Citrix ADC

在 Citrix ADC 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道

您可以在 Citrix ADC 设备和 Cisco 设备之间配置 CloudBridge Connector 通道,以连接两个数据中心或将网络扩展到云提供商。Citrix ADC 设备和 Cisco IOS 设备构成 CloudBridge Connector 通道的终点,称为对等。

CloudBridge Connector 通道配置和数据流示例

作为 CloudBridge Connector 通道中流量的示例,请考虑在以下设备之间设置 CloudBridge Connector 通道的示例:

  • 数据中心指定为 Datacenter-1 的 Citrix ADC 设备 NS_Appliance-1
  • Cisco IOS 设备 Cisco-IOS-Device-1 在指定为 Datacenter-2 的数据中心

NS_Appliance-1 和 Cisco-IOS-Device-1 可通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在此示例中,NS_Appliance-1 和 Cisco-IOS-Device-1 通过 CloudBridge Connector 通道启用 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间的通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_Cisco_IPsec_Profile、CloudBridge Connector 通道实体 NS_Cisco_Tunnel 和基于策略的路由 (PBR) 实体 NS_Cisco_Pbr。

本地化后的图片

有关更多信息,请参阅 Citrix ADC 设备和 Cisco IOS 设备设置之间的 CloudBridge Connector 通道 pdf。

CloudBridge Connector 通道配置需要考虑的事项

在 Citrix ADC 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道之前,请考虑以下几点:

  • Citrix ADC 设备和 Cisco IOS 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。
IPsec 属性 设置
IPsec 模式 通道模式
IKE 版本 版本 1
IKE 身份验证方法 预共享密钥
IKE 加密算法 AES、3DES
IKE 哈希算法 HMAC SHA1、HMAC SHA256、HMAC SHA384、HMAC SHA512、HMAC MD5
ESP 加密算法 AES、3DES
ESP 哈希算法 HMAC SHA1、HMAC SHA256、HMAC SHA256、HMAC SHA256、HMAC MD5
  • 您必须在 Citrix ADC 设备和 CloudBridge Connector 两端的 Cisco IOS 设备上指定相同的 IPsec 设置。
  • Citrix ADC 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的通用参数。因此,在思科设备上,必须为 IKE(创建 IKE 策略时)和 ESP(创建 IPsec 转换集时)指定相同的哈希算法和相同的加密算法。
  • 必须在 Citrix ADC 端和思科设备端配置防火墙,以允许执行以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包

为 CloudBridge Connector 通道配置思科 IOS 设备

要在思科 IOS 设备上配置 CloudBridge Connector 通道,请使用思科 IOS 命令行界面,该界面是用于配置、监控和维护思科设备的主用户界面。

在思科 IOS 设备上开始 CloudBridge Connector 通道配置之前,请确保:

  • 您在思科 IOS 设备上有一个具有管理员凭据的用户帐户。
  • 您熟悉思科 IOS 命令行界面。
  • Cisco ASA 设备已启动并且正在运行,连接到 Internet,并且还连接到专用子网,其流量将通过 CloudBridge Connector 通道受到保护。

注意

在思科 IOS 设备上配置 CloudBridge Connector 通道的过程可能会随着时间的推移而发生变化,具体取决于思科发布周期。Citrix 建议您遵循 Cisco 官方产品文档以了解更多信息,请参阅 配置 IPsec VPN 通道 主题。

要在 Citrix ADC 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道,请在 Cisco 设备的 IOS 命令行上执行以下任务:

  • 创建 IKE 策略。IKE 策略定义了 IKE 协商期间要使用的安全参数的组合。例如,在此任务中设置了要在 IKE 协商中使用的诸如哈希算法、加密算法、Diffie-Hellman 组和身份验证方法等参数。
  • 为 IKE 身份验证配置预共享密钥。预共享密钥是一个文本字符串,CloudBridge Connector 通道的对等级用于相互进行身份验证。预共享的密钥相互匹配,以便进行 IKE 身份验证。因此,要成功进行身份验证,必须在思科设备和 Citrix ADC 设备上配置相同的预共享密钥。
  • 定义转换集并在通道模式下配置 IPsec。变换集定义了 IKE 协商成功后,用于通过 CloudBridge Connector 隧道交换数据的安全参数的组合。此任务中设置诸如哈希算法和加密算法等参数。此任务还指定通道模式下的 IPsec 用于 CloudBridge 通道。
  • 创建一个加密访问列表。加密访问列表用于定义其 IP 流量将通过 CloudBridge 通道受到保护的子网。访问列表中的源和目标参数指定要通过 CloudBridge Connector 通道保护的思科设备端和 Citrix ADC 端子网。访问列表必须设置为允许。任何来自思科设备端子网中的设备并发送到 Citrix ADC 端子网中的设备并且与访问列表的源和目标参数相匹配的请求数据包将通过 CloudBridge Connector 通道发送。
  • 创建一个加密映射。加密映射定义要与对等方协商的 IPsec 参数。它们包括以下内容:用于标识通过 CloudBridge 通道保护其流量的子网的加密访问列表、通过 IP 地址进行对等 (Citrix ADC) 标识以及与对等安全设置匹配的转换集。
  • 将加密映射应用于界面。在此任务中,您将加密映射应用到 CloudBridge Connector 通道流量将通过该接口流动。将加密映射应用于接口会指示 Cisco IOS 设备根据加密映射集评估所有接口流量,并在连接或 SA 协商期间代表要保护的子网流量使用指定策略。

