Uso de Citrix SD-WAN para conectarse a Microsoft Azure Virtual WAN
Para que los dispositivos locales se conecten a Azure se requiere un controlador. Un controlador ingiere las API de Azure para establecer la conectividad de sitio a sitio con la WAN de Azure y un Hub.
La WAN virtual de Microsoft Azure incluye los siguientes componentes y recursos:
-
WAN: representa toda la red en Microsoft Azure. Contiene enlaces a todos los Hubs que le gustaría tener dentro de esta WAN. Las WAN están aisladas entre sí y no pueden contener un concentrador común ni conexiones entre dos concentradores en WAN diferentes.
-
Sitio: Representa su dispositivo VPN local y su configuración. Un sitio puede conectarse a varios concentradores. Mediante Citrix SD-WAN, puede tener una solución integrada para exportar automáticamente esta información a Azure.
-
Hub: representa el núcleo de la red en una región específica. El Hub contiene varios puntos finales de servicio para habilitar la conectividad y otras soluciones a la red local. Las conexiones de sitio a sitio se establecen entre los sitios a un extremo VPN de Hubs.
-
Conexión de red virtual del concentrador: la red de concentradores conecta Azure Virtual WAN Hub sin problemas a su red virtual. Actualmente, está disponible la conectividad a redes virtuales que se encuentran dentro de la misma región de concentrador virtual.
-
Rama: Las ramas son los dispositivos Citrix SD-WAN locales, que existen en las ubicaciones de las oficinas del cliente. Un controlador SD-WAN administra las ramas de forma centralizada. La conexión se origina desde detrás de estas ramas y termina en Azure. El controlador SD-WAN es responsable de aplicar la configuración requerida a estas ramas y a Azure Hubs.
En la siguiente ilustración se describen los componentes de Virtual WAN:
Cómo funciona Microsoft Azure Virtual WAN
-
SD-WAN Center se autentica mediante la funcionalidad de acceso basado en funciones, principal o principal de servicio, que está habilitada en la GUI de Azure.
-
SD-WAN Center obtiene la configuración de conectividad de Azure y actualiza el dispositivo local. Esto automatiza la descarga, edición y actualización de la configuración del dispositivo local.
-
Después de que el dispositivo tenga la configuración correcta de Azure, se establece una conexión de sitio a sitio (dos túneles IPSec activos) a la WAN de Azure. Azure requiere el conector de dispositivo de rama para admitir la configuración de IKEv2. La configuración BGP es opcional.
Nota: Los parámetros IPSec para establecer túneles IPSec están estandarizados.
IPSec (propiedad) Parámetro Algoritmo de cifrado Ike AES 256 Algoritmo de integridad Ike SHA 256 Grupo Dh DH2 Algoritmo de cifrado IPSec GCM AES 256 Algoritmo de integridad IPsec GCM AES 256 Grupo PFS None (Ninguno)
Azure Virtual WAN automatiza la conectividad entre la red virtual de carga de trabajo y el concentrador. Cuando se crea una conexión de red virtual de concentrador, establece la configuración adecuada entre el concentrador aprovisionado y la red virtual de cargas de trabajo (VNET).
Requisitos previos y requisitos
Lea los siguientes requisitos antes de continuar con la configuración de Azure y SD-WAN para administrar sitios de ramas que se conectan a concentradores de Azure.
- Tener una suscripción a Azure en la lista de permitidos para Virtual WAN.
- Tener un dispositivo local, como un dispositivo SD-WAN, para establecer IPSec en los recursos de Azure.
- Tener enlaces a Internet con direcciones IP públicas. Aunque un único vínculo a Internet es suficiente para establecer la conectividad con Azure, necesita dos túneles IPSec para utilizar el mismo vínculo WAN.
- Controlador SD-WAN: un controlador es la interfaz responsable de configurar los dispositivos SD-WAN para conectarse a Azure.
- Una VNET en Azure que tiene al menos una carga de trabajo. Por ejemplo, una máquina virtual, que aloja un servicio. Tenga en cuenta los siguientes puntos:
- La red virtual no debe tener una puerta de enlace de Azure VPN o Express Route, ni un dispositivo virtual de red.
