Citrix SD-WAN 平台

在 AWS 前哨部署 Citrix SD-WAN

AWS Outposts 是一项完全托管的服务,它为几乎任何数据中心、托管空间或本地设施提供 AWS 基础设施、AWS 服务、API 和工具,以实现一致的混合云体验。AWS 服务(如计算、存储、数据库和其他服务)在前哨本地运行,您可以访问 该地区 提供的 全套 AWS 服务 来构建、管理和 扩展 本地应 用程序使用熟悉的 AWS 服务和工具。

在 AWS 产品中添加 AWS 前哨后,Citrix SD-WAN 客户现在可以 使用 Citrix SD-WAN 的混合云 解决方案 轻松将 AWS Outposts 实例连接 到其 现有 WAN 基础设施。通过此 集成,客户 将能 够使用 Citrix SD-WAN 管理工具管理 从分支机构 到 AWS 云和前哨的 SD-WAN 连接。

  • Citrix SD-WAN VPX 的 BYOL 许可证
  • VPX 的最低存储 空间 为 40 GB,VP X-L 配置的最低存储空间至少 为 200 GB
  • m5 和 c5 实例的可用性
  • 几个弹 性 IP (分别用于 WAN 接口和 管理接口)

注意

您可以选择不通过公有 IP 托管管理接口。

解决方案验证/网络架构

解决方案验证网络架

以下是在 AWS Outposts 中配置 SD-WAN 设备的分步配置指南。

必备条件

  1. 登录前哨 AWS 账户。
  2. 可以从 AWS 前哨的市场访问 Citrix SD-WAN AMI。

注意:

配置指南中提供的 AWS Outpost 控制台的所有快照都是使用 AWS 启动的新控制台完成的,如果选择了旧版 UI,则可能看起来不完全一样。

在前哨上为 Citrix SD-WAN 设备创建 VPC(VPXL 类型)

  1. 为 AWS 前哨 VPC 提供 CIDR 块。对于此配置,我们使用 192.168.100.0/22 的 CIDR。
  2. 将所有其他属性保留为默认值。
  3. 根据需要提供标签名称,以便将来从实例列表中标识设备。

    VPC 设置

  4. 验证是否已创建 VPC,且 IPv4 CIDR 详细信息已更新,并为创建的资源获取 VPC ID。
  5. 状态应该是 关联的。

    VPC 验证

  6. VPC 创建完成后,VPC 列表应在 VPC AWS 前哨服务的 “ 的 VPC” 部分中显示使用 CIDR 详细信息创建的新 VPC。

    你的 VPC

创建互联网网关并与 VPC 关联(WAN 的互联网访问和 SD-WAN 的管理接口)

互联网网关是为 SD-WAN VPC 创建的,以确保我们通过 Internet 具有管理连接,也是为了使 SD-WAN 设备的 WAN 链接能够在 Internet 上形成虚拟路径(由于 Azure 实例托管 Internet 链接)

  • 我们使用 VPC AWS Outpost 服务的 “互联网网关” 部分为 VPC 创建单个 Internet 网关实例。

  • 单击 创建互联网网关

为 VPC 创建互联网网关

互联网网关 VPC

  • 互联网网关只是一个资源创建,没有什么特别的可供配置。如果需要,请确保配置名称标签和相关资源标签,以便将来在列表中的 IGW 中搜索资源。

  • 单击 创建互联网网关

创建互联网网关

创建互联网网关后,将互联网网关联到我们刚创建的特定 VPC。

  • 单击 IGW 资源,然后在操作字段中 选择附加到 VPC

    选择附加到 VPC

  • 单击附加到 VPC 后,选择我们在步骤 1 中为 SD-WAN 创建的 VPC。
  • 单击可用 VPC 的下拉列表,然后选择创建的 SD-WAN VPC。
  • 单击 附加互联网网关

