在 AWS 上配置 Citrix ADC 设备和虚拟 Gateway 用网关之间的 CloudBridge Connector 通道

要将数据中心连接到 Amazon Web Services (AWS),您可以在数据中心中的 Citrix ADC 设备和 AWS 上的虚拟专用网关之间配置 CloudBridge Connector 通道。Citrix ADC 设备和虚拟专用网关构成 CloudBridge Connector 通道的端点,称为对等节点。

注意:

您还可以在数据中心中的 Citrix ADC 设备与 AWS 上的 Citrix ADC VPX 实例(而不是虚拟专用网关)之间设置 CloudBridge Connector 通道。有关详细信息,请参阅在数据中心和 AWS 云之间配置 CloudBridge Connector

AWS 上的虚拟专用网关支持 CloudBridge Connector 通道的以下 IPsec 设置。因此,在为 CloudBridge Connector 通道配置 Citrix ADC 设备时,必须指定相同的 IPsec 设置。

IPsec 属性 设置
IPsec 模式 通道模式
IKE 版本 版本 1
IKE 身份验证方法 预共享密钥
加密算法 AES
哈希算法 HMAC SHA1

CloudBridge Connector 通道配置和数据流示例

作为 CloudBridge Connector 通道中流量的示例,请考虑在数据中心中的 Citrix ADC 设备 NS_Appliance-1 与 AWS 云上的虚拟专用网关 AWS-Virtual-Private-Gateway-1 之间设置了 CloudBridge Connector 通道的示例。

本地化后的图片

NS_Appliance-1 还可以作为 L3 路由器,使数据中心内的专用网络能够通过 CloudBridge Connector 通道连接到 AWS 云中的专用网络。作为路由器,NS_Appliance-1 可通过 CloudBridge Connector 通道在数据中心的客户端 CL1 与 AWS 云中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括名为 NS_AWS_IPsec_Profile 的 IPsec 配置文件实体、名为 NS_AWS_Tunnel 的 CloudBridge Connector 通道实体和名为 NS_AWS_Pbr 的基于策略的路由 (PBR) 实体。

IPsec 配置文件实体 NS_AWs_IPsec_Profile 指定 IPsec 协议参数,如 IKE 版本、加密算法和哈希算法,供 CloudBridge Connector 通道中的 IPsec 协议使用。NS_AWS_IPsec_Profile 绑定到 IP 通道实体 NS_AWS_Tunnel。

CloudBridge Connector 通道实体 NS_AWs_Tunnel 指定本地 IP 地址(Citrix ADC 设备上配置的公有 IP 片段-地址)、远程 IP 地址(AWS 虚拟私有网关-1 的 IP 地址)和用于设置 CloudBridge Connector 通道的协议 (IPsec)。NS_AW_通道绑定到基于策略的路由 (PBR) 实体 NS_AW_PBR。

PBR 实体 NS_AW_PBR 指定一组条件和一个CloudBridge Connector 通道实体 (NS_AWS_通道)。源 IP 地址范围和目标 IP 地址范围是 NS_AW_PBR 的条件。源 IP 地址范围和目标 IP 地址范围分别指定为数据中心中的子网和 AWS 云中的子网。来自数据中心子网中客户端并且发往 AWS 云上子网中服务器的任何请求数据包都与 NS_AWs_PBR 中的条件匹配。然后,此数据包将用于 CloudBridge Connector 处理,并通过绑定到 PBR 实体的 CloudBridge Connector 通道 (NS_AWS_Tunnel) 发送。

下表列出了此示例中使用的设置。

数据中心端的 CloudBridge Connector 通道端点 (NS_Appliance-1) 的 IP 地址 66.165.176.15
AWS 中 CloudBridge Connector 通道终点(AWS 虚拟私有网关-1)的 IP 地址 168.63.252.133
数据中心子网,其流量将遍历 CloudBridge Connector 通道 10.102.147.0/24
AWS 子网,其流量将遍历 CloudBridge Connector 通道 10.20.20.0/24

Amazon AWS 上的设置

客户网关 AWS-Customer-Gateway-1 路由 = 静态,IP 地址 = Citrix ADC 端的可互联网路由的 CloudBridge Connector 通道端点 IP 地址 = 66.165.176.15
虚拟专用网关 AWS-Virtual-Private-Gateway-1 关联的 VPC = AWS-VPC-1
VPN 连接 AWS-VPN-Connection-1 客户网关 = AWS 客户网关-1,虚拟专用网关 = 虚拟专用网关-1,路由选项:类型 = 静态、静态 IP 前缀 = Citrix ADC 端的子网 = 10.102.147.0/24