- La red virtual no debe tener una ruta definida por el usuario, que redirige el tráfico a una red virtual WAN no virtual para la carga de trabajo a la que se accede desde la rama local.
- Deben configurarse los permisos adecuados para acceder a la carga de trabajo. Por ejemplo, acceso SSH del puerto 22 para una máquina virtual ubuntu.
El siguiente diagrama ilustra una red con dos sitios y dos redes virtuales en Microsoft Azure.
Configurar Microsoft Azure Virtual WAN
Para que las ramas SD-WAN locales se conecten a Azure y accedan a los recursos a través de túneles IPSec, se deben completar los siguientes pasos.
- Configuración de recursos WAN.
- Habilitar las ramas SD-WAN para conectarse a Azure mediante túneles IPSec.
Configure la red de Azure antes de configurar la red SD-WAN, ya que los recursos de Azure necesarios para conectarse a dispositivos SD-WAN deben estar disponibles de antemano. Sin embargo, puede configurar la configuración de SD-WAN antes de configurar los recursos de Azure, si lo prefiere. En este tema se analiza la configuración de la red Azure Virtual WAN antes de configurar los dispositivos SD-WAN. https://microsoft.com azure virtual-wan.
Crear un recurso WAN
Para usar las funciones de WAN virtual y conectar el dispositivo de rama local a Azure:
-
Inicie sesión en Azure Marketplace, vaya a la aplicación WAN virtual y seleccione Crear WAN.
-
Introduzca un nombre para la WAN y seleccione la suscripción que desea utilizar para WAN.
- Seleccione un grupo de recursos existente o cree un nuevo grupo de recursos. Los grupos de recursos son construcciones lógicas y el intercambio de datos entre grupos de recursos siempre es posible.
-
Seleccione la ubicación donde quiere que resida el grupo de recursos. WAN es un recurso global que no tiene una ubicación. Sin embargo, debe especificar una ubicación para el grupo de recursos que contenga metadatos para el recurso WAN.
- Haga clic en Crear. Esto inicia el proceso para validar e implementar la configuración.
Crear sitio
Puede crear un sitio mediante un proveedor preferido. El proveedor preferido envía la información sobre su dispositivo y sitio a Azure o puede decidir administrar el dispositivo usted mismo. Si quiere administrar el dispositivo, debe crear el sitio en Azure Portal.
Red SD-WAN y flujo de trabajo WAN virtual de Microsoft Azure
Configurar el dispositivo SD-WAN:
- Aprovisionamiento de un dispositivo Citrix SD-WAN
- Conecte el dispositivo de rama SD-WAN al dispositivo MCN.
- Configurar el dispositivo SD-WAN
- Configure los Servicios de Intranet para la conexión Active-Active.
Configurar el Centro de SD-WAN:
- Configure SD-WAN Center para conectarse a Microsoft Azure.
Configurar la configuración de Azure:
- Proporcione ID de arrendatario, ID de cliente, clave segura, ID de suscriptor y grupo de recursos.
Configurar asociación de sitio de rama a WAN:
- Asocie un recurso WAN a una rama. El mismo sitio no se puede conectar a varias WAN.
- Haga clic en Nuevo para configurar la asociación Site-WAN.
- Seleccione Recursos WAN de Azure.
- Seleccione Servicios (Intranet) para el sitio. Seleccione dos servicios para la compatibilidad con Active-Standby.
- Seleccione Nombres de sitio que quiere asociar a los recursos de WAN.
- Haga clic en Implementar para confirmar la asociación.
- Espere a que el estado cambie a Túneles implementados para ver la configuración del túnel IPSec.
- Utilice la vista Informes de SD-WAN Center para comprobar el estado de los respectivos túneles IPSec.
Configurar la red de Citrix SD-WAN
MCN:
El MCN sirve como punto de distribución para la configuración inicial del sistema y los cambios de configuración posteriores. Solo puede haber un MCN activo en una WAN virtual. De forma predeterminada, los dispositivos tienen la función de cliente asignada previamente. Para establecer un dispositivo como MCN, primero debe agregar y configurar el sitio como MCN. La interfaz gráfica de usuario de configuración de red está disponible después de configurar un sitio como MCN. Las actualizaciones y los cambios de configuración deben realizarse únicamente desde el centro MCN o SD-WAN.
