Citrix SD-WAN Orchestrator

Configuración SD-WAN para integración CMD

Citrix SD-WAN es una solución de borde WAN de próxima generación que acelera la transformación digital con conectividad y rendimiento flexibles, automatizados y seguros para aplicaciones SaaS, cloud y virtuales para garantizar una experiencia de Workspace siempre activa.

Citrix SD-WAN es la mejor manera recomendada para que las organizaciones se conecten a Citrix Managed Desktops (CMD) con una configuración rápida y sencilla. Para obtener más información, consulte blog de Citrix.

Ventajas

  • Fácil de configurar SD-WAN en CMD a través de un flujo de trabajo guiado y automatizado
  • Conectividad siempre activa y de alto rendimiento a través de tecnologías avanzadas de SD-WAN
  • Beneficios en todas las conexiones (VDA a DC, User a VDA, VDA a Cloud y User a Cloud)
  • Reduce la latencia en comparación con el tráfico de backhauling al centro de datos
  • Gestión del tráfico para garantizar la calidad de servicio (QoS)

    • QoS a través de flujos de tráfico HDX/ICA (AutoQoS HDX de un solo puerto)
    • QoS entre HDX y otro tráfico
    • Equidad QoS HDX entre usuarios
    • QoS end-to-end
  • La vinculación de enlaces proporciona más ancho de banda para un rendimiento más rápido
  • Alta disponibilidad (HA) con conmutación por error de enlace transparente y redundancia SD-WAN en Azure
  • Experiencia VoIP optimizada (carreras de paquetes para reducir la fluctuación y la pérdida mínima de paquetes, QoS, ruptura local para reducir la latencia)
  • Gran ahorro de costes y mucho más rápido y fácil de implementar en comparación con ExpressRoute

Requisitos previos

Para evaluar estas nuevas capacidades, se deben cumplir los siguientes requisitos previos:

  1. Debe tener una red SD-WAN existente con derecho a Orchestrator. Si no tiene una red SD-WAN existente, debe configurar una mediante SD-WAN Orchestrator. Para obtener más información detallada, consulte configuración de un nodo de control maestro (MCN).

  2. Debe tener una suscripción a CMD.
  3. Actualmente, este soporte de integración solo está disponible para los clientes. Si usted es un socio o un MSP y debe probar este servicio, entonces debe suscribirse a CMD como cliente. Solo entonces esta integración se puede habilitar.
  4. Para utilizar funciones SD-WAN (como QoS para MSI, visibilidad de aplicaciones), el Servicio de ubicación de red (NLS) debe estar configurado para todos los sitios SD-WAN de la red.
  5. Debe tener un servidor DNS y AD implementados donde estén presentes los extremos del cliente (ubicados en el entorno del centro de datos, que también tendría el MCN) o también puede utilizar Azure Active Directory (AAD).
  6. El servidor DNS debe ser capaz de resolver IP internas (privadas) y externas (públicas).
  7. Asegúrese de que FQDN sdwan-location.citrixnetworkapi.net está incluido en la lista blanca en el firewall. Este es el FQDN para el servicio de ubicación de red, que es fundamental para enviar tráfico a través de la ruta virtual SD-WAN.

Para obtener la lista de servicios en la nube que se deben incluir en la lista blanca en el firewall, consulte Requisitos previos para el uso de Orchestrator.

Arquitectura de la implementación

Implementación de alto nivel

Cualquier implementación incluiría las siguientes entidades:

  • Una ubicación local que aloja el dispositivo SD-WAN que se puede implementar en modo de sucursal o como un MCN. Esta ubicación contiene los equipos cliente, Active Directory y DNS. Sin embargo, también puede optar por usar el DNS y AD de Azure. En la mayoría de los casos, la ubicación local sirve como centro de datos local y alberga el MCN.

  • Servicio en la nube CMD: Esta entidad proporciona:

    • La interfaz de usuario para habilitar y supervisar la conectividad SD-WAN para CMD.
    • Crea instancias de máquina virtual SD-WAN en Azure.
    • Gestiona su vida útil.
    • Agrupa los costes de instancia de SD-WAN con los costes de CMD para la facturación del cliente.
    • Configura el entorno de red local (subredes, enrutamiento local, reglas de firewall, etc.) para las instancias de SD-WAN.
    • Proporciona información de instancia de SD-WAN al SD-WAN Orchestrator para proporcionar y consumir supervisión de SD-WAN y otros datos operativos.
  • SD-WAN Orchestrator: SD-WAN Orchestrator proporciona la interfaz de usuario para la administración de SD-WAN:

    • Incluyendo la administración de instancias implementadas en CMD.
    • Implementa el Provisioning inicial para instancias CMD SD-WAN.
    • Implementa restricciones en la administración de instancias SD-WAN para reflejar la configuración CMD.
    • Se integra con CMD para proporcionar y consumir supervisión SD-WAN y otros datos operativos.
  • Dispositivos SD-WAN físicos y virtuales: Los dispositivos SD-WAN virtuales y físicos se ejecutan como varias instancias dentro de la nube (VM), locales en el centro de datos y en las sucursales (dispositivos físicos o VM) para proporcionar conectividad entre estas ubicaciones y a/desde Internet público.

    La instancia SD-WAN en la suscripción CMD se crea como un único o un conjunto de dispositivos virtuales (si había implementación de HA) por el servicio en la nube CMD en Azure dentro de los dominios de la suscripción CMD. Los dispositivos SD-WAN en otras ubicaciones (DC y sucursales) son creados por el cliente. Todos estos dispositivos SD-WAN son administrados (en términos de configuración y actualizaciones de software) por los administradores de SD-WAN a través de SD-WAN Orchestrator.

  • CMD VDA, Connector: Utiliza el dispositivo CMD SD-WAN como Gateway a todos los recursos fuera de CMD vNet, incluidos los recursos de empresa locales, determinados servicios de Azure y aplicaciones SaaS en Internet público.

Roles de usuario

  1. Administrador de CMD: Decide utilizar la conectividad SD-WAN y obtiene la información de red necesaria del administrador de SD-WAN (u otra función de administrador de red):

    • Inicia la configuración de la conectividad SD-WAN a través de CMD UI.
    • Una vez que la conectividad SD-WAN está completamente habilitada, administra catálogos CMD mediante conectividad SD-WAN.
    • Junto con el Administrador de SD-WAN, supervisa la conectividad SD-WAN y realiza más acciones según sea necesario.
  2. Administrador de SD-WAN: Proporciona información de configuración de SD-WAN al Administrador de CMD:

  • Activa instancias SD-WAN en CMD para habilitar la conectividad con otros elementos de red; realiza actividades de configuración adicionales.
  • Junto con el administrador de SD-WAN, supervisa la conectividad SD-WAN y realiza acciones adicionales según sea necesario.

Interacción entre diferentes entidades y roles de usuario dentro de la integración CMD-SDWAN

Administración de acceso para la integración de CMD SD-WAN

  • Tanto CMD como SD-WAN Orchestrator confían en Citrix Cloud IDAM para identificar a los usuarios con acceso de solo lectura o lectura y escritura.
  • Además, SD-WAN Orchestrator tiene la capacidad de asignar derechos de acceso similares a los usuarios exclusivamente dentro de Orchestrator. Los dos mecanismos de autorización se combinan con la lógica OR: Basta con tener derechos de acceso de administrador en Citrix Cloud o en SD-WAN Orchestrator para obtener acceso a la administración de la configuración de SD-WAN.

Implementación y configuración

Implementación típica y las entidades involucradas

En una implementación típica, un cliente tendría el dispositivo Citrix SD-WAN (H/W o VPX) implementado como un MCN en su centro de datos/oficina grande. El centro de datos del cliente normalmente alojaría usuarios y recursos locales, como servidores de AD y DNS. En algunos casos, el cliente puede utilizar los servicios de Azure Active Directory (AADS) y DNS, ambos compatibles con la integración de Citrix SD-WAN y CMD.

Dentro de la suscripción a Citrix Managed Azure, el cliente necesita implementar el dispositivo virtual Citrix SD-WAN y los VDA. Los dispositivos SD-WAN se administran a través de SD-WAN Orchestrator. Sin embargo, a efectos de esta integración, el dispositivo SD-WAN dentro de la suscripción de Citrix Managed Azure se configura mediante CMD UI/Workflow. Una vez configurado el dispositivo SD-WAN, se conecta a la red existente de Citrix SD-WAN y otras tareas como configuración, visibilidad y administración se gestionan a través de SD-WAN Orchestrator. Tanto SD-WAN Orchestrator como Citrix Managed Desktop Service (CMD) se comunican entre sí mediante API.

El tercer componente de esta integración es el servicio de ubicación de red que permite a los usuarios internos omitir la Gateway y conectarse directamente a los VDA, reduciendo la latencia del tráfico de red interna. Para la fase 1 de esta integración, el servicio de ubicación de red debe configurarse manualmente. Para obtener más información, consulte Servicio de ubicación de red (NLS).

