CloudBridge Connector 互操作性 — F5 BIG-IP

您可以在 Citrix ADC 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector 通道,以连接两个数据中心或将网络扩展到云提供商。Citrix ADC 设备和 F5 BIG-IP 设备构成 CloudBridge Connector 通道的端点点,称为对等点。

CloudBridge Connector 通道配置示例

作为 CloudBridge Connector 通道中流量的示例,请考虑在以下设备之间设置 CloudBridge Connector 通道的示例:

  • 数据中心指定为 Datacenter-1 的 Citrix ADC 设备 NS_Appliance-1
  • 指定为 Datacenter-2 的数据中心内的 F5 BIG-IP 设备 F5-BIG-IP-Appliance-1

NS_Appliance-1 和 F5-BIG-IP-Appliance-1 可通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在此示例中,NS_Appliance-1 和 F5-BIG-IP-Appliance-1 可通过 CloudBridge Connector 通道在 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_F5-BIG-IP_IPsec_Profile、CloudBridge Connector 通道实体 NS_F5-BIG-IP_Tunnel 和基于策略的路由 (PBR) 实体 NS_F5-BIG-IP_Pbr。

本地化后的图片

有关更多信息,请参阅 F5 big IP pdf。

CloudBridge Connector 通道配置需要考虑的事项

  • Citrix ADC 设备已启动并正在运行,已连接到 Internet,并且还连接到专用子网,其流量将通过 CloudBridge Connector 通道受到保护。
  • F5 BIG-IP 设备已启动并正在运行,已连接到 Internet,并且还连接到专用子网,其流量将通过 CloudBridge Connector 通道受到保护。
  • Citrix ADC 设备和 F5 BIG-IP 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。
    • IPsec 模式:通道模式
    • IKE 版本:版本 1
    • IKE 身份验证方法:预共享密钥
    • IKE 加密算法:AES
    • IKE 哈希算法:HMAC SHA1
    • ESP 加密算法:AES
    • ESP 哈希算法:HMAC SHA1
  • 必须在 Citrix ADC 设备和 CloudBridge Connector 通道两端的 F5 BIG-IP 设备上指定相同的 IPsec 设置。
  • Citrix ADC 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的常见参数。因此,在 F5 BIG-IP 设备中,必须在 IKE(阶段 1 配置)和 ESP(阶段 2 配置)中指定相同的哈希算法和相同的加密算法。
  • 必须在 Citrix ADC 端和 F5 BIG-IP 端配置防火墙,以允许执行以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包

为CloudBridge Connector 通道配置 F5 BIG-IP

要在 Citrix ADC 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector 通道,请在 F5 BIG-IP 设备上执行以下任务:

  • 为 IPsec 创建转发虚拟服务器。转发虚拟服务器拦截 IPsec 通道的 IP 流量。
  • 创建 IKE 对等方。IKE 对等方指定本地和远程 IPsec 通道端点。它还指定用于 IPsec IKE 阶段 1 的算法和凭据。
  • 创建自定义 IPsec 策略。策略指定用于形成 IPsec 通道的 IPsec 协议 (ESP) 和模式(通道)。它还指定了用于 IKE IPsec 阶段 2 的算法和安全参数。
  • 创建双向 IPsec 流量选择器。流量选择器指定要通过 IPsec 通道遍历其 IP 流量的 F5 BIG-IP 端和 Citrix ADC 端子网。

在 F5 BIG-IP 设备上配置 IPsec VPN(CloudBridge Connector 通道)的过程可能会随着时间的推移而更改,具体取决于 F5 发布周期。Citrix 建议您遵循 F5 BIG-IP 官方文档来配置 IPsec VPN 通道,网址为:

https://f5.com

使用 F5 BIG-IP GUI 为 IPsec 创建转发虚拟服务器

  1. 在“”选项卡上,单击“本地流量”>“虚拟服务器”, 然后单击“创建”。
  2. 在“新建虚拟服务器列表”屏幕上,设置以下参数:
    • 名称。键入虚拟服务器的唯一名称。
    • 类型。选择转发 (IP)
    • 目的地地址。以 CIDR 格式键入通配符网络地址,例如,0.0.0.0/0 表示 IPv4 以接受任何流量。
    • 服务端口。从列表中选择所有端口
    • 协议清单。从列表中选择所有协议
    • VLAN 和通道流量。保留默认选择“所有 VLAN 和通道”。
  3. 单击完成

使用 F5 BIG-IP GUI 创建自定义 IPsec 策略的步骤

  1. 选项卡上,单击网络 > IPsec > IPsec 策略,然后单击创建
  2. 在“新建策略”屏幕上,设置以下参数:
    • 名称。键入策略的唯一名称。
    • IPsec 协议。保留默认选择 ESP。
    • 模式。选择通道。屏幕刷新以显示其他相关设置。
    • 通道本地地址。键入本地 IPsec 通道端点 IP 地址(在 F5 BIG-IP 设备上配置)。
    • 通道远程地址。键入远程 IPsec 通道端点 IP 地址(在 Citrix ADC 设备上配置)。
  3. 对于 IKE 阶段 2 参数,保留默认值,或选择适合您的部署的选项。
  4. 单击完成

