Citrix SD-WAN Center

Uso de Citrix SD-WAN para conectarse a Microsoft Azure Virtual WAN

Para que los dispositivos locales se conecten a Azure se requiere un Controller. Un Controller ingiere API de Azure para establecer conectividad de sitio a sitio con la WAN de Azure y un Hub.

Microsoft Azure Virtual WAN incluye los siguientes componentes y recursos:

  • WAN: representa toda la red en Microsoft Azure. Contiene enlaces a todos los concentradores que le gustaría tener dentro de esta WAN. Las WAN están aisladas entre sí y no pueden contener un concentrador común ni conexiones entre dos concentradores en WAN diferentes.

  • Sitio: representa el dispositivo VPN local y su configuración. Un sitio puede conectarse a varios concentradores. Con Citrix SD-WAN, puede tener una solución integrada para exportar automáticamente esta información a Azure.

  • Hub: Representa el núcleo de la red en una región específica. El Hub contiene varios puntos finales de servicio para habilitar la conectividad y otras soluciones a la red local. Las conexiones de sitio a sitio se establecen entre los sitios a un extremo VPN de Hubs.

  • Conexión de red virtual de concentradores: la red de concentradores conecta el concentrador WAN virtual de Azure sin problemas a su red virtual. Actualmente, la conectividad a redes virtuales que se encuentran dentro de la misma región de concentradores virtuales está disponible.

  • Branch: las sucursales son los dispositivos Citrix SD-WAN locales, que existen en las ubicaciones de las oficinas del cliente. Un Controller SD-WAN gestiona las sucursales de forma centralizada. La conexión se origina detrás de estas ramas y termina en Azure. El Controller SD-WAN es responsable de aplicar la configuración requerida a estas ramas y a Azure Hubs.

En la siguiente ilustración se describen los componentes de la WAN virtual:

Imagen localizada

Cómo funciona Microsoft Azure Virtual WAN

  1. SD-WAN Center se autentica mediante la funcionalidad de acceso basado en funciones, principal o principal de servicio, que está habilitada en la GUI de Azure.

  2. SD-WAN Center obtiene la configuración de conectividad de Azure y actualiza el dispositivo local. Esto automatiza la descarga, edición y actualización de la configuración del dispositivo in situ.

  3. Después de que el dispositivo tenga la configuración correcta de Azure, se establece una conexión de sitio a sitio (dos túneles IPSec activos) a la WAN de Azure. Azure requiere que el conector de dispositivo de sucursal admita la configuración de IKEv2. La configuración de BGP es opcional.

    Nota: Los parámetros IPSec para establecer túneles IPSec están estandarizados.

    IPSec (propiedad) Parámetro
    Algoritmo de cifrado Ike AES 256
    Algoritmo de integridad de Ike SHA 256
    Grupo Dh DH2
    Algoritmo de cifrado IPSec GCM AES 256
    Algoritmo de integridad IPSec GCM AES 256
    Grupo PFS Ninguno

Azure Virtual WAN automatiza la conectividad entre la red virtual de carga de trabajo y el concentrador. Cuando crea una conexión de red virtual de concentradores, establece la configuración adecuada entre el concentrador aprovisionado y la red virtual de cargas de trabajo (VNET).

Requisitos previos y requisitos

Lea los siguientes requisitos antes de continuar con la configuración de Azure y SD-WAN para administrar los sitios de sucursales que se conectan a los concentradores de Azure.

  1. Han incluido en la lista blanca suscripción de Azure para Virtual WAN.
  2. Tenga un dispositivo local como, por ejemplo, un dispositivo SD-WAN para establecer IPSec en recursos de Azure.
  3. Tener enlaces a Internet con direcciones IP públicas. Aunque un único vínculo a Internet es suficiente para establecer la conectividad en Azure, necesita dos túneles IPSec para utilizar el mismo vínculo WAN.
  4. Controller SD-WAN: un Controller es la interfaz responsable de configurar los dispositivos SD-WAN para conectarse a Azure.
  5. Una VNET en Azure que tiene al menos una carga de trabajo. Por ejemplo, una VM, que aloja un servicio. Considere los siguientes puntos:
    1. La red virtual no debe tener una Gateway de Azure VPN o Express Route, ni un dispositivo virtual de red.
    2. La red virtual no debe tener una ruta definida por el usuario, que enruta el tráfico a una red virtual WAN no virtual para la carga de trabajo a la que se accede desde la rama local.
    3. Deben configurarse los permisos adecuados para acceder a la carga de trabajo. Por ejemplo, el puerto 22 de acceso SSH para una máquina virtual ubuntu.

