在Azure上部署Citrix SD-WAN标准版实例-发布版本10.2及以上

用于Azure的Citrix SD-WAN标准版从逻辑上将多个网络链接绑定到单个安全逻辑虚拟路径中。该解决方案使组织能够使用来自不同服务提供商的连接，包括宽带、MPLS、4G/LTE、卫星和点对点链路，以获得高弹性的虚拟WAN路径。用于Azure的Citrix SD-WAN使组织能够从每个分支机构直接安全连接到托管在Azure中的应用程序，从而消除了通过数据中心回传云绑定流量的需要。在Azure中使用思杰SD-WAN的一些好处是:

• 创建从每个位置到Azure的直接连接。
• 确保始终连接到Azure。
• 将你的安全边界扩展到云。
• 向简单、易于管理的分支网络演进。

请注意

早些时候，Azure支持128个虚拟路径。从11.2版本开始，Azure中的SD-WAN SE支持256个虚拟部件。

拓扑- Azure中的SD-WAN

Citrix SD-WAN标准版只能在Azure中以网关部署模式部署。为SD-WAN的面向WAN的接口分配一个公共IP地址(静态/动态)，为管理接口分配一个公共IP地址以访问Azure中的管理接口。

用例

Azure VM部署在指定区域内，可以通过MPLS、Internet或4G/LTE连接到多个分支机构位置。在VNET (Virtual Network)基础架构中，SD-WAN标准版虚拟机以网关模式部署。VNET有通往Azure网关的路由。SD-WAN实例有一条通往Azure网关的路由，用于互联网连接。

数据中心、分支机构和云之间的连接是通过同时利用多个WAN路径使用不同的传输方法来实现的。

在Microsoft Azure中部署Citrix SD-WAN标准版

1. 在浏览器中输入https://portal.azure.com/。登录Microsoft Azure帐户。搜索Citrix SD-WAN标准版。

   

2. 在搜索结果窗口中，选择以下解决方案。点击创建在浏览描述并确保选择的解决方案是正确的之后。

   

   

3. 点击之后创建、出现一个向导，提示在Azure中创建虚拟机所需的详细信息。在第一步中，选择要在其中部署解决方案的资源组。资源组是一个容器，用于保存Azure解决方案的相关资源。资源组可以包括解决方案的所有资源，也可以只包括要作为一个组管理的资源。您可以根据部署决定如何将资源分配给资源组。在定义资源组时需要考虑以下几点:
   • 如果一个资源(比如数据库服务器)必须存在于不同的部署周期中，那么它可以位于另一个资源组中。
   • 每个资源只能存在于一个资源组中。
   • 您可以随时向其他资源组添加或移除资源。
   • 将资源从一个资源组移动到另一个资源组
   • 一个资源组可以包含不同地区的资源。
   • 资源组可用于管理操作的范围访问控制。
   • 资源可以与其他资源组中的资源进行交互。当两个资源相关但不共享生命周期时，这种交互很常见(例如，连接到数据库的web应用程序)。在下图中，选择创建新的。下位置，选择要部署解决方案的区域。在创建资源组时，必须为该资源组提供位置。资源组存储有关您正在创建的资源的元数据。因此，当您为资源组指定位置时，您就是在指定存储元数据的位置。

   

   请注意

   Azure要求在新资源组或空资源组中创建资源，您将无法在非空资源组中部署SD-WAN实例。

4. 提供虚拟机的名称。选择用户名和强密码。密码必须由大写字母、特殊字符组成，且长度大于9个字符。点击好吧。登录实例管理界面时需要使用该密码。

   请注意

   您无法为实例提供用户名管理因为它是一个保留名称。但是，要在配置实例后获得管理访问权限，请使用管理作为在配置实例时创建的用户名和密码。如果您使用在配置实例时创建的用户名，您将获得只读访问权限。

   

