Citrix ADC

CloudBridge Connectorの相互運用性 — F5 ビッグIP

Citrix ADCアプライアンスとF5 BIG-IPアプライアンスの間にCloudBridge Connectorトンネルを構成して、2つのデータセンターを接続したり、ネットワークをクラウドプロバイダーに拡張したりできます。Citrix ADCアプライアンスとF5 BIG-IPアプライアンスは、CloudBridge Connectorトンネルのエンドポイントを形成し、ピアと呼ばれます。

CloudBridge Connectorのトンネル設定の例

CloudBridge Connectorトンネルのトラフィックフローの図のように、CloudBridge Connectorトンネルが次のデバイス間でセットアップされる例について考えてみます。

  • データセンター1として指定されたデータセンター内のCitrix ADCアプライアンスNS_アプライアンス-1
  • データセンター-2 として指定されたデータセンター内の F5 BIG-IP アプライアンス F5-BIG-IP アプライアンス 1

NS_Appliance-1 および F5-BIG-IP-Appliance-1 は、データセンター 1 とデータセンター 2 のプライベートネットワーク間で CloudBridge Connectorトンネルを介して通信できるようにします。この例では、NS_アプライアンス 1 と F5-BIG-IP-アプライアンス 1 は、データセンター-1 のクライアント CL1 と、データセンター-2 のサーバー S1 との間の通信を CloudBridge Connectorトンネルを介して有効にします。クライアント CL1 とサーバー S1 は、異なるプライベートネットワーク上にあります。

NS_Appliance-1 では、CloudBridge Connectorのトンネル設定には、IPSec プロファイルエンティティ NS_F5-BIG-IPSec_Profile、CloudBridge Connectorトンネルエンティティ NS_F5-BIG-IP_Tunnel、ポリシーベースルーティング(PBR)エンティティ NS_F5-BIG-IP_Pbr が含まれます。

ローカライズされた画像

詳細については、ビッグIPアドレスpdfを参照してください。

CloudBridge Connectorのトンネル設定について考慮すべきポイント

  • Citrix ADCアプライアンスは稼働しており、インターネットに接続されており、CloudBridge Connectorトンネルを介してトラフィックを保護するプライベートサブネットにも接続されています。
  • F5 BIG-IP アプライアンスは稼働しており、インターネットに接続されており、トラフィックが CloudBridge Connector トンネルを介して保護されるプライベートサブネットにも接続されています。
  • Citrix ADCアプライアンスとF5 BIG-IPアプライアンス間のCloudBridge Connectorトンネルでは、以下のIPSec設定がサポートされています。
    • IPSec モード:トンネルモード
    • IKE バージョン:バージョン 1
    • IKE 認証方法:事前共有キー
    • IKE 暗号化アルゴリズム:AES
    • IKE ハッシュアルゴリズム:HMAC SHA1
    • ESP 暗号化アルゴリズム:AES
    • ESP ハッシュアルゴリズム:HMAC SHA1
  • CloudBridge Connectorトンネルの両端で、Citrix ADC アプライアンスと F5 BIG-IP アプライアンスで同じ IPSec 設定を指定する必要があります。
  • Citrix ADCは、IKEハッシュアルゴリズムとESPハッシュアルゴリズムを指定するための共通パラメータ(IPSecプロファイル内)を提供します。また、IKE 暗号化アルゴリズムと ESP 暗号化アルゴリズムを指定するためのもう 1 つの共通パラメータも用意されています。したがって、F5 BIG-IP アプライアンスでは、IKE(フェーズ 1構成)と ESP(フェーズ 2構成)で同じハッシュアルゴリズムと同じ暗号化アルゴリズムを指定する必要があります。
  • 次のことを許可するには、Citrix ADC側とF5 BIG-IP側でファイアウォールを構成する必要があります。
    • ポート 500 の任意の UDP パケット
    • ポート 4500 に対する任意の UDP パケット
    • 任意の ESP(IP プロトコル番号 50)パケット

CloudBridge Connectorトンネルの F5 BIG-IP の設定

Citrix ADC アプライアンスと F5 BIG-IP アプライアンス間のCloudBridge Connectorトンネルを設定するには、F5 BIG-IP アプライアンスで次のタスクを実行します。

  • IPsec 用の転送仮想サーバーを作成します。転送仮想サーバは、IPsec トンネルの IP トラフィックを代行受信します。
  • IKE ピアを作成します。IKE ピアは、ローカルおよびリモートの IPsec トンネルエンドポイントを指定します。また、IPsec IKE フェーズ 1 で使用するアルゴリズムとクレデンシャルも指定します。
  • カスタム IPsec ポリシーを作成します。ポリシーは、IPsec トンネルの形成に使用する IPSec プロトコル (ESP) とモード (トンネル) を指定します。また、IKE IPsec フェーズ 2 で使用するアルゴリズムとセキュリティパラメータも指定します。
  • 双方向 IPsec トラフィックセレクタを作成します。トラフィックセレクタは、IPトラフィックがIPSecトンネルを通過するF5 BIG-IP側とCitrix ADC側のサブネットを指定します。