Función del MCN:
El MCN es el nodo central que actúa como el controlador de una red SD-WAN y el punto de administración central de los nodos cliente. Todas las actividades de configuración y la preparación de paquetes de firmware y su distribución a los clientes se configuran en el MCN. Además, la información de supervisión solo está disponible en el MCN. El MCN puede supervisar toda la red SD-WAN, mientras que los nodos de cliente solo pueden supervisar las Intranets locales y cierta información para esos clientes, a los que están conectados. El objetivo principal del MCN es establecer conexiones superpuestas (rutas virtuales) con uno o más nodos de cliente ubicados en la red SD-WAN para la comunicación de sitio a sitio empresarial. Un MCN puede administrar y tener rutas virtuales a varios nodos cliente. Puede haber más de un MCN, pero solo uno puede estar activo en un momento dado. La siguiente ilustración ilustra el diagrama básico de los dispositivos MCN y cliente (nodo de rama) para una red pequeña de dos sitios.
Configurar el dispositivo SD-WAN como MCN
Para agregar y configurar el MCN, primero debe iniciar sesión en la Interfaz Web de administración del dispositivo que está designando como MCN y cambiar la Interfaz Web de administración al modo de consola de MCN. El modo Consola de MCN permite el acceso al Editor de configuración en la Interfaz Web de administración a la que está conectado actualmente. A continuación, puede utilizar el Editor de configuración para agregar y configurar el sitio MCN.
Para cambiar la Interfaz Web de administración al modo Consola MCN, haga lo siguiente:
- Inicie sesión en la interfaz web de administración de SD-WAN del dispositivo que quiere configurar como MCN.
- Haga clic en Configuración en la barra de menú principal de la pantalla principal de la interfaz web de administración (barra azul en la parte superior de la página).
- En el árbol de navegación (panel izquierdo), abra la rama Configuración del equipo y haga clic en Interfaz de administrador.
-
Selecciona la ficha Miscellaneous (Miscellaneous). Se abrirá la página de configuración administrativa de varios.
En la parte inferior de la ficha Varios se encuentra la sección Cambiar a [cliente, Consola de MCN]. Esta sección contiene el botón Conmutador de consola para alternar entre los modos de consola del dispositivo.
El encabezado de la sección indica el modo de consola actual, de la siguiente manera:
- En el modo Consola de cliente (predeterminado), el encabezado de la sección es Cambiar a consola MCN.
- En el modo Consola MCN, el encabezado de la sección es Cambiar a consola cliente.
De forma predeterminada, un nuevo dispositivo se encuentra en el modo Consola de cliente. El modo Consola MCN habilita la vista Editor de configuración en el árbol de navegación. El Editor de configuración solo está disponible en el dispositivo MCN.
Configurar MCN
Para agregar y comenzar a configurar el sitio del dispositivo MCN, haga lo siguiente:
-
En la GUI del dispositivo SD-WAN, vaya a Virtual WAN > Configuration Editor.
-
Haga clic en + Sitios en la barra Sitios para comenzar a agregar y configurar el sitio MCN. Aparece el cuadro de diálogo Agregar sitio.
-
Escriba un nombre de sitio que le permita determinar la ubicación geográfica y la función del dispositivo (DC o DC secundario). Seleccione el modelo de dispositivo correcto. La selección del dispositivo correcto es crucial, ya que las plataformas de hardware difieren entre sí en términos de potencia de procesamiento y licencias. Dado que estamos configurando este dispositivo como el dispositivo final principal, elija el modo como MCN principal y haga clic en Agregar.
-
Esto agrega el nuevo sitio al árbol de sitios y la vista predeterminada muestra la página de configuración de configuración básica como se muestra a continuación:
-
Introduzca la configuración básica, como la ubicación, el nombre del sitio.
- Configure el dispositivo para que pueda aceptar tráfico de Internet/MPLS/banda ancha. Defina las interfaces donde terminan los enlaces. Esto depende de si el dispositivo está en modo superposición o calco subyacente.
