Verwenden von Citrix SD-WAN zum Herstellen einer Verbindung mit Microsoft Azure Virtual WAN
Damit lokale Geräte eine Verbindung mit Azure herstellen können, ist ein Controller erforderlich. Ein Controller erfasst Azure-APIs, um Standortkonnektivität mit dem Azure-WAN und einem Hub herzustellen.
Microsoft Azure Virtual WAN enthält die folgenden Komponenten und Ressourcen:
-
WAN: Stellt das gesamte Netzwerk in Microsoft Azure dar. Es enthält Links zu allen Hubs, die Sie in diesem WAN haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei Hubs in verschiedenen WANs enthalten.
-
Site: Stellt Ihr lokales VPN-Gerät und seine Einstellungen dar. Eine Site kann sich mit mehreren Hubs verbinden. Mit Citrix SD-WAN können Sie über eine integrierte Lösung verfügen, um diese Informationen automatisch in Azure zu exportieren.
-
Hub: Stellt den Kern Ihres Netzwerks in einer bestimmten Region dar. Der Hub enthält verschiedene Service-Endpunkte, um Konnektivität und andere Lösungen für Ihr lokales Netzwerk zu ermöglichen. Standort-zu-Site-Verbindungen werden zwischen den Sites zu einem Hubs-VPN-Endpunkt hergestellt.
-
Virtuelle Hub-Netzwerkverbindung: Hub-Netzwerk verbindet den Azure Virtual WAN Hub nahtlos mit Ihrem virtuellen Netzwerk. Derzeit ist eine Konnektivität zu virtuellen Netzwerken verfügbar, die sich innerhalb derselben Virtual Hub-Region befinden.
-
Zweig: Die Zweigstellen sind die lokalen Citrix SD-WAN-Appliances, die in Kundenstandorten vorhanden sind. Ein SD-WAN-Controller verwaltet die Zweige zentral. Die Verbindung stammt von hinter diesen Zweigen und endet in Azure. Der SD-WAN-Controller ist dafür verantwortlich, die erforderliche Konfiguration auf diese Zweige und auf Azure Hubs anzuwenden.
In der folgenden Abbildung werden die Virtual WAN-Komponenten beschrieben:
Wie funktioniert Microsoft Azure Virtual WAN?
-
Das SD-WAN-Center wird mithilfe von Dienstprinzipal, Prinzipal oder rollenbasierten Zugriffsfunktionen authentifiziert, die in der Azure-Benutzeroberfläche aktiviert ist.
-
Das SD-WAN-Center ruft die Azure-Konnektivitätskonfiguration ab und aktualisiert das lokale Gerät. Dadurch wird das Herunterladen, Bearbeiten und Aktualisieren der Konfiguration des lokalen Geräts automatisiert.
-
Nachdem das Gerät über die richtige Azure-Konfiguration verfügt, wird eine Standort-zu-Standort-Verbindung (zwei aktive IPSec-Tunnel) mit dem Azure-WAN hergestellt. Azure erfordert den Zweiggeräteconnector, um IKEv2-Einstellungen zu unterstützen. Die BGP-Konfiguration ist optional.
Hinweis: IPSec-Parameter für die Einrichtung von IPSec-Tunneln sind standardisiert.
IPSec-Eigenschaft Parameter Ike Verschlüsselungsalgorithmus AES-256 Ike Integritätsalgorithmus SHA 256 Dh Gruppe DH2 IPsec-Verschlüsselungsalgorithmus GCM AES 256 IPSec-Integritätsalgorithmus GCM AES 256 PFS Gruppe Ohne
Azure Virtual WAN automatisiert die Konnektivität zwischen dem virtuellen Netzwerk der Arbeitslast und dem Hub. Wenn Sie eine virtuelle Hubnetzwerkverbindung erstellen, wird die entsprechende Konfiguration zwischen dem bereitgestellten Hub und dem virtuellen Netzwerk (VNET) der Arbeitslasten festgelegt.
Voraussetzungen und Anforderungen
Lesen Sie die folgenden Anforderungen, bevor Sie mit der Konfiguration von Azure und SD-WAN zum Verwalten von Zweigsites, die eine Verbindung zu Azure-Hubs herstellen, fortfahren.
- Azure-Abonnement für Virtual WAN auf die Positivliste gesetzt haben.
- Verfügen Sie über eine on-premises Appliance wie eine SD-WAN-Appliance, um IPSec in Azure-Ressourcen einzurichten.
- Haben Sie Internet-Links mit öffentlichen IP-Adressen. Obwohl eine einzelne Internetverbindung ausreicht, um eine Verbindung mit Azure herzustellen, benötigen Sie zwei IPSec-Tunnel, um dieselbe WAN-Verbindung zu verwenden.
- SD-WAN-Controller: Ein Controller ist die Schnittstelle, die für die Konfiguration von SD-WAN-Appliances für die Verbindung mit Azure zuständig ist.
- Ein VNET in Azure mit mindestens einer Arbeitslast. Zum Beispiel eine VM, die einen Dienst hostet. Berücksichtigen Sie die folgenden Punkte:
- Das virtuelle Netzwerk sollte nicht über ein Azure VPN- oder Express Route-Gateway oder eine virtuelle Netzwerk-Appliance verfügen.
