Uso de Citrix SD-WAN™ para conectarse a Microsoft Azure Virtual WAN

Para que los dispositivos locales se conecten a Azure, se necesita un controlador. Un controlador ingiere las API de Azure para establecer conectividad de sitio a sitio con la WAN de Azure y un centro.

Microsoft Azure Virtual WAN incluye los siguientes componentes y recursos:

• WAN: Representa toda la red en Microsoft Azure. Contiene enlaces a todos los centros que te gustaría tener dentro de esta WAN. Las WAN están aisladas entre sí y no pueden contener un centro común ni conexiones entre dos centros en WAN diferentes.

• Sitio: Representa tu dispositivo VPN local y su configuración. Un sitio puede conectarse a varios centros. Al usar Citrix SD-WAN, puedes tener una solución integrada para exportar automáticamente esta información a Azure.

• Centro: Representa el núcleo de tu red en una región específica. El centro contiene varios puntos de conexión de servicio para habilitar la conectividad y otras soluciones a tu red local. Las conexiones de sitio a sitio se establecen entre los sitios y un punto de conexión VPN de los centros.

• Conexión de red virtual del centro: La red del centro conecta el centro de Azure Virtual WAN sin problemas a tu red virtual. Actualmente, la conectividad a redes virtuales que se encuentran dentro de la misma región de centro virtual está disponible.

• Sucursal: Las sucursales son los dispositivos Citrix SD-WAN locales, que existen en las ubicaciones de las oficinas de los clientes. Un controlador SD-WAN administra las sucursales de forma centralizada. La conexión se origina detrás de estas sucursales y termina en Azure. El controlador SD-WAN es responsable de aplicar la configuración necesaria a estas sucursales y a los centros de Azure.

La siguiente ilustración describe los componentes de Virtual WAN:

Cómo funciona Microsoft Azure Virtual WAN

1. El centro de SD-WAN se autentica mediante la funcionalidad de entidad de servicio, entidad o acceso basado en roles, que está habilitada en la GUI de Azure.

2. El centro de SD-WAN obtiene la configuración de conectividad de Azure y actualiza el dispositivo local. Esto automatiza la descarga, edición y actualización de la configuración del dispositivo local.

3. Una vez que el dispositivo tiene la configuración de Azure correcta, se establece una conexión de sitio a sitio (dos túneles IPsec activos) con la WAN de Azure. Azure requiere que el conector del dispositivo de sucursal admita la configuración de IKEv2. La configuración de BGP es opcional.

   Nota: Los parámetros de IPsec para establecer túneles IPsec están estandarizados.

   Propiedad IPsec	Parámetro
   Ike Encryption Algorithm	AES 256
   Ike Integrity Algorithm	SHA 256
   Dh Group	DH2
   IPsec Encryption Algorithm	GCM AES 256
   IPsec Integrity Algorithm	GCM AES 256
   PFS Group	None

Azure Virtual WAN automatiza la conectividad entre la red virtual de la carga de trabajo y el centro. Cuando creas una conexión de red virtual de centro, establece la configuración adecuada entre el centro aprovisionado y la red virtual de las cargas de trabajo (VNET).

Requisitos previos y requisitos

Lee los siguientes requisitos antes de continuar con la configuración de Azure y SD-WAN para administrar los sitios de sucursal que se conectan a los centros de Azure.

1. Ten una suscripción de Azure en lista blanca para Virtual WAN.
2. Ten un dispositivo local, como un dispositivo SD-WAN, para establecer IPsec en los recursos de Azure.
3. Ten enlaces a Internet con direcciones IP públicas. Aunque un solo enlace a Internet es suficiente para establecer conectividad con Azure, necesitas dos túneles IPsec para usar el mismo enlace WAN.
4. Controlador SD-WAN: un controlador es la interfaz responsable de configurar los dispositivos SD-WAN para conectarse a Azure.
5. Una VNET en Azure que tenga al menos una carga de trabajo. Por ejemplo, una VM que aloja un servicio. Considera los siguientes puntos:
   1. La red virtual no debe tener una puerta de enlace VPN de Azure o Express Route, ni un dispositivo virtual de red.
   2. La red virtual no debe tener una ruta definida por el usuario que enrute el tráfico a una red virtual que no sea de Virtual WAN para la carga de trabajo a la que se accede desde la sucursal local.
   3. Se deben configurar los permisos adecuados para acceder a la carga de trabajo. Por ejemplo, acceso SSH por el puerto 22 para una VM de Ubuntu.

El siguiente diagrama ilustra una red con dos sitios y dos redes virtuales en Microsoft Azure.

Configurar Microsoft Azure Virtual WAN

Para que las sucursales SD-WAN locales se conecten a Azure y accedan a los recursos a través de túneles IPsec, debes completar los siguientes pasos.

1. Configurar los recursos de WAN.
2. Habilitar las sucursales SD-WAN para que se conecten a Azure mediante túneles IPsec.

Configura la red de Azure antes de configurar la red SD-WAN, ya que los recursos de Azure necesarios para conectarse a los dispositivos SD-WAN deben estar disponibles de antemano. Sin embargo, puedes configurar la configuración de SD-WAN antes de configurar los recursos de Azure, si lo prefieres. Este tema trata sobre la configuración de la red de Azure Virtual WAN antes de configurar los dispositivos SD-WAN. https://microsoft.com azure virtual-wan.

Crear un recurso de WAN

Para usar las funciones de Virtual WAN y conectar el dispositivo de sucursal local a Azure:

1. Inicia sesión en Azure Marketplace, ve a la aplicación Virtual WAN y selecciona Crear WAN.

   

2. Introduce un nombre para la WAN y selecciona la suscripción que quieres usar para la WAN.

3. Selecciona un grupo de recursos existente o crea un grupo de recursos nuevo. Los grupos de recursos son construcciones lógicas y el intercambio de datos entre grupos de recursos siempre es posible.

4. Selecciona la ubicación donde quieres que resida tu grupo de recursos. La WAN es un recurso global que no tiene una ubicación. Sin embargo, debes introducir una ubicación para el grupo de recursos que contiene metadatos para el recurso de WAN.

5. Haz clic en Crear. Esto inicia el proceso para validar e implementar tu configuración.

Crear sitio

Puedes crear un sitio usando un proveedor preferido. El proveedor preferido envía la información sobre tu dispositivo y sitio a Azure o puedes decidir administrar el dispositivo tú mismo. Si quieres administrar el dispositivo, necesitas crear el sitio en Azure Portal.

Flujo de trabajo de la red SD-WAN y Microsoft Azure Virtual WAN

Configurar el dispositivo SD-WAN:

1. Aprovisionar un dispositivo Citrix SD-WAN
   • Conectar el dispositivo de sucursal SD-WAN al dispositivo MCN.
2. Configurar el dispositivo SD-WAN
   • Configurar servicios de intranet para conexión activa-activa.

Configurar el centro de SD-WAN:

• Configurar el centro de SD-WAN para conectarse a Microsoft Azure.

Configurar los ajustes de Azure:

• Proporcionar ID de inquilino, ID de cliente, clave segura, ID de suscriptor y grupo de recursos.

Configurar la asociación de sitio de sucursal a WAN:

1. Asociar un recurso de WAN a una sucursal. El mismo sitio no puede conectarse a varias WAN.
2. Haz clic en Nuevo para configurar la asociación de sitio a WAN.
3. Selecciona Recursos de WAN de Azure.
4. Selecciona Servicios (Intranet) para el sitio. Selecciona dos servicios para soporte activo-en espera.
5. Selecciona Nombres de sitio para asociarlos con los recursos de WAN.
6. Haz clic en Implementar para confirmar la asociación.
7. Espera a que el estado cambie a Túneles implementados para ver la configuración del túnel IPsec.
8. Usa la vista de informes del centro de SD-WAN para verificar el estado de los túneles IPsec respectivos.

Configurar la red Citrix SD-WAN

MCN:

El MCN sirve como punto de distribución para la configuración inicial del sistema y los cambios de configuración posteriores. Solo puede haber un MCN activo en una Virtual WAN. Por defecto, los dispositivos tienen el rol de cliente preasignado. Para establecer un dispositivo como MCN, primero debes agregar y configurar el sitio como MCN. La GUI de configuración de red estará disponible después de que un sitio se configure como MCN. Las actualizaciones y los cambios de configuración solo deben realizarse desde el MCN o el centro de SD-WAN.

