Bereitstellungshandbuch: Citrix SD-WAN mit Azure Virtual WAN

Zielgruppe

Dieses Dokument richtet sich an Cloud-Lösungsarchitekten, Netzwerkentwickler, technische Fachleute, Partner und Berater, die Microsoft Azure Virtual WAN- und Citrix SD-WAN SD-WAN-Lösungen bewerten. Es richtet sich auch an Netzwerkadministratoren, Citrix Administratoren, Managed Service Provider oder alle, die diese Lösungen bereitstellen möchten.

Übersicht

Dieses Dokument zeigt die Vorteile von Azure Virtual WAN, die Vorteile einer gemeinsamen Azure VWAN- und Citrix SD-WAN Lösung, die Anwendungsfälle, die sie ansprechen, und die entsprechenden Konfigurationsanleitungen auf.

Im Großen und Ganzen behandelt der Bereitstellungshandbuch, wie:

1. Konnektivität in Azure Virtual WAN herstellen

   • Hub-zu-Hab-Konnektivität

   • VNet-zu-Hub-Peering

2. Stellen Sie die Konnektivität zwischen SD-WAN und Azure VWAN her.

   • Etablierung regionsübergreifender Kommunikation mit SD-WA

   • Konfigurieren von HA auf SD-WAN Erwartet

Anwendungsfälle

Dieses Dokument konzentriert sich auf das Erreichen von drei Anwendungsfällen, die den typischen Anforderungen eines Unternehmens entsprechen.

Anwendungsfall Nr. 1:Stellen Sie sicher eine Verbindung zu Ressourcen her, die in einer einzigen Azure-Region aus global verteilten Zweigen bereitgestellt werden

Anwendungsfall Nr. 2:Lokale Infrastruktur stellt eine sichere Verbindung zu Ressourcen her, die in verschiedenen Azure-Regionen bereitgestellt werden.

Anwendungsfall Nr. 3:Global verteilte Zweigstellen, die über das Azure-Backbone miteinander kommunizieren.

Azure Virtual WAN: Überblick

Azure Virtual WAN (VWAN) ist ein Netzwerkdienst von Microsoft, der ein globales Hochgeschwindigkeitsnetzwerk bereitstellt und sichere Any-to-Yory-Konnektivität über Zweigstellen, Rechenzentren, Hubs und Benutzer ermöglicht. Es unterstützt Site-to-Site-VPN (Branch-to-Azure), Benutzer-VPN (Point-to-Site) und ExpressRoute-Konnektivität. Es automatisiert dieHub-to-VNetKonnektivität (zwischen dem virtuellen Netzwerk VNet/Workload und dem Hub). Kunden können das Azure VWAN auch verwenden, um Filialen über das private Azure-Backbone zwischen Regionen hinweg zu verbinden.

Referenz:Azure Virtual WAN-Verkehrspfade

Besser zusammen: Vorteile einer gemeinsamen Azure VWAN und Citrix SD-WAN Lösung

Citrix SD-WAN bietet eine sichere und zuverlässige WAN-Edge-Lösung, die durch die Automatisierung von Netzwerkbereitstellungen die Kosten, die Komplexität und den Zeitaufwand für die Verbindung von Zweigstellen mit Azure reduziert. Es bietet die Vorteile von Azure Virtual WAN, indem es ein hohes Maß an Redundanz, Automatisierung, Überwachung und Kontrolle auf globaler Ebene bietet und es Ihnen ermöglicht, das globale Hochgeschwindigkeits-Backbone von Microsoft voll auszunutzen.

1. Vorteil 1: SD-WAN苏珥Automatisierung冯Netzwerkbereitstellungen zur Verbindung von Hunderten von Zweigstellen mit dem Azure Hub

   Das Einrichten冯Site-to-Site-VPNs冯Hundertenvon on-premises Standorten bis zu Azure kann sehr zeitaufwändig und fehleranfällig sein. Die Integration von Citrix SD-WAN in Azure Virtual WAN kann diesen Prozess um Größenordnungen beschleunigen. Citrix SD-WAN Orchestrator bietet eine einzige Glasverwaltung, um on-premises Citrix SD-WAN Appliances durch API-Integration mit Azure Virtual WAN zu verbinden. Eine alternative Architektur besteht darin, einen Citrix SD-WAN VPX auf Azure bereitzustellen (anstatt Azure Hubs zu verwenden). Dies bildet eine Lösung mit Buchstützen mit einer on-premises SD-WAN-Appliance. Es kann Vorteile bringen, das Netzwerk widerstandsfähiger zu machen und die Anwendungserfahrung für die Benutzer zu verbessern. Zu den Vorteilen gehören Link-Bonding und Lastenausgleich, Subsekunden-Failover aufgrund der branchenführenden Technologie für den Lastenausgleich pro Paket und bidirektionale QoS zur selektiven Paketduplizierung Der SD-WAN VPX-Instanzansatz kann bandbreitenbegrenzt sein (das sind maximal 2 Gbit/s). In diesem Fall der Azure Die VWAN-Lösung bietet Funktionen mit höherem Durchsatz.

2. Vorteil 2: SD-WAN zur Senkung der WAN-Betriebskosten

   MPLS und ExpressRoute können einen privaten, schnellen und sicheren Kanal für die Verbindung mit dem Azure VWAN bereitstellen. Sie sind jedoch in der Regel teure Lösungen, insbesondere wenn alle Zweigstellen in Betracht gezogen werden müssen, die eine Konnektivität zum privaten Intranet erfordern würden. SD-WAN kann durch die Aggregation mehrerer kosteneffektiver Verbindungstypen (4G/LTE, DSL, Internet usw.) dazu beitragen, die WAN-Betriebskosten zu senken und eine höhere Ausfallsicherheit für die Verbindung mit Azure-Ressourcen aus der Zweigstelle bereitzustellen. Abhängig von den Sicherheitsanforderungen eines Unternehmens muss der Datenverkehr von einer Zweigstelle möglicherweise zum Unternehmensgrundsiedler zurückgeführt werden, um die Sicherheitskonformität zu gewährleisten, die Schaltung zu belasten und zu zusätzlichen Latenzen zu führen. Die Bereitstellung einer virtuellen Citrix SD-WAN Appliance in Azure kann ein lokales Internetbreakout durch die Verarbeitung von Sicherheitsrichtlinien ermöglichen, die mit der integrierten L2-L7-Firewall innerhalb der Citrix SD-WAN SD-WAN-Appliance erstellt wurden. Dies würde die Notwendigkeit begrenzen, ein Backhaul des Datenverkehrs zum Hauptquartier durchzuführen, und somit die Gebühren für Ausgangsdaten reduzieren, die bei getakteten Plänen anfallen, und auch dazu beitragen, die Benutzererfahrung zu erhalten.

