Citrix SD-WAN Center

使用 Citrix SD-WAN 连接到微软 Azure 虚拟广域网

对于要连接到 Azure 的本地设备,需要使用控制器。控制器插入 Azure API,用于建立与 Azure WAN 和 Hub 的站点到站点的连接。

Microsoft Azure 虚拟 WAN 包括以下组件和资源:

  • WAN:表示 Microsoft Azure 中的整个网络。它包含指向您希望在此广域网中拥有的所有中心的链接。WAN 彼此相互隔离,不能包含公用集线器,也不能包含在不同 WAN 中的两个 hub 之间的连接。

  • 站点:表示本地 VPN 设备及其设置。一个站点可以连接到多个中心。通过 Citrix SD-WAN,可以使用内置解决方案自动将此信息导出到 Azure。

  • Hub:表示您的网络在特定区域的核心。Hub 包含各种服务终端节点,可以实现与本地网络的连接和其他解决方案。在站点之间建立站点到站点的连接,然后再到 Hub VPN 端点。

  • Hub 虚拟网络连接:Hub 网络可以将 Azure 虚拟 WAN Hub 无缝连接到您的虚拟网络。目前,连接到同一虚拟中心区域内的虚拟网络可用。

  • 分支:分支是本地 Citrix SD-WAN 设备,存在于客户办公地点。SD-WAN 控制器集中管理分支。连接源于这些分支的后面,终止到 Azure。SD-WAN 控制器负责将所需的配置应用于这些分支和 Azure Hub。

下图介绍了虚拟 WAN 组件:

Azure 虚拟 WAN 组件

微软 Azure 虚拟广域网如何工作

  1. SD-WAN Center 通过使用服务主体、主体或基于角色的访问功能进行身份验证,在 Azure GUI 中处于启用状态。

  2. SD-WAN Center 获取 Azure 连接配置并更新本地设备。这会自动执行本地设备的配置下载、编辑和更新。

  3. 在设备具有正确的 Azure 配置后,将向 Azure WAN 建立一个站点到站点连接(两个主动 IPsec 通道)。Azure 需要分支设备连接器才能支持 IKEv2 设置。BGP 配置是可选的。

    注意:建立 IPsec 通道的 IPsec 参数的标准化。

    IPsec 属性 参数
    IKE 加密算法 AES 256
    IKE 完整性算法 SHA 256
    Dh 集团 DH2
    IPsec 加密算法 GCM AES 256
    IPsec 完整性算法 GCM AES 256
    PFS 组

Azure 虚拟 WAN 可自动执行工作负载虚拟网络和中心之间的连接。创建中心虚拟网络连接时,它会在预配的 Hub 与工作负载虚拟网络 (VNET) 之间设置适当的配置。

先决条件和要求

请先阅读以下要求,然后再继续配置 Azure 和 SD-WAN 以管理连接到 Azure hub 的分支站点。

  1. 已将虚拟广域网的 Azure 订阅列入白名单。
  2. 使用软件定义广域网设备等本地设备在 Azure 资源中建立 IPsec。
  3. 拥有带公共 IP 地址的互联网链接。虽然单个 Internet 链接足以建立连接到 Azure,但您需要两个 IPsec 通道才能使用相同的 WAN 链接。
  4. SD-WAN controller-controller 是负责配置 SD-WAN 设备以连接到 Azure 的接口。
  5. Azure 中至少有一个工作负载的 VNET。例如,负责托管服务的 VM。请注意以下几点:
    1. 虚拟网络不得有 Azure VPN 或快速路由网关或网络虚拟设备。
    2. 虚拟网络不能有用户定义的路由,该路由将流量路由到非虚拟 WAN 虚拟网络,以便从内部分支访问的工作负载。
    3. 必须配置访问工作负载的适当权限。例如,对于 ubuntu VM,请使用端口 22 SSH 访问权限。

注意

  • 从 Citrix SD-WAN 11.1.0 起,自动内联网服务创建用于 Azure 虚拟广域网配置。如果要从 10.x 升级到 11.1.x,请删除以前的 Azure 虚拟广域网配置。
  • 为 SD-WAN 站点配置多个 WAN 链接时,作为 VPN 站点中心关联的一部分,请在 Azure 门户上使用预定义的预共享密钥(仅限数字和字母)。应在连接到此 VPN 站点的所有集线器上使用相同的预共享密钥。

