Configurer un tunnel de connecteur cloud entre un centre de données et AWS/Azure
Vous pouvez configurer un tunnel de connecteur de cloud entre un centre de données et AWS, ou le cloud Azure.
Prenons un exemple dans lequel un tunnel Citrix Cloud Connector est configuré entre l’appliance Citrix SD-WAN WANOP CB_DC-1, déployée en mode WCCP/PBR à un bras dans un centre de données, et le cloud AWS. CB_DC-1 est connecté au routeur R1. Un périphérique NAT est également connecté à R1 pour les connexions entre le centre de données et Internet.
Remarque : les paramètres de l’exemple fonctionnent également pour tout type de déploiement WANOP Citrix SD-WAN. Ce paramètre de cet exemple inclut des routes basées sur des stratégies au lieu de netbridge pour permettre au trafic du sous-réseau souhaité de passer par le tunnel Citrix Cloud Connector.
Comme illustré dans la figure suivante, le tunnel Citrix Cloud Connector est établi entre l’appliance virtuelle Citrix NS_VPX_CB-DC, s’exécutant sur l’appliance Citrix SD-WAN WANOP CB_DC-1, et Citrix Virtual Appliance NS_VPX-AWS s’exécutant sur le cloud AWS. Pour optimiser le flux de trafic via le tunnel Citrix Cloud Connector, NS_VPX_CB-DC est couplé aux instances Citrix SD-WAN WANOP exécutées sur CB_DC-1, et du côté AWS, l’appliance virtuelle Citrix SD-WAN WANOP CB_VPX-AWS exécutées sur AWS est jumelée à NS_VPX-AWS.
Le tableau suivant répertorie les paramètres du centre de données dans cet exemple.
Entité | Nom | Détails |
---|---|---|
Adresse IP du client CL1 | 10.10.6.90 | |
Paramètres sur le périphérique NAT NAT-Dev-1 | ||
Adresse IP NAT côté public | 66.165.176.15 * | |
Adresse IP NAT côté privé | 10.10.7.70 | |
Paramètres sur CB_DC-1 | ||
Adresse IP du service de gestion de CB_DC-1 | 10.10.1.10 | |
Paramètres sur NS_VPX_CB-DC s’exécutant sur CB_DC-1 | ||
Adresse NSIP | 10.10.1.20 | |
Adresse SNIP | 10.10.5.30 | |
Profil IPSec | CBC_DC_AWS_IPSEC_profile | Version IKE = v2, Algorithme de chiffrement = AES, Algorithme de hachage = HMAC SHA1 |
Tunnel Cloud Connector | CBC_DC_AWS | Adresse IP du point de terminaison local du tunnel Cloud Connector = 10.10.5.30, Adresse IP du point de terminaison distant du Cloud Connector = Adresse EIP publique mappée à l’adresse de point de terminaison Cloud Connector (SNIP) sur NS_VPX-AWS sur AWS = 203.0.1.150*, protocole de tunnel = GRE et IPSEC, nom du profil IPSec = CBC_DC_AWS_AWS_IPSEC_IPSEC_IPSEC_Profile |
Itinéraire basé sur des règles | CBC_DC_AWS_PBR | Plage IP source = Sous-réseau dans le centre de données = 10.10.6.0-10.10.6.255, Plage IP de destination = Sous-réseau dans AWS = 10.20.6.0-10.20.6.255, Type de saut suivant = Tunnel IP, nom du tunnel IP = CBC_DC_AWS |
*Doivent être des adresses IP publiques.
