Citrix SD-WAN + Azure虚拟WAN蓝图:部署指南

读者

本文档面向正在评估微软Azure虚拟WAN和Citrix SD-WAN解决方案的云解决方案架构师,网络设计师,技术专业人员,合作伙伴和顾问。它还适用于网络管理员,Citrix管理员,托管服务提供商或任何希望部署这些解决方案的人。

概述

本文档重点介绍了Azure虚拟广域网提供的优势,Azure VWAN和Citrix SD-WAN联合解决方案的优势,它们应对的用例以及相应的配置指南。

大体而言，部署南南涵盖了：

1. 在蔚蓝虚拟湾中建立连接

   • Hub-to-Hub连接

   • VNet-to-Hub对等

2. 在SD-WAN和Azure VWAN之间建立连接。

   • 使用SD-WAN建立跨区域通信

   • 预计在SD-WAN上配置公顷

使用案例

本文档侧重于实现三个用例，以满足组织的典型需求。

使用案例 # 1：从全球分布的分支机构安全地连接到部署在单个Azure区域的资源。

使用案例 2：本地基础架构安全地连接到部署在不同Azure区域的资源。

使用案例3：全球分布的分类位置过过互相通信。

Azure虚拟Wan：概述

Azure虚拟虚拟网（VWAN）是Microsoft提供的一个网站服务，它提供高速全球通道网站，并在分类机械，数码中心，中心和用来之间实现任意到任意连接。它它站点站点vpn（分享到机构到Azure），用语VPN（点对站）和Expressroute连接。它可以自动Hub-to-VNet连接(在vnet /工作负载虚拟网络和集线器之间)。客户还可以使用Azure VWAN使用私有Azure骨干连接跨区域的分支机构。

参考资料：Azure虚拟湾流量路径

更好地协作:Azure VWAN和Citrix SD-WAN联合解决方案的好处

Citrix SD-WAN提供了安全可靠的WAN边缘解决方案,可通过自动化网络部署来降低将分支办公室连接到Azure的成本,复杂性和时间。它在全球范围内提供了高级别的冗余,自动化,监视和控制,从而增强了Azure虚拟WAN的优势,同时允许你充分利用微软的高速全球骨干网。

1. 好处1:SD-WAN可自动进行网络部署,将数百个分支办公室连接到Azure中心

   将从数百个本地位置的站点到站点VPN隧道设置到Azure可能非常耗时且容易出的错。Citrix SD-WAN与Azure虚拟WAN的集成可以将该过程提高数量级。Citrix SD-WAN协调器提供了一个单一的玻璃管理窗格,通过API集成将本地Citrix SD-WAN设备连接到Azure虚拟广域网。另一种体系结构是在Azure上部署Citrix SD-WAN VPX(而不是使用Azure中心)。这形成了内部SD-WAN设备的书终解决方案。它可以带来好处，使网络更具弹性并改善用户的应用程序体验。好处包括链路绑定和负载平衡,业界领先的每数据包负载均衡技术带来的亚秒级故障转移以及选择性数据包复制双向QoS SD-WAN VPX实例方法可能受带宽限制(即最大2 gbps),在这种情况下,AzureVWAN解决方案提供更高的吞吐量能力

2. 好处2:SD-WAN可降低WAN运营成本

   MPLS和Expressroute可以提供私别无，高尚的安防的通言来连接澳大利亚通讯。但，〖〗方向通知是昂贵的，所以在必须考虑需要连接到内网的没有分享到时。sd-wan通讯融合多种经济高级的连接类型（4g / lte，dsl，互联网等），除了提供更高度能恢复以从从构机构到到到运之外，还可以降低湾营等本金。根据企业的安全要求，来自一个个分类机械的批量可能需要到企业 - 总部，以确保安全合，使电视张并导致导致加。在Azure上部署虚拟c​​itrix sd-wan设备可以通过通信在Citrix SD-Wan设备中间管理使用内置l2-l7防火墙创建互联的安全网突破。

