在AWS上安装SD-WAN VPX标准版AMI

思杰SD-WAN SE设备将多个网络路径绑定在单个虚拟路径中。监控虚拟路径，以便始终通过最优路径路由关键应用程序路径。该解决方案使客户能够在云中部署应用程序，并利用多个服务提供商网络将应用程序无缝交付给最终用户。

要在Amazon Web Services(AWS)上创建SD-WAN SE-VPX，您需要执行与创建任何其他实例相同的过程，将一些实例参数设置为非默认设置。

在AWS上实例化SD-WAN虚拟设备(AMI):

要在AWS VPC中安装SD-WAN虚拟设备，您需要一个AWS帐户。您可以在以下网址创建AWS帐户http://aws.amazon.com/。SD-WAN在AWS Marketplace中以Amazon Machine Image (AMI)的形式提供。

请注意:亚马逊经常更改其AWS页面，因此以下说明可能不是最新的。

在AWS上实例化SD-WAN虚拟设备(AMI):

1. 在浏览器中输入http://aws.amazon.com/。
2. 点击我的账户/控制台，然后点击我的账户打开亚马逊网络服务标志在页面。
3. 使用您的AWS帐户凭据登录。这将把您带到Amazon Web Services页面。

思杰SD-WAN SE设备提供以下AWS服务实例:

• VPC仪表板——AWS云中由AWS对象(如EC2实例)填充的隔离部分
  • 通过在AWS中创建VPC实现。请参见以下配置步骤。
• EC2仪表板——弹性计算云，可调整大小的虚拟服务/实例
  • 通过创建NetScaler SD-WAN AMI启用。请参见下面的配置步骤。
  • CIDR—无分类域间路由块，由连续的IP地址范围组成，用于指定VPC(最多16个region)。

SD-WAN web接口

• 配置Citrix(原NetScaler SD-WAN) SD-WAN AMI

以下是在AWS中部署SD-WAN SE-VPX AMI的要求和限制:

最低要求

• AWS EC2实例类型: c4.2xlarge, c4.4xlarge, c5。xlarge, c5.2xlarge, c5.4xlarge, m4.2xlarge, m4.4xlarge, M5.2xlarge, m5.4xlarge
• 虚拟CPU: 8
• 内存: 15gb
• 存储: 160gb
• 网络接口最少2个(一个管理，一个用于LAN/WAN)
• BYOL-带上你自己的许可证和订阅

从11.3版本开始，Citrix SD-WAN引入了对M5和C5实例的支持。较新的AWS区域(如香港和巴黎)仅支持M5和C5实例。

M5和C5实例改进了硬件性能，专为更高要求的工作负载而设计。M5和C5实例在每核的基础上提供比M4实例更好的性价比。

请注意

M5和C5实例仅从11.3和更高版本的新配置中得到支持。要继续使用M5和C5实例，不能从11.3版本降级，因为11.3之前的任何固件版本都不支持M5和C5实例。

限制

• AWS不允许接口桥接，因此在配置接口组时不能选择Fail-to-Wire。

• 使用10.2.4/11.2.1版本配置的实例，ami不能将其实例类型更改为M5/C5。

Citrix(原NetScaler SD-WAN) SD-WAN与AWS

部署具有指定可用区的AWS区域。在VPC (Virtual Private Cloud)基础架构中，部署SD-WAN标准版AMI (Amazon Machine Image)作为VPC网关。

• VPC私有中存在到VPC网关的路由。
• SD-WAN实例有一条通往AWS VGW (VPN网关)的路由用于直接连接，另一条通往IGW (Internet网关)的路由用于Internet连接。
• 数据中心、分支机构和云之间的连接，采用不同的传输模式，同时利用多个WAN路径。
• 支持OSPF和BGP的自动路由学习。
• 跨多路径的单IPsec隧道，链路发生故障时不需要重新协商安全。

在AWS中，每个SD-WAN AMI接口需要定义一个子网和IP地址。所使用的接口数量取决于部署用例。如果目标是可靠地访问VPX的LAN端(在同一区域内)的应用程序资源，VPX可以配置三个以太网接口;一个用于eth0上的管理，一个用于eth1上的LAN，一个用于eth2上的WAN。