- Das virtuelle Netzwerk sollte keine benutzerdefinierte Route haben, die den Datenverkehr für die Arbeitslast, auf die von einem lokalen Zweig aus zugegriffen wird, an ein nicht virtuelles WAN-Netzwerk weiterleitet.
- Die entsprechenden Berechtigungen für den Zugriff auf die Arbeitslast müssen konfiguriert werden. Zum Beispiel Port 22 SSH-Zugriff für eine Ubuntu-VM.
Das folgende Diagramm veranschaulicht ein Netzwerk mit zwei Standorten und zwei virtuellen Netzwerken in Microsoft Azure.
Microsoft Azure Virtual WAN einrichten
Damit on-premises SD-WAN-Niederlassungen eine Verbindung zu Azure herstellen und über IPSec-Tunnel auf die Ressourcen zugreifen können, sollten die folgenden Schritte ausgeführt werden.
- Konfigurieren von WAN-Ressourcen.
- Aktivieren von SD-WAN-Zweigen für die Verbindung mit Azure mithilfe von IPSec-Tunneln.
Konfigurieren Sie Azure-Netzwerk, bevor Sie das SD-WAN-Netzwerk konfigurieren, da die für die Verbindung mit SD-WAN-Appliances erforderlichen Azure-Ressourcen vorher verfügbar sein müssen. Sie können jedoch die SD-WAN-Konfiguration konfigurieren, bevor Sie Azure-Ressourcen konfigurieren. In diesem Thema wird zuerst das Einrichten des Azure Virtual WAN-Netzwerks vor der Konfiguration von SD-WAN-Appliances erörtert. https://microsoft.com azurblaues virtuelles WAN.
Erstellen einer WAN-Ressource
So verwenden Sie Virtual WAN-Funktionen und verbinden die on-premises Zweig-Appliance mit Azure:
-
Melden Sie sich bei Azure Marketplacean, rufen Sie die Virtual WAN-App auf und wählen Sie WAN erstellenaus.
-
Geben Sie einen Namen für das WAN ein und wählen Sie das Abonnement aus, das Sie für WAN verwenden möchten.
- Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe. Ressourcengruppen sind logische Konstrukte und der Datenaustausch über Ressourcengruppen hinweg ist immer möglich.
-
Wählen Sie den Speicherort aus, an dem sich die Ressourcengruppe befinden soll. WAN ist eine globale Ressource, die keinen Standort hat. Sie müssen jedoch einen Speicherort für die Ressourcengruppe eingeben, der Metadaten für die WAN-Ressource enthält.
- Klicken Sie auf Erstellen. Dadurch wird der Prozess zum Überprüfen und Bereitstellen der Einstellungen gestartet.
Site erstellen
Sie können eine Site über einen bevorzugten Anbieter erstellen. Der bevorzugte Anbieter sendet die Informationen zu Ihrem Gerät und Ihrer Site an Azure oder Sie können entscheiden, das Gerät selbst zu verwalten. Wenn Sie das Gerät verwalten möchten, müssen Sie die Site in Azure Portal erstellen.
SD-WAN-Netzwerk und Microsoft Azure Virtual WAN-Workflow
Konfigurieren der SD-WAN-Appliance:
- Bereitstellen einer Citrix SD-WAN-Appliance
- Verbinden Sie die SD-WAN-Zweigeinheit mit der MCN-Appliance.
- Konfigurieren der SD-WAN-Appliance
- Konfigurieren Sie die Intranetdienste für die Active-Active Verbindung.
Konfigurieren Sie das SD-WAN-Center:
- Konfigurieren Sie SD-WAN Center für die Verbindung mit Microsoft Azure.
Konfigurieren von Azure-Einstellungen:
- Geben Sie Mandanten-ID, Client-ID, Secure Key, Subscriber-ID und Ressourcengruppe an.
Konfigurieren Sie den Zweigstandort zu WAN-Zuordnung:
- Ordnen Sie einer Zweigstelle eine WAN-Ressource zu. Der gleiche Standort kann nicht mit mehreren WANs verbunden werden.
- Klicken Sie auf Neu, um Site-WAN-Zuordnung zu konfigurieren.
- Wählen Sie Azure WAN-Ressourcenaus.
- Wählen Sie Dienste (Intranet) für die Site aus. Wählen Sie zwei Dienste für Active-Standby-Unterstützung aus.
- Wählen Sie Sitenamen aus, die den WAN-Ressourcen zugeordnet werden sollen.
- Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen.
- Warten Sie, bis der Status in Tunnel bereitgestellt geändert wurde, um die IPsec-Tunneleinstellungen anzuzeigen.
- Verwenden Sie die Ansicht SD-WAN Center Reporting, um den Status der jeweiligen IPSec-Tunnel zu überprüfen.
Konfigurieren des Citrix SD-WAN-Netzwerks
MCN:
Das MCN dient als Verteilungspunkt für die anfängliche Systemkonfiguration und nachfolgende Konfigurationsänderungen. In einem virtuellen WAN kann nur ein aktives MCN vorhanden sein. Standardmäßig haben Appliances die vorab zugewiesene Rolle des Clients. Um eine Appliance als MCN einzurichten, müssen Sie zuerst die Site als MCN hinzufügen und konfigurieren. Die Benutzeroberfläche für die Netzwerkkonfiguration wird verfügbar, nachdem ein Standort als MCN konfiguriert wurde. Upgrades und Konfigurationsänderungen müssen nur über das MCN- oder SD-WAN-Center durchgeführt werden.