3. 好处3:SD-WAN可改善最后一英里的连接

   随着越来越多的工作负载迁移到云端，远程办公室的最后一英里连接变得越来越重要。向远程分支机构提供MPLS或ExpressRoute连接可能并不总是可能——除了纯粹的经济原因之外,配置MPLS或表达路线网络需要时间,而且可能无法实施。远程分支站点上的SD-WAN部署可通过聚合多个网络链路(可配置为主链接和辅助链接)并识别最近的微软Azure /流行来帮助改善与Azure的最后一英里连接体验。通过持续监控网络,SD-WAN可以根据链路质量自动将流量从一个链路引导到另一个链路,从而为远程用户提供最佳体验。

4. 好处4:提供网络弹性和优化万体验的书端解决方案

   虽然可以通过本机IPsec将分支办公室连接到Azure VWAN,但单个IPsec隧道可能容易发生数据包丢失和链路拥塞,因此无法降低中断风险。任何网络中断都可能导致数百万美元的生产力和收入损失。

   采用在Azure上部署Citrix SD-WAN VPX网络虚拟设备(后)的替代方法,使用本地SD-WAN设备形成书末解决方案,带来许多好处。这些优势包括链路绑定和负载平衡,亚秒级故障切换,选择性数据包复制以及双向QoS等,以使网络更具弹性并改善用户的应用体验。

5. 好的5：SD-WAN Orchestrator可增强可见性

   Citrix SD-WAN Orchestrator提供了一件单一的家长来源和跟踪网站运和实用情况.Orchestrator基本模板隆简化了sd-wan的大声部署和网站扩展，有象将扩展到整个分享办公园列，并节省时间。SD-WAN Orchestrator还通讯在新的或现的vnet中的点击式点击式sd-wan vpx实例，为微软Azure提供自动化的传输。

参考拓扑

部署在指定区域(例如:Azure VWAN东中心)中的Azure工作负载可以通过互联网或4 g LTE /使用Citrix SD-WAN设备连接到多个分支位置。在虚拟网络(联接基础架构中,SD-WAN标准版VM (SD-WAN VPX)部署在网关模式下。

为了实现上述用例，我们需要在以下实体之间建立连接/配对：

1. 通过IPSec隧道和边界网关协议对等互连的SDWAN VPX和Azure VWAN中心

2. 使用本地和全局vnet对等互连的alzure vwan中心和vnet

3. 使用虚拟路径的SD-WAN分支设备和SD-WAN VPX(在Azure上)

其中,通过Citrix SD-WAN的专有虚拟路径技术在SD-WAN分支设备和SD-WAN VPX(3)之间建立连接是带来多种功能的原因。这些功能包括每包负载平衡,选择性数据包复制和双向QoS,并提供了联合解决方案的优势。下面的文档将引导你完成设置Azure虚拟WAN和部署SD-WAN虚拟设备所需的步骤。

Azure资源调配和网络

在从协调器部署Azure虚拟湾之前,请确保已配置了与Azure虚拟广域网相关的资源,并且网络设计已最终确定。这简化了从SD-WAN协调器管理控制台配置Azure虚拟WAN的过程。

这是如何创建与Azure虚拟广域网相关的资源的流程图。

请注意,虽然我们遵循此流程,但您可以在创建资源组之前创建联接。以下是构建此拓扑时所采取的步骤的摘要。后续章节将详细介绍每个步骤。

步骤摘要

1. 创建资源组

2. 为东部和西部地区创建一个联接(针对上文讨论的拓扑)

   • 根据Azure中的拓扑结构,不同区域中的任意数量的联接也同样适用
3. 创建天蓝色虚拟虚拟
4. 创建管理东部和西部区域的Azure虚拟广域网中心(在单个虚拟广域网内部具有集线器到集线器的固有连接。
   • 在东部地区创建枢纽。
   • 在西部地铁创建枢纽。
5. 将东西地区的联接(在步骤2中创建)与各自的中心对等。
   • 例如,东部地区的联接将与东部区域的中心对等,以便它可以查看SD-WAN子网(该子网从本地连接到Azure中的SD-WAN VPX,最终通过边界网关协议连接到提供子网的中心)

