Citrix SD-WAN

Integración de Citrix SD-WAN con AWS Transit Gateway

El servicioAmazon Web Service (AWS) Transit Gateway permite a los clientes conectar sus Amazon Virtual Private Clouds (VPC) y sus redes locales a una única puerta de enlace. A medida que aumenta el número de cargas de trabajo que se ejecutan en AWS, puede escalar sus redes entre varias cuentas y Amazon VPC para seguir el ritmo del crecimiento.

Ahora puede conectar pares de Amazon VPC mediante el emparejamiento. Sin embargo, la gestión de la conectividad punto a punto en muchas VPC de Amazon, sin la capacidad de gestionar de forma centralizada las directivas de conectividad, puede resultar costosa y complicada desde el punto de vista operativo. Para la conectividad local, debe conectar su AWS VPN a cada Amazon VPC individual. Esta solución puede llevar mucho tiempo y ser difícil de administrar cuando el número de VPC crece a cientos.

Con AWS Transit Gateway, solo tiene que crear y gestionar una única conexión desde la puerta de enlace central a cada Amazon VPC, centro de datos local u oficina remota a través de la red. La puerta de enlace de tránsito actúa como un concentrador que controla cómo se enruta el tráfico entre todas las redes conectadas que actúan como radios. Este modelo de hub y radio simplifica significativamente la gestión y reduce los costes operativos, ya que cada red solo tiene que conectarse a la puerta de enlace de tránsito y no a todas las demás redes. Cualquier VPC nueva está conectada a la puerta de enlace de tránsito y está disponible automáticamente para todas las demás redes conectadas a la puerta de enlace de tránsito. Esta facilidad de conectividad hace que sea fácil escalar su red a medida que crece.

A medida que las empresas migran un número cada vez mayor de aplicaciones, servicios e infraestructura a la nube, están implementando rápidamente SD-WAN para aprovechar los beneficios de la conectividad de banda ancha y conectar directamente a los usuarios de sitios de sucursales con los recursos de la nube. Existen muchos desafíos con las complejidades de crear y administrar redes privadas globales mediante servicios de transporte por Internet para conectar ubicaciones distribuidas geográficamente y usuarios con recursos en la nube basados en proximidad. AWS Transit Gateway Network Manager cambia este paradigma. Ahora, los clientes de Citrix SD-WAN que utilizan AWS pueden utilizar Citrix SD-WAN con AWS Transit Gateway integrando el dispositivo de sucursal de Citrix SD-WAN AWS Transit Gateway para ofrecer la más alta calidad de experiencia a los usuarios con la capacidad de llegar a todas las VPC conectadas a Transit Gateway.

Los siguientes son los pasos para integrar Citrix SD-WAN con AWS Transit Gateway:

  1. Cree AWS Transit Gateway.

  2. Conecte una VPN a la puerta de enlace de tránsito (ya sea una VPN existente o una nueva).

  3. Adjunte VPN a la puerta de enlace de tránsito configurada donde la VPN está con el sitio SD-WAN ubicado en las instalaciones o en cualquier nube (AWS, Azure o GCP).

  4. Establezca el peering Border Gateway Protocol (BGP) sobre el túnel IPsec con AWS Transit Gateway desde Citrix SD-WAN para conocer las redes (VPC) conectadas a Transit Gateway.

Caso de uso

El caso de uso es llegar a los recursos implementados en AWS (en cualquier VPC) desde el entorno de sucursal. El uso de AWS Transit Gateway permite que el tráfico llegue a todas las VPC conectadas a Transit Gateway sin ocuparse de las rutas BGP. Para lograr esto, realice los siguientes métodos:

  • Establezca IPSec to AWS Transit Gateway desde la sucursal del dispositivo Citrix SD-WAN. En este método de implementación no obtendrá beneficios completos de SD-WAN, ya que el tráfico pasará a través de IPSec.

  • Implemente un dispositivo Citrix SD-WAN dentro de AWS y conéctelo a su dispositivo Citrix SD-WAN local a través de una ruta virtual.

Independientemente del método elegido, el tráfico llega a las VPC conectadas a la puerta de enlace de tránsito sin administrar manualmente el enrutamiento dentro de la infraestructura de AWS.

