Citrix SD-WAN Platforms

Installation de l’AMI SD-WAN VPX Standard Edition sur AWS

Les appliances Citrix SD-WAN SE lient plusieurs chemins réseau dans le chemin virtuel unique. Les chemins virtuels sont surveillés de manière à ce que les chemins d’application critiques soient toujours routés via des chemins optimaux. Cette solution permet aux clients de déployer des applications dans le cloud et d’utiliser plusieurs réseaux de fournisseurs de services pour une livraison transparente des applications aux utilisateurs finaux.

Pour créer un SD-WAN SE-VPX sur Amazon Web Services (AWS), vous passez par le même processus qu’avec la création d’une autre instance, en définissant quelques paramètres d’instance sur des paramètres autres que par défaut.

Instanciation d’une appliance virtuelle (AMI) SD-WAN sur AWS :

Pour installer une appliance virtuelle SD-WAN dans un VPC AWS, vous avez besoin d’un compte AWS. Vous pouvez créer un compte AWS à l’adressehttp://aws.amazon.com/.Le SD-WAN est disponible sous la forme d’une Amazon Machine Image (AMI) dans AWS Marketplace.

Remarque: Amazon apporte des modifications fréquentes à ses pages AWS, de sorte que les instructions suivantes peuvent ne pas être mises à jour.

Pour instancier une appliance virtuelle (AMI) SD-WAN sur AWS :

  1. Dans un navigateur Web, tapezhttp://aws.amazon.com/
  2. Cliquez surMon compte/Console, puis surMy Accountpour ouvrir la pageConnexion à Amazon Web Services
  3. Utilisez les informations d’identification de votre compte AWS pour vous connecter. Cela vous amène à la page Amazon Web Services.

Les appliances Citrix SD-WAN SE offrent les instances de service AWS suivantes :

  • VPC Dashboard - partie isolée du cloud AWS peuplée par des objets AWS, tels que les instances EC2
    • Activé par la création d’un VPC dans AWS. Reportez-vous aux étapes de configuration suivantes.
  • EC2 Dashboard - cloud de calcul élastique, services virtuels/instances redimensionnables
    • Activé par la création d’une AMI SD-WAN NetScaler. Voir ci-dessous pour les étapes de configuration.
    • CIDR — Bloc de routage interdomaine sans classe, composé d’une plage d’adresses IP continue, utilisé pour spécifier votre VPC (ne peut pas dépasser 16 régions).

Interface Web SD-WAN

  • Configurer l’AMI SD-WAN Citrix (anciennement NetScaler SD-WAN)

Voici la configuration requise et les limites du déploiement de l’AMI SE-VPX SD-WAN dans AWS :

Exigences minimales

  • Type d’instance AWS EC2: c4.2xlarge, c4.4xlarge, c5.xlarge, c5.2xlarge, c5.4xlarge, m4.4xlarge, m4.4xlarge, M5.2xlarge, m5.4xlarge
  • Processeur virtuel: 8
  • RAM: 15 Go
  • Stockage: 160 Go
  • Interfaces réseau: minimum de 2 (une gestion, une pour LAN/WAN)
  • BYOL— Apportez votre propre licence et abonnement

À partir de la version 11.3, Citrix SD-WAN a introduit la prise en charge des instances M5 et C5. Les nouvelles régions AWS, telles que Hong Kong et Paris, ne prennent en charge que les instances M5 et C5.

Les instances M5 et C5 ont des performances matérielles améliorées et sont conçues pour les charges de travail plus exigeantes. Les instances M5 et C5 offrent un meilleur rapport prix/performances que les instances M4 sur une base par cœur.

REMARQUE

Les实例M5 et C5是联盟企业在收取标准tir d’une nouvelle disposition de version 11.3 et supérieure uniquement. Pour continuer à utiliser les instances M5 et C5, vous ne pouvez pas rétrograder à partir de la version 11.3 car les instances M5 et C5 ne sont pas prises en charge sur aucune version de microprogramme antérieure à la version 11.3.

