Citrix SD-WAN Orchestrator

Integración de Citrix SD-WAN con AWS Transit Gateway Connect

October 31, 2022

Contribución de:

Citrix SD-WAN admite la integración con AWS Transit Gateway Connect para ofrecer una red superpuesta segura, coherente y de alto rendimiento para que los usuarios de sucursales y oficinas domésticas accedan a las aplicaciones en la nube.

AWS Transit Gateway le permite crear y administrar puertas de enlace para conectar sus implementaciones de Amazon Virtual Private Cloud (Amazon VPC) y redes locales.

AWS Transit Gateway Connect integra Citrix SD-WAN y AWS Transit Gateway y simplifica la capacidad de crear y administrar redes privadas globales.

Servicio AWS Transit Gateway

Con AWS Transit Gateway Connect, puede crear un archivo adjunto de Connect que establezca Connect peer (túnel GRE) entre Citrix SD-WAN VPX y AWS Transit Gateway. El adjunto Connect admite el protocolo de túnel de encapsulación de enrutamiento genérico (GRE) para un alto rendimiento y el protocolo Border Gateway (BGP) para el enrutamiento dinámico.

Cada par de conexión del adjunto Connect admite un ancho de banda máximo de 5 Gbps. Para lograr un mayor rendimiento, puede agregar más pares de Connect y escalar hasta 20 Gbps por accesorio de Connect (máximo 4 túneles GRE por accesorio Connect). Si se necesita un ancho de banda agregado de más de 20 Gbps, puede escalar horizontalmente creando más archivos adjuntos de Connect.

Anexo de AWS Transit Gateway Connect

Puede configurar la conectividad entre Citrix SD-WAN y Transit Gateway connect mediante el flujo de trabajo integrado en Citrix SD-WAN Orchestrator.

Requisitos previos

Cuenta de AWS (ID de suscripción de AWS, clave de acceso secreta e ID de clave de acceso) con los permisos necesarios para crear los siguientes recursos:
- Adjunto de VPC y adjunto de Transit Gateway Connect
- Bloque CIDR Transit Gateway
- Conecte al par en el accesorio de conexión
- Ruta en la tabla de rutas asociadas a la subred LAN del sitio.
Un sitio Citrix SD-WAN VPX configurado en el servicio Citrix SD-WAN Orchestrator. Asegúrese de configurar el mismo CIDR de subred de AWS asociado a la interfaz LAN que la dirección IPv4 en la interfaz virtual de la interfaz LAN.
Transit Gateway implementada. Si aún no está implementado, puede crear un Transit Gateway desde la consola de administración de AWS.
No utilice bloques CIDR de BGP reservados de AWS en ninguna parte de la configuración del sitio de AWS, ya que estos bloques CIDR se utilizan como IP/prefijo de túnel para crear un túnel GRE de LAN. Para ver los bloques reservados de AWS, consulte Connected Peers
La región de AWS seleccionada debe tener soporte para AWS Transit Gateway Connect. El soporte de AWS Transit Gateway Connect solo está disponible en las regiones de AWS que figuran en Requisitos y consideraciones.
El protocolo GRE debe estar permitido en el grupo de seguridad asociado a la subred LAN de AWS del sitio.

Configuración

A nivel de cliente, vaya a Configuración > Canales de entrega > Servicios de entrega. En la sección Servicios de SaaS y Cloud On-Ramp, seleccione el icono de AWS Transit Gateway. Aparece la página AWS Transit Gateway.

También puede ir a la página de AWS Transit Gateway desde Configuración > SaaS y Cloud On Ramp > AWS Transit Gateway.

Servicio de entrega de servicios de AWS Transit

En la esquina superior derecha de la página, haga clic en el enlace Autenticación.

Servicio de entrega de servicios de AWS Transit

Introduzca el identificador de suscripción de AWS, la clave de acceso secretadeAWS y el identificador de clave de accesode AWS.

