在 AWS 前哨部署 Citrix SD-WAN
AWS Outposts 是一项完全托管的服务,它为几乎任何数据中心、托管空间或本地设施提供 AWS 基础设施、AWS 服务、API 和工具,以实现一致的混合云体验。AWS 服务(如计算、存储、数据库和其他服务)在前哨本地运行,您可以访问 该地区 提供的 全套 AWS 服务 来构建、管理和 扩展 本地应 用程序使用熟悉的 AWS 服务和工具。
在 AWS 产品中添加 AWS 前哨后,Citrix SD-WAN 客户现在可以 使用 Citrix SD-WAN 的混合云 解决方案 轻松将 AWS Outposts 实例连接 到其 现有 WAN 基础设施。通过此 集成,客户 将能 够使用 Citrix SD-WAN 管理工具管理 从分支机构 到 AWS 云和前哨的 SD-WAN 连接。
- Citrix SD-WAN VPX 的 BYOL 许可证
- VPX 的最低存储 空间 为 40 GB,VP X-L 配置的最低存储空间至少 为 200 GB
- m5 和 c5 实例的可用性
- 几个弹 性 IP (分别用于 WAN 接口和 管理接口)
注意
您可以选择不通过公有 IP 托管管理接口。
解决方案验证/网络架构
以下是在 AWS Outposts 中配置 SD-WAN 设备的分步配置指南。
必备条件
- 登录前哨 AWS 账户。
- 可以从 AWS 前哨的市场访问 Citrix SD-WAN AMI。
注意:
配置指南中提供的 AWS Outpost 控制台的所有快照都是使用 AWS 启动的新控制台完成的,如果选择了旧版 UI,则可能看起来不完全一样。
在前哨上为 Citrix SD-WAN 设备创建 VPC(VPXL 类型)
- 为 AWS 前哨 VPC 提供 CIDR 块。对于此配置,我们使用 192.168.100.0/22 的 CIDR。
- 将所有其他属性保留为默认值。
-
根据需要提供标签名称,以便将来从实例列表中标识设备。
- 验证是否已创建 VPC,且 IPv4 CIDR 详细信息已更新,并为创建的资源获取 VPC ID。
-
状态应该是 关联的。
-
VPC 创建完成后,VPC 列表应在 VPC AWS 前哨服务的 “ 您 的 VPC” 部分中显示使用 CIDR 详细信息创建的新 VPC。
创建互联网网关并与 VPC 关联(WAN 的互联网访问和 SD-WAN 的管理接口)
互联网网关是为 SD-WAN VPC 创建的,以确保我们通过 Internet 具有管理连接,也是为了使 SD-WAN 设备的 WAN 链接能够在 Internet 上形成虚拟路径(由于 Azure 实例托管 Internet 链接)
-
我们使用 VPC AWS Outpost 服务的 “互联网网关” 部分为 VPC 创建单个 Internet 网关实例。
-
单击 创建互联网网关。
为 VPC 创建互联网网关
-
互联网网关只是一个资源创建,没有什么特别的可供配置。如果需要,请确保配置名称标签和相关资源标签,以便将来在列表中的 IGW 中搜索资源。
-
单击 创建互联网网关。
创建互联网网关后,将互联网网关联到我们刚创建的特定 VPC。
-
单击 IGW 资源,然后在操作字段中 选择附加到 VPC。
- 单击附加到 VPC 后,选择我们在步骤 1 中为 SD-WAN 创建的 VPC。
- 单击可用 VPC 的下拉列表,然后选择创建的 SD-WAN VPC。
- 单击 附加互联网网关。
将 VPC 关联到互联网网关联
为 Citrix SD-WAN VPXL 设备创建局域网、广域网和 MGMT 子网
SD-WAN 独立设备通常托管 3 个接口。
- 管理接口
- 局域网接口
- WAN 接口
