Installieren von SD-WAN VPX Standard Edition AMI auf AWS

Die Citrix SD-WAN SE-Appliances verbinden mehrere Netzwerkpfade in einem virtuellen Pfad. Die virtuellen Pfade werden überwacht, sodass kritische Anwendungspfade immer über optimale Pfade geleitet werden. Diese Lösung ermöglicht es Kunden, Anwendungen in der Cloud bereitzustellen und mehrere Service-Provider-Netzwerke für die nahtlose Bereitstellung von Anwendungen an die Endbenutzer zu nutzen.

Um ein SD-WAN SE-VPX in Amazon Web Services (AWS) zu erstellen, gehen Sie wie beim Erstellen einer anderen Instanz durch und setzen einige Instanz-Parameter auf nicht standardmäßige Einstellungen.

Instanziieren einer virtuellen SD-WAN Appliance (AMI) in AWS:

Um eine virtuelle SD-WAN-Appliance in einer AWS VPC zu installieren, benötigen Sie ein AWS-Konto. Sie können ein AWS-Konto unter erstellenhttp://aws.amazon.com/. SD-WAN ist als Amazon Machine Image (AMI) im AWS Marketplace verfügbar.

Hinweis: Amazon nimmt häufige Änderungen an seinen AWS-Seiten vor, sodass die folgenden Anweisungen möglicherweise nicht aktuell sind.

So instanziieren Sie eine virtuelle SD-WAN-Appliance (AMI) in AWS:

  1. Geben Sie in einem Webbrowser einhttp://aws.amazon.com/.
  2. Klicken Sie auf Mein Konto/Konsole, und klicken Sie dann auf My Account, um die Anmeldeseite von Amazon Web Serviceszu öffnen.
  3. Verwenden Sie die Anmeldeinformationen Ihres Amazon AWS-Kontos, um sich anzumelden. Dadurch gelangen Sie zur Seite Amazon Web Services.

Citrix SD-WAN SE Appliances bieten die folgenden AWS-Service-Instanzen:

  • VPC Dashboard - isolierter Teil der AWS-Cloud, der von AWS-Objekten wie EC2-Instanzen gefüllt wird
    • Aktiviert durch Erstellen einer VPC in AWS. Siehe die folgenden Konfigurationsschritte.
  • EC2 Dashboard - Elastische Compute-Cloud, skalierbare virtuelle Services/Instanzen
    • Aktiviert durch Erstellen von NetScaler SD-WAN AMI. Die Konfigurationsschritte finden Sie unten.
    • CIDR — Klassenloser interdomänenübergreifender Routingblock, bestehend aus einem kontinuierlichen IP-Adressbereich, der zur Angabe Ihrer VPC verwendet wird (darf nicht größer als 16 Regionen sein).

SD-WAN-Weboberfläche

  • Konfigurieren von Citrix (ehemals NetScaler SD-WAN) SD-WAN-AMI

Im Folgenden sind die Anforderungen und Einschränkungen für die Bereitstellung von SD-WAN SE-VPX AMI in AWS aufgeführt:

Mindestanforderungen

  • AWS EC2-Instanz-Typ: c3.2xlarge
  • Virtuelle CPU: 8
  • RAM: 15 GB
  • Speicherkapazität: 160 GB
  • Netzwerkschnittstellen: mindestens 2 (eine Verwaltung, eine für LAN/WAN)
  • BYOL — Bring-your-own-Lizenz und Abonnement

Einschränkungen

  • AWS erlaubt keine Überbrückung der Schnittstelle, daher ist Fail-to-Wire-keine Option zum Konfigurieren von Schnittstellengruppen.

Citrix (ehemals NetScaler SD-WAN) SD-WAN mit AWS

lokalisierte Grafik

Bereitstellen einer AWS-Region mit einer angegebenen Availability Zone. Innerhalb dieser Virtual Private Cloud (VPC) -Infrastruktur wird SD-WAN Standard Edition AMI (Amazon Machine Image) als VPC-Gateway bereitgestellt.