下面的过程中的示例将创建“CloudBridge Connector 配置和数据流的示例”中使用的 Cisco IOS 设备 Cisco-IOS-Device-1 的设置。

要创建 IKE 策略,请参阅 IKE 策略 pdf。

使用思科 IOS 命令行配置预共享密钥

在 Cisco IOS 设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始):

命令 示例 命令描述
crypto isakmp identity address Cisco-ios-device-1(config)# crypto isakmp identity address 指定 Cisco IOS 设备在 IKE 协商期间与对等方(Citrix ADC 设备)通信时使用的 ISAKMP 标识(地址)。此示例指定地址关键字,该关键字使用 IP 地址 203.0.113.200(Cisco-IOS-Device-1 的千兆以太网接口 0/1)作为设备的标识。
crypto isakmp key keystringaddress peer-address Cisco-ios-device-1 (config)# crypto isakmp key examplepresharedkey address 198.51.100.100 为 IKE 身份验证指定预共享密钥。此示例配置共享密钥示例密钥,以便与 Citrix ADC 设备 NS_Appliance-1 (198.51.100.100) 一起使用。必须在 Citrix ADC 设备上配置相同的预共享密钥,才能在思科 IOS 设备和 Citrix ADC 设备之间成功进行 IKE 身份验证。

使用 Cisco IOS 命令行创建加密访问列表

在 Cisco IOS 设备的命令提示符处,按所示顺序在全局配置模式下键入以下命令:

命令 示例 命令描述
access-listaccess-list-number permit IPsource source-wildcard destination destination-wildcard Cisco-ios-device-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 指定条件以确定要通过 CloudBridge Connector 通道保护其 IP 流量的子网。此示例将访问列表 111 配置为保护来自子网 10.20.20.0/24(位于 Cisco-IOS-Device-1 端)和 10.102.147.0/24(位于NS_Appliance-1 端)的流量。

使用思科 IOS 命令行定义转换和配置 IPsec 通道模式

在 Cisco IOS 设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始): |命令|示例|命令描述| |–|–|–| |crypto ipsec transform-setname ESP_Authentication_Transform ESP_Encryption_Transform 注意:ESP_Authentication_Transform 可以采用以下值:

esp-sha-hmac esp-sha256-hmac esp-sha384-hmac esp-sha512-hmac esp-md5-hmac

ESP_Encryption_Transformcan 采用以下值:

esp-aes esp-3des|Cisco-ios-device-1(config)# crypto IPsec transform-set NS-CISCO-TS esp-sha256-hmac esp-3des|定义一个转换集,并指定 ESP 哈希算法(用于身份验证)和 ESP 加密算法,以便在 CloudBridge Connector 通道对等方之间交换数据时使用。本示例将转换集 NS-CISCO-TS 定义,并将 ESP 身份验证算法指定为 esp-sha256-hmac,将 ESP 加密算法指定为 esp-3des。| |mode tunnel|Cisco-ios-device-1 (config-crypto-trans)# mode tunnel|Set IPsec in tunnel mode.| |exit|Cisco-ios-device-1 (config-crypto-trans)# exit, Cisco-ios-device-1 (config)#|Exit back to global configuration mode.|

使用思科 IOS 命令行创建加密地图

在 Cisco IOS 设备的命令提示符处,按照显示的顺序键入以下以全局配置模式开始的命令:

|命令|示例|命令描述| |—|–|–| |crypto mapmap-name seq-num IPsec-isakmp|Cisco-ios-device-1 (config)# crypto map NS-CISCO-CM 2 IPsec-isakmp|进入加密映射配置模式,为加密映射指定序列号,并将加密映射配置为使用 IKE 建立安全关联 (SAS)。此示例为加密映射 NS-CISCO-CM 配置序列号 2 和 IKE。| |设置对等 IP 地址|Cisco-ios-device-1 (config-crypto-map)# set peer 172.23.2.7|通过其 IP 地址指定对等方(Citrix ADC 设备)。此示例指定 198.51.100.100,即 Citrix ADC 设备上的 CloudBridge Connector 端点 IP 地址。| |match addressaccess-list-id|Cisco-ios-device-1 (config-crypto-map)# match address 111|指定扩展访问列表。此访问列表指定了用于确定要通过 CloudBridge Connector 通道保护其 IP 流量的子网的条件。此示例指定访问列表 111。| |设置变换设置变换设置名称|Cisco-ios-device-1 (config-crypto-map)# set transform-set NS-CISCO-TS|指定此加密映射条目允许哪些转换集。此示例指定变换集 NS-CISCO-TS。| |exit|Cisco-ios-device-1 (config-crypto-map)# exit Cisco-ios-device-1 (config)#|Exit back to global configuration mode.|