接口的关联顺序也很重要,关联的第一个接口是管理接口,然后是局域网,然后是 WAN 子网。
管理子网
- 单击 VPC 下的子网
- 点击创建子网
- 在子网创建窗口中,选择步骤 1 中为 SD-WAN 创建的 VPC 并关联。
- 选择您选择的任何可用区。
- 为管理接口提供 VPC CIDR 中的子网前缀。
- 对于本配置指南,管理界面将配置 192.168.102.0/24。
- 单击 “创建”。
LAN 子网
- 在子网创建窗口中,选择步骤 1 中为 SD-WAN 创建的 VPC 并关联。
- 选择您选择的任何可用区。
- 为 LAN 接口提供来自 VPC CIDR 的子网前缀。
- 对于本配置指南,局域网接口将配置 192.168.100.0/24。
-
单击创建。
WAN 子网
- 在子网创建窗口中,选择步骤 1 中为 SD-WAN 创建的 VPC 并关联。
- 选择您选择的任何可用区。
- 为 LAN 接口提供来自 VPC CIDR 的子网前缀。
- 对于本配置指南,WAN 接口将配置 192.168.101.0/24。
-
单击创建。
定义LAN/WAN/MGMT 子网的路由表
路由表有助于表示每个子网的路由,我们需要为管理和 WAN 表创建路由表,以便通过配置 Internet Gateway 来配置 Internet 访问和其他相关路由。
管理子网路由表
- 单击 VPC 下的路由表。
- 单击创建路由表。
- 在步骤 1 中选择为 SD-WAN 创建的 VPC。
- 单击创建。
-
创建管理路由表。
-
将 VPC 关联到管理路由表。
下一步是将路由表与创建的管理子网关联起来。
- 从列表中选择管理路由表。
- 单击操作下拉列表。
- 选择 编辑子网关联。
- 将管理子网与托管 IP 192.168.102.0/24的路由表相关联。
-
编辑管理路由表的子网关联。
-
添加管理子网的路由(通过 IGW 默认)。
下一步是向管理层添加到互联网以进行公共访问的路线。
- 选择管理路由表。
- 点击编辑路线。
- 通过我们在步骤 2 中创建的 IGW 实例提供新的默认路由 0.0.0.0/0。
- 保存路线。
为 WAN 子网定义路由表
-
为 WAN 接口创建路由表
- 单击 VPC 下的路由表。
- 单击创建路由表。
- 在步骤 1 中选择为 SD-WAN 创建的 VPC。
- 单击 “ 创建”。
-
将 VPC 关联到 WAN 路由表。
-
编辑 WAN 路由表的子网关联。
下一步是将路由表与创建的 WAN 子网关联起来。
- 从列表中选择 WAN 路由表。
- 单击操作下拉列表。
- 选择 编辑子网关联。
- 将 WAN 子网与托管 IP 192.168.101.0/24的路由表关联起来。
-
为 WAN 子网添加路由(通过 IGW 默认值)。
下一步是添加到 WAN 的路由以访问互联网进行公共访问。
- 选择 WAN 路由表。
- 点击编辑路线。
- 通过我们在步骤 2 中创建的 IGW 实例提供新的默认路由 0.0.0.0/0。
- 保存路线。
为 LAN 子网定义路由表
-
为 LAN 接口创建路由表
- 单击 VPC 下的路由表。
- 单击创建路由表。
- 在步骤 1 中选择为 SD-WAN 创建的 VPC。
- 单击 “ 创建”。
-
将 LAN 路由表关联到 VPC。
-
编辑 LAN 路由表的子网关联。
下一步是将路由表与创建的 LAN 子网关联起来。
- 从列表中选择 WAN 路由表。
- 单击操作下拉列表。
- 选择 编辑子网关联。
- 将局域网子网与托管 IP 192.168.100.0/24 的路由表相关联。
外发布AMI 实例配备/部署
启动 AMI 实例(私有)
-