下图说明了 Microsoft Azure 中包含两个站点和两个虚拟网络的网络。

Azure 云工作负载图

设置微软 Azure 虚拟 WAN

要使本地软件定义广域网分支连接到 Azure 并通过 IPsec 隧道访问资源,需要完成以下步骤。

  1. 配置 WAN 资源。
  2. 启用 SD-WAN 分支以使用 IPsec 通道连接到 Azure。

配置 SD-WAN 网络之前,请配置 Azure 网络,因为连接到 SD-WAN 设备所需的 Azure 资源事先必须可用。但是,您可以在配置 Azure 资源之前配置 SD-WAN 配置(如果您首选)。本主题探讨在配置 SD-WAN 设备之前先设置 Azure 虚拟 WAN 网络。https://microsoft.com Azure virtual-wan

创建 WAN 资源

要使用虚拟 WAN 功能并将本地分支设备连接到 Azure,请执行以下操作:

  1. 登录 Azure 应用商店,转到虚拟 WAN 应用程序,然后选择创建广域网

    创建 WAN 资源 Azure 门户

  2. 输入 WAN 的名称,然后选择要用于 WAN 的订阅。 创建 WAN

  3. 选择现有资源组或创建新资源组。资源组是逻辑构造,资源组之间的数据交换始终是可能的。
  4. 选择您希望资源组驻留的位置。WAN 是一种没有位置的全球资源。但是,您必须为包含 WAN 资源元数据的资源组输入位置。

  5. 单击 “ 创建”。这将启动验证和部署设置的过程。

创建网站

您可以使用首选供应商创建站点。首选供应商将与您的设备和站点有关的信息发送至 Azure,或者您可以决定自己管理设备。如果要管理设备,需要在 Azure 门户中创建站点。

SD-WAN 网络和微软 Azure 虚拟 WAN 工作流

配置 SD-WAN 设备:

  1. 预配 Citrix SD-WAN 设备
    • 将 SD-WAN 分支设备连接到 MCN 设备。
  2. 配置 SD-WAN 设备
    • 为主动-主动连接配置 Intranet 服务。

配置 SD-WAN Center:

  • 将 SD-WAN Center 配置为连接到 Microsoft Azure。

配置 Azure 设置:

  • 提供租户 ID、客户端 ID、安全密钥、订阅者 ID 和资源组。

将分支站点配置为 WAN 关联:

  1. 将一个 WAN 资源关联到分支机构。同一站点无法连接到多个 WAN。
  2. 单击新建以配置站点 WAN 关联。
  3. 选择 Azure WAN 资源
  4. 选择站点的服务 (Intranet)。选择两项服务以获得活动-备用支持。
  5. 选择要与 WAN 资源相关联的站点名称
  6. 单击部署以确认关联。
  7. 等待状态更改为已部署的通道,以查看IPsec 通道设置。
  8. 使用 SD-WAN Center 报告视图检查相应 IPsec 隧道的状态。

配置 Citrix SD-WAN 网络

MCN

MCN 充当初始系统配置和后续配置更改的分发点。虚拟 WAN 中只能有一个活动的 MCN。 默认情况下,设备具有客户端的预先分配的角色。要将设备建立为 MCN,必须首先添加站点并将其配置为 MCN。在将站点配置为 MCN 后,网络配置 GUI 变为可用。必须仅从 MCN 或 SD-WAN Center 执行升级和配置更改。

MCN 的角色

MCN 是指用作 SD-WAN 网络以及客户端节点的中央管理点的控制器的中心节点。除了准备固件包并将其分发给客户端之外,所有配置活动都在 MCN 上进行配置。此外,监视信息仅在 MCN 上可用。MCN 可以监视整个 SD-WAN 网络,而客户端节点只能监视本地 Intranet 以及其所连接的客户端的某些信息。MCN 的主要用途是建立覆盖连接(虚拟路径),其包含一个或多个位于 SD-WAN 网络中的一个或多个客户端节点,用于实现企业站点到站点之间的通信。MCN 可以管理和拥有多个客户端节点的虚拟路径。可以有多个 MCN,但在任意给定时间只能激活一个。下图说明了一个小型两站点网络的 MCN 和客户端(分支节点)设备的基本示意图。