-
Haga clic en Grupos de interfaces para comenzar a definir las interfaces.
-
Haga clic en + para agregar grupos de interfaces virtuales. Esto agrega un nuevo grupo de interfaces virtuales. La cantidad de interfaces virtuales depende de los vínculos que quiere que gestione el dispositivo. El número de vínculos que puede manejar un dispositivo varía de un modelo a otro y el número máximo de vínculos puede ser de hasta ocho.
-
Haga clic en + a la derecha de las interfaces virtuales para ver la pantalla como se muestra a continuación.
- Seleccione las interfaces Ethernet, que forman parte de esta interfaz virtual. Dependiendo del modelo de plataforma, los dispositivos tienen un par preconfigurado de interfaces de error a cable. Si quiere habilitar la conmutación por error en los dispositivos, asegúrese de que está eligiendo el par correcto de interfaces y asegúrese de elegir la conmutación por error en la columna Modo de derivación.
- Seleccione el nivel de seguridad en la lista desplegable. Se elige el modo de confianza, si la interfaz sirve enlaces MPLS y no fiable se elige cuando se utilizan vínculos de Internet en las interfaces respectivas.
-
Haga clic en + a la derecha de la etiqueta denominada interfaces virtuales. Esto muestra el nombre, la zona del firewall y los ID de VLAN. Introduzca el nombre y el ID de VLAN para este grupo de interfaces virtuales. El ID de VLAN se utiliza para identificar y marcar el tráfico hacia y desde la interfaz virtual, utilice 0 (cero) para el tráfico nativo/no etiquetado.
- Para configurar las interfaces en error de cableado, haga clic en Pares de puente. Esto agrega un nuevo par de puentes y permite la edición. Haga clic en Aplicar para confirmar esta configuración.
- Para agregar más grupos de interfaces virtuales, haga clic en + a la derecha de la rama de grupos de interfaz y continúe como se indica anteriormente.
- Una vez elegidas las interfaces, el siguiente paso es configurar las direcciones IP en estas interfaces. En la terminología Citrix SD-WAN, esto se conoce como VIP (IP virtual).
-
Continúe en la vista de sitios y haga clic en la dirección IP virtual para ver las interfaces para configurar VIP.
-
Introduzca la información Dirección IP/ Prefijo y seleccione la Interfaz Virtual con la que está asociada la dirección. La dirección IP virtual debe incluir la dirección de host completa y la máscara de red. Seleccione la configuración deseada para la dirección IP virtual, como Zona de firewall, Identidad, Privada y Seguridad. Haga clic en Aplicar. Esto agrega la información de dirección al sitio y la incluye en la tabla Direcciones IP virtuales del sitio. Para agregar más direcciones IP virtuales, haga clic en + a la derecha de las Direcciones IP virtuales y continúe como se indica anteriormente.
-
Continúe en la sección Sitios para configurar vínculos WAN para el sitio.
-
Haga clic en Agregar vínculo, en la parte superior del panel a la derecha. Esto abre un cuadro de diálogo, que le permite elegir el tipo de vínculo que se va a configurar.
- Internet público es para enlaces de Internet/gran ancho de banda/DSL/ADSL, mientras que MPLS privado es para enlaces MPLS. Intranet privada también es para enlaces MPLS. La diferencia entre MPLS privados y los vínculos de Intranet privados es que MPLS privados permite preservar las directivas de QoS de los enlaces MPLS.
- Si elige Internet público y las IP se asignan a través de DHCP, elija la opción de detección automática de IP.
-
Seleccione Interfaces de Acceso en la página de configuración de vínculos WAN. Esto abre la vista Interfaces de acceso para el sitio. Agregue y configure el VIP y la IP de la puerta de enlace para cada uno de los enlaces como se muestra a continuación.
-
Haga clic en + para agregar una interfaz. Esto agrega una entrada en blanco a la tabla y la abre para modificarla.
- Introduzca el nombre que quiere asignar a esta interfaz. Puede elegir asignarle un nombre según el tipo de vínculo y la ubicación. Mantenga el dominio de enrutamiento como predeterminado si no quiere segregar redes y asignar una IP a la interfaz.
