Citrix ADC

在 Citrix ADC 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道

您可以在 Citrix ADC 设备和 Cisco 设备之间配置 CloudBridge Connector 通道,以连接两个数据中心或将网络扩展到云提供商。Citrix ADC 设备和 Cisco IOS 设备构成 CloudBridge Connector 通道的终点,称为对等。

CloudBridge Connector 通道配置和数据流示例

作为 CloudBridge Connector 通道中流量的示例,请考虑在以下设备之间设置 CloudBridge Connector 通道的示例:

  • 数据中心指定为 Datacenter-1 的 Citrix ADC 设备 NS_Appliance-1
  • Cisco IOS 设备 Cisco-IOS-Device-1 在指定为 Datacenter-2 的数据中心

NS_Appliance-1 和 Cisco-IOS-Device-1 可通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在此示例中,NS_Appliance-1 和 Cisco-IOS-Device-1 通过 CloudBridge Connector 通道启用 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间的通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_Cisco_IPsec_Profile、CloudBridge Connector 通道实体 NS_Cisco_Tunnel 和基于策略的路由 (PBR) 实体 NS_Cisco_Pbr。

本地化后的图片

有关更多信息,请参阅 Citrix ADC 设备和 Cisco IOS 设备设置之间的 CloudBridge Connector 隧道 pdf。

CloudBridge Connector 通道配置需要考虑的事项

在 Citrix ADC 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道之前,请考虑以下几点:

  • Citrix ADC 设备和 Cisco IOS 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。

    IPsec 属性 设置
    IPsec 模式 通道模式
    IKE 版本 版本 1
    IKE DH 组 DH 组 2(1024 位 MODP 算法)
    IKE 身份验证方法 预共享密钥
    IKE 加密算法 AES、3DES
    IKE 哈希算法 HMAC SHA1、HMAC SHA256、HMAC SHA384、HMAC SHA512、HMAC MD5
    ESP 加密算法 AES、3DES
    ESP 哈希算法 HMAC SHA1、HMAC SHA256、HMAC SHA256、HMAC SHA256、HMAC MD5
  • 您必须在 Citrix ADC 设备和 CloudBridge Connector 两端的 Cisco IOS 设备上指定相同的 IPsec 设置。
  • Citrix ADC 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的通用参数。 因此,在思科设备上,必须为 IKE(创建 IKE 策略时)和 ESP(创建 IPsec 转换集时)指定相同的哈希算法和相同的加密算法。
  • 必须在 Citrix ADC 端和思科设备端配置防火墙,以允许执行以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包

为 CloudBridge Connector 隧道配置 Cisco IOS 设备

要在思科 IOS 设备上配置 CloudBridge Connector 通道,请使用思科 IOS 命令行界面,该界面是用于配置、监控和维护思科设备的主用户界面。

在思科 IOS 设备上开始 CloudBridge Connector 通道配置之前,请确保:

  • 您在思科 IOS 设备上有一个具有管理员凭据的用户帐户。
  • 您熟悉思科 IOS 命令行界面。
  • Cisco ASA 设备已启动并且正在运行,连接到 Internet,并且还连接到专用子网,其流量将通过 CloudBridge Connector 通道受到保护。

注意

在思科 IOS 设备上配置 CloudBridge Connector 通道的过程可能会随着时间的推移而发生变化,具体取决于思科发布周期。Citrix 建议您遵循 Cisco 官方产品文档了解更多信息,请参阅 配置 IPSec VPN 隧道 主题。

要在 Citrix ADC 设备和 Cisco IOS 设备之间配置 CloudBridge 连接器隧道,请在 Cisco 设备的 IOS 命令行中执行以下任务

  • 创建 IKE 策略。
  • 为 IKE 身份验证配置预共享密钥。
  • 定义转换集并在通道模式下配置 IPsec。
  • 创建加密货币访问列表
  • 创建加密地图
  • 将加密映射应用于接口

以下过程中的示例创建了 “CloudBridge Connector 配置和数据流示例” 一节中 Cisco IOS device Cisco-IOS-Device-1 提到的设置。“

要创建 IKE 策略,请参阅 IKE 策略 pdf。

使用 Cisco IOS 命令行配置预共享密钥,请执行以下操作

在 Cisco IOS 设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始):

