部署指南:Citrix SD-WAN与Azure Virtual WAN

观众

本文档适用于正在评估Microsoft Azure Virtual WAN和Citrix SD-WAN解决方案的云解决方案架构师、网络设计人员、技术专业人员、合作伙伴和顾问。它也适用于网络管理员、Citrix管理员、托管服务提供商或任何希望部署这些解决方案的人。

概述

本文档重点介绍了Azure Virtual WAN提供的优势、Azure VWAN和Citrix SD-WAN联合解决方案的优势、它们所迎合的用例以及相应的配置指导。

总的来说,部署指南涵盖了如何:

  1. 在Azure虚拟WAN中建立连接

    • Hub-to-Hub连接

    • VNet-to-Hub凝视

  2. 在SD-WAN和Azure VWAN之间建立连接。

    • 利用SD-WAN建立跨区域通信

    • 在SD-WAN上配置HA预期

用例

本文档着重于实现三个设计用于满足组织典型需求的用例。

用例# 1:从全局分布的分支安全地连接到部署在单个Azure区域中的资源。

用例# 2:本地基础设施安全地连接到部署在不同Azure区域的资源。

用例# 3:全球分布的分支位置通过Azure骨干网相互通信。

Azure虚拟WAN:概述

Azure虚拟广域网(VWAN)是微软提供的一种网络服务,它提供高速全球传输网络,并支持跨分支机构、数据中心、集线器和用户的任意对任意安全连接。它支持站点到站点VPN(分支到azure)、用户VPN(点到站点)和ExpressRoute连接。它自动Hub-to-VNet连接(在VNet/工作负载虚拟网络和集线器之间)。客户还可以使用Azure VWAN使用私有Azure主干连接跨区域的分支机构。

Azure VWAN

参考:Azure虚拟WAN流量路径

更好的结合:Azure VWAN和思杰SD-WAN联合解决方案的好处

Citrix SD-WAN提供了安全可靠的WAN边缘解决方案,通过自动化网络部署降低了将分支机构连接到Azure的成本、复杂性和时间。它通过在全球范围内提供高水平的冗余、自动化、监视和控制,增强了Azure Virtual WAN的优势,同时允许您充分利用微软的高速全球骨干网络。

  1. 优势1:SD-WAN自动化网络部署,将数百个分支机构连接到Azure集线器

    建立从数百个本地位置到Azure的站点到站点VPN隧道可能非常耗时且容易出错。思杰SD-WAN与Azure虚拟WAN的集成可以将这一过程的速度提高几个数量级。Citrix SD-WAN Orchestrator提供了一个单一的管理窗格,通过API集成将本地的Citrix SD-WAN设备连接到Azure虚拟WAN。另一种架构是在Azure上部署Citrix SD-WAN VPX(而不是使用Azure Hubs)。这形成了一个带有本地SD-WAN设备的书端解决方案。它可以提高网络的弹性,改善用户的应用体验。SD-WAN VPX实例方法可能受到带宽限制(最大2Gbps),在这种情况下,Azure VWAN解决方案提供了更高的吞吐量能力。

  2. 好处2:SD-WAN降低广域网运营成本

    MPLS和ExpressRoute可以提供连接到Azure VWAN的专用、高速和安全通道。然而,它们通常是昂贵的解决方案,特别是在必须考虑需要连接到私有内部网的所有分支站点时。SD-WAN通过聚合多种经济有效的连接类型(4G/LTE、DSL、Internet等),除了提供从分支连接到Azure资源的更高弹性外,还可以帮助降低WAN的运营成本。根据企业的安全需求,来自一个分支机构的流量可能必须返回到企业总部以确保安全合规性,这会使电路紧张并导致增加的延迟。在Azure上部署虚拟Citrix SD-WAN设备可以通过处理使用Citrix SD-WAN设备中的内置L2-L7防火墙创建的安全策略来提供本地internet突破。这将限制向总部回传流量的需要,从而减少计量计划产生的出口数据费用,并有助于保持用户体验。