Limitations

  • AWS n’autorise pas le pontage de l’interface, de sorte que Fail-to-Wire n’est pas une option pour configurer les groupes d’interface.

  • Instances provisionnées avec les versions 10.2.4/11.2.1, les AMI ne peuvent pas modifier leur type d’instance en M5/C5.

SD-WAN Citrix (anciennement NetScaler SD-WAN) avec AWS

SD-WAN SE dans AWS

Deploiement de disp AWS用一个区域一个区域onibilité spécifiée. Dans cette infrastructure Virtual Private Cloud (VPC), l’AMI SD-WAN Standard Edition (Amazon Machine Image) est déployée en tant que passerelle VPC.

  • Le VPC privé a des routes vers la passerelle VPC.
  • L’instance SD-WAN a une route vers AWS VGW (VPN Gateway) pour la connexion directe et une autre route vers IGW (Internet Gateway) pour la connectivité Internet.
  • Connectivité entre le centre de données, la succursale et le cloud en appliquant différents modes de transport utilisant simultanément plusieurs chemins WAN.
  • Apprentissage automatique des itinéraires avec OSPF et BGP.
  • Tunnel IPsec unique sur plusieurs chemins où la renégociation de la sécurité n’est pas requise lors d’une défaillance de liaison.

Image localisée

Dans AWS, un sous-réseau et une adresse IP doivent être définis pour chaque interface AMI SD-WAN. Le nombre d’interfaces utilisées dépend du cas d’utilisation du déploiement. Si l’objectif est d’accéder de manière fiable aux ressources applicatives situées sur le côté LAN du VPX (à l’intérieur de la même région), le VPX peut être configuré avec trois interfaces Ethernet : une pour la gestion sur eth0, une pour le LAN sur eth1 et une pour WAN sur eth2.

Alternativement, si l’objectif est de trafic en épingle à cheveux via le VPX vers une autre région ou vers l’Internet public, le VPX peut être configuré avec deux interfaces Ethernet : une pour la gestion sur eth0 et une seconde pour LAN/WAN sur eth1.

Présentation de l’AMI SE SD-WAN dans AWS

  1. Créer un VPC dans AWS à l’aide du tableau de bord VPC

Pour commencer à utiliser le cloud privé virtuel Amazon, vous devez créer un VPC, qui est un réseau virtuel dédié à votre compte AWS.

  • Définissez les blocs/sous-réseaux CIDR et affectez à VPC - pour identifier le périphérique dans le réseau. Par exemple. 192.168.100.0/22 est sélectionné pour le VPC dans l’exemple de diagramme de réseau englobant les sous-réseaux WAN, LAN et Gestion (192.168.100.0 — 192.168.103.255) - 192.168.100.0/22
  • Définir une passerelle Internet pour le VPC — pour communiquer avec l’environnement en dehors du cloud
  • Définir le routage pour chaque sous-réseau défini - pour la communication entre les sous-réseaux et Internet
  • Définir les listes de contrôle d’accès réseau (Access Control List) - pour contrôler l’entrée et la sortie du trafic depuis/vers le sous-réseau à des fins de sécurité
  • Définir un groupe de sécurité - pour contrôler l’entrée/sortie du trafic de/vers chaque instance du périphérique réseau

Créez une AMI Citrix SD-WAN :

  • Pour plus d’informations, reportez-vousMeilleures pratiques EBSauxMeilleures pratiques incontournables pour le chiffrement Amazon EBS

  • Pour définir des groupes de sécurité, la stratégie doit ressembler à la suivante :

    • Sortant : Autoriser tout le trafic
    • Entrant :
    • SSH à partir de toutes les adresses IP ou sous-réseaux à partir desquels l’adresse IP de gestion sera accessible.
    • Tout le trafic provenant de vos VPC AWS (IP privées)
    • Tout le trafic provenant des IP publiques côté WAN des appliances homologues Citrix SD-WAN hébergées sur site ou dans le cloud.
  • Définir les interfaces réseau pour l’instance EC2
  • Créer des adresses IP élastiques pour l’instance EC2
  • Définir la sécurité pour l’instance EC2 et les interfaces réseau