Configuración

  1. Después de seguir todos los requisitos previos resaltados en la sección sobre requisitos previos, el primer elemento que se debe configurar es el DNS. Esto debe configurarse en SD-WAN Orchestrator. Necesita derechos de administrador para configurar DNS en Orchestrator. Para configurar DNS, vaya a Configuración > Ajustes de aplicaciones y DNS > Servidores DNS en la GUI de Orchestrator y haga clic en +Servidor DNS. Introduzca el DNS primario y secundario en la siguiente pantalla.

    Agregar servidor DNS

    Como se destaca en la sección anterior Implementación y configuración, el AD y el DNS están presentes en la ubicación local que actúa como centro de datos y en una implementación con SD-WAN está disponible detrás de la SD-WAN que se encuentra en la Red LAN. Es la IP AD/DNS que debe configurar aquí. En caso de que esté utilizando Azure Active Directory Service/DNS, configure 168.63. 129.16 como IP DNS.

    Si utiliza un AD/DNS local, compruebe si puede hacer ping a la IP de su DNS desde su dispositivo SD-WAN. Para ello, vaya a Solución de problemas > Diagnósticos. Marque la casilla de verificación contra Ping en la pantalla siguiente e inicie un ping desde la interfaz LAN/interfaz predeterminada del dispositivo SD-WAN a la IP de su AD/DNS.

    Interfaz LAN predeterminada

    Si el ping tiene éxito, significa que su AD/DNS puede ser alcanzado correctamente. Si no, entonces hay un problema de enrutamiento en su red que impide la accesibilidad a su AD/DNS. Si es posible, intente alojar el dispositivo AD y SD-WAN en el mismo segmento LAN. En caso de que siga habiendo algún problema, contactar con el administrador de la red. Sin completar este paso correctamente, el paso de creación del catálogo no tendrá éxito y es probable que reciba un mensaje de error que indica que la IP DNS global no está configurada.

    Nota

    Asegúrese de que el DNS es capaz de resolver IP internas y externas.

  2. Inicie sesión en la interfaz de usuario de Citrix Managed Desktop (CMD). Puede ver la siguiente pantalla:

    Pantalla de inicio de sesión CMD

    Haga clic en Conexiones de red para crear conectividad de red entre los recursos locales y la suscripción a CMD. Haga clic en + Agregar conexión.

    Agregar conexión

    La opción SD-WAN solo se habilita si cumple los siguientes requisitos:

    • Debe tener una red SD-WAN existente con derecho a Orchestrator. Si no tiene una red SD-WAN existente, configure una mediante SD-WAN Orchestrator. Para obtener más información detallada, consulte Configuración de un Nodo de Control Maestro (MCN).

    • Debe tener una suscripción a CMD.

    • Actualmente, este soporte de integración solo está disponible para los clientes. Si usted es un socio o un MSP y debe probar este servicio, entonces debe suscribirse a CMD como cliente, solo entonces esta integración se puede habilitar. De lo contrario, esta opción permanece desactivada.

    En caso de que desee probar esta integración y necesite acceso de prueba para el SD-WAN Orchestrator, solicite una prueba visitando citrix.cloud.com o sdwan.cloud.com.

  3. Una vez que cumpla las condiciones resaltadas en los requisitos previos, haga clic en la ficha SD-WAN para ver el flujo de trabajo general:

    Flujo de trabajo general

  4. Introduzca los siguientes detalles para configurar el SD-WAN:

    • Modo de implementación: Puede ver dos opciones de modo de implementación: Standalone y High Availability.

      • Independiente: El modo de implementación para SD-WAN puede ser independiente cuando se implementa una única instancia de SD-WAN. Si la instancia de SD-WAN falla debido a un problema con el firmware de SD-WAN o la infraestructura subyacente de Azure, no puede ponerse en contacto con los recursos implementados detrás de la instancia de SD-WAN en Azure. En otras palabras, la instancia se comporta en un modo de error al bloquear.

      • Alta disponibilidad: Para protegerse contra errores de software de la instancia SD-WAN, puede optar por implementar la instancia en modo de alta disponibilidad que implementa dos instancias SD-WAN en modo de espera activo. Citrix recomienda implementar instancias en modo de alta disponibilidad para redes de producción.

    • Introduzca el nombre del sitio SD-WAN: Introduzca el nombre del sitio para identificar un sitio en la red SD-WAN. Asegúrese de que el nombre que elija es único y fácil de recordar.