  3. 好处3:SD-WAN改善最后一英里的连接

    随着越来越多的工作负载迁移到云端,与远程办公室之间的最后一英里连接变得更加重要。向远程分支机构提供MPLS或ExpressRoute连接可能并不总是可能的——除了纯粹的经济原因之外,提供MPLS或ExpressRoute网络需要时间,并且可能不可行。在远程分支站点上部署SD-WAN可以通过聚合多个网络链接(可以配置为主要和次要)并识别最近的Azure/Microsoft POP来帮助改善到Azure的最后一英里连接体验。通过持续监控网络,SD-WAN可以根据链路质量自动将流量从一条链路引导到另一条链路,为远程用户提供最佳体验。

  4. 好处4:提供网络弹性和优化的WAN体验的书本端解决方案

    虽然可以通过本机IPsec将分支机构连接到Azure VWAN,但单个IPsec隧道可能容易出现数据包丢失和链路拥塞,并且无法降低中断的风险。在某些情况下,任何网络中断都可能导致数百万美元的生产力和收入损失。

    采用在Azure上部署Citrix SD-WAN VPX网络虚拟设备(NVA)的替代方法,与本地SD-WAN设备形成一个卷端解决方案,可以带来许多好处。这些好处包括链路绑定和负载平衡、亚秒级故障转移、选择性数据包复制和双向QoS等,使网络更具弹性,并改善用户的应用程序体验。

  5. 好处5:SD-WAN编排器增强可见性

    Citrix SD-WAN编排器提供单一窗格来管理和跟踪网络运行状况和使用情况。Orchestrator基于模板的克隆简化了SD-WAN的大规模部署和网络扩展,有助于将更改扩展到整个分支机构,并节省了时间。SD-WAN Orchestrator还通过在新的或现有的虚拟网络中配置SD-WAN VPX实例,提供到Microsoft Azure的自动接入点。

参考拓扑

部署在指定区域(例如:Azure VWAN East Hub)的Azure工作负载可以使用Citrix SD-WAN设备通过Internet或4G/LTE连接到多个分支机构位置。在VNet (Virtual Network)基础架构中,SD-WAN VPX (Standard Edition SD-WAN VM)以网关模式部署。

参考拓扑

为了实现上面概述的用例,我们需要在以下实体之间建立连接/配对:

  1. SDWAN VPX和Azure VWAN集线器通过IPsec隧道和BGP对等

  2. Azure VWAN集线器和VNets使用本地和全局VNet对等

  3. 使用虚拟路径的SD-WAN分支设备和SD-WAN VPX(在Azure上)

在这三者中,通过Citrix SD-WAN专有的虚拟路径技术在SD-WAN分支设备和SD-WAN VPX(3)之间建立连接带来了一些功能。这些特性包括逐包负载均衡、选择性包复制和双向QoS,并提供联合解决方案的优点。下面的文档将引导您完成设置Azure Virtual WAN和部署SD-WAN虚拟设备所需的步骤。

Azure配置和网络

在从编排器部署Azure Virtual WAN之前,请确保已经配置了与Azure Virtual WAN相关的资源,并且已经完成了网络设计。这简化了从SD-WAN Orchestrator管理控制台配置Azure Virtual WAN。

这是一个流程图,说明如何创建与Azure Virtual WAN相关的资源。

步骤摘要

请注意当我们遵循这个流程时,您可以在创建资源组之前创建VNet。下面是构建此拓扑时所执行步骤的摘要。后面的小节将详细介绍每个步骤。

步骤摘要

  1. 创建资源组
  2. 分别为东部和西部区域创建一个VNet(针对上面讨论的拓扑结构)

    • 根据Azure中的拓扑结构,这同样适用于不同区域中的任意数量的VNet
  3. 创建Azure虚拟WAN资源
  4. 创建管理东部和西部区域的Azure虚拟广域网集线器(在单个虚拟广域网中具有固有的集线器到集线器连接)。
    • 在东部区域创建Hub。
    • 在西部区域创建Hub。
  5. 将东部和西部地区的VNet(在步骤2中创建)与其各自的集线器对等。
    • 例如,东部区域的虚拟网络将与东部区域的集线器对等,这样它就可以看到SD-WAN子网(从本地连接到Azure中的SD-WAN VPX,最终通过BGP连接到提供子网的集线器)。

创建资源组

1.创建东部区域资源组

  • 为区域创建资源组。在这个架构中,我们将其命名为AzureVWANEastRescGrp。
  • 确保将区域选择为美国东部(对于东部区域工作负载/VNet)。您可以根据拓扑选择在任何区域中提供它。
  • 查看并创建资源组。

