This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
CloudBridge Connector interoperability – Cisco ASA
您可以在 NetScaler 设备和 Cisco ASA 设备之间配置 CloudBridge Connector 连接器通道,以连接两个数据中心或将您的网络扩展到云提供商。NetScaler 设备和 Cisco ASA 设备构成 CloudBridge Connector 通道的端点,被称为对等体。
CloudBridge Connector 通道配置示例
举例说明 CloudBridge Connector 通道中的流量,请看一个在以下设备之间设置 CloudBridge Connector 通道的示例:
- NetScaler 设备 NS_Appliance-1 位于指定为 Datacenter-1 的数据中心中
- Cisco ASA 设备 cisco-ASA-Appliance-1 位于指定为 Datacenter-2 的数据中心
NS_Appliance-1 和 Cisco-ASA-Appliance-1 允许通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在示例中,NS_Appliance-1 和 Cisco-ASA-Appliance-1 允许通过 CloudBridge Connector 通道在 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。
在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_Cisco-ASA_IPSec_Profile、CloudBridge Connector 通道实体 NS_Cisco-ASA_Tunnel 和基于策略的路由 (PBR) 实体 NS_Cisco-ASA_Pbr。
CloudBridge Connector 通道配置需要考虑的事项
在开始配置 CloudBridge Connector通道之前,请确保:
- NetScaler 设备和 Cisco ASA 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。
| IPsec 属性 | 设置 |
|---|---|
| IPsec 模式 | 通道模式 |
| IKE 版本 | 版本 1 |
| IKE 身份验证方法 | 预共享密钥 |
| IKE 加密算法 | AES,3DES |
| IKE 哈希算法 | HMAC SHA1,HMAC MD5 |
| ESP 加密算法 | AES,3DES |
| ESP 哈希算法 | HMAC SHA1,HMAC MD5 |
- 您必须在 CloudBridge Connector 通道两端的 NetScaler 设备和 Cisco ASA 设备上指定相同的 IPsec 设置。
- NetScaler 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的常用参数。 因此,在 Cisco ASA 设备中,必须在 IKE(第 1 阶段配置)和 ESP(第 2 阶段配置)中指定相同的哈希算法和相同的加密算法。
- 您必须在 NetScaler 端和 Cisco ASA 端配置防火墙才能允许执行以下操作。
- 端口 500 的任何 UDP 数据包
- 端口 4500 的任何 UDP 数据包
- 任何 ESP(IP 协议编号 50)数据包
为 CloudBridge Connector 通道配置Cisco ASA
要在 Cisco ASA 设备上配置 CloudBridge Connector 通道,请使用 Cisco ASA 命令行接口,这是配置、监视和维护 Cisco ASA 设备的主要用户界面。
在开始在 Cisco ASA 设备上配置 CloudBridge Connector 通道之前,请确保:
- 您在 Cisco ASA 设备上有一个具有管理员凭据的用户帐户。
- 您熟悉 Cisco ASA 命令行界面。
- Cisco ASA 设备已启动并正在运行,已连接到互联网,还连接到私有子网,这些子网的流量将通过 CloudBridge Connector 通道进行保护。
注意
在 Cisco ASA 设备上配置 CloudBridge Connector 通道的过程可能会随着时间的推移而变化,具体取决于Cisco的发布周期。Citrix 建议您按照配置 IPsec VPN 通道的 Cisco ASA 官方产品文档进行操作,网址为:
要在 NetScaler 设备和 Cisco ASA 设备之间配置 CloudBridge Connector通道,请在 Cisco ASA 设备的命令行上执行以下任务:
- 创建 IKE 策略。IKE 策略定义了在 IKE 协商(第 1 阶段)期间使用的安全参数组合。例如,在此任务中设置了要在 IKE 协商中使用的哈希算法、加密算法和身份验证方法等参数。
- 在外部接口上启用 IKE。在外部接口上启用 IKE,通道流量将通过该接口流向通道对等体。
- 创建通道组。通道组指定通道类型和预共享密钥。 通道类型必须设置为 ipsec-l2l,它代表 IPsec 局域网到局域网。预共享密钥是一个文本字符串,CloudBridge Connector 通道的对等方使用该文本字符串相互进行身份验证。 预共享密钥相互匹配以进行 IKE 身份验证。因此,要成功进行身份验证,必须在 Cisco ASA 设备和 NetScaler 设备上配置相同的预共享密钥。
- 定义转换集。转换集定义了安全参数的组合(第 2 阶段),用于在 IKE 协商成功后通过 CloudBridge Connector 通道交换数据。
- 创建访问列表。加密访问列表用于定义子网,其 IP 流量将通过 CloudBridge 通道受到保护。访问列表中的源和目标参数指定了要通过 CloudBridge Connector 通道保护的 Cisco 设备端和 NetScaler 端子网。访问列表必须设置为允许。任何源自 Cisco 设备端子网中的设备并发往 NetScaler 端子网中的设备且与访问列表的源和目标参数相匹配的请求数据包都将通过 CloudBridge Connector 通道发送。
