Citrix SD-WAN Orchestrator

WAN virtual de Azure

Microsoft Azure Virtual WAN y Citrix SD-WAN proporcionan conectividad de red simplificada y administración centralizada en cargas de trabajo de nube híbrida. Puede automatizar la configuración de los dispositivos de sucursal para conectarse a los concentradores WAN Virtual de Azure y configurar directivas de administración del tráfico de sucursales de acuerdo con los requisitos de su empresa. La interfaz de panel integrada proporciona información sobre la solución de problemas instantánea que puede ahorrar tiempo y proporciona visibilidad para conectividad de sitio a sitio a gran escala.

Microsoft Azure Virtual WAN le permite habilitar la conectividad simplificada a las cargas de trabajo de Azure Cloud y enrutar el tráfico a través de la red troncal de Azure y más allá. Azure proporciona más de 54 regiones y varios puntos de presencia en todo el mundo. Las regiones de Azure sirven como concentradores que puede elegir conectarse a las ramas. Una vez conectadas las sucursales, utilice el servicio en la nube de Azure a través de la conectividad de concentrador a concentrador. Puede simplificar la conectividad aplicando varios servicios de Azure, incluido el peering de concentradores con Azure VNET. Los concentradores sirven de puertas de enlace de tráfico para las sucursales.

Microsoft Azure Virtual WAN ofrece las siguientes ventajas:

  • Soluciones de conectividad integradas en concentradores y radiales: Automatice la conectividad y la configuración de sitio a sitio entre las instalaciones y el concentrador de Azure desde diversos orígenes, incluidas las soluciones de partners conectados.

  • Parámetros y configuración automatizados: Conecte sus redes virtuales al concentrador de Azure sin problemas.

  • Solución de problemas intuitiva: Puede ver el flujo de extremo a extremo dentro de Azure y usar esta información para realizar las acciones necesarias.

Comunicación de concentrador a concentrador

A partir de la versión 11.1.0, Azure Virtual WAN admite la comunicación entre concentradores mediante el métodode tipoestándar.

Los clientes de Azure Virtual WAN ahora pueden usar la red troncal global de Microsoft para la comunicación entre regiones de centro a centro (arquitectura de red de tránsito global). Esto permite la comunicación de bifurcación a Azure, de rama a rama sobre la estructura troncal de Azure y de rama a centro (en todas las regiones de Azure).

Puede usar la estructura troncal de Azure para la comunicación entre regiones solo cuando compre elSKUestándar para Azure Virtual WAN. Para obtener detalles de precios, consulte Precios de Virtual WAN. Con el SKU básico, no puede usar la estructura troncal de Azure para la comunicación entre regiones de centro a centro. Para obtener más detalles, consulte Arquitectura de red de tránsito global y Virtual WAN.

Los concentradores están conectados entre sí en una WAN virtual. Esto implica que una rama, usuario o vNet conectada a un concentrador local puede comunicarse con otra rama o vNet mediante la arquitectura de malla completa de los concentradores conectados.

También puede conectar redes virtuales dentro de un concentrador que transita a través del concentrador virtual, y vNET a través del concentrador, mediante el marco conectado de concentrador a concentrador.

Existen dos tipos de WAN virtual:

  • Básico: Mediante elmétodoBasic, las comunicaciones de centro a centro se producen dentro de una región. El tipo deWANbásica ayuda a crear un hub básico (SKU = Basic). Los concentradores básicos se limitan a la funcionalidad VPN de sitio a sitio.

  • Estándar: Mediante elmétodoEstándar, las comunicaciones de centro a concentrador se producen entre diferentes regiones. UnaWANestándar ayuda a crear un concentrador estándar (SKU = Estándar). Unconcentradorestándar contiene ExpressRoute, VPN de usuario (P2S), hub de malla completa y tránsito de VNet a VNet a través de los concentradores.

Crear servicio WAN virtual de Azure en Microsoft Azure

Para crear el recurso de Azure Virtual WAN, realice los siguientes pasos:

  1. Inicie sesión en Azure Portal y haga clic en Crear un recurso.

Crear un recurso

  1. Busque WAN virtual y haga clic en Crear.

  2. En Básico, proporcione los valores de los siguientes campos:

  • Suscripción: Seleccione y proporcione los detalles de la suscripción en la lista desplegable.

  • Grupo de recursos: Seleccione un grupo de recursos existente o cree uno nuevo.

    Nota

    Al crear la entidad de servicio para permitir la comunicación con la API de Azure, asegúrese de utilizar el mismo grupo de recursos que contiene la WAN virtual. De lo contrario, SD-WAN Orchestrator no tendrá permisos suficientes para autenticarse en las API de Azure Virtual WAN que habilitan la conectividad automatizada.