Connectez-vous à l’interface Web SD-WAN :

  • Licence
  • Installation d’identification à l’aide de la gestion des modifications

Créer un VPC dans AWS - Virtual Private Cloud (VPC)

Pour créer un VPC :

  1. Dans la barre d’outils AWS Management Console, sélectionnezServices>VPC(Networking & Content Delivery).

    Créer un écran VPC1

  2. Sélectionnez vosVPC, puis cliquez sur le boutonCréer un VPC

    Créer un écran VPC2

  3. Ajoutez la baliseNom, le bloc CIDR en fonction de votre diagramme de réseau et Tenancy = par défaut, puis cliquez surOui, Créer

    Créer un écran VPC3

Définir une passerelle Internet pour le VPC

Pour définir la passerelle Internet pour le VPC :

  1. Dans la console de gestion AWS, sélectionnezGateways Internet>Créer une passerelle Internet.Le trafic de passerelle Internet correspondant à la route 0.0.0.0/0 peut être configuré dans la table de routage. Il est également nécessaire pour l’accès externe à l’interface Web AMI SD-WAN pour une configuration ultérieure.

    Créer un écran VPC4

  2. Donnez à l’IGW une balise Name, puis cliquez surOui, Créer

    Créer un écran VPC5

  3. Sélectionnez l’IGW nouvellement créé et cliquez surAttacher au VPC

    Créer un écran VPC6

  4. Sélectionnez le VPC précédemment créé et cliquez surOui, Attacher

    Créer un écran VPC7

Définir des sous-réseaux pour le VPC afin de différencier la gestion, le réseau local et le WAN

Pour définir des sous-réseaux pour VPC :

  1. Dans la console de gestion AWS, sélectionnezSous-réseaux>Créer des sous-réseauxpour créer des sous-réseaux Mgmt, LAN et WAN. Utilisez les sous-réseaux définis pour distinguer les sous-réseaux LAN, WAN et Mgmt définis dans la configuration SD-WAN.

    Créer un écran VPC8

  2. Entrez les détails spécifiques au sous-réseau de gestion du VPX, puis créez-le à l’aide du boutonOui, Créer
    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC :
    • Zone de disponibilité :<à votre="" discrétion="">à>
    • Bloc CIDR : sous-réseau spécifique au nom défini (Mgmt, LAN ou WAN) qui est un sous-ensemble plus petit du CIDR précédemment défini

    Créer un écran VPC9

  3. Répétez le processus jusqu’à ce que vous ayez créé un sous-réseau pour les réseaux Mgmt, LAN et WAN.

    Créer un écran VPC11

Définir des tables de routage pour le sous-réseau de gestion

Pour définir des tables de routage :

  1. Dans AWS Management Console, sélectionnezTables de routage>Créer une table de routagepour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN.

    Créer un écran VPC12

  2. Saisissez le détail du sous-réseau Mgmt
    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : Le VPC créé précédemment

    Créer un écran VPC14

  3. La table de routage nouvellement créée étant toujours en surbrillance, sélectionnezAssociation de sous-réseau>Modifier

    Créer un écran VPC13

  4. Faites l’association avec le sous-réseau souhaité, puis cliquez surEnregistrer

    Créer un écran VPC15

  5. Avec la table de routage nouvellement créée toujours en surbrillance, sélectionnezItinéraires>Modifier

    Créer un écran VPC16

  6. Cliquez sur le boutonAjouterun autre itinéraire (uniquement requis pour les sous-réseaux de gestion et WAN), puissur Enregistrer

    • Destination : 0.0.0.0/0
    • Cible : La passerelle Internet (igw-xxxxxxx précédemment définie)

    Créer un écran VPC17

Remarque

AWS fournit une table de routage globale dans l’instance EC2, mais l’AMI NetScaler SD-WAN utilise des tables de routage locales afin que l’utilisateur puisse contrôler le transfert du trafic vers le chemin virtuel.