3. Vorteil 3: SD-WAN zur Verbesserung der Last-Mile-Konnektivität

   Wenn mehr Arbeitslasten in die Cloud verlagert werden, wird die Konnektivität der letzten Meile zu und von Remote-Standorten umso wichtiger. Es ist möglicherweise nicht immer möglich, MPLS- oder ExpressRoute-Konnektivität für Remote-Zweigstellen bereitzustellen — über rein wirtschaftliche Gründe hinaus benötigt die Provisioning des MPLS- oder Express Route-Netzwerks Zeit und ist möglicherweise nicht durchführbar. Eine SD-WAN-Bereitstellung auf einer Remote-Branch-Site kann dazu beitragen, die Konnektivitätserfahrung auf der letzten Meile zu verbessern, indem mehrere Netzwerkverbindungen aggregiert werden (die als primär und sekundär konfiguriert werden können) und den nächstgelegenen Azure/Microsoft POP identifizieren. Durch die ständige Überwachung des Netzwerks kann SD-WAN den Datenverkehr je nach Verbindungsqualität automatisch von einem Link zu einer anderen steuern und Remote-Benutzern ein optimales Erlebnis bieten.

4. Vorteil 4: Eine Lösung, die die Ausfallsicherheit des Netzwerks und ein optimiertes WAN-Erlebnis bietet

   Während es möglich ist, eine Niederlassung über natives IPsec mit Azure VWAN zu verbinden, kann ein einzelner IPsec-Tunnel anfällig für Paketverluste und Verbindungsüberlastung sein und das Risiko von Ausfällen nicht mindern. Jeder Netzwerkausfall kann in Fällen zu einer Produktivität und Umsatzverlusten in Millionenhöhe führen.

   Die Verwendung des alternativen Ansatzes der Bereitstellung einer Citrix SD-WAN VPX Network Virtual Appliance (NVA) in Azure, um eine buchbeendete Lösung mit einer on-premises SD-WAN-Appliance zu bilden, bringt viele Vorteile mit sich. Zu diesen Vorteilen gehören unter anderem Link-Bonding und Lastenausgleich, Failover in Subsekunden, selektive Paketreplikation und bidirektionale QoS, um das Netzwerk widerstandsfähiger zu machen und die Anwendungserfahrung für Benutzer zu verbessern.

5. Vorteil 5: SD-WAN Orchestrator für verbesserte Sichtbarkeit

   Der Citrix SD-WAN Orchestrator bietet eine einzige Glasscheibe, um den Zustand und die Nutzung Ihres Netzwerks zu verwalten und zu verfolgen. Das vorlagenbasierte Klonen von Orchestrator vereinfacht umfangreiche Bereitstellungen von SD-WAN und Netzwerkerweiterungen, hilft dabei, Änderungen an einer gesamten Flotte von Niederlassungen zu skalieren und Zeit zu sparen. SD-WAN Orchestrator bietet Microsoft Azure auch automatisierte On-Rampen durch Point-and-Click-Bereitstellung von SD-WAN VPX-Instanzen in neuen oder vorhandenen VNets.

Referenz-Topologie

Azure-Workloads, die in einer bestimmten Region bereitgestellt werden (z. B. Azure VWAN East Hub), können über das Internet oder 4G/LTE mit Citrix SD-WAN-Appliances mit mehreren Zweigstellenstandorten verbunden werden. Innerhalb einer Virtual Network (VNet) -Infrastruktur wird die SD-WAN Standard Edition-VM (SD-WAN VPX) im Gateway-Modus bereitgestellt.

Um die oben beschriebenen Anwendungsfälle zu erreichen, müssen wir Konnektivität/Paarung zwischen den folgenden Entitäten herstellen:

1. SDWAN VPX und Azure VWAN Hub über IPsec-Tunnel und BGP-Peering

2. Azure VWAN Hub und VNets mit lokalem und globalem VNet-Peering

3. SD-WAN-Zweiggeräte und SD-WAN VPX (auf Azure) mit virtuellen Pfaden

Von den dreien ist der Aufbau einer Konnektivität zwischen der SD-WAN-Branch-Appliance und SD-WAN VPX (3) über die proprietäre virtuelle Pfadtechnologie von Citrix SD-WAN mehrere Funktionen. Zu diesen Funktionen gehören Lastenausgleich pro Paket, selektive Paketreplikation und bidirektionale QoS und bieten die Vorteile der gemeinsamen Lösung. Das folgende Dokument führt Sie durch die Schritte, die erforderlich sind, um Azure Virtual WAN einzurichten und eine virtuelle SD-WAN-Appliance bereitzustellen.

Azure-Provisioning & Netzwerke

Stellen Sie vor der Bereitstellung von Azure Virtual WAN über den Orchestrator sicher, dass die Ressourcen im Zusammenhang mit Azure Virtual WAN bereitgestellt wurden und dass das Netzwerkdesign abgeschlossen wurde. Dies vereinfacht die Konfiguration von Azure Virtual WAN über die SD-WAN Orchestrator-Verwaltungskonsole.

Dies ist ein Flussdiagramm, in dem Sie Ressourcen für Azure Virtual WAN erstellen können.

Beachten Sie, dass Sie zwar diesen Flow verfolgt haben, vor dem Erstellen von Ressourcengruppen VNets erstellen können. Hier ist eine Zusammenfassung der Schritte, die beim Erstellen dieser Topologie unternommen wurden. Jeder Schritt wird in den folgenden Abschnitten ausführlich behandelt.