使用 F5 BIG-IP GUI 创建双向 IPsec 流量选择器

  1. 选项卡上,单击网络 > IPsec > 流量选择器,然后单击创建
  2. 在“新建流量选择器”屏幕上,设置以下参数:
    • 名称。输入流量选择器的唯一名称。
    • 命令。保留默认值 (第一个)。此设置指定流量选择器在“流量选择器列表”屏幕上显示的顺序。
  3. 从“配置”列表中,选择“高级”,然后设置以下参数:
    • 源 IP 地址。单击主机网络,然后在地址字段中,键入要通过 IPsec 通道保护其流量的 F5 BIG-IP 端子网的地址。
    • 源端口。选择 * 所有端口
    • 目标 IP 地址。单击“主机”,然后在“地址”字段中,键入要通过 IPsec 通道保护其流量的 Citrix ADC 端子网的地址。
    • 目的端口。选择 * 所有端口
    • 协议。选择 * 所有协议
    • 方向。选择两者
    • 操作。选择保护。此时将显示 IPsec 策略名称设置。
    • IPsec 策略名称。选择您创建的自定义 IPsec 策略的名称。
  4. 单击完成

为 CloudBridge Connector 通道配置 Citrix ADC 设备

要在 Citrix ADC 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector 通道,请在 Citrix ADC 设备上执行以下任务。您可以使用 Citrix ADC 命令行或 Citrix ADC 图形用户界面 (GUI):

  • 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,如 IKE 版本、加密算法、哈希算法和身份验证方法,以供 CloudBridge Connector 通道中的 IPsec 协议使用。
  • 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(Citrix ADC 设备上配置的 CloudBridge Connector 通道端点 IP 地址(SNIP 类型))、远程 IP 地址(F5 BIG-IP 设备上配置的 CloudBridge Connector 通道端点 IP 地址)、用于设置 CloudBridge 的协议 (IPsec)连接器通道和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
  • 创建 PBR 规则并将其与 IP 通道关联。PBR 实体指定一组规则和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 地址范围是 PBR 实体的条件。设置源 IP 地址范围以指定要通过通道保护其流量的 Citrix ADC 端子网,并设置目标 IP 地址范围以指定要通过通道保护其流量的 F5 BIG-IP 端子网。

使用 Citrix ADC 命令行创建 IPsec 配置文件

在命令提示窗口中,键入:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLE
  • show ipsec profile** <name>

使用 Citrix ADC 命令行创建 IPsec 通道并将 IPsec 配置文件绑定到该通道

在命令提示窗口中,键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

使用 Citrix ADC 命令行创建 PBR 规则并将 IPsec 通道绑定到该规则

在命令提示窗口中,键入:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

使用 GUI 创建 IPsec 配置文件

  1. 导航到系统 > CloudBridge Connector > IPsec 配置文件
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 在“添加 IPsec 配置文件”页面中,设置以下参数:
    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本
  4. 配置两个 CloudBridge Connector 通道对等方使用的 IPsec 身份验证方法以进行相互身份验证:选择预共享密钥身份验证方法并设置预共享密钥存在参数。
  5. 单击创建,然后单击关闭

创建 IP 通道并使用 GUI 将 IPsec 配置文件绑定到它

  1. 导航到系统 > CloudBridge Connector > IP 通道
  2. IPv4 通道选项卡上,单击添加
  3. 在“添加 IP 通道”页面中,设置以下参数:
    • 名称
    • 远程 IP
    • 远程屏蔽
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择 子网 IP)。
    • 本地 IP(所选 IP 类型的所有已配置的 IP 地址都位于“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击创建,然后单击关闭

创建 PBR 规则并使用 GUI 将 IPsec 通道绑定到它

  1. 导航到系统 > 网络 > PBR
  2. PBR 选项卡上,单击添加
  3. 在“创建 PBR”页面中,设置以下参数:
    • 名称
    • 操作
    • 下一个跳类型(选择 IP 通道
    • IP 通道名称
    • 源 IP 低
    • 源 IP 高
    • 目标 IP 低
    • 目标 IP 高
  4. 单击创建,然后单击关闭

Citrix ADC 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在已配置的 CloudBridge Connector 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

以下命令在“CloudBridge Connector 配置示例”中创建 Citrix ADC 设备 NS_Appliance-1 的设置。

    >  add ipsec profile NS_F5-BIG-IP_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE


    Done

    >  add iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_F5-BIG-IP_IPSec_Profile


    Done

    > add pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_F5-BIG-IP_Tunnel


    Done

    > apply pbrs


    Done

监视 CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 Citrix ADC 设备上的 CloudBridge Connector 通道的性能。 有关在 Citrix ADC 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅监视 CloudBridge Connector 通道