El siguiente diagrama ilustra una red con dos sitios y dos redes virtuales en Microsoft Azure.

Imagen localizada

Configurar la WAN virtual de Microsoft Azure

Para que las sucursales SD-WAN locales se conecten a Azure y accedan a los recursos a través de túneles IPSec, se deben completar los siguientes pasos.

  1. Configuración de recursos WAN.
  2. Habilitar las sucursales SD-WAN para conectarse a Azure mediante túneles IPSec.

Configure la red de Azure antes de configurar la red SD-WAN, ya que los recursos de Azure necesarios para conectarse a dispositivos SD-WAN deben estar disponibles de antemano. Sin embargo, puede configurar la configuración de SD-WAN antes de configurar los recursos de Azure, si lo prefiere. En este tema se describe la configuración de la red WAN virtual de Azure primero antes de configurar los dispositivos SD-WAN. https://microsoft.com azure virtual-wan.

Crear un recurso WAN

Para utilizar las funciones de WAN virtual y conectar el dispositivo de sucursal local en Azure:

  1. Vaya a.WAN virtual de Azure Inicie sesión en Microsoft Azure y seleccione Crear WAN.

    Imagen localizada

  2. Introduzca un nombre para la WAN y seleccione la suscripción que quiere utilizar para WAN. Imagen localizada

  3. Seleccione un grupo de recursos existente o cree un grupo de recursos nuevo. Los grupos de recursos son construcciones lógicas y el intercambio de datos entre grupos de recursos siempre es posible.
  4. Seleccione la ubicación donde quiere que resida el grupo de recursos. WAN es un recurso global que no tiene una ubicación. Sin embargo, debe especificar una ubicación para el grupo de recursos que contendrá metadatos para el recurso WAN.

  5. Haga clic en Crear. Esto inicia el proceso para validar e implementar la configuración.

Crear sitio

Puede crear un sitio mediante un proveedor preferido. El proveedor preferido envía la información sobre el dispositivo y el sitio a Azure o puede decidir administrar el dispositivo usted mismo. Si quiere administrar el dispositivo, debe crear el sitio en Azure Portal.

Flujo de trabajo de red SD-WAN y WAN virtual de Microsoft Azure

Configurar el dispositivo SD-WAN:

  1. Aprovisionar un dispositivo Citrix SD-WAN
    • Conecte el dispositivo de sucursal SD-WAN al dispositivo MCN.
  2. Configurar dispositivo SD-WAN
    • Configure los servicios de intranet para la conexión activa-activa.

Configurar SD-WAN Center:

  • Configure SD-WAN Center para conectarse a Microsoft Azure.

Configurar la configuración de Azure:

  • Proporcione ID de arrendatario, ID de cliente, clave segura, ID de suscriptor y grupo de recursos.

Configurar el sitio de sucursal a la asociación WAN:

  1. Asocie un recurso WAN a una rama. El mismo sitio no se puede conectar a varias WAN.
  2. Haga clic en Nuevo para configurar la asociación de WAN del sitio.
  3. Seleccione Azure WAN Resources.
  4. Seleccione Servicios (Intranet) para el sitio. Seleccione dos servicios para la compatibilidad con Active-Standby.
  5. Seleccione Nombres de sitio que quiere asociar a los recursos de WAN.
  6. Haga clic en Implementar para confirmar la asociación.
  7. Espere a que el estado cambie a Túneles implementados para ver la configuración del túnel IPSec.
  8. Utilice la vista Informes de SD-WAN Center para comprobar el estado de los respectivos túneles IPSec.

Configurar la red de Citrix SD-WAN

MCN:

El MCN sirve como punto de distribución para la configuración inicial del sistema y los cambios de configuración posteriores. Solo puede haber un MCN activo en una WAN virtual.De forma predeterminada, los dispositivos tienen el rol preasignado de cliente. Para establecer un dispositivo como MCN, primero debe agregar y configurar el sitio como MCN. La GUI de configuración de red queda disponible después de que un sitio se configura como un MCN. Las actualizaciones y los cambios de configuración deben realizarse únicamente desde el centro de MCN o SD-WAN.