Función del MCN:

El MCN es el nodo central que actúa como controlador de una red SD-WAN y el punto de administración central para los nodos cliente. Todas las actividades de configuración, y la preparación de paquetes de firmware y su distribución a los clientes, se configuran en el MCN. Además, la información de monitoreo solo está disponible en el MCN. El MCN puede monitorear toda la red SD-WAN, mientras que los nodos cliente solo pueden monitorear las intranets locales y cierta información para aquellos clientes a los que están conectados. El propósito principal del MCN es establecer conexiones superpuestas (rutas virtuales) con uno o más nodos cliente ubicados en toda la red SD-WAN para la comunicación de sitio a sitio empresarial. Un MCN puede administrar y tener rutas virtuales a múltiples nodos cliente. Puede haber más de un MCN, pero solo uno puede estar activo en un momento dado. La siguiente figura ilustra el diagrama básico de los dispositivos MCN y cliente (nodo de sucursal) para una pequeña red de dos sitios.

Configurar el dispositivo SD-WAN como MCN

Para agregar y configurar el MCN, primero debes iniciar sesión en la interfaz web de administración del dispositivo que designas como MCN y cambiar la interfaz web de administración al modo Consola MCN. El modo Consola MCN permite el acceso al Editor de configuración en la interfaz web de administración a la que estás conectado actualmente. Luego puedes usar el Editor de configuración para agregar y configurar el sitio MCN.

Para cambiar la interfaz web de administración al modo Consola MCN, haz lo siguiente:

1. Inicia sesión en la interfaz web de administración de SD-WAN del dispositivo que quieres configurar como MCN.
2. Haz clic en Configuración en la barra de menú principal de la pantalla principal de la interfaz web de administración (barra azul en la parte superior de la página).
3. En el árbol de navegación (panel izquierdo), abre la rama Configuración del dispositivo y haz clic en Interfaz de administrador.

4. Selecciona la ficha Varios. Se abre la página de configuración administrativa de varios.

   

   En la parte inferior de la página de la ficha Varios se encuentra la sección Cambiar a consola [Cliente, MCN]. Esta sección contiene el botón Cambiar consola para alternar entre los modos de consola del dispositivo.

El encabezado de la sección indica el modo de consola actual, de la siguiente manera:

• Cuando estás en modo Consola de cliente (predeterminado), el encabezado de la sección es Cambiar a consola MCN.
• Cuando estás en modo Consola MCN, el encabezado de la sección es Cambiar a consola de cliente.

Por defecto, un nuevo dispositivo está en modo Consola de cliente. El modo Consola MCN habilita la vista del Editor de configuración en el árbol de navegación. El Editor de configuración solo está disponible en el dispositivo MCN.

Configurar MCN

Para agregar y comenzar a configurar el sitio del dispositivo MCN, haz lo siguiente:

1. En la GUI del dispositivo SD-WAN, navega a Virtual WAN > Editor de configuración.

   

2. Haz clic en + Sitios en la barra Sitios para comenzar a agregar y configurar el sitio MCN. Se muestra el cuadro de diálogo Agregar sitio.

   

3. Introduce un nombre de sitio que te permita determinar la ubicación geográfica y la función del dispositivo (DC/DC secundario). Selecciona el modelo de dispositivo correcto. Seleccionar el dispositivo correcto es crucial, ya que las plataformas de hardware difieren entre sí en términos de potencia de procesamiento y licencias. Dado que estamos configurando este dispositivo como el dispositivo principal de cabecera, elige el modo como MCN principal y haz clic en Agregar.

4. Esto agrega el nuevo sitio al árbol de sitios y la vista predeterminada muestra la página de configuración de ajustes básicos como se muestra a continuación:

   

5. Introduce los ajustes básicos como la ubicación y el nombre del sitio.

6. Configura el dispositivo para que pueda aceptar tráfico de Internet/MPLS/Banda ancha. Define las interfaces donde terminan los enlaces. Esto depende de si el dispositivo está en modo superpuesto o subyacente.

