This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
CloudBridge Connector 互操作性 — StrongSwan
StrongSwan 是一个开源的 IPsec 实现,适用于 Linux 平台。 您可以在 Citrix ADC 设备和 StrongSwan 设备之间配置 CloudBridge Connector 通道,以连接两个数据中心或将网络扩展到云提供商。Citrix ADC 设备和 StrongSwan 设备构成 CloudBridge Connector 通道的终点,称为对等。
CloudBridge Connector 通道配置示例
作为 CloudBridge Connector 通道中流量的示例,请考虑在以下设备之间设置 CloudBridge Connector 通道的示例:
- 数据中心指定为 Datacenter-1 的 Citrix ADC 设备 NS_Appliance-1
- 指定为 Datacenter-2 的数据中心内的 StrongSwan 设备 StrongSwan-Appliance-1
NS_Appliance-1 和 StrongSwan-Appliance-1 可通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在此示例中,NS_Appliance-1 和 StrongSwan-Appliance-1 通过 CloudBridge Connector 通道启用 Datacenter-1 中的客户端 CL1 与数据中心 2 中的服务器 S1 之间的通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。
在 NS_Applane-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_StrongSwan_IPsec_Profile、CloudBridge Connector 通道实体 NS_StrongSwan_Tunnel 和基于策略的路由 (PBR) 实体 NS_StrongSwan_Pbr。
下表列出了此示例中使用的设置。
CloudBridge Connector 通道设置的主设置
| 实体 | 详细信息 |
|---|---|
| Datacenter-1 中的 CloudBridge Connector 通道端点 (NS_Appliance-1) 的 IP 地址 | 198.51.100.100 |
| Datacenter-2 中的 CloudBridge Connector 通道端点 (StrongSwan-Appliance-1) 的 IP 地址 | 203.0.113.200 |
| 数据中心 — 1 的子网,其流量将通过 CloudBridge Connector 通道受到保护 | 10.102.147.0/24 |
| 数据中心 — 2 的子网,其流量将通过 CloudBridge Connector 通道受到保护 | 10.20.20.0/24 |
Datacenter-1 中的 Citrix ADC 设备 NS_Appliance-1 上的设置
|SNIP1(仅供参考)|198.51.100.100| |–|–|–| |IPsec 配置文件|NS_StrongSwan_IPsec_Profile|IKE 版本: v1;加密算法: AES;哈希算法: HMAC_SHA1 psk = examplepresharedkey (注意: 这是预共享密钥的示例,仅用于图示说明。Citrix 不建议在您的 CloudBridge Connector 配置中使用此字符串) | | CloudBridge Connector 通道|NS_StrongSwan_Tunnel| 远程 IP = 203.0.113.200,本地 IP = 198.51.100.100,通道协议 = IPsec,IPsec 配置文件 = NS_StrongSwan_IPsec_Profile |基于策略的路由|NS_StrongSwan_Pbr|源 IP 范围 = Datacenter-1 中的子网 =10.102.147.0-10.102.147.255,目标 IP 范围 = Datacenter-2 中的子网 = 10.20.20.0-10.20.20.255,IP 通道 = NS_StrongSwan_Tunnel|
CloudBridge Connector 通道配置需要考虑的事项
在开始配置 CloudBridge 连接器隧道之前,请确保:
- 您有一个关于 Linux 配置的基本知识。
- 您有一个关于 IPsec 协议套件的基本知识。
- StrongSwan 设备处于启动状态并运行状态,连接到 Internet,并且还连接到专用子网,其流量将通过 CloudBridge Connector 通道受到保护。
- Citrix ADC 设备已启动并正在运行,已连接到 Internet,并且还连接到专用子网,其流量将通过 CloudBridge Connector 通道受到保护。
- Citrix ADC 设备和 StrongSwan 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。
- IPsec 模式:通道模式
- IKE 版本:版本 1
- IKE 身份验证方法:预共享密钥
- IKE 加密算法:AES
- IKE 哈希算法:HMAC SHA1
- ESP 加密算法:AES
- ESP 哈希算法:HMAC SHA1
- 您必须在 Citrix ADC 设备和 CloudBridge Connector 通道两端的 StrongSwan 设备上指定相同的 IPsec 设置。
- Citrix ADC 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的常见参数。 因此,在 StrongSwan 设备中,必须在 IPsec.conf 文件中的 IKE 和 ESP 参数中指定相同的哈希算法和相同的加密算法。
- 必须在 Citrix ADC 端和 StrongSwan 端配置防火墙,以允许执行以下操作。
- 端口 500 的任何 UDP 数据包
- 端口 4500 的任何 UDP 数据包
- 任何 ESP(IP 协议编号 50)数据包
为 CloudBridge Connector 通道配置 StrongSwan
要在 Citrix ADC 设备和 StrongSwan 设备之间配置 CloudBridge Connector 通道,请在 StrongSwan 设备上执行以下任务:
- 在 IPsec.conf 文件中指定 IPsec 连接信息。IPsec.conf 文件定义 strongSwan 设备中 IPsec 连接的所有控制和配置信息。
- 在 IPsec.secrets 文件中指定预共享的密钥。IPsec.secrets 文件定义在 StrongSwan 设备中 IPsec 连接的 IKE/IPsec 身份验证的密钥。
