Citrix SD-WAN Center

Verwenden von Citrix SD-WAN zum Herstellen einer Verbindung mit Microsoft Azure Virtual WAN

Damit lokale Geräte eine Verbindung mit Azure herstellen können, ist ein Controller erforderlich. Ein Controller erfasst Azure-APIs, um Standortkonnektivität mit dem Azure-WAN und einem Hub herzustellen.

Microsoft Azure Virtual WAN enthält die folgenden Komponenten und Ressourcen:

  • WAN: Stellt das gesamte Netzwerk in Microsoft Azure dar. Es enthält Links zu allen Hubs, die Sie in diesem WAN haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei Hubs in verschiedenen WANs enthalten.

  • Site: Stellt Ihr lokales VPN-Gerät und seine Einstellungen dar. Eine Site kann sich mit mehreren Hubs verbinden. Mit Citrix SD-WAN können Sie über eine integrierte Lösung verfügen, um diese Informationen automatisch in Azure zu exportieren.

  • Hub: Stellt den Kern Ihres Netzwerks in einer bestimmten Region dar. Der Hub enthält verschiedene Service-Endpunkte, um Konnektivität und andere Lösungen für Ihr lokales Netzwerk zu ermöglichen. Standort-zu-Site-Verbindungen werden zwischen den Sites zu einem Hubs-VPN-Endpunkt hergestellt.

  • Virtuelle Hub-Netzwerkverbindung: Hub-Netzwerk verbindet den Azure Virtual WAN Hub nahtlos mit Ihrem virtuellen Netzwerk. Derzeit ist eine Konnektivität zu virtuellen Netzwerken verfügbar, die sich innerhalb derselben Virtual Hub-Region befinden.

  • Zweig: Die Zweigstellen sind die lokalen Citrix SD-WAN-Appliances, die in Kundenstandorten vorhanden sind. Ein SD-WAN-Controller verwaltet die Zweige zentral. Die Verbindung stammt von hinter diesen Zweigen und endet in Azure. Der SD-WAN-Controller ist dafür verantwortlich, die erforderliche Konfiguration auf diese Zweige und auf Azure Hubs anzuwenden.

In der folgenden Abbildung werden die Virtual WAN-Komponenten beschrieben:

lokalisiertes Bild

Wie funktioniert Microsoft Azure Virtual WAN?

  1. Das SD-WAN-Center wird mithilfe von Dienstprinzipal, Prinzipal oder rollenbasierten Zugriffsfunktionen authentifiziert, die in der Azure-Benutzeroberfläche aktiviert ist.

  2. Das SD-WAN-Center ruft die Azure-Konnektivitätskonfiguration ab und aktualisiert das lokale Gerät. Dies automatisiert den Download, die Bearbeitung und Aktualisierung des On-Premise-Geräts.

  3. Nachdem das Gerät über die richtige Azure-Konfiguration verfügt, wird eine Standort-zu-Standort-Verbindung (zwei aktive IPSec-Tunnel) mit dem Azure-WAN hergestellt. Azure erfordert den Zweiggeräteconnector, um IKEv2-Einstellungen zu unterstützen. Die BGP-Konfiguration ist optional.

    Hinweis: IPSec-Parameter für die Einrichtung von IPSec-Tunneln sind standardisiert.

    IPSec-Eigenschaft Parameter
    Ike Verschlüsselungsalgorithmus AES-256
    Ike Integritätsalgorithmus SHA 256
    Dh Gruppe DH2
    IPsec-Verschlüsselungsalgorithmus GCM AES 256
    IPSec-Integritätsalgorithmus GCM AES 256
    PFS Gruppe Ohne

Azure Virtual WAN automatisiert die Konnektivität zwischen dem virtuellen Netzwerk der Arbeitslast und dem Hub. Wenn Sie eine virtuelle Hubnetzwerkverbindung erstellen, wird die entsprechende Konfiguration zwischen dem bereitgestellten Hub und dem virtuellen Netzwerk (VNET) der Arbeitslasten festgelegt.

Voraussetzungen und Anforderungen

Lesen Sie die folgenden Anforderungen, bevor Sie mit der Konfiguration von Azure und SD-WAN zum Verwalten von Zweigsites, die eine Verbindung zu Azure-Hubs herstellen, fortfahren.

  1. Azure-Abonnement für Virtual WAN auf die Positivliste gesetzt haben.
  2. Sie verfügen über eine On-Premise-Appliance, z. B. eine SD-WAN-Appliance, um IPSec in Azure-Ressourcen einzurichten.
  3. Haben Sie Internet-Links mit öffentlichen IP-Adressen. Obwohl eine einzelne Internetverbindung ausreicht, um eine Verbindung mit Azure herzustellen, benötigen Sie zwei IPSec-Tunnel, um dieselbe WAN-Verbindung zu verwenden.
  4. SD-WAN-Controller: Ein Controller ist die Schnittstelle, die für die Konfiguration von SD-WAN-Appliances für die Verbindung mit Azure zuständig ist.
  5. Ein VNET in Azure mit mindestens einer Arbeitslast. Zum Beispiel eine VM, die einen Dienst hostet. Berücksichtigen Sie die folgenden Punkte:
    1. Das virtuelle Netzwerk sollte nicht über ein Azure VPN- oder Express Route-Gateway oder eine virtuelle Netzwerk-Appliance verfügen.
    2. Das virtuelle Netzwerk sollte keine benutzerdefinierte Route haben, die den Datenverkehr zu einem virtuellen WAN-Netzwerk für die Arbeitslast leitet, auf die vom lokalen Zweig zugegriffen wird.
    3. Die entsprechenden Berechtigungen für den Zugriff auf die Arbeitslast müssen konfiguriert werden. Zum Beispiel Port 22 SSH-Zugriff für eine Ubuntu-VM.