Función del MCN:

El MCN es el nodo central que actúa como Controller de una red SD-WAN y punto de administración central para los nodos cliente. Todas las actividades de configuración, así como la preparación de paquetes de firmware y su distribución a los clientes, se configuran en el MCN. Además, la información de supervisión solo está disponible en el MCN. El MCN puede supervisar toda la red SD-WAN, mientras que los nodos de cliente solo pueden supervisar las Intranets locales y cierta información para esos clientes, a los que están conectados. El objetivo principal del MCN es establecer conexiones de superposición (rutas virtuales) con uno o más nodos de cliente ubicados en la red SD-WAN para la comunicación de sitio a sitio de la empresa. Un MCN puede administrar y tener rutas virtuales a varios nodos de cliente. Puede haber más de un MCN, pero solo uno puede estar activo en un momento dado. La siguiente figura ilustra el diagrama básico de los dispositivos MCN y cliente (nodo de sucursal) para una pequeña red de dos sitios.

Imagen localizada

Configurar el dispositivo SD-WAN como MCN

Para agregar y configurar el MCN, primero debe iniciar sesión en la Interfaz Web de administración del dispositivo que está designando como MCN y cambiar la Interfaz Web de administración al modo Consola de MCN. El modo Consola de MCN permite el acceso al Editor de configuración en la Interfaz Web de administración a la que está conectado actualmente. A continuación, puede utilizar el Editor de configuración para agregar y configurar el sitio de MCN.

Para cambiar la Interfaz Web de administración al modo Consola de MCN, haga lo siguiente:

  1. Inicie sesión en la interfaz web de administración de SD-WAN del dispositivo que quiere configurar como MCN.
  2. Haga clic en Configuración en la barra de menú principal de la pantalla principal de Management Web Interface (barra azul en la parte superior de la página).
  3. En el árbol de navegación (panel izquierdo), abra la rama Configuración del equipo y haga clic en Interfaz de administrador.
  4. Seleccione la ficha Varios. Se abrirá la página de configuración administrativa miscelánea.

    Imagen localizada

    En la parte inferior de la ficha Varios se encuentra la sección Cambiar a [cliente, Consola de MCN]. Esta sección contiene el botón Conmutador de consola para alternar entre los modos de consola del dispositivo.

El encabezado de sección indica el modo de consola actual, como se indica a continuación:

  • En el modo de consola de cliente (predeterminado), el encabezado de sección es Cambiar a consola de MCN.
  • En el modo Consola de MCN, el encabezado de sección es Cambiar a Consola de cliente.

De forma predeterminada, un dispositivo nuevo está en el modo Consola de cliente. El modo Consola de MCN habilita la vista Editor de configuración en el árbol de navegación. El Editor de configuración solo está disponible en el dispositivo MCN.

Configurar MCN

Para agregar y comenzar a configurar el sitio del dispositivo MCN, haga lo siguiente:

  1. En la GUI del dispositivo SD-WAN, vaya a Virtual WAN > Configuration Editor.

    Imagen localizada

  2. Haga clic en + Sitios en la barra Sitios para comenzar a agregar y configurar el sitio MCN. Aparece el cuadro de diálogo Agregar sitio.

    Imagen localizada

  3. Escriba un nombre de sitio que le permita determinar la ubicación geográfica y el rol del dispositivo (DC secundario). Seleccione el modelo de dispositivo correcto. La selección del dispositivo correcto es crucial, ya que las plataformas de hardware difieren entre sí en términos de potencia de procesamiento y licencias. Dado que estamos configurando este dispositivo como el dispositivo final principal, elija el modo como MCN principal y haga clic en Agregar.

  4. Esto agrega el nuevo sitio al árbol de sitios y la vista predeterminada muestra la página de configuración básica como se muestra a continuación:

    Imagen localizada

  5. Introduzca la configuración básica, como la ubicación, el nombre del sitio.

  6. Configure el dispositivo para que pueda aceptar tráfico de Internet/MPLS/banda ancha. Defina las interfaces en las que se terminan los vínculos. Esto depende de si el dispositivo está en modo de superposición o de calco subyacente.
  7. Haga clic en Grupos de interfaz para empezar a definir las interfaces.

    Imagen localizada

  8. Haga clic en + para agregar grupos de interfaces virtuales. Esto agrega un nuevo grupo de interfaces virtuales, el número de interfaces virtuales depende de los vínculos que quiera que gestione el dispositivo. El número de vínculos que puede gestionar un dispositivo varía de un modelo a otro y el número máximo de vínculos puede ser de hasta ocho.

