产品文档
Citrix SD-WAN Orchestrator
查看 PDF

Citrix SD-WAN 与 AWS Transit Gateway 连接集成

October 21, 2022
投稿者: 
C

Citrix SD-WAN 支持与 AWS Transit Gateway Connect 集成,为分支机构和家庭办公室用户提供一致、高性能和安全的覆盖网络,以访问云应用程序。

AWS Transit Gateway 允许您创建和管理网关,以连接您的Amazon Virtual Private Cloud (Amazon VPC) 部署和本地网络。

AWS Transit Gateway Connect 集成了 Citrix SD-WAN 和 AWS Transit Gateway,简化了构建

AWS Transit Gateway 服务

使用 AWS Transit Gateway Connect,您可以创建连接附件,在 Citrix SD-WAN VPX 和 AWS Transit Gateway 之间建立连接对等(GRE Connect 附件支持用于高性能的通用路由封装 (GRE) 隧道协议和用于动态路由的边界网关协议 (BGP)。

连接附件上的每个 Connect 对等体支持的最大带宽为 5 Gbps。要实现更高的吞吐量,您可以添加更多的 Connect 对等体并将每个连接连接扩展到 20 Gbps(每个连接连接最多 4 个 GRE 隧道)。如果需要超过 20 Gbps 的聚合带宽,则可以通过创建更多 Connect 附件来横向扩展。

AWS Transit Gateway 连接附件

您可以使用 Citrix SD-WAN Orchestrator 中的集成工作流程在 Citrix SD-WAN 和 Transit Gateway 连接之间设置连接。

必备条件

  • 具有创建以下资源所需权限的 AWS 账户(AWS 订阅 ID、私有访问密钥和访问密钥 ID):
    • VPC 连接和Transit Gateway 连接连接
    • Transit Gateway CIDR 区块
    • 在 “连接” 附件上连接对等方
    • 站点 LAN 子网关联路由表中的路由。
  • 在 Citrix SD-WAN Orchestrator 服务中配置的 Citrix SD-WAN VPX 站点。确保在局域网接口的虚拟接口上配置与局域网接口关联的 AWS 子网 CIDR 与 IPv4 地址相同。
  • 已部署Transit Gateway。如果尚未部署,则可以从 AWS 管理控制台创建 Transit Gateway。
  • 请勿在 AWS 站点配置中的任何位置使用 AWS 预留 BGP CIDR 块,因为这些 CIDR 块用作创建 LAN GRE 隧道的隧道 IP/前缀。有关 AWS 预留区块,请参阅 互联对等节点
  • 所选的 AWS 区域必须支持 AWS Transit Gateway 连接。AWS Transit Gateway Connect 支持仅在 要求和注意事项下列出的 AWS 区域提供。
  • 与站点的 AWS LAN 子网关联的安全组中必须允许 GRE 协议。

配置

在客户级别,导航到 配置 > 交付渠道 > 交付服务。在 SaaS 和云入口服务 部分中,选择 AWS Transit Gateway 磁贴。屏幕上将显示 AWS Transit Gateway 页面。

您也可以从 配置 > SaaS 和 Cloud On Ramp > AWS Transit Gateway 导航到 AWS Transi

AWS Transit Gateway 服务交付服务

在页面的右上角,单击 “ 身份验证 ” 链接。

AWS Transit Gateway 服务交付服务

输入 AWS 订阅 IDAWS 私有访问密钥AWS 访问密钥 ID

AWS Transit Gateway 订阅详情

选择部署在 VPC 中的站点,您要在其中部署 Transit Gateway Connect 附件。

注意

仅列出在 AWS 中部署的站点。

根据所选站点,自动填充 AWS 区域VPC ID

AWS Transit Gateway 连接配置

  • Transit Gateway ID:互连附件(VPC 和 VPN)的网络传输中心。
  • 连接附件 ID:Transit Gateway 连接附件的唯一标识符。连接附件允许您使用 GRE 和 BGP 在 Transit Gateway 和第三方设备之间建立连接。您可以选择现有的 连接附件 ID ,也可以根据需要创建 ID。
  • 子网 ID:SD-WAN VPX 局域网接口所在的 AWS 子网 CIDR。

单击 + 连接点 以创建Transit Gateway 连接对等体。Transit Gateway Connect Peer 在 AWS 区域中的 Citrix SD-WAN VPX 和Transit Gateway 之间创建 GRE 隧道。GRE 隧道是通过选择 Transit Gateway CIDR 区块的 IP 地址和 SD-WAN VPX 的局域网 IP 地址来创建的。

  • Transit Gateway GRE CIDR 块:用于建立 GRE 隧道的 IP 地址。您可以选择现有的 CIDR 块,也可以通过选中 “创建 Transi t Gateway GRE CIDR 块” 复选框来创建一个新的 CIDR 块
  • 连接对等 GRE 隧道 IP:Transit Gateway 端的 GRE 隧道对等 IP 地址。
  • 对等地址:Citrix SD-WAN VPX 的局域网 IP 地址。
  • BGP Inside CIDR 块:用于 BGP 对等的内部 IPv4 地址范围。指定 169.254.0.0/16 范围内的 /29 CIDR 块。
  • BGP 对等 ASN:Citrix SD-WAN VPX 的边界网关协议 (BGP) 自治系统编号 (ASN)。您可以使用分配给您的网络的现有 ASN。如果您没有,则可以使用 64512—65534 范围内的私有 ASN。

