Verwenden von Citrix SD-WAN™ zum Herstellen einer Verbindung mit Microsoft Azure Virtual WAN

Für die Verbindung von lokalen Geräten mit Azure ist ein Controller erforderlich. Ein Controller nimmt Azure-APIs auf, um eine Site-to-Site-Konnektivität mit dem Azure WAN und einem Hub herzustellen.

Microsoft Azure Virtual WAN umfasst die folgenden Komponenten und Ressourcen:

• WAN: Stellt das gesamte Netzwerk in Microsoft Azure dar. Es enthält Links zu allen Hubs, die Sie in diesem WAN haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei Hubs in verschiedenen WANs enthalten.

• Site: Stellt Ihr lokales VPN-Gerät und dessen Einstellungen dar. Eine Site kann sich mit mehreren Hubs verbinden. Durch die Verwendung von Citrix SD-WAN erhalten Sie eine integrierte Lösung, um diese Informationen automatisch nach Azure zu exportieren.

• Hub: Stellt den Kern Ihres Netzwerks in einer bestimmten Region dar. Der Hub enthält verschiedene Dienstendpunkte, um Konnektivität und andere Lösungen für Ihr lokales Netzwerk zu ermöglichen. Site-to-Site-Verbindungen werden zwischen den Sites zu einem VPN-Endpunkt des Hubs hergestellt.

• Hub-Verbindung für virtuelle Netzwerke: Das Hub-Netzwerk verbindet den Azure Virtual WAN Hub nahtlos mit Ihrem virtuellen Netzwerk. Derzeit ist die Konnektivität zu virtuellen Netzwerken verfügbar, die sich in derselben Virtual Hub-Region befinden.

• Branch: Die Branches sind die lokalen Citrix SD-WAN Appliances, die sich an Kundenstandorten befinden. Ein SD-WAN Controller verwaltet die Branches zentral. Die Verbindung stammt von hinter diesen Branches und endet in Azure. Der SD-WAN Controller ist für die Anwendung der erforderlichen Konfiguration auf diese Branches und auf Azure Hubs verantwortlich.

Die folgende Abbildung beschreibt die Virtual WAN-Komponenten:

Funktionsweise von Microsoft Azure Virtual WAN

1. Das SD-WAN Center wird mithilfe der Service Principal-, Principal- oder rollenbasierten Zugriffsfunktionalität authentifiziert, die in der Azure-GUI aktiviert ist.

2. Das SD-WAN Center ruft die Azure-Konnektivitätskonfiguration ab und aktualisiert das lokale Gerät. Dies automatisiert das Herunterladen, Bearbeiten und Aktualisieren der Konfiguration des lokalen Geräts.

3. Nachdem das Gerät die korrekte Azure-Konfiguration erhalten hat, wird eine Site-to-Site-Verbindung (zwei aktive IPsec-Tunnel) zum Azure WAN hergestellt. Azure erfordert, dass der Branch-Geräte-Konnektor IKEv2-Einstellungen unterstützt. Die BGP-Konfiguration ist optional.

   Hinweis: IPsec-Parameter für die Einrichtung von IPsec-Tunneln sind standardisiert.

   IPsec-Eigenschaft	Parameter
   Ike-Verschlüsselungsalgorithmus	AES 256
   Ike-Integritätsalgorithmus	SHA 256
   Dh-Gruppe	DH2
   IPsec-Verschlüsselungsalgorithmus	GCM AES 256
   IPsec-Integritätsalgorithmus	GCM AES 256
   PFS-Gruppe	Keine

Azure Virtual WAN automatisiert die Konnektivität zwischen dem virtuellen Workload-Netzwerk und dem Hub. Wenn Sie eine Hub Virtual Network Connection erstellen, legt diese die entsprechende Konfiguration zwischen dem bereitgestellten Hub und dem virtuellen Workload-Netzwerk (VNET) fest.

Voraussetzungen und Anforderungen

Lesen Sie die folgenden Anforderungen, bevor Sie mit der Konfiguration von Azure und SD-WAN fortfahren, um Branch-Sites zu verwalten, die sich mit Azure-Hubs verbinden.

1. Verfügen Sie über ein für Virtual WAN zugelassenes Azure-Abonnement.
2. Verfügen Sie über eine lokale Appliance, z. B. eine SD-WAN Appliance, um IPsec-Verbindungen zu Azure-Ressourcen herzustellen.
3. Verfügen Sie über Internetverbindungen mit öffentlichen IP-Adressen. Obwohl eine einzelne Internetverbindung ausreicht, um eine Konnektivität zu Azure herzustellen, benötigen Sie zwei IPsec-Tunnel, um dieselbe WAN-Verbindung zu nutzen.
4. SD-WAN Controller – ein Controller ist die Schnittstelle, die für die Konfiguration von SD-WAN Appliances für die Verbindung mit Azure verantwortlich ist.
5. Ein VNET in Azure, das mindestens eine Workload enthält. Zum Beispiel eine VM, die einen Dienst hostet. Beachten Sie die folgenden Punkte:
   1. Das virtuelle Netzwerk darf kein Azure VPN- oder ExpressRoute-Gateway oder eine virtuelle Netzwerk-Appliance haben.
   2. Das virtuelle Netzwerk darf keine benutzerdefinierte Route haben, die den Datenverkehr zu einem virtuellen Nicht-Virtual WAN-Netzwerk für die Workload leitet, auf die von der lokalen Branch zugegriffen wird.
   3. Entsprechende Berechtigungen für den Zugriff auf die Workload müssen konfiguriert werden. Zum Beispiel Port 22 SSH-Zugriff für eine Ubuntu-VM.