Zusammenfassung der Schritte

1. Erstellen von Ressourcengruppen

2. Erstellen Sie jeweils ein VNet für die Region Ost und West (für die oben diskutierte Topologie)

   • Gleiches gilt für eine beliebige Anzahl von VNets in verschiedenen Regionen, je nach Topologie in Azure
3. Erstellen einer virtuellen Azure-WAN-Ressource
4. Erstellen Sie Azure Virtual WAN Hubs für die Regionen Ost und West (mit inhärenter Hub-zu-Hub-Konnektivität innerhalb eines einzelnen virtuellen WAN.
   • Erstellen Sie Hub in der Region Ost.
   • Erstellen Sie Hub in der Region West.
5. Peer die VNet’s der Ost- und Westregionen (erstellt in Schritt2) mit ihren jeweiligen Hubs.
   • Zum Beispiel wird ein VNet in der Region Ost mit dem Hub in der Region Ost schonen, damit es Sichtbarkeit für die SD-WAN-Subnetze erhält (die von on-premises zu SD-WAN VPX im Azure verbunden sind und schließlich über BGP mit dem Hub verbunden sind und die Subnetze bereitstellen)

Erstellen von Ressourcengruppen

1. Erstellen einer Ressourcengruppe in der Region “East”

• Erstellen Sie eine Ressourcengruppe für die Region. In dieser Architektur haben wir sie AzureVWANEastRescGrp genannt.
• Stellen Sie sicher, dass Sie die Region als US East auswählen (für die Workloads/VNets der Region East). Sie können wählen, ob Sie es in jeder Region gemäß Ihrer Topologie bereitstellen möchten.

• Überprüfen und erstellen Sie die Ressourcengruppe.

  

2.Erstellen einer Ressourcengruppe in der Region West

• Erstellen Sie eine Ressourcengruppe mit einem Namen. In dieser Architektur haben wir AzurevwwanWestrescGRP verwendet.
• Stellen Sie sicher, dass Sie die Region als USA West auswählen (für die Workloads/VNet’s der Region West).

• Überprüfen und erstellen Sie die Ressourcengruppe.

  

Erstellen Sie jeweils ein VNet in den Regionen Ost und West (gemäß der Referenztopologie)

Sie können diesemLinkfolgen, um VNets für die Regionen zu erstellen.

Erstellen von Azure Virtual WAN Ressourcen

1. Suchen Sie in der Azure-Suchleiste nach Virtual WAN und klicken Sie aufVirtual WANs.

   

2. Klicken Sie auf“+Hinzufügen”, um ein neues virtuelles WAN hinzuzufügen

   

3. Beginnen Sie mit dem Ausfüllen der grundlegenden Details von Azure Virtual WAN

   • Wir haben die am Anfang des Dokuments erstellte East Resource-Gruppe ausgewählt, genanntAzureVWANEastRescGrp
   • Wählen Sie den Standort als US East (gemäß der Topologie oben)
   • Geben Sie der zu erstellenden virtuellen Azure-WAN-Ressource einen Namen an. In diesem Dokument haben wir es benanntEastUSVWANANDHub

   Hinweis: Wählen Sie die SKU als “STANDARD” aus, um sicherzustellen, dass die Hub-zu-Hub-Kommunikation über Regionen hinweg erreicht werden kann. Wenn Sie jedoch keine Inter-Hub-Kommunikationsfähigkeiten benötigen, können Sie die “BASIC” -SKU wählen.

   

4. 

5. Sobald die Ressource erstellt wurde, finden Sie sie im globalen Abschnitt des virtuellen Azure-WAN.

6. Wie Sie unten sehen, wird “EastUSVWANANDHub” mit der Ressourcengruppe als AzureVWANEastRescGrp und Standort als Ost US2 aufgeführt.

   

Hinweis: Während die Azure Virtual WAN-Ressource in der Ost-Ressourcengruppe in der Region East US 2 bereitgestellt wurde, können Sie sie in nahezu jeder Region/Ressourcengruppe gemäß Ihrer Netzwerktopologie bereitstellen.

Erstellen von Azure VWAN Hubs in jeder Region

1. Azure Virtual WAN Hub-Erstellung für die Region Ost

Wählen Sie die im vorherigen Schritt erstellte virtuelle WAN-Ressource aus —“EastUSVWANANDHub”

• Innerhalb der Virtual WAN-Ressource finden Sie “Hubs” im Abschnitt Konnektivität.

  

• Klicken Sie aufHubsund Sie können jetzt einen neuen Hub HINZUFÜGEN

• Klicken Sie im BereichHubs auf “+ New Hub”und es wird ein neues Konfigurationsfenster geöffnet

  

• Geben Sie die Basisdaten ein

  • Wählen Sie die Region aus, in der der Hub erstellt werden soll.
  • In diesem Fall ist die Region US Ost 2 (Hub wird in dieser Region erstellt)
  • Gib dem Hub einen Namen. In diesem Fall ist es “EastUSHub”
  • Stellen Sie einen eindeutigen Adressraum für diesen Hub bereit, der sich nicht mit anderen Subnetzen in dieser Ressourcengruppe überschneidet oder mit diesen redundant ist

  

  • DER WICHTIGSTE Schritt ist die Konfiguration des Abschnitts “Site to Site”.
    • Wählen Sie “Ja” für Möchten Sie eine Site zur Site erstellen?
    • Die ASN wird automatisch ausgefüllt und für diesen Hub ist es 65515.
    • Wählen Sie die Gateway Scale Units nach Ihren Anforderungen.
      • In diesem Fall wird es als 1 Maßstabseinheit ausgewählt - 500 Mbit/s x 2

    Hinweis: Belassen Sie jeden anderen Abschnitt als Standard

  • Klicken Sie auf“Review and Create”, um den Azure Virtual WAN Hub in der Region Ost zu erstellen.
  • Der Erstellungsprozess für den Hub kann bis zu 30 Minuten dauern.

  

  • Nachdem死Ressource erstellt,看清您即时通讯Abschnitt “Hub” unter Virtual WAN unter der Geo-Karte einen neuen Eintrag mit dem Namen des von uns erstellten Hubs.
    • Der Hub Status spiegelt sich als “Succeeded” wider.
    • Der Adressraum muss so sein, wie wir es konfiguriert haben
    • Da es noch keine VPN-Sites gibt, ist die Anzahl “0”. Wir werden die VPN-Sites in den folgenden Schritten verbinden.

  

  • Klicken Sie auf den LinkEastUSHubunter der Geo-Karte und überprüfen Sie die folgenden Attribute:
    • Routing-Status — Bereitgestellt
    • Hub Status — erfolgreich
    • Standort — Ost US2
    • Status des VPN-Gateway-Provisioning — erfolgreich

  

2.Azure Virtual WAN Hub-Erstellung für Westregion

• Innerhalb der Virtual WAN-Ressource EastUSVWANANDHub (wo wir unseren East US Hub ursprünglich bereitgestellt haben) finden Sie “Hubs” im Abschnitt Connectivity.