    在East创建资源组

2.创建西区资源组

  • 创建资源组,并指定名称。在这个架构中,我们使用了AzureVWANWestRescGrp。
  • 确保将区域选择为US West(对于西部区域工作负载/VNet)。
  • 查看并创建资源组。

    在West创建资源组

在东部和西部各创建一个VNet(根据参考拓扑)

你可以照着做链接为区域创建VNet。

创建Azure虚拟WAN资源

  1. 在Azure搜索栏中搜索“虚拟WAN”,然后单击虚拟广域网

    搜索Azure VWAN

  2. 点击+添加的添加新的虚拟广域网

    单击Add

  3. 开始填写Azure Virtual WAN的基本详细信息

    • 我们选择了在文档开头创建的East Resource组,名为AzureVWANEastRescGrp
    • 选择位置为US East(根据上面的拓扑)
    • 为正在创建的Azure Virtual WAN资源提供一个名称。在本文档中我们命名了它EastUSVWANANDHub

    注意:选择SKU为“STANDARD”,以确保能够实现跨区域的集线器到集线器通信。但是,如果您不需要集线器间通信功能,则可以选择“BASIC”SKU。

    创建广域网

  4. 验证通过后,单击Create验证

  5. 创建资源后,您可以在Azure Virtual WAN的全局部分中找到它。

  6. 如下所示,我们看到“EastUSVWANANDHub”被列出,资源组为AzureVWANEastRescGrp,位置为East US2。

    确认

注意:虽然Azure虚拟WAN资源已部署在East US 2区域的East资源组中,但您可以根据网络拓扑选择将其部署在几乎任何区域/资源组中。

在每个区域创建Azure VWAN集线器

1.为东部地区创建Azure虚拟WAN集线器

选择上一步中创建的“虚拟WAN资源”“EastUSVWANANDHub”

  • 在虚拟WAN资源中,您将在连接性部分下找到“集线器”。

    发现中心

  • 点击中心现在你可以添加一个新的集线器了

  • 点击“+新枢纽”在Hubs部分中,它将打开一个新的配置窗格

    添加中心

  • 输入基本详细信息

    • 选择要在其中创建Hub的区域。
    • 在本例中,区域是US East 2(将在该区域中创建Hub)
    • 给集线器起一个名字。在本例中,它是“EastUSHub”
    • 为这个集线器提供一个唯一的地址空间,这个地址空间不能与这个资源组中的任何其他子网重叠或冗余

    配置虚拟集线器

    • 最重要的一步是配置“站点到站点”部分。
      • 在“是否要创建站点到站点”中选择“是”。
      • ASN是自动填充的,对于这个集线器,它将是65515。
      • 根据您的需要选择网关刻度单位。
        • 在本例中,它被选择为1 Scale Unit - 500mbps x 2

      注意:将所有其他部分保留为默认值

    • 点击“审查和创建”在东部区域创建Azure虚拟WAN中心。
    • 集线器创建过程可能需要30分钟才能完成。

    配置虚拟集线器

    • 创建资源之后,在Virtual WAN下的Hub部分中,您将看到Geo地图下的一个新条目,其名称为我们创建的Hub。
      • 中心状态反映为“成功”。
      • 地址空间必须与我们配置的一致。
      • 由于没有VPN站点仍然连接,计数为“0”。我们将在后续步骤中连接VPN站点。

    配置虚拟集线器

    • 单击EastUSHub链接,并验证以下属性:
      • 路由状态—已发放
      • 集线器状态-成功
      • 地点-美国东部
      • VPN网关发放状态—发放成功

    验证状态

2.为西部地区创建Azure虚拟WAN集线器

  • 在虚拟广域网资源EastUSVWANANDHub(我们最初在其中配置了我们的美国东部集线器)中,您将在连接性部分下找到“集线器”。

  • 点击中心添加一个新的集线器。

    添加一个新的集线器

  • 输入基本详细信息
    • 选择要在其中创建Hub的区域。
    • 在本例中,区域是US West 2(中心将在此区域创建)
    • 给集线器起一个名字。在本例中,它是“WestHubUS”。为这个集线器提供一个唯一的地址空间,这个地址空间不能与这个资源组中的任何其他子网重叠或冗余。