创建资源组

1.在东京地区创建创建资源资源

• 为该区域创建资源组。在这个架构中，我们将它命名为 AzurevwaneaSrescGRP。
• 确保选择该地区作为美国东莞（对于东部地址工作套/ vnet）。您可以根据拓扑选择在任何区域进行。

• 查看并创建资源组。

2.在西部地区创建资源组

• 使用名称创建资源组。在这个架构中，我们使用了 AzurevwanWerescGRP。
• 确保选择该地区作为美国西部(适用于西部地区工作负载/联接)。

• 查看并创建资源组。

在东部和西北区域分享vnet（根据根据拓扑）

你可以按照此链接为区域创建联接。

创建天蓝色虚拟虚拟

1. 在Azure搜索栏中搜索虚拟WAN,然后单击虚拟广域网。

2. 点击“+添加”以添加新的虚拟广域网

3. 开始填写填写ure虚拟WAN的基本信息

   • 我们选择了在文档开头创建的东资源组名为AzureVWANEastRescGrp
   • 选择位置作为美国东部（根据上面的拓扑）
   • 为正在创建的alipute虚拟wan资源提供一个名称。在这份文学中，我们已经已经其名EastUSVWANANDHub

   注意:选择SKU作为“标准”,以确保能够跨区域实现中心到中心的通信。但是,如果您不需要集线器间通信功能,则可以选择“基本”SKU。

4. 验证通过后，单击创建

5. 创建资源后，你可以在蔚蓝的全局虚拟全局找到。

6. 正如你在下面看到的,我们看到“EastusvwanandHub”将资源组列为AzurevwaneaSrescGRP,位置被列为东2。

注意:尽管Azure虚拟WAN资源已部署在美国东部2区域的东部资源组中,但你可以选择将其部署到每个网络拓扑的几乎任何区域/资源组中。

在每个区域创建澳大利亚vwan中心

1.为东部区域创建天蓝色虚拟湾中心

在上一篇中间创建的虚拟网资源 -“eastusvwanandHub”

• 在虚拟广域网资源中,您可以在“连接”部分找到“中”心。

• 点击中心，你现在是可以就可加起一气新的枢纽

• 单击中心部分中的“+新中心”，它将打开一个新的配置窗格

• 输入基本详细信息

  • 选择要在其中创建中心的区域。
  • 在这种情况下,该地区为美国东部2(将在此区域创建中心)
  • 给中心点一个名字。在这种情况下，它是 “EastusHub”
  • 为此集线器提供与此资源组中的任何其他子网不重叠或冗余的唯一地址空间
  • 最重要的步骤是配置“站点到站点”部分。
    • 对于是否要创建站点到站点,选择“是”。
    • ASN将自动填充,对于此中心,它将为65515年。
    • 根据您的需要选择网关单位。
      • 在这种情况下,它被选为1个缩放单位x 2 -500 Mbps

    注意：将其他部分保留为默认

  • 单击“查看并创建”在东京区域创建创建创建虚拟湾中心。
  • 中心创建程程可需要30分钟才能完成。
  • 创建资源后,在虚拟广域网下的中心部分中,您将在地理地图下看到一个新条目,其中包含我们创建的中心的名称。
    • 中心状态反映为“成功”。
    • 地址空间必须与我们配置的相同。
    • 由于没有VPN站点仍然连接,因此计数为“0”。我们将在后续步骤中连接VPN站点。
  • 单击地理地图下的EastusHub链接，然后验证以下属性：
    • 路由状态,已配置
    • 中心状态,成功
    • 地理位置 - 美国东莞2
    • VPN网密配置配置 - 成都

2.为西部地区创建Azure虚拟广域网中心

• 在虚拟广域网资源EastusvwanandHub(我们最初配置了我们的东美国中心)内部,您可以在连接部分找到“中”心。

• 单击”中心“添加新的中心。

• 输入基本详细信息
  • 选择要在其中创建中心的区域。
  • 在这种情况下，该地区是美国西部 2（该中心将在该地区创建）
  • 给中心点一个名字。在这种情况下，它是 “westhubus”。 为此集线器提供一个与此资源组中的任何其他子网不重叠或冗余的唯一地址空间。