Das folgende Diagramm veranschaulicht ein Netzwerk mit zwei Standorten und zwei virtuellen Netzwerken in Microsoft Azure.

lokalisiertes Bild

Microsoft Azure Virtual WAN einrichten

Damit lokale SD-WAN-Zweige eine Verbindung zu Azure herstellen und über IPSec-Tunnel auf die Ressourcen zugreifen können, sollten die folgenden Schritte ausgeführt werden.

  1. Konfigurieren von WAN-Ressourcen.
  2. Aktivieren von SD-WAN-Zweigen für die Verbindung mit Azure mithilfe von IPSec-Tunneln.

Konfigurieren Sie Azure-Netzwerk, bevor Sie das SD-WAN-Netzwerk konfigurieren, da die für die Verbindung mit SD-WAN-Appliances erforderlichen Azure-Ressourcen vorher verfügbar sein müssen. Sie können jedoch die SD-WAN-Konfiguration konfigurieren, bevor Sie Azure-Ressourcen konfigurieren. In diesem Thema wird das Einrichten des Azure Virtual WAN-Netzwerks vor der Konfiguration von SD-WAN-Appliances erläutert. https://microsoft.com azure virtual-wan

Erstellen einer WAN-Ressource

So verwenden Sie Virtual WAN-Funktionen und verbinden Sie die lokale Zweigstellenappliance mit Azure:

  1. Navigieren Sie zu Azure Virtual WAN. Melden Sie sich bei Microsoft Azure an und wählen Sie WAN erstellenaus.

    lokalisiertes Bild

  2. Geben Sie einen Namen für das WAN ein und wählen Sie das Abonnement aus, das Sie für das WAN verwenden möchten. lokalisiertes Bild

  3. Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue Ressourcengruppe. Ressourcengruppen sind logische Konstrukte und der Datenaustausch über Ressourcengruppen hinweg ist immer möglich.
  4. Wählen Sie den Speicherort aus, an dem sich die Ressourcengruppe befinden soll. WAN ist eine globale Ressource, die keinen Standort hat. Sie müssen jedoch einen Speicherort für die Ressourcengruppe eingeben, der Metadaten für die WAN-Ressource enthält.

  5. Klicken Sie auf Erstellen. Dadurch wird der Prozess zum Überprüfen und Bereitstellen der Einstellungen gestartet.

Site erstellen

Sie können eine Site über einen bevorzugten Anbieter erstellen. Der bevorzugte Anbieter sendet die Informationen zu Ihrem Gerät und Ihrer Site an Azure oder Sie können entscheiden, das Gerät selbst zu verwalten. Wenn Sie das Gerät verwalten möchten, müssen Sie die Site in Azure Portal erstellen.

SD-WAN-Netzwerk und Microsoft Azure Virtual WAN-Workflow

Konfigurieren der SD-WAN-Appliance:

  1. Bereitstellen einer Citrix SD-WAN-Appliance
    • Verbinden Sie die SD-WAN-Zweigeinheit mit der MCN-Appliance.
  2. Konfigurieren der SD-WAN-Appliance
    • Konfigurieren Sie die Intranetdienste für die Active-Active Verbindung.

Konfigurieren Sie das SD-WAN-Center:

  • Konfigurieren Sie SD-WAN Center für die Verbindung mit Microsoft Azure.

Konfigurieren von Azure-Einstellungen:

  • Geben Sie Mandanten-ID, Client-ID, Secure Key, Subscriber-ID und Ressourcengruppe an.

Konfigurieren Sie den Zweigstandort zu WAN-Zuordnung:

  1. Ordnen Sie einer Zweigstelle eine WAN-Ressource zu. Der gleiche Standort kann nicht mit mehreren WANs verbunden werden.
  2. Klicken Sie auf Neu, um Site-WAN-Zuordnung zu konfigurieren.
  3. Wählen Sie Azure WAN-Ressourcenaus.
  4. Wählen Sie Dienste (Intranet) für die Site aus. Wählen Sie zwei Dienste für Active-Standby-Unterstützung aus.
  5. Wählen Sie Sitenamen aus, die den WAN-Ressourcen zugeordnet werden sollen.
  6. Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen.
  7. Warten Sie, bis der Status in Tunnel bereitgestellt geändert wurde, um die IPsec-Tunneleinstellungen anzuzeigen.
  8. Verwenden Sie die Ansicht SD-WAN Center Reporting, um den Status der jeweiligen IPSec-Tunnel zu überprüfen.

Konfigurieren des Citrix SD-WAN-Netzwerks

MCN:

Das MCN dient als Verteilungspunkt für die anfängliche Systemkonfiguration und nachfolgende Konfigurationsänderungen. In einem virtuellen WAN kann nur ein aktives MCN vorhanden sein.Standard@@ mäßig haben Appliances die vorab zugewiesene Rolle des Clients. Um eine Appliance als MCN einzurichten, müssen Sie zuerst die Site als MCN hinzufügen und konfigurieren. Die Benutzeroberfläche für die Netzwerkkonfiguration wird verfügbar, nachdem ein Standort als MCN konfiguriert wurde. Upgrades und Konfigurationsänderungen müssen nur über das MCN- oder SD-WAN-Center durchgeführt werden.

Rolle von MCN:

Der MCN ist der zentrale Knoten, der als Controller eines SD-WAN-Netzwerks fungiert, und der zentrale Verwaltungspunkt für die Client-Knoten. Alle Konfigurationsaktivitäten sowie die Vorbereitung von Firmware-Paketen und deren Verteilung an die Clients werden auf dem MCN konfiguriert. Darüber hinaus sind Überwachungsinformationen nur auf dem MCN verfügbar. Das MCN kann das gesamte SD-WAN-Netzwerk überwachen, während Client-Knoten nur die lokalen Intranets und einige Informationen für diese Clients überwachen können, mit denen sie verbunden sind. Der Hauptzweck des MCN besteht darin, Overlay-Verbindungen (virtuelle Pfade) mit einem oder mehreren Client-Knoten im SD-WAN-Netzwerk für die Unternehmens-Standort-zu-Standort-Kommunikation herzustellen. Ein MCN kann virtuelle Pfade zu mehreren Client-Knoten verwalten und haben. Es kann mehr als ein MCN geben, aber nur eine kann zu einem bestimmten Zeitpunkt aktiv sein. Die folgende Abbildung veranschaulicht das grundlegende Diagramm der MCN- und Client- (Zweigknoten) -Appliances für ein kleines Netzwerk von zwei Standorten.

lokalisiertes Bild

Konfigurieren der SD-WAN-Appliance als MCN

Um das MCN hinzuzufügen und zu konfigurieren, müssen Sie sich zuerst bei der Management-Webschnittstelle auf der Appliance anmelden, die Sie als MCN festlegen, und die Management-Webschnittstelle in den MCN-Konsolenmodus wechseln. Der MCN-Konsolenmodus ermöglicht den Zugriff auf den Konfigurationseditor im Management-Webinterface, mit dem Sie gerade verbunden sind. Anschließend können Sie den Konfigurationseditor verwenden, um die MCN-Site hinzuzufügen und zu konfigurieren.

Gehen Sie folgendermaßen vor, um das Management-Webinterface in den MCN-Konsolenmodus zu wechseln:

  1. Melden Sie sich bei der SD-WAN-Management-Weboberfläche der Appliance an, die Sie als MCN konfigurieren möchten.
  2. Klicken Sie in der Hauptmenüleiste des Hauptbildschirms Management Web Interface auf Konfiguration (blaue Leiste oben auf der Seite).
  3. Öffnen Sie in der Navigationsstruktur (linker Bereich) den Zweig Einheiteneinstellungen, und klicken Sie auf Administratorschnittstelle.
  4. Wählen Sie die Registerkarte Sonstiges. Die Seite mit den verschiedenen administrativen Einstellungen wird geöffnet.

    lokalisiertes Bild

    Am unteren Rand der Registerkarte Verschiedenes befindet sich der Abschnitt Switch to [Client, MCN] Console. Dieser Abschnitt enthält die Schaltfläche Konsole wechseln, um zwischen den Konsolenmodi der Appliance umzuschalten.

Die Abschnittsüberschrift zeigt den aktuellen Konsolenmodus wie folgt an:

  • Im Clientkonsolenmodus (Standard) ist die Abschnittsüberschrift Zur MCN-Konsole wechseln.
  • Im MCN-Konsolenmodus lautet die Abschnittsüberschrift Zur Client-Konsole wechseln.

Standardmäßig befindet sich eine neue Appliance im Client-Konsolenmodus. Im MCN-Konsolenmodus wird die Ansicht des Konfigurationseditors in der Navigationsstruktur aktiviert. Der Konfigurationseditor ist nur auf der MCN-Appliance verfügbar.

MCN konfigurieren

Gehen Sie folgendermaßen vor, um die MCN-Appliance-Site hinzuzufügen und mit der Konfiguration zu beginnen:

  1. Navigieren Sie in der SD-WAN-Appliance-GUI zu Virtual WAN > Konfigurationseditor.

    lokalisiertes Bild

  2. Klicken Sie in der Siteleiste auf + Sites, um mit dem Hinzufügen und Konfigurieren der MCN-Site zu beginnen. Das Dialogfeld Site hinzufügen wird angezeigt.

    lokalisiertes Bild

  3. Geben Sie einen Standortnamen ein, mit dem Sie den geografischen Standort und die Rolle der Appliance (DC/Secondary DC) bestimmen können. Wählen Sie das richtige Einheitenmodell aus. Die Auswahl der richtigen Appliance ist entscheidend, da sich die Hardwareplattformen hinsichtlich Rechenleistung und Lizenzierung voneinander unterscheiden. Da wir diese Appliance als primäre Head-End-Appliance konfigurieren, wählen Sie den Modus als primäre MCN und klicken Sie auf Hinzufügen.

  4. Dadurch wird die neue Site zur Site-Struktur hinzugefügt, und die Standardansicht zeigt die Konfigurationsseite für grundlegende Einstellungen, wie unten dargestellt:

    lokalisiertes Bild

  5. Geben Sie die grundlegenden Einstellungen wie Standort, Standortname ein.

  6. Konfigurieren Sie die Appliance so, dass sie Datenverkehr vom Internet/MPLS/Breitband akzeptieren kann. Definieren Sie die Schnittstellen, auf denen die Links beendet werden. Dies hängt davon ab, ob sich die Appliance im Overlay- oder Unterlagermodus befindet.
  7. Klicken Sie auf Interface-Gruppen, um die Schnittstellen zu definieren.

    lokalisiertes Bild

  8. Klicken Sie auf +, um virtuelle Schnittstellengruppen hinzuzufügen. Dadurch wird eine neue virtuelle Schnittstellengruppe hinzugefügt. Die Anzahl der virtuellen Schnittstellen hängt von den Links ab, die von der Appliance verarbeitet werden sollen. Die Anzahl der Verknüpfungen, die eine Appliance verarbeiten kann, variiert von Einheitenmodell zu Modell, und die maximale Anzahl von Links kann bis zu acht sein.