注意

  • AWS 对 Transit Gateway CIDR 区块和 BGP Insidr 施加了某些限制。有关限制的更多详细信息,请参阅 Tr ansit Gateway CIDR 区块BGP Inside CIDR
  • 如果未指定 Connect Peer GRE 隧道 IP,则 AWS 会通过从配置的 Transit Gateway CIDR 块中选择一个 IP 地址来自动分配 IP 地址。如果要指定特定的 IP 地址,请确保该地址位于 Transit Gateway CIDR 区块范围内。

单击 “ 完成 ”,然后单击 “ 保存”

在 “ 操作 ” 列中单击 “ 部署 ”。部署过程大约需要 5 分钟,您可以单击 “ 刷新 ” 按钮查看状态。

注意

  • 自动创建的 LAN GRE 隧道的名称采用以下格式:
AWS_TGW_Connect-Tunnel-<number>

<number> is the number of GRE tunnels auto-created for the site, incremented by one.
  • 在 Connect Peer 中配置的 LAN 虚拟接口的所有现有虚拟 IP 地址上禁用身份,并且仅在新添加的虚拟 IP 地址(AWS 分配给站点的 BGP Peer IP)上启用身份。

AWS Transit Gateway 连接部署

您可以使用 部署跟踪器在网络上激活配置更改。成功激活后,将在 Citrix SD-WAN VPX 和 AWS Transit Gateway 之间建立 GRE 隧道。当您单击 “验证配置” 并继续进行暂存和激活时,系统会自动为该站点创建以下配置:

  • LAN GRE 隧道
  • BGP 和 BGP ASN
  • BGP 邻居
  • 导入筛选器
  • 导出筛选器
  • 局域网虚拟接口上的其他虚拟 IP

监视和故障排除

要验证 GRE 隧道的建立状态,请导航到 报告 > 实时 > 统计 > 其他统计信息 > GRE 隧道。在以下屏幕截图中,您可以看到从 SD-WAN 到 AWS Transit Gateway 的 GRE 隧道已建立,状态为 UP。

AWS GRE 隧道验证

要验证 BGP 路由安装,请导航到 报告 > 实时 > 路由 ,然后检查站点是否有 BGP 路由。这意味着您可以学习连接到 AWS Transit Gateway Connect 的网络,并可以通过 GRE 隧道与这些网络通信。

AWS 连接附件报告

常见问题解答

  1. 部署后 AWS Transit Gateway Connect 状态显示为 失败 时该怎么做?

    在以下情况之一中,状态可能会转换为 “ 失败 ”:

    • 当 VPC 连接创建失败时
    • 连接附件创建失败
    • 连接对等部署失败

    如果 Connect Peer 部署失败,请单击 “ 信息 ” 图标查看详细信息。要继续操作,请删除并重新部署该站点。

  2. 已创建 VPC 连接时该怎么做?

    我们建议您从 AWS 控制台创建 Transit Gateway Connect 附件,然后使用 Citrix SD-WAN Orchestrator 服务提供的站点现有连接附件部署 Connect Peer。

  3. 在部署 AWS Transit Gateway Connect 时,当 Connect Peer 部署在创建局域网路由

    作为部署的一部分,Citrix SD-WAN Orchestrator 服务尝试在 AWS 中 SD-WAN 局域网接口的路由表中添加局域网路由。如果您没有为 LAN 子网创建辅助路由表,则创建路由可能会失败。为避免任何安全问题,请勿在主 VPC 路由表中添加 LAN 路由。

  4. 部署 AWS Transit Gateway Connect 时 Connect Peer 在创建连接点时部署失败该怎么办

    人们多次观察到,AWS Transit Gateway Connect Peer 有时会处于 待处理 状态数小时(可能是 AWS Transit Gateway Connect 的临时行为)。Citrix SD-WAN Orchestrator 服务仅在每项资源在 AWS 中转换为 “可用” 状态时才会继续部署。

  5. 当您从 “ 操作 ” 列中单击 “ 删除 ” 时,该站点将立即从 AWS Transit Gateway 中删除。但是,这些资源仍然可以在 AWS 控制台上看到。为什么呢?

    当您单击 “ 删除” 时,Citrix SD-WAN Orchestrator 服务会启动删除任务,从 AWS 中删除所有资源。但是,如果您手动干预并删除了一些资源,Citrix SD-WAN Orchestrator 删除作业只会清理数据库条目。你必须手动清理其余资源。

  6. Citrix SD-WAN Orchestrator 服务删除 AWS 资源需要多少时间?

    从 “ 操作 ” 列中单击 “ 删除 ” 后,删除 AWS 资源最多需要 10 分钟。等待此间隔以确保成功删除所有资源。

  7. 要在同一 VPC 中创建多个 Transit Gateway 站点,且子网位于同一可用区,首选方法是什么?

    首选方法是仅创建一次连接附件,然后对其余站点使用相同的连接附件。

Citrix SD-WAN 与 AWS Transit Gateway 连接集成
October 21, 2022
投稿者: 
C
October 21, 2022
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.