• Klicken Sie aufHubs, um einen neuen Hub hinzuzufügen.

  

• Geben Sie die Basisdaten ein
  • Wählen Sie die Region aus, in der der Hub erstellt werden soll.
  • In diesem Fall ist die Region US West 2 (der Hub wird in dieser Region erstellt)
  • Gib dem Hub einen Namen. In diesem Fall ist es “WestHubUS “. Stellen Sie einen eindeutigen Adressraum für diesen Hub bereit, der sich nicht mit anderen Subnetzen in dieser Ressourcengruppe überschneidet oder überarbeitet.

  

• Der wichtigste Schritt ist die Konfiguration des Abschnitts “Site to Site”.
  • Wählen Sie “Ja” für Möchten Sie eine Site zur Site erstellen (VPN Gateway)
  • Die ASN wird automatisch ausgefüllt und für diesen Hub wird es 65515 sein
  • Wählen Sie die Gateway Scale Units nach Ihrer Wahl (Definition des Durchsatzes)
    • Hier haben wir1 Scale Unit — 500 Mbit/s x 2ausgewählt.

  Hinweis: Belassen Sie jeden anderen Abschnitt als Standard.

  

• Klicken Sie auf“Review and Create”, um den Virtual WAN Hub in der Region West zu erstellen.

• Die Hub-Erstellung ist ein zeitaufwändiger Prozess und kann etwa 30 Minuten dauern, bis die Erstellung abgeschlossen ist.

  

• Nachdem die Ressource erstellt wurde, können Sie den Status desWestHubUS -Hubsüberprüfen, indem Sie unter der Geo-Karte auf den LinkWestusHubklicken. Es bringt Sie in den Detailbereich des Hubs. Sie können den Status der Attribute wie folgt überprüfen:

  • Routing-Status — Bereitgestellt
  • Hub Status — erfolgreich
  • Standort — West US2
  • Status des VPN-Gateway-Provisioning — erfolgreich

  

Peer VNet zum Hub

1. Das East VNet zum East Hub

• Klicken Sie in der Virtual WAN-Ressource “EastUSVWANANDHub” auf“Virtuelle Netzwerkverbindungen”und klicken Sie auf+Verbindung hinzufügen.

  

Füllen Sie die Details für die Verbindung zum Peer des VNet1 im Osten der USA zum Virtual Hub aus

1. Verbindungsname — Name der virtuellen Netzwerkverbindung — VNet1EastPeerHub
2. Hubs — Name des Hubs zum Peer — EastUSHub
3. Abonnement — Stellen Sie sicher, dass Sie das Abonnement als das Abonnement auswählen, das Sie für die Erstellung des Virtual WAN und der Virtual Hub-Ressourcen verwendet haben
4. Ressourcengruppe — Wird die Ressourcengruppe der Region Ost-Region sein VNet, die wir mit dem Hub ausprobieren möchten
5. Virtuelles Netzwerk — Das VNet, das der Ressourcengruppe der Region Ost zugeordnet ist, das wir als Peer werden
6. Propagieren auf None — Setze es auf NO
7. Routing-Tabelle zuordnen - Standard auswählen
8. Auf Routentabellen übertragen — Wählen Sie Default (EastUSHub), die die Standard-Routingtabelle für VNets der East Resource ist
9. Andere als Standard belassen

10. Klicken Sie auf“Erstellen”.

    

• Nach der Erstellung ähnelt das virtuelle Netzwerk dem folgenden Snapshot. Dies ermöglicht die Ausbreitung der East VNet-Präfixe auf den EastUSHub (Virtual Hub) und ermöglicht es dem EastUSHub, die Präfixe (über BGP) auf die Routingtabelle des East VNet zu übertragen.

  

2.Peering im East VNet zum West Hub

• Klicken Sie in der Virtual WAN-Ressource EastUSVWANANDHub auf“Virtuelle Netzwerkverbindungen”und klicken Sie auf“+Verbindung hinzufügen”.

1. Verbindungsname — Name der virtuellen Netzwerkverbindung — WestHubVNet1Peer
2. Hubs — Name des Hubs zum Peer — WestHubUS
3. Abonnement — Stellen Sie sicher, dass Sie das Abonnement als das Abonnement auswählen, das Sie für die Erstellung des Virtual WAN und der Virtual Hub-Ressourcen verwendet haben
4. Ressourcengruppe — Wird die Ressourcengruppe des West-Region-VNet sein, das wir mit dem Hub ausprobieren möchten
5. Virtuelles Netzwerk — Das VNet, das der Ressourcengruppe der Region West zugeordnet ist, die wir
6. Propagieren auf None — Setze es auf NO
7. Routing-Tabelle zuordnen - Standard auswählen
8. Auf Routentabellen propagieren — Wählen Sie Default (WestHubUS ), der die Standard-Routingtabelle für West-Ressourcen-VNets ist
9. Andere als Standard belassen

10. Klicken Sie auf“Erstellen”.

    

• Nach der Erstellung ähnelt die virtuelle Netzwerkverbindung dem folgenden Snapshot. Dies ermöglicht die Ausbreitung der West VNet-Präfixe auf den WestHubUS (Virtual Hub) und ermöglicht es dem WestHubUS , die Präfixe (über BGP) auf die Routingtabelle des West VNet zu übertragen.

  

SD-WAN Orchestrator-Voraussetzungen

1. Bereitstellen von SD-WAN-Instanzen in Azure

• Stellen Sie eine virtuelle SD-WAN-Appliance auf Azure als primären MCN (Master Control Node) und Secondary/Geo MCN für die Regionen East-US2 bzw. West-US2 bereit.

  Der primäre MCN und der sekundäre Geo-MCN dienen einem bestimmten Anwendungsfall (gemäß unserer Referenztopologie). Der SD-WAN VPX kann jedoch auch im Zweigmodus bereitgestellt werden.

  Der MCN fungiert als Controller im SD-WAN-Netzwerk und nimmt Azure-APIs auf, um Site-to-Site-Konnektivität mit Azure Virtual WAN-Ressourcen herzustellen. Der MCN fungiert als Hauptcontroller für das SD-WAN-Overlay. Der Secondary/Geo MCN bietet Redundanz für diese Controller-Funktion, indem er die Rolle des Controllers übernimmt, wenn und wann der primäre MCN ausfällt.