    lokalisiertes Bild

  9. Klicken Sie auf + rechts neben virtuellen Schnittstellen, um den Bildschirm wie unten gezeigt anzuzeigen.

    lokalisiertes Bild

  10. Wählen Sie die Ethernet-Schnittstellenaus, die den Teil dieser virtuellen Schnittstelle bilden. Abhängig vom Plattformmodell verfügen Appliances über ein vorkonfiguriertes Paar Fail-to-Wire-Schnittstellen. Wenn Sie Fail-to-Wire für Appliances aktivieren möchten, stellen Sie sicher, dass Sie das richtige Schnittstellenpaar auswählen, und stellen Sie sicher, dass Sie in der Spalte Bypass-Modus die Option Fail-to-Wire wählen.
  11. Wählen Sie die Sicherheitsstufe aus der Dropdownliste aus. Der vertrauenswürdige Modus wird gewählt, wenn die Schnittstelle MPLS-Links bereitstellt und Nicht vertrauenswürdig gewählt wird, wenn Internetlinks auf den jeweiligen Schnittstellen verwendet werden.
  12. Klicken Sie auf + rechts neben der Bezeichnung “virtuelle Schnittstellen”. Hier werden Name, Firewallzone und VLAN-IDs angezeigt. Geben Sie den Namen und die VLAN-ID für diese virtuelle Schnittstellengruppe ein. VLAN-ID dient zum Identifizieren und Markieren von Datenverkehr zu und von der virtuellen Schnittstelle, verwenden Sie 0 (Null) für native/nicht getaggte Datenverkehr.

    lokalisiertes Bild

  13. Um die Schnittstellen in Fail-to-wire zu konfigurieren, klicken Sie auf Bridge-Paare. Dies fügt ein neues Bridge-Paar hinzu und ermöglicht die Bearbeitung. Klicken Sie auf Übernehmen, um diese Einstellungen zu bestätigen.
  14. Um weitere virtuelle Schnittstellengruppen hinzuzufügen, klicken Sie rechts neben dem Zweig der Schnittstellengruppen auf + und fahren Sie wie oben fort.
  15. Nachdem die Schnittstellen ausgewählt wurden, besteht der nächste Schritt darin, IP-Adressen auf diesen Schnittstellen zu konfigurieren. In der Citrix SD-WAN-Terminologie wird dies als VIP (Virtual IP) bezeichnet.
  16. Fahren Sie in der Site-Ansicht fort und klicken Sie auf die virtuelle IP-Adresse, um die Schnittstellen für die Konfiguration von VIP anzuzeigen.

    lokalisiertes Bild

  17. Geben Sie die IP-Adresse/Präfix-Informationen ein, und wählen Sie die Virtuelle Schnittstelle aus, mit der die Adresse verknüpft ist. Die virtuelle IP-Adresse muss die vollständige Hostadresse und die Netzmaske enthalten. Wählen Sie die gewünschten Einstellungen für die virtuelle IP-Adresse aus, z. B. die Firewallzone, Identität, Privat und Sicherheit. Klicken Sie auf Apply. Dadurch werden die Adressinformationen zur Site hinzugefügt und in die Tabelle Virtuelle IP-Adressen des Standorts aufgenommen. Um weitere virtuelle IP-Adressen hinzuzufügen, klicken Sie rechts neben den Virtuellen IP-Adressen auf +, und fahren Sie wie oben beschrieben fort.

  18. Fahren Sie im Abschnitt Standorte fort, um WAN-Links für die Site zu konfigurieren.

    lokalisiertes Bild

  19. Klicken Sie auf Link hinzufügen, oben im Bedienfeld auf der rechten Seite. Dadurch wird ein Dialogfeld geöffnet, in dem Sie den zu konfigurierenden Linktyp auswählen können.

    lokalisiertes Bild

  20. Öffentliches Internet ist für Internet/Breitband/DSL/ADSL -Links, während private MPLS für MPLS-Links ist. Private Intranet ist auch für MPLS-Links. Der Unterschied zwischen privaten MPLS und privaten Intranet-Links besteht darin, dass private MPLS die QoS-Richtlinien von MPLS-Links beibehalten kann.
  21. Wenn Sie das öffentliche Internet auswählen und die IPs über DHCP zugewiesen werden, wählen Sie die Option IP automatisch erkennen.
  22. Wählen Sie auf der Konfigurationsseite der WAN-Link-Konfiguration die Option Access Interfaces aus. Dadurch wird die Ansicht Access Interfaces für die Site geöffnet. Fügen Sie die VIP- und Gateway-IP für jeden der Links hinzu und konfigurieren Sie sie wie unten gezeigt.

    lokalisiertes Bild

  23. Klicken Sie auf +, um eine Schnittstelle hinzuzufügen. Dadurch wird der Tabelle ein leerer Eintrag hinzugefügt und zur Bearbeitung geöffnet.

  24. Geben Sie den Namen ein, den Sie dieser Schnittstelle zuweisen möchten. Sie können den Namen basierend auf dem Linktyp und dem Speicherort wählen. Halten Sie die Routingdomäne als Standard bei, wenn Sie keine Netzwerke trennen und der Schnittstelle eine IP zuweisen möchten.
  25. Stellen Sie sicher, dass Sie eine öffentlich zugängliche Gateway-IP-Adresse angeben, wenn es sich bei dem Link um eine Internetverbindung oder eine private IP-Adresse handelt, wenn es sich um eine MPLS-Verbindung handelt. Behalten Sie den virtuellen Pfadmodus als primär, da Sie diesen Link benötigen, um einen virtuellen Pfad zu bilden.