• 最重要的步骤是配置“站点到站点”部分。
  • 为您要创建站点到站点吗(VPN网关)选择“是”
  • asn会自动填充，对于此中心，它将为65515
  • 根据您的选择选择网关规模单词（销量的定义）
    • 在这里，我们选择了1个比例单位x 2 - 500 Mbps。

  ：

• 单击“查看并创建”以在西部地区创建虚拟湾中心。

• 铁线电器创建是一击时的程度，可能大大30分钟才能能成创建。

• 创建资源后,您可以通过单击地理地图下的WestusHub链接来检查Westhubus中心的状态。它将带你进入中心的详细信息部分。您可以按如下方式验证属性的状态：

  • 路由状态,已配置
  • 中心状态,成功
  • 地理位置,美国西部2
  • VPN网密配置配置 - 成都

对等VNet连接到中心

1.将东VNet对等到东部枢纽

• 在虚拟广域网资源“eastusvwanandHub”中,单击“虚拟网站连接”，然后单击“+添加连接”。

填写关于将美国东部地区的vnet1连接到虚拟中心的详细信息

1. 连接名称——虚拟网络连接的名称——vnet1eastpeerHub
2. 中心 - 要与之对等的枢纽名称 - entushub
3. 订阅,确保选择订阅作为用于创建虚拟WAN和虚拟中心资源的订阅
4. 资源组——将是我们正在尝试与中心对等的东部地区联接的资源组
5. 虚拟网站 - 与我们会将对等等的东部地区资源关键词的vnet
6. 传播传播“无” - 将其设置为“否”
7. 关联路由表 -选择默认
8. 传播到路由表——选择默认(EastusHub),这是东资源联接的默认路由表
9. 将其他人留为默认

10. 点击“创建”。

• 创建后，虚拟网络将类似于以下快照。这样可以将东VNet前缀传播到EastusHub(虚拟中心),并允许EastusHub将其拥有的前缀(通过边界网关协议)传播到东联接的路由表。

2.将东VNet对等连接到西部枢纽

• 在虚拟广域网资源EastusvwanandHub中,单击“虚拟网站连接”，然后单击“+添加连接”。

1. 连接名称——虚拟网络连接的名称——westhubvnet1Peer
2. 中心 - 要与之对等的中心的名称 - Weshubus
3. 订阅,确保选择订阅作为用于创建虚拟WAN和虚拟中心资源的订阅
4. 资源组——将是我们正在尝试与中心同行的西部地区联接的资源组
5. 虚拟网站 - 与我们对等等的西部地区资源组关键词的vnet
6. 传播传播“无” - 将其设置为“否”
7. 关联路由表 -选择默认
8. 传播到路由表——选择默认(wesThubus),这是西方资源联接的默认路由表
9. 将其他人留为默认

10. 点击“创建”。

• 创建后，虚拟网络连接将类似于下面的快照。这使西方得VNet前缀能够传播到wesTHubus(虚拟中心),并允许wesTHubus将其拥有的前缀(通过边界网关协议)传播到西方联接的路由表。

SD-WAN Orchestrator的先决先决

1.在Azure中预配sd-wan实例

• 在Azure上将SD-WAN虚拟设备分别作为主m cn(主控制节点)和二级/ Geo m cn在East-US2和West-US2区域上配置。

  主mcn和次级/地理mcn为特殊用途提供服务（根据我们的参考拓扑）。但，SD-WAN VPX也可以在分享到下部署。

  MCN充当SD-WAN网站控制料，并摄取Azure API以建立Azure虚拟WAN资源站点连接.mcn充当sd-wan的主主器。在主mcn出现故障时，次级/地理mcn通讯接管闻具器的角色闻仪器功能提供冗余。