Définir des tables de routage pour le sous-réseau WAN

Pour définir des tables de routage :

  1. Dans AWS Management Console, sélectionnezTables de routage>Créer une table de routagepour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN.

    Créer un écran VPC18

  2. Entrez les détails du sous-réseau WAN :

    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : Le VPC créé précédemment
  3. La table de routage nouvellement créée étant toujours en surbrillance, sélectionnezAssociation de sous-réseau>Modifier

    Créer un écran VPC19

  4. Faites l’association avec le sous-réseau souhaité, puis cliquez surEnregistrer
  5. Avec la table de routage nouvellement créée toujours en surbrillance, sélectionnezItinéraires>Modifier
  6. Cliquez sur le boutonAjouterun autre itinéraire (uniquement requis pour les sous-réseaux de gestion et WAN), puissur Enregistrer

    • Destination : 0.0.0.0/0
    • Cible : (igw-xxxxxxx défini précédemment)

    Créer un écran VPC 20

Définir des tables de routage pour le sous-réseau LAN

Pour définir des tables de routage pour le sous-réseau LAN :

  1. Dans AWS Management Console, sélectionnezTables de routage>Créer une table de routagepour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN.

    Créer un écran VPC 21

  2. Entrez les détails du sous-réseau LAN :

    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : Le VPC créé précédemment
  3. La table de routage nouvellement créée étant toujours en surbrillance, sélectionnezAssociation de sous-réseau>Modifier
  4. Faites l’association avec le sous-réseau souhaité, puis cliquez surEnregistrer

    Créer un écran VPC22

Remarque

Pour acheminer le trafic côté LAN via SD-WAN, associez la destination cible en tant qu’ID d’interface LAN SD-WAN dans la table de routage du réseau local SD-WAN. La cible de n’importe quelle destination ne peut être définie sur id d’interface qu’après avoir créé l’instance et attaché des interfaces réseau à cette instance.

Créer une AMI SE SD-WAN

Pour créer l’instance EC2 :

  1. Dans la barre d’outils AWS Management Console, sélectionnezServices>EC2 (Calcul)

    Créer un écran VPC23

  2. Sélectionnez la barre d’outils du tableau de bordEC2, sélectionnezInstances>Lancer l’instance

    Créer un écran VPC 24

  3. Utilisez l’ongletAWS Marketplacepour rechercher l’Amazon Machine Image SD-WAN (AMI) ou utilisez l’ongletMes AMIpour localiser une AMI SD-WAN détenue ou partagée, recherchezCitrix NetScaler SD-WAN Standard Edition, puis cliquez surSélectionner

    Créer un écran VPC25

  4. Confirmez la sélection avecContinuer
  5. Dans l’écranChoisir un type d’instance, sélectionnez letype d’instance EC2identifié lors de la préparation, puis sélectionnezSuivant : Configurer les détails de l’instance

    Créer un écran VPC 26

  6. Entrez les détails de l’instance (tout ce qui n’est pas spécifié doit être laissé désactivé/par défaut) :
    • Nombre d’instances : 1
    • Réseau : sélectionnez VPC précédemment créée>
    • Sous-réseau : sélectionnez Sous-réseau de gestion précédemment défini
    • Affectation automatique de l’adresse IP publique : activée
    • Interfaces réseau > IP principale: saisissez l’adresse IP de gestion prédéfinie

    Créer un écran VPC 28

  7. Cliquez surSuivant : Ajouter du stockage

    Créer un écran VPC 27

    Remarque

    Associez l’instance EC2 au sous-réseau Mgmt pour associer la première interface EC2 (eth0) à l’interface de gestion SD-WAN. Si eth0 n’est pas associé à l’interface SD-WAN Mgmt, la connectivité est perdue suite à un reboot.1.

