-
-
-
配置数据中心和 AWS/Azure 之间的 Cloud Connector 隧道
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置数据中心和 AWS/Azure 之间的 Cloud Connector 隧道
您可以在数据中心和 AWS 或 Azure 云之间配置 Cloud Connector 隧道。
请考虑一个示例,其中在数据中心的 WCCP/PBR 单臂模式下部署的 Citrix SD-WAN WANOP 设备 CB_DC-1 和 AWS 云之间配置了 Citrix Cloud Connector 隧道。CB_DC-1 连接到路由器 R1。NAT 设备还连接到 R1,用于数据中心和 Internet 之间的连接。
注意:示例中的设置也适用于任何类型的 Citrix SD-WAN WANOP 部署。此示例中的此设置包括基于策略的路由,而不是 Netbridge,用于允许所需子网的流量通过 Citrix Cloud Connector 隧道。
如下图所示,Citrix Cloud Connector 隧道是在 Citrix SD-WAN WANOP 设备 CB_DC-1 上运行的 Citrix 虚拟设备 NS_VPX_CB-DC 和在 AWS 云上运行的 Citrix 虚拟设备 NS_VPX-AWS 之间建立的。为了优化 Citrix Cloud Connector 隧道上的流量流,NS_VPX_CB-DC 与在 CB_DC-1 上运行的 Citrix SD-WAN WANOP 实例配对,而在 AWS 端,运行在 AWS 上的 Citrix SD-WAN WANOP 虚拟设备 CB_VPX-AWS 配对。
下表列出了本示例中数据中心中的设置。
| 实体 | 名称 | 详细信息 |
|---|---|---|
| 客户端 CL1 的 IP 地址 | 10.10.6.90 | |
| NAT 设备 NAT-Dev-1 上的设置 | ||
| 公共端的 NAT IP 地址 | 66.165.176.15 * | |
| 私有端的 NAT IP 地址 | 10.10.7.70 | |
| 在 CB_DC-1 上的设置 | ||
| CB_DC-1 的管理服务 IP 地址 | 10.10.1.10 | |
| 在 CB_DC-1 上运行的 NS_VPX_CB-DC 上的设置 | ||
| NSIP 地址 | 10.10.1.20 | |
| SNIP 地址 | 10.10.5.30 | |
| IPSec 配置文件 | CBC_DC_AWS_IPSec_Profile | IKE 版本 = v2,加密算法 = AES,哈希算法 = HMAC SHA1 |
| Cloud Connector 隧道 | CBC_DC_AWS | Cloud Connector 隧道的本地端点节点 IP 地址 = 10.10.5.30,Cloud Connector 的远程端点节点 IP 地址 = 映射到 AWS 上的 NS_VPX-AWS 上的 Cloud Connector 端点节点地址 (SNIP) = 203.0.1.150*,隧道协议 = GRE 和 IPSEC,IPSec 配置文件名称 = CBC_DC_AWS_IPSec_Profile |
| 基于策略的路由 | CBC_DC_AWS_PBR | 源 IP 范围 = 数据中心中的子网 = 10.10.6.0-10.10.6.255,目标 IP 范围 = AWS 中的子网 = 10.20.6.0-10.20.6.255,下一个跃点类型 = IP 隧道,IP 隧道名称 = CBC_DC_AWS |
* 这些应该是公有 IP 地址。
下表列出了此示例中 AWS 云上的设置。
| 实体 | 名称 | 详细信息 | | —— | —- | ——- | | 服务器 S1 的 IP 地址 | | 10.20.6.90 | | **在 NS_VPX-AWS 上的设置** | | NSIP 地址 | | 10.20.1.20 | | 映射到 NSIP 地址的公共 EIP 地址 | | 203.0.1.120* | | SNIP 地址 | | 10.20.5.30 | | 映射到 SNIP 地址的公共 EIP 地址 | | 203.0.1.150* | | IPSec profile | CBC_DC_AWS_IPSec_Profile | IKE version = v2, Encryption algorithm = AES, Hash algorithm = HMAC SHA1 | | Cloud Connector tunnel | CBC_DC_AWS | Local endpoint IP address of the Cloud Connector tunnel =10.20.5.30, Remote endpoint IP address of the Cloud Connector tunnel = Public NAT IP address of NAT device NAT-Dev-1 in the datacenter = 66.165.176.15*, Tunnel protocol = GRE and IPSEC, IPSec profile name = CBC_DC_AWS_IPSec_Profile | | Policy based route | CBC_DC_AWS_PBR | Source IP range = Subnet in the AWS = 10.20.6.0-10.20.6.255, Destination IP range = Subnet in datacenter = 10.10.6.0-10.10.6.255, Next hop type = IP Tunnel, IP tunnel name = CBC_DC_AWS |
* 这些应该是公有 IP 地址。
