Citrix SD-WAN

Citrix SD-WAN Integration mit AWS Transit Gateway

Mit dem Amazon Web Service (AWS) Transit Gateway-Service können Kunden ihre Amazon Virtual Private Clouds (VPCs) und ihre lokalen Netzwerke mit einem einzigen Gateway verbinden. Wenn die Anzahl der Workloads, die auf AWS ausgeführt werden, wächst, können Sie Ihre Netzwerke über mehrere Konten und Amazon VPCs hinweg skalieren, um mit dem Wachstum Schritt zu halten.

Sie können nun mit Peering Paare von Amazon VPCs verbinden. Die Verwaltung von Punkt-zu-Punkt-Konnektivität über viele Amazon VPCs hinweg, ohne die Möglichkeit, die Konnektivitätsrichtlinien zentral zu verwalten, kann jedoch kostspielig und umständlich sein. Für die lokale Konnektivität müssen Sie Ihr AWS-VPN an jede einzelne Amazon VPC anhängen. Diese Lösung kann zeitaufwändig zu erstellen und schwer zu verwalten sein, wenn die Anzahl der VPCs auf Hunderte ansteigt.

Mit AWS Transit Gatewaymüssen Sie nur eine einzige Verbindung vom zentralen Gateway zu jeder Amazon VPC, lokalen Rechenzentren oder Remote-Niederlassungen in Ihrem Netzwerk erstellen und verwalten. Das Transit Gateway fungiert als Hub, der steuert, wie der Datenverkehr zwischen allen angeschlossenen Netzwerken geleitet wird, die sich wie Speichen verhalten. Dieses Hub- und Spoke-Modell vereinfacht die Verwaltung erheblich und senkt die Betriebskosten, da jedes Netzwerk nur eine Verbindung zum Transit Gateway und nicht zu jedem anderen Netzwerk herstellen muss. Jede neue VPC ist mit dem Transit Gateway verbunden und steht automatisch jedem anderen Netzwerk zur Verfügung, das mit dem Transit Gateway verbunden ist. Diese einfache Konnektivität erleichtert die Skalierung Ihres Netzwerks während des Wachstums.

Wenn Unternehmen eine wachsende Anzahl von Anwendungen, Services und Infrastrukturen in die Cloud migrieren, stellen sie schnell SD-WAN bereit, um die Vorteile der Breitbandkonnektivität zu nutzen und Benutzer von Zweigstellen direkt mit Cloud-Ressourcen zu verbinden. Es gibt viele Herausforderungen in Bezug auf die Komplexität des Aufbaus und Managements globaler privater Netzwerke mit Internet-Transportdiensten, um geografisch verteilte Standorte und Benutzer mit nahebasierten Cloud-Ressourcen zu verbinden. Der AWS Transit Gateway Network Manager ändert dieses Paradigma. Citrix SD-WAN-Kunden, die AWS verwenden, können jetzt Citrix SD-WAN mit AWS Transit Gateway verwenden, indem sie die Citrix SD-WAN-ZweigAppliance AWS Transit Gateway integrieren, um Benutzern mit der Möglichkeit, alle mit dem Transit Gateway verbundenen VPCs zu erreichen.

Im Folgenden werden die Schritte beschrieben, um Citrix SD-WAN mit AWS Transit Gateway zu integrieren:

  1. Erstellen Sie das AWS Transit Gateway.

  2. Verbinden Sie ein VPN mit dem Transit Gateway (entweder vorhandenes oder ein neues VPN).

  3. Verbinden Sie VPN mit dem konfigurierten Transit Gateway, an dem sich das VPN mit dem SD-WAN-Site befindet, der sich On-Prem oder in einer beliebigen Cloud befindet (AWS, Azure oder GCP).

  4. Stellen Sie das Border Gateway Protocol (BGP) Peering über den IPSec-Tunnel mit dem AWS Transit Gateway von Citrix SD-WAN ein, um die mit Transit Gateway verbundenen Netzwerke (VPCs) zu lernen.

Anwendungsfall

Der Anwendungsfall besteht darin, Ressourcen, die in AWS (in jeder VPC) bereitgestellt werden, aus der Zweigstellenumgebung zu erreichen. Mit AWS Transit Gateway kann der Datenverkehr zu allen VPCs gelangen, die mit dem Transit Gateway verbunden sind, ohne BGP-Routen zu behandeln. Um dies zu erreichen, führen Sie die folgenden Methoden aus:

  • Richten Sie die IPsec to AWS Transit Gateway über die Zweigstelle Citrix SD-WAN Appliance ein. Bei dieser Bereitstellungsmethode erhalten Sie keine vollständigen SD-WAN-Vorteile, da der Datenverkehr über IPsec geht.

  • Stellen Sie eine Citrix SD-WAN Appliance in AWS bereit, und verbinden Sie sie über einen virtuellen Pfad mit Ihrer lokalen Citrix SD-WAN Appliance.

Unabhängig davon, welche Methode gewählt wird, erreicht der Datenverkehr zu den VPCs, die mit dem Transit Gateway verbunden sind, ohne das Routing innerhalb von AWS infra manuell zu verwalten.

AWS Transit Gateway

Konfiguration von AWS Transit Gateway

Um AWS Transit Gateway zu erstellen, navigieren Sie zum VPC-Dashboard und gehen Sie zumAbschnittTransit Gateway.

  1. Geben Sie den Transit Gateway-Namen, die Beschreibung und die Amazon ASN-Nummer an, wie im folgenden Screenshot hervorgehoben, und klicken Sie auf Transit Gateway erstellen.

TransitGateway erstellen

Sobald die Transit Gateway-Erstellung abgeschlossen ist, wird der Status “ Verfügbar” angezeigt.

Status des TransitGateway

  1. Um die Transit Gateway-Anhänge zu erstellen, navigieren Sie zu Transit Gateways > Transit Gateway-Anhänge und klicken auf Transit Gateway

Transit Gateway Anlage

  1. Wählen Sie in der Dropdownliste das erstellte Transit Gateway aus und wählen Sie den Anlagentyp als VPC aus. Geben Sie das Namens-Tag für die Anlage an, und wählen Sie die VPC-ID aus, die Sie an das erstellte Transit Gateway anhängen möchten. Eines der Subnetze der ausgewählten VPC wird automatisch ausgewählt. Klicken Sie auf Anlage erstellen, um VPC an das Transit Gateway anzuhängen.

Details zum Transit-Gateway

  1. Nachdem Sie die VPC an das TransitGateway angeschlossen haben, können Sie feststellen, dass der Ressourcentyp-VPC mit dem Transit-Gateway verknüpft wurde.

Ressourcentyp VPC

  1. Um SD-WAN über VPN an das Transit Gateway anzuhängen, wählen Sie in der Dropdownliste die Transit Gateway-ID aus und wählen Sie Anlagentyp als VPN aus. Stellen Sie sicher, dass Sie die richtige Transit Gateway ID auswählen.

Fügen Sie ein neues VPN Customer Gateway hinzu, indem Sie die öffentliche IP-Adresse des SD-WAN-Links und die BGP-ASN-Nummer angeben. Klicken Sie auf Anlage erstellen, um VPN mit Transit Gateway anzuhängen.

VPN mit Transit Gateway anhängen

  1. Sobald das VPN an das Transit Gateway angeschlossen ist, können Sie die Details sehen, wie im folgenden Screenshot gezeigt:

VPN an Transit Gateway angeschlossen

  1. Unter Customer Gateways werdenSD-WAN Customer Gateway und Standort-zu-Standort-VPN-Verbindung als Teil des VPN-Anhangs zum Transit Gateway erstellt. Sie sehen, dass das SD-WAN Customer Gateway zusammen mit der IP-Adresse dieses Customer Gateways erstellt wird, das die öffentliche WAN-Link-IP-Adresse von SD-WAN darstellt.

KundenGateway

  1. Navigieren Sie zu Standort-zu-Standort-VPN-Verbindungen, um SD-WAN Customer Gateway-VPN-Konfiguration herunterzuladen. Diese Konfigurationsdatei enthält zwei IPSec-Tunneldetails zusammen mit den BGP-Peer-Informationen. Zwei Tunnel werden aus SD-WAN zu Transit Gateway für Redundanz erstellt.

Sie können sehen, dass die öffentliche IP-Adresse des SD-WAN WAN-Links als Kundengateway-Adresse konfiguriert wurde.

Standort-zu-Standort-VPN-Verbindung

  1. Klicken Sie auf Konfiguration herunterladen und laden Sie die VPN-Konfigurationsdatei herunter. Wählen Sie den Anbieter, die Plattform als **generisch und die **Software als Vendor Agnostic aus.

Download-Konfiguration

Die heruntergeladene Konfigurationsdatei enthält die folgenden Informationen:

  • IKE-Konfiguration
  • IPSec-Konfiguration für AWS Transit Gateway
  • Konfiguration der Tunnelschnittstelle
  • BGP-Konfiguration

    Diese Informationen stehen für zwei IPSec-Tunnel für hohe Verfügbarkeit (HA) zur Verfügung. Stellen Sie sicher, dass Sie beide Tunnelendpunkte konfigurieren, während Sie dies in SD-WAN konfigurieren. Siehe den folgenden Screenshot als Referenz:

    Zwei IPSec-Tunnel

Konfigurieren des Intranetdienstes auf SD-WAN

  1. Um den Intranetdienst zu konfigurieren, der in der IPSec-Tunnelkonfiguration auf SD-WAN verwendet wird, navigieren Sie zu Konfigurationseditor > Verbindungen, wählen Sie den Standort aus der Dropdownliste aus, und wählen Sie Intranetdienst aus. Klicken Sie auf + Dienst, um einen neuen Intranetdienst hinzuzufügen.

