Citrix SD-WAN™ zur Verbindung mit Microsoft Azure Virtual WAN verwenden

Für die Verbindung von lokalen Geräten mit Azure ist ein Controller erforderlich. Ein Controller nutzt Azure-APIs, um eine Site-to-Site-Konnektivität mit dem Azure WAN und einem Hub herzustellen.

Microsoft Azure Virtual WAN umfasst die folgenden Komponenten und Ressourcen:

• WAN: Stellt das gesamte Netzwerk in Microsoft Azure dar. Es enthält Links zu allen Hubs, die Sie innerhalb dieses WANs haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei Hubs in verschiedenen WANs enthalten.

• Site: Stellt Ihr lokales VPN-Gerät und dessen Einstellungen dar. Eine Site kann sich mit mehreren Hubs verbinden. Mit Citrix SD-WAN erhalten Sie eine integrierte Lösung, um diese Informationen automatisch nach Azure zu exportieren.

• Hub: Stellt den Kern Ihres Netzwerks in einer bestimmten Region dar. Der Hub enthält verschiedene Dienstendpunkte, um Konnektivität und andere Lösungen für Ihr lokales Netzwerk zu ermöglichen. Site-to-Site-Verbindungen werden zwischen den Sites zu einem VPN-Endpunkt des Hubs hergestellt.

• Hub-Verbindung für virtuelle Netzwerke: Das Hub-Netzwerk verbindet den Azure Virtual WAN Hub nahtlos mit Ihrem virtuellen Netzwerk. Derzeit ist die Konnektivität zu virtuellen Netzwerken verfügbar, die sich in derselben Virtual Hub-Region befinden.

• Branch: Die Branches sind die lokalen Citrix SD-WAN Appliances, die sich an Kundenstandorten befinden. Ein SD-WAN Controller verwaltet die Branches zentral. Die Verbindung geht von hinter diesen Branches aus und endet in Azure. Der SD-WAN Controller ist für die Anwendung der erforderlichen Konfiguration auf diese Branches und auf Azure Hubs verantwortlich.

Die folgende Abbildung beschreibt die Virtual WAN-Komponenten:

Funktionsweise von Microsoft Azure Virtual WAN

1. Das SD-WAN Center wird mithilfe der in der Azure-GUI aktivierten Funktionalität für Dienstprinzipale, Prinzipale oder rollenbasierte Zugriffe authentifiziert.

2. Das SD-WAN Center ruft die Azure-Konnektivitätskonfiguration ab und aktualisiert das lokale Gerät. Dies automatisiert das Herunterladen, Bearbeiten und Aktualisieren der Konfiguration des lokalen Geräts.

3. Nachdem das Gerät die korrekte Azure-Konfiguration erhalten hat, wird eine Site-to-Site-Verbindung (zwei aktive IPsec-Tunnel) zum Azure WAN hergestellt. Azure erfordert, dass der Branch-Geräte-Konnektor IKEv2-Einstellungen unterstützt. Die BGP-Konfiguration ist optional.

   Hinweis: IPsec-Parameter für die Einrichtung von IPsec-Tunneln sind standardisiert.

   IPsec-Eigenschaft	Parameter
   Ike-Verschlüsselungsalgorithmus	AES 256
   Ike-Integritätsalgorithmus	SHA 256
   Dh-Gruppe	DH2
   IPsec-Verschlüsselungsalgorithmus	GCM AES 256
   IPsec-Integritätsalgorithmus	GCM AES 256
   PFS-Gruppe	Keine

Azure Virtual WAN automatisiert die Konnektivität zwischen dem virtuellen Workload-Netzwerk und dem Hub. Wenn Sie eine Hub-Verbindung für virtuelle Netzwerke erstellen, wird die entsprechende Konfiguration zwischen dem bereitgestellten Hub und dem virtuellen Workload-Netzwerk (VNET) festgelegt.

Voraussetzungen und Anforderungen

Lesen Sie die folgenden Anforderungen, bevor Sie mit der Konfiguration von Azure und SD-WAN zur Verwaltung von Branch-Sites, die sich mit Azure-Hubs verbinden, fortfahren.

1. Verfügen Sie über ein für Virtual WAN zugelassenes Azure-Abonnement.
2. Verfügen Sie über eine lokale Appliance, z. B. eine SD-WAN Appliance, um IPsec-Verbindungen zu Azure-Ressourcen herzustellen.
3. Verfügen Sie über Internetverbindungen mit öffentlichen IP-Adressen. Obwohl eine einzelne Internetverbindung ausreicht, um die Konnektivität zu Azure herzustellen, benötigen Sie zwei IPsec-Tunnel, um dieselbe WAN-Verbindung zu nutzen.
4. SD-WAN Controller – ein Controller ist die Schnittstelle, die für die Konfiguration von SD-WAN Appliances zur Verbindung mit Azure verantwortlich ist.
5. Ein VNET in Azure, das mindestens eine Workload enthält. Zum Beispiel eine VM, die einen Dienst hostet. Beachten Sie die folgenden Punkte:
   1. Das virtuelle Netzwerk sollte kein Azure VPN- oder Express Route-Gateway oder eine virtuelle Netzwerk-Appliance besitzen.
   2. Das virtuelle Netzwerk sollte keine benutzerdefinierte Route haben, die den Datenverkehr für die von der lokalen Branch aus zugreifende Workload zu einem virtuellen Netzwerk leitet, das kein Virtual WAN ist.
   3. Entsprechende Berechtigungen für den Zugriff auf die Workload müssen konfiguriert werden. Zum Beispiel Port 22 SSH-Zugriff für eine Ubuntu-VM.