    Hinweis: Aktivieren Sie Proxy ARP, wenn die Appliance auf ARP-Anfragen für die Gateway-IP-Adresse antwortet, wenn das Gateway nicht erreichbar ist.

  26. Klicken Sie auf Übernehmen, um die Konfiguration der WAN-Link abzuschließen. Wenn Sie weitere WAN-Links konfigurieren möchten, wiederholen Sie die Schritte für einen anderen Link.
  27. Konfigurieren Sie Routen für die Site. Klicken Sie auf Verbindungsansicht und wählen Sie Routen aus.
  28. Klicken Sie auf +, um Routen hinzuzufügen, öffnet dies ein Dialogfeld, wie unten gezeigt.

    lokalisiertes Bild

  29. Geben Sie die folgenden Informationen für die neue Route zur Verfügung stehen:

    • Netzwerk-IP-Adresse
    • Kosten — Die Kosten bestimmen, welche Route Vorrang vor der anderen hat. Pfade mit niedrigeren Kosten haben Vorrang vor höheren Kosten Routen. Der Standardwert ist fünf.
    • Diensttyp — Wählen Sie den Dienst aus, ein Dienst kann einer der folgenden sein:
      • Virtueller Pfad
      • Intranet
      • Internet
      • Passthrough
      • Lokal
      • GRE Tunnel
      • LAN IPsec-Tunnel
  30. Klicken Sie auf Apply.

Um weitere Routen für die Site hinzuzufügen, klicken Sie auf + rechts neben dem Streckenzweig und fahren Sie wie oben beschrieben fort. Weitere Informationen finden Sie unter MCN konfigurieren.

Konfigurieren des virtuellen Pfads zwischen MCN und Zweigstandorten

Stellen Sie die Konnektivität zwischen dem MCN und dem Zweigknoten her. Sie können dies tun, indem Sie einen virtuellen Pfad zwischen diesen beiden Sites konfigurieren. Navigieren Sie in der Konfigurationsstruktur des Konfigurationseditors zur Registerkarte Verbindungen.

  1. Klicken Sie im Konfigurationsabschnitt auf die Registerkarte Verbindungen. Daraufhin wird der Abschnitt Verbindungen der Konfigurationsstruktur angezeigt.
  2. Wählen Sie auf der Abschnittseite Verbindungen das Dropdownmenü MCN aus Ansicht Site aus.

    lokalisiertes Bild

  3. Wählen Sie unter der Registerkarte Verbindungen den virtuellen Pfad aus, um einen virtuellen Pfad zwischen den MCN- und Zweigstandorten zu erstellen.

    lokalisiertes Bild

  4. Klicken Sie im Abschnitt “ Virtuellen Pfad hinzufügen “ neben dem Namen des statischen virtuellen Pfads auf Virtuellen Pfad. Dies öffnet sich ein Dialogfeld, wie unten gezeigt. Wählen Sie den Zweig aus, für den der virtuelle Pfad konfiguriert werden soll. Sie müssen dies unter der Bezeichnung Remote-Site konfigurieren. Wählen Sie den Zweigknoten aus dieser Dropdownliste, und klicken Sie auf das Kontrollkästchen Auch rückwärts.

    lokalisiertes Bild

    Verkehrsklassifizierung und Steuerung werden auf beiden Seiten des virtuellen Pfades gespiegelt. Nachdem dies abgeschlossen ist, wählen Sie Pfade aus dem Dropdownmenü unter dem Label namens Abschnitt wie unten gezeigt.

    lokalisiertes Bild

  5. Klicken Sie über der Pfadtabelle auf + Hinzufügen, in der das Dialogfeld Pfad hinzufügen angezeigt wird. Geben Sie die Endpunkte an, in denen der virtuelle Pfad konfiguriert werden muss. Klicken Sie nun auf Hinzufügen, um den Pfad zu erstellen, und klicken Sie auf das Kontrollkästchen Umkehren.

    Hinweis: Citrix SD-WAN misst die Verbindungsqualität in beide Richtungen. Dies bedeutet, dass Punkt A zu Punkt B ein Pfad ist und Punkt B zu Punkt A ein anderer Pfad ist. Mit Hilfe der unidirektionalen Messung der Verbindungsbedingungen kann das SD-WAN die beste Route wählen, um den Verkehr zu senden. Dies unterscheidet sich von Messgrößen wie RTT, bei denen es sich um eine bidirektionale Metrik zur Messung der Latenz handelt. Beispielsweise wird eine Verbindung zwischen Punkt A und Punkt B als zwei Pfade angezeigt, und für jeden von ihnen werden die Verbindungsleistungsmetriken unabhängig berechnet.

Diese Einstellung reicht aus, um die virtuellen Pfade zwischen dem MCN und dem Zweig nach oben zu bringen, weitere Konfigurationsoptionen sind ebenfalls verfügbar. Weitere Informationen finden Sie unter Konfigurieren des virtuellen Pfaddiensts zwischen MCN und Client-Sites.

MCN-Konfiguration bereitstellen

Der nächste Schritt besteht darin, die Konfiguration bereitzustellen. Hierbei handelt es sich um die folgenden zwei Schritte:

  1. Exportieren Sie das SD-WAN-Konfigurationspaket in Change Management.

    • Bevor Sie die Appliance-Pakete generieren können, müssen Sie zuerst das fertige Konfigurationspaket aus dem Konfigurationseditor in den globalen Change Management- Staging-Posteingang auf dem MCN exportieren. Weitere Informationen finden Sie in den Schritten im Abschnitt,Änderungsverwaltung durchführen.
  2. Generieren und Stage der Appliance-Pakete.

