Citrix SD-WAN WANOP

配置两个数据中心之间的 Cloud Connector 隧道

您可以在两个不同数据中心之间配置 Citrix Cloud Connector 隧道以扩展网络,而无需重新配置网络,并利用两个数据中心的功能。在两个地理位置上分隔的数据中心之间的 Citrix Cloud Connector 隧道使您能够实现冗余并防止设置出现故障。Citrix Cloud Connector 隧道有助于实现两个数据中心的基础架构和资源的最佳利用率。两个数据中心的可用应用程序对用户显示为本地应用程序。

要将数据中心连接到另一个数据中心,您可以在驻留在一个数据中心的 SD-WAN WANOP 4000/5000 设备与驻留在另一个数据中心的另一个 SD-WANOP 4000/5000 设备之间设置 Citrix Cloud Connector 隧道。

要了解如何在两个不同数据中心之间配置 Citrix Cloud Connector 接器隧道,请考虑在数据中心 DC1 中的 Citrix 设备 CB_4000/5000-1 与数据中心 DC2 中的 Citrix 设备 CB_4000/5000-2 之间设置 Cloud Connector 隧道的示例。

本地化后的图片

单臂模式下 (WCCP/PBR) 下的 CB_4000/5000-1 和 CB_4000/5000-2 功能。它们可实现数据中心 DC1 和 DC2 中的专用网络之间的通信。例如,CB_4000/5000-1 和 CB_4000/5000-2 可通过 Citrix Cloud Connector 隧道在数据中心 DC1 中的客户端 CL1 与数据中心 DC2 中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

为了在 CL1 和 S1 之间进行正确的通信,L3 模式在 NS_VPX_CB_4000/5000-1 和 NS_CB_4000/5000-2 上启用,路由配置如下:

  • 路由器 R1 具有通过 NS_VPX_CB_4000/5000-1 到达 S1 的路由。

  • NS_VPX_CB_4000/5000_1 具有通过 R1 达到 NS_VPX-CB_4000/5000-2 的路由。

  • S1 应该有一个通过 NS_VPX-CB_4000/5000-2 达到 CL1 的路由。

  • NS_VPX-CB_ 4000/5000-2 具有通过 R2 达到 NS_VPX_CB_4000/5000-1 的路由。

下表列出了数据中心 DC1 中 CB_4000/5000-1 上的设置。

实体 名称 详细信息
客户端 CL1 的 IP 地址   10.102.147.10
NAT 设备 NAT-Dev-1 上的设置    
公共端的 NAT IP 地址   203.0.113.30*
私有端的 NAT IP 地址   10.10.7.70
CB_4000/5000-1 上的设置    
CB_4000/5000-1 的管理服务 IP 地址   10.10.1.10
CB_4000/5000-1 上运行的 NS_VPX_CB_4000/5000-1 上的设置    
NSIP 地址   10.10.1.20
SNIP 地址   10.10.5.30
Cloud Connector 隧道 Cloud_Connector_DC1-DC2 Citrix Cloud Connector 隧道的本地端点 IP 地址 = 10.10.5.30,Citrix Cloud Connector 隧道的远程端点 IP 地址 = 203.0.210.30*
    GRE 隧道详情
    名称 = 云端连接器 _DC1-DC2
    IPSec 配置文件详细信息
    名称 = 云端连接器 _DC1-DC2,加密算法 = AES,哈希算法 = HMAC SHA1
基于策略的路由 CBC_DC1_DC2_PBR 源 IP 范围 = datacenter1 中的子网 = 10.102.147.0-10.102.147.255,目标 IP 范围 = datacenter2 中的子网 = 10.20.20.0-10.20.20.255,下一个跃点类型 = IP 隧道,IP 隧道名称 = CBC_DC1_DC2

* 这些应该是公有 IP 地址。

下表列出了数据中心 DC2 中 CB-4000/5000-2 上的设置。

实体 名称 详细信息
服务器 S1 的 IP 地址   10.20.20.10
NAT 设备 NAT-Dev-2 上的设置    
公共端的 NAT IP 地址   203.0.210.30*
私有端的 NAT IP 地址   10.10.8.80
CB_4000/5000-2 上的设置    
CB_SDX-1 的管理服务 IP 地址   10.10.2.10
CB_4000/5000-2 上运行的 NS_VPX_CB_4000/5000-2 上的设置    
NSIP 地址   10.10.2.20
SNIP 地址   10.10.6.30
Citrix Cloud Connector 隧道 Cloud_Connector_DC1-DC2 Citrix Cloud Connector 隧道的本地端点 IP 地址 = 10.10.6.30,Citrix Cloud Connector 隧道的远程端点 IP 地址 = 203.0.113.30*
    GRE 隧道详情
    名称 = 云端连接器 _DC1-DC2
    IPSec 配置文件详细信息
    名称 = 云端连接器 _DC1-DC2,加密算法 = AES,哈希算法 = HMAC SHA1
基于策略的路由 CBC_DC1_DC2_PBR 源 IP 范围 = datacenter2 中的子网 = 10.20.20.0-10.20.20.255,目标 IP 范围 = datacenter1 中的子网 = 10.102.147.0-10.102.147.255,下一个跃点类型 = IP 隧道,IP 隧道名称 = CBC_DC1_DC2