MCN 分支工作流

将 SD-WAN 设备配置为 MCN

要添加并配置 MCN,必须先在要指定为 MCN 的设备上登录到管理 Web 界面,然后将管理 Web 界面切换到 MCN 控制台模式。MCN 控制台 模式允许访问当前连接的管理 Web 界面中的配置编辑器。然后,您可以使用 配置编辑器 添加和配置 MCN 站点。

要将管理 Web 界面切换到 MCN 控制台 模式,请执行以下操作:

  1. 在要配置为 MCN 的设备上登录到 SD-WAN 管理 Web 界面。
  2. 在管理 Web 界面主屏幕(页面顶部的蓝色栏)的主菜单栏中单击 配置
  3. 在导航树(左窗格)中,打开设备设置分支,然后单击管理员界面
  4. 选择 “其 他” 选项 卡。此时将打开其他管理设置页面。

    本地化后的图片

    杂项选项卡页面底部,切换到[客户端,MCN] 控制台部分。本节包含切换控制台按钮,用于在设备控制台模式之间切换。

节标题指示当前控制台模式,如下所示:

  • 处于 客户端控制台 模式(默认)时,部分标题为 “ 切换到 MCN 控制台”。
  • 处于 MCN 控制台 模式时,部分标题为 “ 切换到客户端控制台”。

默认情况下,新设备在客户端控制台模式下显示。MCN 控制台模式在导航树结构中启用“配置编辑器”视图。配置编辑器 仅在 MCN 设备上可用。

配置 MCN

要添加和开始配置 MCN 设备站点,请执行以下操作:

  1. 在 SD-WAN 设备 GUI 中,导航到虚拟 WAN >配置编辑器

    配置 MCN

  2. 单击“站点”栏中的 + 站点以开始添加和配置 MCN 站点。此时将显示添加站点对话框。

    网站 MCN

  3. 输入一个站点名称,用于确定设备的地理位置和角色(DC/辅助 DC)。选择正确的设备型号。选择正确的设备是非常重要的,因为硬件平台在处理能力和许可方面互不相同。由于我们将此设备配置为主头端设备,请选择模式作为主 MCN,然后单击添加

  4. 这样会将新站点添加到站点树,默认视图将显示基本设置配置页面,如下所示:

    网站 MCN 详细信息

  5. 输入基本设置,例如位置、站点名称。

  6. 对设备进行配置,使其能够接受来自 Internet/MPLS/宽带的流量。定义链接终止的接口。这取决于设备处于叠加模式还是底层模式。
  7. 单击接口组开始定义接口。

    接口组 MCN

  8. 单击 + 添加虚拟接口组。这将添加一个新的虚拟接口组。虚拟接口的数量取决于您希望设备处理的链接。设备可以处理的链接数因设备型号而异,最大链接数最多可以有八个。

    虚拟 IP MCN

  9. 单击虚拟接口右侧的 +,以按如下所示查看屏幕。

    虚拟接口 MCN

  10. 选择构成此虚拟接口一部分的以太网接口。设备具有预配置的一对故障的故障到网络界面,具体取决于平台型号。如果要在设备上启用故障-有线,请确保选择正确的接口对,并确保在旁路模式列下选择“故障切换”。
  11. 从下拉列表中选择安全级别。如果接口为在各接口上使用 Internet 链接,则选择“可信模式”(如果接口为“MPLS 链路”提供),将选择不受信任。
  12. 在名为虚拟接口的标签右侧,单击 +。这将显示名称、防火墙区域和 VLAN ID。输入此虚拟接口组的名称和 VLAN ID。VLAN ID 用来识别进出虚拟接口的流量,并将其标记为从虚拟接口,对本机/未加标签的流量使用 0(零)。

    VLAN ID MCN

  13. 要将接口配置为无法连接,请单击 Bridge 对。这会添加新的桥接对,并允许进行编辑。单击应用以确认这些设置。
  14. 要添加更多虚拟接口组,请单击接口组分支右侧的 +,然后按如上所述操作。
  15. 选择这些接口后,下一步是在这些接口上配置 IP 地址。在 Citrix SD-WAN 术语中,这称为 VIP(虚拟 IP)。
  16. 继续在站点视图中,然后单击虚拟 IP 地址以查看用于配置 VIP 的接口。