• Um Citrix SD-WAN VPX auf Azure bereitzustellen, können Sie diesesDokument verwenden.

  HINWEIS: Während Sie das obige Dokument durchgehen, können Sie sehen, dass 10.2 erwähnt wird, aber wenn Sie auf dem Markt suchen, finden Sie “Citrix SD-WAN Standard Edition 10.2.5” oder “Citrix SD-WAN Standard Edition 11.0.3”. Sie können eine dieser Versionen basierend auf der Firmware-Version des restlichen Citrix SD-WAN SD-WAN-Netzwerks auswählen.

• Nach der Provisioning der Citrix SD-WAN VPXs in Azure müssen wir den SD-WAN Orchestrator durchlaufen, um die Konfiguration abzuschließen.

  Hinweis: Bevor Sie mit der Konfiguration in SD-WAN Orchestrator beginnen, halten Sie die folgenden Informationen bereit.

2.Seriennummer der SD-WAN VPX Instanz in Azure

• Sie können entweder in Azure zur seriellen Konsole gehen und Admin-Anmeldeinformationen in die CLI der Instanz eingeben und “system_info” eingeben und den Befehl eingeben. Die Seriennummer der Appliance/Instanz finden Sie hier.

• Andernfalls können Sie zur virtuellen Azure-Instanzmaschine wechseln, aufNetzwerkklicken und dann die öffentliche IP der Verwaltungsschnittstelle wie unten abrufen.

  

• Nachdem Sie die öffentliche IP erhalten haben, können Sie auf die Appliance zugreifen, in jedem Browser (CHROME/FIREFOX/SAFARI) darauf zugreifenhttps://und die Administratoranmeldeinformationen für die Anmeldung angeben.
• Das Dashboard der Appliance wird geöffnet. Notieren Sie sich die Seriennummer für die zukünftige Verwendung.

3. Beziehen Sie die LAN- und WAN-Interface-IPs von VPXs von Azure

• Besorgen Sie sich die LAN- und WAN-Interface-IPs, während Sie die primären MCN und Secondary/Geo MCN IPs Provisioning
• Sie können die gleichen Informationen aus dem Abschnitt “Networking” jedes primären Azure-MCN und Secondary/Geo-MCN abrufen
• Zum Beispiel ist die primäre MCN-LAN-IP 10.1.1.4 (wie unten der Snapshot)
  • Fuhren您dasselbe毛穴二级/ Geo m cnund notieren Sie auch seine LAN-IP

  

• Die primäre MCN WAN-IP ist 10.1.2.4. Wie der Snapshot unten

  • Fuhren您dasselbe毛穴二级/ Geo m cnund notieren Sie auch seine WAN-IP

  

4.Erhalten您死公共IP地址des wan链接s des primären MCN und des Secondary/Geo MCN

• Sie können diese Informationen in der WAN-Schnittstelle der virtuellen Maschine (mcn/GEO MCN) im Bereich Networking abrufen.

• Controller wie der primäre MCN und der Secondary/Geo MCN MÜSSEN während der WAN-Link-Erstellung der Appliance in jeder Verwaltungsinfrastruktur mit STATIC PUBLIC IP-Adresse konfiguriert werden. Wenn Sie den VPX jedoch im Zweigstellenmodus bereitgestellt haben, kann die IP-Adresse auch dynamisch bezogen werden.

  

• An dieser Stelle haben wir die folgenden Informationen zur Hand.

  

Nächste Schritte:

• Konfigurieren Sie den SD-WAN Orchestrator mit allen oben genannten Informationen für MCN, Secondary/Geo-MCN und Zweigstelle. Vervollständigen Sie die Konfiguration auf der lokalen SD-WAN-Appliance mithilfe der standardmäßigen Orchestrator-Konfigurationsmethoden, indemSie diesem Linkfolgen.

5. Erstellen eines Azure Service Principal

Erstellen Sie einen Azure Service-Prinzipal im Abonnement, um eine programmatische Methode zur Verwaltung von Bereitstellungen (Automation) von SD-WAN Orchestrator aus zu ermöglichen. Microsoft Azure schreibt vor, dass jede Ressource, die von einem Drittanbieter programmgesteuert verwaltet werden muss, eine IAM-Rolle zuordnet und eine App-Registrierung erstellt, um die externen Ressourcen zu automatisieren.

Führen Sie dazu diehierbeschriebenen Schritte aus. Weitere Einzelheiten finden Sie in diesem Abschnitt im AbschnittAnhang.

6. Füllen Sie die Anmeldedaten für die Azure-Authentifizierung in SD-WAN Orchestrator

• Erstellen Sie einen Azure Principal im Abonnement, um eine programmatische Methode zur Verwaltung von Bereitstellungen zu ermöglichen.
• Notieren Sie sich die CLIENT-ID, CLIENT SECRET und DIE MANDANTEN-/VERZEICHNIS-ID des Azure Principal, einschließlich Ihrer Azure Abonnementdetails.
• Klicken Sie unter Globale Einstellungen aufKonfiguration -> Delivery Services -> Azure Virtual WANKlicken Sie auf das Symbol Einstellungen des Dienstes.
• Klicken Sie auf den Link Authentifizierung. Es werden die Details angezeigt, die Sie jetzt bei Ihnen haben.

• Geben Sie die Details sorgfältig ein und speichern Sie. Wenn SAVE erfolgreich ist, sehen Sie im nächsten Schritt das Virtual WAN und die Hubs, die in Ihrem Abonnement konfiguriert sind. Wenn Sie nicht sehen können, überprüfen Sie die Details, löschen Sie die Authentifizierungsdetails und versuchen Sie es erneut.

  

Erstellen eines Azure Virtual WAN Service auf SD-WAN Orchestrator

1. Voraussetzungen

Wenn Sie es bis hierher geschafft haben, MÜSSEN Sie das Azure Virtual WAN und das Virtual Hub im Virtual WAN erstellt haben, mit dem die SD-WAN-Sites die Konnektivität bilden sollen. Es wird NICHT empfohlen, vor dem Ausfüllen der Voraussetzungen zu diesem Abschnitt zu kommen.