将 VPC 关联到互联网网关联

附上 VPC1

附上 VPC2

为 Citrix SD-WAN VPXL 设备创建局域网、广域网和 MGMT 子网

SD-WAN 独立设备通常托管 3 个接口。

  1. 管理接口
  2. 局域网接口
  3. WAN 接口

接口的关联顺序也很重要,关联的第一个接口是管理接口,然后是局域网,然后是 WAN 子网。

管理子网

  • 单击 VPC 下的子网
  • 点击创建子网

管理子网

  • 在子网创建窗口中,选择步骤 1 中为 SD-WAN 创建的 VPC 并关联。
  • 选择您选择的任何可用区。
  • 为管理接口提供 VPC CIDR 中的子网前缀。
  • 对于本配置指南,管理界面将配置 192.168.102.0/24。
  • 单击 “创建”。

创建子网 1

创建子网 2

创建子网 3

LAN 子网

  1. 在子网创建窗口中,选择步骤 1 中为 SD-WAN 创建的 VPC 并关联。
  2. 选择您选择的任何可用区。
  3. 为 LAN 接口提供来自 VPC CIDR 的子网前缀。
  4. 对于本配置指南,局域网接口将配置 192.168.100.0/24。
  5. 单击创建

    创建子网 4

    创建子网 5

WAN 子网

  1. 在子网创建窗口中,选择步骤 1 中为 SD-WAN 创建的 VPC 并关联。
  2. 选择您选择的任何可用区。
  3. 为 LAN 接口提供来自 VPC CIDR 的子网前缀。
  4. 对于本配置指南,WAN 接口将配置 192.168.101.0/24。
  5. 单击创建

    创建子网 6

    创建子网 7

定义LAN/WAN/MGMT 子网的路由表

路由表有助于表示每个子网的路由,我们需要为管理和 WAN 表创建路由表,以便通过配置 Internet Gateway 来配置 Internet 访问和其他相关路由。

管理子网路由表

  • 单击 VPC 下的路由表。
  • 单击创建路由表。
  • 在步骤 1 中选择为 SD-WAN 创建的 VPC。
  • 单击创建
  1. 创建管理路由表。

    管理路由表

  2. 将 VPC 关联到管理路由表。

    创建路线表 1

    创建路由表 2

    下一步是将路由表与创建的管理子网关联起来。

    • 从列表中选择管理路由表。
    • 单击操作下拉列表。
    • 选择 编辑子网关联
    • 将管理子网与托管 IP 192.168.102.0/24的路由表相关联。
  3. 编辑管理路由表的子网关联。

    创建路线表 3

    创建路由表 4

  4. 添加管理子网的路由(通过 IGW 默认)。

    下一步是向管理层添加到互联网以进行公共访问的路线。

    • 选择管理路由表。
    • 点击编辑路线。
    • 通过我们在步骤 2 中创建的 IGW 实例提供新的默认路由 0.0.0.0/0。
    • 保存路线。

    创建路线表 5

    创建路线表 6

    创建路线表 7

为 WAN 子网定义路由表

  1. 为 WAN 接口创建路由表

    • 单击 VPC 下的路由表。
    • 单击创建路由表。
    • 在步骤 1 中选择为 SD-WAN 创建的 VPC。
    • 单击 “ 创建”。

    创建路线表 8

  2. 将 VPC 关联到 WAN 路由表。

    创建路线表 9

    创建路线表 10

  3. 编辑 WAN 路由表的子网关联。

    下一步是将路由表与创建的 WAN 子网关联起来。

    • 从列表中选择 WAN 路由表。
    • 单击操作下拉列表。
    • 选择 编辑子网关联
    • 将 WAN 子网与托管 IP 192.168.101.0/24的路由表关联起来。

    创建路线表 11

    编辑子网关联

  4. 为 WAN 子网添加路由(通过 IGW 默认值)。

    下一步是添加到 WAN 的路由以访问互联网进行公共访问。

    • 选择 WAN 路由表。
    • 点击编辑路线。
    • 通过我们在步骤 2 中创建的 IGW 实例提供新的默认路由 0.0.0.0/0。
    • 保存路线。