    • Nachdem Sie das neue Konfigurationspaket zum Change Management-Posteingang hinzugefügt haben, können Sie die Appliance-Pakete auf den Zweigstandorten generieren und bereitstellen. Dazu verwenden Sie den Änderungsverwaltungs-Assistenten in der Management-Weboberfläche auf dem MCN. Weitere Informationen finden Sie in den Schritten im Abschnitt,Stage Appliance-Pakete.

Konfigurieren von Intranetdiensten für die Verbindung mit Azure WAN-Ressourcen

  1. Wechseln Sie in der SD-WAN-Appliance-GUI zum Konfigurationseditorund navigieren Sie zur Kachel Verbindungen. Klicken Sie auf + Dienst hinzufügen, um einen Intranetdienst für diese Site hinzuzufügen. lokalisiertes Bild

  2. In den Grundeinstellungen für den Intranetdienst gibt es mehrere Möglichkeiten, wie sich der Intranetdienst während der Nichtverfügbarkeit von WAN-Verbindungen verhalten soll.

    • Primäre Rückforderung aktivieren — Aktivieren Sie dieses Kontrollkästchen, wenn der ausgewählte primäre Link nach dem Failover übernommen werden soll. Wenn Sie diese Option jedoch nicht aktivieren, wird der sekundäre Link weiterhin Verkehr senden.
    • WAN-Link-Status ignorieren — Wenn diese Option aktiviert ist, verwenden Pakete, die für diesen Intranetdienst bestimmt sind, diesen Dienst auch dann weiterhin, wenn die konstituierenden WAN-Verbindungen nicht verfügbar sind. lokalisiertes Bild
  3. Nach der Konfiguration der Grundeinstellungen besteht der nächste Schritt darin, die konstituierenden WAN-Links für diesen Dienst auszuwählen. Maximal zwei Links werden für einen Intranetdienst ausgewählt. Um die WAN-Links auszuwählen, wählen Sie bitte die Option WAN-Links aus dem Dropdownmenü mit der Bezeichnung Abschnitt. Die WAN-Links funktionieren im primären und sekundären Modus und nur eine Verbindung wird als primäre WAN-Verbindung ausgewählt.

    Hinweis: Wenn ein zweiter Intranetdienst erstellt wird, muss er über die primäre und sekundäre WAN-Link-Zuordnung verfügen.

    lokalisiertes Bild

  4. Zweigstandortspezifische Regeln sind verfügbar, die die Anpassung der einzelnen Zweigstandorts ermöglichen, alle allgemeinen Einstellungen, die im globalen Standardsatz konfiguriert sind, eindeutig außer Kraft zu setzen. Modi umfassen die gewünschte Zustellung über eine bestimmte WAN-Verbindung oder als Override-Dienst, der die Durchleitung oder das Verwerfen des gefilterten Datenverkehrs ermöglicht. Wenn beispielsweise Traffic vorhanden ist, den Sie nicht über den Intranetdienst übertragen möchten, können Sie eine Regel schreiben, um diesen Datenverkehr zu verwerfen oder ihn über einen anderen Dienst (Internet oder Durchlauf) zu senden.

    lokalisiertes Bild

  5. Wenn der Intranetdienst für einen Standort aktiviert ist, wird die Provisioning- Kachel zur Verfügung gestellt, um die bidirektionale (LAN zu WAN / WAN zu LAN) Verteilung der Bandbreite für eine WAN-Verbindung auf die verschiedenen Dienste zu ermöglichen, die die WAN-Verbindung verwenden. Im Abschnitt “ Dienste “ können Sie die Bandbreitenzuweisung weiter optimieren. Darüber hinaus kann Fair Share aktiviert werden, so dass Services ihre minimale reservierte Bandbreite erhalten können, bevor eine faire Verteilung erfolgt.

    lokalisiertes Bild

SD-WAN Center konfigurieren

Das folgende Diagramm beschreibt den Workflow auf hoher Ebene der SD-WAN Center und Azure Virtual WAN-Verbindung und die entsprechenden Zustandstransistionen der Bereitstellung.

lokalisiertes Bild

Konfigurieren von Azure-Einstellungen:

  • Geben Sie Azure-Mandanten-ID, Anwendungs-ID, geheimer Schlüssel und Abonnement-ID (auch als Dienstprinzipal bezeichnet) an.

Konfigurieren Sie den Zweigstandort zu WAN-Zuordnung:

  • Ordnen Sie einer WAN-Ressource einen Zweigstandort zu. Der gleiche Standort kann nicht mit mehreren WANs verbunden werden.
  • Klicken Sie auf Neu, um Site-WAN-Zuordnung zu konfigurieren.
  • Wählen Sie Azure WAN-Ressourcen aus.
  • Wählen Sie Sitenamen aus, die den WAN-Ressourcen zugeordnet werden sollen.
  • Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen. Die WAN-Verbindungen, die für die Tunnelbereitstellung verwendet werden sollen, werden automatisch mit den für die optimale Verbindungskapazität aufgefüllt.
  • Warten Sie, bis der Status in “Tunnel bereitgestellt” geändert wurde, um die IPSec-Tunneleinstellungen anzuzeigen.
  • Verwenden Sie die Ansicht SD-WAN Center Reporting, um den Status der jeweiligen IPSec-Tunnel zu überprüfen. Der IPSec-Tunnelstatus sollte GRÜN sein, damit der Datenverkehr fließt, der besagt, dass die Verbindung aktiv ist.