在 Datacenter-1 中的 Citrix ADC 设备 NS_Appliance-1 的设置

|设备|设置| |–|–| |SNIP1(仅供参考)|66.165.176.15| |IPsec 配置文件|NS_AWS_IPsec_Profile|IKE 版本 = v1,加密算法 = AES,哈希算法 = HMAC SHA1| |CloudBridge Connector 通道|NS_AWS_Tunnel|远程 IP = 168.63.252.133,本地 IP= 66.165.176.15,通道协议 = IPsec,IPsec 配置文件 = NS_AWS_IPsec_Profile| |基于策略的路由|NS_AWS_Pbr|源 IP 范围 = 数据中心中的子网 =10.102.147.0-10.102.147.255,目标 IP 范围 = AWS 中的子网 =10.20.20.0-10.20.20.255,IP 通道 = NS_AWS_Tunnel|

CloudBridge Connector 通道配置需要考虑的事项

在 Citrix ADC 设备和 AWS Gateway 之间配置 CloudBridge Connector 通道之前,请考虑以下几点:

  1. AWS 支持 CloudBridge Connector 通道的以下 IPsec 设置。因此,在为 CloudBridge Connector 通道配置 Citrix ADC 设备时,必须指定相同的 IPsec 设置。

    • IKE 版本 = v1
    • 加密算法 = AES
    • 哈希算法 = HMAC SHA1
  2. 必须在 Citrix ADC 端配置防火墙以允许执行以下操作。

    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包
  3. 在 Citrix ADC 上指定通道配置之前,必须先配置 Amazon AWS,因为在 AWS 中设置通道配置时,通道的 AWS 端(Gateway)和 PSK 的公有 IP 地址会自动生成。您需要此信息来指定 Citrix ADC 设备上的通道配置。

  4. AWS Gateway 支持静态路由和路由更新的 BGP 协议。Citrix ADC 设备不支持通往 AWS 网关的 CloudBridge Connector 通道中的 BGP 协议。因此,必须在 CloudBridge Connector 通道两侧使用适当的静态路由,以便通过通道正确路由流量。

为 CloudBridge Connector 通道配置 Amazon AWS

要在 Amazon AWS 上创建 CloudBridge Connector 通道配置,请使用 Amazon AWS 管理控制台,该控制台是一个基于 Web 的图形界面,用于在 Amazon AWS 上创建和管理资源。

在 AWS 云上开始 CloudBridge Connector 通道配置之前,请确保:

  • 您拥有 Amazon AWS 云的用户账户。
  • 您有一个虚拟私有云,其网络要通过 CloudBridge Connector 通道连接到 Citrix ADC 端的网络。
  • 您熟悉 Amazon AWS 管理控制台。

注意

为 CloudBridge Connector 通道配置 Amazon AWS 的过程可能会随着时间的推移而发生变化,具体取决于 Amazon AWS 发布周期。Citrix 建议您参阅 Amazon AWS 文档 了解最新过程。

要在 Citrix ADC 和 AWS Gateway 之间配置 CloudBridge Connector 通道,请在 AWS 管理控制台上执行以下任务:

