCisco IOSデバイス間のCloudBridge Connectorトンネルを設定する前に、次の点を考慮してください。

  • Citrix ADC アプライアンスと Cisco IOS デバイス間のCloudBridge Connectorトンネルでは、次の IPSec 設定がサポートされています。
IPSec のプロパティ 設定
IPSec モード トンネルモード
IKE のバージョン バージョン1
IKE 認証方式 事前共有キー
IKE 暗号化アルゴリズム AES, 3DES
IKE ハッシュアルゴリズム HMAC SHA1, HMAC SHA256, HMAC SHA384, HMAC SHA512, HMAC MD5
ESP 暗号化アルゴリズム AES, 3DES
ESP ハッシュアルゴリズム HMAC SHA1, HMAC SHA256, HMAC SHA256, HMAC SHA256, HMAC MD5
  • Citrix ADC アプライアンスと Cisco IOS デバイスで、CloudBridge Connectorの両端で同じ IPSec 設定を指定する必要があります。
  • Citrix ADCは、IKEハッシュアルゴリズムとESPハッシュアルゴリズムを指定するための共通パラメータ(IPSecプロファイル内)を提供します。また、IKE 暗号化アルゴリズムと ESP 暗号化アルゴリズムを指定するためのもう 1 つの共通パラメータも用意されています。したがって、Cisco デバイスでは、IKE(IKE ポリシーの作成時)および ESP(IPSec トランスフォームセットの作成時)に同じハッシュアルゴリズムと同じ暗号化アルゴリズムを指定する必要があります。
  • 次のことを許可するには、Citrix ADC 側とCiscoデバイス側でファイアウォールを設定する必要があります。
    • ポート 500 の任意の UDP パケット
    • ポート 4500 に対する任意の UDP パケット
    • 任意の ESP(IP プロトコル番号 50)パケット

CloudBridge Connectorトンネル用の Cisco IOS デバイスの設定

Cisco IOS デバイスで CloudBridge Connectorトンネルを設定するには、Cisco IOS コマンドラインインターフェイスを使用します。これは、Ciscoデバイスの設定、モニタリング、および保守のための主要なユーザインターフェイスです。

Cisco IOS デバイスで CloudBridge Connectorトンネルの設定を開始する前に、次の点を確認してください。

  • Cisco IOS デバイスに、管理者クレデンシャルを持つユーザアカウントがあること。
  • Cisco IOS コマンドラインインターフェイスに精通していること。
  • Cisco IOS デバイスは稼動しており、インターネットに接続されており、トラフィックが CloudBridge Connector トンネルを介して保護されるプライベートサブネットにも接続されています。

Cisco IOS デバイスで CloudBridge Connectorトンネルを設定する手順は、Ciscoのリリースサイクルによって時間が経つにつれ、変更されることがあります。詳細については、Cisco製品の公式ドキュメントのIPSec VPN トンネルの設定トピックを参照してください。

Citrix ADC アプライアンスと Cisco IOS デバイス間の CloudBridge Connectorトンネルを設定するには、Ciscoデバイスの IOS コマンドラインで次のタスクを実行します。

  • IKE ポリシーを作成します。IKE ポリシーは、IKE ネゴシエーション中に使用されるセキュリティパラメータの組み合わせを定義します。たとえば、IKE ネゴシエーションで使用するハッシュアルゴリズム、暗号化アルゴリズム、Diffie-Hellman グループ、認証方式などのパラメータがこのタスクで設定されます。
  • IKE 認証用の事前共有キーを設定します。事前共有キーは、CloudBridge Connector トンネルのピアが相互に認証するために使用するテキスト文字列です。事前共有キーは、IKE 認証のために相互に照合されます。したがって、認証を成功させるには、Ciscoデバイスと Citrix ADC アプライアンスで同じ事前共有キーを設定する必要があります。
  • トランスフォームセットを定義し、トンネルモードで IPSec を設定します。トランスフォームセットは、IKE ネゴシエーションが成功した後、CloudBridge Connector トンネルを介したデータの交換に使用されるセキュリティパラメータの組み合わせを定義します。このタスクでは、ハッシュアルゴリズムや暗号化アルゴリズムなどのパラメータを設定します。このタスクでは、CloudBridge トンネルにトンネルモードの IPSec を使用することも指定します。
  • クリプトアクセスリストを作成します。暗号化アクセスリストは、CloudBridge トンネルを介して IP トラフィックを保護するサブネットを定義するために使用されます。アクセスリストの送信元パラメータと宛先パラメータでは、CloudBridge Connectorトンネル上で保護されるCiscoデバイス側および Citrix ADC 側のサブネットを指定します。アクセスリストは permit に設定する必要があります。Ciscoのデバイス側のサブネット内のデバイスから発信され、Citrix ADC 側のサブネット内のデバイスを宛先とし、アクセスリストの送信元パラメータと宛先パラメータに一致するすべての要求パケットは、CloudBridge Connector トンネルを介して送信されます。
  • クリプトマップを作成します。クリプトマップは、ピアとネゴシエートされる IPSec パラメータを定義します。これには、CloudBridge トンネルでトラフィックを保護するサブネットを識別する暗号化アクセスリスト、IP アドレスによるピア(Citrix ADC)識別、ピアセキュリティ設定に一致するようにトランスフォームセットが含まれます。
  • クリプトマップをインターフェイスに適用します。このタスクでは、CloudBridge Connector トンネルのトラフィックが流れるインターフェイスにクリプトマップを適用します。インターフェイスにクリプトマップを適用すると、Cisco IOS デバイスは、クリプトマップセットに対してすべてのインターフェイストラフィックを評価し、保護されるサブネットのトラフィックに代わって接続または SA ネゴシエーション中に指定されたポリシーを使用するように指示します。