Le tableau suivant répertorie les paramètres du cloud AWS dans cet exemple.
| Entité | Nom | Détails | | —— | —- | ——- | | Adresse IP du serveur S1 | | 10.20.6.90 | | **Paramètres sur NS_VPX-AWS** | | Adresse du NSIP | | 10.20.1.20 | | Adresse EIP publique mappée à l’adresse NSIP | | 203.0.1.120* | | Adresse SNIP | | 10.20.5.30 | | Adresse EIP publique mappée à l’adresse SNIP | | 203.0.1.150* | | IPSec profile | CBC_DC_AWS_IPSec_Profile | IKE version = v2, Encryption algorithm = AES, Hash algorithm = HMAC SHA1 | | Cloud Connector tunnel | CBC_DC_AWS | Local endpoint IP address of the Cloud Connector tunnel =10.20.5.30, Remote endpoint IP address of the Cloud Connector tunnel = Public NAT IP address of NAT device NAT-Dev-1 in the datacenter = 66.165.176.15*, Tunnel protocol = GRE and IPSEC, IPSec profile name = CBC_DC_AWS_IPSec_Profile | | Policy based route | CBC_DC_AWS_PBR | Source IP range = Subnet in the AWS = 10.20.6.0-10.20.6.255, Destination IP range = Subnet in datacenter = 10.10.6.0-10.10.6.255, Next hop type = IP Tunnel, IP tunnel name = CBC_DC_AWS |
*Doivent être des adresses IP publiques.
NS_VPX_CB-DC, sur CB_DC-1, et NS_VPX-AWS fonctionnent en mode L3. Ils permettent la communication entre les réseaux privés dans le centre de données et le cloud AWS. NS_VPX_CB-DC et NS_VPX-AWS permettent la communication entre le client CL1 dans le centre de données et le serveur S1 dans le cloud AWS via le tunnel Cloud Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.
Remarque : AWS ne prend pas en charge le mode L2. Par conséquent, il est nécessaire d’avoir uniquement le mode L3 activé sur les deux points de terminaison.
Pour une communication correcte entre CL1 et S1, le mode L3 est activé sur NS_VPX_CB-DC et NS_VPX-AWS, et les routes sont configurées comme suit :
-
R1 a une route pour atteindre S1 via NS_VPX_CB-DC.
-
NS_VPX_CB-DC a une route pour atteindre NS_VPX-AWS via R1.
-
S1 doit avoir un itinéraire atteignant CL1 via NS_VPX-AWS.
-
NS_VPX-AWS a une route pour atteindre NS_VPX_CB-DC via un routeur en amont.
Voici les routes configurées sur différents périphériques réseau dans le centre de données pour que le tunnel Cloud Connector fonctionne correctement :
Itinéraires | Réseau | Passerelle |
---|---|---|
Itinéraires sur le routeur R1 | ||
Itinéraire pour atteindre le serveur S1 | 10.20.6.X/24 | Adresse SNIP du point de terminaison du tunnel de NS_VPX_CB-DC = 10.10.5.30 |
Itinéraire pour atteindre le point d’extrémité distant du tunnel Cloud Connector | Adresse EIP mappée à l’adresse SNIP du Cloud Connector de NS_VPX-AWS = 203.0.1.50 | Adresse IP privée du périphérique NAT = 10.10.7.70 |
Itinéraires sur NS_VPX_CB-DC | ||
Itinéraire pour atteindre NS_VPX-AWS | Adresse EIP mappée à l’adresse SNIP du Cloud Connector de NS_VPX-AWS = 203.0.1.50 | Adresse IP de R1 = 10.10.5.1 |
Voici les itinéraires configurés sur divers périphériques réseau sur le cloud AWS pour que le tunnel Cloud Connector fonctionne correctement :
Itinéraires | Réseau | Passerelle |
---|---|---|
Routes sur le serveur S1 | ||
Itinéraire pour atteindre le CL1 client | 10.10.6.X/24 | Adresse SNIP du point de terminaison du tunnel de NS_VPX-AWS = 10.10.6.1 |
Itinéraires sur l’appliance virtuelle Citrix NS_VPX-AWS | ||
Itinéraire pour atteindre NS_VPX_CB-DC | Adresse IP publique de Nat_dev-1 dans le datacenter = 66.165.176.15* | Adresse IP du routeur en amont sur AWS |
Voici le flux de trafic d’un paquet de requête du client CL1 dans le tunnel Cloud Connector :
-
Client CL1 envoie une requête au serveur S1.