Detalles de la suscripción a AWS Transit

Seleccione un sitio que esté implementado en la VPC en el que quiera implementar el adjunto de Transit Gateway Connect.

Nota:

Solo se muestran los sitios que están implementados en AWS.

Según el sitio seleccionado, la región de AWS y el ID de VPC se rellenan automáticamente.

Configuración de AWS Transit Gateway Connect

ID de Transit Gateway: Un centro de tránsito de red que interconecta los archivos adjuntos (VPC y VPN).
ID de adjunto de conexión: Un identificador único para el adjunto de conexión de Transit Gateway. Un accesorio de conexión le permite establecer la conectividad entre un Transit Gateway y dispositivos de terceros mediante GRE y BGP. Puede seleccionar un ID de conexión adjunto existente o crear un ID según sea necesario.
ID de subred: El CIDR de subred de AWS donde está presente la interfaz LAN VPX de SD-WAN.

Haga clic en + Conectar par para crear Transit Gateway Connect Peer Un par de conexiones de Transit Gateway crea un túnel GRE entre el Citrix SD-WAN VPX en una región de AWS y Transit Gateway. El túnel GRE se crea seleccionando las direcciones IP del bloque CIDR de Transit Gateway y la dirección IP LAN de SD-WAN VPX.

Bloque CIDR GRE de Transit Gateway: Las direcciones IP que se utilizan para establecer el túnel GRE. Puede seleccionar un bloque CIDR existente o crear uno nuevo activando la casilla Crear bloque de CIDR GRE de Transit Gateway.
Connect Peer GRE Tunnel IP: La dirección IP par del túnel GRE en el lado de Transit Gateway.
Direccióndel mismo nivel: La dirección IP LAN de Citrix SD-WAN VPX.
BGP dentro del bloque CIDR: El rango de direcciones IPv4 internas que se utilizan para la interconexión de BGP. Especifique un bloque CIDR /29 del rango 169.254.0.0/16.
ASN de par BGP: El número de sistema autónomo (ASN) del protocolo Border Gateway (BGP) del Citrix SD-WAN VPX. Puede usar un ASN existente asignado a su red. Si no tienes uno, puede usar un ASN privado en el rango de 64512 a 65534.

Nota

AWS impone ciertas restricciones al bloque CIDR de Transit Gateway y al CIDR de BGP Inside. Para obtener más información sobre las restricciones, consulte el bloque CIDR de Transit Gateway y el CIDR de BGP Inside.

Si no se especifica la IP del túnel GRE de Connect Peer, AWS asigna automáticamente la dirección IP seleccionando una de las direcciones IP del bloque CIDR configurado de Transit Gateway. Si quiere especificar una dirección IP en particular, asegúrese de que esté dentro del rango de bloques de CIDR de Transit Gateway.

Haga clic en Listo y luego en Guardar.

Haga clic en Implementar en la columna Acción. El proceso de implementación tarda aproximadamente 5 minutos y puede ver el estado haciendo clic en el botón Actualizar.

Nota

El nombre del túnel GRE de LAN creado automáticamente tiene el siguiente formato:

AWS_TGW_Connect-Tunnel-<number>

<number> is the number of GRE tunnels auto-created for the site, incremented by one. 

La identidad está inhabilitada en todas las direcciones IP virtuales existentes de la interfaz virtual LAN que está configurada en Connect Peer y solo se habilita en la dirección IP virtual recién agregada (IP de par BGP asignada al sitio por AWS).

implementación de AWS Transit Gateway Connect

Puede activar los cambios de configuración en toda la red mediante Deployment Tracker. Tras una activación exitosa, los túneles GRE se establecen entre Citrix SD-WAN VPX y AWS Transit Gateway. Las siguientes configuraciones se crean automáticamente para el sitio al hacer clic en Verificar configuración y continuar con la preparación y la activación:

Túnel LAN GRE
BGP y BGP ASN
Vecinos de BGP
Filtro de importación
Filtros de exportación
Interfaz virtual IP virtual adicional en LAN

Supervisión y solución de problemas

Para verificar el estado de establecimiento del túnel GRE, vaya a Informes > Tiempo real > Estadísticas > Otras estadísticas > Túnel GRE. En la siguiente captura de pantalla, puede ver que el túnel GRE está establecido desde SD-WAN hacia AWS Transit Gateway y el estado es ACTIVO.