Hinweis

• Ab Citrix SD-WAN 11.1.0 wird die automatische Erstellung von Intranetdiensten für die Azure Virtual WAN-Konfiguration verwendet. Wenn Sie von 10.x auf 11.1.x aktualisieren, löschen Sie die vorherige Azure Virtual WAN-Konfiguration.
• Wenn mehrere WAN-Links für die SD-WAN-Site konfiguriert sind, verwenden Sie im Rahmen der VPN-Site-Hub-Zuordnung einen vordefinierten Preshared Key (nur Zahlen und Buchstaben) im Azure-Portal. Derselbe Preshared Key sollte für alle Hubs verwendet werden, die mit dieser VPN-Site verbunden sind.

Das folgende Diagramm veranschaulicht ein Netzwerk mit zwei Sites und zwei virtuellen Netzwerken in Microsoft Azure.

Microsoft Azure Virtual WAN einrichten

Damit lokale SD-WAN Branches eine Verbindung zu Azure herstellen und über IPsec-Tunnel auf die Ressourcen zugreifen können, müssen die folgenden Schritte ausgeführt werden.

1. Konfigurieren von WAN-Ressourcen.
2. Aktivieren von SD-WAN Branches zur Verbindung mit Azure über IPsec-Tunnel.

Konfigurieren Sie das Azure-Netzwerk, bevor Sie das SD-WAN-Netzwerk konfigurieren, da die für die Verbindung mit SD-WAN Appliances erforderlichen Azure-Ressourcen vorher verfügbar sein müssen. Sie können die SD-WAN-Konfiguration jedoch auch vor der Konfiguration der Azure-Ressourcen vornehmen, wenn Sie dies bevorzugen. Dieses Thema behandelt die Einrichtung des Azure Virtual WAN-Netzwerks zuerst, bevor die SD-WAN Appliances konfiguriert werden. https://microsoft.com Azure virtual-wan.

Eine WAN-Ressource erstellen

Um Virtual WAN-Funktionen zu nutzen und die lokale Branch-Appliance mit Azure zu verbinden:

1. Melden Sie sich beim Azure Marketplace an, navigieren Sie zur Virtual WAN-App und wählen Sie WAN erstellen aus.

   

2. Geben Sie einen Namen für das WAN ein und wählen Sie das Abonnement aus, das Sie für das WAN verwenden möchten.

3. Wählen Sie eine vorhandene Ressourcengruppe aus oder erstellen Sie eine neue Ressourcengruppe. Ressourcengruppen sind logische Konstrukte, und der Datenaustausch zwischen Ressourcengruppen ist immer möglich.

4. Wählen Sie den Speicherort aus, an dem sich Ihre Ressourcengruppe befinden soll. WAN ist eine globale Ressource, die keinen Standort hat. Sie müssen jedoch einen Standort für die Ressourcengruppe eingeben, die Metadaten für die WAN-Ressource enthält.

5. Klicken Sie auf Erstellen. Dies startet den Prozess zur Validierung und Bereitstellung Ihrer Einstellungen.

Site erstellen

Sie können eine Site mithilfe eines bevorzugten Anbieters erstellen. Der bevorzugte Anbieter sendet die Informationen über Ihr Gerät und Ihre Site an Azure, oder Sie können entscheiden, das Gerät selbst zu verwalten. Wenn Sie das Gerät verwalten möchten, müssen Sie die Site im Azure-Portal erstellen.

SD-WAN-Netzwerk und Microsoft Azure Virtual WAN-Workflow

SD-WAN Appliance konfigurieren:

1. Eine Citrix SD-WAN Appliance bereitstellen
   • SD-WAN Branch-Appliance mit der MCN-Appliance verbinden.
2. SD-WAN Appliance konfigurieren
   • Intranetdienste für Active-Active-Verbindung konfigurieren.

SD-WAN Center konfigurieren:

• SD-WAN Center für die Verbindung mit Microsoft Azure konfigurieren.

Azure-Einstellungen konfigurieren:

• Tenant-ID, Client-ID, Secure Key, Subscriber-ID und Ressourcengruppe angeben.

Branch-Site-zu-WAN-Zuordnung konfigurieren:

1. Eine WAN-Ressource einem Branch zuordnen. Dieselbe Site kann nicht mit mehreren WANs verbunden werden.
2. Klicken Sie auf Neu, um die Site-WAN-Zuordnung zu konfigurieren.
3. Wählen Sie Azure WAN-Ressourcen aus.
4. Wählen Sie Dienste (Intranet) für die Site aus. Wählen Sie zwei Dienste für Active-Standby-Unterstützung aus.
5. Wählen Sie die Site-Namen aus, die den WAN-Ressourcen zugeordnet werden sollen.
6. Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen.
7. Warten Sie, bis sich der Status in Tunnel bereitgestellt ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen.
8. Verwenden Sie die SD-WAN Center-Berichtsansicht, um den Status der jeweiligen IPsec-Tunnel zu überprüfen.

Citrix SD-WAN-Netzwerk konfigurieren

MCN:

Das MCN dient als Verteilungspunkt für die anfängliche Systemkonfiguration und nachfolgende Konfigurationsänderungen. Es kann nur ein aktives MCN in einem Virtual WAN geben. Standardmäßig haben Appliances die vordefinierte Rolle eines Clients. Um eine Appliance als MCN einzurichten, müssen Sie die Site zuerst als MCN hinzufügen und konfigurieren. Die GUI für die Netzwerkkonfiguration wird verfügbar, nachdem eine Site als MCN konfiguriert wurde. Upgrades und Konfigurationsänderungen dürfen nur vom MCN oder SD-WAN Center aus durchgeführt werden.