F5 BIG-IP アプライアンスで IPsec VPN(CloudBridge Connectorトンネル)を設定する手順は、F5 リリースサイクルによっては時間が経つにつれ、変更されることがあります。IPSec VPNトンネルの構成については、F5 BIG-IPの公式ドキュメントに従うことをお勧めします。

https://f5.com

F5 BIG-IP GUI を使用して IPsec 用の転送仮想サーバーを作成するには

  1. [メイン] タブで、[ローカルトラフィック] > [仮想サーバー] をクリックし、[作成] をクリックします。
  2. 新規仮想サーバー・リスト」 画面で、次のパラメータを設定します。
    • 名前。仮想サーバの一意の名前を入力します。
    • [** タイプ]:** [転送 (IP)] を選択します。
    • 宛先アドレス。ワイルドカードネットワークアドレスを CIDR 形式で入力します。たとえば、IPv4 の場合は 0.0.0.0/0 と入力して、すべてのトラフィックを受け入れます。
    • サービスポート。リストから [すべてのポート] を選択します。
    • プロトコルリスト。リストから [すべてのプロトコル] を選択します。
    • VLAN およびトンネルトラフィック。デフォルトの [すべての VLAN とトンネル] のままにします。
  3. [完了] をクリックします。

F5 BIG-IP GUI を使用してカスタム IPsec ポリシーを作成するには

  1. [メイン] タブで、[ネットワーク] > [IPsec] > [IPsec ポリシー] をクリックし、[作成] をクリックします。
  2. [新しいポリシー] 画面で、次のパラメータを設定します。
    • 名前。ポリシーの一意の名前を入力します。
    • IPsec プロトコル。デフォルトの選択である ESP を保持します。
    • モード。[トンネル] を選択します。画面が更新され、関連する追加設定が表示されます。
    • トンネルローカルアドレス。ローカル IPsec トンネルエンドポイントの IP アドレスを入力します(F5 BIG-IP アプライアンスで構成)。
    • トンネルリモートアドレス。リモートの IPsec トンネルのエンドポイントの IP アドレス(Citrix ADC アプライアンスで構成)を入力します。
  3. IKE フェーズ 2 パラメータの場合は、デフォルト値をそのまま使用するか、展開に適したオプションを選択します。
  4. [完了] をクリックします。

F5 BIG-IP GUI を使用して双方向 IPsec トラフィックセレクタを作成するには

  1. [メイン] タブで、[ネットワーク] > [IPsec] > [トラフィックセレクタ] をクリックし、[作成] をクリックします。
  2. [新しいトラフィックセレクタ] 画面で、次のパラメータを設定します。
    • 名前。トラフィックセレクタの一意の名前を入力します。
    • 注文。既定値 ([最初])をそのまま使用します。この設定では、トラフィックセレクタが [Traffic Selector List] 画面に表示される順序を指定します。
  3. 構成 」リストから「 詳細 」を選択し、次のパラメータを設定します。
    • 送信元 IP アドレス。[** ホスト] または [ネットワーク] をクリックし、[アドレス] フィールドに、IPsec トンネルを介してトラフィックを保護する F5 BIG-IP 側のサブネットのアドレスを入力します。**
    • 送信元ポート。[* すべてのポート] を選択します。
    • 宛先 IP アドレス。[ホスト]をクリックし、[アドレス]フィールドに、トラフィックがIPSecトンネル上で保護されるCitrix ADC側のサブネットのアドレスを入力します。
    • 宛先ポート。[* すべてのポート] を選択します。
    • プロトコル。[* すべてのプロトコル] を選択します。
    • [方向]: [両方] を選択します。
    • アクション。[保護]を選択します。[IPsec ポリシー名] の設定が表示されます。
    • IPsec ポリシー名。作成したカスタム IPsec ポリシーの名前を選択します。
  4. [完了] をクリックします。

CloudBridge Connectorトンネル用のCitrix ADCアプライアンスの構成

Citrix ADCアプライアンスとF5 BIG-IPアプライアンスの間にCloudBridge Connectorトンネルを設定するには、Citrix ADCアプライアンスで次のタスクを実行します。Citrix ADCコマンドラインまたはCitrix ADCグラフィカルユーザーインターフェイス(GUI)のいずれかを使用できます。