次の手順の例では、「CloudBridge Connectorの設定とデータフローの例」で使用する Cisco IOS デバイス Cisco-IOS-Device-1 の設定を作成します。

IKE ポリシーを作成するには、IKE ポリシーPDF を参照してください。

Cisco IOS コマンドラインを使用して事前共有キーを設定するには

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを、表示されている順序で入力します。

コマンド コマンドの説明
crypto isakmp identity address Cisco-ios-device-1(config)# crypto isakmp identity address IKE ネゴシエーション中にピア(Citrix ADC アプライアンス)と通信するときに使用する Cisco IOS デバイスの ISAKMP アイデンティティ(アドレス)を指定します。次に、address キーワードを指定する例を示します。このキーワードでは、IP アドレス 203.0.113.200(Cisco-IOS-Device-1 のギガビットイーサネットインターフェイス 0/1)をデバイスのアイデンティティとして使用します。
crypto isakmp key keystringaddress peer-address Cisco-ios-device-1 (config)# crypto isakmp key examplepresharedkey address 198.51.100.100 IKE 認証の事前共有キーを指定します。この例では、Citrix ADCアプライアンス NS_アプライアンス 1(198.51.100.100)で使用する共有キーの例事前共有キーを構成します。Cisco IOS デバイスと Citrix ADC アプライアンス間でIKE 認証を成功させるには、Citrix ADC アプライアンスで同じ事前共有キーを設定する必要があります。

Cisco IOS コマンドラインを使用してクリプトアクセスリストを作成するには

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを次の順序で入力します。

コマンド コマンドの説明
access-listaccess-list-number permit IPsource source-wildcard destination destination-wildcard Cisco-ios-device-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 CloudBridge Connector トンネルを介して IP トラフィックを保護するサブネットを決定する条件を指定します。この例では、サブネット 10.20.0/24(Cisco-IOS-デバイス 1 側)および 10.102.147.0/24(NS_アプライアンス 1 側)からのトラフィックを保護するように、アクセスリスト 111 を設定します。

Cisco IOS コマンドラインを使用して、トランスフォームを定義し、IPSec トンネルモードを設定するには

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを、表示されている順序で入力します。 |コマンド||コマンドの説明| |–|–|–| |暗号化 IPsec トランスフォームセット名 ESP_認証_トランスフォーム ESP_暗号化_トランスフォーム 注:ESP_認証_トランスフォームには、次の値を使用できます。

esp-sha-hmac esp-sha256-hmac esp-sha384-hmac esp-sha512-hmac esp-md5-hmac

ESP_暗号化_変換次の値を取ることができます。

esp-aes esp-3des|Cisco-ios-device-1(config)# crypto ipsec transform-set NS-CISCO-TS esp-sha256-hmac esp-3des|トランスフォームセットを定義し、CloudBridge Connector トンネルピア間のデータ交換時に使用する ESP ハッシュアルゴリズム(認証用)と ESP 暗号化アルゴリズムを指定します。次の例では、トランスフォームセット NS-CISCO-TS を定義し、ESP 認証アルゴリズムを esp-sha256-hmac、ESP 暗号化アルゴリズムを esp-3des に指定しています。| |mode tunnel|Cisco-ios-device-1 (config-crypto-trans)# mode tunnel|Set IPSec in tunnel mode.| |exit|Cisco-ios-device-1 (config-crypto-trans)# exit, Cisco-ios-device-1 (config)#|Exit back to global configuration mode.|