  8. Entrez les informations suivantes pour le stockage racine :
    • Type de volume : Usage général (SSD) GP2
  9. Sélectionnez ensuiteSuivant : Tag Instance

    Créer un écran VPC 29

  10. Donnez un nom à l’instance EC2 en spécifiant une valeur pour la balise denompar défaut. Vous pouvez également créer d’autres balises souhaitées.

    Créer un écran VPC30

  11. Sélectionnez ensuiteSuivant : Configurer le groupe de sécurité
  12. Sélectionnez ungroupe de sécuritéexistant ou créez un groupe de sécurité :
    • Le groupe de sécurité par défaut généré inclut HTTP, HTTPS, SSH et Cliquez sur le boutonAjouter une règlepour en ajouter deux autres :
    • Tous les ICMP avec source : Personnalisé 0.0.0.0/0
    • Règle UDP personnalisée avec plage de ports : 4980 et Source : personnalisée
  13. SélectionnezRéviseretlancer

    Créer un écran VPC 31

  14. 然后avoir terminé la révision, sélectionnezLancer
  15. Dans la fenêtre contextuellePaire de clés, sélectionnez une paire de clés existante ou créez une nouvelle paire de clés, puis sélectionnezLancer l’instance

    Créer un écran VPC 32

    Important

    Si une nouvelle paire de clés est créée, assurez-vous de la télécharger et de la stocker dans un emplacement sûr.

  16. Citrix SD-WAN SE AMI doit maintenant être lancée avec succès.

    Créer un écran VPC33

    Remarque

    Un groupe de sécurité est un ensemble de règles de pare-feu qui contrôle le trafic d’une instance EC2. Les règles entrantes et sortantes peuvent être modifiées pendant et après le lancement d’EC2. Un groupe de sécurité doit être affecté à chaque instance EC2. En outre, un groupe de sécurité doit être affecté à chaque interface réseau. Plusieurs groupes de sécurité peuvent être utilisés pour appliquer des ensembles distincts de règles à des interfaces individuelles. Le groupe de sécurité par défaut ajouté par AWS autorise uniquement le trafic au sein d’un VPC.

    Le groupe de sécurité affecté à l’AMI NetScaler SD-WAN et à ses interfaces doit accepter SSH, ICMP, HTTP et HTTPS. Le groupe de sécurité affecté à l’interface WAN doit également accepter UDP sur le port 4980 (pour la prise en charge du chemin virtuel). Reportez-vous à l’aide d’AWS pour plus de détails sur les informations de configuration du groupe de sécurité.Important

    Attendez deux heures si provisionné à partir d’un nouveau compte, puis réessayez

  17. Revenez à votreconsole AWS : EC2 Dashboard

  18. Dans la barre d’outils, sousRéseau et sécurité, sélectionnezInterfaces réseau, mettez en surbrillance l’interface de gestion et Modifier la balise Nom pour donner un nom utile à l’interface.
  19. Cliquez ensuite surCréer une interface réseaupour créer les interfaces LAN :

    Créer un écran VPC35

  20. Répétez et cliquez surCréer une interface réseaupour créer l’interface WAN.

    Créer un écran VPC 36

  21. Modifiez la balise Name pour chaque nouvelle interface et donnez un nom utile.

    Créer un écran VPC 38

    Créer un écran VPC 39

  22. Mettez en surbrillancel’interfacede gestionet sélectionnezActions>Modifier la source/Dest.倒desactiver Cochez这个情况Source/Dest.Cochez, puis sélectionnezEnregistrer

    Créer un écran VPC 40

  23. Répétez l’opération pour les interfaces LAN et WAN.

    Créer un écran VPC 41

  24. À ce stade, toutes les interfaces réseau :Mgmt.,LANetWANsont configurées avec unnom, uneadresse IP privée principaleet désactivées pourSource/Dest.Attribut de vérification. Seulement le Mgmt. L’interface réseau a une adresse IP publique qui lui est associée.

