Citrix SD-WAN Orchestrator

Citrix SD-WAN-Integration mit AWS Transit Gateway Connect

Citrix SD-WAN-Integration mit AWS Transit Gateway Connect

Citrix SD-WAN unterstützt die Integration mit AWS Transit Gateway Connect, um ein konsistentes, leistungsstarkes und sicheres Overlay-Netzwerk für Zweigstellen- und Home-Office-Benutzer für den Zugriff auf Cloud-Anwendungen bereitzustellen.

MitAWS Transit Gateway können Sie Gateways erstellen und verwalten, um Ihre Amazon Virtual Private Cloud (Amazon VPC) -Bereitstellungen und on-premises Netzwerke zu verbinden.

AWS Transit Gateway Connect integriert Citrix SD-WAN und AWS Transit Gateway und vereinfacht den Aufbau und die Verwaltung globaler privater Netzwerke.

Service AWS Transit Gateway

Mit AWS Transit Gateway Connect können Sie einen Connect-Anhang erstellen, der den Connect-Peer (GRE-Tunnel) zwischen Citrix SD-WAN VPX und AWS Transit Gateway einrichtet. Der Connect-Anhang unterstützt das Generic Routing Encapsulation (GRE) -Tunnelprotokoll für hohe Leistung und das Border Gateway Protocol (BGP) für dynamisches Routing.

Jeder Connect-Peer auf dem Connect-Anhang unterstützt eine maximale Bandbreite von 5 Gbit/s. Um einen höheren Durchsatz zu erzielen, können Sie weitere Connect-Peers hinzufügen und bis zu 20 Gbit/s pro Connect-Anhang skalieren (maximal 4 GRE-Tunnel pro Connect-Anhang). Wenn mehr als 20 Gbit/s aggregierte Bandbreite benötigt wird, können Sie horizontal skalieren, indem Sie mehr Connect-Anhänge erstellen.

AWS Transit Gateway Connect-Anhang

Sie können die Konnektivität zwischen Citrix SD-WAN und Transit Gateway Connect mithilfe des integrierten Workflows in Citrix SD-WAN Orchestrator einrichten.

Voraussetzungen

  • AWS-Konto (AWS-Abonnement-ID, geheimer Zugriffsschlüssel und Zugriffsschlüssel-ID) mit erforderlichen Berechtigungen zum Erstellen der folgenden Ressourcen:
    • VPC-Anhang und Transit Gateway Connect-Anhang
    • CIDR-Block für Transit Gateway
    • Peer auf der Connect-Anlage verbinden
    • Route in der dem LAN-Subnetz zugeordneten Routing-Tabelle der Site.
  • Eine Citrix SD-WAN VPX-Site, die im Citrix SD-WAN Orchestrator Service konfiguriert ist. Stellen Sie sicher, dass Sie dieselbe AWS-Subnetz-CIDR konfigurieren, die mit der LAN-Schnittstelle verknüpft ist, wie die IPv4-Adresse auf der virtuellen Schnittstelle der LAN-Schnittstelle.
  • Transit Gateway bereitgestellt. Falls noch nicht bereitgestellt, können Sie ein Transit Gateway über die AWS Management Consoleerstellen.
  • Verwenden Sie keine reservierten AWS-BGP-CIDR-Blöcke in der AWS-Standortkonfiguration, da diese CIDR-Blöcke als Tunnel-IP/Präfix zum Erstellen eines LAN GRE-Tunnels verwendet werden. Für reservierte AWS-Blöcke siehe Connected Peers.
  • Die ausgewählte AWS-Region muss über AWS Transit Gateway Connect-Unterstützung verfügen. Die Unterstützung von AWS Transit Gateway Connect ist nur in den AWS-Regionen verfügbar, die unter Anforderungen und Überlegungenaufgeführt sind.
  • Das GRE-Protokoll muss in der Sicherheitsgruppe zugelassen sein, die dem AWS-LAN-Subnetz der Site zugeordnet ist.

Konfiguration

Navigieren Sie auf Kundenebene zu Konfiguration > Bereitstellungskanäle > Lieferservices. Wählen Sie im Abschnitt SaaS- und Cloud-On-Ramp-Services die Kachel AWS Transit Gateway aus. Die Seite AWS Transit Gateway wird angezeigt.

Sie können auch unterKonfiguration > SaaS & Cloud On Ramp > AWS Transit Gateway zur Seite AWS Transit Gatewaynavigieren.

Servicebereitstellungsservice für AWS Transit Gateway

Klicken Sie in der oberen rechten Ecke der Seite auf den Link Authentifizierung .

Servicebereitstellungsservice für AWS Transit Gateway

Geben Sie die AWS-Abonnement-ID, den geheimen AWS-Zugriffsschlüsselund die AWS-Zugriffsschlüssel-ID ein.