• 要在天蓝色的预配citrix sd-wan vpx，你可以参考此文档。

  注意:在浏览上述文档时,您可以看到提到了10.2版本,但是在市场搜索时,您会发现“Citrix SD-WAN标准版10.2.5”或“Citrix SD-WAN标准版11.0.3”。您可以根据Citrix SD-WAN网络其余部分的固件版本选择这些版本中的任何一个版本。

• 在蔚蓝预配citrix sd-wan vpx后，我们需要通讯SD-WAN Orchestrator来展成配置。

  注意:在SD-WAN协调器中开始配置之前,请使用以下信息。

2.Azure中SD-WAN VPX实例的序列号

• 你可以转到转到转到中间的串行，然后在实例的cli中间输入理员，然后然后“system_info”然后输入命令。

• 否则，你可以转到azure实例手机，单位网络然,后获取管理界面的公有IP,如下所示。

• 获取公共IP后，您可以访问设备，使用https：// 在任何浏览器(CHROME / FIREFOX和SAFARI)中访问该设备,并提供管理员凭据以登录。
• 作者：王莹，王莹，王莹，王莹，王莹，王

3.从Azure获取vPX的局域网和广域网接口IP

• 在配置主m cn和辅助/ Geo m cn IP的同时获取局域网和广域网接口IP
• 你可以从每个Azure主m cn和二级/ Geo m cn的“网络”部分获得相同的信息
• 例如,主m cn局域网IP为10.1.1.4(如下面的快照所示)
  • 对次级/地理MCN执行的音响，并记下它的网址

• 主m cn WAN IP是10.1.2.4。根据下面的快照

  • 对次级/地理MCN执行的操作，并记下其WANIP

4.获取主mcn和分支/ geo mcn的van的被IP地址

• 您可在网上分支的杂机的WAN界面（MCN / GEO MCN）中获取此信息。

• 在制备的Wan链接创建创建期间，必须在任何致理性基因上为上为主mcn和辅助/ geo mcn等控制配置公园Ip地址。但，如果您已在分享到模式下载vpx，则则可动态ip地址。

• 此时，我们可以方便地获得以下信息。

接下来的步骤：

• 使用m cn,辅助/ Geo-MCN和分支机构的上述所有信息配置SD-WAN协调器。按照此链接,使用标准协调器配置实践在本地SD-WAN设备上完成配置。

5.创建天蓝色服务服务体

在订阅中创建Azure服务主体,以启用SD-WAN协调器中的编程管理部署(自动化)的方式。微软Azure要求每个需要由第三方以编程方式管理的资源,关联我角色并创建应用注册以利用外部资源自动化的优势。

为此，请按照此处中概述的步骤进行操作。有关更多详细信息，您可以参阅附录部分中的这一分内容。

6.在SD-WAN协调器中填写Azure身份验证凭据

• 在订阅中创建Azure承担者以启用以编程方式管理部署。
• 记记aure承担者的客户客户id，客户端密钥和租户/目录id，包括你的alipure订阅详细信。
• 在全局设置下，单位配置 - >交付服务 - >天蓝色单击服务的设置图标。
• 单击身份验证链接。它会弹出你现在准备好的详细信息。

• 请仔细输入详细信息并保存。如果保存成功,您将在下一步中看到订阅中配置的虚拟广域网和集线器。如果无法看到，请仔细检查详细信息，清除身份验证详细信息，然后重试。

在SD-WAN协调器上创建Azure虚拟WAN服务

1.先决条件

如果你已经做到了这一点,那么你必须已经创建了Azure虚拟WAN和虚拟中心位于你希望SD-WAN站点与之建立连接的虚拟广域网内。在完成前提条件之前，建议不要参阅本节。

2.将DCMCN站点与虚拟WAN资源和虚拟中心相关联

• 在全局配置中，单击配置- >交付服务- >单击Azure虚拟WAN的设置图标。

• 选择该服务后,您将进入虚拟WAN自动配置页面。

• 点击“+站点”。

• 根据Azure订阅和其他主体详细信息的身份验证是否成功,你现在将看到Azure虚拟湾填充了作为订阅的一部分配置的所有VWAN。

答:为虚拟WAN集成添加站点,配置和部署* *

现出，对于这种架构，mcn将与东部区域关键词连接到easthubus。

• 选择EastusvwanandHub,这是我们在其中创建东西中心的虚拟广域网。

• 选择enteushub.