7. Haz clic en Grupos de interfaz para comenzar a definir las interfaces.

   

8. Haz clic en + para agregar grupos de interfaz virtual. Esto agrega un nuevo grupo de interfaz virtual. El número de interfaces virtuales depende de los enlaces que quieres que maneje el dispositivo. El número de enlaces que un dispositivo puede manejar varía de un modelo de dispositivo a otro y el número máximo de enlaces puede ser de hasta ocho.

   

9. Haz clic en + a la derecha de las interfaces virtuales para ver la pantalla como se muestra a continuación.

   

10. Selecciona las interfaces Ethernet que forman parte de esta interfaz virtual. Dependiendo del modelo de plataforma, los dispositivos tienen un par de interfaces de conmutación por error preconfiguradas. Si quieres habilitar la conmutación por error en los dispositivos, asegúrate de elegir el par de interfaces correcto y de seleccionar la conmutación por error en la columna Modo de bypass.
11. Selecciona el nivel de seguridad de la lista desplegable. Se elige el modo Confiable si la interfaz está sirviendo enlaces MPLS y se elige No confiable cuando se usan enlaces a Internet en las interfaces respectivas.

12. Haz clic en + a la derecha de la etiqueta llamada interfaces virtuales. Esto muestra el nombre, la zona de firewall y los ID de VLAN. Introduce el Nombre y el ID de VLAN para este grupo de interfaz virtual. El ID de VLAN se usa para identificar y marcar el tráfico hacia y desde la interfaz virtual; usa 0 (cero) para el tráfico nativo/sin etiquetar.

    

13. Para configurar las interfaces en conmutación por error, haz clic en Pares de puente. Esto agrega un nuevo par de puente y permite la edición. Haz clic en Aplicar para confirmar estos ajustes.
14. Para agregar más grupos de interfaz virtual, haz clic en + a la derecha de la rama de grupos de interfaz y procede como se indicó anteriormente.
15. Después de elegir las interfaces, el siguiente paso es configurar las direcciones IP en estas interfaces. En la terminología de Citrix SD-WAN, esto se conoce como VIP (IP virtual).

16. Continúa en la vista de sitios y haz clic en la dirección IP virtual para ver las interfaces para configurar VIP.

    

17. Introduce la información de dirección IP/prefijo y selecciona la Interfaz virtual con la que está asociada la dirección. La dirección IP virtual debe incluir la dirección de host completa y la máscara de red. Selecciona los ajustes deseados para la dirección IP virtual, como la zona de firewall, la identidad, la privacidad y la seguridad. Haz clic en Aplicar. Esto agrega la información de dirección al sitio y la incluye en la tabla de direcciones IP virtuales del sitio. Para agregar más direcciones IP virtuales, haz clic en + a la derecha de las direcciones IP virtuales y procede como se indicó anteriormente.

18. Continúa en la sección de sitios para configurar los enlaces WAN para el sitio.

    

19. Haz clic en Agregar enlace, en la parte superior del panel del lado derecho. Esto abre un cuadro de diálogo que te permite elegir el tipo de enlace que se va a configurar.

    

20. Internet público es para enlaces de Internet/banda ancha/DSL/ADSL, mientras que MPLS privado es para enlaces MPLS. Intranet privada también es para enlaces MPLS. La diferencia entre los enlaces MPLS privados y los enlaces de intranet privada es que MPLS privado permite preservar las políticas de QoS de los enlaces MPLS.
21. Si estás eligiendo Internet público y las IP se asignan a través de DHCP, elige la opción de detección automática de IP.

22. Selecciona Interfaces de acceso en la página de configuración de enlaces WAN. Esto abre la vista de Interfaces de acceso para el sitio. Agrega y configura la VIP y la IP de puerta de enlace para cada uno de los enlaces como se muestra a continuación.

    

23. Haz clic en + para agregar una interfaz. Esto agrega una entrada en blanco a la tabla y la abre para su edición.

24. Introduce el nombre que quieres asignar a esta interfaz. Puedes elegir nombrarla según el tipo de enlace y la ubicación. Mantén el dominio de enrutamiento como predeterminado si no quieres segregar redes y asignar una IP a la interfaz.