通过将共享的 AMI 上传到前哨站(如果尚未在市场中发布),选择私有 AMI。
-
选择正确的实例类型(VPXL — M5.2xLARGE)。
- 配置实例详细信息,例如 VPC 网络,子网。
- 选择在网络中为实例创建的 VPC。
- 选择 MGMT 子网作为主接口。
- 为自动分配公有 IP 选择 已启用 。
- 在实例详细信息页面底部为管理界面提供自定义私有 IP。
-
选择默认存储。
-
添加相关标签,例如稍后搜索/索引。
-
定义实例的相关安全组。
-
Citrix SD-WAN 前哨实例的网络安全组摘要。
-
通过 SSH 下载实例启动的密钥对以供以后使用。
-
启动实例的启动。
-
启动后,在 EX2 控制面板中验证实例状态及其运行状况检查。
创建LAN/WAN 网络接口和关联
LAN 网络接口
-
创建 LAN 网络接口。
-
将与 LAN 接口相关的子网关联起来。
-
关联自定义 LAN 私有 IP 192.168.100.5 并关联 NSG(网络安全组)。
WAN 网络接口
-
创建 WAN 网络接口。
-
将 WAN 子网关联到网络接口。
-
提供专用自定义 WAN IP 作为 192.168.101.5 并关联网络安全组。
更改LAN/WAN/管理界面上的源/DEST检查
禁用源/最终。Check 属性使接口能够处理不发往 EC2 实例的网络流量。由于 NetScaler SD-WAN AMI 充当网络流量的中间,因此源/最大数据流。必须禁用检查属性才能正确操作。
管理界面禁用SRC/DEST 检查
LAN 接口禁用 SRC/DEST 检查
WAN 接口禁用 SRC/DEST 检查
将 LAN/WAN 网络接口附加到前哨 Citrix SD-WAN
局域网接口协会
- 将 LAN 网络接口连接到 SD-WAN。
WAN 接口协会
- 将 WAN 网络接口连接到 SD-WAN。
注意
:按该顺序将管理、局域网和 WAN 附加到 SD-WAN AMI 中的 eth0、eth1、eth2。这与预配置的 AMI 的映射保持一致,并确保在 AMI 重新启动时不会错误地重新分配接口。
创建 ELASTIC IP 并将其关联到前哨 Citrix SD-WAN 的管理 MT 和 WAN 接口
管理 IP 弹性 IP
-
为 MGMT 接口分配新的 ELASTIC IP。
-
将新创建的 ELASTIC IP 关联到管理界面。
对于基于前哨的 Citrix SD-WAN 设备的 80/443 个以上的 SSH/UI 浏览,需要管理弹性 IP。这使管理变得更简单。
我们将专门将弹性 IP 链接到管理网络接口,进一步特别是与管理子网关联的私有 IP,即 “192.168.102.11”。
- 选择网络接口
- 选择管理网络接口
- 分配私有 IP 地址 “192.168.102.11”
- 关联
WAN 接口弹性 IP
-
为 WAN 接口分配新的弹性 IP
-
将新创建的 ELASTIC IP 关联到 WAN 接口。
需要 WAN 弹性 IP 才能在不同站点之间与基于前哨的 Citrix SD-WAN 设备进行叠加通信,并与外部世界建立 IP 连接。这将是我们将为 MCN 或分支机构提供的 WAN 链接的公共 IP。这个 IP 基本上是所有远程设备/对等体都知道的,以帮助建立覆盖控制/数据通道。 我们将特别将弹性 IP 链接到 WAN 网络接口,进一步特别是链接到与 WAN 子网关联的私有 IP,即 “192.168.102.11”。
- 选择网络接口
- 选择 WAN 网络接口
- 分配私有 IP 地址 “192.168.101.5”
将 VPXL SD-WAN 虚拟机作为 MCN
访问/配置前哨 Citrix SD-WAN 作为 MCN
-
访问 MGMT 接口 IP。
记下管理界面的弹性 IP,然后键入
https://<elastic_ip_mgmt_interface>以访问 SD-WAN UI。
-
使用管理员凭据进行验证。
用户名是 admin,密码是实例 ID(下面突出显示)
-
将 Citrix SD-WAN 虚拟机的角色作为 MCN(主控制节点)
-
为 MCN(前哨 SD-WAN)添加新站点。
-
为 LAN 和 WAN 配置前哨虚拟机 (MCN) 网络接口组。
-
为 LAN 和 WAN 配置前哨虚拟机 (MCN) 虚拟 IP 地址 (VIP)。
-
配置前哨虚拟机 (MCN) WAN 链接。
-
在 WAN 链接上下载/上传容量定义。
-
配置 WAN 链路的访问接口和网关 IP。
-
Citrix SD-WAN 210 作为家庭用户分支 SD-WAN
将 210 Citrix SD-WAN 配置为分支
-
在客户端模式下将 210 站点添加为分支机构。
-
为 LAN 和 WAN 配置 210 家家庭办公分支机构网络接口组。
-
为 LAN 和 WAN 配置 210 个家庭办公分支机构虚拟 IP 地址 (VIP)。
-
配置 210 家庭办公分支机构 WAN 链接。
-
在 WAN 链接上下载/上传容量定义。
-
配置 WAN 链路的访问接口和网关 IP。
-
执行变更管理并将配置暂存到设备
激活配置
验证虚拟路径的创建
在前哨 MCN 虚拟机
在 210 家庭分行
验证前哨虚拟机和 210 分支之间通过虚拟路径的流量。
- 步骤 1 — 在 210 分行和前哨 MCN 之间启动 Ping
- 步骤 2 — 在上传/下载方向上检查 210 和 MCN 虚拟机上的流量,并验证用于处理流量的 SIP、DIP、IP 协议和服务
- 步骤 3 — 检查前哨 MCN 上的防火墙连接和 210 检查两个站点之间的 ICMP 流量
-
验证在 210 分支机构和前哨 MCN 之间发起的 Ping 流量是否通过虚拟路径进行处理
-
流量应将通过正确的服务类型指示为虚拟路径的流
- 检查前哨 MCN 上的流程 — SIP、DIP、IP 协议应该匹配,包括服务作为虚拟路径
- 检查流程中的路径以获取使用的最佳路径 — 应该是可用路径列表中的最佳路径之一
-
检查 210 分支机构上的流程-SIP、DIP、IP 协议应该匹配,包括服务作为虚拟路径
- 检查流程中的路径以获取使用的最佳路径 — 应该是可用路径列表中的最佳路径之一
-
检查防火墙以检查连接
- 检查前哨 MCN 上的防火墙应将与应用程序的连接信息作为 ICMP 作为响应。应分别具有 SIP-SPORT (MCN)、DIP-DPORT (210),包括源服务和 Dest 服务作为本地和虚拟路径
- 源
- 检查 210 分支上的防火墙应将与应用程序的连接信息作为 ICMP 进行请求。应分别使用 SIP-SPORT (210)、DIP-DPORT (MCN),包括源服务和 Dest 服务作为本地和虚拟路径
-
从笔记本电脑端启动 PING 至 192.168.100.5(前哨 SD-WAN 的局域网侧 VIP)
- 命令 — ping 192.168.100.5
- 启动笔记本电脑的来源 IP 地址 —192.168.5.160
- 由于分支上安装了路由表,并且安装了 192.168.100.0/24 作为可通过 VP 访问的前缀,此流量旨在遍历虚拟路径
从笔记本电脑端启动 PING 至 192.168.100.5(SD-WAN 的局域网端 VIP)
验证流量是否在 MCN(前哨虚拟机)和 210 分支中看到 LAN 到 WAN 和 WAN 到 LAN 的方向条目