  • Ubicación del grupo de recursos: Seleccione la región de Azure en la lista desplegable.

  • Nombre: Proporcione el nombre de la nueva WAN virtual.
  • Tipo: SeleccioneTipoestándar si desea utilizar la comunicación de concentrador a centro entre diferentes regiones; de lo contrario, seleccione Básico.

    Tipo de Azure

  1. Haga clic en Revisar + crear.
  2. Revise los detalles que ha introducido para crear la Wan virtual y haga clic en Crear para finalizar la creación de WAN virtual.

La implementación del recurso tarda menos de un minuto.

Nota

Puede actualizar de Básico a Estándar, pero no puede volver de Estándar a Básico. Para obtener información sobre los pasos para actualizar una WAN virtual, consulte Actualizar una WAN virtual de Basic to Standard.

Crear un centro en la WAN virtual de Azure

Realice los siguientes pasos para crear un concentrador que permita la conectividad desde varios puntos finales diferentes (por ejemplo, dispositivos VPN locales o dispositivos SD-WAN):

  1. Seleccione la WAN virtual de Azure creada anteriormente.
  2. Seleccione Hubs en lasecciónConectividad y haga clic en + Nuevo concentrador.

Crear HUB

  1. En Básico, proporcione los valores de los siguientes campos:
  • Región: Seleccione la región de Azure en la lista desplegable.
  • Nombre: Introduzca el nombre del nuevo Hub.
  • Espacio de direcciones privado del hub: Introduzca el rango de direcciones en CIDR. Seleccione una red única que esté dedicada únicamente al concentrador.
  1. Haga clic en Siguiente: Site to Site y proporcione los valores de los siguientes campos:
  • ¿ Desea crear un sitio a sitio (Gateway VPN)? — Seleccione .
  • Unidades de escala de puerta de enlace: Seleccione las unidades de escala de la lista desplegable según sea necesario.

    Unidad de escala de gateway

  1. Haga clic en Revisar + crear.
  2. Revise la configuración y haga clic en Crear para iniciar la creación del concentrador virtual.

La implementación del recurso puede tardar hasta 30 minutos.

Cree una entidad de servicio para Azure Virtual WAN e identifique los identificadores

Para que SD-WAN Orchestrator se autentique a través de las API de Azure Virtual WAN y habilite la conectividad automatizada, se debe crear una aplicación registrada e identificarse con las siguientes credenciales de autenticación:

  • ID de suscripción
  • ID de cliente
  • Secreto del cliente
  • ID de arrendatario

Nota

Al crear la entidad de servicio para permitir la comunicación con la API de Azure, asegúrese de utilizar el mismo grupo de recursos que contiene la WAN virtual. De lo contrario, SD-WAN Orchestrator no tendrá permisos suficientes para autenticarse en las API de Azure Virtual WAN que habilitan la conectividad automatizada.

Realice los siguientes pasos para crear un nuevo registro de aplicación:

  1. En el portal de Azure, vaya a Azure Active Directory.
  2. En Administrar, selecciona Registro de aplicaciones.
  3. Haga clic en + Nuevo registro.

Nuevo registro de Azure

  1. Proporcione valores para los siguientes campos para registrar una aplicación:
  • Nombre: Proporcione el nombre para el registro de la solicitud.
  • Tipos de cuenta admitidos: Seleccione Cuentas en este directorio organizativo solo opción (* - Arrendatario único).
  • URI de redirección (opcional): Seleccione Web en la lista desplegable e introduzca una URL aleatoria única (por ejemplo, https://localhost: 4980)
  • Haga clic en Registro.

    Registrar una solicitud

    Puede copiar y almacenar el ID de aplicación (cliente) y el ID de directorio (arrendatario) que se pueden usar en SD-WAN Orchestrator para la autenticación en la suscripción de Azure para el uso de la API.

    ID de cliente e arrendatario

    El siguiente paso para el registro de la aplicación, crear una clave principal de servicio para fines de autenticación.

    Para crear la clave principal de servicio, realice los siguientes pasos:

    1. En el portal de Azure, vaya a Azure Active Directory.
    2. En Administrar, vaya a Registro de aplicaciones.
    3. Seleccione la aplicación registrada (creada anteriormente).
    4. En Administrar, seleccione Certificados y secretos.
    5. En Secretos de cliente, haga clic en + Nuevo secreto de cliente.

    Nuevo secreto del cliente

    1. Para agregar un secreto de cliente, proporcione valores para los siguientes campos:
      • Descripción: Proporcione un nombre para la clave principal del servicio.
      • Caduca: Seleccione la duración de caducidad según sea necesario.

    Agregar un secreto de cliente

    1. Haga clic en Agregar.
    2. El secreto de cliente está inhabilitado en lacolumnaValor. Copie la clave en el portapapeles. Este es el secreto del cliente que debe introducir en el SD-WAN Orchestrator.

    Clave secreta del cliente

    Nota

    Copie y almacene el valor de clave secreta antes de volver a cargar la página porque, ya no se mostrará después.

Realice los siguientes pasos para asignar los roles adecuados para un propósito de autenticación:

  1. En el portal de Azure, vaya al grupo de recursos donde se creó la WAN virtual.
  2. Desplácese hasta Control de acceso (IAM).
  3. Haga clic en + Agregar y seleccione Agregar asignación de rol.

Agregar asignación de roles

  1. Para agregar la asignación de roles, proporcione valores para los siguientes campos:
  • Rol: Seleccione Propietario en la lista desplegable. Este rol permite la gestión de todo, incluido el acceso a los recursos.
  • Asignar acceso a: Seleccione usuario, grupoo entidad deservicio de Azure AD.
  • Seleccionar: Proporcione el nombre de la aplicación registrada creada anteriormente y seleccione la entrada correspondiente cuando aparezca.
  1. Haga clic en Guardar.

Agregar asignación de roles 2

Por último, debe obtener el identificador de suscripción para la cuenta de Azure. Puede identificar su IDdesuscripción buscando suscripciones en Azure Portal.

ID de suscripción

Configurar el servicio de entrega de WAN virtual de Azure en SD-WAN Orchestrator

Microsoft Azure Virtual WAN y Citrix SD-WAN proporcionan conectividad de red simplificada y administración centralizada en cargas de trabajo en la nube. Este servicio proporciona la configuración automática de los dispositivos de sucursal para conectarse a la WAN virtual de Azure y configurar directivas de administración del tráfico de sucursales de acuerdo con los requisitos de su empresa.

Proporcione lainformación deAzure Service Principal para asignar cualquier sitio de Citrix SD-WAN a Azure Virtual WAN. Antes de configurar los sitios en un servicio de Azure Virtual WAN, debe crear los Azure Virtual WAN Hubs con recurso de Gateway de conectividad sitio a sitio en su región de Azure respectiva. Las conexiones de sitio a sitio se establecen entre los dispositivos Citrix SD-WAN y Azure.

Nota

Solo los concentradores WAN virtuales creados en el portal de Azure para su suscripción se muestran para la asignación.

Como parte de la asignación de sucursales de Citrix SD-WAN a WAN virtuales de Azure, es necesario asociar un sitio de sucursal con recursos WAN de Azure para establecer túneles IPSec con Azure Virtual Hubs mediante la configuración IPSec IKE/IPSec preseleccionada. Los sitios y las rutas troncales de Azure se aprenden a través de BGP de forma predeterminada. Cuando los sitios de sucursal de Citrix SD-WAN tienen configurados varios enlaces WAN de Internet, se seleccionan automáticamente dos enlaces WAN para proporcionar redundancia. El software Citrix SD-WAN elegido debe tener la compatibilidad para cambiar entre túneles IPSec primario y secundario, que se admiten desde la versión 11.1 en adelante.

Nota

Un sitio de Citrix SD-WAN puede conectarse a varios Azure Virtual Hubs en la misma región o en diferentes regiones de Azure.

Algunos dispositivos Citrix SD-WAN tienen limitaciones de recursos en cuanto al número de túneles IPSec que se pueden admitir. Por lo tanto, la asignación de configuración podría fallar si no se cumplen las restricciones de recuento de túneles del dispositivo Citrix SD-WAN.

Los siguientes son el límite de túnel IPSec por plataforma SD-WAN:

Dispositivos SD-WAN Túneles IPSec admitidos
4100, 5100, 6100 256
1100, 2100 128
110, 210, 410, 1000, 2000 8

Requisitos previos

Realice los siguientes requisitos previos antes de comenzar la configuración en SD-WAN Orchestrator:

  • Configuración completa de la infraestructura de Azure (vNet del mismo nivel con Hub, aplicación registrada para automatización, etc.)
  • Obtenga acceso a SD-WAN Orchestrator como un servicio alojado en la nube. Asegúrese de utilizar una cuenta de Citrix Cloud que haya pasado por el proceso de incorporación adecuado; de lo contrario, se producirá un error en la autenticación.
  • Asegúrese de que la suscripción de Azure no esté ya en uso con ninguna otra configuración de Orchestrator.
  • Ya ha implementado MCN y nodos SD-WAN de sucursal y confirme la ruta virtual a través de los tipos de enlaces WAN de Internet. Orchestrator habilita automáticamente el Servicio de Intranet a través del proceso de configuración.
  • Asegúrese de que los nodos SD-WAN de sucursal estén configurados para aprender automáticamente la dirección IP pública del enlace WAN de Internet.