Das folgende Diagramm veranschaulicht ein Netzwerk mit zwei Sites und zwei virtuellen Netzwerken in Microsoft Azure.

Microsoft Azure Virtual WAN einrichten

Damit lokale SD-WAN Branches eine Verbindung zu Azure herstellen und über IPsec-Tunnel auf die Ressourcen zugreifen können, müssen die folgenden Schritte ausgeführt werden.

1. Konfigurieren von WAN-Ressourcen.
2. Aktivieren von SD-WAN Branches zur Verbindung mit Azure über IPsec-Tunnel.

Konfigurieren Sie das Azure-Netzwerk, bevor Sie das SD-WAN-Netzwerk konfigurieren, da die für die Verbindung mit SD-WAN Appliances erforderlichen Azure-Ressourcen vorher verfügbar sein müssen. Sie können jedoch die SD-WAN-Konfiguration auch vor der Konfiguration der Azure-Ressourcen vornehmen, wenn Sie dies bevorzugen. Dieses Thema behandelt zuerst die Einrichtung des Azure Virtual WAN-Netzwerks, bevor die SD-WAN Appliances konfiguriert werden. https://microsoft.com azure virtual-wan.

Eine WAN-Ressource erstellen

Um Virtual WAN-Funktionen zu nutzen und die lokale Branch-Appliance mit Azure zu verbinden:

1. Melden Sie sich beim Azure Marketplace an, navigieren Sie zur Virtual WAN-App und wählen Sie WAN erstellen.

   

2. Geben Sie einen Namen für das WAN ein und wählen Sie das Abonnement aus, das Sie für das WAN verwenden möchten.

3. Wählen Sie eine vorhandene Ressourcengruppe aus oder erstellen Sie eine neue Ressourcengruppe. Ressourcengruppen sind logische Konstrukte, und der Datenaustausch zwischen Ressourcengruppen ist immer möglich.

4. Wählen Sie den Speicherort aus, an dem sich Ihre Ressourcengruppe befinden soll. WAN ist eine globale Ressource, die keinen Standort hat. Sie müssen jedoch einen Standort für die Ressourcengruppe eingeben, die Metadaten für die WAN-Ressource enthält.

5. Klicken Sie auf Erstellen. Dadurch wird der Prozess zur Validierung und Bereitstellung Ihrer Einstellungen gestartet.

Site erstellen

Sie können eine Site über einen bevorzugten Anbieter erstellen. Der bevorzugte Anbieter sendet die Informationen über Ihr Gerät und Ihre Site an Azure, oder Sie können entscheiden, das Gerät selbst zu verwalten. Wenn Sie das Gerät verwalten möchten, müssen Sie die Site im Azure-Portal erstellen.

SD-WAN-Netzwerk und Microsoft Azure Virtual WAN-Workflow

SD-WAN Appliance konfigurieren:

1. Eine Citrix SD-WAN Appliance bereitstellen
   • Verbinden Sie die SD-WAN Branch-Appliance mit der MCN-Appliance.
2. SD-WAN Appliance konfigurieren
   • Intranet-Dienste für Active-Active-Verbindung konfigurieren.

SD-WAN Center konfigurieren:

• SD-WAN Center für die Verbindung mit Microsoft Azure konfigurieren.

Azure-Einstellungen konfigurieren:

• Tenant-ID, Client-ID, Secure Key, Subscriber-ID und Ressourcengruppe angeben.

Branch-Site-zu-WAN-Zuordnung konfigurieren:

1. Eine WAN-Ressource einem Branch zuordnen. Dieselbe Site kann nicht mit mehreren WANs verbunden werden.
2. Klicken Sie auf Neu, um die Site-WAN-Zuordnung zu konfigurieren.
3. Wählen Sie Azure WAN-Ressourcen aus.
4. Wählen Sie Dienste (Intranet) für die Site aus. Wählen Sie zwei Dienste für Active-Standby-Unterstützung aus.
5. Wählen Sie die Site-Namen aus, die den WAN-Ressourcen zugeordnet werden sollen.
6. Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen.
7. Warten Sie, bis sich der Status in Tunnel bereitgestellt ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen.
8. Verwenden Sie die Berichtsansicht des SD-WAN Centers, um den Status der jeweiligen IPsec-Tunnel zu überprüfen.

Citrix SD-WAN-Netzwerk konfigurieren

MCN:

Das MCN dient als Verteilungspunkt für die anfängliche Systemkonfiguration und nachfolgende Konfigurationsänderungen. In einem Virtual WAN kann es nur ein aktives MCN geben. Standardmäßig haben Appliances die vordefinierte Rolle eines Clients. Um eine Appliance als MCN einzurichten, müssen Sie die Site zuerst als MCN hinzufügen und konfigurieren. Die GUI für die Netzwerkkonfiguration wird verfügbar, nachdem eine Site als MCN konfiguriert wurde. Upgrades und Konfigurationsänderungen dürfen nur vom MCN oder SD-WAN Center aus durchgeführt werden.