• 选择网页为“dcmcn”
  • 这里可以看到这些站点站点是因为之这些站点是配置的一分钱，暂存和激活

• 查看并保存信

  • 保存后，你将开采看到自动化动作，sd-wan将通讯推送函数并配置sd-wan端和蔚蓝来制备站点，以便成功vpn站点。

    • 配置生效时,您将看到“推送的站点信息,等待VPN配置“通知。
    • 一切都成功后，它将表示站点资源调配成功。
    • 此时，天蓝色虚拟虚拟是自动完成的。当然，我们将在设备上激活的功能才才才才启隧道隧道。

  • 作为Azure虚拟虚拟网自动化的一分，SD-WAN Orchestrator开放使用Azure API，并为配置焦点的SD-WAN设备（DCMCN）做好自动化设备。

    • 在这方向，在自动化编程中，我们从两个方向来管理它。从sd-wan设备获取有信仰，以在蓝色上预配ipsec和bgp终端终端。
    • 与天爆交谈并获取位于SD-WAN设备上配置IPSec和BGP终端的详细的信典。
    • 然后,在成功建立IPsec隧道后,将建立边界网关协议对等互连。
    • 这使得DCMCN能够通过虚拟路径交换网络前缀,包括通过边界网关协议到达EastusHub的本地路由。

b . SD-WAN端的详细信息* *

• 从可用的WAN链接中,自动化脚本将选择本地边界网关协议对等端节点作为本地IP
• 为了使隧道形成带有公共IP终端节点的WAN接口被选择

c . Azure侧详细信息* *

• 正如你在下面的快照中看到的那样,自动脚本为EastusHub收集了来自Azure的信息,以获取以下详细信息:
  • 区域
  • 公共IP地址——隧道端点(单个集线器的主动/被动VPN隧道。但是这两条隧道都将建立起来。Datapath公司将通过主通道进行处理,并在故障转移前夕使用辅助通道)。
  • 从EastusHub配置获得的GP私有终端节点
  • BGP ASN - 65515

• 中心使用从Azure获取的标准IPSEC /艾克参数,以便本地端点DCMCN也可以使用类似属性进行准备,以便在成功协商后形成IPSEC隧道。

3.准备SD-WAN虚拟WAN自动配置以将m cn连接到虚拟广域网中心

• 在完成m cn和辅助/ Geo-MCN及其各自集线器的配置之后,是时候让它们一次性自动部署在Azure-Virtual广域网上。

• 您可以看到站点(添加集线器后)处于“站点置备成功”状态。

4.从SD-WAN Orchestrator激活激活以使用Azure虚拟WAN自动化

• 选择配置 > 网络配置主页

• 选择部署配置/软件 > 舞台

• 选择激活

验证虚拟WAN服务状态

注意：单击Azure虚拟湾站点上的“信息”图标可获取有关Azure虚拟WAN隧道配置和状态的详细信息。

转到所有站点- >配置- >交付服务- > Azure虚拟WAN - >单击任何已激活站点的“i”（信息图形）。

• 验证IPsec隧道是否已启动并在m cn上运行(EastusHub)
  • 我们可以看到有两个Azure虚拟WAN实例已预配置。在发生任何故障转移的情况下，第二个实例作为活动-备用。
  • Azure虚拟WAN自动化负责在默认情况下为两个实例启用IPsec隧道,因此根本不需要手动干预。
  • 另请注意，尽管两条隧道都已启动并正在运行，但总是只有一条活动隧道来处理数据路径上的连接和数据包。

  ！[验证mcn（/en-us/tech-zone/build/media/deployment-guides_sdwan-azure-virtualwan_44.png）上的]