或者，如果目标是将流量通过VPX发往其他地区或公共互联网，VPX可以配置两个以太网接口;一个用于eth0上的管理，另一个用于eth1上的LAN/WAN。

AWS中的SD-WAN SE AMI概述

1. 通过“VPC Dashboard”在AWS中创建VPC

要开始使用亚马逊虚拟私有云，您需要创建VPC，这是专用于您的AWS帐户的虚拟网络。

• 定义CIDR块/子网，并分配给VPC -用于识别网络中的设备。为例。在包含WAN、LAN和管理子网的组网图中，VPC选择“192.168.100.0/22”。—192.168.100.0—192.168.103.255)—192.168.100.0/22
• 为VPC定义Internet网关—用于与云环境外部通信
• 为每个已定义的子网定义路由——用于子网和Internet之间的通信
• 定义网络访问控制列表(Access Control List)——用于控制从子网流入/流出的流量，以保证安全
• 定义安全组——用于控制网络设备的每个实例流入/流出的流量

创建Citrix SD-WAN AMI:

• 有关更多信息，请参阅EBS最佳实践和Amazon EBS加密必须知道的最佳实践

• 要定义安全组，策略必须如下所示:

  • Outbound:允许所有流量
  • 入站:
  • 从将访问管理IP的所有IP地址/子网中SSH。
  • 来自您的AWS vpc(私有ip)的所有流量
  • 来自本地或云端托管的思杰SD-WAN对等设备的WAN端公共ip的所有流量。
• 为EC2实例定义网络接口
• 为EC2实例创建弹性IP地址
• 为EC2实例和网络接口定义安全性

连接SD-WAN web接口:

• 许可证
• 使用本地变更管理安装标识

在AWS中创建VPC - VPC (Virtual Private Cloud)

创建VPC:

1. 从AWS管理控制台工具栏中选择服务>VPC(网络和内容交付)。

   

2. 选择您的vpc，然后单击创建VPC按钮。

   

3. 添加名字标记，根据您的网络图和“租赁=默认”设置CIDR块，然后单击是的,创建。

   

为VPC定义外网网关

为VPC定义外网网关。

1. 从AWS管理控制台中选择互联网网关>创建Internet网关。可以在路由表中配置匹配0.0.0.0/0路由的外网网关流量。还需要外部访问SD-WAN AMI web界面以进行进一步配置。

   

2. 给IGW一个Name标签，然后单击是的,创建。

   

3. 选择新创建的IGW，单击绑定VPC。

   

4. 选择已创建的VPC，单击是的,附加。

   

为VPC定义子网，区分mgmt、LAN和WAN

为VPC定义子网。

1. 从AWS管理控制台中选择子网>创建子网创建Mgmt、LAN和WAN子网。使用定义的子网来区分SD-WAN配置中定义的LAN、WAN和Mgmt子网。

   

2. 输入特定于VPX的Mgmt子网的详细信息，然后使用是的,创建按钮。
   • 名称标签:用于标识不同子网(Mgmt、LAN或WAN)的名称。
   • VPC: <之前创建的VPC >
   • 可用区:<酌情设置>
   • CIDR块:定义名称(Mgmt、LAN、WAN)对应的子网，是先前定义CIDR的一个较小子集

   

3. 重复上述步骤，直至创建Mgmt、LAN和WAN网络的子网。

   

定义管理子网的路由表

定义路由表:

1. 从AWS管理控制台中选择路由表>创建路由表为Mgmt、LAN和WAN子网创建路由表。

   

2. 输入Mgmt子网的详细信息
   • 名称标签:用于标识不同子网(Mgmt、LAN或WAN)的名称。
   • VPC:已创建的VPC

   

3. 在新创建的路由表仍然突出显示的情况下，选择子网协会>编辑。

   

4. 与所需子网建立关联，然后单击保存。

   

5. 在新创建的路由表仍然突出显示的情况下，选择路线>编辑。

   

6. 点击添加另一个路由按钮(只需要Mgmt和WAN子网)，然后保存。

   • 目的地:0.0.0.0/0
   • 目标:Internet网关(igw-xxxxxxx先前定义)

   

请注意

AWS在EC2实例中提供全局路由表，但NetScaler SD-WAN AMI将使用本地路由表，以便用户可以控制转发到虚拟路径的流量。

为广域网子网定义路由表

定义路由表:

1. 从AWS管理控制台中选择路由表>创建路由表为Mgmt、LAN和WAN子网创建路由表。

   

2. 输入广域网子网的详细信息:

   • 名称标签:用于标识不同子网(Mgmt、LAN或WAN)的名称。
   • VPC:已创建的VPC

3. 在新创建的路由表仍然突出显示的情况下，选择子网协会>编辑。

   

