Citrix SD-WAN

Integración de Citrix SD-WAN con AWS Transit Gateway

El servicioAmazon Web Service (AWS) Transit Gateway permite a los clientes conectar sus Amazon Virtual Private Clouds (VPC) y sus redes locales a una única puerta de enlace. A medida que aumenta el número de cargas de trabajo que se ejecutan en AWS, puede escalar sus redes entre varias cuentas y Amazon VPC para seguir el ritmo del crecimiento.

Ahora puede conectar pares de Amazon VPC mediante el emparejamiento. Sin embargo, la gestión de la conectividad punto a punto en muchas VPC de Amazon, sin la capacidad de gestionar de forma centralizada las directivas de conectividad, puede resultar costosa y complicada desde el punto de vista operativo. Para la conectividad local, debe conectar su AWS VPN a cada Amazon VPC individual. Esta solución puede llevar mucho tiempo y ser difícil de administrar cuando el número de VPC crece a cientos.

Con AWS Transit Gateway, solo tiene que crear y gestionar una única conexión desde la puerta de enlace central a cada Amazon VPC, centro de datos local u oficina remota a través de la red. Transit Gateway actúa como un concentrador que controla cómo se redirige el tráfico entre todas las redes conectadas que actúan como radios. Este modelo de hub y radio simplifica significativamente la gestión y reduce los costes operativos, ya que cada red solo tiene que conectarse a Transit Gateway y no a todas las demás redes. Cualquier VPC nueva está conectada a Transit Gateway y está disponible automáticamente para todas las demás redes conectadas a Transit Gateway. Esta facilidad de conectividad hace que sea fácil escalar su red a medida que crece.

A medida que las empresas migran un número cada vez mayor de aplicaciones, servicios e infraestructura a la nube, están implementando rápidamente SD-WAN para aprovechar los beneficios de la conectividad de banda ancha y conectar directamente a los usuarios de sitios de sucursales con los recursos de la nube. Existen muchos desafíos con las complejidades de crear y administrar redes privadas globales mediante servicios de transporte por Internet para conectar ubicaciones distribuidas geográficamente y usuarios con recursos en la nube basados en proximidad. AWS Transit Gateway Network Manager cambia este paradigma. Ahora, los clientes de Citrix SD-WAN que utilizan AWS pueden utilizar Citrix SD-WAN con AWS Transit Gateway integrando el dispositivo de sucursal de Citrix SD-WAN AWS Transit Gateway para ofrecer la más alta calidad de experiencia a los usuarios con la capacidad de llegar a todas las VPC conectadas a Transit Gateway.

Los siguientes son los pasos para integrar Citrix SD-WAN con AWS Transit Gateway:

  1. Cree AWS Transit Gateway.

  2. Conecte una VPN a Transit Gateway (ya sea una VPN existente o una nueva).

  3. Adjunte VPN a Transit Gateway configurada donde la VPN está con el sitio SD-WAN ubicado en las instalaciones o en cualquier nube (AWS, Azure o GCP).

  4. Establezca el peering Border Gateway Protocol (BGP) sobre el túnel IPsec con AWS Transit Gateway desde Citrix SD-WAN para conocer las redes (VPC) conectadas a Transit Gateway.

Caso de uso

El caso de uso es llegar a los recursos implementados en AWS (en cualquier VPC) desde el entorno de sucursal. El uso de AWS Transit Gateway permite que el tráfico llegue a todas las VPC conectadas a Transit Gateway sin ocuparse de las rutas BGP. Para lograr esto, realice los siguientes métodos:

  • Establezca IPsec to AWS Transit Gateway desde la sucursal del dispositivo Citrix SD-WAN. En este método de implementación no obtendrá beneficios completos de SD-WAN, ya que el tráfico pasará a través de IPsec.

  • Implemente un dispositivo Citrix SD-WAN dentro de AWS y conéctelo a su dispositivo Citrix SD-WAN local a través de una ruta virtual.

Independientemente del método elegido, el tráfico llega a las VPC conectadas a Transit Gateway sin administrar manualmente la redirección dentro de la infraestructura de AWS.

AWS Transit Gateway

Configuración de AWS Transit Gateway

Para crear AWS Transit Gateway, vaya al panel de VPC y vaya a la sección Transit Gateway.

  1. Proporcione el nombre, la descripción y el número ASN de Amazon de Transit Gateway como se resaltan en la siguiente captura de pantalla y haga clic en Crear Transit Gateway.

    Crear Gateway la de tránsito

    Una vez completada la creación de Transit Gateway, podrá ver el estado como Disponible.

    Estado de Transit Gateway

  2. Para crear los anexos de Transit Gateway, vaya a Transit Gateways > Anexos de Transit Gateway y haga clic en Crear anexos de Transit Gateway.

    Creación de datos adjuntos Gateway

  3. Seleccione la Transit Gateway creada en la lista desplegable y seleccione el tipo de adjunto como VPC. Proporcione la etiqueta de nombre de datos adjuntos y seleccione el ID de VPC que quiere adjuntar a la Transit Gateway creada. Una de las subredes de la VPC seleccionada se seleccionará automáticamente. Haga clic en Crear datos adjuntos para adjuntar VPC a Transit Gateway.