Abonnementdetails für AWS Transit Gateway

Wählen Sie eine Site aus, die in der VPC bereitgestellt wird, in der Sie die Transit Gateway Connect-Anlage bereitstellen möchten.

Hinweis:

Es werden nur die in AWS bereitgestellten Sites aufgeführt.

Basierend auf der ausgewählten Site werden die AWS-Region und die VPC-ID automatisch ausgefüllt.

Konfiguration von AWS Transit Gateway Connect

  • Transit-Gateway-ID: Ein Netzwerk-Transit-Hub, der Anlagen (VPCs und VPNs) miteinander verbindet.
  • Verbindungsanhang-ID: Eine eindeutige Kennung für den Transit Gateway Connect-Anhang. Mit einem Connect Attachment können Sie mithilfe von GRE und BGP eine Verbindung zwischen einem Transit Gateway und Geräten von Drittanbietern herstellen. Sie können entweder eine vorhandene Connect-Attachment-ID auswählen oder nach Bedarf eine ID erstellen.
  • Subnetz-ID: Das AWS-Subnetz-CIDR, in dem die SD-WAN VPX-LAN-Schnittstelle vorhanden ist.

Klicken Sie auf + Peer verbinden um Transit Gateway Connect Peer zu erstellen Ein Transit Gateway Connect Peer erstellt einen GRE-Tunnel zwischen dem Citrix SD-WAN VPX in einer AWS-Region und dem Transit Gateway. Der GRE-Tunnel wird erstellt, indem die IP-Adressen des Transit Gateway CIDR-Blocks und die LAN-IP-Adresse von SD-WAN VPX ausgewählt werden.

  • Transit Gateway GRE CIDR Block: Die IP-Adressen, die zum Aufbau des GRE-Tunnels verwendet werden. Sie können entweder einen vorhandenen CIDR-Block auswählen oder einen neuen erstellen, indem Sie das Kontrollkästchen Create Transit Gateway GRE CIDR Block aktivieren.
  • Peer GRE Tunnel IP verbinden: Die Peer-IP-Adresse des GRE-Tunnels auf der Transit Gateway
  • Peer-Adresse: Die LAN-IP-Adresse von Citrix SD-WAN VPX.
  • BGP Inside CIDR Block: Der Bereich der internen IPv4-Adressen, die für das BGP-Peering verwendet werden. Geben Sie einen /29 CIDR-Block aus dem Bereich 169.254.0.0/16 an.
  • BGP Peer ASN: Die Border Gateway Protocol (BGP) Autonomous System Number (ASN) der Citrix SD-WAN VPX. Sie können eine bestehende ASN verwenden, die Ihrem Netzwerk zugewiesen ist. Wenn Sie noch keine haben, können Sie eine private ASN im Bereich 64512—65534 verwenden.

Hinweis

  • AWS legt bestimmte Einschränkungen für Transit Gateway CIDR Block und BGP Inside CIDR fest. Weitere Informationen zu den Einschränkungen finden Sie unter Transit Gateway CIDR Block und BGP Inside CIDR.
  • Wenn Connect Peer GRE-Tunnel-IP nicht angegeben ist, weist AWS die IP-Adresse automatisch zu, indem eine der IP-Adressen aus dem konfigurierten Transit Gateway CIDR-Block ausgewählt wird. Wenn Sie eine bestimmte IP-Adresse angeben möchten, stellen Sie sicher, dass sie sich im CIDR-Blockbereich von Transit Gateway befindet.

Klicke auf Fertig und dann auf Speichern.

Klicken Sie in der Spalte Aktion auf Bereitstellen . Der Bereitstellungsvorgang dauert ungefähr 5 Minuten und Sie können den Status anzeigen, indem Sie auf die Schaltfläche Aktualisieren klicken.

Hinweis

  • Der Name des automatisch erstellten LAN GRE-Tunnels hat das folgende Format:
AWS_TGW_Connect-Tunnel-<number>

<number> is the number of GRE tunnels auto-created for the site, incremented by one. 
  • Die Identität ist für alle vorhandenen virtuellen IP-Adressen der virtuellen LAN-Schnittstelle deaktiviert, die im Connect Peer konfiguriert ist und nur für die neu hinzugefügte virtuelle IP-Adresse aktiviert ist (BGP-Peer-IP, die der Site von AWS zugewiesen wurde).

Bereitstellung von AWS Transit Gateway Connect

Sie können die Konfigurationsänderungen im gesamten Netzwerk mit Deployment Trackeraktivieren. Nach erfolgreicher Aktivierung werden die GRE-Tunnel zwischen dem Citrix SD-WAN VPX und AWS Transit Gateway eingerichtet. Die folgenden Konfigurationen werden automatisch für die Site erstellt, wenn Sie auf Konfiguration überprüfen klicken und mit der Bereitstellung und Aktivierung fortfahren:

  • LAN GRE-Tunnel
  • BGP und BGP ASN
  • BGP-Nachbarn
  • Filter importieren
  • Filter exportieren
  • Zusätzliche virtuelle IP-auf-LAN-Schnittstelle

Überwachung und Fehlersuche

Um den Status der GRE-Tunneleinrichtung zu überprüfen, navigieren Sie zu Berichte > Echtzeit > Statistiken > Andere Statistiken > GRE-Tunnel. Im folgenden Screenshot sehen Sie, dass der GRE-Tunnel vom SD-WAN in Richtung AWS Transit Gateway eingerichtet wurde und der Status UP ist.