  • Die VPC private hat Routen zum VPC-Gateway.
  • Die SD-WAN-Instanz verfügt über eine Route zum AWS VGW (VPN Gateway) für eine direkte Verbindung und eine weitere Route in Richtung IGW (Internet Gateway) für die Internetverbindung.
  • Konnektivität zwischen Rechenzentrum, Zweig und Cloud, wobei verschiedene Transportmodi gleichzeitig mehrere WAN-Pfade verwendet werden.
  • Automatisches Routenlernen mit OSPF und BGP.
  • Einzelner IPSec-Tunnel über mehrere Pfade hinweg, bei denen bei Verbindungsfehlern keine Sicherheitsneuverhandlungen erforderlich sind.

lokalisierte Grafik

In AWS müssen für jede SD-WAN AMI-Schnittstelle ein Subnetz und eine IP-Adresse definiert werden.Die Anzahl der verwendeten Schnittstellen hängt vom Anwendungsfall der Bereitstellung ab.Wenn das Ziel darin besteht, zuverlässig auf Anwendungsressourcen zuzugreifen, die sich auf der LAN-Seite des VPX befinden (innerhalb derselben Region), kann das VPX mit drei Ethernet-Schnittstellen konfiguriert werden: eine für die Verwaltung auf eth0, eine für LAN auf eth1 und eine für WAN auf eth2.

Alternativ kann der VPX mit zwei Ethernet-Schnittstellen konfiguriert werden: eine für die Verwaltung auf eth0 und eine zweite für LAN/WAN auf eth1.

SD-WAN SE AMI in AWS — Übersicht

  1. Erstellen einer VPC in AWS mit VPC Dashboard

Um mit Amazon Virtual Private Cloud zu beginnen, müssen Sie eine VPC erstellen, bei der es sich um ein virtuelles Netzwerk handelt, das Ihrem AWS-Konto gewidmet ist.

  • Definieren Sie CIDR-Blocks/Subnetze und weisen Sie VPC zu - zur Identifizierung des Geräts im Netzwerk. Beispiel: 192.168.100.0/22 ist für die VPC im Beispielnetzwerkdiagramm ausgewählt, das die WAN-, LAN- und Management-Subnetze umfasst — 192.168.100.0 — 192.168.103.255) - 192.168.100.0/22
  • Definieren eines Internet-Gateways für die VPC — für die Kommunikation mit außerhalb der Cloud-Umgebung
  • Routing für jedes definierte Subnetz definieren - für die Kommunikation zwischen den Subnetzen und dem Internet
  • Definieren Sie Netzwerk-ACLs (Access Control List) - zur Steuerung des Zu- und Abflusses des Datenverkehrs von/in das Subnetz aus Sicherheitsgründen
  • Sicherheitsgruppe definieren - zur Steuerung des Zu- und Abflusses des Datenverkehrs von/zu jeder Instanz des Netzwerkgeräts

Erstellen Sie ein NetScaler SD-WAN-AMI:

  • Definieren der Netzwerkschnittstellen für die EC2-Instanz
  • Elastic IP-Adressen für die EC2-Instanz erstellen
  • Definieren der Sicherheit für die EC2-Instanz und die Netzwerkschnittstellen

Stellen Sie eine Verbindung zur SD-WAN-Weboberfläche her:

  • Lizenz
  • Installieren von Identifikation mit lokaler Änderungsverwaltung

Erstellen einer VPC in AWS - Virtual Private Cloud (VPC)

So erstellen Sie eine VPC:

  1. Wählen Sie in der Symbolleiste der AWS Management Console Services -> **VPC **(Networking & Content Delivery) aus. lokalisierte Grafik
  2. Wählen Sie Ihre VPCs aus, und klicken Sie dann auf die Schaltfläche VPC erstellen. lokalisierte Grafik
  3. Fügen Sie Namensschild **hinzu, CIDR-Block gemäß Ihrem Netzwerkdiagramm und Mandant = Standard, und klicken Sie auf **Ja, Erstellen. lokalisierte Grafik

Definieren eines Internet-Gateway für die VPC

So definieren Sie das Internet-Gateway für die VPC:

  1. Wählen Sie in der AWS-Verwaltungskonsole Internet Gateways > Internet Gateway erstellen aus.Der Internet-Gateway-Datenverkehr, der der 0.0.0.0/0-Route entspricht, kann in der Routingtabelle konfiguriert werden.Es ist auch für den externen Zugriff auf die SD-WAN AMI-Weboberfläche für die weitere Konfiguration erforderlich. lokalisierte Grafik
  2. Geben Sie dem IGW ein Name-Tag, und klicken Sie auf Ja, Erstellen. lokalisierte Grafik
  3. Wählen Sie neu erstellte IGW aus und klicken Sie auf An VPC anhängen. lokalisierte Grafik
  4. Wählen Sie die zuvor erstellte VPC aus, und klicken Sie auf Ja, Anhängen. lokalisierte Grafik

