WAN virtual de Azure

Microsoft Azure Virtual WAN y Citrix SD-WAN proporcionan conectividad de red simplificada y administración centralizada en cargas de trabajo de nube híbrida. Puede automatizar la configuración de los dispositivos de sucursal para conectarse a los concentradores WAN Virtual de Azure y configurar directivas de administración del tráfico de sucursales de acuerdo con los requisitos de su empresa. La interfaz de panel integrada proporciona información sobre la solución de problemas instantánea que puede ahorrar tiempo y proporciona visibilidad para conectividad de sitio a sitio a gran escala.

Microsoft Azure Virtual WAN le permite habilitar la conectividad simplificada a las cargas de trabajo de Azure Cloud y enrutar el tráfico a través de la red troncal de Azure y más allá. Azure proporciona más de 54 regiones y varios puntos de presencia en todo el mundo. Las regiones de Azure sirven como concentradores que puede elegir conectarse a las ramas. Una vez conectadas las ramas, utilice el servicio en la nube de Azure a través de la conectividad de concentrador a concentrador. Puede simplificar la conectividad aplicando varios servicios de Azure, incluido el peering de concentradores con Azure VNET. Los concentradores sirven de puertas de enlace de tráfico para las ramas.

Microsoft Azure Virtual WAN ofrece las siguientes ventajas:

• Soluciones de conectividad integradas en hub and spoke: Automatice la conectividad y la configuración de sitio a sitio entre las instalaciones y el hub de Azure desde varias fuentes, incluidas las soluciones de socios conectados.

• Instalación y configuración automatizadas: Conecte sus redes virtuales al centro de control de Azure sin problemas.

• Solución de problemas intuitiva: Puede ver el flujo de principio a fin en Azure y utilizar esta información para tomar las medidas necesarias.

Comunicación de concentrador a concentrador

A partir de la versión 11.1.0, Azure Virtual WAN admite la comunicación de hub a hub mediante el método de tipo estándar.

Los clientes de Azure Virtual WAN ahora pueden usar la red troncal global de Microsoft para la comunicación interregional de un hub a otro (arquitectura de red de tránsito global). Esto permite la comunicación de bifurcación a Azure, de rama a rama sobre la estructura troncal de Azure y de rama a centro (en todas las regiones de Azure).

Puede usar la red troncal de Azure para la comunicación entre regiones solo al comprar la SKU estándar para la Azure Virtual WAN. Para obtener información sobre los precios, consulte los precios de WAN virtual. Con la SKU básica, no puede usar la red troncal de Azure para la comunicación interregional de un hub a otro. Para obtener más información, consulte Arquitectura de red de tránsito global y WAN virtual.

Los concentradores están conectados entre sí en una WAN virtual. Esto implica que una rama, usuario o vNet conectada a un concentrador local puede comunicarse con otra rama o vNet mediante la arquitectura de malla completa de los concentradores conectados.

También puede conectar redes virtuales dentro de un concentrador que transita a través del concentrador virtual, y vNET a través del concentrador, mediante el marco conectado de concentrador a concentrador.

Existen dos tipos de WAN virtual:

• Básico: Con el método Basic, las comunicaciones de hub a hub se producen dentro de una región. El tipo de WAN básica ayuda a crear un hub básico (SKU = Básico). Los concentradores básicos se limitan a la funcionalidad VPN de sitio a sitio.

• Estándar: Con el método estándar, las comunicaciones de hub a hub se producen entre diferentes regiones. Una WAN estándar ayuda a crear un hub estándar (SKU = Estándar). Un hub estándar contiene ExpressRoute, VPN de usuario (P2S), hub de malla completa y tránsito de VNet a VNet a través de los hubs.

Crear servicio WAN virtual de Azure en Microsoft Azure

Para crear el recurso de Azure Virtual WAN, realice los siguientes pasos:

1. Inicie sesión en el portal de Azure y haga clic en Crear un recurso.

   

2. Busque WAN virtual y haga clic en Crear.

3. En Básico, proporcione los valores de los siguientes campos:

   • Suscripción: Seleccione y proporcione los detalles de la suscripción en la lista desplegable.

   • Grupo de recursos: Seleccione un grupo de recursos existente o cree uno nuevo.

     Nota

     Al crear la entidad principal de servicio para permitir la comunicación con la API de Azure, asegúrese de usar el mismo grupo de recursos que contiene la WAN virtual. De lo contrario, el servicio Citrix SD-WAN Orchestrator no tendrá permisos suficientes para autenticarse en las API Azure Virtual WAN que permiten la conectividad automatizada.