- 创建加密映射。加密映射定义了安全关联 (SA) 的 IPsec 参数。它们包括以下内容:加密访问列表,用于识别要通过 CloudBridge 通道保护其流量的子网,通过 IP 地址识别对等 (NetScaler),以及转换设置以匹配对等安全设置。
- 将加密映射应用到外部接口。在本任务中,您将加密映射应用到外部接口,通道流量将通过该接口流向通道对等体。将加密映射应用于接口会指示 Cisco ASA 设备根据加密映射集评估所有接口流量,并在连接或安全关联协商期间使用指定的策略。
以下过程中的示例创建了 Cisco ASA 设备 Cisco-ASA-Appliance-1 的设置,该设备在 CloudBridge Connector 配置和数据流示例中使用。
使用 Cisco ASA 命令行创建 IKE 策略
在 Cisco ASA 设备的命令提示符下,按所示顺序键入以下命令,从全局配置模式开始:
| 命令 | 示例 | 命令描述 |
|---|---|---|
| 加密 ikev1 策略优先级 | Cisco-ASA-appliance-1(config)# crypto ikev1 policy 1 | 进入 IKE 策略配置模式并确定要创建的策略。(每个策略都由您分配的优先级编号唯一标识。)此示例配置策略 1。 |
| encryption (3des | aes) | Cisco-ASA-appliance-1 (config-ikev1-policy)# encryption 3des | 指定加密算法。此示例配置了 3DES 算法。 |
| 哈希 (sha | md5) | Cisco-ASA-appliance-1 (config- ikev1-policy)# hash sha | 指定哈希算法。此示例配置了 SHA。 |
| authenticationpre-share | Cisco-ASA-appliance-1 (config- ikev1-policy)# authentication pre-share | 指定共享前的身份验证方法。 |
| 第 2 组 | Cisco-ASA-appliance-1 (config- ikev1-policy)# group 2 | 指定 1024 位 Diffie-Hellman 组标识符 (2)。 |
| 生命周期秒数 | Cisco-ASA-appliance-1 (config- ikev1-policy)# lifetime 28800 | 以秒为单位指定安全关联的生命周期。此示例配置了 28800 秒,这是 NetScaler 设备中生命周期的默认值。 |
使用 Cisco ASA 命令行在外部接口上启用 IKE
在 Cisco ASA 设备的命令提示符下,按所示顺序键入以下命令,从全局配置模式开始:
| 命令 | 示例 | 命令描述 |
|---|---|---|
| 加密 ikev1 在外部启用 | Cisco-ASA-appliance-1(config)# crypto ikev1 enable outside | 在通道流量流向通道对等体的接口上启用 IKEv1。此示例在名为 outside 的接口上启用 IKEv1。 |
使用 Cisco ASA 命令行创建通道组
在 Cisco ASA 设备的命令提示符下,键入以下命令,从全局配置模式开始,如 使用 Cisco ASA 命令行附加的 pdf 通道组中所示:
使用 Cisco ASA 命令行创建加密访问列表
在 Cisco ASA 设备的命令提示符下,按所示顺序在全局配置模式下键入以下命令:
| 命令 | 示例 | 命令描述 |
|---|---|---|
| 访问列表访问列表编号允许 IP 源通配符目的地通配符 | Cisco-ASA-appliance-1(config)# access-list 111 permit ip 10.20.20.0 0.0.0.255 10.102.147.0 0.0.0.255 | 指定条件以确定要通过 CloudBridge Connector 通道保护其 IP 流量的子网。此示例配置访问列表 111 以保护来自子网 10.20.20.0/24(在 Cisco-ASA-Appliance-1 端)和 10.102.147.0/24(位于 NS_Appliance-1 端)的流量。 |
使用 Cisco ASA 命令行定义转换集
在 Cisco ASA 设备的命令提示符处,键入以下命令,从全局配置模式开始。请参阅 使用 ASA 命令行 表格转换集 pdf。
使用 Cisco ASA 命令行创建加密映射
在 Cisco ASA 设备的命令提示符下,按所示顺序在全局配置模式下键入以下命令:
| 命令 | 示例 | 命令描述 |
|---|---|---|
| crypto map map-name seq-num match address access-list-name | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 match address 111 | 创建加密映射并指定其访问列表。此示例使用序列号 1 配置加密映射 NS-CISCO-CM,并将访问列表 111 分配给 NS-CISCO-CM。 |
| crypto map map-name seq-num set peer ip-address | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 set peer 198.51.100.100 | 通过其 IP 地址指定对等方(NetScaler 设备)。此示例指定了 198.51.100.100,这是 NetScaler 设备上的通道端点 IP 地址。 |
| crypto map map-name seq-num set ikev1 transform-set transform-set-name | Cisco-ASA-appliance-1 (config)# crypto map NS-CISCO-CM 1 set ikev1 transform-set NS-CISCO-TS | 指定该加密映射条目允许使用哪个转换集。此示例指定了转换集 NS-CISCO-TS。 |