AWS GRE-Tunnelüberprüfung

Um die BGP-Routeninstallation zu überprüfen, navigieren Sie zu Berichte > Echtzeit > Routen und überprüfen Sie, ob die Site über eine BGP-Route verfügt. Das bedeutet, dass Sie die an AWS Transit Gateway Connect angeschlossenen Netzwerke kennenlernen und über den GRE-Tunnel mit diesen Netzwerken kommunizieren können.

Bericht über AWS Connect-Anlagen

Häufig gestellte Fragen

  1. Was tun, wenn der AWS Transit Gateway Connect-Status nach der Bereitstellung als Fehlgeschlagen angezeigt wird?

    In einem der folgenden Fälle kann der Status auf Fehlgeschlagen geändert werden:

    • Wenn die Erstellung der VPC-Anlage fehlgeschlagen ist
    • Erstellung von Verbindungsanhängen fehlgeschlagen
    • Connect-Peer-Bereitstellung fehlgeschlagen

    Falls die Connect Peer-Bereitstellung fehlgeschlagen ist, klicken Sie auf das Info-Symbol, um detaillierte Informationen anzuzeigen. Um fortzufahren, löschen Sie die Site und stellen Sie sie erneut bereit.

  2. Was tun, wenn bereits ein VPC-Anhang erstellt wurde?

    Wir empfehlen Ihnen, Transit Gateway Connect-Anhang über die AWS-Konsole zu erstellen und Connect Peer mithilfe des vorhandenen Connect-Attachments für die Site aus dem Citrix SD-WAN Orchestrator Service bereitzustellen.

  3. Was tun, wenn die Connect Peer-Bereitstellung bei der Erstellung der LAN-Route während der Bereitstellung von AWS Transit Gateway Connect fehlschlägt?

    Im Rahmen der Bereitstellung versucht der Citrix SD-WAN Orchestrator Service, die LAN-Route in der Routingtabelle der SD-WAN-LAN-Schnittstelle in AWS hinzuzufügen. Die Routerstellung schlägt möglicherweise fehl, wenn Sie keine sekundäre Routing-Tabelle für das LAN-Subnetz erstellt haben. Um Sicherheitsprobleme zu vermeiden, fügen Sie keine LAN-Route in der Haupt-VPC-Routing-Tabelle hinzu.

  4. Was tun, wenn die Connect Peer-Bereitstellung bei der Erstellung von Connect Peer während der Bereitstellung von AWS Transit Gateway Connect fehlschlägt?

    Bei mehreren Gelegenheiten wird beobachtet, dass AWS Transit Gateway Connect Peer manchmal stundenlang im Status Ausstehend verbleibt (dies kann ein vorübergehendes Verhalten von AWS Transit Gateway Connect sein). Der Citrix SD-WAN Orchestrator Service setzt die Bereitstellung nur fort, wenn jede Ressource in AWS in den Status Verfügbar übergegangen ist.

  5. Wenn Sie in der Spalte Aktionen auf Löschen klicken, wird die Site sofort aus AWS Transit Gateway entfernt. Die Ressourcen werden jedoch weiterhin auf der AWS-Konsole angezeigt. Warum?

    Wenn Sie auf Löschenklicken, startet der Citrix SD-WAN Orchestrator Service einen Löschauftrag, um alle Ressourcen aus AWS zu entfernen. Wenn Sie jedoch manuell eingegriffen und einige Ressourcen gelöscht haben, bereinigt der Löschauftrag von Citrix SD-WAN Orchestrator nur die Datenbankeinträge. Sie müssen den Rest der Ressourcen manuell bereinigen.

  6. Wie lange dauert es, bis der Citrix SD-WAN Orchestrator Service AWS-Ressourcen löscht?

    Sobald Sie in der Spalte Aktionen auf Löschen klicken, dauert das Löschen von AWS-Ressourcen maximal 10 Minuten. Warten Sie auf dieses Intervall, um sicherzustellen, dass alle Ressourcen erfolgreich gelöscht wurden.

  7. Was ist die bevorzugte Methode, um mehrere Transit Gateway Gateway-Sites in derselben VPC mit Subnetz in derselben Availability Zone zu erstellen?

    Die bevorzugte Methode besteht darin, Connect Attachment nur einmal zu erstellen und denselben Connect-Anhang für die verbleibenden Standorte zu verwenden.

Citrix SD-WAN-Integration mit AWS Transit Gateway Connect