   • Ubicación del grupo de recursos: Seleccione la región de Azure en la lista desplegable.

   • Nombre: Proporcione el nombre de la nueva WAN virtual.
   • Tipo: Seleccione Tipo estándar si quiere utilizar la comunicación de hub a hub entre diferentes regiones; de lo contrario, seleccione Básico.

   

4. Haga clic en Review + Create.
5. Revise los detalles que introdujo para crear la WAN virtual y haga clic en Crear para finalizar la creación de la WAN virtual.

La implementación del recurso tarda menos de un minuto.

Nota

Puede actualizar de Básico a Estándar, pero no puede volver de Estándar a Básico. Para ver los pasos para actualizar una WAN virtual, consulte Actualizar una WAN virtual de Básica a Estándar.

Crear un centro en la WAN virtual de Azure

Realice los siguientes pasos para crear un concentrador que permita la conectividad desde varios puntos finales diferentes (por ejemplo, dispositivos VPN locales o dispositivos SD-WAN):

1. Seleccione la WAN virtual de Azure creada anteriormente.

2. Seleccione Hubs en la sección Conectividad y haga clic en + Nuevo hub.

   

3. En Básico, proporcione los valores de los siguientes campos:

   • Región: Seleccione la región de Azure en la lista desplegable.
   • Nombre: Introduzca el nombre del nuevo Hub.
   • Espacio de direcciones privadas del hub: Introduzca el rango de direcciones en CIDR. Seleccione una red única que esté dedicada únicamente al concentrador.

4. Haga clic en Siguiente: De un sitio a otro > e introduzca los valores de los siguientes campos:

   • ¿Desea crear un sitio a sitio (puerta de enlace VPN)? — Selecciona Sí.

   • Unidades de escala Gateway: Seleccione las unidades de escala de la lista desplegable según sea necesario.

     

5. Haga clic en Review + Create.
6. Revise la configuración y haga clic en Crear para iniciar la creación del centro virtual.

La implementación del recurso puede tardar hasta 30 minutos.

Cree una entidad de servicio para Azure Virtual WAN e identifique los identificadores

Para que el servicio Citrix SD-WAN Orchestrator se autentique a través de las API Azure Virtual WAN y habilite la conectividad automatizada, se debe crear una aplicación registrada e identificarla con las siguientes credenciales de autenticación:

• ID de suscripción
• ID de cliente
• Secreto del cliente
• ID de arrendatario

Nota

Al crear la entidad principal de servicio para permitir la comunicación con la API de Azure, asegúrese de usar el mismo grupo de recursos que contiene la WAN virtual. De lo contrario, el servicio Citrix SD-WAN Orchestrator no tendrá permisos suficientes para autenticarse en las API Azure Virtual WAN que permiten la conectividad automatizada.

Realice los siguientes pasos para crear un registro de aplicación:

1. En el portal de Azure, vaya a Azure Active Directory.
2. En Administrar, selecciona Registro de aplicaciones.

3. Haga clic en + Nuevo registro.

   

4. Proporcione valores para los siguientes campos para registrar una aplicación:

   • Nombre: Proporcione el nombre para el registro de la aplicación.
   • Tipos de cuentas compatibles: Seleccione la opción Solo cuentas en este directorio organizacional (* - Arrendatario único).
   • URI de redireccionamiento (opcional): Seleccione Web en la lista desplegable e introduzca una URL única y aleatoria (por ejemplo, https://localhost: 4980)
   • Haga clic en Registrar.

   

   Puede copiar y almacenar el ID de aplicación (cliente) y el ID de directorio (arrendatario) que se pueden usar en el servicio Citrix SD-WAN Orchestrator para la autenticación en la suscripción de Azure para el uso de la API.

   

   El siguiente paso para el registro de la aplicación, crear una clave principal de servicio para fines de autenticación.

   Para crear la clave principal de servicio, realice los siguientes pasos:

   1. En el portal de Azure, vaya a Azure Active Directory.
   2. En Administrar, navega hasta Registro de aplicaciones.
   3. Seleccione la aplicación registrada (creada anteriormente).
   4. En Administrar, seleccione Certificados y secretos.

   5. En Secretos de cliente, haga clic en + Nuevo secreto de cliente.

      

   6. Para agregar un secreto de cliente, proporcione valores para los siguientes campos:
      • Descripción: Proporcione un nombre para la clave principal del servicio.
      • Expira: Seleccione la duración de la caducidad según sea necesario.