Rolle des MCN:

Das MCN ist der zentrale Knoten, der als Controller eines SD-WAN-Netzwerks und als zentraler Verwaltungspunkt für die Client-Knoten fungiert. Alle Konfigurationsaktivitäten sowie die Vorbereitung von Firmware-Paketen und deren Verteilung an die Clients werden auf dem MCN konfiguriert. Darüber hinaus sind Überwachungsinformationen nur auf dem MCN verfügbar. Das MCN kann das gesamte SD-WAN-Netzwerk überwachen, während Client-Knoten nur die lokalen Intranets und einige Informationen für die Clients, mit denen sie verbunden sind, überwachen können. Der Hauptzweck des MCN besteht darin, Overlay-Verbindungen (virtuelle Pfade) mit einem oder mehreren Client-Knoten im gesamten SD-WAN-Netzwerk für die Site-to-Site-Kommunikation im Unternehmen herzustellen. Ein MCN kann mehrere Client-Knoten verwalten und virtuelle Pfade zu diesen haben. Es kann mehr als ein MCN geben, aber nur eines kann zu einem bestimmten Zeitpunkt aktiv sein. Die folgende Abbildung zeigt das grundlegende Diagramm der MCN- und Client- (Branch-Knoten-) Appliances für ein kleines Netzwerk mit zwei Sites.

SD-WAN Appliance als MCN konfigurieren

Um das MCN hinzuzufügen und zu konfigurieren, müssen Sie sich zuerst bei der Management-Weboberfläche der Appliance anmelden, die Sie als MCN festlegen, und die Management-Weboberfläche in den MCN-Konsolenmodus umschalten. Der MCN-Konsolenmodus ermöglicht den Zugriff auf den Konfigurationseditor in der Management-Weboberfläche, mit der Sie derzeit verbunden sind. Sie können dann den Konfigurationseditor verwenden, um die MCN-Site hinzuzufügen und zu konfigurieren.

Um die Management-Weboberfläche in den MCN-Konsolenmodus zu schalten, gehen Sie wie folgt vor:

1. Melden Sie sich bei der SD-WAN Management-Weboberfläche der Appliance an, die Sie als MCN konfigurieren möchten.
2. Klicken Sie auf Konfiguration in der Hauptmenüleiste des Hauptbildschirms der Management-Weboberfläche (blaue Leiste oben auf der Seite).
3. Öffnen Sie im Navigationsbaum (linker Bereich) den Zweig Appliance-Einstellungen und klicken Sie auf Administrator-Schnittstelle.

4. Wählen Sie die Registerkarte Sonstiges aus. Die Seite mit den sonstigen administrativen Einstellungen wird geöffnet.

   

   Am unteren Rand der Registerkarte Sonstiges befindet sich der Abschnitt Zur [Client, MCN] Konsole wechseln. Dieser Abschnitt enthält die Schaltfläche Konsole wechseln zum Umschalten zwischen den Konsolenmodi der Appliance.

Die Überschrift des Abschnitts zeigt den aktuellen Konsolenmodus wie folgt an:

• Im Client-Konsolenmodus (Standard) lautet die Überschrift des Abschnitts „Zur MCN-Konsole wechseln“.
• Im MCN-Konsolenmodus lautet die Überschrift des Abschnitts „Zur Client-Konsole wechseln“.

Standardmäßig befindet sich eine neue Appliance im Client-Konsolenmodus. Der MCN-Konsolenmodus aktiviert die Ansicht des Konfigurationseditors im Navigationsbaum. Der Konfigurationseditor ist nur auf der MCN-Appliance verfügbar.

MCN konfigurieren

Um die MCN-Appliance-Site hinzuzufügen und mit der Konfiguration zu beginnen, gehen Sie wie folgt vor:

1. Navigieren Sie in der SD-WAN Appliance-GUI zu Virtual WAN > Konfigurationseditor.

   

2. Klicken Sie in der Sites-Leiste auf + Sites, um mit dem Hinzufügen und Konfigurieren der MCN-Site zu beginnen. Das Dialogfeld Site hinzufügen wird angezeigt.

   

3. Geben Sie einen Site-Namen ein, der Ihnen hilft, den geografischen Standort und die Rolle der Appliance (DC/sekundärer DC) zu bestimmen. Wählen Sie das korrekte Appliance-Modell aus. Die Auswahl der korrekten Appliance ist entscheidend, da sich die Hardwareplattformen hinsichtlich Verarbeitungsleistung und Lizenzierung unterscheiden. Da wir diese Appliance als primäre Head-End-Appliance konfigurieren, wählen Sie den Modus als primäres MCN und klicken Sie auf Hinzufügen.

4. Dadurch wird die neue Site zum Sites-Baum hinzugefügt, und die Standardansicht zeigt die Konfigurationsseite für die Basiseinstellungen, wie unten dargestellt:

   

5. Geben Sie die Basiseinstellungen wie Standort, Site-Name ein.

6. Konfigurieren Sie die Appliance so, dass sie Datenverkehr von Internet/MPLS/Breitband akzeptieren kann. Definieren Sie die Schnittstellen, an denen die Links terminiert werden. Dies hängt davon ab, ob sich die Appliance im Overlay- oder Underlay-Modus befindet.

7. Klicken Sie auf Schnittstellengruppen, um die Schnittstellen zu definieren.

   

8. Klicken Sie auf +, um virtuelle Schnittstellengruppen hinzuzufügen. Dadurch wird eine neue virtuelle Schnittstellengruppe hinzugefügt. Die Anzahl der virtuellen Schnittstellen hängt von den Links ab, die die Appliance verarbeiten soll. Die Anzahl der Links, die eine Appliance verarbeiten kann, variiert je nach Appliance-Modell, und die maximale Anzahl der Links kann bis zu acht betragen.

   

9. Klicken Sie rechts neben den virtuellen Schnittstellen auf +, um den unten gezeigten Bildschirm anzuzeigen.

   

10. Wählen Sie die Ethernet-Schnittstellen aus, die Teil dieser virtuellen Schnittstelle sind. Je nach Plattformmodell verfügen Appliances über ein vorkonfiguriertes Paar von Fail-to-Wire-Schnittstellen. Wenn Sie Fail-to-Wire auf Appliances aktivieren möchten, stellen Sie sicher, dass Sie das richtige Schnittstellenpaar auswählen und unter der Spalte Bypass-Modus Fail-to-Wire auswählen.
11. Wählen Sie die Sicherheitsstufe aus der Dropdown-Liste aus. Der vertrauenswürdige Modus wird gewählt, wenn die Schnittstelle MPLS-Links bedient, und der nicht vertrauenswürdige Modus wird gewählt, wenn Internet-Links auf den jeweiligen Schnittstellen verwendet werden.

12. Klicken Sie rechts neben der Bezeichnung „virtuelle Schnittstellen“ auf +. Dies zeigt den Namen, die Firewall-Zone und die VLAN-IDs an. Geben Sie den Namen und die VLAN-ID für diese virtuelle Schnittstellengruppe ein. Die VLAN-ID wird zur Identifizierung und Markierung des Datenverkehrs zu und von der virtuellen Schnittstelle verwendet; verwenden Sie 0 (Null) für nativen/ungetaggten Datenverkehr.

    

13. Um die Schnittstellen im Fail-to-Wire-Modus zu konfigurieren, klicken Sie auf Bridge-Paare. Dadurch wird ein neues Bridge-Paar hinzugefügt und die Bearbeitung ermöglicht. Klicken Sie auf Anwenden, um diese Einstellungen zu bestätigen.
14. Um weitere virtuelle Schnittstellengruppen hinzuzufügen, klicken Sie rechts neben dem Zweig „Schnittstellengruppen“ auf + und verfahren Sie wie oben beschrieben.
15. Nachdem die Schnittstellen ausgewählt wurden, besteht der nächste Schritt darin, IP-Adressen auf diesen Schnittstellen zu konfigurieren. In der Citrix SD-WAN-Terminologie wird dies als VIP (Virtual IP) bezeichnet.

16. Fahren Sie in der Sites-Ansicht fort und klicken Sie auf die virtuelle IP-Adresse, um die Schnittstellen zur Konfiguration der VIP anzuzeigen.

    

17. Geben Sie die IP-Adresse/Präfix-Informationen ein und wählen Sie die virtuelle Schnittstelle aus, der die Adresse zugeordnet ist. Die virtuelle IP-Adresse muss die vollständige Hostadresse und Netzmaske enthalten. Wählen Sie die gewünschten Einstellungen für die virtuelle IP-Adresse aus, z. B. Firewall-Zone, Identität, Privat und Sicherheit. Klicken Sie auf Anwenden. Dadurch werden die Adressinformationen zur Site hinzugefügt und in die Tabelle der virtuellen IP-Adressen der Site aufgenommen. Um weitere virtuelle IP-Adressen hinzuzufügen, klicken Sie rechts neben den virtuellen IP-Adressen auf + und verfahren Sie wie oben beschrieben.

18. Fahren Sie im Abschnitt „Sites“ fort, um WAN-Links für die Site zu konfigurieren.

    

19. Klicken Sie oben im rechten Bereich auf Link hinzufügen. Es öffnet sich ein Dialogfeld, in dem Sie den Typ des zu konfigurierenden Links auswählen können.

    

20. Öffentliches Internet ist für Internet-/Breitband-/DSL-/ADSL-Links, während privates MPLS für MPLS-Links ist. Privates Intranet ist ebenfalls für MPLS-Links. Der Unterschied zwischen privaten MPLS- und privaten Intranet-Links besteht darin, dass privates MPLS die QoS-Richtlinien von MPLS-Links beibehält.
21. Wenn Sie öffentliches Internet wählen und die IPs über DHCP zugewiesen werden, wählen Sie die Option zur automatischen IP-Erkennung.

22. Wählen Sie auf der WAN-Link-Konfigurationsseite Zugriffsschnittstellen aus. Dadurch wird die Ansicht der Zugriffsschnittstellen für die Site geöffnet. Fügen Sie die VIP und die Gateway-IP für jeden der Links hinzu und konfigurieren Sie sie wie unten gezeigt.

    

23. Klicken Sie auf +, um eine Schnittstelle hinzuzufügen. Dadurch wird ein leerer Eintrag zur Tabelle hinzugefügt und zur Bearbeitung geöffnet.

24. Geben Sie den Namen ein, den Sie dieser Schnittstelle zuweisen möchten. Sie können den Namen basierend auf dem Linktyp und dem Standort wählen. Behalten Sie die Routing-Domäne als Standard bei, wenn Sie Netzwerke nicht trennen und der Schnittstelle keine IP zuweisen möchten.

25. Stellen Sie sicher, dass Sie eine öffentlich erreichbare Gateway-IP-Adresse angeben, wenn es sich um einen Internet-Link handelt, oder eine private IP, wenn es sich um einen MPLS-Link handelt. Behalten Sie den virtuellen Pfadmodus als primär bei, da Sie diesen Link benötigen, um einen virtuellen Pfad zu bilden.

    Hinweis: Aktivieren Sie Proxy-ARP, da die Appliance auf ARP-Anfragen für die Gateway-IP-Adresse antwortet, wenn das Gateway nicht erreichbar ist.

26. Klicken Sie auf Anwenden, um die WAN-Link-Konfiguration abzuschließen. Wenn Sie weitere WAN-Links konfigurieren möchten, wiederholen Sie die Schritte für einen weiteren Link.
27. Konfigurieren Sie Routen für die Site. Klicken Sie auf die Ansicht „Verbindungen“ und wählen Sie „Routen“ aus.

28. Klicken Sie auf +, um Routen hinzuzufügen. Es öffnet sich ein Dialogfeld wie unten gezeigt.

    

29. Die folgenden Informationen sind für die neue Route verfügbar:

    • Netzwerk-IP-Adresse
    • Kosten – Die Kosten bestimmen, welche Route Vorrang vor der anderen hat. Pfade mit niedrigeren Kosten haben Vorrang vor Routen mit höheren Kosten. Der Standardwert ist fünf.
    • Diensttyp – Wählen Sie den Dienst aus; ein Dienst kann einer der folgenden sein:
      • Virtueller Pfad
      • Intranet
      • Internet
      • Passthrough
      • Lokal
      • GRE-Tunnel
      • LAN-IPsec-Tunnel
30. Klicken Sie auf Anwenden.

Um weitere Routen für die Site hinzuzufügen, klicken Sie rechts neben dem Routen-Zweig auf + und verfahren Sie wie oben beschrieben. Weitere Informationen finden Sie unter MCN konfigurieren.

Virtuellen Pfad zwischen MCN und Branch-Sites konfigurieren

Stellen Sie die Konnektivität zwischen dem MCN und dem Branch-Knoten her. Dies können Sie tun, indem Sie einen virtuellen Pfad zwischen diesen beiden Sites konfigurieren. Navigieren Sie zur Registerkarte Verbindungen im Konfigurationsbaum des Konfigurationseditors.

1. Klicken Sie im Konfigurationsabschnitt auf die Registerkarte Verbindungen. Dies zeigt den Verbindungsabschnitt des Konfigurationsbaums an.

2. Wählen Sie das MCN aus dem Dropdown-Menü „Site anzeigen“ auf der Seite des Abschnitts Verbindungen aus.

   

3. Wählen Sie unter der Registerkarte „Verbindungen“ den virtuellen Pfad aus, um einen virtuellen Pfad zwischen dem MCN und den Branch-Sites zu erstellen.

   

4. Klicken Sie im Abschnitt „Virtuelle Pfade“ neben dem Namen des statischen virtuellen Pfads auf Virtuellen Pfad hinzufügen. Es öffnet sich ein Dialogfeld wie unten gezeigt. Wählen Sie den Branch aus, für den der virtuelle Pfad konfiguriert werden soll. Sie müssen dies unter der Bezeichnung „Remote-Site“ konfigurieren. Wählen Sie den Branch-Knoten aus dieser Dropdown-Liste aus und aktivieren Sie das Kontrollkästchen Auch umkehren.

   

   Die Datenverkehrsklassifizierung und -steuerung werden auf beiden Seiten des virtuellen Pfads gespiegelt. Nachdem dies abgeschlossen ist, wählen Sie Pfade aus dem Dropdown-Menü unter der Bezeichnung „Abschnitt“ aus, wie unten gezeigt.

   

5. Klicken Sie über der Pfadtabelle auf + Hinzufügen, wodurch das Dialogfeld „Pfad hinzufügen“ angezeigt wird. Geben Sie die Endpunkte an, innerhalb derer der virtuelle Pfad konfiguriert werden muss. Klicken Sie nun auf Hinzufügen, um den Pfad zu erstellen, und aktivieren Sie das Kontrollkästchen Auch umkehren.

   Hinweis: Citrix SD-WAN misst die Linkqualität in beide Richtungen. Das bedeutet, Punkt A zu Punkt B ist ein Pfad und Punkt B zu Punkt A ist ein anderer Pfad. Mithilfe der unidirektionalen Messung der Linkbedingungen kann das SD-WAN die beste Route für den Datenverkehr auswählen. Dies unterscheidet sich von Messungen wie RTT, einer bidirektionalen Metrik zur Messung der Latenz. Zum Beispiel wird eine Verbindung zwischen Punkt A und Punkt B als zwei Pfade angezeigt, und für jeden von ihnen werden die Link-Leistungsmetriken unabhängig berechnet.

Diese Einstellung reicht aus, um die virtuellen Pfade zwischen dem MCN und dem Branch herzustellen; weitere Konfigurationsoptionen sind ebenfalls verfügbar. Weitere Informationen finden Sie unter Virtuellen Pfaddienst zwischen MCN- und Client-Sites konfigurieren.

