ADC

CloudBridge Connector 互操作性 — F5 BI

您可以在 NetScaler 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector 连接器通道,以连接两个数据中心或将您的网络扩展到云提供商。NetScaler 设备和 F5 BIG-IP 设备构成 CloudBridge Connector 通道的端点,被称为对等体。

CloudBridge Connector 通道配置示例

举例说明 CloudBridge Connector 通道中的流量,请看一个在以下设备之间设置 CloudBridge Connector 通道的示例:

  • NetScaler 设备 NS_Appliance-1 位于指定为 Datacenter-1 的数据中心中
  • F5 BIG-IP 设备 f5-BIG-IP-Appliance-1 位于指定为 Datacenter-2 的数据中心

NS_Appliance-1 和 F5-BIG-IP-Appliance-1 允许通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在示例中,NS_Appliance-1 和 F5-BIG-IP-Appliance-1 通过 CloudBridge Connector 通道在 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间实现通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_F5-BIG-IP_IPSec_Profile、CloudBridge Connector通道实体 NS_F5-BIG-IP_Tunnel 和基于策略的路由 (PBR) 实体 NS_F5-BIG-IP_Pbr。

本地化后的图片

有关更多信息,请参阅 F5 大 IP pdf。

CloudBridge Connector 通道配置需要考虑的事项

  • NetScaler 设备已启动并正在运行,已连接到互联网,还连接到私有子网,这些子网的流量将通过 CloudBridge Connector 通道进行保护。
  • F5 BIG-IP 设备已启动并正在运行,已连接到互联网,还连接到私有子网,这些子网的流量将通过 CloudBridge Connector 通道进行保护。
  • NetScaler 设备和 F5 BIG-IP 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。
    • IPsec 模式:通道模式
    • IKE 版本:版本 1
    • IKE 身份验证方法:预共享密钥
    • IKE 加密算法:AES
    • IKE 哈希算法:HMAC SHA1
    • ESP 加密算法:AES
    • ESP 哈希算法:HMAC SHA1
  • 您必须在 CloudBridge Connector 通道两端的 NetScaler 设备和 F5 BIG-IP 设备上指定相同的 IPsec 设置。
  • NetScaler 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的常用参数。 因此,在 F5 BIG-IP 设备中,必须在 IKE(第 1 阶段配置)和 ESP(第 2 阶段配置)中指定相同的哈希算法和相同的加密算法。
  • 您必须在 NetScaler 端和 F5 BIG-IP 端配置防火墙才能允许执行以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包

为 CloudBridge Connector 通道配置 F5 BIG-IP

要在 NetScaler 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector通道,请在 F5 BIG-IP 设备上执行以下任务:

  • 为 IPsec 创建转发虚拟服务器。转发虚拟服务器截取 IPsec 通道的 IP 流量。
  • 创建 IKE 对等体。IKE 对等体指定本地和远程 IPsec 通道端点。它还指定了用于 IPsec IKE 第 1 阶段的算法和证书。
  • 创建自定义 IPsec 策略。策略指定了用于构建 IPsec 通道的 IPsec 协议 (ESP) 和模式(通道)。它还指定了用于 IKE IPsec 第 2 阶段的算法和安全参数。
  • 创建双向 IPsec 流量选择器。流量选择器指定 F5 BIG-IP 端和 NetScaler 端子网,其 IP 流量将通过 IPsec 通道。

在 F5 BIG-IP 设备上配置 IPsec VPN(CloudBridge Connector 通道)的过程可能会随着时间的推移而发生变化,具体取决于 F5 的发布周期。Citrix 建议您按照 F5 BIG-IP 官方文档配置 IPsec VPN 通道,网址为:

https://f5.com

使用 F5 BIG-IP GUI 为 IPsec 创建转发虚拟服务器

  1. 选项卡上,单击“本地流量”>“虚拟服务器”,然后单击“创建”。
  2. 在“新建虚拟服务器列表”屏幕上,设置以下参数:
    • 名称。键入虚拟服务器的唯一名称。
    • 类型。选择 转发 (IP)
    • 目的地地址。输入 CIDR 格式的通配符网络地址,例如,IPv4 的 0.0.0.0/0 以接受任何流量。
    • 服务端口。从列表中选择 所有端口
    • 协议清单。从列表中选择 所有协议
    • VLAN 和通道流量。保留默认选择“所有 VLAN 和通道”。
  3. 单击“完成”。

使用 F5 BIG-IP GUI 创建自定义 IPsec 策略

  1. 选项卡上,单击网络>IPsec>IPsec 策略,然后单击创建。
  2. 在“新策略”屏幕上,设置以下参数:
    • 名称。为策略键入一个唯一的名称。
    • IPsec 协议。保留默认选择,特别是。
    • 模式。选择“通道”。屏幕刷新以显示其他相关设置。
    • 通道本地地址。键入本地 IPsec 通道端点 IP 地址(在 F5 BIG-IP 设备上配置)。
    • 通道远程地址。键入远程 IPsec 通道端点 IP 地址(在 NetScaler 设备上配置)。
  3. 对于 IKE 第 2 阶段参数,保留默认值,或选择适合您的部署的选项。
  4. 单击“完成”。

