Integración de Citrix SD-WAN con AWS Transit Gateway
El servicioAmazon Web Service (AWS) Transit Gateway permite a los clientes conectar sus Amazon Virtual Private Clouds (VPC) y sus redes locales a una única puerta de enlace. A medida que aumenta el número de cargas de trabajo que se ejecutan en AWS, puede escalar sus redes entre varias cuentas y Amazon VPC para seguir el ritmo del crecimiento.
Ahora puede conectar pares de Amazon VPC mediante el emparejamiento. Sin embargo, la gestión de la conectividad punto a punto en muchas VPC de Amazon, sin la capacidad de gestionar de forma centralizada las directivas de conectividad, puede resultar costosa y complicada desde el punto de vista operativo. Para la conectividad local, debe conectar su AWS VPN a cada Amazon VPC individual. Esta solución puede llevar mucho tiempo y ser difícil de administrar cuando el número de VPC crece a cientos.
Con AWS Transit Gateway, solo tiene que crear y gestionar una única conexión desde la puerta de enlace central a cada Amazon VPC, centro de datos local u oficina remota a través de la red. Transit Gateway actúa como un concentrador que controla cómo se redirige el tráfico entre todas las redes conectadas que actúan como radios. Este modelo de hub y radio simplifica significativamente la gestión y reduce los costes operativos, ya que cada red solo tiene que conectarse a Transit Gateway y no a todas las demás redes. Cualquier VPC nueva está conectada a Transit Gateway y está disponible automáticamente para todas las demás redes conectadas a Transit Gateway. Esta facilidad de conectividad hace que sea fácil escalar su red a medida que crece.
A medida que las empresas migran un número cada vez mayor de aplicaciones, servicios e infraestructura a la nube, están implementando rápidamente SD-WAN para aprovechar los beneficios de la conectividad de banda ancha y conectar directamente a los usuarios de sitios de sucursales con los recursos de la nube. Existen muchos desafíos con las complejidades de crear y administrar redes privadas globales mediante servicios de transporte por Internet para conectar ubicaciones distribuidas geográficamente y usuarios con recursos en la nube basados en proximidad. AWS Transit Gateway Network Manager cambia este paradigma. Ahora, los clientes de Citrix SD-WAN que utilizan AWS pueden utilizar Citrix SD-WAN con AWS Transit Gateway integrando el dispositivo de sucursal de Citrix SD-WAN AWS Transit Gateway para ofrecer la más alta calidad de experiencia a los usuarios con la capacidad de llegar a todas las VPC conectadas a Transit Gateway.
Los siguientes son los pasos para integrar Citrix SD-WAN con AWS Transit Gateway:
-
Cree AWS Transit Gateway.
-
Conecte una VPN a Transit Gateway (ya sea una VPN existente o una nueva).
-
Adjunte VPN a Transit Gateway configurada donde la VPN está con el sitio SD-WAN ubicado en las instalaciones o en cualquier nube (AWS, Azure o GCP).
-
Establezca el peering Border Gateway Protocol (BGP) sobre el túnel IPsec con AWS Transit Gateway desde Citrix SD-WAN para conocer las redes (VPC) conectadas a Transit Gateway.
Caso de uso
El caso de uso es llegar a los recursos implementados en AWS (en cualquier VPC) desde el entorno de sucursal. El uso de AWS Transit Gateway permite que el tráfico llegue a todas las VPC conectadas a Transit Gateway sin ocuparse de las rutas BGP. Para lograr esto, realice los siguientes métodos:
-
Establezca IPsec to AWS Transit Gateway desde la sucursal del dispositivo Citrix SD-WAN. En este método de implementación no obtendrá beneficios completos de SD-WAN, ya que el tráfico pasará a través de IPsec.
-
Implemente un dispositivo Citrix SD-WAN dentro de AWS y conéctelo a su dispositivo Citrix SD-WAN local a través de una ruta virtual.
Independientemente del método elegido, el tráfico llega a las VPC conectadas a Transit Gateway sin administrar manualmente la redirección dentro de la infraestructura de AWS.
Configuración de AWS Transit Gateway
Para crear AWS Transit Gateway, vaya al panel de VPC y vaya a la sección Transit Gateway.