Rolle des MCN:

Das MCN ist der zentrale Knoten, der als Controller eines SD-WAN-Netzwerks und als zentraler Verwaltungspunkt für die Client-Knoten fungiert. Alle Konfigurationsaktivitäten sowie die Vorbereitung von Firmware-Paketen und deren Verteilung an die Clients werden auf dem MCN konfiguriert. Darüber hinaus sind Überwachungsinformationen nur auf dem MCN verfügbar. Das MCN kann das gesamte SD-WAN-Netzwerk überwachen, während Client-Knoten nur die lokalen Intranets und einige Informationen für die Clients überwachen können, mit denen sie verbunden sind. Der Hauptzweck des MCN besteht darin, Overlay-Verbindungen (virtuelle Pfade) mit einem oder mehreren Client-Knoten herzustellen, die sich im gesamten SD-WAN-Netzwerk für die Site-to-Site-Kommunikation von Unternehmen befinden. Ein MCN kann mehrere Client-Knoten verwalten und virtuelle Pfade zu diesen haben. Es kann mehr als ein MCN geben, aber nur eines kann zu einem bestimmten Zeitpunkt aktiv sein. Die folgende Abbildung veranschaulicht das grundlegende Diagramm der MCN- und Client- (Branch-Knoten-) Appliances für ein kleines Netzwerk mit zwei Sites.

SD-WAN Appliance als MCN konfigurieren

Um das MCN hinzuzufügen und zu konfigurieren, müssen Sie sich zuerst über die Management-Weboberfläche der Appliance, die Sie als MCN festlegen, anmelden und die Management-Weboberfläche in den MCN-Konsolenmodus wechseln. Der MCN-Konsolenmodus ermöglicht den Zugriff auf den Konfigurationseditor in der Management-Weboberfläche, mit der Sie derzeit verbunden sind. Sie können dann den Konfigurationseditor verwenden, um die MCN-Site hinzuzufügen und zu konfigurieren.

Um die Management-Weboberfläche in den MCN-Konsolenmodus zu wechseln, gehen Sie wie folgt vor:

1. Melden Sie sich bei der SD-WAN Management-Weboberfläche der Appliance an, die Sie als MCN konfigurieren möchten.
2. Klicken Sie auf Konfiguration in der Hauptmenüleiste des Hauptbildschirms der Management-Weboberfläche (blaue Leiste oben auf der Seite).
3. Öffnen Sie im Navigationsbaum (linker Bereich) den Zweig Appliance-Einstellungen und klicken Sie auf Administrator-Schnittstelle.

4. Wählen Sie die Registerkarte Verschiedenes aus. Die Seite mit den verschiedenen administrativen Einstellungen wird geöffnet.

   

   Am unteren Rand der Registerkarte Verschiedenes befindet sich der Abschnitt Konsole wechseln zu [Client, MCN]. Dieser Abschnitt enthält die Schaltfläche Konsole wechseln zum Umschalten zwischen den Konsolenmodi der Appliance.

Die Überschrift des Abschnitts zeigt den aktuellen Konsolenmodus wie folgt an:

• Im Client-Konsolenmodus (Standard) lautet die Abschnittsüberschrift Konsole wechseln zu MCN.
• Im MCN-Konsolenmodus lautet die Abschnittsüberschrift Konsole wechseln zu Client.

Standardmäßig befindet sich eine neue Appliance im Client-Konsolenmodus. Der MCN-Konsolenmodus aktiviert die Ansicht des Konfigurationseditors im Navigationsbaum. Der Konfigurationseditor ist nur auf der MCN-Appliance verfügbar.

MCN konfigurieren

Um die MCN-Appliance-Site hinzuzufügen und mit der Konfiguration zu beginnen, gehen Sie wie folgt vor:

1. Navigieren Sie in der SD-WAN Appliance-GUI zu Virtual WAN > Konfigurationseditor.

   

2. Klicken Sie in der Sites-Leiste auf + Sites, um mit dem Hinzufügen und Konfigurieren der MCN-Site zu beginnen. Das Dialogfeld Site hinzufügen wird angezeigt.

   

3. Geben Sie einen Site-Namen ein, der Ihnen hilft, den geografischen Standort und die Rolle der Appliance (DC/sekundärer DC) zu bestimmen. Wählen Sie das korrekte Appliance-Modell aus. Die Auswahl der korrekten Appliance ist entscheidend, da sich die Hardwareplattformen hinsichtlich Verarbeitungsleistung und Lizenzierung voneinander unterscheiden. Da wir diese Appliance als primäre Head-End-Appliance konfigurieren, wählen Sie den Modus als primäres MCN und klicken Sie auf Hinzufügen.

4. Dadurch wird die neue Site zum Sites-Baum hinzugefügt, und die Standardansicht zeigt die Konfigurationsseite für die Basiseinstellungen, wie unten dargestellt:

   

5. Geben Sie die Basiseinstellungen wie Standort und Site-Namen ein.

6. Konfigurieren Sie die Appliance so, dass sie Datenverkehr von Internet/MPLS/Breitband akzeptieren kann. Definieren Sie die Schnittstellen, an denen die Links terminiert werden. Dies hängt davon ab, ob sich die Appliance im Overlay- oder Underlay-Modus befindet.

7. Klicken Sie auf Schnittstellengruppen, um mit der Definition der Schnittstellen zu beginnen.

   

8. Klicken Sie auf +, um virtuelle Schnittstellengruppen hinzuzufügen. Dadurch wird eine neue virtuelle Schnittstellengruppe hinzugefügt. Die Anzahl der virtuellen Schnittstellen hängt von den Links ab, die die Appliance verarbeiten soll. Die Anzahl der Links, die eine Appliance verarbeiten kann, variiert je nach Appliance-Modell, und die maximale Anzahl von Links kann bis zu acht betragen.

   

9. Klicken Sie auf + rechts neben den virtuellen Schnittstellen, um den unten gezeigten Bildschirm anzuzeigen.

   

10. Wählen Sie die Ethernet-Schnittstellen aus, die Teil dieser virtuellen Schnittstelle sind. Je nach Plattformmodell verfügen Appliances über ein vorkonfiguriertes Paar von Fail-to-Wire-Schnittstellen. Wenn Sie Fail-to-Wire auf Appliances aktivieren möchten, stellen Sie sicher, dass Sie das richtige Schnittstellenpaar auswählen und dass Sie Fail-to-Wire unter der Spalte Bypass-Modus auswählen.
11. Wählen Sie die Sicherheitsstufe aus der Dropdown-Liste aus. Der vertrauenswürdige Modus wird gewählt, wenn die Schnittstelle MPLS-Links bedient, und der nicht vertrauenswürdige Modus wird gewählt, wenn Internet-Links auf den jeweiligen Schnittstellen verwendet werden.

12. Klicken Sie auf + rechts neben der Bezeichnung “virtuelle Schnittstellen”. Dies zeigt den Namen, die Firewall-Zone und die VLAN-IDs an. Geben Sie den Namen und die VLAN-ID für diese virtuelle Schnittstellengruppe ein. Die VLAN-ID wird zur Identifizierung und Markierung des Datenverkehrs zu und von der virtuellen Schnittstelle verwendet; verwenden Sie 0 (Null) für nativen/ungetaggten Datenverkehr.

    

13. Um die Schnittstellen im Fail-to-Wire-Modus zu konfigurieren, klicken Sie auf Bridge-Paare. Dadurch wird ein neues Bridge-Paar hinzugefügt und die Bearbeitung ermöglicht. Klicken Sie auf Anwenden, um diese Einstellungen zu bestätigen.
14. Um weitere virtuelle Schnittstellengruppen hinzuzufügen, klicken Sie auf + rechts neben dem Zweig “Schnittstellengruppen” und verfahren Sie wie oben beschrieben.
15. Nachdem die Schnittstellen ausgewählt wurden, besteht der nächste Schritt darin, IP-Adressen auf diesen Schnittstellen zu konfigurieren. In der Citrix SD-WAN-Terminologie wird dies als VIP (Virtual IP) bezeichnet.

16. Fahren Sie in der Sites-Ansicht fort und klicken Sie auf die virtuelle IP-Adresse, um die Schnittstellen für die VIP-Konfiguration anzuzeigen.

    

17. Geben Sie die IP-Adresse/Präfix-Informationen ein und wählen Sie die virtuelle Schnittstelle aus, der die Adresse zugeordnet ist. Die virtuelle IP-Adresse muss die vollständige Hostadresse und Netzmaske enthalten. Wählen Sie die gewünschten Einstellungen für die virtuelle IP-Adresse aus, z. B. Firewall-Zone, Identität, Privat und Sicherheit. Klicken Sie auf Anwenden. Dadurch werden die Adressinformationen zur Site hinzugefügt und in die Tabelle der virtuellen IP-Adressen der Site aufgenommen. Um weitere virtuelle IP-Adressen hinzuzufügen, klicken Sie auf + rechts neben den virtuellen IP-Adressen und verfahren Sie wie oben beschrieben.

18. Fahren Sie im Abschnitt “Sites” fort, um WAN-Links für die Site zu konfigurieren.

    

19. Klicken Sie oben im rechten Bereich auf Link hinzufügen. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den Typ des zu konfigurierenden Links auswählen können.

    

20. “Public Internet” ist für Internet-/Breitband-/DSL-/ADSL-Links, während “Private MPLS” für MPLS-Links ist. “Private Intranet” ist ebenfalls für MPLS-Links. Der Unterschied zwischen privaten MPLS- und privaten Intranet-Links besteht darin, dass private MPLS die QoS-Richtlinien von MPLS-Links beibehält.
21. Wenn Sie “Public Internet” wählen und die IPs über DHCP zugewiesen werden, wählen Sie die Option “IP automatisch erkennen”.

22. Wählen Sie Zugriffsschnittstellen auf der WAN-Link-Konfigurationsseite aus. Dadurch wird die Ansicht “Zugriffsschnittstellen” für die Site geöffnet. Fügen Sie die VIP und die Gateway-IP für jeden der Links hinzu und konfigurieren Sie sie wie unten gezeigt.

    

23. Klicken Sie auf +, um eine Schnittstelle hinzuzufügen. Dadurch wird ein leerer Eintrag zur Tabelle hinzugefügt und zur Bearbeitung geöffnet.

24. Geben Sie den Namen ein, den Sie dieser Schnittstelle zuweisen möchten. Sie können den Namen basierend auf dem Linktyp und dem Standort wählen. Behalten Sie die Routing-Domäne als Standard bei, wenn Sie Netzwerke nicht trennen und der Schnittstelle eine IP zuweisen möchten.

25. Stellen Sie sicher, dass Sie eine öffentlich erreichbare Gateway-IP-Adresse angeben, wenn es sich um einen Internet-Link handelt, oder eine private IP, wenn es sich um einen MPLS-Link handelt. Behalten Sie den virtuellen Pfadmodus als primär bei, da Sie diesen Link benötigen, um einen virtuellen Pfad zu bilden.