4. 与所需子网建立关联，然后单击保存。
5. 在新创建的路由表仍然突出显示的情况下，选择路线>编辑。

6. 点击添加另一个路由按钮(只需要Mgmt和WAN子网)，然后保存。

   • 目的地:0.0.0.0/0
   • 目标:< Internet网关>(先前定义的igw-xxxxxxx)

   

为局域网子网定义路由表

定义局域网子网的路由表。

1. 从AWS管理控制台中选择路由表>创建路由表为Mgmt、LAN和WAN子网创建路由表。

   

2. 输入LAN子网的详细信息:

   • 名称标签:用于标识不同子网(Mgmt、LAN或WAN)的名称。
   • VPC:已创建的VPC
3. 在新创建的路由表仍然突出显示的情况下，选择子网协会>编辑。

4. 与所需子网建立关联，然后单击保存。

   

请注意

如果需要将LAN侧流量路由到SD-WAN，则需要将目的地址关联为SD-WAN LAN路由表中的SD-WAN LAN接口id。只有在创建实例并将网络接口附加到该实例之后，才能将任何目的地的目标设置为接口id。

创建SD-WAN SE AMI

要创建EC2实例:

1. 从AWS管理控制台工具栏中选择服务>EC2(计算)。

   

2. 选择EC2仪表盘工具栏，选择实例>启动实例。

   

3. 使用AWS市场选项卡搜索SD-WAN Amazon Machine Image (AMI)，或者使用我的男性朋友选项卡来定位拥有或共享的SD-WAN AMI，单击locateCitrix NetScaler SD-WAN标准版然后点击选择。

   

4. 使用以下命令确认选择继续。

5. 在选择实例类型界面，选择EC2实例类型在准备过程中确定，然后选择下一步:配置实例详细信息。

   

6. 输入实例详细信息(任何未指定的内容必须保持不设置/默认):
   • 实例数:1
   • 网络:选择“之前创建的VPC”
   • 子网:选择“Mgmt先前定义的子网”
   • 自动分配公网IP:启用
   • “网络接口>主IP”:输入预定义的Mgmt IP

   

7. 点击下一步:添加存储

   

   请注意

   将EC2实例与Mgmt子网关联，将第一个EC2接口(eth0)与SD-WAN Mgmt接口关联。如果eth0未关联SD-WAN Mgmt接口，重启后会失去连通性。

8. 在“根存储”中输入如下信息:
   • 卷类型:一般用途(SSD) GP2

9. 然后选择下一个:标签实例

   

10. 通过为默认值指定值，为EC2实例指定一个名称名字标签。可选地创建其他所需的标签。

    

11. 然后选择下一步:配置安全组。
12. 选择一个现有的安全组或创建安全组:
    • 生成的默认安全组包括HTTP、HTTPS、SSH和添加规则按钮可再添加两个:
    • 所有源为自定义0.0.0.0/0的ICMP报文
    • 自定义UDP规则，端口范围:4980，源:自定义<来自合作伙伴SD-WAN的已知IP地址>

13. 选择审查和发射。

    

14. 完成审查后，选择发射。

15. 在密钥对弹出，要么选择现有的密钥对，要么创建新的密钥对，然后选择启动实例。

    

    重要的

    如果创建了新的密钥对，请确保下载并将其存储在安全位置。

16. Citrix SD-WAN SE AMI现在必须成功启动。

    

    请注意

    安全组是一组防火墙规则，用于控制EC2实例的流量。可以在EC2启动期间和之后编辑入站和出站规则。每个EC2实例必须分配一个安全组。此外，每个网络接口必须分配一个安全组。可以使用多个安全组对各个接口应用不同的规则集。AWS默认添加的安全组只允许VPC内的流量。

    分配给NetScaler SD-WAN AMI的安全组及其接口必须支持SSH、ICMP、HTTP和HTTPS协议。分配给WAN接口的安全组也必须在端口4980上接受UDP(用于虚拟路径支持)。有关安全组配置信息的更多详细信息，请参阅AWS帮助。重要的

    如果是从新帐户配置的，请等待两个小时，然后重试

17. 回到你的AWS控制台:EC2仪表板。

18. 从工具栏，在网络与安全选择网络接口，突出显示Mgmt接口并编辑Name标签，为接口提供一个有用的名称。
19. 然后单击创建网络接口创建局域网接口:
    • Description: <用户自定义的接口描述>
    • 子网:<先前为接口定义的子网>
    • 私有IP: <在准备过程中预先定义的接口的私有IP >
    • 安全组:<接口对应的安全组>

