ADC

在 NetScaler 设备和 fortinet FortiGate 设备之间配置 CloudBridge Connector 通道

您可以在 NetScaler 设备和 Fortinet FortiGate 设备之间配置 CloudBridge Connector ge 连接器通道,以连接两个数据中心或将您的网络扩展到云提供商。NetScaler 设备和 FortiGate 设备构成 CloudBridge Connector 通道的端点,被称为对等方。

CloudBridge Connector 通道配置示例

举例说明 CloudBridge Connector 通道中的流量,请看一个在以下设备之间设置 CloudBridge Connector 通道的示例:

  • NetScaler 设备 NS_Appliance-1 位于指定为 Datacenter-1 的数据中心中
  • FortiGate 设备 Fortigate-Appliance-1 位于指定为 Datacenter-2 的数据中心内

NS_Appliance-1 和 FortiGate-Appliance-1 允许通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在示例中,NS_Appliance-1 和 FortiGate-Appliance-1 允许通过 CloudBridge Connector 通道在 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_Fortinet_IPSec_Profile、CloudBridge Connector通道实体 NS_Fortinet_Tunnel 和基于策略的路由 (PBR) 实体 NS_Fortinet_Pbr。

本地化后的图片

有关更多信息,请参阅 CloudBridge Connector 通道配置表 pdf。

有关数据中心 2 中 Fortinet Fortigate 设备 1 上的设置的信息,请参阅 表格

CloudBridge Connector 通道配置需要考虑的事项

在 NetScaler 设备和 FortGate 设备之间配置 CloudBridge Connector 通道之前,请考虑以下几点:

  • NetScaler 设备和 FortiGate 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。

    IPsec 属性 设置
    IPsec 模式 通道模式
    IKE 版本 版本 1
    IKE DH 组 DH 组 2(1024 位 MODP 算法)
    IKE 身份验证方法 预共享密钥
    IKE 加密算法 AES
    IKE 哈希算法 HMAC SHA1
    ESP 加密算法 AES
    ESP 哈希算法 HMAC SHA1
  • 您必须在 CloudBridge Connector 两端的 NetScaler 设备和 FortiGate 设备上指定相同的 IPsec 设置。
  • NetScaler 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的常用参数。 因此,在 FortiGate 设备中,您必须在 IKE(第 1 阶段配置)和 ESP(第 2 阶段配置)中指定相同的哈希算法和相同的加密算法。
  • 您必须在 NetScaler 端和 FortiGate 端配置防火墙才能允许执行以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包
  • FortiGate 设备支持两种类型的 VPN 通道:基于策略和基于路由。FortiGate 设备和 NetScaler 设备之间仅支持基于策略的 VPN 通道。

为 CloudBridge Connector 通道配置 FortiGate 设备

要在 FortiGate 设备上配置 CloudBridge Connector 通道,请使用 Fortinet 基于 Web 的管理器,这是配置、监视和维护 FortiGate 设备的主要用户界面。

在开始在 FortiGate 设备上配置 CloudBridge Connector通道之前,请确保:

  • 您在 FortiGate 设备上拥有一个具有管理员凭据的用户帐户。
  • 您熟悉 Fortinet 基于 Web 的管理器。
  • FortiGate设备已启动并正在运行,已连接到互联网,还连接到私有子网,其流量将通过CloudBridge Connector tor通道进行保护。

注意

在 FortiGate 设备上配置 CloudBridge Connector 通道的过程可能会随着时间的推移而改变,具体取决于 Fortinet 发布周期。Citrix 建议您遵循 Fortinet 官方产品文档了 解配置 IPsec VPN 通道

要在 NetScaler 设备和 FortiGate 设备之间配置 CloudBridge Connector 通道,请使用基于 Web 的 Fortinet 管理器在 FortiGate 设备上执行以下任务:

  • 启用基于策略的 IPsec VPN功能。启用此功能可在 FortiGate 设备上创建基于策略的 VPN 通道。FortiGate 设备和 NetScaler 设备之间仅支持基于策略类型的 VPN 通道。FortiGate 设备上基于策略的 VPN 通道配置包括第 1 阶段设置、第 2 阶段设置和 IPsec 安全策略。
  • 定义第 1 阶段的参数。在形成通往 NetScaler 设备的安全通道之前,FortiGate 设备使用第 1 阶段的参数进行 IKE 身份验证。
  • 定义第 2 阶段的参数。FortiGate 设备使用第 2 阶段参数通过建立 IKE 安全关联 (SA) 来形成通往 NetScaler 设备的安全通道。
  • 指定私有子网。定义要通过通道传输其 IP 流量的 Fortigate 端和 NetScaler 端的私有子网。
  • 为通道定义 IPsec 安全策略。安全策略允许 IP 流量在 FortiGate 设备的接口之间传输。IPsec 安全策略指定私有子网的接口和通过通道连接 NetScaler 设备的接口。