MCN-Konfiguration bereitstellen

Der nächste Schritt ist die Bereitstellung der Konfiguration. Dies umfasst die folgenden zwei Schritte:

1. Exportieren Sie das SD-WAN-Konfigurationspaket in das Änderungsmanagement.
   • Bevor Sie die Appliance-Pakete generieren können, müssen Sie zuerst das abgeschlossene Konfigurationspaket aus dem Konfigurationseditor in den globalen Staging-Posteingang des Änderungsmanagements auf dem MCN exportieren. Beachten Sie die Schritte im Abschnitt Änderungsmanagement durchführen.
2. Generieren und bereitstellen der Appliance-Pakete.
   • Nachdem Sie das neue Konfigurationspaket zum Änderungsmanagement-Posteingang hinzugefügt haben, können Sie die Appliance-Pakete auf den Branch-Sites generieren und bereitstellen. Dazu verwenden Sie den Änderungsmanagement-Assistenten in der Management-Weboberfläche auf dem MCN. Beachten Sie die Schritte im Abschnitt Appliance-Pakete bereitstellen.

Intranet-Dienste für die Verbindung mit Azure WAN-Ressourcen konfigurieren

1. Navigieren Sie in der SD-WAN Appliance-GUI zum Konfigurationseditor. Navigieren Sie zur Kachel Verbindungen. Klicken Sie auf + Dienst hinzufügen, um einen Intranet-Dienst für diese Site hinzuzufügen.

2. In den Basiseinstellungen für den Intranet-Dienst gibt es mehrere Optionen, wie sich der Intranet-Dienst bei Nichtverfügbarkeit von WAN-Links verhalten soll.

   • Primäre Rückgewinnung aktivieren – Aktivieren Sie dieses Kontrollkästchen, wenn der ausgewählte primäre Link nach einem Failover wieder die Kontrolle übernehmen soll. Wenn Sie diese Option jedoch nicht aktivieren, würde der sekundäre Link weiterhin Datenverkehr senden.
   • WAN-Link-Status ignorieren – Wenn diese Option aktiviert ist, verwenden Pakete, die für diesen Intranet-Dienst bestimmt sind, diesen Dienst weiterhin, auch wenn die zugehörigen WAN-Links nicht verfügbar sind.

3. Nach der Konfiguration der Basiseinstellungen besteht der nächste Schritt darin, die zugehörigen WAN-Links für diesen Dienst auszuwählen. Maximal zwei Links werden für einen Intranet-Dienst ausgewählt. Um die WAN-Links auszuwählen, wählen Sie die Option „WAN-Links“ aus der Dropdown-Liste mit der Bezeichnung „Abschnitt“. Die WAN-Links funktionieren im primären und sekundären Modus, und nur ein Link wird als primärer WAN-Link ausgewählt.

   Hinweis: Wenn ein zweiter Intranet-Dienst erstellt wird, muss er die primäre und sekundäre WAN-Link-Zuordnung haben.

   

4. Es stehen Branch-Site-spezifische Regeln zur Verfügung, die die Möglichkeit bieten, jede Branch-Site einzigartig anzupassen und alle in den globalen Standardeinstellungen konfigurierten allgemeinen Einstellungen zu überschreiben. Die Modi umfassen die gewünschte Zustellung über einen bestimmten WAN-Link oder als Override-Dienst, der das Durchleiten oder Verwerfen des gefilterten Datenverkehrs ermöglicht. Wenn beispielsweise Datenverkehr vorhanden ist, den Sie nicht über den Intranet-Dienst leiten möchten, können Sie eine Regel schreiben, um diesen Datenverkehr zu verwerfen oder über einen anderen Dienst (Internet oder Passthrough) zu senden.

   

5. Wenn der Intranet-Dienst für eine Site aktiviert ist, wird die Kachel Bereitstellung verfügbar, um die bidirektionale (LAN zu WAN / WAN zu LAN) Bandbreitenverteilung für einen WAN-Link unter den verschiedenen Diensten, die den WAN-Link nutzen, zu ermöglichen. Der Abschnitt Dienste ermöglicht es Ihnen, die Bandbreitenzuweisung weiter zu optimieren. Darüber hinaus kann „Fair Share“ aktiviert werden, wodurch Dienste ihre minimal reservierte Bandbreite erhalten, bevor eine faire Verteilung erfolgt.

   

SD-WAN Center konfigurieren

Das folgende Diagramm beschreibt den übergeordneten Workflow der SD-WAN Center- und Azure Virtual WAN-Verbindung.

Azure-Einstellungen konfigurieren:

• Tenant-ID, Client-ID, Secure Key, Subscriber-ID und Ressourcengruppe angeben.

Branch-Site-zu-WAN-Zuordnung konfigurieren:

• Eine WAN-Ressource einer Branch-Site zuordnen. Dieselbe Site kann nicht mit mehreren WANs verbunden werden.
• Klicken Sie auf Neu, um die Site-WAN-Zuordnung zu konfigurieren.
• Wählen Sie Azure WAN-Ressourcen aus.
• Wählen Sie Dienste (Intranet) für die Site aus. Zwei Dienste sollten für Active-Standby-Unterstützung ausgewählt werden.
• Wählen Sie die Site-Namen aus, die den WAN-Ressourcen zugeordnet werden sollen.
• Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen.
• Warten Sie, bis sich der Status in „Heruntergeladen“ ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen.
• Verwenden Sie die Berichtsansicht des SD-WAN Centers, um den Status der jeweiligen IPsec-Tunnel zu überprüfen. Der IPsec-Tunnelstatus sollte GRÜN sein, damit der Datenverkehr fließen kann.