命令 示例 命令描述
crypto isakmp identity address Cisco-ios-device-1(config)# crypto isakmp identity address 指定 Cisco IOS 设备在 IKE 协商期间与对等方(Citrix ADC 设备)通信时使用的 ISAKMP 标识(地址)。此示例指定地址关键字,该关键字使用 IP 地址 203.0.113.200(Cisco-IOS-Device-1 的千兆以太网接口 0/1)作为设备的标识。
crypto isakmp key keystringaddress peer-address Cisco-ios-device-1 (config)# crypto isakmp key examplepresharedkey address 198.51.100.100 为 IKE 身份验证指定预共享密钥。此示例配置共享密钥示例密钥,以便与 Citrix ADC 设备 NS_Appliance-1 (198.51.100.100) 一起使用。必须在 Citrix ADC 设备上配置相同的预共享密钥,才能在思科 IOS 设备和 Citrix ADC 设备之间成功进行 IKE 身份验证。

要使用 Cisco IOS 命令行创建加密访问列表,请执行以下操作

在 Cisco IOS 设备的命令提示符处,按所示顺序在全局配置模式下键入以下命令:

命令 示例 命令描述
access-listaccess-list-number permit IPsource source-wildcard destination destination-wildcard Cisco-ios-device-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 指定条件以确定要通过 CloudBridge Connector 通道保护其 IP 流量的子网。此示例将访问列表 111 配置为保护来自子网 10.20.20.0/24(位于 Cisco-IOS-Device-1 端)和 10.102.147.0/24(位于NS_Appliance-1 端)的流量。

要使用 Cisco IOS 命令行定义转换并配置 IPsec 隧道模式,请执行以下操作:

在 Cisco IOS 设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始): |命令|示例|命令描述| |–|–|–| ||crypto ipsec transform-setname ESP_Authentication_Transform ESP_Encryption_Transform 注意:ESP_Authentication_Transform 可以采用以下值:esp-sha-hmac、esp-sha256-hmac、esp-sha384-hmac、esp-sha512-hmac、esp-md5-hmac ESP_Encryption_Transform 可以采用以下值:esp-aes 或 esp-3des|Cisco-ios-device-1(config)# crypto IPsec transform-set NS-CISCO-TS esp-sha256-hmac esp-3des|定义一个转换集,并指定 ESP 哈希算法(用于身份验证)和 ESP 加密算法,以便在 CloudBridge Connector 通道对等方之间交换数据时使用。本示例将转换集 NS-CISCO-TS 定义,并将 ESP 身份验证算法指定为 esp-sha256-hmac,将 ESP 加密算法指定为 esp-3des。| |模式隧道|思科 IOS-Device-1(配置加密-trans)# 模式隧道|在隧道模式下设置 IPsec。| |exit|思科 IOS-Device-1(配置加密-trans)# 退出,思科 IOS-Device-1(配置)#|退出到全局配置模式。|

要使用 Cisco IOS 命令行创建加密映射,请执行以下操作

在 Cisco IOS 设备的命令提示符处,按照显示的顺序键入以下以全局配置模式开始的命令:

命令 示例 命令描述
crypto mapmap-name seq-num IPsec-isakmp Cisco-ios-device-1 (config)# crypto map NS-CISCO-CM 2 IPsec-isakmp 进入加密映射配置模式,为加密映射指定序列号,并将加密映射配置为使用 IKE 建立安全关联 (SAS)。此示例为加密映射 NS-CISCO-CM 配置序列号 2 和 IKE。
设置对等 IP 地址 Cisco-ios-device-1 (config-crypto-map)# set peer 172.23.2.7 通过其 IP 地址指定对等方(Citrix ADC 设备)。此示例指定 198.51.100.100,即 Citrix ADC 设备上的 CloudBridge Connector 端点 IP 地址。
match addressaccess-list-id Cisco-ios-device-1 (config-crypto-map)# match address 111 指定扩展访问列表。此访问列表指定了用于确定要通过 CloudBridge Connector 通道保护其 IP 流量的子网的条件。此示例指定访问列表 111。
设置变换设置变换设置名称 Cisco-ios-device-1 (config-crypto-map)# set transform-set NS-CISCO-TS 指定此加密映射条目允许哪些转换集。此示例指定变换集 NS-CISCO-TS。
exit Cisco-ios-device-1 (config-crypto-map)# exit  
Cisco-ios-device-1 (config)# Exit back to global configuration mode.  