Cisco IOS コマンドラインを使用してクリプトマップを作成するには

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを、表示されている順序で入力します。

|コマンド||コマンドの説明| |—|–|–| |crypto mapmap-name seq-num ipsec-isakmp|Cisco-ios-device-1 (config)# crypto map NS-CISCO-CM 2 ipsec-isakmp|クリプトマップ構成モードを開始し、クリプトマップのシーケンス番号を指定し、IKE を使用してセキュリティアソシエーション(SA)を確立するようにクリプトマップを設定します。次に、クリプトマップ NS-CISCO-CM のシーケンス番号 2 および IKE を設定する例を示します。| |set peer ip-address|Cisco-ios-device-1 (config-crypto-map)# set peer 172.23.2.7|ピア(Citrix ADCアプライアンス)をIPアドレスで指定します。この例では、198.51.100.100を指定します。これは、Citrix ADCアプライアンス上のCloudBridge ConnectorのエンドポイントIPアドレスです。| |match addressaccess-list-id|Cisco-ios-device-1 (config-crypto-map)# match address 111|拡張アクセスリストを指定します。このアクセスリストは、CloudBridge Connector トンネルを介して IP トラフィックを保護するサブネットを決定する条件を指定します。次に、アクセスリスト 111 を指定する例を示します。| |トランスフォームセットのトランスフォームセット名の設定|Cisco-ios-device-1 (config-crypto-map)# set transform-set NS-CISCO-TS|このクリプトマップエントリに許可されるトランスフォームセットを指定します。次に、トランスフォームセット NS-CISCO-TS を指定する例を示します。| |exit|Cisco-ios-device-1 (config-crypto-map)# exit Cisco-ios-device-1 (config)#|Exit back to global configuration mode.|

Cisco IOS コマンドラインを使用してインターフェイスにクリプトマップを適用するには

Cisco IOS デバイスのコマンドプロンプトで、グローバル構成モードで次のコマンドを、表示されている順序で入力します。

コマンド コマンドの説明
interfaceinterface-ID Cisco-ios-device-1(config)# interface GigabitEthernet 0/1 クリプトマップを適用する物理インターフェイスを指定し、インターフェイス構成モードを開始します。この例では、Ciscoデバイス Cisco-IOS-Device-1 のギガビットイーサネットインターフェイス 0/1 を指定します。IP アドレス 203.0.113.200 はすでにこのインターフェイスに設定されています。
crypto mapmap-name Cisco-ios-device-1 (config-if)# crypto map NS-CISCO-CM 物理インターフェイスにクリプトマップを適用します。次に、クリプトマップ NS-CISCO-CM を適用する例を示します。
exit Cisco-ios-device-1 (config-if)# exit, Cisco-ios-device-1 (config)# グローバル構成モードに戻ります。

CloudBridge Connectorトンネル用のCitrix ADCアプライアンスの構成

Citrix ADCアプライアンスとCisco IOSデバイス間のCloudBridge Connectorトンネルを設定するには、Citrix ADCアプライアンスで次のタスクを実行します。Citrix ADCコマンドラインまたはCitrix ADCグラフィカルユーザーインターフェイス(GUI)のいずれかを使用できます。

  • IPSec プロファイルを作成します。IPSec プロファイルエンティティは、IKE バージョン、暗号化アルゴリズム、ハッシュアルゴリズム、認証方法(事前共有キー)などの IPSec プロトコルパラメータを指定します。このパラメータは、CloudBridge Connector トンネル内の IPSec プロトコルで使用されます。
  • IPSec プロトコルを使用する IP トンネルを作成し、IPSec プロファイルを関連付けます。IPトンネルは、ローカルIPアドレス(Citrix ADCアプライアンス上で構成されたCloudBridge ConnectorトンネルエンドポイントIPアドレス(SNIPタイプ))、リモートIPアドレス(Cisco IOSデバイス上で構成されたCloudBridge ConnectorトンネルエンドポイントIPアドレス)、CloudBridge Connectorのセットアップに使用されるプロトコル(IPSec)を指定します。トンネル、および IPSec プロファイルエンティティです。作成された IP トンネルエンティティは、CloudBridge Connectorトンネルエンティティとも呼ばれます。
  • PBR ルールを作成し、IP トンネルに関連付けます。PBR エンティティは、一連のルールと IP トンネル (CloudBridge Connectorトンネル) エンティティを指定します。送信元 IP アドレスの範囲と宛先 IP アドレスの範囲は、PBR エンティティの条件です。送信元 IP アドレスの範囲を設定して、トンネル経由でトラフィックを保護する Citrix ADC 側のサブネットを指定し、宛先の IP アドレス範囲を設定して、トンネル経由でトラフィックを保護する Cisco IOS デバイス側のサブネットを指定します。Citrix ADC 側のサブネット内のクライアントから発信され、Cisco IOS デバイス側のサブネット内のサーバ宛てで、PBR エンティティの送信元および宛先 IP 範囲と一致する要求パケットは、PBR エンティティに関連付けられた CloudBridge Connector トンネルを介して送信されます。PBR ルールを適用して機能させます。