SD-WAN Center bereitstellen:

Das SD-WAN Center ist das Verwaltungs- und Berichtstool für Citrix SD-WAN. Die erforderliche Konfiguration für Virtual WAN wird im SD-WAN Center durchgeführt. Das SD-WAN Center ist nur als virtueller Formfaktor (VPX) verfügbar und muss auf einem VMware ESXi- oder XenServer-Hypervisor installiert werden. Die Mindestressourcen, die zur Konfiguration einer SD-WAN Center Appliance benötigt werden, sind 8 GB RAM und 4 CPU-Kerne. Hier sind die Schritte zum Installieren und Konfigurieren einer SD-WAN Center VM.

SD-WAN Center für Azure-Konnektivität konfigurieren

Stellen Sie sicher, dass die Intranet-Dienste für die erforderlichen Sites konfiguriert sind und die Dienstrichtlinieninformationen des Azure-Portals im SD-WAN Center konfiguriert sind. Siehe Anweisungen im obigen Abschnitt. Bevor Sie das SD-WAN Center verwenden, um eine Verbindung mit Azure WAN-Ressourcen herzustellen, müssen Sie einen Dienstprinzipal erstellen, der zur Authentifizierung einer Drittanbieteranwendung (in diesem Fall SD-WAN Center) bei Azure verwendet wird. Lesen Sie einen Dienstprinzipal erstellen für weitere Informationen.

Um das SD-WAN Center erfolgreich bei Azure zu authentifizieren, sollten die folgenden Parameter verfügbar sein:

• Tenant-ID
• Client-ID
• Secure Key
• Subscriber-ID

Stellen Sie sicher, dass die Intranet-Dienste für die erforderlichen Sites konfiguriert sind und die Dienstrichtlinieninformationen des Azure-Portals im SD-WAN Center konfiguriert sind. Siehe Anweisungen im obigen Abschnitt.

SD-WAN Center authentifizieren:

Navigieren Sie in der SD-WAN Center-Benutzeroberfläche zu Konfiguration > Cloud-Konnektivität. Konfigurieren Sie die Azure-Verbindungseinstellungen. Weitere Informationen zur Konfiguration der Azure VPN-Verbindung finden Sie unter dem folgenden Link: Azure Resource Manager.

Geben Sie die Tenant-ID, den Secure Key, die Subscriber-ID und die Anwendungs-ID ein. Dieser Schritt ist erforderlich, um das SD-WAN Center bei Azure zu authentifizieren. Wenn die oben eingegebenen Anmeldeinformationen nicht korrekt sind, schlägt die Authentifizierung fehl und weitere Aktionen sind nicht zulässig. Klicken Sie auf Anwenden.

Das Feld Speicherkonto bezieht sich auf das Speicherkonto, das Sie in Azure erstellt haben. Wenn Sie kein Speicherkonto erstellt haben, wird beim Klicken auf Anwenden automatisch ein neues Speicherkonto in Ihrem Abonnement erstellt.

Azure Virtual WAN-Ressourcen abrufen:

Nach erfolgreicher Authentifizierung fragt Citrix SD-WAN Azure ab, um eine Liste der Azure Virtual WAN-Ressourcen zu erhalten, die Sie im ersten Schritt nach der Anmeldung im Azure-Portal erstellt haben. Die WAN-Ressourcen sind die Endpunkte oder Hubs zur Terminierung der von den Branch-Sites initiierten IPsec-Tunnel. Diese Ressource stellt Ihr gesamtes Netzwerk in Azure dar. Sie enthält Links zu allen Hubs, die Sie innerhalb dieses WANs haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei verschiedenen Hubs in verschiedenen WAN-Ressourcen enthalten.

Branch-Sites und Azure WAN-Ressourcen zuordnen:

Eine Branch-Site muss mit Azure WAN-Ressourcen verknüpft werden, um IPsec-Tunnel einzurichten. Ein Branch kann mit mehreren solcher Azure Virtual WAN-Ressourcen verbunden werden, und eine Azure Virtual WAN-Ressource kann mit mehreren lokalen Branch-Sites verbunden werden.

Mehrere Sites hinzufügen:

Sie können wählen, mehrere Sites gleichzeitig hinzuzufügen und sie einer Azure WAN-Ressource zuzuordnen.

1. Klicken Sie auf Mehrere hinzufügen, um alle Sites mit demselben Dienstsatz hinzuzufügen und sie den ausgewählten WAN-Ressourcen zuzuordnen.

   

2. Die Dropdown-Liste der Azure WAN-Ressourcen (siehe unten) ist mit den Ressourcen Ihres Azure-Kontos vorab gefüllt. Wenn keine WAN-Ressourcen erstellt wurden, ist diese Liste leer, und Sie müssen zum Azure-Portal navigieren, um die Ressourcen zu erstellen. Wenn die Liste mit WAN-Ressourcen gefüllt ist, wählen Sie die Azure WAN-Ressource aus, mit der die Branch-Sites verbunden werden sollen.