    配置 VIP MCN

  17. 输入 IP 地址/前缀信息,然后选择与该地址关联的虚拟接口。虚拟 IP 地址必须包含完整的主机地址和网络掩码。为虚拟 IP 地址选择所需的设置,例如防火墙区域、身份、专用和安全性。单击应用。这会将地址信息添加到站点中,并将其包含在站点 虚拟 IP 地址 表中。要添加更多虚拟 IP 地址,请单击 虚拟 IP 地址 右侧的 +,然后按照上述步骤继续操作。

  18. 继续在站点部分为站点配置 WAN 链接。

    WAN 链接 MCN

  19. 在右侧面板的顶部,单击添加链接。此时将打开一个对话框,您可以在此对话框中选择要配置的链接类型。

    添加链接 MCN

  20. 公用 Internet 适用于 Internet/宽带/DSL/ADSL 链接,而专用 MPLS 则用于 MPLS 链路。私人内联网也用于 MPLS 链接。私有 MPLS 和私有内联网链接之间的区别在于,私有 MPLS 允许保留 MPLS 链路的 QoS 策略。
  21. 如果您选择“公用 Internet”,并且通过 DHCP 分配 IP,请选择“自动检测 IP”选项。
  22. 在 WAN 链接配置页面中,选择访问接口。这将打开站点的访问接口视图。添加并配置每个链接对应的 VIP 和网关 IP,如下所示。

    访问接口 MCN

  23. 单击 + 以添加界面。这会向表格中添加一个空条目,并将其打开以进行编辑。

  24. 输入要分配给此接口的名称。您可以根据链接类型和位置选择命名它。如果不希望将网络隔离,并为接口分配 IP,请将路由域保留为默认值。
  25. 如果链接是互联网链接或私有 IP(如果链接是 MPLS 链接),请确保提供可公开访问的网关 IP 地址。将虚拟路径模式保持为主要模式,因为您需要使用此链接形成虚拟路径。

    注意:启用代理 ARP 时,当网关无法访问时,设备会回复网关 IP 地址的 ARP 请求。

  26. 单击应用完成 WAN 链接的配置。如果要配置更多 WAN 链接,请对其他链接重复执行这些步骤。
  27. 配置站点的路由。单击连接视图,然后选择路线。
  28. 单击 + 以添加路由,这将打开一个对话框,如下所示。

    添加路线 MCN

  29. 输入适用于新路由的以下信息:

    • 网络 IP 地址
    • 成本 — 成本决定哪条路线优先于另一条路线。成本较低的路径优先于成本较高的路线。默认值为 5。
    • 服务类型 - 选择服务,一项服务可以是以下任意项:
      • 虚拟路径
      • 内联网
      • Internet
      • 直通
      • 本地
      • GRE 隧道
      • 局域网 IPsec 隧道
  30. 单击应用

要为站点添加更多路由,请单击“路由”分支右侧的 +,然后按照上面的方式进行操作。有关更多信息,请参阅 配置 MCN

配置 MCN 和分支站点之间的虚拟路径

在 MCN 和分支节点之间建立连接。您可以通过在这两个站点之间配置虚拟路径来实现此目的。导航到配置编辑器配置树中的连接选项卡。

  1. 在“配置”部分中,单击连接选项卡。这将显示配置树的连接部分。
  2. 连接部分页面中,从“查看站点”下拉菜单中选择 MCN

    MCN 视图

  3. 从连接选项卡中选择虚拟路径,以在 MCN 和分支站点之间创建虚拟路径。

    虚拟路径分支

  4. 在“虚拟路径”部分中,单击静态虚拟路径名称旁边的添加虚拟路径。此时将打开一个对话框,如下所示。选择要为其配置虚拟路径的分支。必须在名为远程站点的标签下进行配置。从此下拉列表中选择分支节点,然后单击同时反向复选框。

    添加虚拟路径分支

    在虚拟路径的两个站点上镜像流量分类和转向。完成此操作后,请从名为“节”下的下拉菜单中选择路径,如下所示。

    交通分支

  5. 在路径表格上方单击 + 添加,将显示“添加路径”对话框。指定必须在其中配置虚拟路径的端点。现在,单击添加以创建路径,然后单击反转复选框

    注意:Citrix SD-WAN 在两个方向上测量链接质量。这意味着点 A 到点 B 是一条路径,点 B 到点 A 是另一个路径。通过单向度量链路条件的帮助,SD-WAN 可以选择发送流量的最佳路由。这与诸如 RTT 之类的度量值不同,后者是用来度量延迟的双向指标。例如,点 A 与点 B 之间的一个连接显示为两条路径,每个连接都分别计算链路性能指标。

此设置足够用来将虚拟路径置于 MCN 与分支之间,其他配置选项也可用。有关详细信息,请参阅 在 MCN 和客户端站点之间配置虚拟路径服务

部署 MCN 配置

下一步是部署配置。这包括以下两个步骤:

  1. 将 SD-WAN 配置包导出到更改管理。

    • 在生成设备包之前,必须首先将完成的配置包从配 置编辑器 导出到 MCN 上的全局 变更管理 暂存收件箱。请参阅 执行变更管理一节中提供的步骤。
  2. 生成并暂存设备软件包。

    • 将新配置包添加到更改管理收件箱后,可以在分支站点上生成并暂存设备包。要执行此操作,请使用 MCN 上的管理 Web 界面中的更改管理向导。请参阅 Stage 设备包一节中提供的步骤。

配置 Intranet 服务以连接 Azure WAN 资源

  1. 在 SD-WAN 设备 GUI 中,转到 配置编辑器。导航到 “ 连接 ” 磁贴。单击 + 添加服务可为该站点添加 Intranet 服务。 互联网服务 Azure

  2. 在 Intranet 服务的基本设置中,您希望 Intranet 服务在 WAN 链接不可用期间的行为方式有几个选项。

    • 启用主回收–如果希望选定的主链路在故障转移后接管,请选中此复选框。如果您选择不选中此选项,则辅助链路将继续发送流量。
    • 忽略 WAN 链接状态 - 如果此选项处于启用状态,则发送给此 Intranet 服务的数据包将继续使用此服务,即使构成的 WAN 链接不可用也是如此。 WAN 链接内联网服务
  3. 配置基本设置后,下一步是为此服务选择组成 WAN 链接。一项内联网服务最多可选择两个链接。要选择 WAN 链接,请从标有 “部分” 的下拉列表中选择 WAN 链接选项。WAN link 功能在主模式和辅助模式下,只有一个链路被选为主要 WAN 链接。

    注意:创建第二个 Intranet 服务时,必须具有主和辅助 WAN 链接映射。

    WAN 链接映射

  4. 可以使用特定于分支站点的规则,从而使每个分支站点的自定义功能唯一覆盖在全局默认集中配置的任何常规设置。模式包括基于特定 WAN 链接的所需交付,或者用作覆盖服务,允许您经过过滤或放弃过滤的流量。例如,如果有一些流量,而您不想通过 Intranet 服务,则可以编写一条规则来丢弃该流量或通过其他服务(互联网或通过)发送流量。

    分行网站规则

  5. 如果为站点启用了 Intranet Service,则可以使用 Provisi oning 磁贴以允许在使用 WAN 链接的各种服务之间双向(LAN 到 WAN /WAN 到 LAN)分配 WAN 链路的带宽。服务部分允许您进一步微调带宽分配。此外,还可以启用公平共享,以允许服务在进行公平分发之前接收最低的保留带宽。

    LAN WAN

配置 SD-WAN Center

下图描述了 SD-WAN Center 和 Azure 虚拟 WAN 连接的高级工作流程以及部署的相应状态转换。

AVWAN 状态图

配置 Azure 设置

  • 提供 Azure 租户 ID、应用程序 ID、密钥和订阅 ID(也称为服务主体)。

将分支站点配置为 WAN 关联

  • 将分支站点关联到 WAN 资源。同一站点无法连接到多个 WAN。
  • 单击新建以配置站点 WAN 关联。
  • 选择 Azure WAN 资源
  • 选择要与 WAN 资源关联的站点名称
  • 单击部署以确认关联。用于隧道部署的 WAN 链接会自动填充具有最佳链接容量的 WAN 链接。
  • 等待状态更改为 “已部署隧道” 以查看 IPsec 隧道 设置。
  • 使用 SD-WAN Center 报告视图检查相应 IPsec 隧道的状态。IPsec 隧道状态必须为绿色,才能使数据流量流动,这表示连接处于活动状态。

预配 SD-WAN Center

SD-WAN Center 是用于 Citrix SD-WAN 的管理和报告工具。虚拟 WAN 的必需配置是在 SD-WAN Center 中执行的。SD-WAN Center 仅作为虚拟外形规格 (VPX) 提供,需要安装在 VMware ESXi 或 XenServer 虚拟机管理程序上。配置 SD-WAN Center 设备所需的最少资源包括 8 GB RAM 和4个 CPU 内核。以下是 安装配置 SD-WAN 中心虚拟机的步骤。

为 Azure 连接配置 SD-WAN Center

有关详细信息 ,请阅读创建服务主体

要使用 Azure 成功验证 SD-WAN Center,必须提供以下参数:

  • 目录(租户 ID)
  • 应用程序(客户端 ID)
  • 安全密钥(客户端密钥)
  • 订阅者 ID

对 SD-WAN Center 进行身份验证

在 SD-WAN Center UI 中,导航到配置 > 云连接 > Azure > 虚拟广域网。配置 Azure 连接设置。有关配置 Azure VPN 连接的详细信息,请参阅以下链接: Azure Resource Manager

SDWAN 登录页面

在 11.1.0 版本中,支持用于 Azure 虚拟广域网集成的主广域网和辅助 WAN 链接配置。添加辅助 WAN 链接的主要原因是 Citrix SD-WAN 站点具有冗余。

在之前的实施中,WAN 链路的故障可能会导致流量中断和与 Azure 虚拟 WAN 的连接丢失。在当前的实施中,即使主 WAN 链接关闭,站点到 Azure 虚拟 WAN 连接也会保持活动状态。

输入订阅 ID租户 ID应用程序 ID安全密钥。需要执行此步骤才能使用 Azure 对 SD-WAN Center 进行身份验证。如果在上面输入的凭据不正确,则身份验证将失败,并且不允许执行进一步操作。单击应用

Azure 设置

存储帐户字段引用您在 Azure 中创建的存储帐户。如果未创建存储帐户,单击应用后,将在您的订阅中自动创建一个新存储帐户。

获取 Azure 虚拟 WAN 资源

成功完成身份验证后,Citrix SD-WAN 轮询 Azure 以获取 Azure 虚拟 WAN 资源的列表,在登录 Azure 门户后的第一个步骤中创建这些资源。WAN 资源代表您在 Azure 中的整个网络。它包含指向您希望在此广域网中拥有的所有中心的链接。WAN 彼此相互隔离,不能包含公用集线器,也不能包含不同 WAN 资源中的两个不同中枢之间的连接。

SDWAN 中心云连接

要关联分支站点和 Azure WAN 资源,请执行以下操作:

分支站点需要与 Azure WAN 资源相关联才能建立 IPsec 隧道。一个分支可以连接到一个 Azure 虚拟 WAN 资源中的多个中心,一个 Azure 虚拟 WAN 资源可以连接到多个本地分支站点。为每个分支到 Azure 虚拟 WAN 资源部署创建单行。

要添加多个站点,请执行以下操作:

您可以选择添加所有相应的站点,然后将它们与选定的单个 WAN 资源相关联。

  1. 单击添加多个以添加必须与所选 WAN 资源关联的所有站点。

    添加多个链接

  2. Azure WAN 资源下拉列表(如下所示)已预先填充属于您的 Azure 帐户的资源。如果尚未创建 WAN 资源,则此列表为空,您必须导航到 Azure 门户才能创建资源。如果列表中填充了 WAN 资源,请选择您需要将分支站点连接到的 Azure WAN 资源

  3. 选择一个或所有分支站点以启动 IPsec 隧道建立过程。将自动选择站点最佳容量公共 Internet WAN 链接,以建立到 Azure VPN 网关的 IPsec 隧道。

    AVWAN add multi

要添加单个站点,请执行以下操作:

您还可以选择一次性添加站点(单个),随着网络增长,或者如果正在执行站点间部署,可以选择添加多个站点(如上所述)。

  1. 单击新增为站点 WAN 关联选择一个站点名称。在“将站点配置到 Azure 网络”对话框中添加站点。

    AVWAN add site

    AVWAN configures add site

  2. 选择要配置到 Azure 虚拟 WAN 网络的分支站点。

  3. 选择与站点关联的 WAN 链接(公共互联网类型链接按最佳物理链路容量顺序列出)