2.Verknüpfen der DCMCN-Site mit der virtuellen WAN-Ressource und dem Virtual Hub

• Klicken Sie unter Globale Konfiguration aufKonfiguration -> Delivery Services -> klicken Sie auf das Symbol Einstellungen von Azure Virtual WAN.

  

• Sobald der Dienst ausgewählt ist, werden Sie zur Seite Virtual WAN Automatisierte Konfiguration weitergeleitet.

• Klicken Sie auf”+ Site”.

  

• Je nachdem, ob die Authentifizierung von Azure-Abonnements und anderen Hauptdetails erfolgreich war, sehen Sie jetzt, dass das Azure Virtual WAN mit ALLEN VWANs gefüllt ist, die als Teil des Abonnements konfiguriert sind.

A. Hinzufügen von Site, Konfiguration und Bereitstellen für Virtual WAN-Integration**

Now for this architecture, the MCN will be associated with East REGION and connect to the EastHubUS.

• Wählen Sie EastUSVWANANDHub, das Virtual WAN, in dem wir die East und West Hubs erstellt haben.

• Wählen Sie den EastUSHub

  

• Wählen Sie die Site als “DCMCN”
  • Die Sites sind darin zu sehen, da die Sites bereits Teil der Konfiguration sind, im Staging und aktiviert sind

• Überprüfen und speichern Sie die Informationen

  

  • Sobald Sie gespeichert haben, sehen Sie den Automatisierungs-Kick-In und das SD-WAN bereitet die Site vor, indem es die Konfigurationsinformationen durchdrückt und sowohl die SD-WAN-Seite als auch die Azure-Seite für eine erfolgreiche VPN-Site-Einrichtung konfiguriert.

    • Während die Konfiguration in Kraft tritt, wird die Meldung “Pushed Site information — Waiting for VPN-Config” angezeigt.
    • Wenn alles erfolgreich ist, zeigt dies denSiteprovisioningerfolgan.
    • Zu diesem Zeitpunkt ist die Azure Virtual WAN-Konfiguration automatisiert und vollständig. Als Nächstes müssen wir dasselbe auf der Appliance aktivieren, um den IPsec-Tunnel zu initiieren.

  

  • Als Teil von Azure Virtual WAN Automation verwendet SD-WAN Orchestrator die Azure-APIs und bereitet die SD-WAN Appliance im Konfigurationsfokus (DCMCN) auf die Automatisierung vor.

    • In diesem Aspekt bestimmen wir es während der Automatisierung in zwei Aspekten. Abrufen aller Informationen von der SD-WAN-Appliance zur Bereitstellung der IPsec- und BGP-Endpunkte in Azure.
    • Sprechen Sie mit dem Azure und Abrufen der Details zur Konfiguration der IPsec- und BGP-Endpunkte auf der SD-WAN-Appliance.
    • Das BGP-Peering将丹贝erfolgreicher Einrichtung des IPsec-Tunnels etabliert.
    • Dies ermöglicht den Austausch von Netzwerkpräfixen, die die DCMCN über den virtuellen Pfad gelernt hat, einschließlich seiner lokalen Routen zumEastUSHub超级边界网关协议。

B. SD-WAN Seitendetails**

• Von den verfügbaren WAN-Links nimmt das Automatisierungsskript einen lokalen BGP-Peer-Endpunkt als lokale IPs auf
• Damit Tunnel die WAN-Schnittstelle mit dem öffentlichen IP-Endpunkt bildet, wird gewählt

C. Azure-Seitendetails**

• Wie Sie im folgenden Snapshot sehen können, hat das automatisierte Skript die Informationen von Azure für den EastUSHub abgelegt, um die folgenden Details zu erhalten:
  • Region
  • Öffentliche IP-Adressen — Tunnel-Endpunkt (Aktiver/Passiver VPN-Tunnel für einen einzelnen Hub. Aber beide Tunnel werden eingerichtet. Datapath wird im Vorabend eines Failovers über den primären Tunnel verarbeitet und sekundär verwendet).
  • Private GP- Endpunkte aus der EastUSHub-Konfiguration
  • BGP ASN — 65515

• Der Hub verwendet Standard-IPsec/IKE-Parameter, die von Azure erhalten werden, sodass der lokale Endpunkt-DCMCN auch mit ähnlichen Attributen vorbereitet werden kann, um die Bildung des IPsec-Tunnels nach erfolgreicher Verhandlung zu ermöglichen.

  

3. Vorbereiten der SD-WAN Virtual WAN Automatisierte Konfiguration zur Verbindung von MCN mit Virtual WAN Hu

• Nach Abschluss der Konfiguration für MCN und Secondary/Geo-MCN mit ihren jeweiligen Hubs ist es an der Zeit, sie automatisch auf Azure-Virtual WAN in einem Schuss bereitzustellen.

  

• Sie können sehen, dass sich die Sites (nach dem Hinzufügen der Hubs) den Status “Siteprovisioningerfolg” haben.

  

4.Aktivieren Sie die Konfiguration von SD-WAN Orchestrator, um Azure Virtual WAN-Automatisierung zu aktivieren

• Wählen SieKonfiguration > Netzwerkkonfiguration Home

  

• Wählen SieKonfigurieren/Software bereitstellen > Staging

  

• Wählen SieAktivieren

  

Überprüfen des Status des Virtual WAN Service

Hinweis:Klicken Sie auf das Symbol“Info”auf der Azure Virtual WAN-Site, um Details zur Konfiguration und zum Status des Azure Virtual WAN Tunnel zu erhalten.

Gehen Sie zuAlle Sites -> Konfiguration -> Delivery Services -> Azure Virtual WAN. Klicken Sie auf das “I” (Informationssymbol) einer beliebigen aktivierten Site.

• Überprüfen Sie, dass IPsec TUNNEL UP ist und auf dem MCN (EastUSHub) ausgeführt wird
  • Wir können sehen, dass zwei Azure Virtual WAN-Instanzen bereitgestellt werden. Die zweite Instanz fungiert im Falle von Failovers alsActive-Standby.
  • Die Azure Virtual WAN-Automatisierung kümmert sich darum, den IPsec-Tunnel standardmäßig mit den beiden Instanzen zu aktivieren, sodass überhaupt kein manueller Eingriff erforderlich ist.
  • Beachten Sie auch, dass, obwohl beide Tunnel in Betrieb sind, immer nur EIN aktiver Tunnel gibt, der die Verbindungen und Pakete auf dem Datenpfad verarbeitet.