在 StrongSwan 设备上配置 IPsec VPN(CloudBridge Connector 通道)的过程可能会随着时间的推移而更改,具体取决于 StrongSwan 发布周期。Citrix 建议您遵循有关 配置 IPSec VPN 隧道的官方 StronSwan 文档。
以下 IPsec.conf 文件的示例摘录指定了用于设置 IPsec VPN 通道的 IPsec 信息,如 CloudBridge Connector 配置主题示例中所述。有关更多信息,请参阅 CloudBridge Connector 配置 pdf。
以下 IPsec.secrets 文件示例指定IKE 身份验证预共享密钥,用于设置 IPsec VPN 通道,如 CloudBridge Connector 配置主题示例中所述。
/etc/ipsec.secrets-
PSK ‘示例预共享密钥’ #pre-用于 IPsec IKE 身份验证的共享密钥
为 CloudBridge Connector 通道配置 Citrix ADC 设备
要在 Citrix ADC 设备和 StrongSwan 设备之间配置 CloudBridge Connector 通道,请在 Citrix ADC 设备上执行以下任务。您可以使用 Citrix ADC 命令行或 Citrix ADC 图形用户界面 (GUI):
- 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,如 IKE 版本、加密算法、哈希算法和身份验证方法,以供 CloudBridge Connector 通道中的 IPsec 协议使用。
- 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(Citrix ADC 设备上配置的 CloudBridge Connector 通道端点 IP 地址(SNIP 类型))、远程 IP 地址(在 StrongSwan 设备上配置的 CloudBridge Connector 通道端点 IP 地址)、用于设置 CloudBridge 设备的协议 (IPsec)连接器通道和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
- 创建 PBR 规则并将其与 IP 隧道相关联。PBR 实体指定一组规则和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 地址范围是 PBR 实体的条件。设置源 IP 地址范围以指定要通过通道保护其流量的 Citrix ADC 端子网,并设置目标 IP 地址范围以指定通过通道保护其流量的 StrongSwan 端子网。
使用 Citrix ADC 命令行创建 IPsec 配置文件
在命令提示符下,键入:
add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1show ipsec profile <name>
使用 Citrix ADC 命令行创建 IPsec 通道并将 IPsec 配置文件绑定到该通道
在命令提示符下,键入:
add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>show ipTunnel <name>
使用 Citrix ADC 命令行创建 PBR 规则并将 IPsec 通道绑定到该规则
在命令提示符下,键入:
add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>apply pbrsshow pbr <pbrName>
使用 GUI 创建 IPsec 配置文件
- 导航到 系统 > CloudBridge 连接器 > IPsec 配置文件。
- 在详细信息窗格中,单击 Add(添加)。
- 在“添加 IPsec 配置文件”页面中,设置以下参数:
- 名称
- 加密算法
- 哈希算法
- IKE 协议版本
- 将两个 CloudBridge Connector 隧道对等体使用的 IPsec 身份验证方法配置为相互身份验证:选择 预共享密钥身份验证方法 并设置 预共享密钥存在 参数。
- 单击 Create(创建),然后单击 Close(关闭)。
创建 IP 通道并使用 GUI 将 IPsec 配置文件绑定到它
- 导航到系统 > CloudBridge Connector > IP 通道。
- 在 IPv4 隧道 选项卡上,单击 添加。
- 在“添加 IP 隧道”页中,设置以下参数:
- 名称
- 远程 IP
- 远程屏蔽
- 本地 IP 类型(在本地 IP 类型下拉列表中,选择子网 IP)。
- 本地 IP(所选 IP 类型的所有已配置的 IP 地址均位于“本地 IP”下拉列表中。从列表中选择所需的 IP。)
- 协议
- IPsec 配置文件
- 单击 Create(创建),然后单击 Close(关闭)。
创建 PBR 规则并使用 GUI 将 IPsec 通道绑定到它
- 导航到系统 > 网络 > PBR。
- 在 PBR 选项卡上,单击 添加。
- 在 “ 创建 PBR ” 页中,设置以下参数:
- 名称
- 操作
- 下一个跳类型(选择 IP 通道)
- IP 通道名称
- 源 IP 低
- 源 IP 高
- 目标 IP 低
- 目标 IP 高
- 单击 Create(创建),然后单击 Close(关闭)。
Citrix ADC 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在已配置的 CloudBridge Connector 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。 以下命令在“CloudBridge Connector 配置示例”中创建 Citrix ADC 设备 NS_Appliance-1 的设置:
> add ipsec profile NS_StrongSwan_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1
Done
> add iptunnel NS_StrongSwan_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_StrongSwan_IPSec_Profile
Done
> add pbr NS_StrongSwan_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_StrongSwan_Tunnel
Done
> apply pbrs
Done
<!--NeedCopy-->
监视 CloudBridge Connector 通道
您可以使用 CloudBridge Connector 通道统计计数器监视 Citrix ADC 设备上的 CloudBridge Connector 通道的性能。有关在 Citrix ADC 设备上显示 CloudBridge Connector 隧道统计信息的更多信息,请参阅 监视 CloudBridge Connector 隧道。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.