Definieren von Subnetzen für die VPC zur Unterscheidung von Verwaltung, LAN und WAN

So definieren Sie Subnetze für VPC:

  1. Wählen Sie in der AWS Management Console Subnets > Subnetserstellen aus, um Mgmt-, LAN- und WAN-Subnetze zu erstellen.Verwenden Sie die definierten Subnetze, um zwischen den LAN-, WAN- und Mgmt-Subnetzen zu unterscheiden, die in der SD-WAN-Konfiguration definiert sind. lokalisierte Grafik
  2. Geben Sie die Details ein, die für das Mgmt Subnetz des VPX spezifisch sind, und erstellen Sie es dann mit der Schaltfläche Ja, Erstellen .
    • Namensschild: Name zur Identifizierung verschiedener Subnetze (Mgmt, LAN oder WAN)
    • <the VPC previously created>VPC:
    • <set at discretion>Verfügbarkeitszone:
    • CIDR-Block: Subnetz spezifisch für den definierten Namen (Mgmt, LAN oder WAN), der eine kleinere Teilmenge der zuvor definierten lokalisierte GrafikCIDR ist
  3. Wiederholen Sie den Vorgang, bis Sie ein Subnetz für die Mgmt-, LAN- und WAN-Netzwerke erstellt haben. lokalisierte Grafik

Routentabellen für das Management-Subnetz definieren

So definieren Sie Routentabellen:

  1. Wählen Sie in der AWS Management Console Routentabellen > Routentabelleerstellen aus, um Routentabellen für die Mgmt-, LAN- und WAN-Subnetze zu erstellen. lokalisierte Grafik
  2. Geben Sie die Details für das Mgmt-Subnetz ein
    • Namensschild: Name zur Identifizierung verschiedener Subnetze (Mgmt, LAN oder WAN)
    • VPC: Die zuvor erstellte VPC lokalisierte Grafik
  3. Wenn die neu erstellte Routentabelle noch hervorgehoben ist, wählen Sie Subnetzzuordnung > Bearbeiten. lokalisierte Grafik
  4. Stellen Sie die Zuordnung zum gewünschten Subnetz her, und klicken Sie dann auf Speichern. lokalisierte Grafik
  5. Wenn die neu erstellte Routentabelle noch hervorgehoben ist, wählen Sie Routen > Bearbeiten. lokalisierte Grafik
  6. Klicken Sie auf Weitere Route hinzufügen (nur für die Mgmt und WAN-Subnetze erforderlich) und dann auf Speichern.
    • Destination: 0.0.0.0/0
    • Target: The Internet Gateway (igw-xxxxxxx previously defined) lokalisierte Grafik

Hinweis

AWS stellt eine globale Routingtabelle in der EC2-Instanz bereit, aber das NetScaler SD-WAN-AMI verwendet lokale Routingtabellen, damit der Benutzer die Weiterleitung des Datenverkehrs an den virtuellen Pfad steuern kann.

Routentabellen für das WAN-Subnetz definieren

So definieren Sie Routentabellen:

  1. Wählen Sie in der AWS Management Console Routentabellen > Routentabelle erstellen aus, um Routentabellen für die Mgmt-, LAN- und WAN-Subnetze zu erstellen. lokalisierte Grafik
  2. Geben Sie die Details für das WAN-Subnetz ein:
    • Namensschild: Name zur Identifizierung verschiedener Subnetze (Mgmt, LAN oder WAN)
    • VPC: Die zuvor erstellte VPC
  3. Wenn die neu erstellte Routentabelle noch hervorgehoben ist, wählen Sie Subnetzzuordnung > Bearbeiten. lokalisierte Grafik
  4. Stellen Sie die Zuordnung zum gewünschten Subnetz her, und klicken Sie dann auf Speichern.
  5. Wenn die neu erstellte Routentabelle noch hervorgehoben ist, wählen Sie Routen > Bearbeiten.
  6. Klicken Sie auf Weitere Route hinzufügen (nur für die Mgmt und WAN-Subnetze erforderlich) und dann auf Speichern.
    • Destination: 0.0.0.0/0
    • Target: <The Internet Gateway (igw-xxxxxxx previously defined) lokalisierte Grafik