Rolle von MCN:
Der MCN ist der zentrale Knoten, der als Controller eines SD-WAN-Netzwerks fungiert, und der zentrale Verwaltungspunkt für die Client-Knoten. Alle Konfigurationsaktivitäten und die Vorbereitung von Firmware-Paketen und deren Verteilung an die Clients werden auf dem MCN konfiguriert. Darüber hinaus sind Überwachungsinformationen nur auf dem MCN verfügbar. Das MCN kann das gesamte SD-WAN-Netzwerk überwachen, während Client-Knoten nur die lokalen Intranets und einige Informationen für diese Clients überwachen können, mit denen sie verbunden sind. Der Hauptzweck des MCN besteht darin, Overlay-Verbindungen (virtuelle Pfade) mit einem oder mehreren Client-Knoten im SD-WAN-Netzwerk für die Unternehmens-Standort-zu-Standort-Kommunikation herzustellen. Ein MCN kann virtuelle Pfade zu mehreren Client-Knoten verwalten und haben. Es kann mehr als ein MCN geben, aber nur eine kann zu einem bestimmten Zeitpunkt aktiv sein. Die folgende Abbildung veranschaulicht das grundlegende Diagramm der MCN- und Client- (Zweigknoten) -Appliances für ein kleines Netzwerk von zwei Standorten.
Konfigurieren der SD-WAN-Appliance als MCN
Um das MCN hinzuzufügen und zu konfigurieren, müssen Sie sich zuerst bei der Management-Webschnittstelle auf der Appliance anmelden, die Sie als MCN festlegen, und die Management-Webschnittstelle in den MCN-Konsolenmodus wechseln. Der MCN-Konsolenmodus ermöglicht den Zugriff auf den Konfigurationseditor im Management-Webinterface, mit dem Sie derzeit verbunden sind. Sie können dann den Konfigurationseditor verwenden, um die MCN-Site hinzuzufügen und zu konfigurieren.
Gehen Sie wie folgt vor, um das Management-Webinterface in den MCN-Konsolenmodus umzuschalten:
- Melden Sie sich bei der SD-WAN-Management-Weboberfläche der Appliance an, die Sie als MCN konfigurieren möchten.
- Klicken Sie in der Hauptmenüleiste des Hauptbildschirms des Management Webinterface auf Konfiguration (blauer Balken oben auf der Seite).
- Öffnen Sie in der Navigationsstruktur (linker Bereich) den Zweig Applianceeinstellungen und klicken Sie auf Administratorschnittstelle.
-
Wählen Sie die Registerkarte Verschiedenes. Die Seite mit den verschiedenen administrativen Einstellungen wird geöffnet.
Am unteren Rand der Registerkarte Verschiedenes befindet sich der Abschnitt Switch to [Client, MCN] Console. Dieser Abschnitt enthält die Schaltfläche Konsole wechseln, um zwischen den Konsolenmodi der Appliance umzuschalten.
Die Abschnittsüberschrift zeigt den aktuellen Konsolenmodus wie folgt an:
- Im Client-Konsolenmodus (Standard) lautet die Abschnittsüberschrift Switch to MCN Console.
- Im MCN-Konsolenmodus lautet die Abschnittsüberschrift Switch to Client Console.
Standardmäßig befindet sich eine neue Appliance im Client-Konsolenmodus. Im MCN-Konsolenmodus wird die Ansicht des Konfigurationseditors in der Navigationsstruktur aktiviert. Der Konfigurationseditor ist nur auf der MCN-Appliance verfügbar.
MCN konfigurieren
Gehen Sie folgendermaßen vor, um die MCN-Appliance-Site hinzuzufügen und mit der Konfiguration zu beginnen:
-
Navigieren Sie in der SD-WAN-Appliance-GUI zu Virtual WAN > Konfigurationseditor.
-
Klicken Sie in der Seitenleiste auf + Sites, um mit dem Hinzufügen und Konfigurieren der MCN-Site zu beginnen. Das Dialogfeld Site hinzufügen wird angezeigt.
-
Geben Sie einen Standortnamen ein, mit dem Sie den geografischen Standort und die Rolle der Appliance (DC/Secondary DC) bestimmen können. Wählen Sie das richtige Einheitenmodell aus. Die Auswahl der richtigen Appliance ist entscheidend, da sich die Hardwareplattformen hinsichtlich Rechenleistung und Lizenzierung voneinander unterscheiden. Da wir diese Appliance als primäre Head-End-Appliance konfigurieren, wählen Sie den Modus als primäre MCN und klicken Sie auf Hinzufügen.
-
Dadurch wird die neue Site zur Site-Struktur hinzugefügt, und die Standardansicht zeigt die Konfigurationsseite für grundlegende Einstellungen, wie unten dargestellt:
-
Geben Sie die grundlegenden Einstellungen wie Standort, Standortname ein.
- Konfigurieren Sie die Appliance so, dass sie Datenverkehr vom Internet/MPLS/Breitband akzeptieren kann. Definieren Sie die Schnittstellen, auf denen die Links beendet werden. Dies hängt davon ab, ob sich die Appliance im Overlay- oder Unterlagermodus befindet.