    Detalles de datos adjuntos de Gateway

  4. Después de adjuntar la VPC a Transit Gateway, puede ver que el tipo de recurso VPC se asoció a la Transit Gateway.

    Tipo de recurso VPC

  5. Para adjuntar SD-WAN a Transit Gateway mediante VPN, seleccione el ID de Transit Gateway en la lista desplegable y seleccione Tipo de archivo adjunto como VPN. Asegúrese de seleccionar el ID de Transit Gateway correcto.

    Adjunte una nueva puerta de enlace de cliente VPN proporcionando la dirección IP pública del enlace WAN SD-WAN y su número ASN BGP. Haga clic en Crear adjunto para adjuntar VPN con Transit Gateway.

    Adjuntar VPN con Transit Gateway

  6. Una vez que la VPN esté conectada a Transit Gateway, puede ver los detalles como se muestra en la siguiente captura de pantalla:

    VPN conectada a Transit Gateway

  7. En Puertas de enlace de clientes, la puerta de enlace de cliente SD-WAN y la conexión VPN de sitio a sitio se crean como parte de la conexión VPN a Transit Gateway. Puede ver que la puerta de enlace del cliente de SD-WAN se crea junto con la dirección IP de esta puerta de enlace de cliente que representa la dirección IP pública del vínculo WAN de SD-WAN.

    Gateway del cliente

  8. Vaya a Conexiones VPN de sitio a sitio para descargar la configuración de VPNde puerta de enlace de cliente de SD-WAN. Este archivo de configuración tiene dos detalles de túnel IPsec junto con la información del par BGP. Se crean dos túneles de SD-WAN a Transit Gateway para redundancia.

    Puede ver que la dirección IP pública del vínculo WAN SD-WAN se configuró como la dirección de puerta de enlace del cliente.

    Conexión VPN de sitio a sitio

  9. Haga clic en Descargar configuración y descargue el archivo de configuración VPN. Seleccione el proveedor, la plataforma como genéricay el software como independiente del proveedor.

    Configuración de descarga

    El archivo de configuración descargado contiene la siguiente información:

    • Configuración de IKE
    • Configuración de IPsec para AWS Transit Gateway
    • Configuración de interfaz de túnel
    • Configuración de BGP

    Esta información está disponible para dos túneles IPsec para High Availability (HA). Asegúrese de configurar ambos puntos finales del túnel mientras configura esto en SD-WAN. Vea la siguiente captura de pantalla para referencia:

    Dos túneles IPsec

Configurar el servicio de Intranet en SD-WAN

  1. Para configurar el servicio de Intranet que se utiliza en la configuración del túnel IPsec en SD-WAN, vaya a Editor de configuración > Conexiones, seleccione el sitio en la lista desplegable y seleccione Servicio de intranet. Haga clic en + Servicio para agregar un nuevo servicio de Intranet.

    Configurar el servicio de intranet

  2. Después de agregar el servicio de Intranet, seleccione el enlace WAN (con el que va a establecer el túnel hacia Transit Gateway) que se utiliza para este servicio.

    Seleccionar vínculo WAN

  3. Para configurar el túnel IPsec hacia AWS Transit Gateway, vaya a Editor de configuraciones > Conexiones > Seleccione el sitio en la lista desplegable y haga clic en Túneles IPsec. Haga clic en la opción + para agregar túnel IPsec.

    Configurar túnel IPsec

  4. Seleccione el tipo de servicio como intranet y seleccione el nombre del servicio de intranet que ha agregado. Seleccione la dirección IP local como la dirección IP de enlace WAN y la dirección del mismo nivel como dirección IP de puerta de enlace privada virtual de tránsito.

    Haga clic en la casilla de verificación Keepalive para que SD-WAN inicie el túnel inmediatamente después de la activación de la configuración.

    Tipo de servicio de túnel IPsec

  5. Configure los parámetros de IKE en función del archivo de configuración de VPN que ha descargado de AWS.

    Parámetros IKE

  6. Configure los parámetros IPsec en función del archivo de configuración de VPN que ha descargado de AWS. Configure también las redes protegidas IPsec en función de la red que desea enviar a través del túnel. Puede ver que está configurado para permitir cualquier tráfico a través del túnel IPsec.

    Parámetros IPsec

  7. Configure la puerta de enlace del cliente dentro de la dirección IP como una de las direcciones IP virtuales en SD-WAN. Desde el archivo de configuración de VPN descargado, busque la puerta de enlace del cliente dentro de la dirección IP relacionada con Túnel-1. Configure esta puerta de enlace de cliente dentro de la dirección IP como una de las direcciones IP virtuales en SD-WAN y seleccione la casilla Identidad.

    Gateway del cliente dentro de dirección IP

  8. Agregue rutas en SD-WAN para llegar a la puerta de enlace privada virtual de tránsito. Desde el archivo de configuración de VPN descargado, busque la dirección IP interna y externa de la puerta de enlace privada virtual relacionada con Túnel-1. Agregue rutas a la dirección IP interna y externa de Virtual Private Gateway con el tipo de servicio como Intranet y seleccione el servicio de Intranet creado en los pasos anteriores.