25. Asegúrate de proporcionar una dirección IP de puerta de enlace accesible públicamente si el enlace es un enlace a Internet o una IP privada si el enlace es un enlace MPLS. Mantén el modo de ruta virtual como principal, ya que necesitas este enlace para formar una ruta virtual.

    Nota: Habilita el proxy ARP, ya que el dispositivo responde a las solicitudes ARP para la dirección IP de la puerta de enlace cuando la puerta de enlace no está disponible.

26. Haz clic en Aplicar para terminar de configurar el enlace WAN. Si quieres configurar más enlaces WAN, repite los pasos para otro enlace.
27. Configura las rutas para el sitio. Haz clic en la vista Conexiones y selecciona rutas.

28. Haz clic en + para agregar rutas; esto abre un cuadro de diálogo como se muestra a continuación.

    

29. Introduce la siguiente información disponible para la nueva ruta:

    • Dirección IP de red
    • Costo: El costo determina qué ruta tiene precedencia sobre la otra. Las rutas con costos más bajos tienen precedencia sobre las rutas con costos más altos. El valor predeterminado es cinco.
    • Tipo de servicio: Selecciona el servicio; un servicio puede ser cualquiera de los siguientes:
      • Ruta virtual
      • Intranet
      • Internet
      • Paso directo
      • Local
      • Túnel GRE
      • Túnel IPsec de LAN
30. Haz clic en Aplicar.

Para agregar más rutas para el sitio, haz clic en + a la derecha de la rama de rutas y procede como se indicó anteriormente. Para obtener más información, consulta Configurar MCN.

Configurar la ruta virtual entre MCN y los sitios de sucursal

Establece la conectividad entre el MCN y el nodo de sucursal. Puedes hacerlo configurando una ruta virtual entre estos dos sitios. Navega a la ficha Conexiones en el árbol de configuración del editor de configuración.

1. Haz clic en la ficha Conexiones en la sección de configuración. Esto muestra la sección de conexiones del árbol de configuración.

2. Selecciona el MCN del menú desplegable de vista de sitio en la página de la sección conexiones.

   

3. Selecciona la ruta virtual de la ficha conexiones para crear una ruta virtual entre el MCN y los sitios de sucursal.

   

4. Haz clic en Agregar ruta virtual junto al nombre de la ruta virtual estática en la sección de rutas virtuales. Esto abre un cuadro de diálogo como se muestra a continuación. Elige la sucursal para la que quieres configurar la ruta virtual. Debes configurar esto bajo la etiqueta llamada sitio remoto. Selecciona el nodo de sucursal de esta lista desplegable y haz clic en la casilla de verificación También invertir.

   

   La clasificación y el direccionamiento del tráfico se reflejan en ambos sitios de la ruta virtual. Una vez completado esto, selecciona las rutas del menú desplegable bajo la etiqueta llamada sección como se muestra a continuación.

   

5. Haz clic en + Agregar encima de la tabla de rutas, lo que muestra el cuadro de diálogo agregar ruta. Especifica los puntos finales dentro de los cuales debe configurarse la ruta virtual. Ahora, haz clic en Agregar para crear la ruta y haz clic en la casilla de verificación También invertir.

   Nota: Citrix SD-WAN mide la calidad del enlace en ambas direcciones. Esto significa que el punto A al punto B es una ruta y el punto B al punto A es otra ruta. Con la ayuda de la medición unidireccional de las condiciones del enlace, el SD-WAN puede elegir la mejor ruta para enviar el tráfico. Esto es diferente de medidas como RTT, que es una métrica bidireccional para medir la latencia. Por ejemplo, una conexión entre el punto A y el punto B se muestra como dos rutas y para cada una de ellas las métricas de rendimiento del enlace se calculan de forma independiente.

Esta configuración es suficiente para activar las rutas virtuales entre el MCN y la sucursal; también hay otras opciones de configuración disponibles. Para obtener más información, consulta Configurar el servicio de ruta virtual entre MCN y los sitios de cliente.

Implementar la configuración de MCN

El siguiente paso es implementar la configuración. Esto implica los siguientes dos pasos:

1. Exportar el paquete de configuración de SD-WAN a Gestión de cambios.

   • Antes de que puedas generar los paquetes de dispositivos, primero debes exportar el paquete de configuración completado desde el Editor de configuración a la bandeja de entrada de preparación de Gestión de cambios global en el MCN. Consulta los pasos proporcionados en la sección, Realizar gestión de cambios.

2. Generar y preparar los paquetes de dispositivos.

   • Después de que hayas agregado el nuevo paquete de configuración a la bandeja de entrada de Gestión de cambios, puedes generar y preparar los paquetes de dispositivos en los sitios de sucursal. Para hacer esto, usa el asistente de Gestión de cambios en la interfaz web de administración del MCN. Consulta los pasos proporcionados en la sección, Preparar paquetes de dispositivos.

Configurar servicios de intranet para conectarse con recursos de WAN de Azure

1. En la GUI del dispositivo SD-WAN, ve al Editor de configuración. Navega a la ficha Conexiones. Haz clic en + Agregar servicio para agregar un servicio de intranet para ese sitio.

2. En los Ajustes básicos del servicio de intranet, hay varias opciones sobre cómo quieres que se comporte el servicio de intranet durante la indisponibilidad de los enlaces WAN.

   • Habilitar recuperación principal: marca esta casilla si quieres que el enlace principal elegido tome el control cuando se active después de una conmutación por error. Sin embargo, si decides no marcar esta opción, el enlace secundario continuaría enviando tráfico.
   • Ignorar estado del enlace WAN: Si esta opción está habilitada, los paquetes destinados a este servicio de intranet continuarían usando este servicio incluso si los enlaces WAN constituyentes no están disponibles.

3. Después de configurar los ajustes básicos, el siguiente paso es elegir los enlaces WAN constituyentes para este servicio. Se eligen un máximo de dos enlaces para un servicio de intranet. Para elegir los enlaces WAN, selecciona la opción de enlaces WAN de la lista desplegable etiquetada como Sección. Los enlaces WAN funcionan en modo principal y secundario, y solo se elige un enlace como enlace WAN principal.

   Nota: Cuando se crea un segundo servicio de intranet, debe tener la asignación de enlace WAN principal y secundario.

   

4. Las reglas específicas del sitio de sucursal están disponibles, lo que permite la capacidad de personalización de cada sitio de sucursal, anulando de forma única cualquier ajuste general configurado en el conjunto predeterminado global. Los modos incluyen la entrega deseada a través de un enlace WAN específico, o como un servicio de anulación que permite el paso o el descarte del tráfico filtrado. Por ejemplo, si hay tráfico que no quieres que pase por el servicio de intranet, puedes escribir una regla para descartar ese tráfico o enviarlo a través de un servicio diferente (Internet o paso directo).

   

5. Con el servicio de intranet habilitado para un sitio, la ficha Aprovisionamiento está disponible para permitir la distribución bidireccional (LAN a WAN / WAN a LAN) del ancho de banda para un enlace WAN entre los diversos servicios que usan el enlace WAN. La sección Servicios te permite ajustar aún más la asignación de ancho de banda. Además, se puede habilitar el reparto equitativo, lo que permite que los servicios reciban su ancho de banda mínimo reservado antes de que se aplique la distribución equitativa.

   

Configurar el centro de SD-WAN

El siguiente diagrama describe el flujo de trabajo de alto nivel de la conexión del centro de SD-WAN y Azure Virtual WAN.

Configurar los ajustes de Azure:

• Proporcionar ID de inquilino, ID de cliente, clave segura, ID de suscriptor y grupo de recursos.

Configurar la asociación de sitio de sucursal a WAN:

• Asociar un recurso de WAN a sitios de sucursal. El mismo sitio no puede conectarse a varias WAN.
• Haz clic en Nuevo para configurar la asociación de sitio a WAN.
• Selecciona Recursos de WAN de Azure.
• Selecciona Servicios (Intranet) para el sitio. Se deben seleccionar dos servicios para soporte activo-en espera.
• Selecciona Nombres de sitio para asociarlos con los recursos de WAN.
• Haz clic en Implementar para confirmar la asociación.
• Espera a que el estado cambie a “Descargado” para ver la configuración del túnel IPsec.
• Usa la vista de informes del centro de SD-WAN para verificar el estado de los túneles IPsec respectivos. El estado del túnel IPsec debe ser VERDE para que fluya el tráfico de datos.