Routentabellen für das LAN-Subnetz definieren

So definieren Sie Routentabellen für das LAN-Subnetz:

  1. Wählen Sie in der AWS Management Console Routentabellen > Routentabelleerstellen aus, um Routentabellen für die Mgmt-, LAN- und WAN-Subnetze zu erstellen. lokalisierte Grafik
  2. Geben Sie die Details für das LAN-Subnetz ein:
    • Namensschild: Name zur Identifizierung verschiedener Subnetze (Mgmt, LAN oder WAN)
    • VPC: Die zuvor erstellte VPC
  3. Wenn die neu erstellte Routentabelle noch hervorgehoben ist, wählen Sie Subnetzzuordnung > Bearbeiten .
  4. Stellen Sie die Zuordnung zum gewünschten Subnetz her, und klicken Sie dann auf Speichern. lokalisierte Grafik

Hinweis

Um den LAN-seitigen Datenverkehr über SD-WAN zu leiten, ordnen Sie das Zielziel als SD-WAN-LAN-Schnittstellen-ID in der Routentabelle SD-WAN zu. Das Ziel für jedes Ziel kann nur dann auf Schnittstellen-ID gesetzt werden, wenn eine Instanz erstellt und Netzwerkschnittstellen an diese Instanz angeschlossen werden.

Erstellen eines SD-WAN SE AMI

So erstellen Sie EC2-Instanz:

  1. Wählen Sie in der Symbolleiste der AWS Management Console Services > EC2 (Compute) aus. lokalisierte Grafik
  2. Wählen Sie die Symbolleiste des EC2-Dashboards, und wählen Sie Instanzen > Instanz starten. lokalisierte Grafik
  3. Verwenden Sie die Registerkarte AWS Marketplace, um nach dem SD-WAN Amazon Machine Image (AMI) zu suchen, oder verwenden Sie die Registerkarte Meine AMIs, um ein eigenes oder gemeinsam genutztes SD-WAN-AMI zu suchen, Citrix NetScaler SD-WAN Standard Edition zu suchen, und klicken Sie dann auf Auswählen. lokalisierte Grafik
  4. Bestätigen Sie die Auswahl mit Weiter.
  5. Wählen Sie auf dem Bildschirm Instanz-Typ auswählen den EC2-Instanz-Typ aus, der während der Vorbereitung identifiziert wurde, und wählen Sie dann Weiter: Instanz-Details konfigurieren. lokalisierte Grafik
  6. Geben Sie Instanzdetails ein (alles, was nicht angegeben ist, sollte unset/default bleiben):
    • Anzahl der Instanzen: 1
    • Netzwerk: Wählen Sie zuvor erstellte VPC >
    • Subnetz: Wählen Sie zuvor definierte Mgmt Subnet
    • Automatische Zuweisung öffentlicher IP: aktiviert
    • Netzwerkschnittstellen > Primäre IP: Geben Sie vordefinierte Mgmt IP lokalisierte Grafikein
  7. Klicken Sie auf Weiter: Speicher lokalisierte Grafik/en-us/citrix-sd-wan-platforms/vpx-models/media/create-vpc-screen-27.png![()]hinzufügen

    Hinweis

    Ordnen Sie die EC2-Instanz dem Mgmt-Subnetz zu, um die erste EC2-Schnittstelle (eth0) mit der SD-WAN-Mgmt-Schnittstelle zu verknüpfen.Wenn eth0 nicht mit der SD-WAN-Mgmt-Schnittstelle verknüpft ist, geht die Konnektivität nach einem Neustart verloren.

  8. Geben Sie die folgenden Informationen für den Stammspeicher ein:
    • Volumetyp: General Purpose (SSD) GP2
  9. Wählen Sie dann Weiter: Tag-Instanz lokalisierte Grafik
  10. Geben Sie der EC2-Instanz einen Namen an, indem Sie einen Wert für das Standard-Name-Tag angeben.Optional können Sie weitere gewünschte Tags erstellen. lokalisierte Grafik
  11. Wählen Sie dann Weiter: Sicherheitsgruppe konfigurieren.
  12. Wählen Sie eine vorhandene Sicherheitsgruppe aus, oder erstellen Sie eine Sicherheitsgruppe:
    • Die generierte Standard-Sicherheitsgruppe umfasst HTTP, HTTPS, SSH und Klicken Sie auf die Schaltfläche Regel hinzufügen, um zwei weitere hinzuzufügen:
    • Alle ICMP mit Quelle: Custom 0.0.0.0/0
    • <known IP addresses from partner SD-WAN>Benutzerdefinierte UDP-Regel mit Portbereich: 4980 und Quelle: Benutzerdefiniert
  13. Wählen Sie Überprüfen und Starten aus. lokalisierte Grafik
  14. Nachdem Sie die Überprüfung abgeschlossen haben, wählen Sie Startenaus.
  15. Wählen Sie im Pop-up Schlüsselpaar entweder ein vorhandenes Schlüsselpaar aus, oder erstellen Sie ein neues Schlüsselpaar, und wählen Sie dann Instanz starten aus. lokalisierte Grafik

    Wichtig

    Wenn ein neues Schlüsselpaar erstellt wird, sollten Sie es herunterladen und an einem sicheren Ort speichern.

  16. NetScaler SD-WAN SE AMI sollte nun erfolgreich gestartet werden. lokalisierte Grafik

    Hinweis

    Eine Sicherheitsgruppe ist eine Gruppe von Firewallregeln, die den Datenverkehr für eine EC2-Instanz steuert. Eingehende und ausgehende Regeln können während und nach dem EC2-Start bearbeitet werden. Jeder EC2-Instanz muss eine Sicherheitsgruppe zugewiesen sein.Außerdem muss jeder Netzwerkschnittstelle eine Sicherheitsgruppe zugewiesen sein.Mehrere Sicherheitsgruppen können verwendet werden, um unterschiedliche Regelsätze auf einzelne Schnittstellen anzuwenden. Die von AWS hinzugefügte Standard-Sicherheitsgruppe erlaubt nur Datenverkehr innerhalb einer VPC.

    Die dem NetScaler SD-WAN-AMI zugewiesene Sicherheitsgruppe und deren Schnittstellen müssen SSH, ICMP, HTTP und HTTPS akzeptieren.Die Sicherheitsgruppe, die der WAN-Schnittstelle zugewiesen ist, muss auch UDP an Port 4980 akzeptieren (für Virtual Path Unterstützung).Weitere Informationen zu Sicherheitsgruppen-Konfigurationsinformationen finden Sie in der AWS-Hilfe. Wichtig

    Warten Sie zwei Stunden, wenn Sie von einem neuen Konto bereitgestellt werden, und versuchen Sie es dann erneut.

  17. Navigieren Sie zurück zu Ihrer AWS Console: EC2 Dashboard.
  18. Wählen Sie in der Symbolleiste unter Netzwerk & Sicherheit die Option Netzwerkschnittstellen aus, markieren Sie die Mgmt Schnittstelle und Bearbeiten des Namens-Tags, um der Schnittstelle einen nützlichen Namen zu geben.
  19. Klicken Sie dann auf Netzwerkschnittstelle erstellen, um die LAN-Schnittstellen zu erstellen:
    • Beschreibung:<a user-defined description for the interface>
    • <the subnet previously defined for the interface>Subnetz:
    • <the private IP for the interface previously defined during preparation>Private IP:
    • <the appropriate security group for the interface>Sicherheitsgruppe: lokalisierte Grafik
  20. Wiederholen Sie den Vorgang, und klicken Sie auf Netzwerkschnittstelle erstellen, um die WAN-Schnittstelle zu erstellen. lokalisierte Grafik
  21. Bearbeiten Sie das Name-Tag für jede neue Schnittstelle und geben Sie einen nützlichen Namen. lokalisierte Grafik lokalisierte Grafik
  22. Markieren Sie die Verwaltungsschnittstelle und wählen Sie Aktionen > Quelle ändern. Aktivieren Sie diese Option, um Quelle/Destzu deaktivieren. Aktivieren Sie das Kontrollkästchen, und wählen Sie dann Speichernaus. lokalisierte Grafik
  23. Wiederholen Sie dies für LAN- und WAN-Schnittstellen. lokalisierte Grafik
  24. Zu diesem Zeitpunkt werden alle Netzwerkschnittstellen : Verwaltung, LANund WANjeweils mit einem Namen, einer primären privaten IPkonfiguriert und fürQuell/Dest deaktiviert. Attribut prüfen.Nur die Mgmt. Die Netzwerkschnittstelle ist mit einer öffentlichen IP verbunden. lokalisierte Grafik

    Wichtig

    Deaktivieren der Quelle/Dest. Das Attribut Check ermöglicht es der Schnittstelle, Netzwerkverkehr zu verarbeiten, der nicht für die EC2-Instanz bestimmt ist.Da das NetScaler SD-WAN AMI als Bindeglied für den Netzwerkverkehr fungiert, ist die Source/Dest. Das Prüfattribut muss für den ordnungsgemäßen Betrieb deaktiviert sein.