-
Klicken Sie auf “Interface groups”, um die Schnittstellen zu definieren.
-
Klicken Sie auf +, um virtuelle Schnittstellengruppen hinzuzufügen. Dadurch wird eine neue virtuelle Schnittstellengruppe hinzugefügt. Die Anzahl der virtuellen Schnittstellen hängt von den Links ab, die die Appliance verarbeiten soll. Die Anzahl der Verknüpfungen, die eine Appliance verarbeiten kann, variiert von Einheitenmodell zu Modell, und die maximale Anzahl von Links kann bis zu acht sein.
-
Klicken Sie auf + rechts neben virtuellen Schnittstellen, um den Bildschirm wie unten gezeigt anzuzeigen.
- Wählen Sie die Ethernet-Schnittstellenaus, die den Teil dieser virtuellen Schnittstelle bilden. Abhängig vom Plattformmodell verfügen Appliances über ein vorkonfiguriertes Paar Fail-to-Wire-Schnittstellen. Wenn Sie Fail-to-Wire für Appliances aktivieren möchten, stellen Sie sicher, dass Sie das richtige Schnittstellenpaar auswählen, und stellen Sie sicher, dass Sie in der Spalte Bypass-Modus die Option Fail-to-Wire wählen.
- Wählen Sie die Sicherheitsstufe aus der Dropdownliste aus. Der vertrauenswürdige Modus wird gewählt, wenn die Schnittstelle MPLS-Links bereitstellt und Nicht vertrauenswürdig gewählt wird, wenn Internetlinks auf den jeweiligen Schnittstellen verwendet werden.
-
Klicken Sie auf + rechts neben der Bezeichnung “virtuelle Schnittstellen”. Hier werden Name, Firewallzone und VLAN-IDs angezeigt. Geben Sie den Namen und die VLAN-ID für diese virtuelle Schnittstellengruppe ein. VLAN-ID dient zum Identifizieren und Markieren von Datenverkehr zu und von der virtuellen Schnittstelle, verwenden Sie 0 (Null) für native/nicht getaggte Datenverkehr.
- Zum Konfigurieren von Schnittstellen ohne Kabel klicken Sie auf “Bridge-Paare”. Dies fügt ein neues Bridge-Paar hinzu und ermöglicht die Bearbeitung. Klicken Sie auf Übernehmen, um diese Einstellungen zu bestätigen.
- Um weitere virtuelle Schnittstellengruppen hinzuzufügen, klicken Sie rechts neben dem Zweig der Schnittstellengruppen auf + und fahren Sie wie oben fort.
- Nachdem die Schnittstellen ausgewählt wurden, besteht der nächste Schritt darin, IP-Adressen auf diesen Schnittstellen zu konfigurieren. In der Citrix SD-WAN-Terminologie wird dies als VIP (Virtual IP) bezeichnet.
-
Fahren Sie in der Siteansicht fort und klicken Sie auf die virtuelle IP-Adresse, um die Schnittstellen zum Konfigurieren von VIP anzuzeigen.
-
Geben Sie die IP-Adresse/Präfix-Informationen ein und wählen Sie die virtuelle Schnittstelle aus, mit der die Adresse verknüpft ist. Die virtuelle IP-Adresse muss die vollständige Hostadresse und die Netzmaske enthalten. Wählen Sie die gewünschten Einstellungen für die virtuelle IP-Adresse aus, z. B. die Firewallzone, Identität, Privat und Sicherheit. Klicken Sie auf Anwenden. Dadurch werden die Adressinformationen zur Site hinzugefügt und in die Tabelle Virtuelle IP-Adressen der Site aufgenommen. Um weitere virtuelle IP-Adressen hinzuzufügen, klicken Sie rechts neben den Virtuellen IP-Adressen auf +, und fahren Sie wie oben beschrieben fort.
-
Fahren Sie im Abschnitt Standorte fort, um WAN-Links für die Site zu konfigurieren.
-
Klicken Sie auf Link hinzufügen, oben im Bedienfeld auf der rechten Seite. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den zu konfigurierenden Linktyp auswählen können.
- Öffentliches Internet ist für Internet/Breitband/DSL/ADSL -Links, während private MPLS für MPLS-Links ist. Private Intranet ist auch für MPLS-Links. Der Unterschied zwischen privaten MPLS und privaten Intranet-Links besteht darin, dass private MPLS die QoS-Richtlinien von MPLS-Links beibehalten kann.
- Wenn Sie das öffentliche Internet auswählen und die IPs über DHCP zugewiesen werden, wählen Sie die Option IP automatisch erkennen.
-
Wählen Sie auf der Konfigurationsseite der WAN-Link-Konfiguration die Option Access Interfaces aus. Dadurch wird die Ansicht Access Interfaces für die Site geöffnet. Fügen Sie die VIP- und Gateway-IP für jeden der Links hinzu und konfigurieren Sie sie wie unten gezeigt.
-
Klicken Sie auf +, um eine Schnittstelle hinzuzufügen. Dadurch wird der Tabelle ein leerer Eintrag hinzugefügt und zur Bearbeitung geöffnet.
- Geben Sie den Namen ein, den Sie dieser Schnittstelle zuweisen möchten. Sie können den Namen basierend auf dem Linktyp und dem Speicherort wählen. Halten Sie die Routingdomäne als Standard bei, wenn Sie keine Netzwerke trennen und der Schnittstelle eine IP zuweisen möchten.