    Hinweis: Aktivieren Sie Proxy-ARP, da die Appliance auf ARP-Anfragen für die Gateway-IP-Adresse antwortet, wenn das Gateway nicht erreichbar ist.

26. Klicken Sie auf Anwenden, um die Konfiguration des WAN-Links abzuschließen. Wenn Sie weitere WAN-Links konfigurieren möchten, wiederholen Sie die Schritte für einen weiteren Link.
27. Konfigurieren Sie Routen für die Site. Klicken Sie auf die Ansicht “Verbindungen” und wählen Sie “Routen” aus.

28. Klicken Sie auf +, um Routen hinzuzufügen. Dadurch wird ein Dialogfeld geöffnet, wie unten gezeigt.

    

29. Die folgenden Informationen sind für die neue Route verfügbar:

    • Netzwerk-IP-Adresse
    • Kosten – Die Kosten bestimmen, welche Route Vorrang vor einer anderen hat. Pfade mit niedrigeren Kosten haben Vorrang vor Routen mit höheren Kosten. Der Standardwert ist fünf.
    • Diensttyp – Wählen Sie den Dienst aus; ein Dienst kann einer der folgenden sein:
      • Virtueller Pfad
      • Intranet
      • Internet
      • Passthrough
      • Lokal
      • GRE-Tunnel
      • LAN-IPsec-Tunnel
30. Klicken Sie auf Anwenden.

Um weitere Routen für die Site hinzuzufügen, klicken Sie auf + rechts neben dem Routen-Zweig und verfahren Sie wie oben beschrieben. Weitere Informationen finden Sie unter MCN konfigurieren.

Virtuellen Pfad zwischen MCN und Branch-Sites konfigurieren

Stellen Sie die Konnektivität zwischen dem MCN und dem Branch-Knoten her. Dies können Sie tun, indem Sie einen virtuellen Pfad zwischen diesen beiden Sites konfigurieren. Navigieren Sie zur Registerkarte Verbindungen im Konfigurationsbaum des Konfigurationseditors.

1. Klicken Sie auf die Registerkarte Verbindungen im Konfigurationsabschnitt. Dies zeigt den Verbindungsabschnitt des Konfigurationsbaums an.

2. Wählen Sie das MCN aus dem Dropdown-Menü “Site anzeigen” auf der Seite des Abschnitts Verbindungen aus.

   

3. Wählen Sie unter der Registerkarte “Verbindungen” den virtuellen Pfad aus, um einen virtuellen Pfad zwischen dem MCN und den Branch-Sites zu erstellen.

   

4. Klicken Sie auf Virtuellen Pfad hinzufügen neben dem Namen des statischen virtuellen Pfads im Abschnitt “Virtuelle Pfade”. Dadurch wird ein Dialogfeld geöffnet, wie unten gezeigt. Wählen Sie den Branch aus, für den Sie den virtuellen Pfad konfigurieren möchten. Sie müssen dies unter der Bezeichnung “Remote-Site” konfigurieren. Wählen Sie den Branch-Knoten aus dieser Dropdown-Liste aus und aktivieren Sie das Kontrollkästchen Auch umkehren.

   

   Die Datenverkehrsklassifizierung und -steuerung werden auf beiden Sites des virtuellen Pfads gespiegelt. Nachdem dies abgeschlossen ist, wählen Sie Pfade aus dem Dropdown-Menü unter der Bezeichnung “Abschnitt” aus, wie unten gezeigt.

   

5. Klicken Sie auf + Hinzufügen über der Pfadtabelle, wodurch das Dialogfeld “Pfad hinzufügen” angezeigt wird. Geben Sie die Endpunkte an, innerhalb derer der virtuelle Pfad konfiguriert werden muss. Klicken Sie nun auf Hinzufügen, um den Pfad zu erstellen, und aktivieren Sie das Kontrollkästchen Auch umkehren.

   Hinweis: Citrix SD-WAN misst die Linkqualität in beide Richtungen. Das bedeutet, Punkt A zu Punkt B ist ein Pfad und Punkt B zu Punkt A ist ein anderer Pfad. Mithilfe der unidirektionalen Messung der Linkbedingungen kann das SD-WAN die beste Route für den Datenverkehr auswählen. Dies unterscheidet sich von Metriken wie RTT, die eine bidirektionale Metrik zur Messung der Latenz ist. Zum Beispiel wird eine Verbindung zwischen Punkt A und Punkt B als zwei Pfade angezeigt, und für jeden von ihnen werden die Link-Leistungsmetriken unabhängig voneinander berechnet.

Diese Einstellung reicht aus, um die virtuellen Pfade zwischen dem MCN und dem Branch herzustellen; weitere Konfigurationsoptionen sind ebenfalls verfügbar. Weitere Informationen finden Sie unter Virtuellen Pfaddienst zwischen MCN- und Client-Sites konfigurieren.

MCN-Konfiguration bereitstellen

Der nächste Schritt ist die Bereitstellung der Konfiguration. Dies umfasst die folgenden zwei Schritte:

1. Exportieren Sie das SD-WAN-Konfigurationspaket in das Änderungsmanagement.

   • Bevor Sie die Appliance-Pakete generieren können, müssen Sie zuerst das abgeschlossene Konfigurationspaket aus dem Konfigurationseditor in den globalen Change Management-Staging-Posteingang auf dem MCN exportieren. Beachten Sie die Schritte im Abschnitt Änderungsmanagement durchführen.

