ADC

CloudBridge Connector の相互運用性 — StrongSwan

StrongSwan は Linux プラットフォーム用のオープンソースの IPsec 実装です。 NetScalerアプライアンスとStrongSwanアプライアンスの間にCloudBridge Connectorトンネルを構成して、2つのデータセンターを接続したり、ネットワークをクラウドプロバイダーに拡張したりできます。NetScalerアプライアンスとStrongSwanアプライアンスはCloudBridge Connector トンネルのエンドポイントを形成し、ピアと呼ばれます。

CloudBridge Connector のトンネル設定の例

CloudBridge Connector トンネル内のトラフィックフローの図として、次のデバイス間にCloudBridge Connector トンネルが設定されている例を考えてみましょう。

  • データセンター1として指定されたデータセンターにあるNetScalerアプライアンスNS_Appliance-1
  • データセンター2として指定されたデータセンター内のStrongSwanアプライアンス StrongSwanアプライアンス-1

NS_Appliance-1とStrongSwan-Appliance-1は、CloudBridge Connector トンネルを介してデータセンター1とデータセンター2のプライベートネットワーク間の通信を可能にします。この例では、NS_Appliance-1とStrongSwan-Appliance-1により、CloudBridge Connector トンネルを介してデータセンター1のクライアントCL1とデータセンター2のサーバーS1間の通信が可能になります。クライアント CL1 とサーバー S1 は、異なるプライベートネットワーク上にあります。

NS_Appliance-1 では、CloudBridge Connector のトンネル構成には IPsec プロファイルエンティティ NS_strongSwan_IPsec_Profile、CloudBridge Connector トンネルエンティティ NS_StrongSwan_Tunnel、およびポリシーベースルーティング (PBR) エンティティ NS_strongSwan_PBR が含まれます。

ローカライズされた画像

次の表に、この例で使用されている設定の一覧を示します。

CloudBridge Connector のトンネル設定の主な設定

エンティティ 詳細
データセンター 1 の CloudBridge Connector トンネルエンドポイント (NS_Appliance-1) の IP アドレス 198.51.100
データセンター 2 の CloudBridge Connector トンネルエンドポイント (StrongSwan-Appliance-1) の IP アドレス 203.0.113.200
データセンター — CloudBridge Connector トンネルを介してトラフィックを保護する 1 のサブネット 10.102.147.0/24
データセンター — CloudBridge Connector トンネルを介してトラフィックを保護する 2 のサブネット 10.20.20.0/24

データセンター1のNetScalerアプライアンスNS_アプライアンス1の設定

|SNIP1 (参照のみを目的としています)|198.51.100| |–|–|–| |IPSec profile|NS_StrongSwan_IPSec_Profile|IKE version: v1, Encryption algorithm: AES, Hash algorithm: HMAC_SHA1 psk = examplepresharedkey (Note: This is an example of a pre-share key, for illustration. NetScalerでは、この文字列をCloudBridge Connector 構成に使用することはお勧めしません) | |CloudBridgeコネクタトンネル|NS_strongswan_Tunnel|リモートIP = 203.0.113.200、ローカルIP= 198.51.100.100、トンネルプロトコル = IPSEC、IPsecプロファイル= NS_strongSwan_IPsec_profile| |ポリシーベースのルート|NS_strongSwan_PBRR |送信元 IP 範囲 = データセンターのサブネット -1=10.102.147.255、宛先 IP 範囲 = データセンターのサブネット -2=10.20.20.0-10.20.255、IP トンネル = NS_strongswan_Tunnel|