-
Stellen Sie sicher, dass Sie eine öffentlich erreichbare Gateway IP-Adresse angeben, wenn es sich bei dem Link um einen Internetlink oder eine private IP-Adresse handelt, wenn es sich um einen MPLS-Link handelt. Behalten Sie den virtuellen Pfadmodus als primär, da Sie diesen Link benötigen, um einen virtuellen Pfad zu bilden.
Hinweis: Aktivieren Sie Proxy ARP, wenn die Appliance auf ARP-Anfragen für die Gateway-IP-Adresse antwortet, wenn das Gateway nicht erreichbar ist.
- Klicken Sie auf Übernehmen, um die Konfiguration der WAN-Link abzuschließen. Wenn Sie weitere WAN-Links konfigurieren möchten, wiederholen Sie die Schritte für einen anderen Link.
- Konfigurieren Sie Routen für die Site. Klicken Sie auf “Verbindungsansicht” und wählen Sie Routen aus.
-
Klicken Sie auf +, um Routen hinzuzufügen, öffnet dies ein Dialogfeld, wie unten gezeigt.
-
Geben Sie die folgenden Informationen für die neue Route zur Verfügung stehen:
- Netzwerk-IP-Adresse
- Kosten — Die Kosten bestimmen, welche Route Vorrang vor der anderen hat. Pfade mit niedrigeren Kosten haben Vorrang vor höheren Kosten Routen. Der Standardwert ist fünf.
- Diensttyp — Wählen Sie den Dienst aus, ein Dienst kann einer der folgenden sein:
- Virtueller Pfad
- Intranet
- Internet
- Passthrough
- Lokal
- GRE Tunnel
- LAN IPsec-Tunnel
- Klicken Sie auf Anwenden.
Um weitere Routen für die Site hinzuzufügen, klicken Sie auf + rechts neben dem Streckenzweig und fahren Sie wie oben beschrieben fort. Weitere Informationen finden Sie unter MCN konfigurieren.
Konfigurieren des virtuellen Pfads zwischen MCN und Zweigstandorten
Stellen Sie die Konnektivität zwischen dem MCN und dem Zweigknoten her. Sie können dies tun, indem Sie einen virtuellen Pfad zwischen diesen beiden Sites konfigurieren. Navigieren Sie in der Konfigurationsstruktur des Konfigurationseditors zur Registerkarte Verbindungen.
- Klicken Sie im Konfigurationsabschnitt auf die Registerkarte Verbindungen. Daraufhin wird der Abschnitt Verbindungen der Konfigurationsstruktur angezeigt.
-
Wählen Sie auf der Abschnittseite Verbindungen das Dropdownmenü MCN aus Ansicht Site aus.
-
Wählen Sie unter der Registerkarte Verbindungen den virtuellen Pfad aus, um einen virtuellen Pfad zwischen den MCN- und Zweigstandorten zu erstellen.
-
Klicken Sie im Abschnitt “ Virtuellen Pfad hinzufügen “ neben dem Namen des statischen virtuellen Pfads auf Virtuellen Pfad. Dies öffnet sich ein Dialogfeld, wie unten gezeigt. Wählen Sie den Zweig aus, für den der virtuelle Pfad konfiguriert werden soll. Sie müssen dies unter der Bezeichnung “remote site” konfigurieren. Wählen Sie den Knoten “Branch” aus dieser Dropdownliste aus und klicken Sie auf das Kontrollkästchen Reverse Also.
Verkehrsklassifizierung und Steuerung werden auf beiden Seiten des virtuellen Pfades gespiegelt. Nachdem dies abgeschlossen ist, wählen Sie Pfade aus dem Dropdownmenü unter dem Label namens Abschnitt wie unten gezeigt.
-
Klicken Sie über der Pfadtabelle auf + Hinzufügen, in der das Dialogfeld Pfad hinzufügen angezeigt wird. Geben Sie die Endpunkte an, in denen der virtuelle Pfad konfiguriert werden muss. Klicken Sie nun auf Hinzufügen, um den Pfad zu erstellen, und klicken Sie auf das Kontrollkästchen Umkehren.
Hinweis: Citrix SD-WAN misst die Verbindungsqualität in beide Richtungen. Dies bedeutet, dass Punkt A zu Punkt B ein Pfad ist und Punkt B zu Punkt A ein anderer Pfad ist. Mit Hilfe der unidirektionalen Messung der Verbindungsbedingungen kann das SD-WAN die beste Route wählen, um den Verkehr zu senden. Dies unterscheidet sich von Messgrößen wie RTT, bei denen es sich um eine bidirektionale Metrik zur Messung der Latenz handelt. Beispielsweise wird eine Verbindung zwischen Punkt A und Punkt B als zwei Pfade angezeigt, und für jeden von ihnen werden die Verbindungsleistungsmetriken unabhängig berechnet.
Diese Einstellung reicht aus, um die virtuellen Pfade zwischen dem MCN und dem Zweig nach oben zu bringen, weitere Konfigurationsoptionen sind ebenfalls verfügbar. Weitere Informationen finden Sie unter Konfigurieren des virtuellen Pfaddienstes zwischen MCN und Client-Sites.