    Imagen localizada

  9. Haga clic en + a la derecha de las interfaces virtuales para ver la pantalla como se muestra a continuación.

    Imagen localizada

  10. Seleccione las interfaces Ethernet, que forman la parte de esta interfaz virtual. Según el modelo de plataforma, los dispositivos tienen un par preconfigurado de interfaces de error a cable. Si quiere habilitar la conmutación por error en los dispositivos, asegúrese de que está eligiendo el par correcto de interfaces y asegúrese de elegir la conmutación por error en la columna Modo de derivación.
  11. Seleccione el nivel de seguridad en la lista desplegable. Se elige el modo de confianza, si la interfaz está sirviendo enlaces MPLS y no de confianza se elige cuando se utilizan vínculos de Internet en las interfaces respectivas.
  12. Haga clic en + a la derecha de la etiqueta denominada interfaces virtuales. Muestra el nombre, la zona del firewall y los ID de VLAN. Introduzca el nombre y el ID de VLAN para este grupo de interfaces virtuales. El ID de VLAN se utiliza para identificar y marcar el tráfico hacia y desde la interfaz virtual, utilice 0 (cero) para el tráfico nativo/no etiquetado.

    Imagen localizada

  13. Para configurar las interfaces que no pueden cablear, haga clic en Pares de puente. Esto agrega un nuevo par de puentes y permite la edición. Haga clic en Aplicar para confirmar esta configuración.
  14. Para agregar más grupos de interfaces virtuales, haga clic en + a la derecha de la rama de grupos de interfaces y proceda como se indica anteriormente.
  15. Después de elegir las interfaces, el siguiente paso es configurar direcciones IP en estas interfaces. En la terminología de Citrix SD-WAN, esto se conoce como VIP (IP virtual).
  16. Continúe en la vista de sitios y haga clic en la dirección IP virtual para ver las interfaces para configurar VIP.

    Imagen localizada

  17. Introduzca la información de dirección IP/prefijo y seleccione la interfaz virtual con la que está asociada la dirección. La dirección IP virtual debe incluir la dirección de host completa y la máscara de red. Seleccione la configuración deseada para la dirección IP virtual, como Zona de cortafuegos, Identidad, Privado y Seguridad. Haga clic en Aplicar. Esto agrega la información de dirección al sitio y la incluye en la tabla Direcciones IP virtuales del sitio. Para agregar más direcciones IP virtuales, haga clic en + a la derecha de las direcciones IP virtuales y proceda como se indica anteriormente.

  18. Continúe en la sección de sitios para configurar vínculos WAN para el sitio.

    Imagen localizada

  19. Haga clic en Agregar vínculo, en la parte superior del panel a la derecha. Esto abre un cuadro de diálogo, que le permite elegir el tipo de vínculo que se va a configurar.

    Imagen localizada

  20. Internet público es para enlaces de Internet/gran ancho de banda/DSL/ADSL, mientras que MPLS privado es para enlaces MPLS. Intranet privada también es para enlaces MPLS. La diferencia entre MPLS privados y los vínculos de Intranet privados es que MPLS privados permite preservar las directivas de QoS de los enlaces MPLS.
  21. Si elige Internet público y las direcciones IP se asignan a través de DHCP, elija la opción de detección automática de IP.
  22. Seleccione Interfaces de acceso en la página de configuración de vínculos WAN. Esto abre la vista Interfaces de acceso para el sitio. Agregue y configure la IP VIP y la Gateway para cada uno de los enlaces como se muestra a continuación.

    Imagen localizada

  23. Haga clic en + para agregar una interfaz. Esto agrega una entrada en blanco a la tabla y la abre para su edición.

  24. Introduzca el nombre que quiere asignar a esta interfaz. Puede elegir ponerle un nombre en función del tipo de vínculo y la ubicación. Mantenga el dominio de enrutamiento como predeterminado si no quiere segregar redes y asignar una IP a la interfaz.
  25. Asegúrese de proporcionar una dirección IP de Gateway accesible públicamente si el enlace es un enlace de Internet o una IP privada si el enlace es un enlace MPLS. Mantenga el modo de ruta virtual como principal, ya que necesita este vínculo para formar ruta virtual.

    Nota: Habilite el ARP de proxy a medida que el dispositivo responda a las solicitudes ARP para la dirección IP de la Gateway cuando la Gateway sea inalcanzable.

  26. Haga clic en Aplicar para terminar de configurar el vínculo WAN. Si quiere configurar más vínculos WAN, repita los pasos para otro vínculo.
  27. Configurar rutas para el sitio. Haga clic en la vista Conexiones y seleccione rutas.
  28. Haga clic en + para agregar rutas, esto abre un cuadro de diálogo como se muestra a continuación.

    Imagen localizada

  29. Introduzca la siguiente información disponible para la nueva ruta:

    • Dirección IP de red
    • Costo: el coste determina qué ruta tiene prioridad sobre la otra. Las rutas con costes más bajos tienen prioridad sobre las rutas de mayor coste. El valor predeterminado es cinco.
    • Tipo de servicio: seleccione el servicio, un servicio puede ser cualquiera de los siguientes:
      • Ruta virtual
      • Intranet
      • Internet
      • Paso a través
      • Locales
      • Túnel GRE
      • Túnel IPSec LAN
  30. Haga clic en Aplicar.

Para agregar más rutas para el sitio haga clic en + a la derecha de la rama de rutas y proceda como arriba. Para obtener más información, consulte Configurar MCN.

Configurar ruta virtual entre MCN y sitios de sucursal

Establecer conectividad entre el MCN y el nodo de sucursal. Puede hacerlo configurando una ruta virtual entre estos dos sitios. Acceda a la ficha Conexiones del árbol de configuración del editor de configuración.

  1. Haga clic en la ficha Conexiones de la sección de configuración. Muestra la sección de conexiones del árbol de configuración.
  2. Seleccione el MCN desde el menú desplegable del sitio de vista en la página de sección de conexiones.

    Imagen localizada

  3. Seleccione la ruta virtual en la ficha Conexiones para crear la ruta virtual entre los sitios de MCN y sucursal.

    Imagen localizada

  4. Haga clic en Agregar ruta virtual junto al nombre de la ruta virtual estática en la sección de rutas virtuales. Esto abre un cuadro de diálogo como se muestra a continuación. Elija la rama para la que quiere configurar la ruta de acceso virtual. Debe configurarlo bajo la etiqueta denominada sitio remoto. Seleccione el nodo de rama de esta lista desplegable y haga clic en la casilla Invertir también.

    Imagen localizada

    La clasificación y dirección del tráfico se reflejan en ambos sitios de la ruta virtual. Una vez completado esto, seleccione rutas en el menú desplegable debajo de la etiqueta llamada sección como se muestra a continuación.

    Imagen localizada

  5. Haga clic en + Agregar encima de la tabla de rutas, que muestra el cuadro de diálogo Agregar ruta. Especifique los puntos finales dentro de los cuales se debe configurar la ruta virtual. Ahora, haga clic en Agregar para crear la ruta y haga clic en la casilla Invertir también.

    Nota: Citrix SD-WAN mide la calidad de los vínculos en ambas direcciones. Esto significa que el punto A al punto B es un camino y el punto B al punto A es otro camino. Con la ayuda de la medición unidireccional de las condiciones de enlace, la SD-WAN es capaz de elegir la mejor ruta para enviar tráfico. Esto es diferente de medidas como RTT, que es una métrica bidireccional para medir la latencia. Por ejemplo, una conexión entre el punto A y el punto B se muestra como dos rutas y para cada una de ellas las métricas de rendimiento del vínculo se calculan de forma independiente.

Esta configuración es suficiente para poner las rutas virtuales entre el MCN y la rama, otras opciones de configuración también están disponibles. Para obtener más información, consulte Configurar el servicio de rutas virtuales entre sitios de MCN y cliente.

Implementar la configuración de MCN

El siguiente paso es implementar la configuración. Esto implica los dos pasos siguientes:

  1. Exporte el paquete de configuración de SD-WAN a Administración de cambios.

    • Antes de poder generar los paquetes del equipo, primero debe exportar el paquete de configuración completado desde el Editor de configuración a la bandeja de entrada provisional de administración de cambios global en el MCN. Consulte los pasos proporcionados en la sección,Realizar administración de cambios.
  2. Generar y organizar los paquetes del dispositivo.

    • Después de agregar el nuevo paquete de configuración a la bandeja de entrada de Administración de cambios, puede generar y organizar los paquetes del dispositivo en los sitios de las sucursales. Para ello, utilice el Asistente para administración de cambios en la interfaz web de administración del MCN. Consulte los pasos proporcionados en la sección,Paquetes de Stage Appliance.

Configurar servicios de intranet para conectarse con recursos de Azure WAN

  1. En la GUI del dispositivo SD-WAN, vaya al Editor de configuracióny vaya al icono Conexiones. Haga clic en + Agregar servicio para agregar un servicio de intranet para ese sitio. Imagen localizada

  2. En Configuración básica del servicio de intranet, hay varias opciones sobre cómo quiere que el servicio de intranet se comporte durante la falta de disponibilidad de vínculos WAN.

    • Habilitar recuperación primaria: Marque esta casilla si quiere que el enlace principal elegido se haga cargo cuando aparezca después de fallar. Sin embargo, si decide no marcar esta opción, el enlace secundario continuará enviando tráfico.
    • Ignorar estado del vínculo WAN: Si esta opción está habilitada, los paquetes destinados a este servicio de intranet seguirán mediante este servicio aunque los vínculos WAN constitutivos no estén disponibles. Imagen localizada
  3. Después de configurar la configuración básica, el siguiente paso es elegir los vínculos WAN constituyentes para este servicio. En un máximo de dos enlaces se eligen para un servicio de Intranet. Para elegir los enlaces WAN, seleccione la opción Vínculos WAN en el menú desplegable denominado Sección. Los vínculos WAN funcionan en modo primario y secundario y solo se elige un vínculo WAN principal.

    Nota: Cuando se crea un segundo servicio de intranet, debe tener la asignación de vínculo wan-link primario y secundario.

    Imagen localizada

  4. Las reglas específicas del sitio de sucursal están disponibles, lo que permite la capacidad de personalización de cada sitio de sucursal anulando de forma única cualquier configuración general configurada en el conjunto predeterminado global. Los modos incluyen la entrega deseada a través de un enlace WAN específico, o como servicio de anulación que permite pasar o descartar el tráfico filtrado. Por ejemplo, si hay algo de tráfico, que no quiere pasar por el servicio de intranet, puede escribir una regla para descartar ese tráfico o enviarlo a través de un servicio diferente (Internet o de paso).

    Imagen localizada

  5. Con el Servicio de intranet habilitado para un sitio, el icono de aprovisionamiento está disponible para permitir la distribución bidireccional (LAN a WAN/WAN a LAN) del ancho de banda para un enlace WAN entre los diversos servicios que utilizan el vínculo WAN. La sección Servicios le permite ajustar aún más la asignación de ancho de banda. Además, se puede habilitar la participación justa, lo que permite a los servicios recibir su ancho de banda mínimo reservado antes de que se promulgue una distribución justa.

    Imagen localizada

Configurar SD-WAN Center

El siguiente diagrama describe el flujo de trabajo de alto nivel de SD-WAN Center y la conexión WAN virtual de Azure y los transitorios de estado correspondientes de la implementación.

Imagen localizada

Configurar la configuración de Azure:

  • Proporcione el ID de arrendatario de Azure, el ID de aplicación, la clave secreta y el ID de suscripción (también conocido como principal de servicio).

Configurar el sitio de sucursal a la asociación WAN:

  • Asocie un sitio de sucursal a un recurso WAN. El mismo sitio no se puede conectar a varias WAN.
  • Haga clic en Nuevo para configurar la asociación de WAN del sitio.
  • Seleccione Azure WAN Resources.
  • Seleccione Nombres de sitio para asociarse a los recursos WAN.
  • Haga clic en Implementar para confirmar la asociación. Los vínculos WAN que se utilizarán para la implementación de túneles se rellenan automáticamente con el que tiene la mejor capacidad de enlace.
  • Espere a que el estado cambie a”Túneles implementados’ para ver la configuración del túnel IPSec.
  • Utilice la vista Informes de SD-WAN Center para comprobar el estado de los respectivos túneles IPSec. El estado del túnel IPSec debe ser VERDE para que fluya el tráfico de datos, lo que indica que la conexión está activa.

Aprovisione SD-WAN Center:

SD-WAN center es la herramienta de administración y generación de informes para Citrix SD-WAN. La configuración necesaria para la WAN virtual se realiza en SD-WAN Center. SD-WAN Center solo está disponible como factor de forma virtual (VPX) y debe instalarse en un VMware ESXi o en un Hypervisor XenServer. Los recursos mínimos necesarios para configurar un dispositivo central SD-WAN son 8 GB de RAM y 4 núcleos de CPU. He aquí los pasos para instalar y configurar una VM de SD-WAN Center.

