ADC

在 AWS 上配置 NetScaler 设备和虚拟私有网关之间的 CloudBridge Connector 通道

要将数据中心连接到Amazon Web Services (AWS),您可以在数据中心的 NetScaler 设备与 AWS 上的虚拟专用网关之间配置 CloudBridge Connector 通道。NetScaler 设备和虚拟专用网关构成 CloudBridge Connector 通道的端点,被称为对等方。

注意:

您还可以在数据中心中的 NetScaler 设备与 AWS 上的 NetScaler VPX 实例(而不是虚拟专用网关)之间设置 CloudBridge Connector 通道。有关更多信息,请参 阅在数据中心和 AWS 云之间配置 CloudBridge Connector

AWS 上的虚拟专用网关支持 CloudBridge Connector 通道的以下 IPsec 设置。因此,在为 CloudBridge Connector 通道配置 NetScaler 设备时,必须指定相同的 IPsec 设置。

IPsec 属性 设置
IPsec 模式 通道模式
IKE 版本 版本 1
IKE 身份验证方法 预共享密钥
加密算法 AES
Hash algorithm(哈希算法) HMAC SHA1

CloudBridge Connector 通道配置和数据流示例

举例说明 CloudBridge Connector 通道中的流量,举一个例子,其中在数据中心的 NetScaler 设备 NS_Appliance-1 与 AWS 云上的虚拟私有网关网关 AWS-Virtual-Private-Gateway-1 之间建立了 CloudBridge Connector通道。

本地化后的图片

NS_Appliance-1 还可用作 L3 路由器,它使数据中心中的专用网络能够通过 CloudBridge Connector 通道到达 AWS 云中的专用网络。作为路由器,NS_Appliance-1 支持数据中心中的客户端 CL1 与 AWS 云中的服务器 S1 通过 CloudBridge Connector 通道进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括名为 NS_AWS_IPSec_Profile, 的 IPsec 配置文件实体、名为 NS_AWS_Tunnel 的 CloudBridge Connector 通道实体和名为 NS_AWS_Pbr 的基于策略的路由 (PBR) 实体。

IPsec 配置文件实体 NS_AWS_IPSec_Profile 指定了 IPsec 协议在 CloudBridge Connector 通道中使用的 IPsec 协议参数,例如 IKE 版本、加密算法和哈希算法。ns_aws_ipsec_Profile 绑定到 IP 通道实体 ns_aws_Tunnel。

CloudBridge Connector 通道实体 NS_AWS_Tunnel 指定了本地 IP 地址(在 NetScaler 设备上配置的公共 IP—snip—地址)、远程 IP 地址(AWS-Virtual-Private-Gateway-1 的 IP 地址)和用于设置 CloudBridge Connector 通道的协议 (IPsec)。NS_AWS_Tunnel 绑定到基于策略的路由 (PBR) 实体 NS_AWS_Pbr。

PBR 实体 ns_aws_PBR 指定了一组条件和一个 CloudBridge Connector 通道实体 (ns_aws_Tunnel)。源 IP 地址范围和目标 IP 地址范围是 ns_aws_PBR 的条件。源 IP 地址范围和目标 IP 地址范围分别指定为数据中心中的子网和 AWS 云中的子网。任何来自数据中心子网中的客户端并发往 AWS 云子网中服务器的请求数据包都符合 ns_aws_PBR 中的条件。然后考虑将此数据包交给 CloudBridge Connector 处理,并通过绑定到 PBR 实体的 CloudBridge Connector 通道 (ns_aws_TUNNEL) 发送。

下表列出了此示例中使用的设置。

数据中心端 CloudBridge Connector 通道端点 (NS_Appliance-1) 的 IP 地址 66.165.176.15
AWS 中 CloudBridge Connector 通道端点(AWS-Virtual-PrivateGateway-1)的 IP 地址 168.63.252.133
数据中心子网,其流量将通过 CloudBridge Connector 通道 10.102.147.0/24
AWS 子网,其流量将通过 CloudBridge Connector 通道 10.20.20.0/24

亚马逊 AWS 上的设置

客户网关 AWS-Customer-Gateway-1 路由 = 静态,IP 地址 = 互联网可路由的 CloudBridge Connector 通道端点 NetScaler 端的 IP 地址 = 66.165.176.15
虚拟私有网关 AWS-Virtual-Private-Gateway-1 关联的 VPC = AWS-VPC-1
VPN 连接 AWS-VPN-Connection-1 客户网关 = AWS-customer-Gateway-1、虚拟专用网关 = Virtual-PrivateGateway-1、路由选项:类型 = 静态、静态 IP 前缀 = NetScaler 端的子网 = 10.102.147.0/24

数据中心-1 中NetScaler 设备 NS_Appliance-1 上的设置

|设备|设置| |–|–| |SNIP1(仅供参考)|66.165.176.15| |IPSec profile|NS_AWS_IPSec_Profile|IKE version = v1, Encryption algorithm = AES, Hash algorithm = HMAC SHA1| |CloudBridge Connector tunnel|NS_AWS_Tunnel|Remote IP = 168.63.252.133, Local IP= 66.165.176.15, Tunnel protocol = IPSec, IPSec profile= NS_AWS_IPSec_Profile| |Policy based route|NS_AWS_Pbr|Source IP range = Subnet in the datacenter =10.102.147.0-10.102.147.255, Destination IP range =Subnet in AWS =10.20.20.0-10.20.20.255, IP Tunnel = NS_AWS_Tunnel|

CloudBridge Connector 通道配置需要考虑的事项

在配置 NetScaler 设备和 AWS 网关之间的 CloudBridge Connector 通道之前,请考虑以下几点:

  1. AWS 支持以下 CloudBridge Connector 通道的 IPsec 设置。因此,在为 CloudBridge Connector 通道配置 NetScaler 设备时,必须指定相同的 IPsec 设置。

    • IKE 版本 = v1
    • 加密算法 = AES
    • 哈希算法 = HMAC SHA1
  2. 您必须在 NetScaler 端配置防火墙才能允许执行以下操作。

    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包
  3. 在 NetScaler 上指定通道配置之前,必须先配置 Amazon AWS,因为在 AWS 中设置通道配置时,通道的 AWS 端(网关)和 PSK 的公有 IP 地址是自动生成的。您需要这些信息来指定 NetScaler 设备上的通道配置。

  4. AWS 网关支持静态路由和用于路由更新的 BGP 协议。NetScaler 设备不支持通往 AWS 网关的 CloudBridge Connector通道中的 BGP 协议。因此,必须在 CloudBridge Connector 通道的两侧使用适当的静态路由,以便正确路由通过通道的流量。

为CloudBridge Connector 通道配置亚马逊 AWS

要在 Amazon AWS 上创建 CloudBridge Connector 通道配置,请使用亚马逊 AWS 管理控制台,这是一个基于 Web 的图形界面,用于在 Amazon AWS 上创建和管理资源。

在 AWS 云上开始配置 CloudBridge Connector 通道之前,请确保:

  • 您拥有亚马逊 AWS 云的用户帐户。
  • 您有一个虚拟私有云,您想通过 CloudBridge Connector通道将其网络连接到 NetScaler 端的网络。
  • 您熟悉亚马逊 AWS 管理控制台。

注意

为 CloudBridge Connector 通道配置 Amazon AWS 的过程可能会随着时间的推移而发生变化,具体取决于 Amazon AWS 发布周期。Citrix 建议您参考 亚马逊 AWS 文档 了解最新程序。

要在 NetScaler 和 AWS Gateway 之间配置 CloudBridge Connector 通道,请在 AWS 管理控制台上执行以下任务:

  • 创建客户网关。客户网关是代表 CloudBridge Connector 通道终端节点的 AWS 实体。对于 NetScaler 设备和 AWS 网关之间的 CloudBridge Connector 通道,客户网关代表 AWS 上的 NetScaler 设备。客户网关指定名称、通道中使用的路由类型(静态或 BGP)以及 NetScaler 端的 CloudBridge Connector 通道端点 IP 地址。IP 地址可以是可通过互联网路由的 NetScaler 自有子网 IP (SNIP) 地址,或者如果 NetScaler 设备在 NAT 设备后面,则可以是代表 SNIP 地址的可互联网路由的 NAT IP 地址。
  • 创建虚拟专用网关并将其连接到 VPC。虚拟私有网关是 AWS 端的 CloudBridge Connector 通道终端节点。创建虚拟专用网关时,为其分配了名称或允许 AWS 分配名称。然后,您将虚拟专用网关与 VPC 关联。这种关联使得 VPC 的子网能够通过 CloudBridge Connector通道连接到 NetScaler 端的子网。
  • 创建 VPN 连接。VPN 连接指定了客户网关和虚拟专用网关,将在两者之间创建 CloudBridge Connector 通道。它还为 NetScaler 端的网络指定了 IP 前缀。只有虚拟专用网关(通过静态路由入口)已知的 IP 前缀才能通过通道接收来自 VPC 的流量。此外,虚拟专用网关不会通过通道路由任何未发往指定 IP 前缀的流量。配置 VPN 连接后,可能需要等待几分钟才能创建它。
  • 配置路由选项。要使 VPC 的网络通过 CloudBridge Connector 通道到达 NetScaler 端的网络,您必须将 VPC 的路由表配置为包含 NetScaler 端网络的路由,并将这些路由指向虚拟专用网关。您可以通过以下方式之一在 VPC 的路由表中添加路由:
    • 启用路由传播。您可以为路由表启用路由传播,这样路由就会自动传播到路由表。创建 VPN 连接后,您为 VPN 配置指定的静态 IP 前缀会传播到路由表。
    • 手动输入静态路由。如果您未启用路由传播,则必须在 NetScaler 端手动输入网络的静态路由。
  • 下载配置。在 AWS 上创建 CloudBridge Connector通道(VPN 连接)配置后,将 VPN 连接的配置文件下载到您的本地系统。您可能需要配置文件中的信息才能在 NetScaler 设备上配置 CloudBridge Connector 通道。

创建客户网关

  1. 打开 Amazon VPC 控制台,网址为 https://console.aws.amazon.com/vpc/
  2. 导航到 VPN 连接 > 客户网关 ,然后单击“创建客户网关”。
  3. 在“创建客户网关”对话框中,设置以下参数,然后单击“是,创建”:
    • 名称标签。客户网关的名称。
    • 路由列表。NetScaler 设备和 AWS 虚拟专用网关之间的路由类型,用于通过 CloudBridge Connector 通道相互通告路由。 从 路由列表中选择静态路由注意:NetScaler 设备不支持通往 AWS 网关的 CloudBridge Connector通道中的 BGP 协议。因此,必须在 CloudBridge Connector 通道的两侧使用适当的静态路由,以便正确路由通过通道的流量。
    • IP 地址。NetScaler 端的可通过互联网路由的 CloudBridge Connector 通道端点 IP 地址。IP 地址可以是可通过互联网路由的 NetScaler 自有子网 IP (SNIP) 地址,或者如果 NetScaler 设备在 NAT 设备后面,则可以是代表 SNIP 地址的可互联网路由的 NAT IP 地址。

本地化后的图片

创建虚拟专用网关并将其连接到 VPC

  1. 导航到 VPN 连接 > 虚拟专用网关,然后单击“创建虚拟专用网关”。
  2. 输入虚拟专用网关的名称,然后单击“是,创建”。

本地化后的图片

  1. 选择您创建的虚拟专用网关,然后单击 Attach to VPC。
  2. 在“连接到 VPC”对话框中,从列表中选择您的 VPC,然后选择是,连接。

本地化后的图片

要创建 VPN 连接,请执行以下操作:

  1. 导航到 VPN 连接 > VPN 连接,然后单击创建 VPN 连接。
  2. 在创建 VPN 连接对话框中,设置以下参数,然后选择是,创建:
    • 名称标签。VPN 连接的名称。
    • 虚拟私有网关。选择您之前创建的虚拟专用网关。
    • 客户网关。选择“现有”。然后,从下拉列表中选择您之前创建的客户网关。
    • 路由选项。虚拟专用网关和客户网关(NetScaler 设备)之间的路由类型。选择“静态”。在静态 IP 前缀字段中,指定 NetScaler 端子网的 IP 前缀,用逗号分隔。

本地化后的图片

要启用路由传播,请执行以下操作:

  1. 导航到 路由表 ,然后选择与子网关联的路由表,子网的流量将通过 CloudBridge Connector 通道。

注意

默认情况下,这是 VPC 的主路由表。

  1. 在详细信息窗格的“路由传播”选项卡上,选择“编辑”,选择虚拟专用网关,然后选择“保存”。

要手动输入静态路由,请执行以下操作:

  1. 导航到 路由表 并选择您的路由表。
  2. 在“路由”选项卡上,单击“编辑”
  3. 目标 字段中,输入您的 CloudBridge Connector 通道(VPN 连接)使用的静态路由。
  4. 从“目标”列表中选择虚拟专用网关 ID,然后单击“保存”。

要下载配置文件,请执行以下操作:

  1. 导航到 VPN 连接,选择 VPN 连接,然后单击“下载配置”。
  2. 在“下载配置”对话框中,设置以下参数,然后单击“是,下载”。
    • 供应商。选择“通用”。
    • 平台。选择“通用”。
    • 软件。选择“与 供应商无关”。

为 CloudBridge Connector 通道配置 NetScaler 设备

要在 NetScaler 设备和 AWS 云上的虚拟私有网关之间配置 CloudBridge Connector 通道,请在 NetScaler 设备上执行以下任务。 您可以使用 NetScaler 命令行或 GUI。

  • 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,例如 IKE 版本、加密算法、哈希算法和 PSK,将在 CloudBridge Connector 通道中使用。

  • 创建使用 IPsec 协议的 IP 通道并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(在 NetScaler 设备上配置的 SNIP 地址)、远程 IP 地址(AWS 中虚拟专用网关的公有 IP 地址)、用于设置 CloudBridge Connector 通道的协议 (IPsec) 和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
  • 创建 PBR 规则并将其与 IP 通道关联。PBR 实体指定一组规则和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 地址范围是 PBR 实体的条件。设置源 IP 地址范围以指定其流量将通过通道的 NetScaler 端子网,并设置目标 IP 地址范围以指定其流量将通过 CloudBridge Connector 通道的 AWS VPC 子网。任何发自 NetScaler 端子网中的客户端、发往 AWS 云子网中的服务器且与 PBR 实体的源和目标 IP 范围相匹配的请求数据包都将通过与 PBR 实体关联的 CloudBridge Connector通道发送。

使用 NetScaler 命令行创建 IPSEC 配置文件

在命令提示窗口中,键入:

  • add ipsec profile <name> -psk <string> -**ikeVersion** v1
  • show ipsec profile** <name>

使用 NetScaler 命令行创建 IPSEC 通道并将 IPSEC 配置文件绑定到该通道

在命令提示窗口中,键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

使用 NetScaler 命令行创建 PBR 规则并将 IPSEC 通道绑定到该规则

在命令提示窗口中,键入:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP** <subnet-range> -*ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

以下命令创建“CloudBridge Connector 配置和数据流示例”中使用的 NetScaler 设备 NS_Appliance-1 的所有设置。

    > add ipsec profile NS_AWS_IPSec_Profile -psk  DkiMgMdcbqvYREEuIvxsbKkW0Foyabcd -ikeVersion v1 –lifetime 31536000
    Done
    > add iptunnel NS_AWS_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 –protocol IPSEC –ipsecProfileName NS_AWS_IPSec_Profile

    Done
    > add pbr NS_AWS_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_AWS_Tunnel
    Done

    > apply pbrs

    Done
<!--NeedCopy-->

使用 GUI 创建 IPSEC 配置文件

  1. 导航到 系统 > CloudBridge Connector > IPsec 配置文件
  2. 在详细信息窗格中,单击“添加”。
  3. 添加 IPsec 配置文件 对话框中,设置以下参数:

    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本(选择 V1)
  4. 选择 预共享密钥身份验证 方法并设置 预共享密钥存在参数
  5. 单击“创建”,然后单击“关闭”。

使用 GUI 创建 IP 通道并将 IPSEC 配置文件绑定到该通道

  1. 导航到 系统 > CloudBridge Connector > IP 通道
  2. IPv4 通道 选项卡上,单击添加。
  3. 添加 IP 通道 对话框中,设置以下参数:

    • 名称
    • 远程 IP
    • 远程掩码
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
    • 本地 IP(所选 IP 类型的所有已配置 IP 都在“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击“创建”,然后单击“关闭”。

使用 GUI 创建 PBR 规则并将 IPSEC 通道绑定到该规则

  1. 导航到“系统”>“网络”>“PBR”。

  2. PBR 选项卡上,单击 添加

  3. 创建 PBR 对话框中,设置以下参数:

    • 名称
    • 操作
    • 下一跳类型(选择 IP 通道)
    • IP 通道名称
    • 来源 IP 不足
    • 来源 IP High
    • 目标 IP 不足
    • 目标 IP 为高
  4. 单击“创建”,然后单击“关闭”。

NetScaler 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。

CloudBridge Connector 通道的当前状态显示在“已配置的 CloudBridge Connector”窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

监视CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 NetScaler 设备上的 CloudBridge Connector 通道的性能。 有关在 NetScaler 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅 监视 CloudBridge Connector 通道。

在 AWS 上配置 NetScaler 设备和虚拟私有网关之间的 CloudBridge Connector 通道