• 验证IPSec隧道是否已启动并在辅助m cn (WesHubus)上运行

自动部署后验证sd-wan和中心之间的ipsec隧道

1.在EastusHub中验证VPN站点的创建

在此步骤中，我们验证是在Eastushub中创建了新的VPN站点。此此将作为dcmcn站点（通讯SD-WAN Azure虚拟WAN自动化结合）。

• 请注意，我们在地理地图下看到“vpn〗”分公司，表明Eastushub连接连接1个vpn站点，是我们的mcn设备。

• 单击EastusHub链接。这将带我们进入东莞地铁的深入钻取。

• 单击“概述”以查看VPN连接的站点的数量。我们看到1个已连接的站点(使用我们的m cn)。

• 单击VPN(站点到站点)，然后检查连接状态是“成功”和“已连接”到DCMCN (SD-WAN m cn)

2.在Westhubus中验证vpn的创建

在此步骤中,我们验证是否在westhubus中创建了新的VPN站点。此网站将作为DCGEOMCN站点(通过SD-WAN Azure虚拟广域网自动化完成)

• 请注意,我们在地理地图下看到“VPN站点”部分表格,表明Westhubus连接了1个VPN站点,这是我们的Geo-MCN设备“DCOMCN”。

• 单击Weshubus.链接，该链接将带我们进入西部地理中心的向下钻取

• 在这里,我们可以看到“概述“显示VPN连接的站点数目目前为1个(使用我们的m cn)

• 单击VPN(站点到站点)，然后检查连接状态是“成功””和“已连接辅助m cn (SD-WAN Geo m cn)。

SD-WAN MCN到eastushub路路

• 下一篇：下一页类型表示如何在路由表中学和安全路

• 如果下一跳类型为:vpn_S2s_Gateway
  • 通讯VPN_S2S_GATEWAYS接收的没有路由由是将ipsec + bgp与sd-wan集成的路由，其中​​部署了天蓝色的自动化。
  • 验证EastusHub路由表,并检查边界网关协议传播来自m cn的SD-WAN学习路由是否适当。
  • 在EastusHub路由中,主要路由通过配置为42472的SD-WAN一样的号通过m cn安装(在自动化过程中自动处理)
• 如果下一跳类型为：虚拟网络连接
  • 是没有安装的路，为这些路由是通讯Eastushub和东VNet之间的东vnet对等连接行。
• 如果下一跳类型为：远程集线器
  • 这将是Westhubus Hubus中心传播的所有路由(在同一Azure虚拟WAN实例下创建)。
  • 我们还可以看到、远程中心类型的路由会相应地附加了起源和作为路径,以避免路由环路。
  • 此表包含通过Westhubus中心从EastusHub传播的所有不同VNet(在西部区域与西部枢纽对等)。

SD-WAN GEOMCN到wesHubus路由

验证westhubus路由表,并检查边界网关协议是否传播SD-WAN从Secondary-MCN学习路由。

• 下一篇：最重要的是，下一跳类型表示路由是如何学习和安装在路由表中的。

• 如果下一跳类型为:vpn_S2s_Gateway
  • 通讯VPN_S2S_GATEWAYS接收的有力路由都将ipsec + bgp与部署anzure自动化的sd-wan集路由。
  • 验证westhubus路由表,并检查边界网关协议传播的SD-WAN从辅助m cn获悉的路由是否合适。
  • 在Westhubus路路中，主要路由通讯为22338的SD-WAN的形号，通讯MCN安装（在自动化编程中自动管理）。
• 如果下一跳类型为：虚拟网络连接
  • 是没有安装的路，为这些路由是通行和西vnet之间的西vnet对等连接行的。
• 如果下一跳类型为：远程集线器
  • 这将包含WesHubus中心传播的所有路由(该路由是在同一Azure虚拟WAN实例下创建的)。
  • 我们还可以看到、远程中心类型的路由会相应地附加了起源和作为路径,以避免路由环路。
  • 此表包含通过EastusHub中心从westhubus传播的所有不同VNet(在东区域与东部中心对等)。