-
Proporcione el nombre, la descripción y el número ASN de Amazon de Transit Gateway como se resaltan en la siguiente captura de pantalla y haga clic en Crear Transit Gateway.
Una vez completada la creación de Transit Gateway, podrá ver el estado como Disponible.
-
Para crear los anexos de Transit Gateway, vaya a Transit Gateways > Anexos de Transit Gateway y haga clic en Crear anexos de Transit Gateway.
-
Seleccione la Transit Gateway creada en la lista desplegable y seleccione el tipo de adjunto como VPC. Proporcione la etiqueta de nombre de datos adjuntos y seleccione el ID de VPC que quiere adjuntar a la Transit Gateway creada. Una de las subredes de la VPC seleccionada se seleccionará automáticamente. Haga clic en Crear datos adjuntos para adjuntar VPC a Transit Gateway.
-
Después de adjuntar la VPC a Transit Gateway, puede ver que el tipo de recurso VPC se asoció a la Transit Gateway.
-
Para adjuntar SD-WAN a Transit Gateway mediante VPN, seleccione el ID de Transit Gateway en la lista desplegable y seleccione Tipo de archivo adjunto como VPN. Asegúrese de seleccionar el ID de Transit Gateway correcto.
Adjunte una nueva puerta de enlace de cliente VPN proporcionando la dirección IP pública del enlace WAN SD-WAN y su número ASN BGP. Haga clic en Crear adjunto para adjuntar VPN con Transit Gateway.
-
Una vez que la VPN esté conectada a Transit Gateway, puede ver los detalles como se muestra en la siguiente captura de pantalla:
-
En Puertas de enlace de clientes, la puerta de enlace de cliente SD-WAN y la conexión VPN de sitio a sitio se crean como parte de la conexión VPN a Transit Gateway. Puede ver que la puerta de enlace del cliente de SD-WAN se crea junto con la dirección IP de esta puerta de enlace de cliente que representa la dirección IP pública del vínculo WAN de SD-WAN.
-
Vaya a Conexiones VPN de sitio a sitio para descargar la configuración de VPNde puerta de enlace de cliente de SD-WAN. Este archivo de configuración tiene dos detalles de túnel IPsec junto con la información del par BGP. Se crean dos túneles de SD-WAN a Transit Gateway para redundancia.
Puede ver que la dirección IP pública del vínculo WAN SD-WAN se configuró como la dirección de puerta de enlace del cliente.
-
Haga clic en Descargar configuración y descargue el archivo de configuración VPN. Seleccione el proveedor, la plataforma como genéricay el software como independiente del proveedor.
El archivo de configuración descargado contiene la siguiente información:
- Configuración de IKE
- Configuración de IPsec para AWS Transit Gateway
- Configuración de interfaz de túnel
- Configuración de BGP
Esta información está disponible para dos túneles IPsec para High Availability (HA). Asegúrese de configurar ambos puntos finales del túnel mientras configura esto en SD-WAN. Vea la siguiente captura de pantalla para referencia:
Configurar el servicio de Intranet en SD-WAN
Para configurar un servicio de Intranet a través de Citrix SD-WAN Orchestrator Service, vaya a Servicios de entrega.
Supervisión y solución de problemas en AWS
-
Para comprobar el estado del establecimiento del túnel IPsec en AWS, vaya a RED PRIVADA VIRTUAL (VPN) > Conexiones VPN de sitio a sitio. En la siguiente captura de pantalla, puede observar que la dirección de puerta de enlace del cliente representa la dirección IP pública de enlace SD-WAN mediante la cual se ha establecido el túnel.
El estado del túnel se muestra como UP. También se puede observar que AWS ha aprendido 8 RUTAS BGP de SD-WAN. Esto significa que SD-WAN puede establecer Túnel con AWS Transit Gateway y también puede intercambiar rutas a través de BGP.
-
Configure los detalles de IPsec y BGP relacionados con el segundo túnel en función del archivo de configuración descargado en SD-WAN.
El estado relacionado con ambos túneles se puede supervisar en SD-WAN de la siguiente manera:
-
El estado relacionado con ambos túneles se puede supervisar en AWS de la siguiente manera: