Citrix ADC

在两个数据中心之间配置 CloudBridge Connector 通道

您可以在两个不同数据中心之间配置 CloudBridge Connector 通道以扩展您的网络,而无需重新配置它,并利用两个数据中心的功能。两个地理位置分隔的数据中心之间的 CloudBridge Connector 通道使您能够实现冗余并防止设置出现故障。CloudBridge Connector 通道有助于实现跨数据中心的基础设施和资源的最佳利用率。两个数据中心的可用应用程序对用户显示为本地应用程序。

要将数据中心连接到另一个数据中心,您可以在一个数据中心的 Citrix ADC 设备与另一个数据中心的 Citrix ADC 设备之间设置 CloudBridge Connector 通道。

作为数据中心之间的 CloudBridge Connector 通道的示例,请考虑在数据中心 DC1 中的 Citrix ADC 设备 NS_Appliance-1 与数据中心 DC2 中的 Citrix ADC 设备 NS_Appliance-2 之间设置了 CloudBridge Connector 通道。

本地化后的图片

NS_Appliance-1 和 NS_Appliance-2 均在 L2 和 L3 模式下运行。它们可实现数据中心 DC1 和 DC2 中的专用网络之间的通信。在 L3 模式下,NS_Appliance-1 和 NS_Appliance-2 通过 CloudBridge Connector 通道启用数据中心 DC1 中的客户端 CL1 与数据中心 DC2 中的服务器 S1 之间的通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

由于客户端 CL1 和服务器 S1 位于不同的专用网络上,因此在 NS_Appliance-1 和 NS_Appliance-2 上启用 L3 模式,路由将按如下方式更新:

  • CL1 有一条通往 NS_Appliance-1 的路由,以到达 S1。
  • NS_Appliance-1 有一条前往 NS_Appliance-2 的路由,以达到 S1。
  • S1 有一条前往 NS_Appliance-2 的路由,以达到 CL1。
  • NS_Appliance-2 有一条前往 NS_Appliance-1 的路由,以到达 CL1。

下表列出了数据中心 DC1 中 Citrix ADC 设备 NS_Appliance-1 上的设置。

下表列出了数据中心 DC2 中 Citrix ADC 设备 NS_Appliance-2 上的设置。

实体 名称 详细信息
NSIP 地址   198.51.100.12
SNIP 地址   198.51.100.15
CloudBridge Connector 通道 Cloud_Connector_DC1-DC2 1. CloudBridge Connector 通道的本地端点 IP 地址:198.51.100.15, 2. CloudBridge Connector 通道的远程端点 IP 地址:203.0.113.133。GRE 隧道详细信息名称 = Cloud_Connector_DC1-DC2,IPsec 配置文件详细信息名称 = Cloud_Connector_DC1-DC2,加密算法 = AES,哈希算法 = HMAC SHA1

配置 CloudBridge Connector 通道时需要考虑的事项

在设置 CloudBridge Connector 通道之前,请验证以下任务是否已完成:

  1. 在两个数据中心中的每个中心部署和设置 Citrix ADC 设备。
  2. 确保 CloudBridge Connector 通道端点 IP 地址可以互相访问。

配置过程

要在位于一个数据中心的 Citrix ADC 设备与位于另一个数据中心的 Citrix ADC 设备之间设置 CloudBridge Connector 通道,请使用其中一个 Citrix ADC 设备的 GUI 或命令行界面。

使用 GUI 时,在第一个 Citrix ADC 设备上创建的 CloudBridge Connector 通道配置会自动推送到 CloudBridge Connector 通道的其他端点(Citrix ADC 设备)。因此,您无需访问其他 Citrix ADC 设备的 GUI 即可在其上创建相应的 CloudBridge Connector 通道配置。

每个 Citrix ADC 设备上的 CloudBridge Connector 通道配置由以下实体组成:

  • IPsec 配置文件— IPsec 配置文件实体指定 IPsec 协议参数,如 IKE 版本、加密算法、哈希算法和 PSK,以供 CloudBridge Connector 通道中的 IPsec 协议使用。
  • GRE 通道— IP 通道指定本地 IP 地址(在本地 Citrix ADC 设备上配置的公共 SNIP 地址)、远程 IP 地址(在远程 Citrix ADC 设备上配置的公共 SNIP 地址)、用于设置 CloudBridge Connector 通道的协议 (GRE) 和 IPsec配置文件实体。
  • 创建 PBR 规则并将 IP 通道与其关联 - PBR 实体指定一组条件和一个 IP 通道实体。源 IP 地址范围和目标 IP 范围是 PBR 实体的条件。您必须设置源 IP 地址范围和目标 IP 地址范围,以指定其流量要穿过 CloudBridge Connector 通道的子网。例如,假设请求数据包来自第一个数据中心子网上的客户端,并且发往第二个数据中心子网上的服务器。如果此数据包与第一个数据中心 Citrix ADC 设备上 PBR 实体的源和目标 IP 地址范围匹配,则会通过与 PBR 实体关联的 CloudBridge Connector 通道发送。

使用命令行界面创建 IPsec 配置文件

在命令提示窗口中,键入:

  • add ipsec profile <name> [-ikeVersion ( V1 | V2 )] [-encAlgo ( AES | 3DES ) ...] [-hashAlgo <hashAlgo\> ...] [-lifetime <positive_integer>] (-psk | (-publickey<string> -privatekey <string>-peerPublicKey <string>))[-livenessCheckInterval <positive_intege>][-replayWindowSize \<positive_integer>] [-ikeRetryInterval <positive_integer>] [-retransmissiontime <positive_integer>]

  • show ipsec profile <name>

使用命令行界面创建 IP 通道并将 IPsec 配置文件绑定到它

在命令提示窗口中,键入:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

使用命令行界面创建 PBR 规则并将 IPsec 通道绑定到该规则

在命令提示窗口中,键入:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

示例

 add ipsec profile Cloud_Connector_DC1-DC2  -encAlgo AES -hashAlgo HMAC_SHA1
    Done
    > add ipTunnel Cloud_Connector_DC1-DC2 203.0.113.133 255.255.255.255 198.51.100.15 -protocol GRE -ipsecProfileName Cloud_Connector_DC1-DC2

    Done
    > add ns pbr PBR-DC1-DC2 ALLOW -srcIP 198.51.100.15 -destIP 203.0.113.133 ipTunnel Cloud_Connector_DC1-DC2

    Done
    > apply ns pbrs

    Done

使用 GUI 在 Citrix ADC 设备中配置 CloudBridge Connector 通道

  1. 在 Web 浏览器的地址行中键入 Citrix ADC 设备的 NSIP 地址。

  2. 使用 Citrix ADC 设备的帐户凭据登录到该设备的 GUI。

  3. 导航到系统 > CloudBridge Connector

  4. 在右窗格的入门下,单击创建/监控 CloudBridge

    首次在设备上配置 CloudBridge Connector 通道时,将显示欢迎屏幕。

  5. 欢迎屏幕上,单击开始

本地化后的图片

注意

如果您已在 Citrix ADC 设备上配置了 CloudBridge Connector 通道,则不会显示欢迎屏幕,因此您不会单击“开始”。

  1. 云桥连接器设置窗格中,单击 Citrix ADC

本地化后的图片

  1. 在 Citrix ADC 窗格中,提供远程 Citrix ADC 设备的帐户凭据。单击继续

  2. CloudBridge Connector 设置窗格中,设置以下参数:

    • CloudBridge Connector 名称 — 本地设备上的 CloudBridge Connector 配置的名称。必须以 ASCII 字母或下划线 (_) 开头,并且必须仅包含 ASCII 字母数字、下划线、井号 (#)、句点 (.)、空格、冒号 (:)、at (@)、equals (=) 和连字符 (-)。创建 CloudBridge Connector 配置后无法更改。
  3. 本地设置下,设置以下参数:

    • 子网 IP— CloudBridge Connector 通道的本地端点的 IP 地址。
  4. 远程设置下,设置以下参数:

    • 子网 IP— CloudBridge Connector 通道的对等端点的 IP 地址。
  5. PBR 设置下,设置以下参数:

    • 操作— 等于 (=) 或不等于 (! =) 逻辑运算符。
    • 源 IP 低 — 与传出 IPv4 数据包的源 IP 地址匹配的最低源 IP 地址。
    • 源 IP 高— 与传出 IPv4 数据包的源 IP 地址匹配的最高源 IP 地址。
    • 操作— 等于 (=) 或不等于 (! =) 逻辑运算符。
    • 目标 IP 低*— 与传出 IPv4 数据包的目标 IP 地址匹配的最低目标 IP 地址。
    • 目标 IP 高— 与传出 IPv4 数据包的目标 IP 地址匹配的最高目标 IP 地址。
  6. (可选)在安全设置”下,为 CloudBridge Connector 通道设置以下 IPsec 协议参数:

    • 加密算法— CloudBridge 通道中 IPsec 协议使用的加密算法。
    • 哈希算法— 由 CloudBridge 通道中的 IPsec 协议使用的哈希算法。
    • 密钥— 选择以下 IPsec 身份验证方法之一,供两个对等方使用。
      • 自动生成密钥— 基于文本字符串(称为预共享密钥 (PSK))的身份验证,由本地设备自动生成。对等方的 PSK 密钥相互匹配以进行身份验证。
      • 特定密钥— 基于手动输入的 PSK 的身份验证。对等方的 PSK 相互匹配以进行身份验证。
        • 预共享安全密钥-为基于预共享密钥的身份验证输入的文本字符串。
      • 上传证书— 基于数字证书的身份验证。
        • 公钥-用于在建立 IPsec 安全关联之前向对等方验证本地 Citrix ADC 设备的本地数字证书。同一证书应该存在并为对等方中的对等公钥参数设置。
        • 私钥— 本地数字证书的私钥。
        • 对等公钥— 对等方的数字证书。用于在建立 IPsec 安全关联之前对本地终点进行身份验证。应该为对等方中的公钥参数存在并设置相同的证书。
  7. 单击完成

Citrix ADC 设备上的新 CloudBridge Connector 通道配置显示在相应 GUI 的“主页”选项卡上。在“已配置的 CloudBridge Connector”窗格中显示了 CloudBridge Connector 通道的当前状态。绿色圆点表示通道已向上。红点表示通道已关闭。

监视CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 Citrix ADC 设备上的 CloudBridge Connector 通道的性能。有关在 Citrix ADC 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅监视 CloudBridge Connector 通道

在两个数据中心之间配置 CloudBridge Connector 通道