使用 Fortinet 基于 Web 的管理器启用基于策略的 IPsec VPN 功能

  1. 导航到“系统”>“配置”>“功能”。
  2. 功能设置 页面上,选择 显示更多 ,然后打开 基于策略的 IPsec VPN

使用 Fortinet 基于 Web 的管理器定义第 1 阶段的参数

  1. 导航到 VPN > IPsec > 自动密钥 (IKE) ,然后单击 创建 Phase1。
  2. 在“新阶段 1”页面上,设置以下参数:
    • 名称:输入第 1 阶段配置的名称。
    • 远程网关:选择 静态 IP 地址。
    • 模式:选择 主模式(ID 保护)
    • 身份验证方法:选择 预共享密钥
    • 预共享密钥:输入预共享密钥。必须在 NetScaler 设备上配置相同的预共享密钥。
    • 对等选项:设置以下 IKE 参数来对 NetScaler 设备进行身份验证。
      • IKE 版本:选择 1
      • 模式配置:如果选中此选项,请将其清除。
      • 本地网关 IP:选择 主接口 IP
      • P1 提案:在形成通往 NetScaler 设备的安全通道之前,选择 IKE 身份验证的加密和身份验证算法。
        • 1-加密:选择 AES128
        • 身份验证:选择 SHA1
        • 密钥寿命:输入第 1 阶段密钥寿命的时间(以秒为单位)。
        • DH 组:选择 2。
      • X-Auth:选择禁用。
      • 契约同行检测:选择此选项。
  3. 单击确定

使用 Fortinet 基于 Web 的管理器指定私有子网

  1. 导航到“防火墙对象”>“地址”>“地址”,然后选择“新建”。
  2. 在新地址 页面上,设置以下参数:
    • 名称:输入 Fortigate 端子网的名称。
    • 类型:选择 子网
    • 子网/IP 范围:输入 Fortigate 端子网的地址。
    • 接口:选择此子网的本地接口。
  3. 单击确定
  4. 重复步骤 1-3 以指定 NetScaler 端的子网。

使用 Fortinet 基于 Web 的管理器定义第 2 阶段的参数

  1. 导航到 VPN > IPsec > 自动密钥 (IKE) ,然后单击 创建阶段 2
  2. 在“新阶段 2”页面上,设置以下参数:
    • 名称:输入此第 2 阶段配置的名称。
    • 第 1 阶段:从下拉列表中选择第 1 阶段配置。
  3. 单击“高级”并设置以下参数:
    • P2 提案:选择用于形成通往 NetScaler 设备的安全通道的加密和身份验证算法。
      • 1-加密:选择 AES128
      • 身份验证:选择 SHA1
      • 启用重播检测:选择此选项。
      • 启用完全前向保密 (PFS):选择此选项。
      • DH 组:选择 2
    • 密钥寿命:输入第 2 阶段密钥寿命的时间(以秒为单位)。
    • 自动密钥保持活动状态:选择此选项。
    • 自动协商:选择此选项。
    • 快速模式选择器:指定要通过通道传输流量的 Fortigate 端和 NetScaler 端的私有子网。
      • 源地址:从下拉列表中选择 Fortigate 端子网。
      • 源端口:输入 0
      • 目标地址:从下拉列表中选择 NetScaler 端的子网。
      • 目标端口:输入 0
      • 协议:输入 0
  4. 单击确定

使用 Fortinet 基于 Web 的管理器定义 IPsec 安全策略

  1. 导航到 策略 > 策略 > 策略 ,然后单击 新建
  2. 编辑策略 页面上,设置以下参数:
    • 策略类型:选择 VPN
    • 策略子类型: 选择 IPsec
    • 本地接口:选择内部(专用)网络的本地接口。
    • 本地受保护子网:从下拉列表中选择要通过通道传输流量的 Fortigate 端子网。
    • 传出 VPN 接口:选择外部(公共)网络的本地接口。
    • 远程保护子网:从下拉列表中选择要通过通道传输流量的 NetScaler 端子网。
    • 时间表:保留默认设置(始终),除非需要进行更改以满足特定要求。
    • 服务:保留默认设置 (ANY),除非需要进行更改以满足您的特定要求。
    • VPN 通道:选择“使用现有”,然后从下拉列表中选择通道。
    • 允许从远程站点启动流量:选择是否允许来自远程网络的流量启动通道。
  3. 单击确定