  • IPSec プロファイルを作成します。IPSec プロファイルエンティティは、IKE バージョン、暗号化アルゴリズム、ハッシュアルゴリズム、認証方法などの IPSec プロトコルパラメータを指定します。このパラメータは、CloudBridge Connector トンネル内の IPSec プロトコルで使用されます。
  • IPSec プロトコルを使用する IP トンネルを作成し、IPSec プロファイルを関連付けます。IPトンネルは、ローカルIPアドレス(Citrix ADCアプライアンス上で構成されたCloudBridge ConnectorトンネルエンドポイントIPアドレス(SNIPタイプ))、リモートIPアドレス(F5ビッグIPアプライアンス上で構成されたCloudBridge ConnectorトンネルエンドポイントIPアドレス)、CloudBridgeのセットアップに使用するプロトコル(IPSec)を指定します。コネクタトンネル、および IPSec プロファイルエンティティ。作成された IP トンネルエンティティは、CloudBridge Connectorトンネルエンティティとも呼ばれます。
  • PBR ルールを作成し、IP トンネルに関連付けます。PBR エンティティは、一連のルールと IP トンネル (CloudBridge Connectorトンネル) エンティティを指定します。送信元 IP アドレスの範囲と宛先 IP アドレスの範囲は、PBR エンティティの条件です。送信元 IP アドレスの範囲を設定して、トンネル経由でトラフィックを保護する Citrix ADC 側のサブネットを指定し、送信先 IP アドレス範囲を設定して、トンネル経由でトラフィックを保護する F5 BIG-IP 側のサブネットを指定します。

Citrix ADC コマンドラインを使用して IPSEC プロファイルを作成するには

コマンドプロンプトで、次のように入力します。

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLE
  • show ipsec profile** <name>

Citrix ADC コマンドラインを使用して IPSEC トンネルを作成し、そのトンネルに IPSEC プロファイルをバインドするには

コマンドプロンプトで、次のように入力します。

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

Citrix ADC コマンドラインを使用して PBR ルールを作成し、IPSEC トンネルをバインドするには

コマンドプロンプトで、次のように入力します。

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

GUI を使用して IPSEC プロファイルを作成するには

  1. [システム] > [CloudBridge Connector] > [IPSec プロファイル] に移動します。
  2. 詳細ウィンドウで、[追加] をクリックします。
  3. [IPSec プロファイルの追加] ページで、次のパラメータを設定します。
    • 名前
    • 暗号化アルゴリズム
    • ハッシュアルゴリズム
    • IKE プロトコルバージョン
  4. 2 つの CloudBridge Connector トンネルピアが相互認証に使用する IPSec 認証方法を設定します。 事前共有キー認証方法 を選択し、 事前共有キーが存在 パラメータを設定します。
  5. [作成] をクリックし、[閉じる] をクリックします。

GUI を使用して IP トンネルを作成し、IPSEC プロファイルをそのトンネルにバインドするには

  1. [システム] > [CloudBridge Connector] > [IP トンネル] に移動します。
  2. [IPv4 トンネル] タブで、[追加] をクリックします。
  3. [** IP トンネルの追加**] ページで、次のパラメータを設定します。
    • 名前
    • リモート IP
    • リモートマスク
    • [ローカル IP タイプ] ([ローカル IP タイプ] ドロップダウンリストで、[サブネット IP] を選択します)。
    • ローカル IP(選択した IP タイプの構成済みの IP アドレスはすべて、[ローカル IP] ドロップダウンリストに表示されます。リストから目的の IP を選択します)。
    • プロトコル
    • IPSec プロファイル
  4. [作成] をクリックし、[閉じる] をクリックします。

GUI を使用して PBR ルールを作成し、IPSEC トンネルをバインドするには

  1. [システム] > [ネットワーク] > [PBR] に移動します。
  2. [PBR] タブで、[追加] をクリックします。
  3. [PBR の作成] ページで、次のパラメータを設定します。
    • 名前
    • 操作(アクション)
    • ネクストホップタイプ( IP トンネルの選択)
    • IP トンネル名
    • 送信元 IP の低
    • 送信元 IP 高
    • 宛先 IP の低
    • 宛先 IP 高
  4. [作成] をクリックし、[閉じる] をクリックします。

Citrix ADCアプライアンスの対応する新しいCloudBridge Connectorトンネル構成がGUIに表示されます。CloudBridge Connectorトンネルの現在のステータスは、[設定済み CloudBridge Connector] ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。

次のコマンドは、「CloudBridge Connector構成の例」で、Citrix ADCアプライアンスのNS_Appliance-1の設定を作成します。 :

    >  add ipsec profile NS_F5-BIG-IP_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE


    Done

    >  add iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_F5-BIG-IP_IPSec_Profile


    Done

    > add pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_F5-BIG-IP_Tunnel


    Done

    > apply pbrs


    Done

CloudBridge Connectorトンネルの監視

CloudBridge Connectorのトンネル統計カウンタを使用して、Citrix ADCアプライアンス上のCloudBridge Connectorトンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge Connectorトンネルの統計情報の表示の詳細については、「CloudBridge Connectorトンネルのモニタリング」を参照してください。

CloudBridge Connectorの相互運用性 — F5 ビッグIP