2. Generieren und bereitstellen Sie die Appliance-Pakete.

   • Nachdem Sie das neue Konfigurationspaket zum Änderungsmanagement-Posteingang hinzugefügt haben, können Sie die Appliance-Pakete auf den Branch-Sites generieren und bereitstellen. Dazu verwenden Sie den Änderungsmanagement-Assistenten in der Management-Weboberfläche auf dem MCN. Beachten Sie die Schritte im Abschnitt Appliance-Pakete bereitstellen.

Intranetdienste für die Verbindung mit Azure WAN-Ressourcen konfigurieren

1. Navigieren Sie in der SD-WAN Appliance-GUI zum Konfigurationseditor. Navigieren Sie zur Kachel Verbindungen. Klicken Sie auf + Dienst hinzufügen, um einen Intranetdienst für diese Site hinzuzufügen.

2. In den Basiseinstellungen für den Intranetdienst gibt es mehrere Optionen, wie sich der Intranetdienst bei Nichtverfügbarkeit von WAN-Links verhalten soll.

   • Primäre Rückgewinnung aktivieren – Aktivieren Sie dieses Kontrollkästchen, wenn der ausgewählte primäre Link die Kontrolle übernehmen soll, sobald er nach einem Failover wieder verfügbar ist. Wenn Sie diese Option jedoch nicht aktivieren, würde der sekundäre Link weiterhin Datenverkehr senden.
   • WAN-Link-Status ignorieren – Wenn diese Option aktiviert ist, verwenden Pakete, die für diesen Intranetdienst bestimmt sind, diesen Dienst weiterhin, auch wenn die zugehörigen WAN-Links nicht verfügbar sind.

3. Nach der Konfiguration der Basiseinstellungen besteht der nächste Schritt darin, die zugehörigen WAN-Links für diesen Dienst auszuwählen. Maximal zwei Links werden für einen Intranetdienst ausgewählt. Um die WAN-Links auszuwählen, wählen Sie bitte die Option “WAN-Links” aus der Dropdown-Liste mit der Bezeichnung “Abschnitt”. Die WAN-Links funktionieren im primären und sekundären Modus, und nur ein Link wird als primärer WAN-Link ausgewählt.

   Hinweis: Wenn ein zweiter Intranetdienst erstellt wird, muss er die primäre und sekundäre WAN-Link-Zuordnung haben.

   

4. Es sind Branch-Site-spezifische Regeln verfügbar, die die Anpassung jeder Branch-Site ermöglichen, indem sie alle in den globalen Standardeinstellungen konfigurierten allgemeinen Einstellungen eindeutig überschreiben. Modi umfassen die gewünschte Zustellung über einen bestimmten WAN-Link oder als Override-Dienst, der das Durchleiten oder Verwerfen des gefilterten Datenverkehrs ermöglicht. Wenn beispielsweise Datenverkehr vorhanden ist, der nicht über den Intranetdienst geleitet werden soll, können Sie eine Regel schreiben, um diesen Datenverkehr zu verwerfen oder über einen anderen Dienst (Internet oder Passthrough) zu senden.

   

5. Wenn der Intranetdienst für eine Site aktiviert ist, wird die Kachel Bereitstellung verfügbar gemacht, um die bidirektionale (LAN zu WAN / WAN zu LAN) Bandbreitenverteilung für einen WAN-Link unter den verschiedenen Diensten, die den WAN-Link nutzen, zu ermöglichen. Der Abschnitt Dienste ermöglicht es Ihnen, die Bandbreitenzuweisung weiter zu optimieren. Darüber hinaus kann “Fair Share” aktiviert werden, wodurch Dienste ihre minimal reservierte Bandbreite erhalten, bevor eine faire Verteilung erfolgt.

   

SD-WAN Center konfigurieren

Das folgende Diagramm beschreibt den übergeordneten Workflow der SD-WAN Center- und Azure Virtual WAN-Verbindung sowie die entsprechenden Zustandsübergänge der Bereitstellung.

Azure-Einstellungen konfigurieren:

• Azure Tenant-ID, Anwendungs-ID, Secret Key und Abonnement-ID (auch bekannt als Service Principal) angeben.

Branch-Site-zu-WAN-Zuordnung konfigurieren:

• Eine Branch-Site einer WAN-Ressource zuordnen. Dieselbe Site kann nicht mit mehreren WANs verbunden werden.
• Klicken Sie auf Neu, um die Site-WAN-Zuordnung zu konfigurieren.
• Wählen Sie Azure WAN-Ressourcen aus.
• Wählen Sie die Site-Namen aus, die den WAN-Ressourcen zugeordnet werden sollen.
• Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen. Die für die Tunnelbereitstellung zu verwendenden WAN-Links werden automatisch mit dem Link mit der besten Linkkapazität vorausgefüllt.
• Warten Sie, bis sich der Status in “Tunnel bereitgestellt” ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen.
• Verwenden Sie die SD-WAN Center-Berichtsansicht, um den Status der jeweiligen IPsec-Tunnel zu überprüfen. Der IPsec-Tunnelstatus muss GRÜN sein, damit der Datenverkehr fließen kann, was bedeutet, dass die Verbindung aktiv ist.

SD-WAN Center bereitstellen:

Das SD-WAN Center ist das Verwaltungs- und Berichtstool für Citrix SD-WAN. Die erforderliche Konfiguration für Virtual WAN wird im SD-WAN Center durchgeführt. Das SD-WAN Center ist nur als virtueller Formfaktor (VPX) verfügbar und muss auf einem VMware ESXi- oder XenServer-Hypervisor installiert werden. Die Mindestressourcen, die zur Konfiguration einer SD-WAN Center-Appliance benötigt werden, sind 8 GB RAM und 4 CPU-Kerne. Hier sind die Schritte zur Installation und Konfiguration einer SD-WAN Center-VM.