    • Rendimiento y número de oficinas: Actualmente, solo se admite la opción D3_V2. D3_V2 admite hasta 200 Mbps de rendimiento y puede establecer conectividad directa a 16 sitios. Las conexiones que no son directas pasan por el MCN.

    • Región: Seleccione la región de Azure en la que desea implementar la instancia de SD-WAN. Esta debe ser la misma región en la que tiene la intención de implementar sus recursos CMD.

    • Subred de VDA: La subred de VDA es la subred en la que desea implementar el VDA y otros recursos de CMD en Azure.

    • Subred SD-WAN: La subred SD-WAN es la subred en la que desea implementar el dispositivo SD-WAN.

    Nota

    Esta integración solo admite catálogos unidos a dominios, no se admiten a partir de hoy.

  5. Una vez que proporciona toda la información solicitada en el paso anterior, el Provisioning y la implementación se producen y el proceso tarda unos 20 minutos impares en completarse. Durante este tiempo, los siguientes pasos se llevan a cabo entre bastidores:

    • Un dispositivo SD-WAN virtual (VPX) comienza a aprovisionarse en Azure según la configuración elegida por usted. Una vez que el Provisioning se realiza correctamente, el SD-WAN VPX viene con el perfil de CPU y memoria elegido junto con la configuración de red suministrada durante el paso anterior.

    • Una vez que el Provisioning se realiza correctamente, el dispositivo VPX se pone en contacto con SD-WAN Orchestrator a través de Internet público para solicitar el paquete de configuración.

    Resumen de la rama SD-WAN

  6. Una vez configurada la rama SD-WAN, puede ver los detalles de configuración.

    Detalles de configuración

  7. Una vez que se aprovisiona la instancia, puede ver la siguiente pantalla. En este punto, el administrador de red debe iniciar sesión en el SD-WAN Orchestrator para permitir la adición del dispositivo SD-WAN VPX a la red.

    Instancia aprovisionada

  8. El administrador de red debe iniciar sesión en SD-WAN Orchestrator y navegar a la página inicial de configuración de red, donde puede ver una línea de pedido para el sitio SD-WAN en CMD.

    Elemento pLine para el sitio SD-WAN

  9. El administrador de red debe implementar los sitios en esta etapa. Haga clic en Implementar config/software para implementar.

    Implementar configuración o software

  10. Una vez que el paso Implementar config/Software tenga éxito, puede ver que el estado de la pantalla CMD cambia a ahora puede crear catálogos mediante SD-WAN.

Servicio de ubicación de red

Con el servicio de ubicación de red de Citrix Cloud, puede optimizar el tráfico interno de las aplicaciones y escritorios que pone a disposición de los espacios de trabajo de los suscriptores para que las sesiones HDX sean más rápidas.

Los usuarios de redes internas y externas tienen que conectarse a los VDA a través de una Gateway externa. Aunque esto sea lo normal para usuarios externos, los usuarios internos tienen conexiones más lentas a recursos virtuales. El servicio Ubicación de red permite a los usuarios internos omitir la Gateway y conectarse directamente a los VDA, lo que reduce la latencia del tráfico de red interna.

Configuración

Para configurar el servicio de ubicación de red, configure las ubicaciones de red que correspondan a los agentes VDA de su entorno mediante el módulo de PowerShell del servicio de ubicación de red que Citrix proporciona. Estas ubicaciones de red incluyen los rangos IP públicos de las redes desde las que se conectan los usuarios internos.

Cuando los suscriptores inician sesiones de Virtual Apps y escritorios desde su Workspace, Citrix Cloud detecta si los suscriptores son internos o externos a la red de la empresa en función de la dirección IP pública de la red desde la que se conectan.

  • Si un suscriptor se conecta desde la red interna, Citrix Cloud redirige la conexión directamente al VDA sin pasar por Citrix Gateway.

  • Si un suscriptor se conecta externamente, Citrix Cloud redirige el suscriptor a Citrix Gateway como se esperaba y, a continuación, lo reenvía al VDA de la red interna.

Nota

La IP pública que debe configurarse en el servicio de ubicación de red debe ser la IP pública asignada a los enlaces WAN.

IP pública asignada al dispositivo SD-WAN

La IP pública que debe configurarse en NLS debe ser la IP de enlace WAN de todos los enlaces utilizados para enviar tráfico a través de la ruta virtual. Para encontrar esta información, vaya a Sitio > Informes > Tiempo real > Estadísticas > Interfaces de acceso.

IP pública

Configuración SD-WAN para integración CMD