    Die für diese Netzwerkschnittstellen definierten privaten IPs müssen letztendlich mit den IP-Adressen in Ihrer SD-WAN-Konfiguration übereinstimmen.Es kann erforderlich sein, mehr als eine private IP für die WAN-Netzwerkschnittstelle zu definieren, wenn diese Schnittstelle mit mehr als einer WAN-Link-IP in der SD-WAN-Konfiguration für diesen Standortknoten verknüpft ist.Dies kann erreicht werden, indem bei Bedarf sekundäre private IPs für die WAN-Schnittstelle definiert werden.

  25. Wählen Sie in der Symbolleiste EC2 Dashboard die Option Instanzen aus. lokalisierte Grafik
  26. Markieren Sie die neu erstellte Instanz und wählen Sie dann Aktionen > Netzwerk > Netzwerkschnittstelle anhängen. lokalisierte Grafik
  27. Schließen Sie zuerst die LAN-Netzwerkschnittstelle und dann die WAN-Netzwerkschnittstelle an das SD-WAN SE AMI an. lokalisierte Grafik

    Hinweis

    Das Anhängen von Mgmt, LAN und WAN in dieser Reihenfolge wird an eth0, eth1, eth2 im SD-WAN-AMI angehängt.Dies stimmt mit der Zuordnung des bereitgestellten AMI überein und stellt sicher, dass Schnittstellen im Falle eines AMI-Neustarts nicht falsch neu zugewiesen werden.

  28. Wählen Sie in der Symbolleiste EC2 Dashboard die Option Elastic IPs (EIP) aus, und klicken Sie dann auf Neue Adresse zuweisen. lokalisierte Grafik
  29. Klicken Sie auf Zuweisen, um eine neue IP-Adresse zuzuweisen, und dann auf Schließen, nachdem die neue Adressanforderung erfolgreich war.
  30. Markieren Sie die neue EIP und wählen Sie Aktion > Adresse zuordnen, um die EIP der Verwaltung zuzuordnen. Schnittstelle, und klicken Sie dann auf Zuordnen.
    • <network interface>Ressourcentyp:
    • Netzwerkschnittstelle: <zuvor erstellte Mgmt. Netzwerkschnittstelle>
    • <previously defined private IP for Mgmt>Private IP: lokalisierte Grafik
  31. Wiederholen Sie den Vorgang, um eine weitere neue EIP mit der WAN-Schnittstelle zu verknüpfen. lokalisierte Grafik

Konfigurieren von SD-WAN SE AMI - SD-WAN-Webverwaltungsschnittstelle

So konfigurieren Sie SD-WAN SE AMI:

  1. An dieser Stelle sollten Sie über einen Webbrowser eine Verbindung zur Verwaltungsschnittstelle des SD-WAN SE AMI herstellen können.
  2. Geben Sie die Elastic IP (EIP) ein, die der Verwaltung zugeordnet ist. Schnittstelle. Sie können eine Sicherheitsausnahme erstellen, wenn das Sicherheitszertifikat nicht erkannt wird.
  3. Melden Sie sich mit den folgenden Anmeldeinformationen beim SD-WAN SE AMI an:
    • User name: admin
    • Password: <aws-instance-id> (example; i-00ab111abc2222abcd) lokalisierte Grafik

      Hinweis

      Wenn die Mgmt. Schnittstelle kann nicht erreicht werden, überprüfen Sie Folgendes:

        -  Stellen Sie sicher, dass die EIP korrekt mit der Verwaltungsschnittstelle verknüpft ist.   -  Stellen Sie sicher, dass die EIP auf Ping reagiert   -  Stellt sicher, dass die Routentabelle der Verwaltung eine Internet-Gateway-Route (0.0.0.0/0) enthält.   -  Stellen Sie sicher, dass die Sicherheitsgruppe der Verwaltungsschnittstelle so konfiguriert ist, dass HTTP/HTTPS/ICMP/SSH zulässig ist
      

      Ab Version 9.1 SD-WAN AMI können sich Benutzer auch überssh admin@<mgmt bei der SD-WAN AMI-Konsole anmelden. EIP>, vorausgesetzt, dass das Schlüsselpaar für die EC2-Instanz der SSH-Schlüsselkette des Benutzers hinzugefügt wurde.