Configurar la conectividad SD-WAN Center para Azure

Leacrear una entidad de serviciopara obtener más información.

Para autenticar correctamente SD-WAN Center con Azure, deben estar disponibles los siguientes parámetros:

  • Directorio (ID de arrendatario)
  • Aplicación (ID de cliente)
  • Clave segura (secreto de cliente)
  • ID de suscriptor

Autenticar SD-WAN Center:

En la interfaz de usuario de SD-WAN Center, vaya a Configuración > Conectividad en la nube > Azure > WAN virtual. Configure las opciones de conexión de Azure. Consulte el siguiente vínculo para obtener más información acerca de cómo configurar la conexión VPN de Azure: Azure Resource Manager.

Imagen localizada

Introduzca el ID de suscripción, el IDde arrendatario, el ID de aplicacióny la clave segura. Este paso es necesario para autenticar SD-WAN Center con Azure. Si las credenciales especificadas anteriormente no son correctas, la autenticación falla y no se permiten otras acciones. Haga clic en Aplicar.

Imagen localizada

El campo Cuenta de almacenamiento hace referencia a la cuenta de almacenamiento que ha creado en Azure. Si no creó una cuenta de almacenamiento, se creará automáticamente una nueva cuenta de almacenamiento en su suscripción cuando haga clic en Aplicar.

Obtener recursos de Azure Virtual WAN:

Una vez que la autenticación se realiza correctamente, Citrix SD-WAN consulta Azure para obtener una lista de recursos WAN virtuales de Azure, que creó en el primer paso después de iniciar sesión en Azure Portal. Los recursos WAN representan toda la red en Azure. Contiene enlaces a todos los concentradores que le gustaría tener dentro de esta WAN. Las WAN están aisladas entre sí y no pueden contener un concentrador común o conexiones entre dos concentradores diferentes en recursos WAN diferentes.

Imagen localizada

Para asociar sitios de sucursal y recursos de Azure WAN:

Un sitio de sucursal debe asociarse con recursos WAN de Azure para establecer túneles IPSec. Una sucursal se puede conectar a varios concentradores dentro de un recurso WAN virtual de Azure y un recurso WAN virtual de Azure se puede conectar con varios sitios de sucursales locales. Cree filas individuales para cada implementación de recursos de WAN virtual de sucursal a Azure.

Para agregar varios sitios:

Puede elegir agregar todos los sitios respectivos y asociarlos con los recursos WAN únicos elegidos.

  1. Haga clic en Agregar varios para agregar todos los sitios que deben asociarse con los recursos WAN seleccionados.

    Imagen localizada

  2. La lista desplegable de recursos de la WAN de Azure (que se muestra a continuación) se rellena previamente con los recursos que pertenecen a su cuenta de Azure. Si no se han creado recursos WAN, esta lista está vacía y debe navegar al portal de Azure para crear los recursos. Si la lista se rellena con recursos WAN, elija el recurso WAN de Azure al que necesita conectarse los sitios de sucursal.

  3. Elija uno o todos los sitios de sucursales para iniciar el proceso de establecimiento del túnel IPSec. Los enlaces públicos de Internet de mejor capacidad de sitios se seleccionan automáticamente para establecer los túneles ipsec a las puertas de enlace VPN de Azure.

    Imagen localizada

Para agregar un solo sitio:

También puede elegir agregar sitios uno por uno (único) y a medida que la red crece, o si está realizando una implementación sitio por sitio, puede agregar varios sitios como se describe anteriormente.

  1. Haga clic en Agregar nueva entrada para seleccionar un nombre de sitio para la asociación Site-Wan. Agregue sitios en el cuadro de diálogo Configurar sitios en red de Azure.

    Imagen localizada

    Imagen localizada

  2. Seleccione el sitio de sucursal que quiere configurar para la red WAN virtual de Azure.

  3. Seleccione el vínculo WAN asociado con el sitio (los vínculos de tipo de Internet público se enumeran en el orden de mejor capacidad de enlace físico)

  4. Seleccione el recurso WAN al que debe asociarse el sitio en el menú desplegable WAN virtuales de Azure.

  5. Haga clic en Implementar para confirmar la asociación. El estado (“Información del sitio de inicio”, “Información del sitio empujado” y “Esperando la configuración de VPN”) se actualiza para notificarle sobre el proceso.