SD-WAN Center für Azure-Konnektivität konfigurieren

Lesen Sie einen Service Principal erstellen für weitere Informationen.

Um das SD-WAN Center erfolgreich bei Azure zu authentifizieren, müssen die folgenden Parameter verfügbar sein:

• Verzeichnis (Tenant-ID)
• Anwendung (Client-ID)
• Sicherer Schlüssel (Client-Geheimnis)
• Abonnenten-ID

SD-WAN Center authentifizieren:

Navigieren Sie in der SD-WAN Center-Benutzeroberfläche zu Konfiguration > Cloud-Konnektivität > Azure > Virtual WAN. Konfigurieren Sie die Azure-Verbindungseinstellungen. Weitere Informationen zur Konfiguration der Azure VPN-Verbindung finden Sie unter dem folgenden Link: Azure Resource Manager.

Mit der Version 11.1.0 wird die Konfiguration von primären und sekundären WAN-Links für die Azure Virtual WAN-Integration unterstützt. Der Hauptgrund für das Hinzufügen eines sekundären WAN-Links ist die Redundanz von der Citrix SD-WAN-Site.

Bei der vorherigen Implementierung konnte ein Ausfall des WAN-Links zu Verkehrsunterbrechungen und Konnektivitätsverlust zum Azure Virtual WAN führen. Mit der aktuellen Implementierung bleibt die Site-zu-Azure Virtual WAN-Konnektivität auch dann bestehen, wenn der primäre WAN-Link ausgefallen ist.

Geben Sie die Abonnement-ID, Tenant-ID, Anwendungs-ID und den Secure Key ein. Dieser Schritt ist erforderlich, um das SD-WAN Center bei Azure zu authentifizieren. Wenn die oben eingegebenen Anmeldeinformationen nicht korrekt sind, schlägt die Authentifizierung fehl und weitere Aktionen sind nicht zulässig. Klicken Sie auf Anwenden.

Das Feld Speicherkonto bezieht sich auf das Speicherkonto, das Sie in Azure erstellt haben. Wenn Sie kein Speicherkonto erstellt haben, wird automatisch ein neues Speicherkonto in Ihrem Abonnement erstellt, wenn Sie auf Anwenden klicken.

Azure Virtual WAN-Ressourcen abrufen:

Nach erfolgreicher Authentifizierung fragt Citrix SD-WAN Azure ab, um eine Liste der Azure Virtual WAN-Ressourcen zu erhalten, die Sie im ersten Schritt nach der Anmeldung am Azure-Portal erstellt haben. Die WAN-Ressourcen stellen Ihr gesamtes Netzwerk in Azure dar. Sie enthalten Links zu allen Hubs, die Sie in diesem WAN haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei verschiedenen Hubs in verschiedenen WAN-Ressourcen enthalten.

So ordnen Sie Branch-Sites und Azure WAN-Ressourcen zu:

Eine Branch-Site muss mit Azure WAN-Ressourcen verknüpft werden, um IPsec-Tunnel einzurichten. Ein Branch kann mit mehreren Hubs innerhalb einer Azure Virtual WAN-Ressource verbunden werden, und eine Azure Virtual WAN-Ressource kann mit mehreren lokalen Branch-Sites verbunden werden. Erstellen Sie einzelne Zeilen für jede Branch-zu-Azure Virtual WAN-Ressourcenbereitstellung.

Mehrere Sites hinzufügen:

Sie können alle entsprechenden Sites hinzufügen und sie den ausgewählten einzelnen WAN-Ressourcen zuordnen.

1. Klicken Sie auf Mehrere hinzufügen, um alle Sites hinzuzufügen, die den ausgewählten WAN-Ressourcen zugeordnet werden müssen.

   

2. Die Dropdown-Liste der Azure WAN-Ressourcen (siehe unten) ist mit den Ressourcen Ihres Azure-Kontos vorausgefüllt. Wenn keine WAN-Ressourcen erstellt wurden, ist diese Liste leer, und Sie müssen zum Azure-Portal navigieren, um die Ressourcen zu erstellen. Wenn die Liste mit WAN-Ressourcen gefüllt ist, wählen Sie die Azure WAN-Ressource aus, mit der die Branch-Sites verbunden werden sollen.

3. Wählen Sie eine oder alle Branch-Sites aus, um den Prozess der IPsec-Tunnel-Einrichtung zu initiieren. Die WAN-Links mit der besten Kapazität für öffentliches Internet werden automatisch ausgewählt, um die IPsec-Tunnel zu den Azure VPN Gateways herzustellen.

   

Einzelne Site hinzufügen:

Sie können auch Sites einzeln hinzufügen, und wenn Ihr Netzwerk wächst oder wenn Sie eine Site-für-Site-Bereitstellung durchführen, können Sie mehrere Sites wie oben beschrieben hinzufügen.

1. Klicken Sie auf Neuen Eintrag hinzufügen, um einen Site-Namen für die Site-WAN-Zuordnung auszuwählen. Fügen Sie Sites im Dialogfeld “Sites für Azure-Netzwerk konfigurieren” hinzu.

   

   

2. Wählen Sie die Branch-Site aus, die für das Azure Virtual WAN-Netzwerk konfiguriert werden soll.

3. Wählen Sie den mit der Site verbundenen WAN-Link aus (die Links vom Typ “Public Internet” werden in der Reihenfolge der besten physischen Linkkapazität aufgelistet).

4. Wählen Sie die WAN-Ressource, der die Site zugeordnet werden muss, aus dem Dropdown-Menü Azure Virtual WANs aus.

5. Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen. Der Status (“Site-Informationen initialisieren”, “Site-Informationen übertragen” & “Warten auf VPN-Konfiguration”) wird aktualisiert, um Sie über den Prozess zu informieren.