在 210 家庭分行上验证流量
在家庭分行
局域网到 WAN(从分支机构到 MCN)
- 来源知识产权 — 192.168.5.160
- 知识产权-192.168.100.5
- 原型/IPP — ICMP
WAN 到局域网(从 MCN 到分支机构)
- Dest IP — 192.168.5.160
- 来源知识产权 — 192.168.100.5
- 原型/IPP — ICMP
-
验证使用的服务是虚拟路径,服务名称是在 MCN(前哨虚拟机)到分支 210 之间
-
另外检查路径将显示通过虚拟路径的 ICMP 流量的当前最佳路径(它是 210 上的 WL1 到 MCN 端唯一现有链路)
注意:
在下面快照的 “路径” 列中检查当前路径。
在 MCN(前哨虚拟机)上进行验证
在 MCN 前哨虚拟机侧
WAN 到局域网(从分支机构到 MCN)
- 来源知识产权 — 192.168.5.160
- 知识产权 -192.168.100.5
- 原型/IPP — ICMP
局域网到 WAN(从 MCN 到分支机构)
- Dest IP — 192.168.5.160
- 来源知识产权 — 192.168.100.5
- 原型/IPP — ICMP
-
验证使用的服务是虚拟路径,服务名称是在 MCN(前哨虚拟机)到分支 210 之间
-
另外检查路径将显示通过虚拟路径的 ICMP 流量的当前最佳路径(它是 210 上的 WL1 到 MCN 端唯一现有链路)
验证 MCN 上的防火墙详细信息(前哨虚拟机)
以下详细信息已在 MCN(前哨虚拟机)上验证流程
- 应用程序 — ICMP
- 源服务 — 虚拟路径(来自分支机构的流量通过副总裁来自分支机构)
- 目标服务 — IPHOST(因为我们正在 ping SD-WAN 的 IP 并且针对设备)
- 州-成立
有关支持策略的信息,请参阅 支持和服务
验证 210 家庭分支上的防火墙详细
以下详细信息已在 210 分支端验证流程。
- 应用程序 — ICMP
- 源服务 — 本地(从 210 分支机构后面的主机启动)
- 目标服务 — 虚拟路径(因为我们正在 ping 到 SD-WAN 的 IP,并且针对设备并通过虚拟路径传输)
- 州-成立
有关支持策略的信息请参阅 支持和服务
在本文中
- 解决方案验证/网络架构
- 在前哨上为 Citrix SD-WAN 设备创建 VPC(VPXL 类型)
- 创建互联网网关并与 VPC 关联(WAN 的互联网访问和 SD-WAN 的管理接口)
- 为 Citrix SD-WAN VPXL 设备创建局域网、广域网和 MGMT 子网
- 定义LAN/WAN/MGMT 子网的路由表
- 为 WAN 子网定义路由表
- 为 LAN 子网定义路由表
- 外发布AMI 实例配备/部署
- 创建LAN/WAN 网络接口和关联
- 更改LAN/WAN/管理界面上的源/DEST检查
- 将 LAN/WAN 网络接口附加到前哨 Citrix SD-WAN
- 创建 ELASTIC IP 并将其关联到前哨 Citrix SD-WAN 的管理 MT 和 WAN 接口
- 将 VPXL SD-WAN 虚拟机作为 MCN
- Citrix SD-WAN 210 作为家庭用户分支 SD-WAN
- 执行变更管理并将配置暂存到设备
- 激活配置
- 验证虚拟路径的创建
- 从笔记本电脑端启动 PING 至 192.168.100.5(前哨 SD-WAN 的局域网侧 VIP)
- 从笔记本电脑端启动 PING 至 192.168.100.5(SD-WAN 的局域网端 VIP)
- 在 210 家庭分行上验证流量
- 在 MCN(前哨虚拟机)上进行验证
- 验证 210 家庭分支上的防火墙详细