    配置中心

  • 最重要的一步是配置“站点到站点”部分。
    • 选择“是否要创建站点到站点(VPN网关)”为“是”。
    • ASN是自动填充的,对于这个集线器,它将是65515
    • 根据您的选择选择网关规模单位(吞吐量的定义)
      • 在这里,我们选择了1个扩展单元- 500mbps × 2

    注意:将所有其他部分保留为默认值。

    配置中心

  • 点击“审查和创建”在西区建立虚拟广域网中心。
  • 创建集线器是一个耗时的过程,可能需要大约30分钟才能完成创建。

    查看和创建中心

  • 资源创建完成后,可以查看资源的状态WestHubUS通过单击WestUSHub链接,在地理地图下面。它将带您进入Hub的详细信息部分。可以通过以下方式验证属性的状态:

    • 路由状态—已发放
    • 集线器状态-成功
    • 地点-美国西部
    • VPN网关发放状态—发放成功

    确认

将VNet连接到集线器

1.将东部虚拟网络连接到东部集线器

  • 2 .在虚拟广域网资源“EastUSVWANANDHub”内,单击“虚拟网络连接”并点击“+添加连接”

    添加连接

填写连接的详细信息,以便将美国东部地区的VNet1对等到虚拟集线器

  1. 连接名称—虚拟网络连接名称—VNet1EastPeerHub
  2. Hubs -与之对等的Hub的名称- EastUSHub
  3. 订阅-确保选择用于创建虚拟WAN和虚拟集线器资源的订阅
  4. 资源组-将是我们试图与中心对等的东部区域VNet的资源组
  5. 虚拟网络-与我们将对等的东部区域资源组相关联的VNet
  6. 传播到None -设置为NO
  7. 关联路由表—选择“默认”
  8. 传播到路由表-选择Default(EastUSHub),这是East资源VNets的默认路由表
  9. 把别人当成默认
  10. 点击“创造”

    配置连接

  • 创建后,虚拟网络将类似于以下快照。这样可以将East VNet的前缀传播到EastUSHub (Virtual Hub),并允许EastUSHub将自己拥有的前缀(通过BGP)传播到East VNet的路由表中。

    验证连接

2.将东部虚拟网络连接到西部枢纽

  • 2 .在“虚拟广域网资源EastUSVWANANDHub”中,单击“虚拟网络连接”并点击“+添加连接”
  1. 连接名称-虚拟网络连接名称- WestHubVNet1Peer
  2. Hub -与之对等的Hub的名称- WestHubUS
  3. 订阅-确保选择用于创建虚拟WAN和虚拟集线器资源的订阅
  4. 资源组-将是西部地区VNet的资源组,我们正在尝试与集线器对等
  5. 虚拟网络-与我们对等的西部地区资源组相关联的VNet
  6. 传播到None -设置为NO
  7. 关联路由表—选择“默认”
  8. 传播到路由表-选择Default(WestHubUS),这是West资源VNets的默认路由表
  9. 把别人当成默认
  10. 点击“创造”

    配置连接

  • 创建后,虚拟网络连接将类似于下面的快照。这样可以将West VNet的前缀传播到westthubus (Virtual Hub),并允许westthubus将自己拥有的前缀(通过BGP)传播到West VNet的路由表中。

    验证连接

SD-WAN编排器必备条件

1.在Azure中配置SD-WAN实例

  • 在Azure上配置一个SD-WAN虚拟设备,分别作为主MCN(主控制节点)和东- us2和西- us2区域上的辅助/地理MCN。

    主MCN和辅助/地理MCN服务于特定的用例(根据我们的参考拓扑)。但是,SD-WAN VPX也可以部署在分支模式下。

    MCN充当SD-WAN网络中的控制器,并摄取Azure api以与Azure Virtual WAN资源建立站点到站点的连接。MCN充当SD-WAN覆盖层的主控制器。当主MCN出现故障时,从MCN /Geo MCN会接替控制器的角色,为该控制器的功能提供冗余。

  • 要在Azure上配置Citrix SD-WAN VPX,您可以参考此文档文档

    注意:在浏览上述文档时,您可以看到提到了10.2,但在市场上搜索时,您会找到“Citrix SD-WAN标准版10.2.5”或“Citrix SD-WAN标准版11.0.3”。您可以根据Citrix SD-WAN网络其余部分的固件版本选择这些版本中的任何一个。