  • 创建客户网关。客户 Gateway 是表示 CloudBridge Connector 通道端点的 AWS 实体。对于 Citrix ADC 设备和 AWS Gateway 之间的 CloudBridge Connector 通道,客户网关表示 AWS 上的 Citrix ADC 设备。客户 Gateway 指定名称、通道中使用的路由类型(静态或 BGP)以及 Citrix ADC 端的 CloudBridge Connector 通道端点 IP 地址。IP 地址可以是 Internet 路由的 Citrix ADC 拥有的子网 IP (SNIP) 地址,如果 Citrix ADC 设备位于 NAT 设备后面,则可以是表示 SNIP 地址的 Internet 可路由 NAT IP 地址。
  • 创建虚拟专用网关并将其附加到 VPC。虚拟专用网关是 AWS 端的 CloudBridge Connector 通道端点。创建虚拟专用网关时,您会为其分配一个名称或允许 AWS 分配该名称。然后,您将虚拟专用网关与 VPC 关联。此关联使 VPC 的子网能够通过 CloudBridge Connector 通道连接到 Citrix ADC 端的子网。
  • 创建 VPN 连接。VPN 连接指定要创建 CloudBridge Connector 通道的客户网关和虚拟专用网关。它还为 Citrix ADC 端的网络指定 IP 前缀。只有虚拟 Gateway 用网关已知的 IP 前缀(通过静态路由条目)才能通过通道接收来自 VPC 的流量。此外,虚拟专用网关不会通过通道路由任何未发往指定 IP 前缀的流量。配置 VPN 连接后,您可能需要等待几分钟才能创建它。
  • 配置路由选项。要使 VPC 的网络通过 CloudBridge Connector 通道到达 Citrix ADC 端的网络,您必须将 VPC 的路由表配置为包含 Citrix ADC 端的网络路由,并将这些路由指向虚拟专用网关。您可以通过以下方式之一在 VPC 的路由表中包含路由:
    • 启用路由传播。您可以为路由表启用路由传播,以便路由自动传播到表。您为 VPN 配置指定的静态 IP 前缀将在创建 VPN 连接后传播到路由表。
    • 手动输入静态路由。如果不启用路由传播,则必须在 Citrix ADC 端手动输入网络的静态路由。
  • 下载配置。在 AWS 上创建 CloudBridge Connector 通道(VPN 连接)配置后,请将 VPN 连接的配置文件下载到您的本地系统。您可能需要配置文件中的信息,以便在 Citrix ADC 设备上配置 CloudBridge Connector 通道。

创建客户 Gateway

  1. 打开 Amazon VPC 控制台,网址为 https://console.aws.amazon.com/vpc/
  2. 导航到 VPN 连接 > 客户网关,然后单击创建客户网关
  3. 创建客户网关对话框中,设置以下参数,然后单击是,创建
    • 名称标签。客户网关的名称。
    • 路由列表。Citrix ADC 设备与 AWS 虚拟专用网关之间的路由类型,用于通过 CloudBridge Connector 通道将路由通告到彼此。从路由列表中选择静态路由注意:Citrix ADC 设备不支持通往 AWS 网关的 CloudBridge Connector 通道中的 BGP 协议。因此,必须在 CloudBridge Connector 通道两侧使用适当的静态路由,以便通过通道正确路由流量。
    • IP 地址。Citrix ADC 端的 Internet 可路由的CloudBridge Connector 通道端点 IP 地址。IP 地址可以是 Internet 路由的 Citrix ADC 拥有的子网 IP (SNIP) 地址,如果 Citrix ADC 设备位于 NAT 设备后面,则可以是表示 SNIP 地址的 Internet 可路由 NAT IP 地址。

本地化后的图片

创建虚拟专用网关并将其附加到 VPC

  1. 导航到 VPN 连接 > 虚拟专用网关,然后单击创建虚拟专用网关。
  2. 输入虚拟专用网关的名称,然后单击“是,创建”。

本地化后的图片

  1. 选择您创建的虚拟专用网关,然后单击“附加到 VPC”。
  2. 在“附加到 VPC”对话框中,从列表中选择您的 VPC,然后选择“是,附加”。

本地化后的图片

要创建 VPN 连接,请执行以下操作

  1. 导航到 VPN 连接 > VPN 连接,然后单击创建 VPN 连接。
  2. 在“创建 VPN 连接”对话框中,设置以下参数,然后选择“是,创建”:
    • 名称标签。VPN 连接的名称。
    • 虚拟专用网关。选择您之前创建的虚拟 Gateway。
    • 客户网关。选择“现有”。然后,从下拉列表中,选择您之前创建的客户 Gateway。
    • 路由选项。虚拟专用网关和客户网关(Citrix ADC 设备)之间的路由类型。选择静态。在“静态 IP 前缀”字段中,指定 Citrix ADC 端子网的 IP 前缀,以逗号分隔。

本地化后的图片

若要启用路由传播,请执行以下操作:

  1. 导航到路由表,然后选择与其流量要穿过 CloudBridge Connector 通道的子网关联的路由表。

注意

默认情况下,这是 VPC 的主路由表。

  1. 在详细信息窗格的“路径传播”选项卡上,选择“编辑”,选择虚拟专用网关,然后选择“保存”。

手动输入静态路由

  1. 导航到路由表并选择您的路由表。
  2. 路由选项卡上,单击编辑
  3. 在“目标”字段中,输入您的 CloudBridge Connector 通道(VPN 连接)使用的静态路由。
  4. 从“目标”列表中选择虚拟专用网关 ID,然后单击“保存”。

