Konfigurieren des Cloud-Connector-Tunnels zwischen zwei Rechenzentren
Sie können einen Citrix Cloud Connector -Tunnel zwischen zwei verschiedenen Rechenzentren konfigurieren, um Ihr Netzwerk zu erweitern, ohne es neu zu konfigurieren, und die Funktionen der beiden Rechenzentren nutzen zu müssen. Ein Citrix Cloud Connector -Tunnel zwischen den beiden geografisch getrennten Rechenzentren ermöglicht es Ihnen, Redundanz zu implementieren und Ihre Einrichtung vor Fehlern zu schützen. Der Citrix Cloud Connector -Tunnel ermöglicht eine optimale Nutzung der Infrastruktur und Ressourcen über zwei Rechenzentren hinweg. Die Anwendungen, die in den beiden Rechenzentren verfügbar sind, werden für den Benutzer als lokal angezeigt.
Um ein Datencenter mit einem anderen Datencenter zu verbinden, richten Sie einen Citrix Cloud Connector-Tunnel zwischen einer SD-WAN WANOP 4000/5000 Appliance ein, die sich in einem Rechenzentrum befindet, und einer anderen SD-WAN WANOP 4000/5000 Appliance, die sich im anderen Rechenzentrum befindet, ein.
Um zu verstehen, wie ein Citrix Cloud Connector -Tunnel zwischen zwei verschiedenen Rechenzentren konfiguriert ist, betrachten Sie ein Beispiel, in dem ein Cloud Connector-Tunnel zwischen der Citrix Appliance CB_4000/5000-1 im Rechenzentrum DC1 und der Citrix Appliance CB_4000/5000-2 im Rechenzentrum DC2 eingerichtet wird.
Sowohl CB_4000/5000-1 als auch CB_4000/5000-2 funktionieren im Einarmmodus (WCCP/PBR). Sie ermöglichen die Kommunikation zwischen privaten Netzwerken in Rechenzentren DC1 und DC2. Beispielsweise ermöglichen CB_4000/5000-1 und CB_4000/5000-2 die Kommunikation zwischen Client CL1 im Rechenzentrum DC1 und Server S1 im Rechenzentrum DC2 über den Citrix Cloud Connector -Tunnel. Client CL1 und Server S1 sind in verschiedenen privaten Netzwerken.
Für die korrekte Kommunikation zwischen CL1 und S1 ist der L3-Modus auf NS_VPX_CB_4000/5000-1 und NS_VPX_CB_ 4000/5000-2 aktiviert, und Routen sind wie folgt konfiguriert:
-
Router R1 hat eine Route zum Erreichen von S1 bis NS_VPX_CB_4000/5000-1.
-
NS_VPX_CB_4000/5000_1 hat eine Route zum Erreichen von NS_VPX-CB_4000/5000-2 bis R1.
-
S1 sollte eine Route haben, die CL1 bis NS_VPX-CB_4000/5000-2 erreicht.
-
NS_VPX-CB_4000/5000-2 hat eine Route zum Erreichen von NS_VPX_CB_4000/5000-1 bis R2.
In der folgenden Tabelle sind die Einstellungen für CB_4000/5000-1 im Rechenzentrum DC1 aufgeführt.
Entität | Name | Details |
---|---|---|
IP-Adresse des Clients CL1 | 10.102.147.10 | |
Einstellungen auf NAT-Dev-1 | ||
NAT-IP-Adresse auf der öffentlichen Seite | 203.0.113.30* | |
NAT-IP-Adresse auf privater Seite | 10.10.7.70 | |
Einstellungen auf CB_4000/5000-1 | ||
IP-Adresse des Verwaltungsdienstes CB_4000/5000-1 | 10.10.1.10 | |
Einstellungen auf NS_VPX_CB_4000/5000-1 unter CB_4000/5000-1 | ||
Die NSIP-Adresse | 10.10.1.20 | |
SNIP-Adresse | 10.10.5.30 | |
Cloud Connector Tunnel | Cloud_Connector_DC1-DC2 | Lokale Endpunkt-IP-Adresse des Citrix Cloud Connector -Tunnels = 10.10.5.30, Remote-Endpunkt-IP-Adresse des Citrix Cloud Connector-Tunnels = 203.0.210.30* |
GRE-Tunneldetails | ||
Name : Cloud_Connector_DC1-DC2 | ||
IPSec-Profildetails | ||
Name = Cloud_Connector_DC1-DC2, Verschlüsselungsalgorithmus = AES, Hash-Algorithmus = HMAC SHA1 | ||
Richtlinienbasierte Route | CBC_DC1_DC2_PBR | Quell-IP-Bereich = Subnetz im Datacenter1 = 10.102.147.0-10.102.147.255, Ziel-IP-Bereich = Subnetz im Datacenter2 = 10.20.20.0-10.20.20.255, Nächster Hop-Typ = IP-Tunnel, IP-Tunnelname = CBC_DC1_DC2 |
*Dies sollten öffentliche IP-Adressen sein.
In der folgenden Tabelle sind die Einstellungen für CB- 4000/5000-2 im Rechenzentrum DC2 aufgeführt.
Entität | Name | Details |
---|---|---|
IP-Adresse des Servers S1 | 10.20.20.10 | |
Einstellungen auf NAT-Dev-2 | ||
NAT-IP-Adresse auf der öffentlichen Seite | 203.0.210.30* | |
NAT-IP-Adresse auf privater Seite | 10.10.8.80 | |
Einstellungen auf CB_4000/5000-2 | ||
Verwaltungsdienst-IP-Adresse von CB_SDX-1 | 10.10.2.10 | |
Einstellungen auf NS_VPX_CB_4000/5000-2 unter CB_4000/5000-2 | ||
Die NSIP-Adresse | 10.10.2.20 | |
SNIP-Adresse | 10.10.6.30 | |
Citrix Cloud Connector -Tunnel | Cloud_Connector_DC1-DC2 | Lokale Endpunkt-IP-Adresse des Citrix Cloud Connector -Tunnels = 10.10.6.30, Remote-Endpunkt-IP-Adresse des Citrix Cloud Connector-Tunnels = 203.0.113.30* |
GRE-Tunneldetails | ||
Name : Cloud_Connector_DC1-DC2 | ||
IPSec-Profildetails | ||
Name = Cloud_Connector_DC1-DC2, Verschlüsselungsalgorithmus = AES, Hash-Algorithmus = HMAC SHA1 | ||
Richtlinienbasierte Route | CBC_DC1_DC2_PBR | Quell-IP-Bereich = Subnetz im Datencenter 2 = 10.20.20.0-10.20.20.255, Ziel-IP-Bereich = Subnetz im Datencenter 1 = 10.102.147.0-10.102.147.255, Nächster Hop-Typ = IP-Tunnel, IP-Tunnelname = CBC_DC1_DC2 |
*Dies sollten öffentliche IP-Adressen sein.
Im Folgenden finden Sie den Datenverkehr im Citrix Cloud Connector -Tunnel:
-
Client CL1 sendet eine Anforderung an Server S1.
-
Die Anforderung erreicht die virtuelle Citrix Appliance NS_VPX_CB_4000/5000-1, die auf der Citrix SD-WAN WANOP-Appliance CB_4000/5000-1 ausgeführt wird.
-
NS_VPX_CB_4000/5000-1 leitet das Paket zur WANOP-Optimierung an eine der SD-WANOP-Instanzen weiter, die auf der Citrix SD-WAN WANOP-Appliance CB_4000/5000-1 ausgeführt werden. Nach der Verarbeitung des Pakets gibt die SD-WANOP-Instanz das Paket an NS_VPX_CB_4000/5000-1 zurück.
-
Das Anforderungspaket entspricht der in der PBR-Entität CBC_DC1_DC2_PBR (konfiguriert in NS_VPX_CB_4000/5000-1) angegebenen Bedingung, da die Quell-IP-Adresse und die Ziel-IP-Adresse des Anforderungspakets zum Quell-IP-Bereich bzw. Ziel-IP-Bereich gehören, der in CBC_DC1_DC2_PBR festgelegt ist.
-
Da der Tunnel CBC_DC1_DC2_PBR an CBC_DC1_DC2_PBR gebunden ist, bereitet die Appliance das Paket vor, das über den Cloud_Connector_DC1-DC2-Tunnel gesendet werden soll.
-
NS_VPX_CB_4000/5000-1 verwendet das GRE-Protokoll, um jedes der Anforderungspakete zu kapseln, indem ein GRE-Header und ein GRE-IP-Header zum Paket hinzugefügt wird. Im GRE-IP-Header ist die Ziel-IP-Adresse die Adresse des Cloud-Connector-Tunnels (Cloud_Connector_DC1-DC2) im Rechenzentrum DC2.
-
Für den Cloud Connector tor-Tunnel Cloud_Connector_DC1-DC2 überprüft NS_VPX_CB_4000/5000-1 die storedIPSec-Sicherheitszuordnungsparameter (SA) für die Verarbeitung ausgehender Pakete, wie zwischen NS_VPX_CB_4000/5000-1 und NS_VPX_CB_4000/5000-2 vereinbart. Das IPSec Encapsulating Security Payload (ESP) -Protokoll in NS_VPX_CB_4000/5000-1 verwendet diese SA-Parameter für ausgehende Pakete, um die Nutzlast des GRE-gekapselten Pakets zu verschlüsseln.
-
Das ESP-Protokoll gewährleistet die Integrität und Vertraulichkeit des Pakets mithilfe der HMAC-Hash-Funktion und des Verschlüsselungsalgorithmus, der für den Citrix Cloud Connector tor-Tunnel Cloud_Connector_DC1-DC2 angegeben wurde. Das ESP-Protokoll erzeugt nach Verschlüsselung der GRE-Nutzlast und Berechnung des HMAC einen ESP-Header und einen ESP-Trailer und fügt diese vor bzw. am Ende der verschlüsselten GRE-Nutzlast ein.
-
NS_VPX_CB_4000/5000-1 sendet das resultierende Paket NS_VPX_CB_4000/5000-2.
-
NS_VPX_CB_4000/5000-2 überprüft die gespeicherten IPSec-Sicherheitszuordnungsparameter (SA) für die Verarbeitung eingehender Pakete, wie zwischen CB_DC-1 und NS_VPX-AWS für den Cloud Connector tor-Tunnel Cloud_Connector_DC1-DC2 vereinbart. Das IPSec-ESP-Protokoll auf NS_VPX_CB_4000/5000-2 verwendet diese SA-Parameter für eingehende Pakete und den ESP-Header des Anforderungspakets, um das Paket zu entschlüsseln.
-
NS_VPX_CB_4000/5000-2 entkapselt dann das Paket, indem der GRE-Header entfernt wird.
-
NS_VPX_CB_4000/5000-2 leitet das resultierende Paket an CB_VPX_CB_4000/5000-2 weiter, wodurch WAN-optimierungsbezogene Verarbeitung auf das Paket angewendet wird. CB_VPX_CB_4000/5000-2 gibt dann das resultierende Paket an NS_VPX_CB_4000/5000-2 zurück.
-
Das resultierende Paket ist dasselbe, das von CB_VPX_CB_4000/5000-2 in Schritt 2 empfangen wurde. Dieses Paket hat die Ziel-IP-Adresse auf die IP-Adresse des Servers S1 festgelegt. NS_VPX_CB_4000/5000-2 leitet dieses Paket an Server S1 weiter.
-
S1 verarbeitet das Anforderungspaket und sendet ein Antwortpaket. Die Ziel-IP-Adresse im Antwortpaket ist die IP-Adresse von Client CL1, und die Quell-IP-Adresse ist die IP-Adresse des Servers S1.