      

   7. Haga clic en Agregar.

   8. El secreto del cliente está inhabilitado en la columna Valor. Copie la clave en el portapapeles. Este es el secreto de cliente que debe introducir en el servicio Citrix SD-WAN Orchestrator.

      

      Nota:

      Copie y guarde el valor de la clave secreta antes de volver a cargar la página, ya que ya no se mostrará más adelante.

Realice los siguientes pasos para asignar los roles adecuados para un propósito de autenticación:

1. En el portal de Azure, navegue hasta el grupo de recursos donde se creó la WAN virtual.
2. Navega hasta Control de acceso (IAM).

3. Haga clic en + Agregar y seleccione Agregar asignación de funciones.

   

4. Para agregar la asignación de roles, proporcione valores para los siguientes campos:

   • Función: Seleccione Propietario en la lista desplegable. Este rol permite la gestión de todo, incluido el acceso a los recursos.
   • Asignar acceso a: Seleccione usuario, grupo oprincipal de servicio deAzure AD.
   • Seleccionar: Proporcione el nombre de la aplicación registrada creada anteriormente y seleccione la entrada correspondiente cuando aparezca.

5. Haga clic en Guardar.

   

Por último, debe obtener el identificador de suscripción para la cuenta de Azure. Puede identificar su ID de suscripción buscando suscripciones en el portal de Azure.

Configure el servicio de entrega de Azure Virtual WAN en el servicio Citrix SD-WAN Orchestrator

Microsoft Azure Virtual WAN y Citrix SD-WAN proporcionan conectividad de red simplificada y administración centralizada en cargas de trabajo en la nube. Este servicio proporciona la configuración automática de los dispositivos de sucursal para conectarse a la WAN virtual de Azure y configurar directivas de administración del tráfico de sucursales de acuerdo con los requisitos de su empresa.

Proporcione la información principal del servicio de Azure para asignar cualquier sitio de Citrix SD-WAN a Azure Virtual WAN. Antes de configurar los sitios en un servicio de Azure Virtual WAN, debe crear los Azure Virtual WAN Hubs con recurso de Gateway de conectividad sitio a sitio en su región de Azure respectiva. Las conexiones de sitio a sitio se establecen entre los dispositivos Citrix SD-WAN y Azure.

Nota

Solo los hubs WAN virtuales creados en el portal de Azure para su suscripción aparecen en la lista para su representación cartográfica.

Como parte de la asignación de sucursales de Citrix SD-WAN a WAN virtuales de Azure, es necesario asociar un sitio de sucursal con recursos WAN de Azure para establecer túneles IPSec con Azure Virtual Hubs mediante la configuración IPSec IKE/IPSec preseleccionada. Los sitios y las rutas troncales de Azure se aprenden a través de BGP de forma predeterminada. Cuando los sitios de sucursal de Citrix SD-WAN tienen configurados varios enlaces WAN de Internet, se seleccionan automáticamente dos enlaces WAN para proporcionar redundancia. El software Citrix SD-WAN elegido debe tener la compatibilidad para cambiar entre túneles IPSec primario y secundario, que se admiten desde la versión 11.1 en adelante.

Nota

Un sitio de Citrix SD-WAN puede conectarse a varios centros virtuales de Azure en la misma región de Azure o en diferentes regiones de Azure.

Algunos dispositivos Citrix SD-WAN tienen limitaciones de recursos en cuanto al número de túneles IPSec que se pueden admitir. Por lo tanto, la asignación de configuración podría fallar si no se cumplen las restricciones de recuento de túneles del dispositivo Citrix SD-WAN.

Los siguientes son el límite de túnel IPSec por plataforma SD-WAN:

Requisitos previos

Realice los siguientes requisitos previos antes de comenzar la configuración en el servicio Citrix SD-WAN Orchestrator:

• Configuración completa de la infraestructura de Azure (vNet del mismo nivel con Hub, aplicación registrada para automatización, etc.)
• Obtenga acceso al servicio Citrix SD-WAN Orchestrator como un servicio alojado en la nube. Asegúrese de utilizar una cuenta de Citrix Cloud que haya pasado por el proceso de incorporación adecuado; de lo contrario, se producirá un error en la autenticación.
• Asegúrese de que la suscripción de Azure no esté ya en uso con ninguna otra configuración del servicio Citrix SD-WAN Orchestrator.
• Ya ha implementado MCN y nodos SD-WAN de sucursal y confirme la ruta virtual a través de los tipos de enlaces WAN de Internet. El servicio Citrix SD-WAN Orchestrator habilita automáticamente el servicio de intranet a través del proceso de configuración.
• Asegúrese de que los nodos SD-WAN de la sucursal estén configurados para aprender automáticamente la dirección IP pública del enlace WAN de Internet.