Bereitstellen von SD-WAN-Center:

SD-WAN-Center ist das Management- und Reporting-Tool für Citrix SD-WAN. Die erforderliche Konfiguration für Virtual WAN wird im SD-WAN Center durchgeführt. SD-WAN-Center ist nur als virtueller Formfaktor (VPX) verfügbar und muss auf einem VMware ESXi oder einem XenServer-Hypervisor installiert werden. Für die Konfiguration einer SD-WAN-Center-Appliance sind mindestens 8 GB RAM und 4 CPU-Kerne erforderlich. Hier sind die Schritte zum Installieren und Konfigurieren einer SD-WAN-Center-VM.

Konfigurieren von SD-WAN Center für Azure-Konnektivität

Weitere Informationen finden Sie unter einen Dienstprinzipal erstellen.

Um SD-WAN-Center mit Azure erfolgreich zu authentifizieren, sollten die folgenden Parameter verfügbar sein:

  • Verzeichnis (Mandanten-ID)
  • Anwendung (Client-ID)
  • Sicherer Schlüssel (Client Secret)
  • Teilnehmer-ID

Authentifizieren des SD-WAN-Centers:

Navigieren Sie in der Benutzeroberfläche des SD-WAN Centers zu Konfiguration > Cloud-Konnektivität > Azure > Virtual WAN. Konfigurieren Sie Azure-Verbindungseinstellungen. Weitere Informationen zum Konfigurieren der Azure VPN-Verbindung finden Sie unter dem folgenden Link Azure Resource Manager.

lokalisiertes Bild

Geben Sie die Abonnement-ID, die Mandanten-ID, die Anwendungs-ID und den sicheren Schlüssel ein. Dieser Schritt ist erforderlich, um SD-WAN-Center mit Azure zu authentifizieren. Wenn die oben eingegebenen Anmeldeinformationen nicht korrekt sind, schlägt die Authentifizierung fehl und weitere Aktionen sind nicht zulässig. Klicken Sie auf Apply.

lokalisiertes Bild

Das Feld Speicherkonto bezieht sich auf das Speicherkonto, das Sie in Azure erstellt haben. Wenn Sie kein Speicherkonto erstellt haben, wird automatisch ein neues Speicherkonto in Ihrem Abonnement erstellt, wenn Sie auf Übernehmenklicken.

Erhalten Sie Azure Virtual WAN-Ressourcen:

Nach erfolgreicher Authentifizierung fragt Citrix SD-WAN Azure ab, um eine Liste der Azure Virtual WAN-Ressourcen zu erhalten, die Sie im ersten Schritt nach der Anmeldung beim Azure-Portal erstellt haben. Die WAN-Ressourcen stellen Ihr gesamtes Netzwerk in Azure dar. Es enthält Links zu allen Hubs, die Sie in diesem WAN haben möchten. WANs sind voneinander isoliert und können keinen gemeinsamen Hub oder Verbindungen zwischen zwei verschiedenen Hubs in verschiedenen WAN-Ressourcen enthalten.

lokalisiertes Bild

So ordnen Sie Zweigstandorte und Azure WAN-Ressourcen zu:

Ein Zweigstandort muss Azure WAN-Ressourcen zugeordnet werden, um IPSec-Tunnel einzurichten. Ein Zweig kann mit mehreren Hubs innerhalb einer Azure Virtual WAN-Ressource verbunden werden, und eine Azure Virtual WAN-Ressource kann mit mehreren Standorten vor Ort verbunden werden. Erstellen Sie einzelne Zeilen für jeden Zweig der Azure Virtual WAN-Ressourcenbereitstellung.

So fügen Sie mehrere Sites hinzu:

Sie können auswählen, dass alle entsprechenden Sites hinzugefügt und mit den ausgewählten einzelnen WAN-Ressourcen verknüpft werden sollen.

  1. Klicken Sie auf Mehrere hinzufügen, um alle Sites hinzuzufügen, die den ausgewählten WAN-Ressourcen zugeordnet werden müssen.

    lokalisiertes Bild

  2. Die Dropdownliste für Azure WAN-Ressourcen (siehe unten) enthält die Ressourcen, die zu Ihrem Azure-Konto gehören. Wenn keine WAN-Ressourcen erstellt wurden, ist diese Liste leer, und Sie müssen zum Azure-Portal navigieren, um die Ressourcen zu erstellen. Wenn die Liste mit WAN-Ressourcen gefüllt ist, wählen Sie die Azure-WAN-Ressource aus, mit der die Zweigstandorte verbunden werden sollen.

  3. Wählen Sie einen oder alle Zweigstandorte aus, um den Prozess der IPSec-Tunneleinrichtung zu initiieren. Die beste Kapazität der Sites Public Internet Wanlinks werden automatisch ausgewählt, um die IPsec-Tunnel zu den Azure VPN-Gateways einzurichten.

    lokalisiertes Bild

So fügen Sie eine einzelne Site hinzu:

Sie können auch festlegen, dass Sites einzeln (einzeln) hinzugefügt werden und wenn Ihr Netzwerk wächst, oder wenn Sie eine Standort-für-Standort-Bereitstellung durchführen, können Sie mehrere Standorte hinzufügen, wie oben beschrieben.

  1. Klicken Sie auf Neuen Eintrag hinzufügen, um einen Site-Namen für die Site-Wan-Zuordnung auszuwählen. Fügen Sie Sites im Dialogfeld Sites zu Azure-Netzwerk konfigurieren hinzu.

    lokalisiertes Bild

    lokalisiertes Bild

  2. Wählen Sie den Zweigstandort aus, der für das Azure Virtual WAN-Netzwerk konfiguriert werden soll.

  3. Wählen Sie den WAN-Link aus, der mit der Site verknüpft ist (die Links des öffentlichen Internettyps werden in der Reihenfolge der besten physischen Verknüpfungskapazität aufgeführt).