要使用 Cisco IOS 命令行将加密映射应用于接口,请执行以下操作

在 Cisco IOS 设备的命令提示符处,按照显示的顺序键入以下以全局配置模式开始的命令:

命令 示例 命令描述
界面 ID Cisco-ios-device-1(config)# interface GigabitEthernet 0/1 指定要应用加密映射并进入接口配置模式的物理接口。此示例指定 Cisco 设备 Cisco-IOS-Device-1 的千兆以太网接口 0/1。IP 地址 203.0.113.200 已设置为此接口。
crypto mapmap-name Cisco-ios-device-1 (config-if)# crypto map NS-CISCO-CM 将加密映射应用于物理界面。这个例子适用加密映射 NS-CISCO-CM。
exit Cisco-ios-device-1 (config-if)# exit, Cisco-ios-device-1 (config)# 退出到全局配置模式。

为 CloudBridge Connector 通道配置 Citrix ADC 设备

要在 Citrix ADC 设备和思科 IOS 设备之间配置 CloudBridge Connector 通道,请在 Citrix ADC 设备上执行以下任务。您可以使用 Citrix ADC 命令行或 Citrix ADC 图形用户界面 (GUI):

  • 创建 IPsec 配置文件。
  • 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。
  • 创建 PBR 规则并将其与 IP 隧道相关联。

要使用 Citrix ADC 命令行创建 IPSEC 配置文件,请执行以下操作

在命令提示窗口中,键入:

  • add ipsec profile <name> -psk <string> -ikeVersion v1
  • show ipsec profile <name>

要使用 Citrix ADC 命令行创建 IPSEC 隧道并将 IPSEC 配置文件绑定到该隧道,请执行以下操作:

在命令提示窗口中,键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • add ipTunnel <name>

要创建 PBR 规则并使用 Citrix ADC 命令行将 IPSEC 隧道绑定到该规则,请执行以下操作:

在命令提示窗口中,键入:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbrs <pbrName>

以下命令创建 CloudBridge Connector 配置和数据流示例部分中 Citrix ADC appliance NS_Appliance-1 提到的设置

    >  add ipsec profile NS_Cisco_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –lifetime 315360 –encAlgo 3DES
    Done
    >  add iptunnel NS_Cisco_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco_IPSec_Profile  

    Done
    > add pbr NS_Cisco_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco_Tunnel  

    Done
    > apply pbrs

    Done
<!--NeedCopy-->

要使用 GUI 创建 IPSEC 配置文件,请执行以下操作

  1. 导航到 系统 > CloudBridge 连接器 > IPsec 配置文件
  2. 在详细信息窗格中,单击 Add(添加)。
  3. 在“添加 IPsec 配置文件”对话框中,设置以下参数:
    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本
  4. 配置两个 CloudBridge Connector 隧道对等体使用的 IPsec 身份验证 方法以进行相互身份验证:选择 预共享密钥身份验证 方法并设置 预共享密钥存在 参数。
  5. 单击 Create(创建),然后单击 Close(关闭)。

要创建 IP 隧道并使用 GUI 将 IPSEC 配置文件绑定到该通道,请执行以下操作:

  1. 导航到系统 > CloudBridge Connector > IP 通道
  2. IPv4 隧道 选项卡上,单击 添加
  3. 在“添加 IP 通道”对话框中,设置以下参数:
    • 名称
    • 远程 IP
    • 远程屏蔽
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
    • 本地 IP(所选 IP 类型的所有已配置 IP 都位于“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击 Create(创建),然后单击 Close(关闭)。

创建 PBR 规则并使用 GUI 将 IPsec 通道绑定到它

  1. 导航到系统 > 网络 > PBR
  2. PBR 选项卡上,单击 添加
  3. 在“创建 PBR”对话框中,设置以下参数:
    • 名称
    • 操作
    • 下一个跳类型(选择 IP 通道)
    • IP 通道名称
    • 源 IP 低
    • 源 IP 高
    • 目标 IP 低
    • 目标 IP 高
  4. 单击 Create(创建),然后单击 Close(关闭)。

要使用 GUI 应用 PBR,请执行以下操作

  1. 导航到“系统”>“网络”>“PBRs”。
  2. PBR 选项卡上,选择 PBR,在操作列表中选择应用

Citrix ADC 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在已配置的 CloudBridge Connector 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

监视CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 Citrix ADC 设备上的 CloudBridge Connector 通道的性能。有关在 Citrix ADC 设备上显示 CloudBridge Connector 隧道统计信息的更多信息,请参阅 监视 CloudBridge Connector 隧道

在 Citrix ADC 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道