CloudBridge Connectorのトンネル設定について考慮すべきポイント

CloudBridge Connector トンネルの設定を開始する前に、次のことを確認してください。

  • Linux の構成に関する基本的な知識があります。
  • IPsec プロトコルスイートに関する基本的な知識があります。
  • StrongSwan アプライアンスは稼働中で、インターネットに接続されています。また、CloudBridge Connector トンネルを介してトラフィックを保護するプライベートサブネットにも接続されています。
  • NetScalerアプライアンスは稼働中で、インターネットに接続されています。また、CloudBridge Connectorトンネルを介してトラフィックを保護するプライベートサブネットにも接続されています。
  • NetScalerアプライアンスとStrongSwanアプライアンスの間のCloudBridge Connector トンネルでは、次のIPsec設定がサポートされています。
    • IPsec モード:トンネルモード
    • IKE バージョン:バージョン 1
    • IKE 認証方法:事前共有キー
    • IKE 暗号化アルゴリズム:AES
    • IKE ハッシュアルゴリズム:HMAC SHA1
    • ESP 暗号化アルゴリズム:AES
    • ESP ハッシュアルゴリズム:HMAC SHA1
  • CloudBridge Connector トンネルの両端にあるNetScalerアプライアンスとStrongSwanアプライアンスで同じIPsec設定を指定する必要があります。
  • NetScalerには、IKEハッシュアルゴリズムとESPハッシュアルゴリズムを指定するための共通パラメータ(IPSecプロファイル)が用意されています。また、IKE 暗号化アルゴリズムと ESP 暗号化アルゴリズムを指定するためのもう 1 つの共通パラメータも用意されています。 そのため、StrongSwan アプライアンスでは、IPSec.conf ファイルの IKE パラメータと ESP パラメータに同じハッシュアルゴリズムと同じ暗号化アルゴリズムを指定する必要があります。
  • 次のことを許可するには、NetScaler側とStrongSwan側でファイアウォールを構成する必要があります。
    • ポート 500 の任意の UDP パケット
    • ポート 4500 の任意の UDP パケット
    • 任意の ESP(IP プロトコル番号 50)パケット

CloudBridge Connector トンネル用の StrongSwan の設定

NetScalerアプライアンスとStrongSwanアプライアンスの間にCloudBridge Connector トンネルを構成するには、StrongSwanアプライアンスで次のタスクを実行します。

  • ipsec.confファイルにIPsec.conf接続情報を指定します。ipsec.confファイルには、StrongSwanアプライアンス内のIPsec接続のすべての制御および構成情報が定義されます
  • ipsec.secretsファイルに事前共有キーを指定します。ipsec.secretsファイルには、StrongSwanアプライアンスでのIPsec接続のIKE/IPsec認証のシークレットが定義されています

StrongSwan アプライアンスで IPsec VPN(CloudBridge Connectorトンネル)を設定する手順は、StrongSwan のリリースサイクルによって時間とともに変化する可能性があります。 IPsec VPNトンネルの構成に関する公式のStrongSwanドキュメントに従うことをお勧めします

ipsec.conf ファイルのサンプル抜粋に続いて、IPsec VPN トンネルを設定するための IPsec 情報を指定します。詳細については、「CloudBridge Connector設定の例」トピックを参照してください。詳細については、「 CloudBridge Connector の設定 」を参照してください。

ipsec.secrets ファイルのサンプル抜粋に続いて、IPsec VPN トンネルを設定するための IKE 認証事前共有キーを指定します(「CloudBridge Connector設定の例」トピックを参照)。

/etc/ipsec.secrets

PSK ‘examplepresharedkey’ #pre-shared key for IPsec IKE authentication

CloudBridge Connectorトンネル用のCitrix ADCアプライアンスの構成

NetScalerアプライアンスとStrongSwanアプライアンスの間にCloudBridge Connector トンネルを構成するには、NetScalerアプライアンスで次のタスクを実行します。NetScalerコマンドラインまたはNetScalerグラフィカルユーザーインターフェイス(GUI)のいずれかを使用できます。

  • IPsec プロファイルを作成します。IPSecプロファイルエンティティは、IKEバージョン、暗号化アルゴリズム、ハッシュアルゴリズム、CloudBridge Connector トンネル内のIPsecプロトコルで使用される認証方法などのIPsecプロトコルパラメータを指定します。
  • IPsec プロトコルを使用する IP トンネルを作成し、IPsec プロファイルをそれに関連付けます。IPトンネルは、ローカルIPアドレス(NetScalerアプライアンス上で構成されたCloudBridge Connector のトンネルエンドポイントIPアドレス(SNIPタイプ))、リモートIPアドレス(StrongSwanアプライアンス上で構成されたCloudBridge Connector のトンネルエンドポイントIPアドレス)、CloudBridge Connector トンネルのセットアップに使用されるプロトコル(IPsec)、およびIPsecプロファイルエンティティを指定します。作成された IP トンネルエンティティは、CloudBridge Connectorトンネルエンティティとも呼ばれます。
  • PBR ルールを作成して IP トンネルに関連付けます。PBR エンティティは、ルールセットと IP トンネル (CloudBridge Connector トンネル) エンティティを指定します。送信元 IP アドレス範囲と宛先 IP アドレス範囲は PBR エンティティの条件です。送信元IPアドレス範囲を設定してトラフィックをトンネルで保護するNetScaler側のサブネットを指定し、宛先IPアドレス範囲を設定してトラフィックをトンネルで保護するStrongSwan側のサブネットを指定します。