Realice lo siguiente para completar la configuración de Azure Virtual WAN y establecer los túneles IPSec con dispositivos SD-WAN:

  1. En Citrix SD-WAN Orchestrator, seleccione Todos los sitios y, a continuación, vaya a Delivery Services > Servicio y ancho de banda. Asigne un porcentaje de ancho de banda para el servicio de entrega de WAN virtual de Azure (por ejemplo, 20%). Es posible que tenga que restar el porcentaje asignado de cualquiera de los otros servicios de entrega (por ejemplo, Ruta virtual), de modo que el total de porcentajes asignados sea igual a 100.

Servicio WAN virtual de Azure

Nota

Proporcione el ancho de banda de suscripción (en%) para el servicio Azure Virtual WAN. Puede reservar el ancho de banda de suscripción tanto en el nivel global (Todos los sitios > Configuración > Servicios de entrega > Servicios y ancho de banda) como en elsitio (Sitio > Configuración básica > Vínculos WAN > Servicios).

Opcionalmente, también se puede asignar ancho de banda diferente para diferentes sitios. Para ello, realice una configuración específica del vínculo para el sitio seleccionado. Para ello, seleccione la ficha Sitio > Vínculos WAN Sección Servicios. Puede sobrescribir la asignación global de ancho de banda seleccionando Específico de vínculo para Configuración de ancho de banda de servicio y asignando el ancho de banda deseado.

Configuraciones de ancho de banda

  1. Haga clic en la opción de configuración situada junto a Azure Virtual WAN para asociarse a una suscripción de Azure.

Configuración del servicio WAN virtual de Azure

  1. Proporcione el identificador de suscripción de Azure, el ID de cliente, el secreto de cliente y el identificador de arrendatario capturados anteriormente durante la creación de la entidad de servicio de Azure. Si las credenciales no son correctas, se produce un error en la autenticación y no se permiten otras acciones. Haga clic en Guardar.

Servicio WAN virtual de Azure

Una vez que la autenticación se realiza correctamente, debe asociar un sitio de sucursal con recursos de Azure Virtual WAN para establecer túneles IPSec. Una sucursal se puede conectar a varios concentradores dentro de un recurso WAN virtual de Azure y un recurso WAN virtual de Azure se puede conectar con varios sitios de sucursales.

  1. Después de la autenticación correcta de Azure, haga clic en + Sitio para agregar un sitio.

Azure Virtual WAN agrega sitio

Nota

Laopción+ Sitio se inhabilitará si no ha reservado el ancho de banda de suscripción.

  1. Proporcione los siguientes detalles:
  • Azure Virtual WAN: Seleccione Azure Virtual WAN en la lista desplegable asociada a la suscripción. El mismo sitio no se puede conectar a varias WAN.

  • Azure Hubs: Seleccione los concentradores de Azure. Solo se muestran las WAN virtuales de Azure con concentradores virtuales de Azure para la asignación. Puede agregar varios concentradores conectados al mismo sitio.

    Nota

    ElcampoAzure Virtual WAN solo enumera las WAN virtuales que ya tienen un concentrador correspondiente creado.

  • Seleccionar región/grupos: Puede seleccionar todos o selectivos región/grupos.

  • Seleccionar sitios: Puede seleccionar todos los sitios selectivos que desee asignar.

    Azure Virtual WAN agrega sitio

  1. Haga clic en Revisar

Azure Virtual WAN agrega sitio

IP interna de ALB: La entrada IP de Azure Load Balancer (ALB) es necesaria si el sitio concreto es una VPX de Azure e implementado en modo de alta disponibilidad (HA). De lo contrario, este campo es opcional.

  1. Haga clic en Guardar

  2. Una vez implementado el sitio, puede ver la siguiente información:

Detalle del sitio WAN virtual de Azure

En el siguiente diagrama se describe el flujo de trabajo de alto nivel de la conexión WAN virtual de Orchestrator y Azure.