    Créer un écran VPC 42

    Important

    Désactivation de la source/Dest. L’attribut Check permet à l’interface de gérer le trafic réseau qui n’est pas destiné à l’instance EC2. Comme l’AMI SD-WAN NetScaler agit comme un intermédiaire pour le trafic réseau, la Source/Dest. L’attribut Check doit être désactivé pour un bon fonctionnement.

    En fin de compte, les adresses IP privées définies pour ces interfaces réseau doivent correspondre aux adresses IP de votre configuration SD-WAN. Il peut être nécessaire de définir plusieurs adresses IP privées pour l’interface réseau WAN si cette interface est associée à plusieurs IP de liaison WAN dans la configuration SD-WAN pour ce nœud de site. Pour ce faire, il est possible de définir des adresses IP privées secondaires pour l’interface WAN si nécessaire.

  25. Dans la barre d’outilsTableau de bord EC2, sélectionnezInstances

    Créer un écran VPC 43

  26. 将surbrillance l 'instance nouvellement creée, puis sélectionnezActions>Mise en réseau>Joindre l’interface réseau

    Créer un écran VPC 44

  27. Connectez d’abord l’interface réseau LAN, puis l’interface réseau WAN à l’AMI SE SD-WAN.

    Créer un écran VPC 45

    Remarque

    L’attachement de la gestion, du réseau local et du réseau étendu dans cet ordre est relié à eth0, eth1, eth2 dans l’AMI SD-WAN. Cela s’harmonise avec le mappage de l’AMI provisionnée et garantit que les interfaces ne sont pas réaffectées de manière incorrecte en cas de redémarrage de l’AMI.

  28. Dans la barre d’outilsTableau de bord EC2, sélectionnezIPs élastiques (EIP), puis cliquez surAllouer une nouvelle adresse

    Créer un écran VPC 46

  29. Cliquez surAllouerpour allouer une nouvelle adresse IP, puisFermerune fois que la demande de nouvelle adresse a réussi.
  30. Mettez en surbrillance le nouveau EIP et sélectionnezAction>Associer une adressepour associer l’EIP à la gestion. Interface, puis cliquez surAssocier
    • Type de ressource :
    • Interface réseau :
    • IP privée :

    Créer un écran VPC 47

  31. Répétez le processus pour associer un autre nouveau EIP à l’interface WAN.

    Créer un écran VPC 49

Configuration de l’AMI SE SD-WAN - Interface de gestion Web SD-WAN

Pour configurer l’AMI SE SD-WAN :

  1. À ce stade, vous devez pouvoir vous connecter à l’interface de gestion de l’AMI SE SD-WAN à l’aide d’un navigateur Web.
  2. Entrez l’IP Elastic (EIP)associée à la gestion. Interface. Vous pouvez créer une exception de sécurité si le certificat de sécurité n’est pas reconnu.
  3. Connectez-vous à l’AMI SE SD-WAN à l’aide des informations d’identification suivantes :

    • Nom d’utilisateur :admin
    • Mot de passe :> (exemple ; i-00ab111abc2222abcd)

    Configurer l'interface graphique SD-WAN SMI

    Remarque

    Si le Mgmt. L’interface ne peut pas être atteinte, vérifiez ce qui suit :

    - Assurez-vous que l'EIP est correctement associé à l'interface Mgmt.
    • Assurez-vous que l’EIP répond au ping
    • S’assure que la table de routage de l’interface Mgmt. inclut une route de passerelle Internet (0.0.0.0/0)
    • Assurez-vous que le groupe de sécurité de l’interface Mgmt. est configuré pour autoriser HTTP/HTTP/ICMP/SSH

    À partir de la version 9.1 de l’AMI SD-WAN, les utilisateurs peuvent également se connecter à la console AMI SD-WAN à l’aide dessh admin@, en supposant que la paire de clés pour l’instance EC2 a été ajoutée à la chaîne de clés SSH de l’utilisateur.