MCN-Konfiguration bereitstellen
Der nächste Schritt besteht darin, die Konfiguration bereitzustellen. Hierbei handelt es sich um die folgenden zwei Schritte:
-
Exportieren Sie das SD-WAN-Konfigurationspaket in Change Management.
- Bevor Sie die Appliance-Pakete generieren können, müssen Sie zuerst das fertige Konfigurationspaket aus dem Konfigurationseditor in den globalen Change Management-Staging-Posteingang auf dem MCN exportieren. Beachten Sie die Schritte im Abschnitt Änderungsmanagement durchführen.
-
Generieren und Stage der Appliance-Pakete.
- Nachdem Sie das neue Konfigurationspaket zum Change Management-Posteingang hinzugefügt haben, können Sie die Appliance-Pakete auf den Zweigstandorten generieren und bereitstellen. Dazu verwenden Sie den Änderungsverwaltungs-Assistenten in der Management-Weboberfläche auf dem MCN. Beziehen Sie sich auf die Schritte im Abschnitt Stage Appliance-Pakete.
Konfigurieren von Intranetdiensten für die Verbindung mit Azure WAN-Ressourcen
-
Gehen Sie in der SD-WAN-Appliance-GUI zum Konfigurationseditor. Navigieren Sie zur Kachel Verbindungen . Klicken Sie auf + Dienst hinzufügen, um einen Intranetdienst für diese Site hinzuzufügen.
-
In den Grundeinstellungen für den Intranetdienst gibt es mehrere Möglichkeiten, wie sich der Intranetdienst während der Nichtverfügbarkeit von WAN-Verbindungen verhalten soll.
- Primäre Rückforderung aktivieren — Aktivieren Sie dieses Kontrollkästchen, wenn der ausgewählte primäre Link nach dem Failover übernommen werden soll. Wenn Sie diese Option jedoch nicht aktivieren, wird der sekundäre Link weiterhin Verkehr senden.
- WAN-Link-Status ignorieren — Wenn diese Option aktiviert ist, verwenden Pakete, die für diesen Intranetdienst bestimmt sind, diesen Dienst auch dann weiterhin, wenn die konstituierenden WAN-Verbindungen nicht verfügbar sind.
-
Nach der Konfiguration der Grundeinstellungen besteht der nächste Schritt darin, die konstituierenden WAN-Links für diesen Dienst auszuwählen. Maximal zwei Links werden für einen Intranetdienst ausgewählt. Um die WAN-Links auszuwählen, wählen Sie die Option “WAN-Links” aus der Dropdownliste “Section”. Die WAN-Links funktionieren im primären und sekundären Modus und nur eine Verbindung wird als primäre WAN-Verbindung ausgewählt.
Hinweis: Wenn ein zweiter Intranetdienst erstellt wird, muss er über die primäre und sekundäre WAN-Link-Zuordnung verfügen.
-
Zweigstandortspezifische Regeln sind verfügbar, die die Anpassung der einzelnen Zweigstandorts ermöglichen, alle allgemeinen Einstellungen, die im globalen Standardsatz konfiguriert sind, eindeutig außer Kraft zu setzen. Modi umfassen die gewünschte Zustellung über eine bestimmte WAN-Verbindung oder als Override-Dienst, der die Durchleitung oder das Verwerfen des gefilterten Datenverkehrs ermöglicht. Wenn beispielsweise Traffic vorhanden ist, den Sie nicht über den Intranetdienst übertragen möchten, können Sie eine Regel schreiben, um diesen Datenverkehr zu verwerfen oder ihn über einen anderen Dienst (Internet oder Durchlauf) zu senden.
-
Wenn der Intranetdienst für einen Standort aktiviert ist, wird die Provisioning-Kachel zur Verfügung gestellt, um die bidirektionale Verteilung der Bandbreite (LAN zu WAN/WAN zu LAN) für eine WAN-Verbindung zwischen den verschiedenen Diensten über die WAN-Verbindung zu ermöglichen. Im Abschnitt “ Dienste “ können Sie die Bandbreitenzuweisung weiter optimieren. Darüber hinaus kann Fair Share aktiviert werden, so dass Services ihre minimale reservierte Bandbreite erhalten können, bevor eine faire Verteilung erfolgt.
SD-WAN Center konfigurieren
Das folgende Diagramm beschreibt den Workflow auf hoher Ebene der SD-WAN Center- und Azure Virtual WAN-Verbindung.
Konfigurieren von Azure-Einstellungen:
- Geben Sie Mandanten-ID, Client-ID, Secure Key, Subscriber-ID und Ressourcengruppe an.
Konfigurieren Sie den Zweigstandort zu WAN-Zuordnung:
- Ordnen Sie eine WAN-Ressource einem Zweigstandort zu. Der gleiche Standort kann nicht mit mehreren WANs verbunden werden.
- Klicken Sie auf Neu, um Site-WAN-Zuordnung zu konfigurieren.
- Wählen Sie Azure WAN-Ressourcenaus.
- Wählen Sie Dienste (Intranet) für die Site aus. Zwei Dienste sollten für den Active-Standby-Support ausgewählt werden.
- Wählen Sie Sitenamen aus, die den WAN-Ressourcen zugeordnet werden sollen.
- Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen.
- Warten Sie, bis sich der Status auf „Heruntergeladen“ ändert, um die IPSec-Tunneleinstellungen anzuzeigen.