使用 Cisco IOS 命令行将加密地图应用于接口

在 Cisco IOS 设备的命令提示符处,按照显示的顺序键入以下以全局配置模式开始的命令:

命令 示例 命令描述
界面 ID Cisco-ios-device-1(config)# interface GigabitEthernet 0/1 指定要应用加密映射并进入接口配置模式的物理接口。此示例指定 Cisco 设备 Cisco-IOS-Device-1 的千兆以太网接口 0/1。IP 地址 203.0.113.200 已设置为此接口。
crypto mapmap-name Cisco-ios-device-1 (config-if)# crypto map NS-CISCO-CM 将加密映射应用于物理界面。这个例子适用加密映射 NS-CISCO-CM。
exit Cisco-ios-device-1 (config-if)# exit, Cisco-ios-device-1 (config)# 退出到全局配置模式。

为 CloudBridge Connector 通道配置 Citrix ADC 设备

要在 Citrix ADC 设备和思科 IOS 设备之间配置 CloudBridge Connector 通道,请在 Citrix ADC 设备上执行以下任务。您可以使用 Citrix ADC 命令行或 Citrix ADC 图形用户界面 (GUI):

  • 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,如 IKE 版本、加密算法、哈希算法和身份验证方法(预共享密钥),供 CloudBridge Connector 通道中的 IPsec 协议使用。
  • 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(Citrix ADC 设备上配置的 CloudBridge Connector 通道端点 IP 地址(SNIP 类型))、远程 IP 地址(在思科 IOS 设备上配置的 CloudBridge Connector 通道端点 IP 地址)、用于设置 CloudBridge Connector 的协议 (IPsec)通道和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
  • 创建 PBR 规则并将其与 IP 隧道相关联。PBR 实体指定一组规则和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 地址范围是 PBR 实体的条件。设置源 IP 地址范围以指定要通过通道保护其流量的 Citrix ADC 端子网,并设置目标 IP 地址范围以指定通过通道保护其流量的 Cisco IOS 设备端子网。任何请求数据包来自 Citrix ADC 端子网中的客户端并发送到 Cisco IOS 设备端子网中的服务器,且与 PBR 实体的源和目标 IP 范围相匹配,都会通过与 PBR 实体关联的 CloudBridge Connector 通道发送。应用 PBR 规则以使其正常运行。

使用 Citrix ADC 命令行创建 IPsec 配置文件

在命令提示窗口中,键入:

  • add ipsec profile <name> -psk <string> -ikeVersion v1
  • show ipsec profile <name>

使用 Citrix ADC 命令行创建 IPsec 通道并将 IPsec 配置文件绑定到该通道

在命令提示窗口中,键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • add ipTunnel <name>

使用 Citrix ADC 命令行创建 PBR 规则并将 IPsec 通道绑定到该规则

在命令提示窗口中,键入:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbrs <pbrName>

以下命令在“CloudBridge Connector 配置和数据流示例”中创建 Citrix ADC 设备 NS_Appliance-1 的设置。

    >  add ipsec profile NS_Cisco_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –lifetime 315360 –encAlgo 3DES
    Done
    >  add iptunnel NS_Cisco_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco_IPSec_Profile

    Done
    > add pbr NS_Cisco_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco_Tunnel

    Done
    > apply pbrs

    Done

使用 GUI 创建 IPsec 配置文件

  1. 导航到系统 > 云桥连接器 > IPsec 配置文件
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 添加 IPsec 配置文件对话框中,设置以下参数:
    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本
  4. 配置两个 CloudBridge Connector 通道对等方使用的 IPsec 身份验证方法以进行相互身份验证:选择预共享密钥身份验证方法并设置预共享密钥存在参数。
  5. 单击 Create(创建),然后单击 Close(关闭)。

创建 IP 通道并使用 GUI 将 IPsec 配置文件绑定到它

  1. 导航到系统 > CloudBridge Connector > IP 通道
  2. IPv4 通道选项卡上,单击添加
  3. 添加 IP 通道对话框中,设置以下参数:
    • 名称
    • 远程 IP
    • 远程屏蔽
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
    • 本地 IP(所选 IP 类型的所有已配置 IP 都位于“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击 Create(创建),然后单击 Close(关闭)。

创建 PBR 规则并使用 GUI 将 IPsec 通道绑定到它

  1. 导航到系统 > 网络 > PBR
  2. PBR 选项卡上,单击添加
  3. 创建 PBR对话框中,设置以下参数:
    • 名称
    • 操作
    • 下一个跳类型(选择 IP 通道)
    • IP 通道名称
    • 源 IP 低
    • 源 IP 高
    • 目标 IP 低
    • 目标 IP 高
  4. 单击 Create(创建),然后单击 Close(关闭)。

使用 GUI 应用 PBR

  1. 导航到系统 > 网络 > PBRs
  2. PBR 选项卡上,选择 PBR,在操作列表中选择应用

Citrix ADC 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在已配置的 CloudBridge Connector 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

监视CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 Citrix ADC 设备上的 CloudBridge Connector 通道的性能。有关在 Citrix ADC 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅监视 CloudBridge Connector 通道

在 Citrix ADC 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道