   

3. Wählen Sie den erstellten Intranet-Dienst aus; Sie können in diesem Feld zwei Intranet-Dienste auswählen. Dienste entsprechen den Intranet-Diensten, die Sie mit der SD-WAN-Konfiguration erstellt haben.

4. Wählen Sie eine oder alle Branch-Sites aus, um den Prozess der IPsec-Tunnel-Einrichtung zu initiieren. Basierend auf den ausgewählten Intranet-Diensten werden die verfügbaren Branch-Informationen ausgefüllt. Alle Branches mit den erforderlichen Diensten werden angezeigt.

   

   

   

Einzelne Site hinzufügen:

Sie können auch Sites einzeln hinzufügen, und wenn Ihr Netzwerk wächst oder wenn Sie eine Site-für-Site-Bereitstellung durchführen, können Sie mehrere Sites wie oben beschrieben hinzufügen.

1. Klicken Sie auf Neuen Eintrag hinzufügen, um einen Site-Namen für die Site-WAN-Zuordnung auszuwählen. Fügen Sie Sites im Dialogfeld „Sites für Azure-Netzwerk konfigurieren“ hinzu.

   

   

2. Die Intranet-Dienste, die Sie mit der SD-WAN-Konfiguration erstellt haben, werden für die ausgewählte Site unter Intranet-Dienste (Tunnel1 und Tunnel2) ausgefüllt. Wählen Sie einen oder zwei Intranet-Dienste aus.

3. Wählen Sie die WAN-Ressource aus, der die Site zugeordnet werden soll, aus dem Dropdown-Menü Azure Virtual WANs.

4. Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen. Der Status („Nicht übertragen“, „Übertragen“ & „Heruntergeladen“) wird aktualisiert, um Sie über den Prozess zu informieren.

Der Bereitstellungsprozess umfasst die folgenden Status:

• Site-Informationen übertragen
• Warten auf VPN-Konfiguration
• Tunnel bereitgestellt

• Verbindung aktiv (IPsec-Tunnel ist aktiv) oder Verbindung inaktiv (IPsec-Tunnel ist inaktiv)

  

Warten Sie, bis sich der Status in „Verbindung aktiv“ ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen. Zeigen Sie die IPsec-Einstellungen an, die den ausgewählten Diensten zugeordnet sind.

SD-WAN Azure-Einstellungen:

Standardmäßig ist der Änderungsmanagementprozess automatisiert. Das bedeutet, dass das SD-WAN Center, sobald eine neue Konfiguration in der Azure Virtual WAN-Infrastruktur verfügbar ist, diese abruft und automatisch auf die Branches anwendet. Dieses Verhalten ist jedoch steuerbar, wenn Sie kontrollieren möchten, wann eine Konfiguration auf Branches angewendet werden muss. Ein Vorteil der Deaktivierung des automatischen Änderungsmanagements ist, dass die Konfiguration für diese Funktion und andere SD-WAN-Funktionen unabhängig verwaltet wird. Die Option „Abfrageintervall“ steuert das Intervall, in dem nach Konfigurationsaktualisierungen in der Azure Virtual WAN-Infrastruktur gesucht wird; die empfohlene Zeit für das Abfrageintervall beträgt 2 Minuten.

• Branch-to-Branch-Verbindung deaktivieren – Deaktiviert die Branch-to-Branch-Kommunikation über die Azure Virtual WAN-Infrastruktur. Standardmäßig ist diese Option deaktiviert. Sobald Sie diese aktivieren, bedeutet dies, dass lokale Branches über IPsec über die Azure Virtual WAN-Infrastruktur miteinander und mit den Ressourcen hinter den Branches kommunizieren können. Dies hat keine Auswirkungen auf die Branch-to-Branch-Kommunikation über den virtuellen SD-WAN-Pfad; Branches können auch bei deaktivierter Option über den virtuellen Pfad miteinander und mit ihren jeweiligen Ressourcen/Endpunkten kommunizieren.

• Debug-Level – Ermöglicht das Erfassen von Protokollen zur Fehlerbehebung bei Konnektivitätsproblemen.

WAN-Ressourcen aktualisieren:

Klicken Sie auf das Symbol Aktualisieren, um die neuesten WAN-Ressourcen abzurufen, die Sie im Azure-Portal aktualisiert haben. Nach Abschluss des Aktualisierungsvorgangs wird eine Meldung angezeigt, die besagt: „WAN-Ressourcen erfolgreich aktualisiert“.

Site-WAN-Ressourcen-Zuordnung entfernen

Wählen Sie eine oder mehrere Zuordnungen aus, um die Löschung durchzuführen. Intern wird der Änderungsmanagementprozess der SD-WAN Appliance ausgelöst, und bis dieser erfolgreich ist, ist die Option „Löschen“ deaktiviert, um weitere Löschungen zu verhindern. Das Löschen einer Zuordnung erfordert, dass Sie die entsprechenden Sites im Azure-Portal trennen oder löschen.

IPsec-Tunnel überwachen

Navigieren Sie zur Berichtsansicht des SD-WAN Centers, um den Status der jeweiligen IPsec-Tunnel zu überprüfen. Der Tunnelstatus sollte GRÜN sein, damit der Datenverkehr fließen kann.