  4. Wählen Sie die WAN-Ressource aus, der die Site zugeordnet werden muss, aus dem Dropdown-Menü Virtual WANs von Azure aus.

  5. Klicken Sie auf Bereitstellen, um die Zuordnung zu bestätigen. Der Status (“Init Site Information” “Pushed Site Information” & “Warten auf VPN-Konfiguration”) wird aktualisiert, um Sie über den Prozess zu informieren.

Der Bereitstellungsprozess umfasst den folgenden Status:

  • Push-Site-Informationen
  • Warten auf VPN-Konfiguration
  • Bereitgestellte Tunnel
  • Verbindung aktiv (IPSec-Tunnel ist hochgefahren) oder Verbindung heruntergefahren (IPSec-Tunnel ist heruntergefahren)

    lokalisiertes Bild

Zuordnungen von Standort-Wan-Ressourcenzuordnungen (Azure-Portal):

Ordnen Sie die bereitgestellten Sites im Azure-Portal den virtuellen Hubs zu, die unter der Azure Virtual WAN-Ressource erstellt wurden. Einem Zweigstandort können ein oder mehrere virtuelle Hubs zugeordnet werden. Jeder virtuelle Hub wird in einer bestimmten Region erstellt, und bestimmte Arbeitslasten können den virtuellen Hubs zugeordnet werden, indem virtuelle Netzwerkverbindungen erstellt werden. Erst nachdem die Zuordnung von Branch Site zu Virtual Hub erfolgreich ist, werden die VPN-Konfigurationen heruntergeladen und entsprechende IPSec-Tunnel von der Site zu VPN-Gateways eingerichtet.

Warten Sie, bis der Status in Tunnel Deployed oder Connection Active geändert wurde, um die IPSec-Tunneleinstellungen anzuzeigen. Zeigen Sie IPSec-Einstellungen an, die den ausgewählten Diensten zugeordnet sind.

lokalisiertes Bild

lokalisiertes Bild

SD-WAN Azure-Einstellungen:

  • Deaktivieren des SD-WAN-Änderungsmanagements — Standardmäßig wird der Change Management-Prozess automatisiert. Das bedeutet, dass SD-WAN Center jederzeit eine neue Konfiguration in der Azure Virtual WAN-Infrastruktur verfügbar ist, diese abruft und automatisch auf Zweige angewendet wird. Dieses Verhalten wird jedoch gesteuert, wenn Sie steuern möchten, wann eine Konfiguration auf Zweige angewendet werden muss. Ein Vorteil der Deaktivierung des automatischen Änderungsmanagements besteht darin, dass die Konfiguration für diese Funktion und andere SD-WAN-Funktionen unabhängig voneinander verwaltet wird.

  • SDWAN-Polling deaktivieren— Deaktiviert alle neuen SD-WAN Azure-Bereitstellungen und Abfragen in vorhandenen Bereitstellungen.

  • Polling-Intervall - Die Option Polling-Intervall steuert das Intervall der Suche nach Konfigurationsupdates in Azure Virtual WAN-Infrastruktur. Die empfohlene Zeit für das Abfrageintervall beträgt 1 Stunde.

  • Verbindung zwischen Zweig und Zweig deaktivieren — Deaktiviert die Kommunikation zwischen Zweig und Zweig über Azure Virtual WAN-Infrastruktur. Standardmäßig ist diese Option deaktiviert. Sobald Sie dies aktivieren, bedeutet dies, dass On-Prem-Zweige miteinander und die Ressourcen hinter den Zweigen über IPsec über Virtual WAN Infra von Azure kommunizieren können. Dies hat keine Auswirkung auf die Branch-to-Branch-Kommunikation über den virtuellen SD-WAN-Pfad, Zweige können miteinander und ihre jeweiligen Ressourcen/Endpunkte über den virtuellen Pfad kommunizieren, selbst wenn diese Option deaktiviert ist.

  • BGP deaktivieren — Dies deaktiviert BGP over IP, standardmäßig ist es deaktiviert. Nach der Aktivierung werden die Standortrouten über BGP angekündigt.

  • Debug-Ebene — Ermöglicht das Erfassen von Protokollen, um bei Verbindungsproblemen zu debuggen.

lokalisiertes Bild

WAN-Ressourcen aktualisieren:

Klicken Sie auf das Symbol Aktualisieren, um die neuesten WAN-Ressourcen abzurufen, die Sie im Azure-Portal aktualisiert haben. Nach Abschluss des Aktualisierungsvorgangs wird eine Meldung “erfolgreich aktualisierte WAN-Ressourcen” angezeigt.

lokalisiertes Bild

Standort-WAN-Ressourcenzuordnung entfernen

Wählen Sie eine oder mehrere Zuordnungen aus, um das Löschen durchzuführen. Intern wird der Änderungsverwaltungsprozess der SD-WAN-Appliance ausgelöst, und bis er erfolgreich ist, ist die Option Löschen deaktiviert, um zu verhindern, dass weitere Löschungen durchgeführt werden. Zum Löschen der Zuordnung müssen Sie die Zuordnung der entsprechenden Sites im Azure-Portal aufheben oder löschen. Der Benutzer muss diesen Vorgang manuell ausführen.

Lokalisiertes Bild

Überwachung von IPSec-Tunneln

Navigieren Sie in der Benutzeroberfläche des SD-WAN Centers zu Reporting > IPsec, um den Status von IPSec-Tunneln zu überprüfen. Der Tunnelstatus sollte GRÜN sein, damit der Datenverkehr fließen kann.

Lokalisiertes Bild

Verwenden von Citrix SD-WAN zum Herstellen einer Verbindung mit Microsoft Azure Virtual WAN