要下载配置文件,请执行以下操作

  1. 导航到 VPN 连接,选择 VPN 连接,然后单击下载配置
  2. 在“下载配置”对话框中,设置以下参数,然后单击“是,下载”。
    • 供应商。选择通用
    • 平台。选择通用
    • 软件。选择供应商不可知

为 CloudBridge Connector 通道配置 Citrix ADC 设备

要在 Citrix ADC 设备和 AWS 云上的虚拟专用网关之间配置 CloudBridge Connector 通道,请在 Citrix ADC 设备上执行以下任务。 您可以使用 Citrix ADC 命令行或 GUI。

  • 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,如 IKE 版本、加密算法、哈希算法和 PSK,以供 CloudBridge Connector 通道中的 IPsec 协议使用。

  • 创建使用 IPsec 协议的 IP 通道并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(Citrix ADC 设备上配置的 SNIP 地址)、远程 IP 地址(AWS 中虚拟专用网关的公有 IP 地址)、用于设置 CloudBridge Connector 通道的协议 (IPsec) 和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
  • 创建 PBR 规则并将其与 IP 通道关联。PBR 实体指定一组规则和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 地址范围是 PBR 实体的条件。设置源 IP 地址范围以指定其流量要穿过通道的 Citrix ADC 端子网,并设置目标 IP 地址范围以指定其流量要穿过 CloudBridge Connector 通道的 AWS VPC 子网。任何来自 Citrix ADC 端子网中的客户端并且发往 AWS 云子网中的服务器且与 PBR 实体的源和目标 IP 范围相匹配的请求数据包都将通过与 PBR 实体关联的 CloudBridge Connector 通道发送。

使用 Citrix ADC 命令行创建 IPsec 配置文件

在命令提示窗口中,键入:

  • add ipsec profile <name> -psk <string> -**ikeVersion** v1
  • show ipsec profile** <name>

使用 Citrix ADC 命令行创建 IPsec 通道并将 IPsec 配置文件绑定到该通道

在命令提示窗口中,键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

使用 Citrix ADC 命令行创建 PBR 规则并将 IPsec 通道绑定到该规则

在命令提示窗口中,键入:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP** <subnet-range> -*ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

以下命令创建 Citrix ADC 设备 NS_Appliance-1 的所有设置,用于“CloudBridge Connector 配置和数据流示例”。

    > add ipsec profile NS_AWS_IPSec_Profile -psk  DkiMgMdcbqvYREEuIvxsbKkW0Foyabcd -ikeVersion v1 –lifetime 31536000
    Done
    > add iptunnel NS_AWS_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 –protocol IPSEC –ipsecProfileName NS_AWS_IPSec_Profile

    Done
    > add pbr NS_AWS_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_AWS_Tunnel
    Done

    > apply pbrs

    Done

使用 GUI 创建 IPsec 配置文件

  1. 导航到系统 > CloudBridge Connector > IPsec 配置文件
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 在“添加 IPsec 配置文件”对话框中,设置以下参数:

    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本(选择 V1)
  4. 选择预共享密钥身份验证方法并设置预共享密钥存在参数。
  5. 单击 Create(创建),然后单击 Close(关闭)。

创建 IP 通道并使用 GUI 将 IPsec 配置文件绑定到它

  1. 导航到系统 > CloudBridge Connector > IP 通道
  2. IPv4 通道选项卡上,单击“添加”。
  3. 在“添加 IP 通道”对话框中,设置以下参数:

    • 名称
    • 远程 IP
    • 远程屏蔽
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
    • 本地 IP(所选 IP 类型的所有已配置 IP 都位于“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击 Create(创建),然后单击 Close(关闭)。

创建 PBR 规则并使用 GUI 将 IPsec 通道绑定到它

  1. 导航到系统 > 网络 > PBR

  2. PBR 选项卡上,单击添加

  3. 在“创建 PBR”对话框中,设置以下参数:

    • 名称
    • 操作
    • 下一个跳类型(选择 IP 通道)
    • IP 通道名称
    • 源 IP 低
    • 源 IP 高
    • 目标 IP 低
    • 目标 IP 高
  4. 单击 Create(创建),然后单击 Close(关闭)。

Citrix ADC 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。

CloudBridge Connector 通道的当前状态显示在已配置的 CloudBridge Connector 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

监视 CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 Citrix ADC 设备上的 CloudBridge Connector 通道的性能。 有关在 Citrix ADC 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅监视 CloudBridge Connector 通道