  4. Für SD-WAN SE Bring-your-own-Lizenz (BYOL) AMImuss eine Softwarelizenz installiert sein:
    • Navigieren Sie auf der SD-WAN-Weboberfläche zu Konfiguration > Einheiteneinstellungen > Lizenzierung
    • Wählen Sie unter Lizenzkonfiguration: Lizenz für diese Appliance hochladen, Datei auswählen, durchsuchen und öffnen Sie die SD-WAN SE AWS-Lizenz, klicken Sie dann auf Hochladen und Installieren
    • Nach erfolgreichem Upload zeigt der Lizenzstatus Status: Lizenziert lokalisierte Grafik
  5. Legen Sie die entsprechende Daten/Uhrzeit für das neue AMI fest:
    • Navigieren Sie auf der SD-WAN-Weboberfläche zu Konfiguration > Systemwartung > Datums-/Uhrzeiteinstellungen
    • Festlegen des richtigen Datums und der richtigen Uhrzeit mithilfe von NTP, Datums-/Uhrzeiteinstellung oder **Zeitzone lokalisierte Grafik

      Hinweis

      Der Virtual WAN-Dienst SD-WAN SE AMI-Dienst bleibt deaktiviert, bis ein Appliance-Paket (Software + Konfiguration) auf dem AMI installiert ist.

SD-WAN SE AMI zu Ihrer SD-WAN-Umgebung hinzufügen

So fügen Sie SD-WAN-AMI zu Ihrer SD-WAN-Umgebung hinzu:

  1. Navigieren Sie zu Ihrem SD-WAN Center oder Master Control Node für Ihre SD-WAN-Umgebung.
  2. Fügen Sie mithilfe des Konfigurations-Editors einen neuen Standortknoten hinzu:
    • Add site: model VPX, Mode: client
    • Interface Groups: awsLAN = eth1, awsWAN = eth2 (untrusted)
    • Virtual IP Address: 192.168.100.5 = awsLAN, 192.168.101.5 = awsWAN with awsLAN virtual IP address being configured, the SD-WAN advertises the LAN subnet of 192.168.100.5/24 as a local route to the SD-WAN Environment (refer to the Connections > <AWSnode > Routes). WAN-Links:
    • AWSBR-WAN with Access Type Public Internet, Autodetect Public IP if client node or configure the EIC for WAN link if MCN node, Access Interfaces: awsWAN 192.168.101.5 with gateway 192.168.101.1 (#.#.#.1 is typically the AWS reserved gateway). lokalisierte Grafik lokalisierte Grafik
  3. Überprüfen Sie im Konfigurations-Editor die Pfadzuordnung unter Verbindungen > DC > Virtuelle Pfade > DC-AWS > Pfade. lokalisierte Grafik

    Hinweis

    Der virtuelle Pfad wird über die AMI-WAN-Schnittstelle verwendet, um Software- und Konfigurationsaktualisierungen auf das SD-WAN-AMI zu übertragen, anstatt über eine direkte Verbindung zur Mgmt. Schnittstelle.

    Private IP-Adressen müssen auf der EC2 WAN-Netzwerkschnittstelle für jede WAN-Link-IP im Konfigurations-Editor definiert werden.Dies kann erreicht werden, indem je nach Bedarf eine oder mehrere sekundäre private IPs für die Netzwerkschnittstelle definiert werden.

    Wichtig

    Rufen Sie die zugewiesene Zuordnung im AWS EC2-Dashboard ab und weisen Sie Mgt. zu eth0, LAN zu eth1 und WAN als eth2 auf. Amazon bietet die ersten vier IP-Adressen und die letzte IP-Adresse in jedem Subnetz-CIDR-Block neu an und kann nicht einer Instanz zugewiesen werden. In einem Subnetz mit CIDR-Block 192.168.100.0/24 sind beispielsweise die folgenden fünf IP-Adressen reserviert:

      -  192.168.100.0: Netzwerkadresse   -  192.168.100.1: Reserviert von AWS für den VPC-Router   -  192.168.100.2: Von AWS für den DNS-Server reserviert   -  192.168.100.3: Von AWS für zukünftige Nutzung reserviert   -  192.168.100.255: Netzwerk-Broadcast-Adresse, die in einer VPC nicht unterstützt wird
    
