ADC

CloudBridge 连接器

注意: 当前的 Citrix ADC 1000V 版本不支持此功能。

Citrix ADC 设备的 CloudBridge Connector 功能将企业数据中心连接到外部云和托管环境,使云成为企业网络的安全扩展。云托管应用程序似乎在一个连续的企业网络上运行。借助 Citrix CloudBridge Connector ,您可以利用云提供商提供的容量和效率来增强您的数据中心。

通过 CloudBridge Connector ,您可以将应用程序迁移到云中,从而降低成本并提高可靠性。

除了在数据中心和云之间使用 CloudBridge Connector 之外,您还可以使用它连接两个数据中心,以实现高容量的安全和加速链接。

了解 CloudBridge Connector

要实施 Citrix CloudBridge Connector 解决方案,您可以通过设置名为 CloudBridge Connector 通道的通道将数据中心连接到另一个数据中心或外部云。

要将数据中心连接到另一个数据中心,您可以在两个 Citrix ADC 设备(每个数据中心设置一个)之间设置 CloudBridge Connector 通道。

要将数据中心连接到外部云(例如 Amazon AWS 云),您需要在数据中心中的 Citrix ADC 设备和驻留在云中的虚拟设备 (VPX) 之间设置 CloudBridge Connector 通道。远程端点可以是 CloudBridge Connector 或具有高级许可证的 Citrix ADC VPX。

下图显示了在数据中心和外部云之间设置的 CloudBridge Connector 通道。本地化后的图片

设置 CloudBridge Connector 通道的设备称为 CloudBridge Connector 通道的端点对等点

CloudBridge Connector 通道使用以下协议:

  • 通用路由封装 (GRE) 协议

  • 开放标准 IPsec 协议套件,处于传输模式

GRE 协议提供了一种机制,用于封装来自各种网络协议的数据包,以便通过另一种协议转发。GRE 用于:

  • 连接运行非 IP 和非路由协议的网络。

  • 跨广域网 (WAN) 桥梁。

  • 为需要通过不同网络发送不变的任何类型的流量创建传输通道。

GRE 协议通过向数据包添加 GRE 标头和 GRE IP 标头来封装数据包。

Internet 协议安全性 (IPsec) 协议套件可确保 CloudBridge Connector 通道中的对等方之间的通信。

在CloudBridge Connector 通道中,IPsec 确保:

  • 数据完整性

  • 数据源身份验证

  • 数据保密(加密)

  • 防止重播攻击

IPsec 使用 GRE 封装的数据包加密的传输模式。加密由封装安全有效负载 (ESP) 协议完成。ESP 协议通过使用 HMAC 哈希函数确保数据包的完整性,并通过使用加密算法确保机密性。在对数据包进行加密并计算 HMAC 后,将生成 ESP 标头。ESP 标头插入 GRE IP 标头后,和, ESP 拖车插入在加密的有效负载的末尾.

CloudBridge Connector 通道中的对等机使用 Internet 密钥交换版本 (IKE) 协议(IPsec 协议套件的一部分)协商安全通信,如下所示:

  • 两个对等方使用以下身份验证方法之一相互进行身份验证:

    • 预共享密钥身份验证。在每个对等方上手动配置称为预共享密钥的文本字符串。对等方的预共享密钥相互匹配以进行身份验证。因此,要使身份验证成功,您必须在每个对等方上配置相同的预共享密钥。
    • 数字证书认证。启动程序(发件人)对等程序使用其私钥对邮件交换数据进行签名,而另一个 Receiver 对等程序则使用发件人的公钥验证签名。通常,在包含 X.509v3 证书的消息中交换公钥。此证书提供了一定级别的保证,即证书中表示的对等方的身份与特定公钥相关联。
  • 然后,同行谈判达成协议:

    • 一种加密算法。

    • 加密密钥,用于在一个对等方中加密数据并在另一个对等方中解密数据。

安全协议、加密算法和加密密钥的协议称为安全关联 (SA)。SAS 是单向的(单纯)。例如,当两个对等方(CB1 和 CB2)通过连接器通道进行通信时,CB1 具有两个安全关联。一个 SA 用于处理外包,另一个 SA 用于处理入站数据包。

SAS 在指定的时间长度(称为生命周期)后过期。这两个对等方使用 Internet 密钥交换 (IKE) 协议(IPsec 协议套件的一部分)协商新的加密密钥并建立新的 SAS。有限生命周期的目的是防止攻击者破解钥匙。

下表列出了 Citrix ADC 设备支持的一些 IPsec 产品:

IPsec 属性 支持的类型
IKE 版本 V1, V2
IKE DH 组 Citrix ADC 设备仅支持 iKev1 和 IKEv2 的 DH 组 2(1024 位 MODP 算法)。
IKE 身份验证方法 预共享密钥认证、数字证书认证
加密算法 AES (128 位), AES 256 位 (256 位), 3DES
哈希算法 HMAC SHA1、HMAC SHA256、HMAC SHA384、HMAC SHA512、HMAC MD5
CloudBridge 连接器