* 这些应该是公有 IP 地址。

以下是 Citrix Cloud Connector 隧道中的流量:

  1. 客户端 CL1 向服务器 S1 发送请求。

  2. 该请求到达运行在 Citrix SD-WAN WANOP 设备 CB_4000/5000-1 上的 Citrix 虚拟设备 NS_VPX_CB_4000/5000-1。

  3. NS_VPX_CB_4000/5000-1 将数据包转发到在 Citrix SD-WAN WANOP 设备 CB_4000/5000-1 上运行的 SD-WAN WANOP 实例之一以进行 WAN 优化。在处理数据包之后,SD-WAN WANOP 实例将数据包返回到 NS_VPX_CB_4000/5000-1。

  4. 请求数据包匹配 PBR 实体 CBC_DC1_DC2_PBR(在 NS_VPX_CB_4000/5000-1 中配置)中指定的条件,因为请求数据包的源 IP 地址和目标 IP 地址分别属于在 CBC_DC1_DC2_PBR 中设置的源 IP 范围和目标 IP 范围。

  5. 由于隧道 CBC_DC1_DC2_PBR 绑定到 CBC_DC1_DC2_PBR,设备准备要通过云连接器 _DC1-DC2 隧道发送的数据包。

  6. NS_VPX_CB_4000/5000-1 使用 GRE 协议通过向数据包添加 GRE 标头和 GRE IP 标头来封装每个请求数据包。在 GRE IP 标头中,目标 IP 地址是数据中心 DC2 中的 Cloud Connector 隧道(Cloud_Connector _DC1-DC2)端点的地址。

  7. 对于 Cloud Connector 通道 Cloud_Connector_DC1-DC2,NS_VPX_CB_4000/5000-1 将按照 NS_VPX_CB_4000/5000-1 与 NS_VPX_CB_4000/5000-2 之间的约定检查用于处理出站数据报的 storedIPSec 安全性关联 (SA) 参数。在 NS_VPX_CB_4000/5000-1 中的 IPSec 封装安全有效负载 (ESP) 协议使用这些 SA 参数的出站数据包,以加密 GRE 封装数据包的有效负载。

  8. ESP 协议通过使用 HMAC 哈希函数和为 Citrix Cloud Connector 隧道 Cloud_Connector_DC1-DC2 指定的加密算法来确保数据包的完整性和机密性。ESP 协议, 在加密 GRE 有效载荷和计算 HMAC 后, 生成 ESP 头和 ESP 拖车,并插入它们之前和加密 GRE 有效载荷的末尾, 分别.

  9. NS_VPX_CB_4000/5000-1 sends the resulting packet NS_VPX_CB_4000/5000-2.

  10. NS_VPX_CB_4000/5000-2 checks the stored IPSec security association (SA) parameters for processing inbound packets, as agreed between CB_DC-1 and NS_VPX-AWS for the Cloud Connector tunnel Cloud_Connector_DC1-DC2. NS_VPX_CB_4000/5000-2 上的 IPSec ESP 协议将这些 SA 参数用于入站数据包,并使用请求数据包的 ESP 标头来解密数据包。

  11. NS_VPX_CB_4000/5000-2 然后通过删除 GRE 标头来解压包。

  12. NS_VPX_CB_4000/5000-2 会将生成的数据包转发到 CB_4000/5000-2,从而对数据包应用与万优化相关的处理。CB_VPX_CB_4000/5000-2 然后将生成的数据包返回到 NS_VPX_CB_4000/5000-2.

  13. 生成的数据包与在步骤 2 中 CB_VPX_CB_4000/5000-2 接收到的数据包相同。此数据包的目标 IP 地址设置为服务器 S1 的 IP 地址。NS_VPX_CB_4000/5000-2 将此数据包转发到服务器 S1。

  14. S1 处理请求数据包并发送响应数据包。响应数据包中的目标 IP 地址是客户端 CL1 的 IP 地址,源 IP 地址是服务器 S1 的 IP 地址。

配置两个数据中心之间的 Cloud Connector 隧道