    创建路线表 12

    编辑 route1

    编辑 route12

为 LAN 子网定义路由表

  1. 为 LAN 接口创建路由表

    • 单击 VPC 下的路由表。
    • 单击创建路由表。
    • 在步骤 1 中选择为 SD-WAN 创建的 VPC。
    • 单击 “ 创建”。

    创建路线表 13

  2. 将 LAN 路由表关联到 VPC。

    创建路线表 14

    创建路线表 15

  3. 编辑 LAN 路由表的子网关联。

    下一步是将路由表与创建的 LAN 子网关联起来。

    • 从列表中选择 WAN 路由表。
    • 单击操作下拉列表。
    • 选择 编辑子网关联
    • 将局域网子网与托管 IP 192.168.100.0/24 的路由表相关联。

    创建路线表 16

    创建路线表 17

外发布AMI 实例配备/部署

启动 AMI 实例(私有)

  1. 通过将共享的 AMI 上传到前哨站(如果尚未在市场中发布),选择私有 AMI。

    选择 AMI

  2. 选择正确的实例类型(VPXL — M5.2xLARGE)。

    选择实例类型

    • 配置实例详细信息,例如 VPC 网络,子网。
    • 选择在网络中为实例创建的 VPC。
    • 选择 MGMT 子网作为主接口。
    • 为自动分配公有 IP 选择 已启用
    • 在实例详细信息页面底部为管理界面提供自定义私有 IP。

    配置实例详情

  3. 选择默认存储。

    选择默认存储

  4. 添加相关标签,例如稍后搜索/索引。

    添加标签

  5. 定义实例的相关安全组。

    配置安全组

  6. Citrix SD-WAN 前哨实例的网络安全组摘要。

    摘要

  7. 通过 SSH 下载实例启动的密钥对以供以后使用。

    密钥对

  8. 启动实例的启动。

    启动

    启动状态

  9. 启动后,在 EX2 控制面板中验证实例状态及其运行状况检查。

    Instances1

    Instances2

    Instances3

创建LAN/WAN 网络接口和关联

LAN 网络接口

  1. 创建 LAN 网络接口。

    创建界面 1

  2. 将与 LAN 接口相关的子网关联起来。

    创建界面 2

  3. 关联自定义 LAN 私有 IP 192.168.100.5 并关联 NSG(网络安全组)。

    创建界面 3

WAN 网络接口

  1. 创建 WAN 网络接口。

    创建界面 4

  2. 将 WAN 子网关联到网络接口。

    创建界面 5

  3. 提供专用自定义 WAN IP 作为 192.168.101.5 并关联网络安全组。

    创建界面 6

更改LAN/WAN/管理界面上的源/DEST检查

禁用源/最终。Check 属性使接口能够处理不发往 EC2 实例的网络流量。由于 NetScaler SD-WAN AMI 充当网络流量的中间,因此源/最大数据流。必须禁用检查属性才能正确操作。

管理界面禁用SRC/DEST 检查

创建界面 7

创建界面 8

LAN 接口禁用 SRC/DEST 检查

创建界面 9

WAN 接口禁用 SRC/DEST 检查

创建界面 10

将 LAN/WAN 网络接口附加到前哨 Citrix SD-WAN

局域网接口协会

  1. 将 LAN 网络接口连接到 SD-WAN。

LAN 网络接口

附加网络接口

WAN 接口协会

  1. 将 WAN 网络接口连接到 SD-WAN。

WAN 接口 1

WAN 接口

注意

:按该顺序将管理、局域网和 WAN 附加到 SD-WAN AMI 中的 eth0、eth1、eth2。这与预配置的 AMI 的映射保持一致,并确保在 AMI 重新启动时不会错误地重新分配接口。

创建 ELASTIC IP 并将其关联到前哨 Citrix SD-WAN 的管理 MT 和 WAN 接口

管理 IP 弹性 IP

  1. 为 MGMT 接口分配新的 ELASTIC IP。

    弹性 IP1

    弹性 IP2

    弹性 IP3

  2. 将新创建的 ELASTIC IP 关联到管理界面。

    对于基于前哨的 Citrix SD-WAN 设备的 80/443 个以上的 SSH/UI 浏览,需要管理弹性 IP。这使管理变得更简单。

    我们将专门将弹性 IP 链接到管理网络接口,进一步特别是与管理子网关联的私有 IP,即 “192.168.102.11”。

    • 选择网络接口
    • 选择管理网络接口
    • 分配私有 IP 地址 “192.168.102.11”
    • 关联

    弹性 IP4

    弹性 IP5

WAN 接口弹性 IP

  1. 为 WAN 接口分配新的弹性 IP

    弹性 IP6

    弹性 IP7

  2. 将新创建的 ELASTIC IP 关联到 WAN 接口。

    需要 WAN 弹性 IP 才能在不同站点之间与基于前哨的 Citrix SD-WAN 设备进行叠加通信,并与外部世界建立 IP 连接。这将是我们将为 MCN 或分支机构提供的 WAN 链接的公共 IP。这个 IP 基本上是所有远程设备/对等体都知道的,以帮助建立覆盖控制/数据通道。 我们将特别将弹性 IP 链接到 WAN 网络接口,进一步特别是链接到与 WAN 子网关联的私有 IP,即 “192.168.102.11”。

    • 选择网络接口
    • 选择 WAN 网络接口
    • 分配私有 IP 地址 “192.168.101.5”

    弹性 IP8

    弹性 IP9

将 VPXL SD-WAN 虚拟机作为 MCN

访问/配置前哨 Citrix SD-WAN 作为 MCN

  1. 访问 MGMT 接口 IP。

    记下管理界面的弹性 IP,然后键入 https://<elastic_ip_mgmt_interface> 以访问 SD-WAN UI。

    管理 IP 登录屏幕

  2. 使用管理员凭据进行验证。

    用户名是 admin,密码是实例 ID(下面突出显示)

    凭据

  3. 将 Citrix SD-WAN 虚拟机的角色作为 MCN(主控制节点)

    一键开始 1

    一键开始 2

  4. 为 MCN(前哨 SD-WAN)添加新站点。

    添加网站

  5. 为 LAN 和 WAN 配置前哨虚拟机 (MCN) 网络接口组。

    配置前哨

  6. 为 LAN 和 WAN 配置前哨虚拟机 (MCN) 虚拟 IP 地址 (VIP)。

    配置 outpost2

  7. 配置前哨虚拟机 (MCN) WAN 链接。

    • 在 WAN 链接上下载/上传容量定义。

      配置 outpost3

      配置 Outpost4

    • 配置 WAN 链路的访问接口和网关 IP。

      配置 outpost5

Citrix SD-WAN 210 作为家庭用户分支 SD-WAN

将 210 Citrix SD-WAN 配置为分支

  1. 在客户端模式下将 210 站点添加为分支机构。

    添加站点 2

  2. 为 LAN 和 WAN 配置 210 家家庭办公分支机构网络接口组。

    添加站点 2

  3. 为 LAN 和 WAN 配置 210 个家庭办公分支机构虚拟 IP 地址 (VIP)。

    添加站点 3

  4. 配置 210 家庭办公分支机构 WAN 链接。

    • 在 WAN 链接上下载/上传容量定义。

      添加站点 4

    • 配置 WAN 链路的访问接口和网关 IP。

      添加站点 5

执行变更管理并将配置暂存到设备

添加站点 6

添加站点 7

激活配置

添加站点 8

验证虚拟路径的创建

在前哨 MCN 虚拟机

前哨 MCN 虚拟机

在 210 家庭分行

首页分行

首页分行 2

验证前哨虚拟机和 210 分支之间通过虚拟路径的流量。

  • 步骤 1 — 在 210 分行和前哨 MCN 之间启动 Ping
  • 步骤 2 — 在上传/下载方向上检查 210 和 MCN 虚拟机上的流量,并验证用于处理流量的 SIP、DIP、IP 协议和服务
  • 步骤 3 — 检查前哨 MCN 上的防火墙连接和 210 检查两个站点之间的 ICMP 流量
  • 验证在 210 分支机构和前哨 MCN 之间发起的 Ping 流量是否通过虚拟路径进行处理

    • 流量应将通过正确的服务类型指示为虚拟路径的流

      • 检查前哨 MCN 上的流程 — SIP、DIP、IP 协议应该匹配,包括服务作为虚拟路径
      • 检查流程中的路径以获取使用的最佳路径 — 应该是可用路径列表中的最佳路径之一
    • 检查 210 分支机构上的流程-SIP、DIP、IP 协议应该匹配,包括服务作为虚拟路径

      • 检查流程中的路径以获取使用的最佳路径 — 应该是可用路径列表中的最佳路径之一
    • 检查防火墙以检查连接

      • 检查前哨 MCN 上的防火墙应将与应用程序的连接信息作为 ICMP 作为响应。应分别具有 SIP-SPORT (MCN)、DIP-DPORT (210),包括源服务和 Dest 服务作为本地和虚拟路径
      • 检查 210 分支上的防火墙应将与应用程序的连接信息作为 ICMP 进行请求。应分别使用 SIP-SPORT (210)、DIP-DPORT (MCN),包括源服务和 Dest 服务作为本地和虚拟路径

从笔记本电脑端启动 PING 至 192.168.100.5(前哨 SD-WAN 的局域网侧 VIP)

  • 命令 — ping 192.168.100.5
  • 启动笔记本电脑的来源 IP 地址 —192.168.5.160
  • 由于分支上安装了路由表,并且安装了 192.168.100.0/24 作为可通过 VP 访问的前缀,此流量旨在遍历虚拟路径

从笔记本电脑端启动 PING 至 192.168.100.5(SD-WAN 的局域网端 VIP)

验证流量是否在 MCN(前哨虚拟机)和 210 分支中看到 LAN 到 WAN 和 WAN 到 LAN 的方向条目

在 210 家庭分行上验证流量

在家庭分行

局域网到 WAN(从分支机构到 MCN)

  • 来源知识产权 — 192.168.5.160
  • 知识产权-192.168.100.5
  • 原型/IPP — ICMP

WAN 到局域网(从 MCN 到分支机构)

  • Dest IP — 192.168.5.160
  • 来源知识产权 — 192.168.100.5
  • 原型/IPP — ICMP

流

  • 验证使用的服务是虚拟路径,服务名称是在 MCN(前哨虚拟机)到分支 210 之间

  • 另外检查路径将显示通过虚拟路径的 ICMP 流量的当前最佳路径(它是 210 上的 WL1 到 MCN 端唯一现有链路)

注意:

在下面快照的 “路径” 列中检查当前路径。

监视

在 MCN(前哨虚拟机)上进行验证

在 MCN 前哨虚拟机侧

WAN 到局域网(从分支机构到 MCN)

  • 来源知识产权 — 192.168.5.160
  • 知识产权 -192.168.100.5
  • 原型/IPP — ICMP

局域网到 WAN(从 MCN 到分支机构)

  • Dest IP — 192.168.5.160
  • 来源知识产权 — 192.168.100.5
  • 原型/IPP — ICMP

Monitoring1

  • 验证使用的服务是虚拟路径,服务名称是在 MCN(前哨虚拟机)到分支 210 之间

  • 另外检查路径将显示通过虚拟路径的 ICMP 流量的当前最佳路径(它是 210 上的 WL1 到 MCN 端唯一现有链路)

验证 MCN 上的防火墙详细信息(前哨虚拟机)

以下详细信息已在 MCN(前哨虚拟机)上验证流程

  • 应用程序 — ICMP
  • 源服务 — 虚拟路径(来自分支机构的流量通过副总裁来自分支机构)
  • 目标服务 — IPHOST(因为我们正在 ping SD-WAN 的 IP 并且针对设备)
  • 州-成立

有关支持策略的信息,请参阅 支持和服务

Monitoring2

验证 210 家庭分支上的防火墙详细

以下详细信息已在 210 分支端验证流程。

  • 应用程序 — ICMP
  • 源服务 — 本地(从 210 分支机构后面的主机启动)
  • 目标服务 — 虚拟路径(因为我们正在 ping 到 SD-WAN 的 IP,并且针对设备并通过虚拟路径传输)
  • 州-成立

有关支持策略的信息请参阅 支持和服务 Monitoring3