ADC

在 NetScaler 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道

您可以在 NetScaler 设备和Cisco设备之间配置 CloudBridge Connector 连接器通道,以连接两个数据中心或将您的网络扩展到云提供商。NetScaler 设备和 Cisco IOS 设备构成 CloudBridge Connector 通道的端点,被称为对等体。

CloudBridge Connector 通道配置和数据流示例

举例说明 CloudBridge Connector 通道中的流量,请看一个在以下设备之间设置 CloudBridge Connector 通道的示例:

  • NetScaler 设备 NS_Appliance-1 位于指定为 Datacenter-1 的数据中心中
  • Cisco IOS 设备 cisco-ios-Device-1 位于指定为 Datacenter-2 的数据中心

S_Appliance-1 和 Cisco-IOS-Device-1 允许通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在示例中,NS_Appliance-1 和 Cisco-IOS-Device-1 允许通过 CloudBridge Connector 通道在 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_Cisco_IPSec_Profile、CloudBridge Connector通道实体 NS_Cisco_Tunnel 和基于策略的路由 (PBR) 实体 NS_Cisco_Pbr。

本地化后的图片

有关更多信息,请参阅 NetScaler 设备和 Cisco IOS 设备设置之间的 CloudBridge Connector 通道 pdf。

CloudBridge Connector 通道配置需要考虑的事项

在配置 NetScaler 设备和 Cisco IOS 设备之间的 CloudBridge Connector 通道之前,请考虑以下几点:

  • NetScaler 设备和 Cisco IOS 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。

    IPsec 属性 设置
    IPsec 模式 通道模式
    IKE 版本 版本 1
    IKE DH 组 DH 组 2(1024 位 MODP 算法)
    IKE 身份验证方法 预共享密钥
    IKE 加密算法 AES,3DES
    IKE 哈希算法 HMAC SHA1、HMAC SHA256、HMAC SHA384、HMAC SHA512、HMAC MD5
    ESP 加密算法 AES,3DES
    ESP 哈希算法 HMAC SHA1、HMAC SHA256、HMAC SHA256、HMAC SHA256、HMAC MD5
  • 您必须在 CloudBridge Connector 两端的 NetScaler 设备和 Cisco IOS 设备上指定相同的 IPsec 设置。
  • NetScaler 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的通用参数。 因此,在 Cisco 设备上,必须为 IKE(在创建 IKE 策略时)和 ESP(在创建 IPsec 转换集时)指定相同的哈希算法和相同的加密算法。
  • 您必须在 NetScaler 端和 Cisco 设备端配置防火墙才能允许执行以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包

为 CloudBridge Connector 通道配置 Cisco IOS 设备

要在Cisco IOS 设备上配置 CloudBridge Connector 通道,请使用Cisco IOS 命令行界面,该界面是用于配置、监视和维护Cisco设备的主用户界面。

在开始在 Cisco IOS 设备上配置 CloudBridge Connector 通道之前,请确保:

  • 您在 Cisco IOS 设备上有一个具有管理员凭据的用户帐户。
  • 您熟悉 Cisco IOS 命令行界面。
  • Cisco IOS 设备已启动并正在运行,已连接到互联网,还连接到私有子网,其流量将通过 CloudBridge Connector 通道进行保护。

注意

在Cisco IOS 设备上配置 CloudBridge Connector 通道的过程可能会随着时间的推移而发生变化,具体取决于Cisco发布周期。Citrix 建议您遵循 Cisco 官方产品文档了解更多信息,请参阅 配置 IPSec VPN 通道 主题。

要在 NetScaler 设备和 Cisco IOS 设备之间配置 CloudBridge Connector通道,请在 Cisco 设备的 IOS 命令行中执行以下任务

  • 创建 IKE 策略。
  • 为 IKE 身份验证配置预共享密钥。
  • 定义转换集并在通道模式下配置 IPsec。
  • 创建加密货币访问列表
  • 创建加密地图
  • 将加密映射应用于接口

以下过程中的示例创建了“CloudBridge Connector 配置和数据流示例”一节中 Cisco IOS device Cisco-IOS-Device-1 提到的设置。“

要创建 IKE 策略,请参阅 IKE 策略 pdf。

使用 Cisco IOS 命令行配置预共享密钥,请执行以下操作

在 Cisco IOS 设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始):

命令 示例 命令描述
crypto isakmp 身份地址 Cisco-ios-device-1(config)# crypto isakmp identity address 为 Cisco IOS 设备指定 ISAKMP 身份(地址),在 IKE 协商期间与对等设备(NetScaler 设备)通信时使用。此示例指定了地址关键字,该关键字使用 IP 地址 203.0.113.200(Cisco-ios-Device-1 的千兆以太网接口 0/1)作为设备的身份。
crypto isakmp key keystringaddress peer-address Cisco-ios-device-1 (config)# crypto isakmp key examplepresharedkey address 198.51.100.100 为 IKE 身份验证指定预共享密钥。此示例将共享密钥 examplepresharedkey 配置为 netScaler 设备 NS_Appliance-1 (198.51.100.100)。必须在 NetScaler 设备上配置相同的预共享密钥,才能在Cisco IOS 设备和 NetScaler 设备之间成功进行 IKE 身份验证。

要使用 Cisco IOS 命令行创建加密访问列表,请执行以下操作

在 Cisco IOS 设备的命令提示符处,按所示顺序在全局配置模式下键入以下命令:

命令 示例 命令描述
access-listaccess-list-number permit IPsource source-wildcard destination destination-wildcard Cisco-ios-device-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 指定条件以确定要通过 CloudBridge Connector 通道保护其 IP 流量的子网。此示例将访问列表 111 配置为保护来自子网 10.20.20.0/24(位于 Cisco-IOS-Device-1 端)和 10.102.147.0/24(位于NS_Appliance-1 端)的流量。

要使用 Cisco IOS 命令行定义转换并配置 IPsec 通道模式,请执行以下操作:

在 Cisco IOS 设备的命令提示符处,按所示顺序键入以下命令(以全局配置模式开始): |命令|示例|命令描述| |–|–|–| ||crypto ipsec transform-setname ESP_Authentication_Transform ESP_Encryption_Transform 注意:ESP_Authentication_Transform 可以采用以下值:esp-sha-hmac、esp-sha256-hmac、esp-sha384-hmac、esp-sha512-hmac、esp-md5-hmac ESP_Encryption_Transform 可以采用以下值:esp-aes 或 esp-3des|Cisco-ios-device-1(config)# crypto IPsec transform-set NS-CISCO-TS esp-sha256-hmac esp-3des|定义转换集并指定 ESP 哈希算法(用于身份验证)和 ESP 加密算法,以便在 CloudBridge Connector 通道对等体之间交换数据时使用。本示例将转换集 NS-CISCO-TS 定义,并将 ESP 身份验证算法指定为 esp-sha256-hmac,将 ESP 加密算法指定为 esp-3des。| |模式通道|Cisco IOS-Device-1(配置加密-trans)# 模式通道|在通道模式下设置 IPsec。| |exit|Cisco IOS-Device-1(配置加密-trans)# 退出,Cisco IOS-Device-1(配置)#|退出到全局配置模式。|

要使用 Cisco IOS 命令行创建加密映射,请执行以下操作

在 Cisco IOS 设备的命令提示符处,按照显示的顺序键入以下以全局配置模式开始的命令:

|命令|示例|命令描述| |—|–|–| |crypto map-name seq-num ipsec-isakmp|Cisco-ios-device-1 (config)# crypto map NS-CISCO-CM 2 ipsec-isakmp|进入加密映射配置模式,为加密映射指定序列号,并将加密映射配置为使用 IKE 建立安全关联 (SA)。此示例为加密映射 NS-CISCO-CM 配置了序列号 2 和 IKE。| |set peer ip-address|Cisco-ios-device-1 (config-crypto-map)# set peer 172.23.2.7|通过其 IP 地址指定对等方(NetScaler 设备)。此示例指定了 198.51.100.100,这是 NetScaler 设备上的 CloudBridge Connector 终端节点 IP 地址。| |match addressaccess-list-id|Cisco-ios-device-1 (config-crypto-map)# match address 111|指定扩展访问列表。此访问列表指定了确定要通过 CloudBridge Connector 通道保护其 IP 流量的子网的条件。此示例指定访问列表 111。| |set transform-set transform-set-name|Cisco-ios-device-1 (config-crypto-map)# set transform-set NS-CISCO-TS|指定此加密映射条目允许使用哪些转换集。此示例指定了转换集 NS-CISCO-TS。| |exit|Cisco-ios-device-1 (config-crypto-map)# exit Cisco-ios-device-1 (config)#|Exit back to global configuration mode.|

要使用 Cisco IOS 命令行将加密映射应用于接口,请执行以下操作

在 Cisco IOS 设备的命令提示符处,按照显示的顺序键入以下以全局配置模式开始的命令:

命令 示例 命令描述
interfaceinterface-ID Cisco-ios-device-1(config)# interface GigabitEthernet 0/1 指定要应用加密映射的物理接口并进入接口配置模式。此示例指定了Cisco设备 Cisco-ios-Device-1 的千兆以太网接口 0/1。IP 地址 203.0.113.200 已设置为该接口。
crypto mapmap-name Cisco-ios-device-1 (config-if)# crypto map NS-CISCO-CM 将加密映射应用于物理接口。此示例应用了加密映射 NS-CISCO-CM。
exit Cisco-ios-device-1 (config-if)# exit, Cisco-ios-device-1 (config)# 退出到全局配置模式。

为 CloudBridge Connector 通道配置 NetScaler 设备

要在 NetScaler 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道,请在 NetScaler 设备上执行以下任务。您可以使用 NetScaler 命令行或 NetScaler 图形用户界面 (GUI):

  • 创建 IPsec 配置文件。
  • 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。
  • 创建 PBR 规则并将其与 IP 通道关联。

要使用 NetScaler 命令行创建 IPSEC 配置文件,请执行以下操作

在命令提示窗口中,键入:

  • add ipsec profile <name> -psk <string> -ikeVersion v1
  • show ipsec profile <name>

要使用 NetScaler 命令行创建 IPSEC 通道并将 IPSEC 配置文件绑定到该通道,请执行以下操作:

在命令提示窗口中,键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • add ipTunnel <name>

要创建 PBR 规则并使用 NetScaler 命令行将 IPSEC 通道绑定到该规则,请执行以下操作:

在命令提示窗口中,键入:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbrs <pbrName>

以下命令创建 CloudBridge Connector 配置和数据流示例部分中 NetScaler appliance NS_Appliance-1 提到的设置

    >  add ipsec profile NS_Cisco_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –lifetime 315360 –encAlgo 3DES
    Done
    >  add iptunnel NS_Cisco_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco_IPSec_Profile  

    Done
    > add pbr NS_Cisco_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco_Tunnel  

    Done
    > apply pbrs

    Done
<!--NeedCopy-->

要使用 GUI 创建 IPSEC 配置文件,请执行以下操作

  1. 导航到 系统 > CloudBridge Connector > IPsec 配置文件
  2. 在详细信息窗格中,单击“添加”。
  3. 添加 IPsec 配置文件 对话框中,设置以下参数:
    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本
  4. 配置两个 CloudBridge Connector 通道对等体使用的 IPsec 身份验证 方法以进行相互身份验证:选择 预共享密钥身份验证 方法并设置 预共享密钥存在 参数。
  5. 单击“创建”,然后单击“关闭”。

要创建 IP 通道并使用 GUI 将 IPSEC 配置文件绑定到该通道,请执行以下操作

  1. 导航到 系统 > CloudBridge Connector > IP 通道
  2. IPv4 通道 选项卡上,单击 添加
  3. 添加 IP 通道 对话框中,设置以下参数:
    • 名称
    • 远程 IP
    • 远程掩码
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
    • 本地 IP(所选 IP 类型的所有已配置 IP 都在“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击“创建”,然后单击“关闭”。

使用 GUI 创建 PBR 规则并将 IPSEC 通道绑定到该规则

  1. 导航到“系统”>“网络”>“PBR”。
  2. PBR 选项卡上,单击 添加
  3. 创建 PBR 对话框中,设置以下参数:
    • 名称
    • 操作
    • 下一跳类型(选择 IP 通道)
    • IP 通道名称
    • 来源 IP 不足
    • 来源 IP High
    • 目标 IP 不足
    • 目标 IP 为高
  4. 单击“创建”,然后单击“关闭”。

要使用 GUI 应用 PBR,请执行以下操作

  1. 导航到“系统”>“网络”>“PBR”
  2. PBR 选项卡上,选择PBR,在“操作”列表中选择“应用”。

NetScaler 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在“已配置的 CloudBridge Connector”窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

监视 CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 NetScaler 设备上的 CloudBridge Connector 通道的性能。有关在 NetScaler 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅 监视 CloudBridge Connector 通道

在 NetScaler 设备和 Cisco IOS 设备之间配置 CloudBridge Connector 通道