验证从东vnet到easttushub的路由传播

在此步骤中,我们验证路由是否正在使用全局VNet对等互连从东VNet传播到东——EastusHub VWAN中心。

• 验证EastusHub是否已提供m cn学习前缀的可见性,从其默认路由表到在东2区域与其对等的联接
• 检查eastus2 vnet的路由由表并并验证路由由由
• vnet是anzure中工工作的实际实际和目标，我们必须明白，vnet已经已经合/信息，以程程访问sd-wan的子网/前缀
• 联接本身的大多数路由都将通过虚拟网络网关直接路,由虚拟网络网关是他们连接的集线器
• 在这种情况下，东兽主义是东vnet路由表中没有路由的来源
• vnet对等连接下一个vnet是用vnet对等创建的alipure虚拟wan前缀的实际前缀。

• 虚拟网络将是联接本身的本地地址

验证从西vnet到westhubus的路由传播

在此步骤中,我们验证路由是否正在使用全球VNet对等互连从西方VNet传播到西VWAN Hub-wesHubus

• 验证Westhubus是否提供了GEOMCN学习的前缀的可见性,从默认路由表到西2区域与其对等的联接
• 检查Westus2联接的路由表并验证路由是否有效
• vnet是anzure中工工作的实际实际和目标，我们必须明白，vnet已经已经合/信息，以程程访问sd-wan的子网/前缀
• 联接本身的大多数路由都将通过虚拟网络网关直接路,由虚拟网络网关是他们连接的集线器
• 在这种情况下,Westhubus是西方VNet路由表中所有路由的来源
• 联接对等连接下一跳类型将是为联接对等创建的Azure虚拟WAN前缀的实际前缀

• 虚拟网络将是联接本身的本地地址

行动呼吁

如果你还没有尝试过Azure虚拟WAN,请前往portal.azure.com.。如果您想亲身体验SD-WAN解决方案的好处,请随时申请免费试用此处。

附录

创建Azure服务主体

1.注册实用程序

在订阅中创建Azure服务委托人,以启用从SD-WAN协调器的编程方式管理部署(自动化)。微软Azure要求需要由第三方以编程方式管理的每个资源都关联一个我角色并创建应用程序注册,以利用外部资源自动化的优势。

注意：为应用程序创建客户端密钥后，请记下它或立即将其复制到稍后可以参考的某个地方。

2.记下Azure服务主体详细信息

• 记下客户端ID,客户端密钥和租户/目录ID,包括Azure订阅详细信息。
• 你将从你创建的使用程序（Azure服务主体）
• 订阅ID——你可以从Azure的“订阅”部分获取该帐户
• 客户端ID - 也称为目单使用程序ID，您可以从下载新注册的使用程度的概述
• 目录ID——也称为租户ID,您可以从下面新注册的应用程序的概述部分获取

• 客户端密钥——在创建客户端密钥后立即记下或复制它。此步骤对于验证订阅帐户以及验证创建的应用程序是否有资格管理要启用自动化的资源的可编程性(在Azure中),这一步非常重要。

3.将Azure服务主体与资源关联

• 转到虚拟虚拟网资源“eastusvwanandhub”
• 转到访问控制(我)
• 点击下面突出显示的添加角色分配部分的“添加“按钮
• 您也可以单击角色分配部分,然后单击“+添加“(下载角色分配旁边)将我角色添加到服务主体。

• 单击“添加”后，您将在右侧看到一个弹出窗格，以添加角色
  • 选择角色类型作为“贡献者”
  • 将分配访问权限保留为默认值(Azure广告用户,组或服务主体)
  • 在选择部分,您可以搜索您创建的应用程序,称为“协调器”。（这只是一个字符串，我们可以自定义命名这个。通过协调器自动执行配置时,使用名为“协调器”的字符串作为Azure承担者不能存在混淆)。
    • 搜索成功后，您可以选择应用程序。
  • 选择“保存”按钮。（Azure服务主体的创建和与资源的关键词结束结束）