NetScalerコマンドラインを使用してIPSECプロファイルを作成するには

コマンドプロンプトで入力します。

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1
  • show ipsec profile <name>

NetScalerコマンドラインを使用してIPSECトンネルを作成し、IPSECプロファイルをそのトンネルにバインドするには

コマンドプロンプトで入力します。

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

NetScalerコマンドラインを使用してPBRルールを作成し、IPSECトンネルをそのルールにバインドするには

コマンドプロンプトで入力します。

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

GUI を使用して IPSEC プロファイルを作成するには

  1. [ **システム ] > [ CloudBridge Connector **** ] > [ IPsec プロファイル] に移動します。**
  2. 詳細ウィンドウで、[ 追加] をクリックします。
  3. IPsec プロファイルの追加ページで 、次のパラメータを設定します。
    • 名前
    • 暗号化アルゴリズム
    • ハッシュアルゴリズム
    • IKE プロトコルバージョン
  4. 2 つの CloudBridge Connector トンネルピアが相互認証に使用する IPsec 認証方法を設定します。事前共有キー認証方法を選択し、事前共有キーが存在するパラメータを設定します
  5. [ 作成] をクリックし、[ 閉じる] をクリックします。

GUI を使用して IP トンネルを作成し、IPSEC プロファイルをそのトンネルにバインドするには

  1. [ システム ] > [ CloudBridge Connector ] > [ IPトンネル] に移動します。
  2. IPv4 トンネル」タブで、「追加」をクリックします。
  3. IP トンネルの追加ページで、次のパラメータを設定します。
    • 名前
    • リモート IP
    • リモートマスク
    • ローカル IP タイプ (「ローカル IP タイプ」ドロップダウンリストで、「 サブネット IP」を選択します)。
    • ローカル IP(選択した IP タイプの設定済み IP アドレスがすべてローカル IP ドロップダウンリストに表示されます。リストから目的の IP を選択します。)
    • Protocol
    • IPSec プロファイル
  4. [ 作成] をクリックし、[ 閉じる] をクリックします。

GUI を使用して PBR ルールを作成し、IPSEC トンネルをそのルールにバインドするには

  1. [ システム ] > [ ネットワーク ] > [ PBR] に移動します。
  2. [ PBR ] タブで、[ 追加] をクリックします。
  3. [PBR の作成(Create PBR )] ページで、次のパラメータを設定します。
    • 名前
    • アクション
    • ネクストホップタイプ ( IP トンネルの選択)
    • IP トンネル名
    • 送信元 IP アドレスが低い
    • ソース IP ハイ
    • デスティネーション IP フロー
    • デスティネーション IP ハイ
  4. [ 作成] をクリックし、[ 閉じる] をクリックします。

NetScalerアプライアンス上の対応する新しいCloudBridge Connector トンネル構成がGUIに表示されます。CloudBridge Connector トンネルの現在のステータスは、設定済みのCloudBridgeコネクタペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。 次のコマンドは、「CloudBridge Connector 構成の例」のNetScalerアプライアンスNS_Appliance-1の設定を作成します。

    > add ipsec profile NS_StrongSwan_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1


    Done

    > add iptunnel NS_StrongSwan_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_StrongSwan_IPSec_Profile


    Done

    > add pbr NS_StrongSwan_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_StrongSwan_Tunnel


    Done

    > apply pbrs


    Done
<!--NeedCopy-->

CloudBridge Connector トンネルの監視

CloudBridge Connectorのトンネル統計カウンタを使用して、Citrix ADCアプライアンス上のCloudBridge Connectorトンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge Connector トンネル統計の表示の詳細については、「 CloudBridge Connector トンネルの監視」を参照してください。

CloudBridge Connector の相互運用性 — StrongSwan