Aprovisionar el centro de SD-WAN:

El centro de SD-WAN es la herramienta de administración e informes para Citrix SD-WAN. La configuración requerida para Virtual WAN se realiza en el centro de SD-WAN. El centro de SD-WAN solo está disponible como factor de forma virtual (VPX) y debe instalarse en un hipervisor VMware ESXi o XenServer. Los recursos mínimos necesarios para configurar un dispositivo de centro de SD-WAN son 8 GB de RAM y 4 núcleos de CPU. Aquí tienes los pasos para Instalar y configurar una VM de centro de SD-WAN.

Configurar el centro de SD-WAN para la conectividad de Azure

Asegúrate de que los servicios de intranet para los sitios requeridos estén configurados y de que la información de la política de servicio del portal de Azure esté configurada en el centro de SD-WAN. Consulta las instrucciones proporcionadas en la sección anterior. Antes de usar el centro de SD-WAN para conectarte con los recursos de WAN de Azure, necesitas crear una entidad de servicio que se usa para autenticar una aplicación de terceros (el centro de SD-WAN en este caso) con Azure. Lee crear una entidad de servicio para obtener más información.

Para autenticar correctamente el centro de SD-WAN con Azure, los siguientes parámetros deben estar disponibles:

• Tenant ID
• Client ID
• Secure Key
• Subscriber ID

Asegúrate de que los servicios de intranet para los sitios requeridos estén configurados y de que la información de la política de servicio del portal de Azure esté configurada en el centro de SD-WAN. Consulta las instrucciones proporcionadas en la sección anterior.

Autenticar el centro de SD-WAN:

En la interfaz de usuario del centro de SD-WAN, navega a Configuración > Conectividad en la nube. Configura los ajustes de conexión de Azure. Consulta el siguiente enlace para obtener más información sobre cómo configurar la conexión VPN de Azure, Azure Resource Manager.

Introduce el ID de inquilino, la clave segura, el ID de suscriptor y el ID de aplicación. Este paso es necesario para autenticar el centro de SD-WAN con Azure. Si las credenciales introducidas anteriormente no son correctas, la autenticación falla y no se permite ninguna acción adicional. Haz clic en Aplicar.

El campo Cuenta de almacenamiento se refiere a la cuenta de almacenamiento que has creado en Azure. Si no creaste una cuenta de almacenamiento, se crea automáticamente una nueva cuenta de almacenamiento en tu suscripción cuando haces clic en Aplicar.

Obtener recursos de Azure Virtual WAN:

Después de que la autenticación sea exitosa, Citrix SD-WAN consulta a Azure para obtener una lista de los recursos de Azure Virtual WAN que creaste en el primer paso después de iniciar sesión en Azure Portal. Los recursos de WAN son los puntos finales o centros para terminar los túneles IPsec iniciados desde los sitios de sucursal. Este recurso representa toda tu red en Azure. Contiene enlaces a todos los centros que te gustaría tener dentro de esta WAN. Las WAN están aisladas entre sí y no pueden contener un centro común ni conexiones entre dos centros diferentes en diferentes recursos de WAN.

Para asociar sitios de sucursal y recursos de WAN de Azure:

Un sitio de sucursal debe asociarse con recursos de WAN de Azure para establecer túneles IPsec. Una sucursal puede conectarse a múltiples recursos de Azure Virtual WAN y un recurso de Azure Virtual WAN puede conectarse con múltiples sitios de sucursal locales.

Para agregar varios sitios:

Puedes elegir agregar varios sitios a la vez y asociarlos a un recurso de WAN de Azure.

1. Haz clic en Agregar varios para agregar todos los sitios con el mismo conjunto de servicios y asociarlos con los recursos de WAN elegidos.

   

2. La lista desplegable de recursos de WAN de Azure (que se muestra a continuación) se rellena previamente con los recursos que pertenecen a tu cuenta de Azure. Si no se han creado recursos de WAN, esta lista estará vacía y debes navegar al portal de Azure para crear los recursos. Si la lista está rellena con recursos de WAN, elige el recurso de WAN de Azure al que necesitas que se conecten los sitios de sucursal.