- Verwenden Sie die Ansicht SD-WAN Center Reporting, um den Status der jeweiligen IPSec-Tunnel zu überprüfen. Der IPSec-Tunnelstatus sollte GRÜN sein, damit der Datenverkehr fließen kann.
Bereitstellen von SD-WAN-Center:
SD-WAN-Center ist das Management- und Reporting-Tool für Citrix SD-WAN. Die erforderliche Konfiguration für Virtual WAN wird im SD-WAN Center durchgeführt. SD-WAN Center ist nur als virtueller Formfaktor (VPX) verfügbar und muss auf einem VMware ESXi oder einem XenServer Hypervisor installiert werden. Für die Konfiguration einer SD-WAN-Center-Appliance sind mindestens 8 GB RAM und 4 CPU-Kerne erforderlich. Hier sind die Schritte zum Installieren und Konfigurieren einer SD-WAN-Center-VM.
Konfigurieren von SD-WAN Center für Azure-Konnektivität
Stellen Sie sicher, dass Intranetdienste für die erforderlichen Standorte konfiguriert sind und die Dienstrichtlinieninformationen des Azure-Portals im SDWAN-Center konfiguriert sind. Siehe Anweisungen im obigen Abschnitt. Bevor Sie das SD-WAN-Center für die Verbindung mit Azure WAN-Ressourcen verwenden, müssen Sie einen Dienstprinzipal erstellen, der zum Authentifizieren einer Drittanbieteranwendung (in diesem Fall SD-WAN-Center) mit Azure verwendet wird. Lesen Sie Erstellen Sie einen Service Principal für weitere Informationen.
Um SD-WAN-Center mit Azure erfolgreich zu authentifizieren, sollten die folgenden Parameter verfügbar sein:
- Mandanten-ID
- Client-ID
- Sicherer Schlüssel
- Teilnehmer-ID
Stellen Sie sicher, dass Intranetdienste für die erforderlichen Standorte konfiguriert sind und die Dienstrichtlinieninformationen des Azure-Portals im SDWAN-Center konfiguriert sind. Siehe Anweisungen im obigen Abschnitt.
Authentifizieren des SD-WAN-Centers:
Navigieren Sie in der Benutzeroberfläche des SD-WAN Center zu Konfiguration > Cloud-Konnektivität. Konfigurieren Sie Azure-Verbindungseinstellungen. Unter dem folgenden Link finden Sie weitere Informationen zum Konfigurieren der Azure VPN-Verbindung, Azure Resource Manager.
Geben Sie die Mandanten-ID, den Secure Key, die Subscriber-ID und die Anwendungs-ID ein. Dieser Schritt ist erforderlich, um SD-WAN-Center mit Azure zu authentifizieren. Wenn die oben eingegebenen Anmeldeinformationen nicht korrekt sind, schlägt die Authentifizierung fehl und weitere Aktionen sind nicht zulässig. Klicken Sie auf Anwenden.
Das Feld Speicherkonto bezieht sich auf das Speicherkonto, das Sie in Azure erstellt haben. Wenn Sie kein Speicherkonto erstellt haben, wird automatisch ein neues Speicherkonto in Ihrem Abonnement erstellt, wenn Sie auf Übernehmenklicken.
Erhalten Sie Azure Virtual WAN-Ressourcen:
Nach erfolgreicher Authentifizierung fragt Citrix SD-WAN Azure ab, um eine Liste der Azure Virtual WAN-Ressourcen zu erhalten, die Sie im ersten Schritt nach der Anmeldung beim Azure-Portal erstellt haben. Die WAN-Ressourcen sind die Endpunkte oder Hubs zum Beenden der von den Zweigstandorten initiierten IPSec-Tunnel. Diese Ressource stellt Ihr gesamtes Netzwerk in Azure dar. Es enthält Links zu allen Hubs, die Sie in diesem WAN haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei verschiedenen Hubs in verschiedenen WAN-Ressourcen enthalten.
So ordnen Sie Zweigstandorte und Azure WAN-Ressourcen zu:
Ein Zweigstandort muss mit Azure WAN-Ressourcen verknüpft sein, um IPSec-Tunnel einzurichten. Ein Zweig kann mit mehreren solchen virtuellen Azure-WAN-Ressourcen verbunden werden, und eine virtuelle Azure-WAN-Ressource kann mit mehreren on-premises Zweigstellen verbunden werden.
So fügen Sie mehrere Sites hinzu:
Sie können mehrere Standorte gleichzeitig hinzufügen und einer Azure-WAN-Ressource zuordnen.
-
Klicken Sie auf Mehrere hinzufügen, um alle Sites mit demselben Service hinzuzufügen und sie den ausgewählten WAN-Ressourcen zuzuordnen.
-
Die Dropdownliste Azure WAN-Ressourcen (siehe unten) wird mit den Ressourcen ihres Azure Kontos vorausgefüllt. Wenn keine WAN-Ressourcen erstellt wurden, ist diese Liste leer und Sie müssen zum Azure Portal navigieren, um die Ressourcen zu erstellen. Wenn die Liste mit WAN-Ressourcen gefüllt ist, wählen Sie die Azure-WAN-Ressource aus, mit der die Zweigstandorte verbunden werden sollen.