使用 F5 BIG-IP GUI 创建双向 IPsec 流量选择器

  1. 选项卡上,单击网络>IPsec>流量选择器,然后单击创建。
  2. 在“新流量选择器”屏幕上,设置以下参数:
    • 名称。为流量选择器键入一个唯一的名称。
    • 命令。保留默认值 (第一个)。此设置指定流量选择器在流量选择器列表屏幕上的显示顺序。
  3. 从“配置”列表中选择“高级”,然后设置以下参数:
    • 来源 IP 地址。单击“主机”或“网络”,然后在“地址”字段中键入 F5 BIG-IP 端子网的地址,该子网的流量将通过 IPsec 通道进行保护。
    • 源端口。选择 * 所有端口
    • 目标 IP 地址。单击“主机”,然后在“地址”字段中键入 NetScaler 端子网的地址,该子网的流量将通过 IPsec 通道进行保护。
    • 目标端口。选择 * 所有端口
    • 协议。选择 * 所有协议
    • 方向。选择 两者
    • 操作。选择“保护”。将出现 IPsec 策略名称 设置。
    • IPsec 策略名称。选择您创建的自定义 IPsec 策略的名称。
  4. 单击“完成”。

为 CloudBridge Connector 通道配置 NetScaler 设备

要在 NetScaler 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector 通道,请在 NetScaler 设备上执行以下任务。您可以使用 NetScaler 命令行或 NetScaler 图形用户界面 (GUI):

  • 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,例如 IKE 版本、加密算法、哈希算法和 IPsec 协议在 CloudBridge Connector 通道中使用的身份验证方法。
  • 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(在 NetScaler 设备上配置的 CloudBridge Connector 通道端点 IP 地址(SNIP 类型))、远程 IP 地址(在 F5 BIG-IP 设备上配置的 CloudBridge Connector 通道端点 IP 地址)、用于设置 CloudBridge Connector 通道的协议 (IPsec) 和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
  • 创建 PBR 规则并将其与 IP 通道关联。PBR 实体指定一组规则和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 地址范围是 PBR 实体的条件。设置源 IP 地址范围以指定要通过通道保护流量的 NetScaler 端子网,并设置目标 IP 地址范围以指定要通过通道保护流量的 F5 BIG-IP 端子网。

使用 NetScaler 命令行创建 IPSEC 配置文件

在命令提示符下,键入:

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLE
  • show ipsec profile** <name>

使用 NetScaler 命令行创建 IPSEC 通道并将 IPSEC 配置文件绑定到该通道

在命令提示符下,键入:

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>
  • show ipTunnel <name>

使用 NetScaler 命令行创建 PBR 规则并将 IPSEC 通道绑定到该规则

在命令提示符下,键入:

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

使用 GUI 创建 IPSEC 配置文件

  1. 导航到 系统 > CloudBridge Connector > IPsec 配置文件
  2. 在详细信息窗格中,单击“添加”。
  3. 添加 IPsec 配置文件 页面中,设置以下参数:
    • 名称
    • 加密算法
    • 哈希算法
    • IKE 协议版本
  4. 配置 IPsec 身份验证方法,供两个 CloudBridge Connector 通道对等体进行相互身份验证:选择 预共享密钥身份验证方法 并设置 预共享 密钥存在参数。
  5. 单击“创建”,然后单击“关闭”。

使用 GUI 创建 IP 通道并将 IPSEC 配置文件绑定到该通道

  1. 导航到 系统 > CloudBridge Connector > IP 通道
  2. IPv4 通道 选项卡上,单击 添加
  3. 添加 IP 通道 页面中,设置以下参数:
    • 名称
    • 远程 IP
    • 远程掩码
    • 本地 IP 类型(在本地 IP 类型下拉列表中,选择 子网 IP)。
    • 本地 IP(选定 IP 类型的所有已配置 IP 地址都在“本地 IP”下拉列表中。从列表中选择所需的 IP。)
    • 协议
    • IPsec 配置文件
  4. 单击“创建”,然后单击“关闭”。

使用 GUI 创建 PBR 规则并将 IPSEC 通道绑定到该规则

  1. 导航到“系统”>“网络”>“PBR”。
  2. PBR 选项卡上,单击 添加
  3. 创建 PBR 页面中,设置以下参数:
    • 名称
    • 操作
    • 下一跳类型(选择 IP 通道
    • IP 通道名称
    • 来源 IP 不足
    • 来源 IP High
    • 目标 IP 不足
    • 目标 IP 为高
  4. 单击“创建”,然后单击“关闭”。

NetScaler 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在“已配置的 CloudBridge Connector”窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

以下命令在“CloudBridge Connector 配置示例”中创建 NetScaler 设备 NS_Appliance-1 的设置。:

    >  add ipsec profile NS_F5-BIG-IP_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE


    Done

    >  add iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_F5-BIG-IP_IPSec_Profile


    Done

    > add pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_F5-BIG-IP_Tunnel


    Done

    > apply pbrs


    Done
<!--NeedCopy-->

监视CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 NetScaler 设备上的 CloudBridge Connector 通道的性能。有关在 NetScaler 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅 监视 CloudBridge Connector 通道

CloudBridge Connector 互操作性 — F5 BI