  4. Pour l’AMI SD-WAN SE bring-your-own-license (BYOL), une licence logicielle doit être installée :
    • Sur l’interface Web SD-WAN, accédez àConfiguration>Paramètres de l’appliance>Licences
    • DansConfiguration de licence:Charger la licence pour cette appliance, sélectionnezChoisir un fichier, parcourez et ouvrez lalicence SD-WAN SE AWS, puis cliquez surTélécharger et installer
    • 然后le téléchargement réussi, l’état de la licence indiquera l’état : License

    Configurer les licences SD-WAN SMI

  5. Définissez lesdonnées/heureappropriées pour la nouvelle AMI :
    • Sur l’interface Web SD-WAN, accédez àConfiguration>Maintenance du système>Paramètres de date/heure
    • Définissez la date et l’heure correctes à l’aide deNTP,Date/Heure SettingouFuseau horaire

    Configurer les paramètres de date SD-WAN SMI

    Remarque

    Le service Virtual WAN WAN AMI SE SD-WAN reste désactivé jusqu’à ce qu’un package d’appliance (Software + Configuration) soit installé sur l’AMI.

Ajouter une AMI SE SD-WAN à votre environnement SD-WAN

Pour ajouter une AMI SD-WAN à votre environnement SD-WAN :

  1. Accédez à votrecentre SD-WANou à votrenœud de contrôle maîtrepour votre environnement SD-WAN.
  2. Ajoutez unnouveau nœud de siteà l’aide de l’éditeur de configuration:
    • Ajouter un site : modèle VPX, Mode : client
    • Groupes d’interface : AWSLan = eth1, AWSwan = eth2 (non approuvé)
    • Adresse IP virtuelle : 192.168.100.5 = AWSLAN, 192.168.101.5 = AWSwan avec une adresse IP virtuelle AWSLAN en cours de configuration, le SD-WAN annonce le sous-réseau LAN de 192.168.100.5/24 en tant que route locale vers l’environnement SD-WAN (voirConnexions> <AWSNode>Routes).Liens WAN :
    • AWSBR-WAN avec type d’accès Internet public, détection automatique de l’IP publique si nœud client ou configuration de l’EIC pour la liaison WAN si nœud MCN, Interfaces d’accès : AWSWan 192.168.101.5 avec Gateway 192.168.101.1 (#.#.1 est généralement la Gateway réservée AWS).

    Ajouter SD-WAN AMI1

    Ajouter SD-WAN AMI3

  3. Dans l’Éditeur de configuration, validez l’association de chemin sousConnexions>DC>Chemins virtuels>DC-AWS>Chemins

    Ajouter SD-WAN AMI4

    Remarque

    Le chemin virtuel est utilisé sur l’interface WAN AMI pour envoyer les mises à jour logicielles et de configuration vers l’AMI SD-WAN plutôt que via une connexion directe à l’interface de gestion.

    Les adresses IP privées doivent être définies sur l’interface réseau WAN EC2 pour chaque adresse IP de liaison WAN dans l’éditeur de configuration. Pour ce faire, il est possible de définir une ou plusieurs adresses IP privées secondaires pour l’interface réseau si nécessaire.

    Important

    Rappelez le mappage attribué dans le tableau de bord AWS EC2 assignant Mgmt à eth0, LAN à eth1 et WAN en tant qu’eth2

    Amazon réserve les quatre premières adresses IP et la dernière adresse IP dans chaque bloc CIDR de sous-réseau et ne peut pas être attribué à une instance. Par exemple, dans un sous-réseau avec le bloc CIDR 192.168.100.0/24, les cinq adresses IP suivantes sont réservées :

    - 192.168.100.0 : Adresse réseau
    • 192.168.100.1 : Réservé par AWS pour le routeur VPC
    • 192.168.100.2 : Réservé par AWS pour le serveur DNS
    • 192.168.100.3 : Réservé par AWS pour une utilisation future
    • 192.168.100.255 : Adresse de diffusion réseau, qui n’est pas prise en charge dans un VPC
  4. Enregistrez et exportezla configuration SD-WAN nouvellement créée et exportez-les vers laboîte de réception de gestion des modifications

