CloudBridge Connector 互操作性 — Cisco ASA

您可以在 Citrix ADC 设备和 Cisco ASA 设备之间配置 CloudBridge Connector 通道,以连接两个数据中心或将网络扩展到云提供商。Citrix ADC 设备和 Cisco ASA 设备构成 CloudBridge Connector 通道的终点,称为对等。

CloudBridge Connector 通道配置示例

作为 CloudBridge Connector 通道中流量的示例,请考虑在以下设备之间设置 CloudBridge Connector 通道的示例:

  • 数据中心指定为 Datacenter-1 的 Citrix ADC 设备 NS_Appliance-1
  • 数据中心中指定为 Datacenter-2 的 Cisco ASA 设备 Cisco-ASA-Appliance-1

NS_Appliance-1 和 Cisco-ASA-Appliance-1 可以通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在此示例中,NS_Appliance-1 和 Cisco-ASA-Appliance-1 通过 CloudBridge Connector 通道启用 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间的通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_Cisco-ASA_IPsec_Profile、CloudBridge Connector 通道实体 NS_Cisco-ASA_Tunnel 和基于策略的路由 (PBR) 实体 NS_Cisco-ASA_Pbr。

本地化后的图片

CloudBridge Connector 通道配置需要考虑的事项

在开始配置 CloudBridge Connector 通道之前,请确保:

  • Citrix ADC 设备和 Cisco ASA 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。
IPsec 属性 设置
IPsec 模式 通道模式
IKE 版本 版本 1
IKE 身份验证方法 预共享密钥
IKE 加密算法 AES、3DES
IKE 哈希算法 HMAC SHA1、HMAC MD5
ESP 加密算法 AES、3DES
ESP 哈希算法 HMAC SHA1、HMAC MD5
  • 您必须在 Citrix ADC 设备和 CloudBridge Connector 通道两端的 Cisco ASA 设备上指定相同的 IPsec 设置。
  • Citrix ADC 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的常见参数。因此,在 Cisco ASA 设备中,必须在 IKE(阶段 1 配置)和 ESP(阶段 2 配置)中指定相同的哈希算法和相同的加密算法。
  • 必须在 Citrix ADC 端和 Cisco ASA 端配置防火墙,以允许执行以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包

为 CloudBridge Connector 通道配置 Cisco ASA

要在 Cisco ASA 设备上配置 CloudBridge Connector 通道,请使用 Cisco ASA 命令行界面,该界面是用于配置、监视和维护 Cisco ASA 设备的主用户界面。

在 Cisco ASA 设备上开始 CloudBridge Connector 通道配置之前,请确保:

  • 您在 Cisco ASA 设备上有一个具有管理员凭据的用户帐户。
  • 您熟悉 Cisco ASA 命令行界面。
  • Cisco ASA 设备已启动并且正在运行,连接到 Internet,并且还连接到专用子网,其流量将通过 CloudBridge Connector 通道受到保护。

注意

在 Cisco ASA 设备上配置 CloudBridge Connector 通道的过程可能会随着时间的推移而发生变化,具体取决于 Cisco 发布周期。Citrix 建议您遵循关于配置 IPsec VPN 通道的官方 Cisco ASA 产品文档,网站为:

要在 Citrix ADC 设备和 Cisco ASA 设备之间配置 CloudBridge Connector 通道,请在 Cisco ASA 设备的命令行上执行以下任务:

  • 创建 IKE 策略。IKE 策略定义了 IKE 协商(阶段 1)期间要使用的安全参数的组合。例如,在此任务中设置了要在 IKE 协商中使用的诸如哈希算法、加密算法和身份验证方法等参数。
  • 在外部接口上启用 IKE。在外部接口上启用 IKE,通道流量将通过该接口流向通道对等层。
  • 创建通道组。通道组指定通道类型和预共享密钥。通道类型必须设置为 IPsec-l2l,代表 IPsec 局域网到局域网。预共享密钥是一个文本字符串,CloudBridge Connector 通道的对等级用于相互进行身份验证。预共享的密钥相互匹配,以便进行 IKE 身份验证。因此,要成功进行身份验证,必须在 Cisco ASA 设备和 Citrix ADC 设备上配置相同的预共享密钥。
  • 定义一个变换集。变换集定义了 IKE 协商成功后用于通过 CloudBridge Connector 通道交换数据的安全参数(阶段 2)的组合。
  • 创建访问列表。加密访问列表用于定义其 IP 流量将通过 CloudBridge 通道受到保护的子网。访问列表中的源和目标参数指定要通过 CloudBridge Connector 通道保护的思科设备端和 Citrix ADC 端子网。访问列表必须设置为允许。任何来自思科设备端子网中的设备且发往 Citrix ADC 端子网中的设备且与访问列表的源和目标参数相匹配的请求数据包都将通过 CloudBridge Connector 通道发送。
  • 创建一个加密映射。加密映射定义安全关联 (SAS) 的 IPsec 参数。它们包括以下内容:用于标识通过 CloudBridge 通道保护其流量的子网的加密访问列表、通过 IP 地址进行对等 (Citrix ADC) 标识以及与对等安全设置匹配的转换集。
  • 将加密映射应用到外部界面。在此任务中,您将加密映射应用于外部界面,通道流量将通过该界面流向通道对等层。将加密映射应用于接口会指示 Cisco ASA 设备根据加密映射集评估所有接口流量,并在连接或安全关联协商期间使用指定的策略。

下面的过程中的示例将创建在 CloudBridge Connector 配置和数据流的示例中使用的 Cisco ASA 设备 Cisco-ASA-Appliance-1 的设置。

使用 Cisco ASA 命令行创建 IKE 策略

在 Cisco ASA 设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始):

|命令|示例|命令描述| |— |— |— | |crypto ikev1 policy priority|Cisco-ASA-appliance-1(config)# crypto ikev1 policy 1|进入 IKE 策略配置模式并确定要创建的策略。(每个策略由您分配的优先级编号唯一标识。) 此示例配置策略 1。| |encryption (3des| aes)|Cisco-ASA-appliance-1 (config-ikev1-policy)# encryption 3des|指定加密算法。此示例配置 3DES 算法。| |hash (sha | md5)|Cisco-ASA-appliance-1 (config- ikev1-policy)# hash sha| 指定哈希算法。此示例配置 SHA。| |authenticationpre-share|Cisco-ASA-appliance-1 (config- ikev1-policy)# authentication pre-share|指定预共享认证方法。| |group 2|Cisco-ASA-appliance-1 (config- ikev1-policy)# group 2|指定 1024 位 Diffie-Hellman 组标识符 (2) 。| |lifetime seconds|Cisco-ASA-appliance-1 (config- ikev1-policy)# lifetime 28800|指定安全关联的生命周期,以秒为单位。此示例配置 28800 秒,这是 Citrix ADC 设备中的默认生命周期值。|

使用 Cisco ASA 命令行在外部界面上启用 IKE

在 Cisco ASA 设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始):

命令 示例 命令描述
crypto ikev1 enable outside Cisco-ASA-appliance-1(config)# crypto ikev1 enable outside 在通道流量流向通道对等方的接口上启用 IKEv1。此示例在外部命名的接口上启用 IKEv1。

使用 Cisco ASA 命令行创建通道组 在 Cisco ASA 设备的命令提示符处键入以下命令(在全局配置模式下启动),如附件 pdf 使用 Cisco ASA 命令行通道组 中所述:

使用 Cisco ASA 命令行创建加密访问列表

在 Cisco ASA 设备的命令提示符下,按所示顺序在全局配置模式下键入以下命令:

命令 示例 命令描述
访问列表访问列表编号允许 IP 源通配符目的地通配符通配符 Cisco-ASA-appliance-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 指定条件以确定要通过 CloudBridge Connector 通道保护其 IP 流量的子网。此示例将访问列表 111 配置为保护来自子网 10.20.20.0/24(位于 Cisco-ASA-Appliance-1 端)和 10.102.147.0/24(位于 NS_Appliance-1 端)的流量。

使用 Cisco ASA 命令行定义转换集

在 Cisco ASA 设备的命令提示符处,键入以下命令,从全局配置模式开始。请参阅 使用 ASA 命令行转换集 表 pdf。

使用 Cisco ASA 命令行创建加密映射

在 Cisco ASA 设备的命令提示符处,按照所示顺序键入以下以全局配置模式开始的命令:

命令 示例 命令描述
crypto map map-name seq-num match address access-list-name Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 match address 111 创建一个加密映射并指定一个访问列表。此示例配置了序列号 1 的加密映射 NS-CISCO-CM,并将访问列表 111 分配给 NS-CISCO-CM。
crypto map map-name seq-num set peer ip-address Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 set peer 198.51.100.100 通过其 IP 地址指定对等方(Citrix ADC 设备)。此示例指定 198.51.100.100,即 Citrix ADC 设备上的通道端点 IP 地址。
crypto map map-name seq-num set ikev1 transform-set transform-set-name Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 set ikev1 transform-set NS-CISCO-TS 指定此加密映射条目允许哪个转换集。此示例指定变换集 NS-CISCO-TS。

使用 Cisco ASA 命令行将加密映射应用于接口

在 Cisco ASA 设备的命令提示符处,按照所示顺序键入以下以全局配置模式开始的命令:

命令 示例 命令描述
crypto map map-nameinterface interface-name Cisco-ASA-appliance-1(config)# crypto map NS-CISCO-CM interface outside 将加密映射应用于 CloudBridge Connector 通道流量将通过的界面。此示例将加密映射 NS-CISCO-CM 应用于外部接口。

为 CloudBridge Connector 通道配置 Citrix ADC 设备

要在 Citrix ADC 设备和 Cisco ASA 设备之间配置 CloudBridge Connector 通道,请在 Citrix ADC 设备上执行以下任务。您可以使用 Citrix ADC 命令行或 Citrix ADC 图形用户界面 (GUI):

  • 创建 IPsec 配置文件。
  • 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。
  • 创建 PBR 规则并将其与 IP 通道关联。

使用 Citrix ADC 命令行创建 IPsec 配置文件 在命令提示符下键入:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE
  • show ipsec profile <name>

**使用 Citrix ADC 命令行创建 IPsec 通道并将 IPsec 配置文件绑定到该通道 **在命令提示符下键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

**使用 Citrix ADC 命令行创建 PBR 规则并将 IPsec 通道绑定到该规则 **在命令提示符下键入:

  • **add pbr** <pbrName> **ALLOW** –**srcIP** <subnet-range> -**destIP** <subnet-range>
  • **ipTunnel** <tunnelName>
  • **apply pbrs**
  • **show pbr** <pbrName>

使用 GUI 创建 IPsec 配置文件

  1. 导航到系统 > CloudBridge Connector > IPsec 配置文件
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 在“添加 IPsec 配置文件”页面中,设置以下参数:
    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本
    • 完全正向保密(启用此参数)
  4. 配置两个 CloudBridge Connector 通道对等方使用的 IPsec 身份验证方法以进行相互身份验证:选择预共享密钥身份验证方法并设置预共享密钥存在参数。
  5. 单击创建,然后单击关闭

创建 IP 通道并使用 GUI 将 IPsec 配置文件绑定到它

  1. 导航到系统 > CloudBridge Connector > IP 通道
  2. IPv4 通道选项卡上,单击添加
  3. 在“添加 IP 通道”页面中,设置以下参数:
    • 名称
    • 远程 IP
    • 远程屏蔽
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
    • 本地 IP(所选 IP 类型的所有已配置的 IP 地址都位于“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击创建,然后单击关闭

创建 PBR 规则并使用 GUI 将 IPsec 通道绑定到它

  1. 导航到系统 > 网络 > PBR
  2. PBR 选项卡上,单击添加
  3. 在“创建 PBR”页面中,设置以下参数:
    • 名称
    • 操作
    • 下一个跳类型(选择 IP 通道)
    • IP 通道名称
    • 源 IP 低
    • 源 IP 高
    • 目标 IP 低
    • 目标 IP 高
  4. 单击创建,然后单击关闭

Citrix ADC 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在已配置的 CloudBridge Connector 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

以下命令在“CloudBridge Connector 配置示例”中创建 Citrix ADC 设备 NS_Appliance-1 的设置。“:

>  add ipsec profile NS_Cisco-ASA_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE

Done

>  add iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco-ASA_IPSec_Profile


Done

> add pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco-ASA_Tunnel


Done

> apply pbrs  

Done

监视 CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 Citrix ADC 设备上的 CloudBridge Connector 通道的性能。 有关在 Citrix ADC 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅监视 CloudBridge Connector 通道