Konfigurieren des Intranetdienstes

  1. Wählen Sie nach dem Hinzufügen des Intranetdienstes die WAN-Verbindung (mit der Sie den Tunnel zum Transit-Gateway einrichten möchten) aus, die für diesen Dienst verwendet wird.

WAN-Verbindung auswählen

  1. Um den IPSec-Tunnel für AWS Transit Gateway zu konfigurieren, navigieren Sie zu Konfigurationseditor > Verbindungen wählen Sie die Site aus der Dropdownliste aus, und klicken Sie auf IPSec-Tunnel. Klicken Sie auf + Option, um IPSec-Tunnel hinzuzufügen.

Konfigurieren des IPSec-Tunnels

  1. Wählen Sie den Diensttyp als Intranet aus, und wählen Sie den Namen des ** Intranetdienstes, den Sie hinzugefügt haben. Wählen Sie die **lokale IP-Adresse als WAN-Link-IP-Adresse und** Peer-Adresse als IP-Adresse des virtuellen privaten Transit-Gateways aus.

Aktivieren Sie dasKontrollkästchenKeepalive, damit der Tunnel unmittelbar nach der Aktivierung der Konfiguration von SD-WAN initiiert wird.

IPSec-Tunneldiensttyp

  1. Konfigurieren Sie IKE-Parameter basierend auf der VPN-Konfigurationsdatei, die Sie von AWS heruntergeladen haben.

IKE-Parameter

  1. Konfigurieren Sie IPSec-Parameter basierend auf der VPN-Konfigurationsdatei, die Sie von AWS heruntergeladen haben. Konfigurieren Sie auch IPSec-geschützte Netzwerke basierend auf dem Netzwerk, das Sie über den Tunnel senden möchten. Sie können sehen, dass es so konfiguriert ist, dass jeder Datenverkehr über den IPSec-Tunnel zugelassen wird.

IPSec-Parameter

  1. Konfigurieren Sie das Customer Gateway innerhalb der IP-Adresse als eine der virtuellen IP-Adressen auf SD-WAN. Suchen Sie in der heruntergeladenen VPN-Konfigurationsdatei das KundenGateway innerhalb der IP-Adresse, die sich auf Tunnel-1 bezieht. Konfigurieren Sie dieses KundenGateway innerhalb der IP-Adresse als eine der virtuellen IP-Adressen auf SD-WAN, und aktivieren Sie dasKontrollkästchenIdentität.

KundenGateway innerhalb der IP-Adresse

  1. Fügen Sie Routen auf SD-WAN hinzu, um Virtual Private Gateway von Transit Gateway zu erreichen. Suchen Sie in der heruntergeladenen VPN-Konfigurationsdatei innerhalb und außerhalb der IP-Adresse von Virtual Private Gateway im Zusammenhang mit Tunnel-1. Fügen Sie Routen innerhalb und außerhalb der IP-Adresse von Virtual Private Gateway mit Diensttyp als Intranet hinzu, und wählen Sie den in den obigen Schritten erstellten Intranetdienst aus.

Routen hinzufügen

  1. Konfigurieren Sie BGP auf SD-WAN. Aktivieren Sie BGP mit der entsprechenden ASN-Nummer. Suchen Sie in der heruntergeladenen VPN-Konfigurationsdatei die BGP-Konfigurationsoptionen im Zusammenhang mit Tunnel-1. Verwenden Sie diese Details, um BGP Neighbor auf SD-WAN hinzuzufügen.

Um BGP auf SD-WAN zu aktivieren, navigieren Sie zu Verbindungen Wählen Sie den Standort aus der Dropdownliste aus, und wählen Sie dann BGP aus. Aktivieren Sie das Kontrollkästchen Aktivieren, um BGP zu aktivieren. Aktivieren Sie das Kontrollkästchen Citrix SD-WAN Routen ankündigen, um SD-WAN-Routen für Transit Gateway anzukündigen. Verwenden Sie die Kunden-Gateway-ASN aus den BGP-Konfigurationsoptionen und konfigurieren Sie diese als Lokales Autonomes System.

Konfigurieren von BGP auf SD-WAN

  1. Um BGP-Neighbors auf SD-WAN hinzuzufügen, navigieren Sie zu Verbindungen wählen Sie den Standort aus der Dropdownliste aus, und wählen Sie dann BGP aus. Klicken Sie auf den Abschnitt Neighbors, und klicken Sie auf die + Option.