Citrix ADC コマンドラインを使用して IPSEC プロファイルを作成するには

コマンドプロンプトで、次のように入力します。

  • add ipsec profile <name> -psk <string> -ikeVersion v1
  • show ipsec profile <name>

Citrix ADC コマンドラインを使用して IPSEC トンネルを作成し、そのトンネルに IPSEC プロファイルをバインドするには

コマンドプロンプトで、次のように入力します。

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • add ipTunnel <name>

Citrix ADC コマンドラインを使用して PBR ルールを作成し、IPSEC トンネルをバインドするには

コマンドプロンプトで、次のように入力します。

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbrs <pbrName>

次のコマンドは、「CloudBridge Connectorの構成とデータフローの例」で、Citrix ADCアプライアンスのNS_Appliance-1の設定を作成します。

    >  add ipsec profile NS_Cisco_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –lifetime 315360 –encAlgo 3DES
    Done
    >  add iptunnel NS_Cisco_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco_IPSec_Profile

    Done
    > add pbr NS_Cisco_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco_Tunnel

    Done
    > apply pbrs

    Done

GUI を使用して IPSEC プロファイルを作成するには

  1. [システム] > [CloudBridge Connector] > [IPSec プロファイル] に移動します。
  2. 詳細ウィンドウで、[追加] をクリックします。
  3. [IPSec プロファイルの追加] ダイアログボックスで、次のパラメータを設定します。
    • 名前
    • 暗号化アルゴリズム
    • ハッシュアルゴリズム
    • IKE プロトコルバージョン
  4. 2 つの CloudBridge Connector トンネルピアが相互認証に使用する IPsec 認証方法を設定します。 事前共有キー認証 方法を選択し、 事前共有キーが存在 パラメータを設定します。
  5. [作成] をクリックし、[閉じる] をクリックします。

GUI を使用して IP トンネルを作成し、IPSEC プロファイルをそのトンネルにバインドするには

  1. [システム] > [CloudBridge Connector] > [IP トンネル] に移動します。
  2. [IPv4 トンネル] タブで、[追加] をクリックします。
  3. [Add IP Tunnel] ダイアログボックスで、次のパラメータを設定します。
    • 名前
    • リモート IP
    • リモートマスク
    • ローカル IP タイプ ([ローカル IP タイプ] ドロップダウンリストで、[サブネット IP] を選択します)。
    • ローカル IP(選択した IP タイプの構成済みの IP はすべて、[ローカル IP] ドロップダウンリストに表示されます。リストから目的の IP を選択します)。
    • プロトコル
    • IPSec プロファイル
  4. [作成] をクリックし、[閉じる] をクリックします。

GUI を使用して PBR ルールを作成し、IPSEC トンネルをバインドするには

  1. [システム] > [ネットワーク] > [PBR] に移動します。
  2. [PBR] タブで、[追加] をクリックします。
  3. [PBR を作成] ダイアログボックスで、次のパラメータを設定します。
    • 名前
    • 操作(アクション)
    • ネクストホップタイプ( IP トンネルの選択)
    • IP トンネル名
    • 送信元 IP の低
    • 送信元 IP 高
    • 宛先 IP の低
    • 宛先 IP 高
  4. [作成] をクリックし、[閉じる] をクリックします。

GUI を使用して PBR を適用するには

  1. [システム] > [ネットワーク] > [PBR] に移動します。
  2. [PBR] タブで PBRを選択し、[アクション] リストで[ 適用] を選択します。

Citrix ADCアプライアンスの対応する新しいCloudBridge Connectorトンネル構成がGUIに表示されます。CloudBridge Connectorトンネルの現在のステータスは、[設定済み CloudBridge Connector] ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。

CloudBridge Connectorトンネルのモニタリング

CloudBridge Connectorのトンネル統計カウンタを使用して、Citrix ADCアプライアンス上のCloudBridge Connectorトンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge Connectorトンネルの統計情報の表示の詳細については、「CloudBridge Connectorトンネルのモニタリング」を参照してください。

Citrix ADC アプライアンスと Cisco IOS デバイス間のCloudBridge Connectorトンネルの設定