Der Bereitstellungsprozess umfasst die folgenden Status:

• Site-Informationen übertragen
• Warten auf VPN-Konfiguration
• Tunnel bereitgestellt

• Verbindung aktiv (IPsec-Tunnel ist aktiv) oder Verbindung inaktiv (IPsec-Tunnel ist inaktiv)

  

Site-WAN-Ressourcenzuordnungen (Azure-Portal) verknüpfen:

Verknüpfen Sie die bereitgestellten Sites im Azure-Portal mit den unter der Azure Virtual WAN-Ressource erstellten Virtual Hubs. Ein oder mehrere Virtual Hubs können mit der Branch-Site verknüpft werden. Jeder Virtual Hub wird in einer bestimmten Region erstellt, und spezifische Workloads können mit den Virtual Hubs durch Erstellen von Virtual Network Connections verknüpft werden. Erst nach erfolgreicher Verknüpfung der Branch-Site mit dem Virtual Hub werden die VPN-Konfigurationen heruntergeladen und entsprechende IPsec-Tunnel von der Site zu den VPN Gateways eingerichtet.

Warten Sie, bis sich der Status in “Tunnel bereitgestellt” oder “Verbindung aktiv” ändert, um die IPsec-Tunnel-Einstellungen anzuzeigen. Zeigen Sie die IPsec-Einstellungen an, die den ausgewählten Diensten zugeordnet sind.

SD-WAN Azure-Einstellungen:

• SD-WAN-Änderungsmanagement deaktivieren – Standardmäßig ist der Änderungsmanagementprozess automatisiert. Das bedeutet, dass das SD-WAN Center jedes Mal, wenn eine neue Konfiguration in der Azure Virtual WAN-Infrastruktur verfügbar ist, diese abruft und automatisch auf die Branches anwendet. Dieses Verhalten wird jedoch gesteuert, wenn Sie kontrollieren möchten, wann eine Konfiguration auf Branches angewendet werden muss. Ein Vorteil der Deaktivierung des automatischen Änderungsmanagements ist, dass die Konfiguration für diese Funktion und andere SD-WAN-Funktionen unabhängig verwaltet wird.

• SDWAN-Abfrage deaktivieren – Deaktiviert alle neuen SD-WAN Azure-Bereitstellungen und die Abfrage bestehender Bereitstellungen.

• Abfrageintervall – Die Option “Abfrageintervall” steuert das Intervall, in dem nach Konfigurationsaktualisierungen in der Azure Virtual WAN-Infrastruktur gesucht wird. Die empfohlene Zeit für das Abfrageintervall beträgt 1 Stunde.

• Branch-zu-Branch-Verbindung deaktivieren – Deaktiviert die Branch-zu-Branch-Kommunikation über die Azure Virtual WAN-Infrastruktur. Standardmäßig ist diese Option deaktiviert. Sobald Sie diese aktivieren, bedeutet dies, dass lokale Branches über IPsec über die Azure Virtual WAN-Infrastruktur miteinander und mit den Ressourcen hinter den Branches kommunizieren können. Dies hat keine Auswirkung auf die Branch-zu-Branch-Kommunikation über den virtuellen SD-WAN-Pfad; Branches können auch dann miteinander und mit ihren jeweiligen Ressourcen/Endpunkten über den virtuellen Pfad kommunizieren, wenn diese Option deaktiviert ist.

• BGP deaktivieren – Dies deaktiviert BGP über IP; standardmäßig ist es deaktiviert. Sobald aktiviert, werden die Site-Routen über BGP angekündigt.

• Debug-Level – Ermöglicht das Erfassen von Protokollen zur Fehlerbehebung bei Konnektivitätsproblemen.

WAN-Ressourcen aktualisieren:

Klicken Sie auf das Symbol Aktualisieren, um den neuesten Satz von WAN-Ressourcen abzurufen, die Sie im Azure-Portal aktualisiert haben. Nach Abschluss des Aktualisierungsvorgangs wird eine Meldung angezeigt, die besagt: “WAN-Ressourcen erfolgreich aktualisiert”.

Site-WAN-Ressourcenzuordnung entfernen

Wählen Sie eine oder mehrere Zuordnungen aus, um die Löschung durchzuführen. Intern wird der Änderungsmanagementprozess der SD-WAN Appliance ausgelöst, und bis dieser erfolgreich ist, ist die Option “Löschen” deaktiviert, um weitere Löschungen zu verhindern. Das Löschen einer Zuordnung erfordert, dass Sie die entsprechenden Sites im Azure-Portal trennen oder löschen. Der Benutzer muss diesen Vorgang manuell durchführen.

Sobald die Tunnel erstellt sind, sehen Sie zwei Intranetdienste, die in Ihrem MCN erstellt wurden.

Jeder Intranetdienst entspricht IPsec-Tunneln, die mit Peer-IPs (Azure Virtual WAN-Endpunkt-IPs) erstellt werden.

Wenn Sie unter Intranetdienste die Option WAN-Links aus der Dropdown-Liste Abschnitt auswählen, sehen Sie sowohl den von Ihnen angegebenen primären als auch den sekundären WAN-Link. Standardmäßig ist der Modus auf Auto eingestellt.

IPsec-Tunnel überwachen

Navigieren Sie in der SD-WAN Center-Benutzeroberfläche zu Berichterstellung > IPsec, um den Status der IPsec-Tunnel zu überprüfen. Der Tunnelstatus muss GRÜN sein, damit der Datenverkehr fließen kann.