-
Wählen Sie den erstellten Intranetdienst aus. In diesem Feld können Sie zwei Intranetdienste auswählen. Die Dienste entsprechen den Intranetdiensten, die Sie mit der SD-WAN-Konfiguration erstellt haben.
-
Wählen Sie einen oder alle Zweigstandorte aus, um den Prozess der IPSec-Tunneleinrichtung zu initiieren. Basierend auf den ausgewählten Intranetdiensten werden die verfügbaren Zweiginformationen ausgefüllt. Alle Filialen mit erforderlichen Dienstleistungen werden angezeigt.
So fügen Sie eine einzelne Site hinzu:
Sie können auch festlegen, dass Sites einzeln (einzeln) hinzugefügt werden und wenn Ihr Netzwerk wächst, oder wenn Sie eine Standort-für-Standort-Bereitstellung durchführen, können Sie mehrere Standorte hinzufügen, wie oben beschrieben.
-
Klicken Sie auf Neuen Eintrag hinzufügen, um einen Site-Namen für die Site-Wan-Zuordnung auszuwählen. Fügen Sie Sites im Dialogfeld Sites zu Azure-Netzwerk konfigurieren hinzu.
-
Die Intranetdienste, die Sie mit der SD-WAN-Konfiguration erstellt haben, werden basierend auf der ausgewählten Site unter Intranetdienste (Tunnel1 und Tunnel2) aufgefüllt. Wählen Sie einen oder zwei Intranetdienste aus.
-
Wählen Sie im Dropdown-Menü Azure Virtual WANs die WAN-Ressource aus, mit der die Site verknüpft werden muss.
-
Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen. Der Status („Nicht gepusht“, „Pushed“ & „Heruntergeladen“) wird aktualisiert, um Sie über den Vorgang zu informieren.
Der Bereitstellungsprozess umfasst den folgenden Status:
- Push-Site-Informationen
- Warten auf VPN-Konfiguration
- Bereitgestellte Tunnel
-
Verbindung aktiv (IPSec-Tunnel ist hochgefahren) oder Verbindung heruntergefahren (IPSec-Tunnel ist heruntergefahren)
Warten Sie, bis der Status in “Verbindung Aktiv” geändert wird, um die IPSec-Tunneleinstellungen anzuzeigen. Zeigen Sie IPSec-Einstellungen an, die den ausgewählten Diensten zugeordnet sind.
SD-WAN Azure-Einstellungen:
Standardmäßig ist der Änderungsverwaltungsprozess automatisiert. Das bedeutet, dass SD-WAN Center jederzeit eine neue Konfiguration in der Azure Virtual WAN-Infrastruktur verfügbar ist, diese abruft und automatisch auf Zweige angewendet wird. Dieses Verhalten wird jedoch gesteuert, wenn Sie steuern möchten, wann eine Konfiguration auf Zweige angewendet werden muss. Ein Vorteil der Deaktivierung des automatischen Änderungsmanagements besteht darin, dass die Konfiguration für diese Funktion und andere SD-WAN-Funktionen unabhängig voneinander verwaltet wird.Die Option Abrufintervall steuert das Intervall der Suche nach Konfigurationsupdates in Azure Virtual WAN-Infrastruktur. Die empfohlene Zeit für Abrufintervall beträgt 2 Minuten.
-
Verbindung zwischen Zweig und Zweig deaktivieren — Deaktiviert die Kommunikation zwischen Zweig und Zweig über Azure Virtual WAN-Infrastruktur. Standardmäßig ist diese Option deaktiviert. Sobald Sie dies aktiviert haben, bedeutet dies, dass lokale Niederlassungen miteinander und mit den Ressourcen hinter den Zweigen über IPSec über Virtual WAN Infra von Azure kommunizieren können. Dies hat keine Auswirkung auf die Branch-to-Branch-Kommunikation über den virtuellen SD-WAN-Pfad, Zweige können miteinander und ihre jeweiligen Ressourcen/Endpunkte über den virtuellen Pfad kommunizieren, selbst wenn diese Option deaktiviert ist.
-
Debug-Ebene — Ermöglicht das Erfassen von Protokollen, um bei Verbindungsproblemen zu debuggen.
WAN-Ressourcen aktualisieren:
Klicken Sie auf das Symbol Aktualisieren, um die neuesten WAN-Ressourcen abzurufen, die Sie im Azure-Portal aktualisiert haben. Nach Abschluss des Aktualisierungsvorgangs wird eine Meldung angezeigt, dass die WAN-Ressourcen erfolgreich aktualisiert wurden.
Standort-Wan-Ressourcenzuordnung entfernen
Wählen Sie eine oder mehrere Zuordnungen aus, um das Löschen durchzuführen. Intern wird der Änderungsverwaltungsprozess der SD-WAN-Appliance ausgelöst, und bis er erfolgreich ist, ist die Option Löschen deaktiviert, um zu verhindern, dass weitere Löschungen durchgeführt werden. Zum Löschen der Zuordnung müssen Sie die Zuordnung der entsprechenden Sites im Azure-Portal aufheben oder löschen.
Überwachung von IPsec-Tunneln
Navigieren Sie in die Ansicht SD-WAN Center Reporting, um den Status der jeweiligen IPSec-Tunnel zu überprüfen. Der Tunnelstatus sollte GRÜN sein, damit der Datenverkehr fließen kann.