Verwenden Sie Neighbor IP Address und Virtual Private Gateway ASN aus den BGP-Konfigurationsoptionen beim Hinzufügen von Neighbor. Die Quell-IP muss Customer Gateway innerhalb der IP-Adresse (Konfiguriert als virtuelle IP-Adresse auf SD-WAN) aus der heruntergeladenen Konfigurationsdatei von AWS übereinstimmen. Fügen Sie BGP Neighbor mit aktiviertem Multi Hop auf SD-WAN hinzu.

BGP Neighbor hinzufügen

  1. Um Importfilter hinzuzufügen, um BGP-Routen in SD-WAN zu importieren, navigieren Sie zu Verbindungen, wählen Sie den Standort aus der Dropdownliste aus, wählen Sie dann BGP aus, und klicken Sie auf Filter importieren. Klicken Sie auf +, um einen Importfilter hinzuzufügen. Wählen Sie das Protokoll als BGP und passen Sie alle an, um alle BGP-Routen zu importieren. Wählen Sie den Diensttyp als Intranet aus, und wählen Sie den erstellten Intranetdienst aus. Dies ist, um BGP-Routen mit Service-Typ als Intranet zu importieren.

Hinzufügen von Importfiltern

Überwachung und Fehlerbehebung auf SD-WAN

  1. Um den Status des IPSec-Tunnels auf SD-WAN zu überprüfen, navigieren Sie zu Überwachung > Statistik > IPSec-Tunnel. Im folgenden Screenshot sehen Sie, dass der IPSec-Tunnel von SD-WAN in Richtung AWS Transit Gateway eingerichtet wurde und der Status GUT ist. Außerdem können Sie die Menge des über diesen IPSec-Tunnel gesendeten und empfangenen Datenverkehrs überwachen.

Überwachung und Fehlerbehebung auf SD-WAN

  1. Um den ** BGP-Peering-Status auf SD-WAN zu überprüfen, navigieren Sie zu **Überwachung > Routing-Protokolle und wählen Sie BGP-Status. Sie können sehen, dass der BGP-Status als “ etabliert” gemeldet wurde und die Neighbor IP-Adresse und die Neighbor ASN mit AWS BGP-Nachbardetails übereinstimmen. Damit können Sie sicherstellen, dass das BGP Peering von SD-WAN zu AWS Transit Gateway über IPSec-Tunnel etabliert wurde.

Überprüfen des BGP-Peering-Status

Eine VPC (192.168.0.0) ist mit AWS Transit Gateway verbunden. SD-WAN hat dieses VPC-Netzwerk (192.168.0.0) von AWS Transit Gateway über BGP gelernt. Diese Route wurde auf SD-WAN mit Servicetyp als Intranet gemäß dem in den obigen Schritten erstellten Importfilter installiert.

  1. Um die BGP-Routeninstallation auf SD-WAN zu überprüfen, navigieren Sie zu Überwachung > Statistik > Routen und suchen Sie nach dem Netzwerk 192.168.0.0/16, das als BGP-Route mit Servicetyp als Intranet installiert wurde. Dies bedeutet, dass Sie die Netzwerke lernen können, die mit AWS Transit Gateway verbunden sind, und können mit diesen Netzwerken über IPSec-Tunnel kommunizieren.

Überprüfen von BGP-Routen

Überwachung und Fehlerbehebung in AWS

  1. Um den Status des IPSec-Tunnels in AWS zu überprüfen, navigieren Sie zu VIRTUAL PRIVATE NETWORK (VPN) > Standort-zu-Site-VPN-Verbindungen Im folgenden Screenshot können Sie beobachten, dass die Customer Gateway-Adresse SD-WAN Link öffentliche IP-Adresse darstellt, mit der Sie Tunnel eingerichtet haben.

Der Tunnel-Status wird als UP angezeigt. Es kann auch beobachtet werden, dass AWS 8 BGP ROUTES von SD-WAN gelernt hat. Dies bedeutet, dass SD-WAN in der Lage ist, Tunnel mit AWS Transit Gateway zu etablieren und auch Routen über BGP austauschen zu können.

Überprüfen des IPSec-Tunnel-Status in AWS

  1. Konfigurieren Sie IPsec- und BGP-Details im Zusammenhang mit dem zweiten Tunnel basierend auf der heruntergeladenen Konfigurationsdatei auf SD-WAN.

Der Status, der sich auf beide Tunnel bezieht, kann auf SD-WAN wie folgt überwacht werden:

Status beider Tunnel

  1. Der Status, der sich auf beide Tunnel bezieht, kann in AWS wie folgt überwacht werden:

Status beider Tunnel in AWS

Citrix SD-WAN Integration mit AWS Transit Gateway