ADC

CloudBridge Connector

注意: 当前的 NetScaler 1000V 版本不支持此功能。

NetScaler 设备的 CloudBridge Connector 连接器功能将企业数据中心连接到外部云和托管环境,使云成为企业网络的安全扩展。云托管应用程序似乎在一个连续的企业网络上运行。使用 Citrix CloudBridge Connector,您可以利用云提供商提供的容量和效率来增强数据中心。

CloudBridge Connector 使您能够将应用程序迁移到云端,以降低成本和提高可靠性。

除了在数据中心和云之间使用 CloudBridge Connector 外,您还可以使用它来连接两个数据中心,以实现高容量、安全和加速的链接。

了解CloudBridge Connector

要实施 Citrix CloudBridge Connector 解决方案,您可以通过设置名为 ClouCloudBridge Connector 通道的通道将数据中心连接到另一个数据中心或外部云。

要将数据中心连接到另一个数据中心,您需要在两台 NetScaler 设备之间设置一个 CloudBridge Connector 通道,每个数据中心一个。

要将数据中心连接到外部云(例如 Amazon AWS 云),您需要在数据中心中的 NetScaler 设备和驻留在云中的虚拟设备 (VPX) 之间设置 CloudBridge Connector 通道。远程端点可以是 CloudBridge Connector 或具有高级许可证的 NetScaler VPX。

下图显示了在数据中心和外部云之间设置的 CloudBridge Connector 通道。本地化后的图片

在其中设置 CloudBridge Connector 通道的设备被称为 CloudBridge Connecto r 通道的 端点 或对等体。

CloudBridge Connector通道使用以下协议:

  • 通用路由封装 (GRE) 协议

  • 传输模式下的开放标准 IPsec 协议套件

GRE 协议提供了一种封装来自各种网络协议的数据包的机制,以便通过其他协议转发。GRE 用于:

  • 连接运行非 IP 和不可路由协议的网络。

  • 跨广域网 (WAN) 的桥梁。

  • 为需要在不同网络上以不变方式发送的任何类型的流量创建传输通道。

GRE 协议通过向数据包添加 GRE 标头和 GRE IP 标头来封装数据包。

互联网协议安全 (IPsec) 协议套件可保护 CloudBridge Connector 通道中对等方之间的通信。

在 CloudBridge Connector 通道中,IPsec 确保:

  • 数据完整性

  • 数据来源认证

  • 数据机密性(加密)

  • 防范重放攻击

IPsec 使用传输模式,在这种模式下,对 GRE 封装的数据包进行加密。加密由封装安全负载 (ESP) 协议完成。ESP 协议使用 HMAC 哈希函数确保数据包的完整性,并使用加密算法确保机密性。加密数据包并计算 HMAC 后,会生成 ESP 标头。ESP 标头插入 GRE IP 标头之后,ESP 报头插入到加密有效负载的末尾。

CloudBridge Connector 通道中的对等方使用互联网密钥交换版本 (IKE) 协议(IPsec 协议套件的一部分)来协商安全通信,如下所示:

  • 两个对等方使用以下身份验证方法之一相互进行身份验证:

    • 预共享密钥身份验证。在每个对等体上手动配置一个称为预共享密钥的文本字符串。对等方的预共享密钥相互匹配以进行身份验证。因此,要成功进行身份验证,必须在每个对等体上配置相同的预共享密钥。
    • 数字证书认证。发起者(发送者)对等方使用其私钥对消息交换数据进行签名,而另一个接收方对等方使用发送者的公钥来验证签名。通常,公钥是在包含 X.509v3 证书的消息中交换的。该证书提供了一定程度的保证,即证书中表示的对等方的身份与特定的公钥相关联。
  • 然后,同行进行谈判,就以下问题达成协议:

    • 一种加密算法。

    • 用于加密一个对等体中的数据和解密另一个对等体中的数据的加密密钥。

这个关于安全协议、加密算法和加密密钥的协议称为安全协会 (SA)。SA 是单向的(单纯形)。例如,当两个对等体 CB1 和 CB2 通过连接器通道通信时,CB1 有两个安全关联。一个 SA 用于处理出站数据包,另一个 SA 用于处理入站数据包。

SA 会在指定的时间长度后过期,这称为 生命周期。两个对等方使用互联网密钥交换 (IKE) 协议(IPsec 协议套件的一部分)来协商新的加密密钥并建立新的 SA。有限生命周期的目的是防止攻击者破解钥匙。

下表列出了 NetScaler 设备支持的某些 IPsec 属性:

IPsec 属性 支持的类型
IKE 版本 V1, V2
IKE DH 组 NetScaler 设备仅支持 iKev1 和 IKEv2 的 DH 组 2(1024 位 MODP 算法)。
IKE 身份验证方法 预共享密钥身份验证、数字证书身份验证
加密算法 AES(128 位)、AES 256(256 位)、3DES
哈希算法 HMAC SHA1、HMAC SHA256、HMAC SHA384、HMAC SHA512、HMAC MD5
CloudBridge Connector