  

• Stellen Sie sicher, dass IPsec TUNNEL AUF Secondary MCN (WestHubUS ) IN BETRIEB ist

  

Verifizierung von IPsec-Tunneln zwischen SD-WAN und Hub nach automatisierter Bereitstellung

1. Überprüfen der Erstellung von VPN-Site im EastUSHub

In this step, we verify that a NEW VPN Site is created in EastUSHub. This site will serve as the DCMCN site (Done via SD-WAN Azure Virtual WAN Automation).

• Beachten Sie, dass unt der Geokarte死Abschnittstabelle”VPN-Sites” angezeigt wird, die angibt, dass der EastUSHub über 1 VPN-Standorte verfügt, das unser MCN-Gerät ist.

  

• Klicken Sie auf den LinkEastUSHub. Es wird uns zum Drilldown des Hub for the East Geo führen.

• Klicken Sie auf“Übersicht”, um die Anzahl der mit VPN verbundenen Sites zu sehen. Wir sehen eine verbundene Site (mit unserem MCN).

  

• Klicken Sie aufVPN (Site to Site)und überprüfen Sie, ob der Verbindungsstatus“Erfolgreich”und “Verbunden” mit DCMCN (SD-WAN MCN) ist

  

2.Uberprufen der Erstellung冯VPN-Site WestHubUS

In this step, we verify that a NEW VPN Site is created in WestHubUS. This site will serve as the DCGEOMCN site (Done via SD-WAN Azure Virtual WAN Automation)

• Beachten Sie, dass unt der Geokarte死Abschnittstabelle”VPN-Sites” angezeigt wird, die darauf hinweist, dass auf dem WestHubUS 1 VPN-Standorte angeschlossen sind, das unser Geo-MCN-Gerät “DCGEOMCN” ist.

  

• Klicken Sie auf den LinkWestHubUS, der uns zum Drilldown des Hubs für West Geo bringt

• Darin können wir sehen, dass “Übersicht” die Anzahl der mit VPN verbundenen Sites angibt, die derzeit 1 ist (mit unserem MCN)

  

• Klicken Sie aufVPN (Site to Site)und überprüfen Sie, ob der Verbindungsstatus“Erfolgreich”und “Verbunden” mit sekundärem MCN (SD-WAN Geo MCN) lautet.

  

SD-WAN MCN zu EastUSHub ROUTING

• Next Hop Type:Am wichtigsten ist, dass der Next-Hop-Typ angibt, wie die Routen in der Routing-Tabelle gelernt und installiert wurden

• Wenn der nächste Hop-Typ ist: VPN_S2S_Gateway
  • Alle über VPN_S2S_Gateway empfangenen Routen sind diejenigen, die die IPsec+BGP Integration mit SD-WAN haben, wo die Azure-Automatisierung bereitgestellt wurde.
  • Überprüfen Sie die EastUSHub-Routingtabelle und prüfen Sie, ob BGP-propagiertes SD-WAN, das vom MCN gelernte Routen enthält, wie erforderlich.
  • Beim EastUSHub-Routing werden die wichtigsten Routen über den MCN über die AS-Nummer des als 42472 konfigurierten SD-WAN installiert (wird während der Automatisierung automatisch gepflegt)
• Wenn der nächste Hop-Typ lautet: Virtuelle Netzwerkverbindung
  • Dies wären alle Routen, die installiert werden, da diese über East VNet-Peering zwischen dem EastUSHub und dem East VNet sind.
• Wenn der nächste Hop-Typ ist: Remote Hub
  • Dies wären alle Routen, die vom WestHubUS Hub propagiert wurden (der unter derselben Azure Virtual WAN-Instanz erstellt wurde).
  • Wir können auch sehen, dass die Routen vom Typ Remote Hub den Ursprungs- und den AS-Pfad entsprechend angehängt haben, um Routing-Schleifen zu vermeiden.
  • 这张Tabelle enthalt阿莱unterschiedlichen VNets (Peered in der West Region mit dem West Hub), die vom EastUSHub über das WestHubUS -Hub verbreitet werden.

  

SD-WAN GEOMCN zu WestHubUS ROUTING

Überprüfen Sie die WestHubUS -Routingtabelle und prüfen Sie, ob BGP-propagiertes SD-WAN Routen vom sekundär-MCN gelernt hat.

• Next Hop Type:Am wichtigsten ist, dass der Next-Hop-Typ angibt, wie die Routen in der Routing-Tabelle gelernt und installiert wurden.

• Wenn der nächste Hop-Typ ist: VPN_S2S_Gateway
  • Alle über VPN_S2S_Gateway empfangenen Routen sind diejenigen, die die IPsec+BGP Integration mit dem SD-WAN haben, auf dem die Azure-Automatisierung bereitgestellt wurde.
  • Überprüfen Sie die WestHubUS -Routingtabelle und prüfen Sie, ob BGP-propagiertes SD-WAN gelernte Routen vom Secondary MCN angemessen sind.
  • Beim WestHubUS -Routing werden die wichtigsten Routen über den MCN über die als 22338 konfigurierte AS-Nummer des SD-WAN installiert (wird während der Automatisierung automatisch gepflegt).
• Wenn der nächste Hop-Typ lautet: Virtuelle Netzwerkverbindung
  • Dies wären alle Routen, die installiert werden, da diese über West VNet zwischen dem WestHubUS und dem West VNet gelten.
• Wenn der nächste Hop-Typ ist: Remote Hub
  • 死后,阿莱WestHubUS中心verbreiteten柔生效ten enthalten (der unter derselben Azure Virtual WAN-Instanz erstellt wurde).
  • Wir können auch sehen, dass die Routen vom Typ Remote Hub den Ursprungs- und den AS-Pfad entsprechend angehängt haben, um Routing-Schleifen zu vermeiden.
  • 这张Tabelle enthalt阿莱unterschiedlichen VNets (Peered in der East Region with the East Hub), die vom WestHubUS über den EastUSHub-Hub verbreitet werden.

  

Überprüfen der Routenausbreitung von East VNet zu EastTusHub

In diesem Schritt überprüfen wir, ob die Routen mit Global VNet-Peering von East VNet zum East VWAN Hub — EastUSHub übertragen werden.