使用 Cisco ASA 命令行将加密映射应用到接口
在 Cisco ASA 设备的命令提示符下,按所示顺序在全局配置模式下键入以下命令:
| 命令 | 示例 | 命令描述 |
|---|---|---|
| crypto map map-nameinterface interface-name | Cisco-ASA-appliance-1(config)# crypto map NS-CISCO-CM interface outside | 将加密映射应用于 CloudBridge Connector 通道流量将流经的接口。此示例将加密映射 NS-CISCO-CM 应用于外部接口。 |
为 CloudBridge Connector 通道配置 NetScaler 设备
要在 NetScaler 设备和 Cisco ASA 设备之间配置 CloudBridge Connector 通道,请在 NetScaler 设备上执行以下任务。您可以使用 NetScaler 命令行或 NetScaler 图形用户界面 (GUI):
- 创建 IPsec 配置文件。
- 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。
- 创建 PBR 规则并将其与 IP 通道关联。
要使用 NetScaler 命令行创建 IPSEC 配置文件,请执行以下操作:
在命令提示符下,键入:
add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLEshow ipsec profile <name>
要创建 IPSEC 通道并使用 NetScaler 命令行将 IPSEC 配置文件绑定到该通道,请执行以下操作:
在命令提示符下,键入:
add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>show ipTunnel <name>
要创建 PBR 规则并使用 NetScaler 命令行将 IPSEC 通道绑定到该规则,请执行以下操作:
在命令提示符下,键入:
**add pbr** <pbrName> **ALLOW** –**srcIP** <subnet-range> -**destIP** <subnet-range>**ipTunnel** <tunnelName>**apply pbrs****show pbr** <pbrName>
要使用 GUI 创建 IPSEC 配置文件,请执行以下操作:
- 导航到 系统 > CloudBridge Connector > IPsec 配置文件。
- 在详细信息窗格中,单击“添加”。
- 在 添加 IPsec 配置文件 页面中,设置以下参数:
- 名称
- 加密算法
- 哈希算法
- IKE 协议版本
- 完美前向保密(启用此参数)
- 配置 IPsec 身份验证方法,供两个 CloudBridge Connector 通道对等体进行相互身份验证:选择 预共享密钥身份验证 方法并设置 预共享 密钥存在参数。
- 单击“创建”,然后单击“关闭”。
要创建 IP 隧道并使用 GUI 将 IPSEC 配置文件绑定到该隧道,请执行以下操作:
- 导航到 系统 > CloudBridge Connector > IP 通道。
- 在 IPv4 通道选项卡上,单击 添加。
- 在 添加 IP 隧道 页面中,设置以下参数:
- 名称
- 远程 IP
- 远程掩码
- 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
- 本地 IP(选定 IP 类型的所有已配置 IP 地址都在“本地 IP”下拉列表中。从列表中选择所需的 IP。)
- 协议
- IPsec 配置文件
- 单击“创建”,然后单击“关闭”。
要创建 PBR 规则并使用 GUI 将 IPSEC 通道绑定到该规则,请执行以下操作:
- 导航到“系统”>“网络”>“PBR”。
- 在 PBR 选项卡上,单击 添加。
- 在 创建 PBR 页面中,设置以下参数:
- 名称
- 操作
- 下一跳类型(选择 IP 通道)
- IP 通道名称
- 来源 IP 不足
- 来源 IP High
- 目标 IP 不足
- 目标 IP 为高
- 单击“创建”,然后单击“关闭”。
NetScaler 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在“已配置的 CloudBridge Connector”窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。
以下命令在“CloudBridge Connector 配置示例中创建 NetScaler 设备 NS_Appliance-1 的设置:
> add ipsec profile NS_Cisco-ASA_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE
Done
> add iptunnel NS_Cisco-ASA_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Cisco-ASA_IPSec_Profile
Done
> add pbr NS_Cisco-ASA_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Cisco-ASA_Tunnel
Done
> apply pbrs
Done
<!--NeedCopy-->
监视 CloudBridge Connector 通道
您可以使用 CloudBridge Connector 通道统计计数器监视 NetScaler 设备上的 CloudBridge Connector 通道的性能。有关在 NetScaler 设备上显示 CloudBridge Connector 通道统计数据的更多信息,请参阅监视 CloudBridge Connector 通道。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.