    

20. 重复并点击创建网络接口创建广域网接口。

    

21. 编辑每个新接口的Name标签，并给出一个有用的名称。

    

    

22. 突出了管理接口并选择行动>改变源/桌子。选中以禁用源/桌子。选中，然后选择保存。

    

23. LAN和WAN接口重复上述步骤。

    

24. 此时所有的网络接口:管理。，局域网,湾每个配置一个名字，主用私有IP，并为源/桌子。检查属性。只有Mgmt。网络接口有一个与之关联的公共IP。

    

    重要的

    禁用源/Dest。Check属性使接口能够处理不以EC2实例为目的地的网络流量。由于NetScaler SD-WAN AMI充当网络流量的中间人，因此Source/Dest。必须禁用Check属性才能正常操作。

    为这些网络接口定义的私有IP最终必须与SD-WAN配置中的IP地址匹配。如果广域网接口与此站点节点的SD-WAN配置中的多个广域网链路IP相关联，则有必要为广域网接口定义多个专用IP。这可以通过根据需要为WAN接口定义辅助专用ip来实现。

25. 从EC2仪表板工具栏，选择实例。

    

26. 突出显示新创建的实例，然后选择行动>网络>附加网络接口。

    

27. 先将LAN网口连接到SD-WAN SE AMI，再将WAN网口连接到SD-WAN SE AMI。

    

    请注意

    按照顺序将Mgmt、LAN和WAN连接到SD-WAN AMI中的eth0、eth1、eth2。这与已配置AMI的映射保持一致，并确保在AMI重新启动时不会错误地重新分配接口。

28. 从EC2仪表板工具栏，选择弹性ip (EIP)，然后点击分配新地址。

    

29. 点击分配分配一个新的IP地址关闭新地址请求成功。
30. 突出显示新的EIP并选择行动>联系地址将EIP与Mgmt关联。界面，然后单击联系。
    • 资源类型:<网络接口>
    • 网络接口:<先前创建的Mgmt。网络接口>
    • 私有IP: <先前为Mgmt定义的私有IP >

    

31. 重复此过程，将另一个新的EIP与WAN接口关联起来。

    

配置SD-WAN SE AMI - SD-WAN Web管理界面

配置SD-WAN SE AMI:

1. 此时，您必须能够使用web浏览器连接到SD-WAN SE AMI的管理界面。
2. 进入弹性IP (EIP)与Mgmt关联。接口。如果无法识别安全证书，可以创建安全例外。

3. 使用以下凭证登录SD-WAN SE AMI:

   • 用户名:管理
   • 密码:< aws-instance-id>(例子;i-00ab111abc2222abcd)

   

   请注意

   如果Mgmt。无法到达接口，请检查以下内容:

   • 确保EIP与Mgmt正确关联。接口
   • 确保EIP响应ping
   • 确保Mgmt。interface路由表包含Internet网关路由(0.0.0.0/0)
   • 确保Mgmt。interface安全组配置允许HTTP/HTTPS/ICMP/SSH

   从9.1 SD-WAN AMI版本开始，用户还可以通过以下方式登录SD-WAN AMI控制台ssh admin@ <管理。EIP >，假设EC2实例的密钥对已添加到用户的SSH密钥链中。

4. 适用于SD-WAN SE自带许可证(BYOL) AMI，必须安装软件许可证;
   • 在SD-WAN web界面，导航到配置>设备的设置>许可
   • 从许可证配置：上传此设备的许可证中,选择选择文件，浏览并打开SD-WAN SE AWS许可证，然后点击上传和安装
   • 上传成功后，“License Status”显示“State: Licensed”

   

5. 设置合适的数据/时间对于新的AMI:
   • 在SD-WAN web界面，导航到配置>系统维护>日期/时间设置
   • 设置正确的日期和时间国家结核控制规划，日期/时间设置,或时区

   

   请注意

   在AMI上安装设备包(软件+配置)之前，SD-WAN SE AMI虚拟广域网服务将保持禁用状态。

将SD-WAN SE AMI添加到SD-WAN环境中

将SD-WAN AMI添加到SD-WAN环境中:

1. 导航到你的SD-WAN中心或主控制节点用于SD-WAN环境。
2. 添加一个新网站节点使用配置编辑器：
   • 添加站点:型号为VPX，模式为客户端
   • 接口组:awsLAN = eth1, awsWAN = eth2(不受信任)
   • 虚拟IP地址:192.168.100.5 = awsLAN, 192.168.101.5 = awsWAN配置了awsLAN虚拟IP地址后，SD-WAN将192.168.100.5/24子网作为本地路由发布到SD-WAN环境(参考连接> <AWSnode>路线）．广域网链接:
   • AWSBR-WAN与访问类型的公共互联网，自动检测公共IP，如果客户端节点或配置EIC为WAN链路，如果MCN节点，访问接口:awsWAN 192.168.101.5与网关192.168.101.1 (#.#.#.)1通常是AWS保留网关)。

   

   

3. 在配置编辑器中验证下面的路径关联连接>直流>虚拟路径>DC-AWS>路径。

   

   请注意

   Virtual Path用于跨AMI WAN接口将软件和配置更新推送到SD-WAN AMI，而不是通过直接连接到Mgmt。接口。

   必须在EC2 WAN网络接口上为配置编辑器中的每个WAN链路IP定义私有IP地址。这可以通过根据需要为网络接口定义一个或多个辅助专用ip来实现。

   重要的

   回想一下分配Mgmt的AWS EC2仪表板中分配的映射。LAN连接到eth1, WAN连接到eth2

   Amazon将每个子网CIDR块中的前四个IP地址和最后一个IP地址重新服务，无法分配给实例。例如，在CIDR块为192.168.100.0/24的子网中，保留5个IP地址:

   • 192.168.100.0:网络地址
   • 192.168.100.1: AWS预留给VPC路由器使用
   • 192.168.100.2:由AWS为DNS服务器预留
   • 192.168.100.3:由AWS保留以供将来使用
   • 192.168.100.255:网络广播地址，VPC中不支持

4. 保存和导出将新创建的SD-WAN配置导出到变更管理收件箱。

   

5. 导航到MCN变更管理并运行变更管理流程，将最新配置推送到SD-WAN环境，通知所有现有的SD-WAN节点新增的AWS节点及其关联的子网(虚拟接口)。确保在Change Preparation步骤中上传与现有SD-WAN环境使用的当前软件相匹配的VPX专用软件包。
6. 从变更管理页面，下载专门为新AWS节点生成的包活跃的链接。
7. 使用为Mgmt分配的EIP返回到SD-WAN SE AMI的管理界面。接口。
8. 导航到配置>系统维护>本地变化管理。
9. 点击选择文件浏览及上传最近下载的主AWS软件/配置包。

10. 成功之后本地变化管理， web界面必须使用最新安装的软件自动刷新虚拟广域网业务仍然禁用。

    

11. 在SD-WAN SE AMI部分，导航到配置>虚拟WAN启用/禁用/清除流并启用该服务启用按钮。

12. 当SD-WAN接口连接成功后，SD-WAN会在设备上报告“良好路径状态”监控>统计数据>路径页面。

    

故障排除

配置SD-WAN接入接口时，必须使用正确的内网网关IP地址

• 如果在配置编辑器中使用错误的IWG定义AWS站点的WAN链路(虚拟IP地址和正确的网关)，则虚拟路径无法建立。
• 检查IWG是否配置错误的快速方法是检查SD-WAN ARP表。

SD-WAN内置的数据包捕获工具可以帮助确认正确的数据包流

1. 导航到配置>系统维护>诊断SD-WMA AMI页面。
2. 选择数据包捕获选项卡，并设置以下设置，然后单击捕获：
   • 接口:在与WAN接口相关联的eth2上捕获。
3. 网页上的捕获输出必须显示离开SD-WAN SE AMI的UDP探测数据包，其源为WAN VIP/Private IP，目的为MCN使用的静态公网IP，以及返回的UDP数据包，其源为MCN静态公网IP，目的为本地VIP/Private IP(由wg进行NAT转换)。

请注意

当IP地址在分配给VPC的CIDR块之外创建时，通常会发生这种情况。

请注意

• 从10.2.6和11.0.3版本开始，在配置任何SD-WAN设备或部署新的SD-WAN SE VPX时，必须更改默认的admin用户帐户密码。此更改可以使用CLI和UI强制执行。

• 系统维护帐户CBVWSSH，用于开发和调试，无外部登录权限。该帐户只能通过普通管理用户的CLI会话访问。