• Stellen Sie sicher, dass EastUSHub die Sichtbarkeit der von MCN erlernten Präfixe aus seiner Standard-Routing-Tabelle für das VNet in der Region East US2 bereitgestellt hat
• Überprüfen Sie die Routing-Tabelle von EastUS2 VNet und stellen Sie sicher, dass das Routing in Takt ist
• Die VNet’s sind die tatsächliche Entstehung und das Ziel der Workloads in Azure, und es ist zwingend erforderlich, dass die VNets konvergiert sind, um den richtigen Routingfluss/Informationen zu enthalten, um die Subnetze/Präfixe von SD-WAN aus der Ferne zu erreichen
• Der Großteil der Routen auf den VNets selbst wird direkt über das Virtual Network Gateway geleitet, mit dem sie verbunden sind
• In diesem Fall ist der EastUSHub der Ursprung aller Routen in der Routingtabelle des East VNet
• VNet-Peering Der nächste Hop-Typ wäre das eigentliche Präfix des Azure Virtual WAN-Präfixes, das vom VNet-Peering mit erstellt wurde.

• Virtual Network wird die lokale Adresse des VNet selbst sein

  

  

Überprüfen der Routenausbreitung von West VNet zu WestHubUS

In diesem Schritt überprüfen wir, ob die Routen von West VNet zum West VWAN Hub übertragen werden - WestHubUS mit Global VNet-Peering

• Stellen Sie sicher, dass WestHubUS die Sichtbarkeit der von GEOMCN erlernten Präfixe aus seiner Standard-Routingtabelle für das vNet in der Region West US2 bereitgestellt hat
• Überprüfen Sie die Routing-Tabelle von WestUS2 VNet und stellen Sie sicher, dass das Routing in Takt ist
• Die VNet’s sind die tatsächliche Entstehung und das Ziel der Workloads in Azure, und es ist zwingend erforderlich, dass die VNets konvergiert sind, um den richtigen Routingfluss/Informationen zu enthalten, um die Subnetze/Präfixe von SD-WAN aus der Ferne zu erreichen
• Der Großteil der Routen auf den VNets selbst wird direkt über das Virtual Network Gateway geleitet, mit dem sie verbunden sind
• In diesem Fall ist der WestHubUS der Ursprung aller Routen in der Routingtabelle des West VNet
• VNet-Peering Der nächste Hop-Typ wäre das eigentliche Präfix des Azure Virtual WAN-Präfixes, das vom VNet-Peering mit erstellt wurde

• Virtual Network wird die lokale Adresse des VNet selbst sein

  

  

Aufruf zum Handeln

Falls Sie Azure Virtual WAN noch nicht ausprobiert haben, besuchen Sieportal.azure.com. Wenn Sie die Vorteile einer SD-WAN-Lösung aus erster Hand erleben möchten, können Siehiereine kostenlose Testversion anfordern.

Anhang

Erstellen eines Azure Service Principal

1. Registrieren Sie die Anwendung

Erstellen Sie einen Azure Service-Prinzipal im Abonnement, um die programmatische Verwaltung von Bereitstellungen (Automatisierung) von SD-WAN Orchestrator aus zu ermöglichen. Microsoft Azure schreibt vor, dass jede Ressource, die von einem Drittanbieter programmgesteuert verwaltet werden muss, eine IAM-Rolle zuordnet und eine App-Registrierung erstellt, um die externen Ressourcen zu automatisieren.

Hinweis: Nachdem Sie das Client Secret für die App erstellt haben, notieren Sie es oder kopieren Sie es sofort an einen Ort, auf den Sie später verweisen können.

2.Notieren Sie sich die Details zum Azure Service Principal

• Notieren Sie sich die CLIENT-ID, CLIENT SECRET und DIE MANDANTEN-/VERZEICHNIS-ID einschließlich Ihrer Azure
• Sie erhalten die CLIENT-ID, CLIENT SECRET und TENANT ID von der App (Azure Service Principal), die Sie erstellt haben
• Abonnement-ID — Sie können sie in Ihrem Abschnitt “Abonnements” in Azure für das Konto abrufen
• Client-ID — Wird auch als Anwendungs-ID bezeichnet, die Sie im Abschnitt Übersicht Ihrer neu registrierten App unten erhalten
• Verzeichnis-ID — Wird auch als Mandanten-ID bezeichnet, die Sie im Abschnitt Übersicht Ihrer neu registrierten App unten erhalten

• Kundengeheimnis — notieren oder kopieren Sie das Client-Geheimnis, sobald Sie es erstellen. Dieser Schritt ist sehr wichtig für die Authentifizierung des Abonnementkontos und die Überprüfung, ob die erstellte App für die Verwaltung der Programmierbarkeit der Ressource, für die die Automatisierung aktiviert werden soll (in Azure).

3. Verknüpfen Sie den Azure Service Principal der Ressource

• Gehe zur virtuellen WAN-Ressource“EastUSVWANANDHub”
• Gehe zuZugriffskontrolle (IAM)
• Klicken Sie auf die Schaltfläche“Hinzufügen”des unten hervorgehobenen Abschnitts “Rollenzuweisung hinzufügen“
• Sie können auch auf den AbschnittRollenzuweisungenklicken und auf”+ Hinzufügen”(nebenRollenzuweisungen herunterladen) klicken, um die IAM-Rolle zum Service-Principal hinzuzufügen.

• Sobald Sie auf“Hinzufügen”klicken, wird rechts ein Popup-Fenster angezeigt, in dem Sie die Rolle hinzufügen können
  • Wählen Sie denROLETyp als “Contributor”
  • Lassen Sie denZugriff zuweisenals Standard (Azure AD-Benutzer, -Gruppe oder Dienstprinzipal)
  • Im AbschnittAuswählenkönnen Sie nach der von Ihnen erstellten Anwendung namens “Orchestrator” suchen. (Dies ist nur eine Zeichenfolge und wir können dies individuell benennen. Bei der Automatisierung der Provisioning über Orchestrator darf keine Verwirrung bestehen, wenn eine Zeichenfolge namens “Orchestrator” als Azure-Prinzipal verwendet wird).
    • Sobald die Suche erfolgreich ist, können Sie die App auswählen.
  • Wählen Sie den Button “Speichern”. (Dies schließt die Erstellung von Azure Service Principal und die Verknüpfung mit der Ressource ab.)