El proceso de implementación incluye el siguiente estado:

  • Información del sitio de inserción
  • Esperando la configuración de VPN
  • Túneles implementados
  • Conexión activa (el túnel IPSec está activo) o Conexión inactiva (el túnel IPSec está inactivo)

    Imagen localizada

Asignaciones de recursos Wan de sitio asociado (Portal de Azure):

Asocie los sitios implementados en el portal de Azure a los concentradores virtuales creados en el recurso WAN virtual de Azure. Uno o más concentradores virtuales pueden asociarse al sitio de la sucursal. Cada concentrador virtual se crea en una región específica y las cargas de trabajo específicas se pueden asociar a los concentradores virtuales mediante la creación de conexiones de red virtuales. Solo después de que la asociación del sitio de sucursal al concentrador virtual se realiza correctamente, las configuraciones de VPN se descargan y los respectivos túneles IPSec se establecen desde el sitio a las puertas de enlace VPN.

Espere a que el estado cambie a Túneles implementados o Conexión activa para ver la configuración del túnel IPSec. Ver la configuración de IPSec asociada a los servicios seleccionados.

Imagen localizada

Imagen localizada

Configuración de Azure de SD-WAN:

  • Inhabilitar la administración de cambios SD-WAN: De forma predeterminada, el proceso de administración de cambios está automatizado. Esto significa que cada vez que una nueva configuración esté disponible en la infraestructura de Azure Virtual WAN, SD-WAN Center la obtiene y comienza a aplicarla a las sucursales automáticamente. Sin embargo, este comportamiento está controlado, si quiere controlar cuándo es necesario aplicar una configuración a las ramas. Una ventaja de inhabilitar la administración automática de cambios es que la configuración de esta función y otras funciones de SD-WAN se administra de forma independiente.

  • Inhabilitar el sondeo de SDWAN: inhabilita todas las nuevas implementaciones de Azure de SD-WAN y el sondeo en implementaciones existentes.

  • Intervalo de sondeo: la opción Intervalo de sondeo controla el intervalo de búsqueda de actualizaciones de configuración en la infraestructura de Azure Virtual WAN, el tiempo recomendado para el intervalo de sondeo es de 1 hora.

  • Inhabilitar la conexión de sucursal a sucursal: Inhabilita la comunicación de sucursal a sucursal a través de la infraestructura WAN virtual de Azure. De forma predeterminada, esta opción está inhabilitada. Una vez habilitado esto, significa que las sucursales en prem pueden comunicarse entre sí y los recursos detrás de las sucursales a través de IPSec a través de Virtual WAN Infra de Azure. Esto no tiene ningún efecto en la comunicación de rama a rama a través de la ruta virtual SD-WAN, las sucursales pueden comunicarse entre sí y sus respectivos recursos/puntos finales a través de la ruta virtual incluso si esta opción está inhabilitada.

  • Inhabilitar BGP: Inhabilita BGP sobre IP, de forma predeterminada está inhabilitado. Una vez habilitadas, las rutas del sitio se anuncian a través de BGP.

  • Nivel de depuración: Permite capturar registros para depurar si hay algún problema de conectividad.

Imagen localizada

Actualizar recursos WAN:

Haga clic en el icono Actualizar para recuperar el conjunto más reciente de recursos WAN que actualizó en Azure Portal. Se muestra un mensaje que indica “recursos WAN actualizados correctamente” una vez finalizado el proceso de actualización.

Imagen localizada

Quitar la asociación de recursos WAN del sitio

Seleccione una o varias asignaciones para realizar la eliminación. Internamente, se activa el proceso de administración de cambios del dispositivo SD-WAN y, hasta que se realice correctamente, se inhabilita la opción Eliminar para evitar que se realicen más eliminaciones. Para eliminar la asignación, debe desasociar o eliminar los sitios correspondientes en el portal de Azure. El usuario tiene que realizar esta operación manualmente.

Imagen localizada

Supervisar túneles IPSec

En la interfaz de usuario de SD-WAN Center, vaya a Informes > IPSec para comprobar el estado de los túneles IPSec. El estado del túnel debe ser VERDE para que fluya el tráfico de datos.

Imagen localizada

Uso de Citrix SD-WAN para conectarse a Microsoft Azure Virtual WAN