  4. Azure 虚拟 WAN 下拉菜单中选择站点必须与之关联的 WAN 资源。

  5. 单击部署以确认关联。状态(“初始化站点信息、已推送站点信息” 和 “正在等待 VPN 配置”)已更新,以通知您有关该过程的信息。

部署过程包括以下状态:

  • 推送网站信息
  • 等待 VPN 配置
  • 已部署的隧道
  • 连接处于活动状态(IPsec 通道已启动)或连接已关闭(IPsec 通道已关闭)

    AVWAN 部署成功

关联站点 WAN 资源映射(Azure 门户)

将 Azure 门户上已部署的站点与在 Azure 虚拟 WAN 资源下创建的虚拟中心关联。一个或多个虚拟中心可以与分支机构站点关联。每个虚拟中心都是在特定区域创建的,并且可以通过创建虚拟网络连接将特定工作负载与虚拟中心关联。只有在分支站点到虚拟中心的关联成功后,才会下载 VPN 配置,并建立从站点到 VPN 网关的相应 IPsec 隧道。

等待状态更改为已部署隧道或连接活动以查看 IPsec 隧道设置。查看与所选服务关联的 IPsec 设置。

AVWAN 连接活动

AVWAN 隧道属性

SD-WAN Azure 设置

  • 禁用 SD-WAN 更改管理 — 默认情况下,更改管理过程是自动化的。这意味着,只要可以在 Azure 虚拟 WAN 基础结构上提供新配置,SD-WAN Center 便会获得此配置,并开始将其自动应用于分支机构。但是,如果要控制何时必须将配置应用于分支,则可以控制此行为。禁用自动更改管理功能的一个优点是独立管理此功能和其他 SD-WAN 功能的配置。

  • 禁用 SDWAN 轮询— 禁用对现有部署的所有 SD-WAN Azure 新部署和轮询。

  • 轮询间隔 - 轮询间隔选项控制在 Azure 虚拟 WAN 基础结构中查找配置更新的时间间隔。建议的轮询间隔时间为 1 小时。

  • 禁用分支到分支连接–禁用通过 Azure 虚拟 WAN 基础结构进行分支到分支通信。默认情况下,此选项处于禁用状态。启用此功能后,这意味着本地分支可以通过 Azure 的虚拟 WAN Infra 通过 IPsec 相互通信,也可以与分支后面的资源进行通信。这对通过 SD-WAN 虚拟路径进行分支到分支的通信没有任何影响,分支可以相互通信,并通过虚拟路径与它们各自的资源/端点通信,即使禁用此选项也是如此。

  • 禁用 BGP — 这将禁用 IP 上的 BGP,默认情况下它处于禁用状态。启用后,站点路由将通过 BGP 公布。

  • 调试级别–如果存在任何连接问题,则可以启用捕获日志以进行调试。

SDWAN Azure 设置

刷新 WAN 资源

单击刷新图标可检索您在 Azure 门户上更新的最新 WAN 资源集。刷新过程完成后,将显示一条消息,指出 “已成功刷新 WAN 资源”。

AVWAN refresh WAN

删除站点 WAN 资源关联

选择一个或多个映射以执行删除。在内部会触发 SD-WAN 设备更改管理过程,直至成功完成后,删除选项处于禁用状态,以防止进一步执行删除操作。要删除映射,需要取消关联或删除 Azure 门户中相应的站点。用户必须手动执行此操作。

AVWAN 删除确认

创建隧道后,您可以看到在 MCN 中创建的两个 Intranet 服务。

两项内联网服务

每个 Intranet 服务都对应于使用对等 IP(Azure 虚拟 WAN 端点 IP)创建的 IPsec 隧道。

对等 IP

Intranet 服务中,如果从区域下拉列表中选择 WAN 链接,则可以看到由您指定的主要和辅助 WAN 链接。默认情况下,模式设置为自动

自动模式

监视 IPsec 隧道

在 SD-WAN Center 用户界面中,导航到报告 > IPsec 以检查 IPsec 隧道的状态。通道状态必须为绿色,才能使数据流量流动。

AVWAN 监控

使用 Citrix SD-WAN 连接到微软 Azure 虚拟广域网