  • 在Azure中配置了Citrix SD-WAN VPX之后,我们需要通过SD-WAN编排器来完成配置。

    注意:在SD-WAN Orchestrator中开始配置之前,请准备好以下信息。

2.Azure中SD-WAN VPX实例的序列号

  • 您可以转到Azure中的串行控制台,并在实例的CLI中输入管理凭据,然后键入“system_info”并输入命令。您可以在这里找到设备/实例的序列号。
  • 否则,您可以转到Azure实例虚拟机,单击网络,然后获取管理接口的Public IP,如下所示。

    获取管理接口的公共IP

  • 获得公共IP后,您可以访问设备,在任何浏览器(CHROME/FIREFOX/SAFARI)中使用https:// < public_IP >并提供登录的管理凭据。
  • 设备的仪表板将打开。请注意序列号以备将来使用。

3.从Azure获取vpx的LAN和WAN接口ip

  • 在发放“主MCN”和“从/Geo MCN”ip时,需要获取LAN接口ip和WAN接口ip
  • 您可以从每个Azure主MCN和辅助/地理MCN的“网络”部分获得相同的信息
  • 例如,主MCN LAN IP是10.1.1.4(如下面的快照所示)
    • 对Secondary/Geo MCN执行相同的操作,并记录其LAN IP

    获取主MCN的IP地址

  • 主MCN WAN IP为10.1.2.4。如下图所示

    • 对Secondary/Geo MCN执行相同的操作,并记录其WAN IP

    获取备MCN WAN IP地址

  • 您可以在网络部分中的虚拟机(MCN/Geo MCN)的WAN接口中获取此信息。

  • 在任何管理基础设施上,在设备的WAN链路创建期间,必须将主MCN和从/地理MCN等控制器配置为静态公共IP地址。如果VPX以分支方式部署,也可以动态获取IP地址。

    获取主MCN公网IP地址

  • 在这一点上,我们手边有以下信息。

    流程图

下一个步骤:

  • 使用上述MCN、Secondary / Geo-MCN和分支机构的所有信息配置SD-WAN编排器。按照以下步骤,使用标准Orchestrator配置实践完成本地SD-WAN设备上的配置链接

5.创建Azure服务主体

在订阅中创建Azure服务主体,以启用从SD-WAN Orchestrator管理部署(自动化)的编程方式。Microsoft Azure要求每个需要由第三方以编程方式管理的资源,关联一个IAM角色并创建一个应用程序注册,以利用外部资源自动化的优势。

要做到这一点,请遵循概述的步骤在这里。有关更多详细信息,您可以参考附录部分。

6.在SD-WAN编排器中填写Azure身份验证凭据

  • 在订阅中创建Azure主体,以支持以编程方式管理部署。
  • 记下Azure主体的CLIENT ID、CLIENT SECRET和租户/目录ID,包括Azure订阅详细信息。
  • 在“全局设置”下,单击配置->交付服务-> Azure虚拟广域网单击服务的“设置”图标。
  • 单击Authentication链接。它会弹出您已经准备好的详细信息。
  • 仔细输入详细信息并保存。如果SAVE成功,您将在下一步中看到在订阅中配置的虚拟WAN和集线器。如果无法看到,请仔细检查详细信息,清除身份验证详细信息,然后再试一次。

    Azure身份验证凭证

在SD-WAN编排器上创建Azure虚拟WAN服务

1.的必备条件

如果你已经做到了这一点,你必须已经创建了Azure虚拟广域网和虚拟集线器,你希望SD-WAN站点与虚拟广域网形成连接。在完成先决条件之前,不建议进入本节。

2.将DCMCN站点与虚拟WAN资源和虚拟集线器关联

  • 在“全局配置”中,单击配置->交付服务->单击Azure虚拟广域网的设置图标

    添加站点

  • 一旦选择了服务,您将被带到Virtual WAN Automated配置页面。
  • 点击“+网站”。

    VWAN创建验证

  • 根据Azure订阅的身份验证和其他主体详细信息是否成功,您现在将看到Azure虚拟WAN填充了配置为订阅一部分的所有vwan。

A.为虚拟广域网集成添加站点、配置和部署站点**

现在对于这个架构,MCN将与East REGION相关联并连接到eastthubus。
  • 选择EastUSVWANANDHub,这是我们创建东西集线器的虚拟广域网。
  • 选择EastUSHub

    提名DCMCN站点

  • 选择站点为“DCMCN”
    • 在这里可以看到站点,因为站点已经是配置的一部分,已分阶段并已激活
  • 查看并保存信息

    评论网站

    • 保存之后,您将开始看到自动化启动,SD-WAN将通过推送配置信息来准备站点,并配置SD-WAN端和Azure端,以成功建立VPN站点。

      • 当配置生效时,您将看到“已推送站点信息-等待VPN配置”通知。
      • 当一切顺利时,它就会显示出来站点发放成功
      • 此时,Azure Virtual WAN配置已自动完成。接下来,我们必须在设备上激活它来初始化IPsec隧道。

    检查配置

    • 作为Azure Virtual WAN自动化的一部分,SD-WAN编排器开始使用Azure API,并准备SD-WAN设备配置焦点(DCMCN)进行自动化。

      • 在自动化过程中的这一方面,我们从两个方面进行治理。从SD-WAN设备获取所有信息,以便在Azure上提供IPsec和BGP端点。
      • 与Azure对话并获得在SD-WAN设备上配置IPsec和BGP端点的详细信息。
      • IPsec隧道建立成功后,BGP对等体建立。
      • 这使得DCMCN可以通过虚拟路径交换学到的网络前缀,包括到路由器的本地路由EastUSHub通过边界网关协议。

B. SD-WAN端详细信息**

  • 从可用的WAN链路中,自动化脚本将选择一个本地BGP对等端点作为本地ip
  • 选择Tunnel与公网IP端点组成广域网接口

C. Azure侧详细信息**

  • 正如您在下面的快照中看到的,自动化脚本已经从Azure中为EastUSHub收集了信息,以获得以下详细信息:
    • 地区
    • 公网IP地址-隧道端点(单个集线器的主/被动VPN隧道)。但两条隧道都将建成。数据路径将通过主通道处理,并在故障转移前夕使用辅助通道。
    • 从EastUSHub配置中获取的GP私有端点
    • BGP asn - 65515
  • Hub使用从Azure获得的标准IPsec/IKE参数,以便也可以准备具有类似属性的本地端点DCMCN,以便在协商成功后形成IPsec隧道。

    Azure VWAN隧道配置状态

3.准备SD-WAN虚拟WAN自动配置连接MCN到虚拟WAN集线器

  • 在用各自的集线器完成MCN和Secondary / Geo-MCN的配置后,是时候将它们一次性自动部署到Azure-Virtual WAN上了。

    Azure VWAN和站点配置状态

  • 您可以看到站点(添加集线器后)处于“站点供应成功”状态。

    站点发放状态

4.从SD-WAN编排器激活配置以启用Azure Virtual WAN自动化

  • 选择配置>网络配置Home

    站点发放状态

  • 选择部署配置/软件>阶段

    站点发放状态

  • 选择激活

    站点发放状态

验证虚拟广域网服务状态

注意:单击“信息”图标,以获取有关Azure Virtual WAN隧道配置和状态的详细信息。

所有站点->配置->交付服务-> Azure虚拟WAN ->点击任何激活站点的“I”(信息图标)。

  • 在MCN (EastUSHub)上验证IPsec隧道是否正常运行
    • 我们可以看到提供了两个Azure Virtual WAN实例。第二个实例的函数为- standby以防任何故障转移。
    • 默认情况下,Azure Virtual WAN自动化负责启用两个实例的IPsec隧道,因此根本不需要人工干预。
    • 还要注意,尽管两条隧道都启动并运行,但始终只有一条活动隧道处理数据路径上的连接和数据包。

    在MCN上验证隧道

  • 验证从MCN (WestHubUS)上IPsec隧道是否正常运行

    在从MCN上验证隧道

自动部署后验证SD-WAN与Hub之间的IPsec隧道

1.在EastUSHub上验证创建VPN站点

在此步骤中,我们验证在EastUSHub中创建了一个新的VPN站点。此站点将作为DCMCN站点(通过SD-WAN Azure Virtual WAN自动化完成)。
  • 请注意我们看到地理地图下的“VPN站点”部分表,表明EastUSHub连接了1个VPN站点,这是我们的MCN设备。

    美国东部枢纽概述

  • 单击EastUSHub链接。它会带我们去钻探东方地质中心。
  • 点击“概述”查看VPN连接站点的数量。我们看到1个连接的站点(与我们的MCN)。

    美国东部枢纽统计

  • 点击VPN (Site to Site)检查连接状态是否为“成功”和“连接”到DCMCN (SD-WAN MCN)

    连接状态

2.验证在WestHubUS中创建VPN站点

在此步骤中,我们验证在WestHubUS中创建了一个新的VPN站点。该站点将作为DCGEOMCN站点(通过SD-WAN Azure Virtual WAN自动化完成)
  • 请注意我们看到地理地图下的“VPN站点”部分表,表明WestHubUS连接了1个VPN站点,这是我们的geo - mcn设备“DCGEOMCN”。

    美国西部枢纽概述

  • 单击WestHubUS这个链接将带我们到西地球中心的钻探

  • 在这里,我们可以看到“概述”显示VPN连接站点的数量,目前为1(使用我们的MCN)。

    美国西部枢纽统计

  • 点击VPN (Site to Site)检查连接状态“成功”和“连接”到辅助MCN (SD-WAN Geo MCN)。

    连接状态

SD-WAN MCN到EastUSHub路由

  • 下一跳类型:最重要的是,下一跳类型表明路由是如何学习和安装到路由表中的

  • 下一跳类型为VPN_S2S_Gateway
    • 通过VPN_S2S_Gateway接收到的所有路由都是与部署了Azure自动化的SD-WAN集成了IPsec+BGP的路由。
    • 检查EastUSHub路由表,检查BGP传播SD-WAN从MCN学习到的路由是否正确。
    • 在EastUSHub路由中,主要路由通过MCN通过SD-WAN的AS号(配置为42472)安装(自动化过程中自动处理)。
  • 如果下一跳类型为:虚拟网络连接
    • 这将是安装的所有路由,因为这些路由是通过EastUSHub和East VNet之间的对等连接安装的。
  • 如果下一跳类型为:Remote Hub
    • 这将是由WestHubUS Hub(在同一个Azure Virtual WAN实例下创建)传播的所有路由。
    • 我们还可以看到,远程集线器类型的路由适当地附加了Origin和AS路径,以避免路由循环。
    • 该表包含从EastUSHub通过westthubus Hub传播的所有不同的vnet(与WestHub对等)。

    EastUSHub路由

SD-WAN GEOMCN到WestHubUS路由

验证WestHubUS路由表,检查BGP传播的SD-WAN是否从Secondary-MCN学习到了路由。

  • 下一跳类型:最重要的是,下一跳类型表明路由是如何学习和安装到路由表中的。

  • 下一跳类型为VPN_S2S_Gateway
    • 通过VPN_S2S_Gateway接收的所有路由都是与部署了Azure自动化的SD-WAN集成了IPsec+BGP的路由。
    • 2 .检查WestHubUS路由表,检查BGP传播SD-WAN从从MCN学习到的路由是否正确。
    • 在WestHubUS路由中,主要路由通过配置为22338的SD-WAN的AS号通过MCN安装(自动化时自动处理)。
  • 如果下一跳类型为:虚拟网络连接
    • 这将是安装的所有路由,因为这些路由是通过West VNet在West thubus和West VNet之间对等连接的。
  • 如果下一跳类型为:Remote Hub
    • 这将包含由WestHubUS Hub(在同一个Azure Virtual WAN实例下创建)传播的所有路由。
    • 我们还可以看到,远程集线器类型的路由适当地附加了Origin和AS路径,以避免路由循环。
    • 该表包含了通过EastUSHub Hub从westthubus传播的所有不同的vnet(通过East Hub对等于East区域)。