为 CloudBridge Connector 通道配置 NetScaler 设备

要在 NetScaler 设备和 FortiGate 设备之间配置 CloudBridge Connector 通道,请在 NetScaler 设备上执行以下任务。您可以使用 NetScaler 命令行或 NetScaler 图形用户界面 (GUI):

  • 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,例如 IKE 版本、加密算法、哈希算法和 IPsec 协议在 CloudBridge Connector 通道中使用的身份验证方法。
  • 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(在 NetScaler 设备上配置的 CloudBridge Connector 通道端点 IP 地址(SNIP 类型))、远程 IP 地址(在 FortiGate 设备上配置的 CloudBridge Connector 通道端点 IP 地址)、用于设置 CloudBridge Connector 通道的协议 (IPsec) 和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
  • 创建 PBR 规则并将其与 IP 通道关联。PBR 实体指定一组规则和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 地址范围是 PBR 实体的条件。设置源 IP 地址范围以指定要通过通道保护流量的 NetScaler 端子网,并设置目标 IP 地址范围以指定要通过通道保护流量的 FortiGate 设备端子网。

使用 NetScaler 命令行创建 IPSEC 配置文件

在命令提示符下,键入:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE
  • show ipsec profile <name>

使用 NetScaler 命令行创建 IPSEC 通道并将 IPSEC 配置文件绑定到该通道

在命令提示符下,键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName** <string>
  • show ipTunnel <name>

使用 NetScaler 命令行创建 PBR 规则并将 IPSEC 通道绑定到该规则

在命令提示符下,键入:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

使用 GUI 创建 IPSEC 配置文件

  1. 导航到 系统 > CloudBridge Connector > IPsec 配置文件
  2. 在详细信息窗格中,单击“添加”。
  3. 添加 IPsec 配置文件 页面中,设置以下参数:
    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本
    • 完美前向保密(启用此参数)
  4. 配置 IPsec 身份验证方法,供两个 CloudBridge Connector 通道对等体进行相互身份验证:选择 预共享密钥身份验证 方法并设置 预共享 密钥存在参数。
  5. 单击“创建”,然后单击“关闭”。

使用 GUI 创建 IP 通道并将 IPSEC 配置文件绑定到该通道

  1. 导航到 系统 > CloudBridge Connector > IP 通道
  2. IPv4 隧道 选项卡上,单击 添加
  3. 添加 IP 隧道 页面中,设置以下参数:
    • 名称
    • 远程 IP
    • 远程掩码
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
    • 本地 IP(选定 IP 类型的所有已配置 IP 地址都在“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击“创建”,然后单击“关闭”。

使用 GUI 创建 PBR 规则并将 IPSEC 通道绑定到该规则

  1. 导航到“系统”>“网络”>“PBR”。
  2. PBR 选项卡上,单击 添加
  3. 创建 PBR 页面中,设置以下参数:
    • 名称
    • 操作
    • 下一跳类型(选择 IP 通道
    • IP 通道名称
    • 来源 IP 不足
    • 来源 IP High
    • 目标 IP 不足
    • 目标 IP 为高
  4. 单击“创建”,然后单击“关闭”。

NetScaler 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。

CloudBridge Connector 通道的当前状态显示在“已配置的 CloudBridge Connector”窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

以下命令在“CloudBridge Connector 配置示例”中创建 NetScaler 设备 NS_Appliance-1 的设置。

    >  add ipsec profile NS_Fortinet_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE

     Done
    >  add iptunnel NS_Fortinet_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Fortinet_IPSec_Profile

     Done
    > add pbr NS_Fortinet_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Fortinet_Tunnel

     Done
    > apply pbrs

     Done
<!--NeedCopy-->

监视CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 NetScaler 设备上的 CloudBridge Connector 通道的性能。有关在 NetScaler 设备上显示 CloudBridge Connector 通道统计数据的更多信息,请参阅监视 CloudBridge Connector 通道

在 NetScaler 设备和 fortinet FortiGate 设备之间配置 CloudBridge Connector 通道