5. 选择要在其中运行映像的实例。根据您的需求选择实例类型，如下所示。

   • 实例类型D3_V2，最大单向吞吐量为200mbps，最大16个虚拟路径/分支。
   • 实例类型D4_V2，最大单向吞吐量为500mbps，最大16个虚拟路径/分支。
   • 实例类型F8标准，最大单向吞吐量为1gbps，最大64个虚拟路径/分支。
   • 实例类型F16标准，最大单向吞吐量为1gbps，最大虚拟路径/分支为128。

   

6. 从Citrix SD-WAN 11.0.3版本开始，默认分配了120 GB的操作系统磁盘大小。根据需要，可将磁盘大小修改为40gb ~ 999gb。

   

7. 创建一个新的虚拟网络(VNET)或使用现有的VNET。为SD-WAN VPX虚拟机的接口选择子网是部署过程中最关键的一步。

   

8. 为虚拟机的各个接口分配相应的子网。子网分配顺序依次为:Management、LAN、WAN、AUX。根据需要选择，单击好吧。在下面的图像中，您正在为每个接口分配子网。

   网卡	相关的网络
   网卡0(默认)	管理子网
   网卡1	局域网子网
   网卡2	WAN子网

9. 点击回顾+创建并确保验证通过。

   

   部署开始，您可以在通知部分查看状态。

10. 您可以转到正在其中创建部署的资源组，以获得部署的更多详细信息。

    

11. 配置完成后，会自动创建管理接口的公网IP地址。使用公网IP地址访问SD-WAN界面。

    

12. 要获得对实例的管理访问权限，请使用管理与第一步中创建的用户名和密码相同。

    

13. 登录到GUI后，请注意虚拟服务已被禁用，因为Azure上的SD-WAN工作在BYOL(自带许可证)模型上。如果您已经有许可证，可以通过许可选项卡申请许可证，或者通过转到Citrix商店。

    

14. 申请许可证后，您可以将配置应用到设备，并像使用任何其他分支一样使用它。有关配置设备的更多信息，请参阅:SD-WAN许可

Azure MCN的互联网突破

为Azure MCN配置internet断接:

1. 在MCN设备中，在广域网接口上配置DHCP IP，并为广域网链路配置公共IP。
2. 在MCN上配置Internet服务。
3. 添加出方向动态端口受限NAT，内部服务为Internet。
4. 在MCN上添加防火墙策略，以允许Azure负载平衡器在端口号500上进行健康探测。

5. 在端口号为80的TCP的Azure外部负载平衡器上添加另一个负载平衡规则，禁用直接服务器返回。

   

6. 在必须连接到internet的终端客户端计算机上，将路由下一跳IP地址设置为内部负载平衡器私有IP地址。MCN中负载均衡器IP配置为LAN VIP。

故障排除

1. 问题:登录使用Azure部署模板创建的新发放的Citrix SD-WAN虚拟机后，界面显示以下警告信息:

   Active OS分区的磁盘使用率为70%

   

   决议:出于安全目的，Azure订阅可以启用一些默认扩展。当一个图像刚刚创建时，waagent在默认路径中安装这些插件，这会增加Active OS分区的使用率。将软件升级到Citrix SD-WAN 11.3或更高版本，将从UI中删除警告信息。

2. 问题:使用Azure部署模板中的用户名登录到Citrix SD-WAN UI时，您将以只读用户身份登录。该虚拟机只能查看配置信息，不能修改配置信息。

   决议:如果您使用在配置实例时创建的用户名，您将获得只读访问权限。要在配置实例后获得admin访问权限，请使用admin作为在配置实例时创建的用户名和密码。

局限性——微软Azure虚拟机

• 在Azure中创建并启动虚拟机后，不能添加或删除接口。可修改虚拟机配置文件(RAM/HD/ cpu)。
• 在虚拟广域网配置文件中添加路由，将所有来自广域网的虚拟广域网数据流量定向到客户端/服务器局域网子网。

Microsoft Azure仅支持网关模式的部署。有关网关模式的详细信息，请参见网关模式。