   

3. Selecciona el servicio de intranet creado; puedes seleccionar dos servicios de intranet en este campo. Los servicios corresponden a los servicios de intranet que creaste usando la configuración de SD-WAN.

4. Elige uno o todos los sitios de sucursal para iniciar el proceso de establecimiento del túnel IPsec. Según los servicios de intranet seleccionados, se rellena la información de sucursal disponible. Se muestran todas las sucursales con los servicios requeridos.

   

   

   

Para agregar un solo sitio:

También puedes elegir agregar sitios uno por uno (individualmente) y, a medida que tu red crece, o si estás realizando una implementación sitio por sitio, puedes elegir agregar varios sitios como se describió anteriormente.

1. Haz clic en Agregar nueva entrada para seleccionar un nombre de sitio para la asociación de sitio a WAN. Agrega sitios en el cuadro de diálogo Configurar sitios en Red de Azure.

   

   

2. Los servicios de intranet que creaste usando la configuración de SD-WAN se rellenan para el sitio seleccionado en Servicios de intranet (Túnel1 y Túnel2). Elige uno o dos servicios de intranet.

3. Selecciona el recurso de WAN al que debe asociarse el sitio del menú desplegable Azure Virtual WANs.

4. Haz clic en Implementar para confirmar la asociación. El estado (“No enviado”, “Enviado” y “Descargado”) se actualiza para notificarte sobre el proceso.

El proceso de implementación incluye los siguientes estados:

• Enviar información del sitio
• Esperando configuración de VPN
• Túneles implementados

• Conexión activa (el túnel IPsec está activo) o Conexión inactiva (el túnel IPsec está inactivo)

  

Espera a que el estado cambie a Conexión activa para ver la configuración del túnel IPsec. Ve los ajustes de IPsec asociados con los servicios seleccionados.

Ajustes de Azure de SD-WAN:

Por defecto, el proceso de Gestión de cambios está automatizado. Esto significa que cada vez que una nueva configuración está disponible en la infraestructura de Azure Virtual WAN, el centro de SD-WAN la obtiene y comienza a aplicarla a las sucursales automáticamente. Sin embargo, este comportamiento se controla si quieres controlar cuándo se debe aplicar una configuración a las sucursales. Un beneficio de deshabilitar la gestión automática de cambios es que la configuración para esta función y otras funciones de SD-WAN se administra de forma independiente. La opción de intervalo de sondeo controla el intervalo de búsqueda de actualizaciones de configuración en la infraestructura de Azure Virtual WAN; el tiempo recomendado para el intervalo de sondeo es de 2 minutos.

• Deshabilitar conexión de sucursal a sucursal: Deshabilita la comunicación de sucursal a sucursal a través de la infraestructura de Azure Virtual WAN. Por defecto, esta opción está deshabilitada. Una vez que la habilitas, significa que las sucursales locales pueden comunicarse entre sí y con los recursos detrás de las sucursales a través de IPsec mediante la infraestructura de Virtual WAN de Azure. Esto no tiene ningún efecto en la comunicación de sucursal a sucursal a través de la ruta virtual de SD-WAN; las sucursales pueden comunicarse entre sí y con sus respectivos recursos/puntos finales a través de la ruta virtual incluso si esta opción está deshabilitada.

• Nivel de depuración: Habilita la captura de registros para depurar si hay algún problema de conectividad.

Actualizar recursos de WAN:

Haz clic en el icono Actualizar para recuperar el conjunto más reciente de recursos de WAN que actualizaste en Azure Portal. Se muestra un mensaje que indica “recursos de WAN actualizados correctamente” después de que se completa el proceso de actualización.

Quitar la asociación de sitio a recurso de WAN

Selecciona una o varias asignaciones para realizar la eliminación. Internamente, se activa el proceso de Gestión de cambios del dispositivo SD-WAN y, hasta que sea exitoso, la opción Eliminar está deshabilitada para evitar realizar más eliminaciones. Eliminar una asignación requiere que desasocies o elimines los sitios correspondientes en el portal de Azure.

Monitorear túneles IPsec

Navega a la vista de informes del centro de SD-WAN para verificar el estado de los túneles IPsec respectivos. El estado del túnel debe ser VERDE para que fluya el tráfico de datos.