Verificación del túnel GRE de AWS

Para verificar la instalación de la ruta BGP, vaya a Informes > Tiempo real > Rutas y compruebe si el sitio tiene una ruta BGP. Significa que puede conocer las redes conectadas a AWS Transit Gateway Connect y puede comunicarse con esas redes a través del túnel GRE.

Informe de archivos adjuntos de AWS Connect

Preguntas frecuentes

¿Qué hacer cuando el estado de conexión de AWS Transit Gateway aparece como Fallo tras la implementación?

El estado puede cambiar a Fallido en uno de los siguientes casos:
- Cuando se produjo un error al crear un adjunto
- Error al crear el adjunto al conectar
- No se pudo implementar Connect Peer
En caso de que la implementación de Connect Peer falle, haga clic en el icono de información para ver información detallada. Para continuar, elimina y vuelve a implementar el sitio.
¿Qué hacer cuando ya se ha creado un adjunto de VPC?

Le recomendamos que cree Transit Gateway Connect Attachment desde la consola de AWS e implemente Connect Peer mediante el Connect Attachment existente para el sitio desde el servicio Citrix SD-WAN Orchestrator.
¿Qué hacer cuando se produce un error en la implementación de Connect Peer al crear una ruta LAN al implementar AWS Transit Gateway Connect?

Como parte de la implementación, el servicio Citrix SD-WAN Orchestrator intenta agregar una ruta LAN en la tabla de enrutamiento de la interfaz LAN SD-WAN en AWS. La creación de la ruta podría fallar si no ha creado una tabla de rutas secundaria para la subred LAN. Para evitar cualquier problema de seguridad, no agregue la ruta LAN en la tabla de rutas principal de la VPC.
¿Qué hacer cuando la implementación de Connect Peer falla al crear Connect Peer al implementar AWS Transit Gateway Connect?

En varias ocasiones, se observa que, a veces, AWS Transit Gateway Connect Peer permanece en estado pendiente durante horas (puede tratarse de un comportamiento provisional de AWS Transit Gateway Connect). El servicio Citrix SD-WAN Orchestrator continúa con la implementación solo cuando cada recurso ha pasado al estado Disponible en AWS.
Al hacer clic en Eliminar en la columna Acciones, el sitio se elimina inmediatamente de AWS Transit Gateway. Sin embargo, los recursos aún se pueden ver en la consola de AWS. ¿Por qué?

Al hacer clic en Eliminar, el servicio Citrix SD-WAN Orchestrator inicia un trabajo de eliminación para eliminar todos los recursos de AWS. Sin embargo, si ha intervenido manualmente y ha eliminado algunos de los recursos, el trabajo de eliminación de Citrix SD-WAN Orchestrator solo limpia las entradas de la base de datos. Tienes que limpiar manualmente el resto de los recursos.
¿Cuánto tiempo tarda el servicio Citrix SD-WAN Orchestrator en eliminar los recursos de AWS?

Tras hacer clic en Eliminar en la columna Acciones, se tarda un máximo de 10 minutos en eliminar los recursos de AWS. Espere este intervalo para asegurarse de que todos los recursos se eliminen correctamente.
¿Cuál es la forma preferida de crear varios sitios de Transit Gateway presentes en la misma VPC con una subred en la misma zona de disponibilidad?

El método preferido es crear Connect Attachment solo una vez y usar el mismo Connect Attachment para los sitios restantes.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Integración de Citrix SD-WAN con AWS Transit Gateway Connect

October 31, 2022

Contribución de:

October 31, 2022

Contribución de:

¿Le ha resultado útil?