在 CB_DC-1 上的 NS_VPX_CB-DC 和 NS_VPX-AWS 两者都可以在 L3 模式下运行。它们可以实现数据中心和 AWS 云中的私有网络之间的通信。NS_VPX_CB-DC 和 NS_VPX-AWS 可通过 Cloud Connector 隧道在数据中心的客户端 CL1 与 AWS 云中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。
注意:AWS 不支持 L2 模式。因此,必须在两个端点上只启用 L3 模式。
为了在 CL1 和 S1 之间进行正确通信,在 NS_VPX_CB-DC 和 NS_VPX-AWS 上启用 L3 模式,路由配置如下:
-
R1 具有通过 NS_VPX_CB-DC 到达 S1 的路径。
-
NS_VPX_CB-DC 具有通过 R1 到达 NS_VPX-AWS 的路由。
-
S1 应该有一条通过 NS_VPX-AWS 到达 CL1 的路径。
-
NS_VPX-AWS 具有通过上游路由器到达 NS_VPX_CB-DC 的路由。
以下是在数据中心的各种网络设备上配置的路由,以便 Cloud Connector 隧道正常工作:
| 路由 | 网络 | 网关 |
|---|---|---|
| 路由器 R1 上的路由 | ||
| 到达服务器 S1 的路由 | 10.20.6.X/24 | NS_VPX_CB-DC 的通道端点 SNIP 地址 = 10.10.5.30 |
| 到达 Cloud Connector 隧道远端端点的路径 | 映射到 NS_VPX-AWS 的 Cloud Connector SNIP 地址的 EIP 地址 = 203.0.1.50 | NAT 设备的专用 IP 地址 = 10.10.7.70 |
| NS_VPX_CB-DC 上的路线 | ||
| 到达 NS_VPX-AWS 的路径 | 映射到 NS_VPX-AWS 的 Cloud Connector SNIP 地址的 EIP 地址 = 203.0.1.50 | R1 的 IP 地址 = 10.10.5.1 |
以下是在 AWS 云上的各种网络设备上配置的路由,以便 Cloud Connector 隧道正常工作:
| 路由 | 网络 | 网关 |
|---|---|---|
| 服务器 S1 上的路由 | ||
| 到达客户端 CL1 的路由 | 10.10.6.X/24 | NS_VPX-AWS 的隧道端点 SNIP 地址 = 10.10.6.1 |
| Citrix 虚拟设备 NS_VPX-AWS 上的路由 | ||
| 到达 NS_VPX_CB-DC 的路线 | 数据中心中的 NAT_Dev-1 的公有 IP 地址 = 66.165.176.15 * | AWS 上上游路由器的 IP 地址 |
以下是 Cloud Connector 隧道中客户端 CL1 请求数据包的流量:
-
客户端 CL1 向服务器 S1 发送请求。
-
请求到达在 Citrix SD-WAN WANOP 设备 CB_DC-1 上运行的 Citrix 虚拟设备 NS_VPX_CB-DC。
-
NS_VPX_CB-DC 会将数据包转发到在 Citrix SD-WAN WANOP 设备 CB_DC-1 上运行的一个 Citrix SD-WANOP 实例以进行广域网优化。处理数据包后,Citrix SD-WAN WANOP 实例将数据包返回到 NS_VPX_CB-DC。
-
请求数据包与 PBR 实体 CBC_DC_AWS_PBR(在 NS_VPX_CB-DC 中配置)中指定的条件匹配,因为请求数据包的源 IP 地址和目标 IP 地址分别属于 CBC_DC_AWS_PBR 中设置的源 IP 范围和目标 IP 范围。
-
由于 Cloud Connector 隧道 CBC_DC_AWS 绑定到 CBC_DC_AWS_PBR,设备会准备要通过 CBC_DC_AWS 隧道发送的数据包。
-
NS_VPX_CB-DC 使用 GRE 协议通过向数据包添加 GRE 标头和 GRE IP 标头来封装每个请求数据包。GRE IP 标头的目标 IP 地址设置为 AWS 端的 Cloud Connector 隧道 (CBC_DC-AWS) 端点的 IP 地址。
-
对于 Cloud Connector 隧道 CBC_DC-AWS,NS_VPX_CB-DC 会根据 NS_VPX_CB-AWS 和 NS_VPX-AWS 之间的协议,检查存储的 IPSec 安全关联 (SA) 参数以处理出站数据包。NS_VPX_CB-DC 中的 IPSec 封装安全有效负载 (ESP) 协议将这些 SA 参数用于出站数据包,以加密 GRE 封装数据包的有效负载。
-
ESP 协议通过使用 HMAC 哈希函数和为 Cloud Connector 隧道 CBC_DC-AWS 指定的加密算法来确保数据包的完整性和机密性。ESP 协议, 在加密 GRE 有效载荷和计算 HMAC 后, 生成 ESP 头和 ESP 拖车,并插入它们之前和加密 GRE 有效载荷的末尾, 分别.
-
NS_VPX_CB-DC 将生成的数据包发送到 NS_VPX-AWS。
-
NS_VPX-AWS 会根据 CB_DC-1 与适用于 Cloud Connector 通道 CBC_DC-AWS 的 NS_VPX-AWS 之间的协议,检查存储的 IPSec 安全关联 (SA) 参数以处理入站数据包。NS_VPX-AWS 上的 IPSec ESP 协议将这些 SA 参数用于入站数据包,并使用请求数据包的 ESP 标头来解密数据包。
-
NS_VPX-AWS 然后通过删除 GRE 标头来解压数据包。
-
NS_VPX-AWS 将生成的数据包转发到 CB_VPX-AWS,后者将 WAN 优化相关的处理应用于数据包。然后,CB_VPX-AWS 将生成的数据包返回到 NS_VPX-AWS。
-
生成的数据包与 CB_DC-1 在步骤 2 中接收的数据包相同。此数据包的目标 IP 地址设置为服务器 S1 的 IP 地址。NS_VPX-AWS 将此数据包转发到服务器 S1。
-
S1 处理请求数据包并发送响应数据包。响应数据包中的目标 IP 地址是客户端 CL1 的 IP 地址,源 IP 地址是服务器 S1 的 IP 地址。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.