  4. Speichern und exportieren Sie die neu erstellte SD-WAN-Konfiguration und exportieren Sie sie in den Change Management-Posteingang. lokalisierte Grafik
  5. Navigieren Sie zum MCN Change Management, und führen Sie den Änderungsverwaltungsprozess durch, um die neueste Konfiguration in die SD-WAN-Umgebung zu übertragen, in der alle vorhandenen SD-WAN-Knoten über den neu hinzugefügten AWS-Knoten und die zugehörigen Subnetze (virtuelle Schnittstellen) informiert werden. Stellen Sie sicher, dass Sie das VPX-spezifische Softwarepaket im Schritt “Änderungsvorbereitung” hochladen, das der aktuellen Software entspricht, die von der vorhandenen SD-WAN-Umgebung verwendet wird.
  6. Laden Sie auf der Seite Change Management das Paket herunter, das speziell für den neuen AWS-Knoten generiert wurde, indem Sie den aktiven Link verwenden.
  7. Navigieren Sie zurück zur Verwaltungsschnittstelle des SD-WAN SE AMI über die zugewiesene EIP für die Mgmt. Schnittstelle.
  8. Navigieren Sie zu Konfiguration > Systemwartung > Lokales Änderungsmanagement .
  9. Klicken Sie auf Datei auswählen, um die zuletzt heruntergeladene aktive AWS-Software/Config-Pakete zu durchsuchen und hochzuladen .
  10. Nach erfolgreichem lokalen Änderungsmanagementsollte die Weboberfläche automatisch mit der neuesten installierten Software aktualisiert werden, wobei der Virtual WAN-Dienstweiterhin deaktiviert ist. lokalisierte Grafik
  11. Navigieren Sie im Abschnitt SD-WAN SE AMI zu Konfiguration > Virtual WAN Enable/Deaktivieren/Purge Flows, und aktivieren Sie den Dienst mit der Schaltfläche Aktivieren .
  12. Nach erfolgreicher Konnektivität auf der WAN-Schnittstelle meldet das SD-WAN auf der Seite Überwachung > Statistik > Pfade den Status “Good Path”. lokalisierte Grafik

Problembehandlung

Die richtige private Internet Web Gateway (IWG) IP muss in der Konfiguration der SD-WAN Access Interface verwendet werden

  • Wenn im Konfigurations-Editor eine falsche IWG verwendet wird, um den WAN-Link für die AWS-Site (Virtuelle IP-Adresse und das richtige Gateway) zu definieren, kann der virtuelle Pfad nicht eingerichtet werden.
  • Eine schnelle Möglichkeit zu überprüfen, ob das IWG falsch konfiguriert ist, besteht darin, die SD-WAN-ARP-Tabellezu überprüfen.

lokalisierte Grafik

Das integrierte SD-WAN Packet Capture Tool kann helfen, den ordnungsgemäßen Paketfluss zu bestätigen

  1. Navigieren Sie zur Seite Konfiguration > Systemwartung > Diagnose des SD-WMA AMI.
  2. Wählen Sie die Registerkarte Paketerfassung, und legen Sie die folgenden Einstellungen fest, und klicken Sie dann auf Capture :
    • Schnittstellen: Erfassen auf eth2, die mit der WAN-Schnittstelle verknüpft war.
  3. Die Aufnahmeausgabe auf der Webseite muss die UDP-Prüfpakete, die das SD-WAN SE AMI verlassen, mit der WAN VIP/Private IP als Quelle, mit einem Ziel der statischen öffentlichen IPs, die für den MCN verwendet werden, sowie das zurückgegebene UDP-Paket mit Quelle der MCN Static Public IP und Ziel der lokalen VIP/Private IP ( die von der IWG NAT gegeben wurde).

Hinweis

Dies kann in der Regel auftreten, wenn eine IP-Adresse außerhalb des CIDR-Blocks erstellt wird, der der VPC zugewiesen ist.

lokalisierte Grafik

HINWEIS

Ab Version 10.2.6 und 11.0.3 ist es während des Provisioning einer beliebigen SD-WAN-Appliance oder eines neuen SD-WAN SE VPX zwingend erforderlich das Standardkennwort für das Administratorbenutzerkonto zu ändern. Diese Änderung wird sowohl mit der virtuellen WAN-CLI als auch mit der Benutzeroberfläche erzwungen.