    Agregar rutas

  9. Configure BGP en SD-WAN. Habilite BGP con el número ASN adecuado. En el archivo de configuración de VPN descargado, busque las opciones de configuración de BGP relacionadas con Túnel-1. Utilice estos detalles para agregar vecino BGP en SD-WAN.

    Para habilitar BGP en SD-WAN, vaya a Conexiones, seleccione el sitio en la lista desplegable y, a continuación, seleccione BGP. Haga clic en la casilla de verificación Habilitar para habilitar BGP. Haga clic en la casilla de verificación Anunciar rutas de Citrix SD-WAN para anunciar rutas de SD-WAN hacia Transit Gateway. Utilice el ASN de puerta de enlace del cliente desde las opciones de configuración de BGP y configúrelo como Sistema Autónomo Local.

    Configurar BGP en SD-WAN

  10. Para agregar vecinos BGP en SD-WAN, vaya a Conexiones > Seleccione el sitio en la lista desplegable y, a continuación, seleccione BGP. Haga clic en la sección Vecinos y en la opción +.

    Utilice Dirección IP de vecino y ASN de puerta de enlace privada virtual desde las opciones de configuración de BGP mientras agrega vecino. La IP de origen debe coincidir con la puerta de enlace del cliente dentro de la dirección IP (configurada como dirección IP virtual en SD-WAN) desde el archivo de configuración descargado de AWS. Agregar vecino BGP con Multi Hop habilitado en SD-WAN.

    Agregar vecino BGP

  11. Para agregar filtros de importación para importar rutas BGP a SD-WAN, vaya a Conexiones, seleccione el sitio en la lista desplegable, seleccione BGP y haga clic en Importar la sección Filtros. Haga clic en la opción + para agregar un filtro de importación. Seleccione el protocolo como BGP y coincida con cualquiera para importar todas las rutas BGP. Seleccione el tipo de servicio como Intranet y seleccione el servicio de Intranet creado. Esto es para importar rutas BGP con tipo de servicio como Intranet.

    Agregar filtros de importación

Supervisión y resolución de problemas en SD-WAN

  1. Para comprobar el estado de establecimiento del túnel IPsec en SD-WAN, vaya a Supervisión > Estadísticas > Túnel IPsec. En la siguiente captura de pantalla, puede ver que el túnel IPsec se establece desde SD-WAN hacia AWS Transit Gateway y el estado es BUENO. Además, puede supervisar la cantidad de tráfico enviado y recibido a través de este túnel IPsec.

    Monitoring and troubleshooting on SD-WAN

  2. Para verificar el estado de Peering BGP en SD-WAN, vaya a Supervisión > Protocolos de redirección y seleccione Estado BGP. Puede ver que el estado BGP se informó como Establecido y que la dirección IP del vecino y la ASN de vecino coinciden con los detalles del vecino BGP de AWS. Con esto, puede asegurarse de que el peering BGP se estableció desde SD-WAN hasta AWS Transit Gateway a través del túnel IPsec.

    Verificar el estado del peering BGP

    Una VPC (192.168.0.0) está conectada a AWS Transit Gateway. SD-WAN ha aprendido esta red VPC (192.168.0.0) desde AWS Transit Gateway a través de BGP y esta ruta se instaló en SD-WAN con el tipo de servicio como Intranet según el filtro de importación creado en los pasos anteriores.

  3. Para verificar la instalación de la ruta BGP en SD-WAN, vaya a Supervisión > Estadísticas > Rutas y compruebe la red 192.168.0.0/16 que se instaló como ruta BGP con el tipo de servicio como Intranet. Esto significa que puede aprender las redes conectadas a AWS Transit Gateway y puede comunicarse con esas redes a través del túnel IPsec establecido.

    Verificar rutas BGP

Supervisión y solución de problemas en AWS

  1. Para comprobar el estado del establecimiento del túnel IPsec en AWS, vaya a RED PRIVADA VIRTUAL (VPN) > Conexiones VPN de sitio a sitio. En la siguiente captura de pantalla, puede observar que la dirección de puerta de enlace del cliente representa la dirección IP pública de enlace SD-WAN mediante la cual se ha establecido el túnel.

    El estado del túnel se muestra como UP. También se puede observar que AWS ha aprendido 8 RUTAS BGP de SD-WAN. Esto significa que SD-WAN puede establecer Túnel con AWS Transit Gateway y también puede intercambiar rutas a través de BGP.

    Verificar el estado de establecimiento del túnel IPsec en AWS

  2. Configure los detalles de IPsec y BGP relacionados con el segundo túnel en función del archivo de configuración descargado en SD-WAN.

    El estado relacionado con ambos túneles se puede supervisar en SD-WAN de la siguiente manera:

    Estado de ambos túneles

  3. El estado relacionado con ambos túneles se puede supervisar en AWS de la siguiente manera:

    Estado de ambos túneles en AWS

Integración de Citrix SD-WAN con AWS Transit Gateway