Realice lo siguiente para completar la configuración de Azure Virtual WAN y establecer los túneles IPSec con dispositivos SD-WAN:

1. En el servicio Citrix SD-WAN Orchestrator, desde el nivel de cliente, vaya a Canales de entrega > Asignación de anchode banda. Asigne un porcentaje de ancho de banda para el servicio de entrega de WAN virtual de Azure (por ejemplo, 20%). Es posible que tenga que restar el porcentaje asignado de cualquiera de los otros servicios de entrega (por ejemplo, Ruta virtual), de modo que el total de porcentajes asignados sea igual a 100.

   

   Nota

   Proporcione el ancho de banda de suscripción (en%) para el servicio Azure Virtual WAN. Puede reservar el ancho de banda de la suscripción tanto a nivel global (Todos los sitios > Configuración > Canales de entrega > Asignación de anchode banda) como a nivel desitio (Sitio > Configuración del sitio > Vínculos WAN > Servicios).

   Opcionalmente, también se puede asignar ancho de banda diferente para diferentes sitios. Para ello, realice una configuración específica del vínculo para el sitio seleccionado. Para ello, seleccione la ficha Sitio > Vínculos WAN correspondiente > Servicios. Puede sobrescribir la asignación de ancho de banda global seleccionando Link Specific for Service Bandwidth Settings y asignando el ancho de banda deseado.

   

2. Desde el nivel de cliente, vaya a Configuración > Canales de entrega. En la sección Servicios de SaaS y Cloud On-Ramp, haga clic en el icono de Azure Virtual WAN. Aparece la página Azure Virtual WAN.

   También puede navegar a la página Azure Virtual WAN desde Configuración > SaaS y Cloud On Ramp > Azure Virtual WAN.

   

3. En la esquina superior derecha de la página Azure Virtual WAN, haga clic en el enlace Autenticación.

4. Proporcione el ID de suscripción, el ID de cliente, el secreto de cliente y el ID de arrendatario de Azure capturados anteriormente durante la creación del principal de servicio de Azure. Si las credenciales no son correctas, se produce un error en la autenticación y no se permiten otras acciones. Haga clic en Guardar.

   

   Una vez que la autenticación se realiza correctamente, debe asociar un sitio de sucursal con recursos de Azure Virtual WAN para establecer túneles IPSec. Una sucursal se puede conectar a varios concentradores dentro de un recurso WAN virtual de Azure y un recurso WAN virtual de Azure se puede conectar con varios sitios de sucursales.

   Nota

   Para borrar la configuración de autenticación, haga clic en el enlace Borrar autenticación. Asegúrese de eliminar las asignaciones del sitio antes de eliminar la autenticación.

5. Tras la autenticación correcta de Azure, haga clic en Agregar sitios para agregar un sitio.

   

   Nota

   La opción Agregar sitios está inhabilitada si no ha reservado el ancho de banda de la suscripción.

6. Proporcione los siguientes detalles:

   • Filtrar por región/grupos personalizados: Puede seleccionar todas las regiones o grupos selectivos.

   • Seleccionar sitios: Puede seleccionar todos los sitios o sitios selectivos que quiera mapear.

   

   • Azure Virtual WAN: Seleccione la Azure Virtual WAN en la lista desplegable asociada a la suscripción. El mismo sitio no se puede conectar a varias WAN.

   • Azure Hubs: Seleccione los hubs de Azure. Solo las WAN virtuales de Azure con centros virtuales de Azure aparecen en la lista para la representación cartográfica. Puede agregar varios concentradores conectados al mismo sitio.

     Nota:

     El campo Azure Virtual WAN enumera las WAN virtuales que ya tienen un hub correspondiente creado.

   IP interna de ALB: Se requiere la entrada IP del Azure Load Balancer (ALB) si el sitio en particular es un VPX de Azure y se implementa en modo de alta disponibilidad (HA). De lo contrario, este campo es opcional.