-
La demande atteint l’appliance virtuelle Citrix NS_VPX_CB-DC s’exécutant sur l’appliance Citrix SD-WAN WANOP CB_DC-1.
-
NS_VPX_CB-DC transfère le paquet à l’une des instances Citrix SD-WAN WANOP exécutées sur l’appliance Citrix SD-WAN WANOP CB_DC-1 pour l’optimisation WAN. Après le traitement du paquet, l’instance Citrix SD-WAN WANOP renvoie le paquet à NS_VPX_CB-DC.
-
Le paquet de requête correspond à la condition spécifiée dans l’entité PBR CBC_DC_AWS_PBR (configurée dans NS_VPX_CB-DC), car l’adresse IP source et l’adresse IP de destination du paquet de requête appartiennent respectivement à la plage IP source et à la plage IP de destination définies dans CBC_DC_AWS_PBR.
-
Étant donné que le tunnel Cloud Connector CBC_DC_AWS est lié à CBC_DC_AWS_PBR, l’appliance prépare le paquet à envoyer à travers le tunnel CBC_DC_AWS.
-
NS_VPX_CB-DC utilise le protocole GRE pour encapsuler chacun des paquets de requête en ajoutant un en-tête GRE et un en-tête IP GRE au paquet. L’en-tête IP GRE a l’adresse IP de destination définie sur l’adresse IP du point d’extrémité du tunnel de connecteur cloud (CBC_DC-AWS) côté AWS.
-
Pour le tunnel Cloud Connector CBC_DC-AWS, NS_VPX_CB-DC vérifie les paramètres d’association de sécurité IPSec (SA) stockés pour le traitement des paquets sortants, comme convenu entre NS_VPX_CB-DC et NS_VPX-AWS. Le protocole ESP (Encapsulating Security Payload) IPsec dans NS_VPX_CB-DC utilise ces paramètres SA pour les paquets sortants, pour chiffrer la charge utile du paquet encapsulé GRE.
-
Le protocole ESP assure l’intégrité et la confidentialité du paquet en utilisant la fonction de hachage HMAC et l’algorithme de chiffrement spécifié pour le tunnel Cloud Connector CBC_DC-AWS. Le protocole ESP, après avoir chiffré la charge utile GRE et calculé le HMAC, génère un en-tête ESP et un code de fin ESP et les insère avant et à la fin de la charge utile GRE cryptée, respectivement.
-
NS_VPX_CB-DC envoie le paquet résultant à NS_VPX-AWS.
-
NS_VPX-AWS vérifie les paramètres d’association de sécurité IPSec (SA) stockés pour le traitement des paquets entrants, comme convenu entre CB_DC-1 et NS_VPX-AWS pour le tunnel Cloud Connector CBC_DC-AWS. Le protocole IPsec ESP sur NS_VPX-AWS utilise ces paramètres SA pour les paquets entrants, et l’en-tête ESP du paquet de requête, pour déchiffrer le paquet.
-
NS_VPX-AWS décapsule ensuite le paquet en supprimant l’en-tête GRE.
-
NS_VPX-AWS transfère le paquet obtenu à CB_VPX-AWS, qui applique le traitement lié à l’optimisation WAN au paquet. CB_VPX-AWS renvoie ensuite le paquet obtenu à NS_VPX-AWS.
-
Le paquet résultant est le même que celui reçu par CB_DC-1 à l’étape 2. Ce paquet a l’adresse IP de destination définie sur l’adresse IP du serveur S1. NS_VPX-AWS transmet ce paquet au serveur S1.
-
S1 traite le paquet de requête et envoie un paquet de réponse. L’adresse IP de destination dans le paquet de réponse est l’adresse IP du client CL1 et l’adresse IP source est l’adresse IP du serveur S1.