-
Asegúrese de proporcionar una dirección IP de puerta de enlace accesible públicamente si el enlace es un enlace a Internet o una IP privada si el enlace es un enlace MPLS. Mantenga el modo de ruta virtual como principal, ya que necesita este vínculo para formar la ruta virtual.
Nota: Habilite el ARP proxy a medida que el dispositivo responda a las solicitudes ARP para la dirección IP de la puerta de enlace cuando no se pueda acceder a la puerta de enlace.
- Haga clic en Aplicar para finalizar la configuración del vínculo WAN. Si quiere configurar más vínculos WAN, repita los pasos para otro vínculo.
- Configurar rutas para el sitio. Haga clic en Vista Conexiones y seleccione rutas.
-
Haga clic en + para agregar rutas, se abrirá un cuadro de diálogo como se muestra a continuación.
-
Introduzca la siguiente información disponible para la nueva ruta:
- Dirección IP de red
- Coste: el coste determina qué ruta tiene prioridad sobre la otra. Las rutas con costes más bajos tienen prioridad sobre las rutas de mayor coste. El valor predeterminado es cinco.
- Tipo de servicio: seleccione el servicio, un servicio puede ser cualquiera de los siguientes:
- Ruta virtual
- Intranet
- Internet
- Paso a través
- Locales
- Túnel GRE
- Túnel IPsec LAN
- Haga clic en Aplicar.
Para agregar más rutas para el sitio haga clic en + a la derecha de la rama de rutas y proceda como arriba. Para obtener más información, consulte Configurar MCN.
Configurar ruta virtual entre MCN y sitios de rama
Establezca conectividad entre el MCN y el nodo de rama. Puede hacerlo configurando una ruta virtual entre estos dos sitios. Vaya a la ficha Conexiones en el árbol de configuración del editor de configuración.
- Haga clic en la ficha Conexiones en la sección de configuración. Esto muestra la sección de conexiones del árbol de configuración.
-
Seleccione el MCN desde el menú desplegable del sitio de vista en la página de sección de conexiones.
-
Seleccione la ruta virtual en la ficha Conexiones para crear la ruta virtual entre los sitios de MCN y rama.
-
Haga clic en Agregar ruta virtual junto al nombre de la ruta virtual estática en la sección Rutas virtuales. Esto abre un cuadro de diálogo como se muestra a continuación. Elija la rama para la que quiere configurar la ruta de acceso virtual. Debe configurarlo bajo la etiqueta denominada sitio remoto. Seleccione el nodo de bifurcación en esta lista desplegable y haga clic en la casilla de verificación Invertir también.
La clasificación y la dirección del tráfico se reflejan en ambos sitios de la ruta virtual. Una vez completado esto, seleccione rutas en el menú desplegable debajo de la etiqueta llamada sección como se muestra a continuación.
-
Haga clic en + Agregar encima de la tabla de rutas, que muestra el cuadro de diálogo Agregar ruta. Especifique los puntos finales dentro de los cuales se debe configurar la ruta virtual. Ahora, haga clic en Agregar para crear la ruta y haga clic en la casilla Invertir también.
Nota: Citrix SD-WAN mide la calidad del enlace en ambas direcciones. Esto significa que el punto A al punto B es una ruta y el punto B al punto A es otro ruta. Con la ayuda de la medición unidireccional de las condiciones de enlace, la SD-WAN es capaz de elegir la mejor ruta para enviar tráfico. Esto es diferente de medidas como RTT, que es una métrica bidireccional para medir la latencia. Por ejemplo, una conexión entre el punto A y el punto B se muestra como dos rutas y para cada una de ellas las métricas de rendimiento del vínculo se calculan de forma independiente.
Esta configuración es suficiente para subir las rutas virtuales entre el MCN y la rama, otras opciones de configuración también están disponibles. Para obtener más información, consulte Configurar el servicio de rutas virtuales entre sitios de MCN y clientes.
Implementar configuración de MCN
El siguiente paso es implementar la configuración. Esto implica los dos pasos siguientes:
-
Exporte el paquete de configuración de SD-WAN a Change Management.
- Antes de generar los paquetes del dispositivo, primero debe exportar el paquete de configuración completo del Editor de configuración a la bandeja de entrada provisional de administración de cambios global del MCN. Consulte los pasos proporcionados en la sección Realizar la administración de cambios.
-
Generar y organizar los paquetes del dispositivo.
- Después de agregar el nuevo paquete de configuración a la bandeja de entrada de Administración de cambios, puede generar y poner en escena los paquetes del dispositivo en los sitios de rama. Para ello, utilice el Asistente para administración de cambios en la interfaz web de administración en el MCN. Consulte los pasos proporcionados en la sección Poner paquetes de dispositivos en el entorno de ensayo.
Configurar servicios de intranet para conectarse con recursos WAN de Azure
-
En la GUI del dispositivo SD-WAN, vaya al Editor de configuración. Vaya al mosaico Conexiones. Haga clic en + Agregar servicio para agregar un servicio de intranet para ese sitio.
-
En Configuración básica del servicio de intranet, hay varias opciones sobre cómo quiere que el servicio de intranet se comporte durante la falta de disponibilidad de vínculos WAN.
- Habilitar recuperación primaria: Marque esta casilla si quiere que el enlace principal elegido se haga cargo cuando aparezca después de fallar. Sin embargo, si elige no marcar esta opción, el enlace secundario continuará enviando tráfico.
- Ignorar estado del vínculo WAN: Si esta opción está habilitada, los paquetes destinados a este servicio de intranet seguirán mediante este servicio aunque los vínculos WAN constitutivos no estén disponibles.
-
Después de configurar los parámetros básicos, el siguiente paso es elegir los vínculos WAN constitutivos para este servicio. Se eligen dos enlaces como máximo para un servicio de Intranet. Para elegir los vínculos WAN, seleccione la opción Vínculos WAN de la lista desplegable denominada Sección. Los vínculos WAN funcionan en modo primario y secundario y solo se elige un vínculo WAN principal.
Nota: Cuando se crea un segundo servicio de intranet, debe tener la asignación de enlace wan-link primario y secundario.
-
Las reglas específicas del sitio de rama están disponibles, lo que permite personalizar cada sitio de rama sobrescribiendo de forma única cualquier configuración general configurada en el conjunto predeterminado global. Los modos incluyen la entrega deseada a través de un enlace WAN específico o como un servicio de anulación que permite pasar o descartar el tráfico filtrado. Por ejemplo, si hay algo de tráfico, que no quiere pasar por el servicio de intranet, puede escribir una regla para descartar ese tráfico o enviarlo a través de un servicio diferente (Internet o de paso).
-
Con el servicio de intranet habilitado para un sitio, el mosaico de aprovisionamiento está disponible para permitir la distribución bidireccional (LAN a WAN/WAN a LAN) del ancho de banda para un enlace WAN entre los diversos servicios que utilizan el enlace WAN. La sección Servicios le permite ajustar aún más la asignación de ancho de banda. Además, se puede habilitar el reparto justo, permitiendo que los servicios reciban su ancho de banda mínimo reservado antes de que se promulguen las distribuciones justas.
Configurar el centro de SD-WAN
El siguiente diagrama describe el flujo de trabajo de alto nivel de la conexión SD-WAN Center y Azure Virtual WAN.
Configurar la configuración de Azure:
- Proporcione ID de arrendatario, ID de cliente, clave segura, ID de suscriptor y grupo de recursos.
Configurar asociación de sitio de rama a WAN:
- Asocie un recurso WAN a los sitios de una rama. El mismo sitio no se puede conectar a varias WAN.
- Haga clic en Nuevo para configurar la asociación Site-WAN.
- Seleccione Recursos WAN de Azure.
- Seleccione Servicios (Intranet) para el sitio. Se deben seleccionar dos servicios para Active-Standby.
- Seleccione Nombres de sitio que quiere asociar a los recursos de WAN.
- Haga clic en Implementar para confirmar la asociación.
- Espere a que el estado cambie a “Descargado” para ver la configuración del túnel IPsec.
- Utilice la vista Informes de SD-WAN Center para comprobar el estado de los respectivos túneles IPSec. El estado del túnel IPsec debe ser VERDE para que fluya el tráfico de datos.
Aprovisione SD-WAN Center:
El centro SD-WAN es la herramienta de gestión y generación de informes para Citrix SD-WAN. La configuración requerida para Virtual WAN se realiza en SD-WAN Center. El centro SD-WAN solo está disponible como factor de forma virtual (VPX) y debe instalarse en un hipervisor VMware ESXi o XenServer. Los recursos mínimos necesarios para configurar un dispositivo de SD-WAN Center son 8 GB de RAM y 4 núcleos de CPU. Estos son los pasos para instalar y configurar una máquina virtual de SD-WAN Center.
Configurar SD-WAN Center para conectividad de Azure
Asegúrese de que los servicios de intranet para los sitios requeridos estén configurados y que la información de la directiva de servicio del portal de Azure esté configurada en el centro SD-WAN. Consulte las instrucciones proporcionadas en la sección anterior. Antes de usar el centro SD-WAN para conectarse con los recursos WAN de Azure, debe crear una entidad de servicio utilizada para autenticar una aplicación de terceros (centro SD-WAN en este caso) con Azure. Consulte Crear una entidad de servicio para obtener más información.
Para autenticar correctamente SD-WAN Center con Azure, deben estar disponibles los siguientes parámetros:
- ID de arrendatario
- ID de cliente
- Clave segura
- ID de suscriptor
Asegúrese de que los servicios de intranet para los sitios requeridos estén configurados y que la información de la directiva de servicio del portal de Azure esté configurada en el centro SD-WAN. Consulte las instrucciones proporcionadas en la sección anterior.
Autenticar SD-WAN Center:
En la interfaz de usuario de SD-WAN Center, vaya a Configuración > Conectividad en la nube. Configurar la configuración de conexión de Azure. Consulte el siguiente enlace para obtener más información sobre la configuración de la conexión VPN de Azure, Azure Resource Manager.
Introduzca el ID de arrendatario, la clave segura, el ID de suscriptor y el ID de aplicación. Este paso es necesario para autenticar SD-WAN Center con Azure. Si las credenciales introducidas anteriormente no son correctas, se produce un error en la autenticación y no se permiten otras acciones. Haga clic en Aplicar.
El campo Cuenta de almacenamiento hace referencia a la cuenta de almacenamiento que ha creado en Azure. Si no creó una cuenta de almacenamiento, se creará automáticamente una nueva cuenta de almacenamiento en su suscripción al hacer clic en Aplicar.
Obtenga recursos de Azure Virtual WAN:
Una vez que la autenticación se realiza correctamente, Citrix SD-WAN sondea Azure para obtener una lista de recursos WAN virtuales de Azure, que creó en el primer paso después de iniciar sesión en Azure Portal. Los recursos WAN son los dispositivos de punto final o concentradores para terminar los túneles IPSec iniciados desde los sitios de ramas. Este recurso representa toda su red en Azure. Contiene enlaces a todos los Hubs que le gustaría tener dentro de esta WAN. Las WAN están aisladas entre sí y no pueden contener un concentrador común o conexiones entre dos concentradores diferentes en diferentes recursos WAN.
Para asociar sitios de ramas y recursos WAN de Azure:
Un sitio de rama debe asociarse a los recursos WAN de Azure para establecer túneles IPSec. Una rama se puede conectar a varios recursos WAN virtuales de Azure y un recurso WAN virtual de Azure se puede conectar con varios sitios de ramas locales.
Para agregar varios sitios:
Puede elegir agregar varios sitios a la vez y asociarlos a un recurso WAN de Azure.
-
Haga clic en Agregar varios para agregar todos los sitios con el mismo conjunto de servicios y asociarlos a los recursos WAN elegidos.
-
La lista desplegable Recursos WAN de Azure (que se muestra a continuación) se rellena previamente con los recursos que pertenecen a su cuenta de Azure. Si no se han creado recursos WAN, esta lista está vacía y debe desplazarse al portal de Azure para crear los recursos. Si la lista se rellena con recursos WAN, elija el recurso WAN de Azure al que necesita los sitios de rama para conectarse.
-
Seleccione el servicio de intranet creado, puede seleccionar dos servicios de intranet en este campo. Los servicios se corresponden con los servicios de intranet que creó mediante la configuración de SD-WAN.
-
Elija uno o todos los sitios de bifurcación para iniciar el proceso de establecimiento de túneles IPSec. En función de los servicios de intranet seleccionados, se rellena la información disponible de las ramas. Se muestran todas las ramas con los servicios requeridos.
Para agregar un solo sitio:
También puede optar por agregar sitios uno por uno (uno) y a medida que crece la red, o si está realizando una implementación sitio por sitio, puede optar por agregar varios sitios como se describe anteriormente.
-
Haga clic en Agregar nueva entrada para seleccionar un nombre de sitio para la asociación Site-Wan. Agregue sitios en el cuadro de diálogo Configurar sitios en red de Azure.
-
Los servicios de intranet que creó mediante la configuración de SD-WAN se rellenan en función del sitio seleccionado en Servicios de intranet (Tunnel1 y Tunnel2). Elija uno o dos servicios de intranet.
-
Seleccione el recurso WAN al que se debe asociar el sitio en el menú desplegable WAN virtuales de Azure.
-
Haga clic en Implementar para confirmar la asociación. El estado (“No enviado”, “Enviado” y “Descargado”) se actualiza para notificarle sobre el proceso.
El proceso de implementación incluye el siguiente estado:
- Información del sitio Push
- Esperando la configuración de VPN
- Túneles implementados
-
Conexión activa (el túnel IPsec está activo) o Conexión inactiva (el túnel IPsec está inactivo)
Espere a que el estado cambie a Conexión activa para ver la configuración del túnel IPsec. Ver la configuración de IPSec asociada a los servicios seleccionados.
Configuración de Azure de SD-WAN:
De forma predeterminada, el proceso de administración de cambios está automatizado. Esto significa que cada vez que una nueva configuración está disponible en la infraestructura de Azure Virtual WAN, SD-WAN Center la obtiene y comienza a aplicarla a las ramas automáticamente. Sin embargo, este comportamiento está controlado, si quiere controlar cuándo es necesario aplicar una configuración a las ramas. Una ventaja de inhabilitar la administración automática de cambios es que la configuración de esta función y otras funciones de SD-WAN se administra de forma independiente. La opción Intervalo de sondeo controla el intervalo de búsqueda de actualizaciones de configuración en la infraestructura de Azure Virtual WAN, el tiempo recomendado para el intervalo de sondeo es de 2 minutos.
-
Inhabilitar la conexión de rama a rama: Inhabilita la comunicación de rama a rama a través de la infraestructura WAN virtual de Azure. De forma predeterminada, esta opción está inhabilitada. Una vez habilitado esto, significa que las ramas locales pueden comunicarse entre sí y con los recursos detrás de las ramas a través de IPSec a través de Virtual WAN Infra de Azure. Esto no tiene ningún efecto en la comunicación de rama a rama a través de la ruta virtual SD-WAN, las ramas pueden comunicarse entre sí y sus respectivos recursos/puntos finales a través de la ruta virtual incluso si esta opción está inhabilitada.
-
Nivel de depuración: Permite capturar registros para depurar si hay algún problema de conectividad.
Actualizar recursos WAN:
Haga clic en el icono Actualizar para recuperar el conjunto más reciente de recursos WAN que actualizó en Azure Portal. Una vez finalizado el proceso de actualización, se muestra un mensaje que indica “recursos WAN actualizados correctamente”.
Eliminar la asociación de recursos site-wan
Seleccione una o varias asignaciones para realizar la eliminación. Internamente, se activa el proceso de administración de cambios del dispositivo SD-WAN y, hasta que se realice correctamente, se inhabilita la opción Eliminar para evitar que se realicen más eliminaciones. Para eliminar la asignación, debe desasociar o eliminar los sitios correspondientes en Azure Portal.
Supervisar túneles IPsec
Navegue a la vista Informes de SD-WAN Center para comprobar el estado de los túneles IPSec respectivos. El estado del túnel debe ser VERDE para que fluya el tráfico de datos.