7. Haga clic en Guardar

8. Una vez implementado el sitio, puede ver la siguiente información:

   

El siguiente diagrama describe el flujo de trabajo de alto nivel del servicio Citrix SD-WAN Orchestrator y la conexión Azure Virtual WAN.

• Información: Muestra los detalles y el estado de la configuración del túnel Azure Virtual WAN.
• Nombre del sitio: Muestra el nombre del sitio implementado.
• WAN virtual: Muestra la Azure Virtual WAN con la que está mapeado el sitio correspondiente.
• Hubs: Muestra el número de cubos.
• Estado: Muestra los diferentes estados de implementación con el mensaje de finalización. Si el sitio se aprovisiona correctamente, solo se pueden crear los túneles IPSec.
• Acción: Puede modificar o eliminar el sitio configurado.

La asignación de sitios de Citrix SD-WAN a concentradores WAN virtuales de Azure puede llevar algún tiempo, ya que implica descargar la configuración de IPSec desde Azure. El estado del mapeo de sucursales se muestra como Configuración descargada después de descargar la configuración de la sucursal. Se recomienda actualizar el estado del sitio antes de activar la configuración para ver el estado actualizado.

Una vez que el sitio se aprovisione correctamente, debe realizar los procesos Verify, Stage y Active para crear los túneles IPSec.

Tras la activación, puede ver el estado de los túneles de cada sitio yendo a Todos los sitios > Informes > Tiempo real > Estadísticas > Túnel IPSec, seleccione el sitio deseado y, a continuación, haga clic en Recuperar los datos más recientes. Si la configuración no está activada, la información de los túneles no estará disponible. Se crean dos túneles con el propósito de redundancia.

Además, puede ver las rutas a la Azure Virtual WAN para cada sitio. Para ello, vaya a Todos los sitios > Informes > Tiempo real > Estadísticas > Rutas, seleccione el sitio deseado y, a continuación, haga clic en Recuperar los datos más recientes.

Durante la configuración inicial de la Azure Virtual WAN, se asocia la red virtual 10.0.1.0/24 y la SD-WAN local ha aprendido esta ruta y la ha introducido en la tabla de rutas con AzureVWAN como tipo de servicio de entrega. El tipo que indica Dinámica y Protocolo que indica BGP se puede determinar que la ruta se aprendió dinámicamente a través de BGP.

En el portal de Azure, los sitios VPN implementados correctamente se pueden supervisar en el concentrador de Azure Virtual WAN. Además, encontrará el espacio de direcciones asociado al Hub aprendido por el dispositivo SD-WAN local.

Al seleccionar cualquiera de los sitios VPN conectados se proporciona información detallada sobre la SD-WAN conectada. Incluye la dirección IP pública/FQDN que termina el túnel IPsec, el espacio de direcciones IP privadas y la dirección BGP que sería la dirección VIP de la interfaz WAN de la SD-WAN y, lo que es más importante, la velocidad y el estado de conectividad del hub.

En Azure, se pueden agregar conexiones de red virtual para que los recursos estén disponibles en Azure mediante la conexión de redes virtuales. Para completar esta configuración, realice lo siguiente:

1. En el portal de Azure, seleccione el recurso WAN virtual.
2. En Conectividad, navega hasta Conexiones de red virtual.

3. Haga clic en + Agregar conexión.

   

4. Para agregar una conexión, especifique valores para los siguientes campos:

   • Nombre de la conexión: Introduzca el nombre de la nueva conexión.
   • Hubs: Seleccione uno de los centros disponibles en la lista desplegable.
   • Suscripción: Seleccione una de las suscripciones disponibles en la lista desplegable.
   • Grupo de recursos: Seleccione el grupo de recursos de la lista desplegable en la que se implementa el recurso WAN virtual.
   • Red virtual: Seleccione una de las redes virtuales disponibles en la lista desplegable.

   

5. Haga clic en Crear.

   

Con la nueva VNet conectadas al Hub, los dispositivos SD-WAN locales aprenden dinámicamente la nueva ruta a través de BGP. Para recuperar la tabla de rutas más reciente para el dispositivo SD-WAN en el servicio Citrix SD-WAN Orchestrator, vaya a Todos los sitios > Informes > Tiempo real > Estadísticas > Rutas. Seleccione el sitio deseado y haga clic en Recuperar los datos más recientes.

Los sitios VPN implementados de Citrix SD-WAN pueden acceder a los recursos implementados en redes virtuales conectadas a Azure Virtual WAN Hubs mediante los pasos de configuración mencionados anteriormente.