    WestHubUS路由

验证East VNet到EastTUSHub的路由传播

在这一步中,我们验证路由正在使用全局VNet对等从East VNet传播到East VWAN集线器- EastUSHub。

  • 检查EastUSHub是否将其缺省路由表中的MCN学习前缀提供给了在East US2区域内与其对等的VNet
  • 查看EastUS2 VNet的路由表,确认路由是否正确
  • VNet是Azure中工作负载的实际起源和目的地,我们必须理解VNet已经融合到包含正确的路由流/信息,以远程到达SD-WAN的子网/前缀
  • VNets上的大多数路由将直接通过虚拟网络网关(即它们连接的集线器)进行路由
  • 在这种情况下,EastUSHub是East VNet路由表中所有路由的原点
  • VNet对等下一跳类型将是由VNet对等创建的Azure虚拟WAN前缀的实际前缀。
  • 虚拟网络将是虚拟网络本身的本地地址

    验证EastHub路由传播

    验证EastHub路由传播

验证从West VNet到westthubus的路由传播

在这一步中,我们验证路由正在使用全局VNet对等从West VNet传播到West VWAN集线器- WestHubUS

  • 验证WestHubUS是否向West US2区域的VNet提供了从其默认路由表中获知的GEOMCN前缀的可见性
  • 查看WestUS2 VNet的路由表,确认路由是否正确
  • VNet是Azure中工作负载的实际起源和目的地,我们必须理解VNet已经融合到包含正确的路由流/信息,以远程到达SD-WAN的子网/前缀
  • VNets上的大多数路由将直接通过虚拟网络网关(即它们连接的集线器)进行路由
  • 在这种情况下,WestHubUS是西VNet路由表中所有路由的起源
  • VNet对等下一跳类型将是由VNet对等创建的Azure虚拟WAN前缀的实际前缀
  • 虚拟网络将是虚拟网络本身的本地地址

    验证WestHub路由传播

    验证WestHub路由传播

行动呼吁

如果您还没有尝试过Azure Virtual WAN,请转到portal.azure.com。如果您想亲身体验SD-WAN解决方案的好处,请随时要求免费试用在这里

附录

创建Azure服务主体

1.注册应用程序

在订阅中创建Azure服务主体,以启用从SD-WAN编排器管理部署(自动化)的编程方式。Microsoft Azure规定,每个需要由第三方以编程方式管理的资源都需要关联一个IAM角色,并创建一个应用程序注册,以利用外部资源自动化的优势。

应用程序注册

注册应用程序

添加客户端秘密

注意:一旦你为应用程序创建了客户端秘密,记录下来或立即复制到某个地方,以便以后参考。

2.记下Azure服务主体的详细信息

  • 记下客户端ID、客户端SECRET和租户/目录ID,包括您的Azure订阅详细信息。
  • 您将从您创建的应用程序(Azure服务主体)获得CLIENT ID, CLIENT SECRET和TENANT ID
  • 订阅ID -你可以从Azure的“订阅”部分获取
  • 客户端ID -也称为应用程序ID,您可以从下面新注册的应用程序的概述部分获得
  • 目录ID -也称为租户ID,您可以从下面新注册的应用程序的概述部分获得

复制Azure主体详细信息

  • 客户端秘密-创建客户端秘密后立即记录或复制它。此步骤对于验证订阅帐户和验证创建的应用程序是否有资格管理您希望在其上启用自动化的资源的可编程性(在Azure中)非常重要。

复制Azure主体详细信息

3.将Azure服务主体关联到资源

  • 进入“WAN虚拟资源”“EastUSVWANANDHub”
  • 访问控制(IAM)
  • 点击“添加”按钮添加角色分配下面突出显示的部分
  • 您也可以单击角色分配节,然后单击“+加”(旁边下载角色分配)向服务主体添加IAM角色。

复制Azure主体详细信息

  • 一旦你点击“添加”,您将在右侧看到一个弹出窗格,用于添加角色
    • 选择角色输入“贡献者”
    • 离开分配访问默认设置(Azure AD用户、组或服务主体)
    • 选择部分中,您可以搜索您创建的应用程序,称为“orchestrator”。这只是一个字符串,我们可以自定义命名。在通过orchestrator自动化配置时,使用名为“orchestrator”的字符串作为Azure主体不会产生混淆)。
      • 搜索成功后,您可以选择应用程序。
    • 选择“保存”按钮。(至此结束了Azure服务主体的创建和与资源的关联)

复制Azure主体详细信息

部署指南:Citrix SD-WAN与Azure Virtual WAN

在本文中