    Ajouter SD-WAN AMI5

  5. Accédez à MCNChange Managementet exécutez le processus de gestion des modifications pour transférer la dernière configuration vers l’environnement SD-WAN en informant tous les nœuds SD-WAN existants du nœud AWS nouvellement ajouté et des sous-réseaux (interfaces virtuelles) qui lui sont associés. Assurez-vous de télécharger le package logiciel spécifique à VPX dans l’étape de préparation des modifications qui correspond au logiciel actuel utilisé par l’environnement SD-WAN existant.
  6. Depuis la pageGestion des modifications, téléchargez le package généré spécifiquement pour le nouveau nœud AWS à l’aide du lienactif
  7. Revenez à l’interface de gestion de l’AMI SE SD-WAN à l’aide de l’EIP assigné à l’interface de gestion.
  8. Accédez àConfiguration>Maintenance du système>Gestion des modifications locales
  9. Cliquez surChoisir un fichierpour parcourir ettéléchargerle progiciel/configuration AWS actif récemment téléchargé.
  10. Une fois lagestion des modifications localesréussie, l’interface Web doit s’actualiser automatiquement avec le dernier logiciel installé, leservice WAN virtuelétant toujours désactivé.

    Ajouter SD-WAN AMI7

  11. Dans la section SD-WAN SE AMI, accédez àConfiguration>Virtual WAN Enable/Disable/Purge Flowset activez le service à l’aide du boutonActiver
  12. Une fois la connectivité réussie sur l’interface WAN, le SD-WAN signale l’état de bon chemin sur la pageSurveillance>Statistiques>Chemins

    Ajouter SD-WAN AMI8

Résolution des problèmes

L本IP privee de passerelle Web privee (IWG)doit être utilisée dans la configuration de l’interface d’accès SD-WAN

  • Si un IWG incorrect est utilisé dans l’éditeur de configuration pour définir le lien WAN pour le site AWS (adresse IP virtuelle et passerelle correcte), le chemin virtuel ne parvient pas à établir.
  • Un moyen rapide de vérifier si l’IWG est mal configuré est de vérifier latable ARP SD-WAN

Dépannage des AMI SD-WAN

L’outil de capture de paquets intégré SD-WAN peut aider à confirmer le bon flux de paquets

  1. Accédez à la pageConfiguration>Maintenance du système>Diagnosticde l’AMI SD-WMA.
  2. Sélectionnez l’ongletCapture de paquets, définissez les paramètres suivants, puis cliquez surCapturer:
    • Interfaces : Pour capturer sur eth2 qui était associé à l’interface WAN.
  3. La出击de捕捉Web doit苏尔La页面显示les paquets de sonde UDP quittant l’AMI SE SD-WAN avec le WAN VIP /Private IP comme source, avec une destination des IP publiques statiques utilisées pour le MCN, également le paquet UDP renvoyant avec la source de l’IP publique statique MCN et la destination du VIP/ local VIP/ IP privée (qui était NAT par l’IWG).

Remarque

Cela peut généralement se produire lorsqu’une adresse IP est créée en dehors du bloc CIDR attribué au VPC.

Dépannage de l'AMI SD-WAN 1

REMARQUE

  • À partir des versions 10.2.6 et 11.0.3, il est obligatoire de modifier le mot de passe du compte d’utilisateur administrateur par défaut lors du provisionnement d’une appliance SD-WAN ou du déploiement d’un nouveau SD-WAN SE VPX. Cette modification est appliquée en utilisant l’interface de ligne de commande et l’interface utilisateur.

  • Un compte de maintenance du système - CBVWSSH, existe pour le développement et le débogage et n’a pas d’autorisations de connexion externes. Le compte est uniquement accessible via la session CLI d’un utilisateur administratif régulier.