Flujo de trabajo WAN

  • Información: Muestra los detalles y el estado de configuración del túnel WAN virtual de Azure.
  • Nombre del sitio: Muestra el nombre del sitio implementado.
  • Virtual WAN: Muestra la WAN virtual de Azure con la que está asignado el sitio correspondiente.
  • Hubs: Muestra el número de concentradores.
  • Estado: Muestra los diferentes estados de implementación con el mensaje de finalización final. Si el sitio se aprovisiona correctamente, solo se pueden crear los túneles IPSec.
  • Acción: Puede modificar o eliminar el sitio configurado.

Información del sitio implementado virtual de Azure

Detalle de información de sitio implementado virtual de Azure

La asignación de sitios de Citrix SD-WAN a concentradores WAN virtuales de Azure puede llevar algún tiempo, ya que implica descargar la configuración de IPSec desde Azure. El estado de asignación de bifurcación se muestra como Configuración descargada después de descargar la configuración de la rama. Se recomienda actualizar el estado del sitio antes de activar la configuración para ver el estado actualizado.

Una vez que el sitio se aprovisionó correctamente, debe realizar los procesos Verificar, Ensayo y Activo para crear los túneles IPSec.

La WAN virtual de Azure verifica la configuración

Después de la activación, puede ver el estado de los túneles de cada sitio navegando a Todos los sitios > Informes > Tiempo real > Estadísticas > Túnel IPsec, seleccione el sitio deseado y, a continuación, haga clic en Recuperar los datos más recientes. Si la configuración no está activada, la información de los túneles no estará disponible. Se crean dos túneles con el propósito de redundancia.

Recuperar los datos más recientes

Además, puede ver las rutas a Azure Virtual WAN para cada sitio navegando a Todos los sitios > Informes > Tiempo real > Estadísticas > Rutas, seleccione el sitio deseado y, a continuación, haga clic en Recuperar los datos más recientes.

Recuperar datos más recientos1

Durante la configuración inicial de Azure Virtual WAN, la vNet 10.0.1.0/24 está asociada, y la SD-WAN local ha aprendido esta ruta y se introduce en la tabla de ruta con AzureVWANService como tipo de servicio de entrega. Tipo que indica Dinámico y Protocolo que indica BGP se puede determinar que la ruta se aprendió dinámicamente a través de BGP.

En el portal de Azure, los sitios VPN implementados correctamente se pueden supervisar en el concentrador de Azure Virtual WAN. Además, encontrará el espacio de direcciones asociado al Hub aprendido por el dispositivo SD-WAN local.

Sitio VPN de Azure

Al seleccionar cualquiera de los sitios VPN conectados se proporciona información detallada sobre la SD-WAN conectada. Incluyendo la dirección IP pública/FQDN que finaliza el túnel IPSec, el espacio de direcciones IP privadas y la dirección BGP que sería la dirección VIP de la interfaz WAN de SD-WAN, y lo que es más importante, la velocidad y el estado de conectividad al concentrador.

Estado de conectividad

En Azure, se pueden agregar conexiones de red virtual para que los recursos estén disponibles en Azure mediante la conexión de redes virtuales. Para completar esta configuración, realice lo siguiente:

  1. En el portal de Azure, seleccione el recurso WAN virtual.
  2. En Conectividad, vaya a Conexiones de red virtual.
  3. Haga clic en + Agregar conexión.

Conexión de red virtual

  1. Para agregar una conexión, especifique valores para los siguientes campos:
  • Nombre de conexión: Introduzca el nombre de la nueva conexión.
  • Hubs: Seleccione uno de los centros disponibles en la lista desplegable.
  • Suscripción: Seleccione una de las suscripciones disponibles en la lista desplegable.
  • Grupo de recursos: Seleccione el grupo de recursos de la lista desplegable donde se implementa el recurso WAN virtual.
  • Red virtual: Seleccione una de las redes virtuales disponibles en la lista desplegable.

    Azure agrega conexión

  1. Haga clic en Crear.

Creación de una conexión de red virtual

Con la nueva VNet conectadas al Hub, los dispositivos SD-WAN locales aprenden dinámicamente la nueva ruta a través de BGP. Para recuperar la tabla de rutas más reciente para el dispositivo SD-WAN en Orchestrator, vaya a Todos los sitios > Informes > Tiempo real > Estadísticas > Rutas. Seleccione el sitio deseado y haga clic en Recuperar los datos más recientes.

Estadísticas de WAN virtual de Azure

Los sitios VPN implementados de Citrix SD-WAN pueden acceder a los recursos implementados en redes virtuales conectadas a Azure Virtual WAN Hubs mediante los pasos de configuración mencionados anteriormente.