AWS Transit Gateway

Configuración de AWS Transit Gateway

Para crear AWS Transit Gateway, vaya al panel de VPC y vaya a la sección Transit Gateway .

  1. Proporcione el nombre de la pasarela de tránsito, la descripción y el número ASN de Amazon como se resaltan en la siguiente captura de pantalla y haga clic en Crear pasarela de tránsito.

    Crear Gateway la de tránsito

    Una vez completada la creación de la pasarela de tránsito, podrá ver el estado como Disponible.

    Estado de la Gateway

  2. Para crear los anexos de puerta de enlace de tránsito, vaya a Puertas de enlace de tránsito > Anexos de puerta de tránsito y haga clic en Crear datos adjuntosde puerta de enlace de tránsito

    Creación de datos adjuntos Gateway

  3. Seleccione la puerta de enlace de tránsito creada en la lista desplegable y seleccione el tipo de adjunto como VPC. Proporcione la etiqueta de nombre de datos adjuntos y seleccione el ID de VPC que quiere adjuntar a la puerta de enlace de tránsito creada. Una de las subredes de la VPC seleccionada se seleccionará automáticamente. Haga clic en Crear datos adjuntos para adjuntar VPC a Transit Gateway.

    Detalles de datos adjuntos de Gateway

  4. Después de adjuntar la VPC a la puerta de enlace de tránsito, puede ver que el tipo de recurso VPC se asoció a la puerta de enlace de tránsito.

    Tipo de recurso VPC

  5. Para adjuntar SD-WAN a la puerta de enlace de tránsito mediante VPN, seleccione el ID de puerta de enlace de tránsito en la lista desplegable y seleccione Tipo de archivo adjunto como VPN. Asegúrese de seleccionar el ID de puerta de enlace de tránsito correcto.

    Adjunte una nueva puerta de enlace de cliente VPN proporcionando la dirección IP pública del enlace WAN SD-WAN y su número ASN BGP. Haga clic en Crear adjunto para adjuntar VPN con Transit Gateway.

    Adjuntar VPN con Transit Gateway

  6. Una vez que la VPN esté conectada a la puerta de enlace de tránsito, puede ver los detalles como se muestra en la siguiente captura de pantalla:

    VPN conectada a la puerta de enlace de tránsito

  7. En Puertas de enlace de clientes, la puerta de enlace de cliente SD-WAN y la conexión VPN de sitio a sitio se crean como parte de la conexión VPN a puerta de enlace de tránsito. Puede ver que la puerta de enlace del cliente de SD-WAN se crea junto con la dirección IP de esta puerta de enlace de cliente que representa la dirección IP pública del vínculo WAN de SD-WAN.

    Gateway del cliente

  8. Vaya a Conexiones VPN de sitio a sitio para descargar la configuración de VPNde puerta de enlace de cliente de SD-WAN. Este archivo de configuración tiene dos detalles de túnel IPSec junto con la información del par BGP. Se crean dos túneles de SD-WAN a Transit Gateway para redundancia.

    Puede ver que la dirección IP pública del vínculo WAN SD-WAN se configuró como la dirección de puerta de enlace del cliente.

    Conexión VPN de sitio a sitio

  9. Haga clic en Descargar configuración y descargue el archivo de configuración VPN. Seleccione el proveedor, la plataforma como genéricay el software como independiente del proveedor.

    Configuración de descarga

    El archivo de configuración descargado contiene la siguiente información:

    • Configuración de IKE
    • Configuración de IPSec para AWS Transit Gateway
    • Configuración de interfaz de túnel
    • Configuración de BGP

    Esta información está disponible para dos túneles IPSec para High Availability (HA). Asegúrese de configurar ambos puntos finales del túnel mientras configura esto en SD-WAN. Vea la siguiente captura de pantalla para referencia:

    Dos túneles IPSec

Configurar el servicio de Intranet en SD-WAN

  1. Para configurar el servicio de Intranet que se utiliza en la configuración del túnel IPSec en SD-WAN, vaya a Editor de configuración > Conexiones, seleccione el sitio en la lista desplegable y seleccione Servicio de intranet. Haga clic en + Servicio para agregar un nuevo servicio de Intranet.

    Configurar el servicio de intranet

  2. Después de agregar el servicio de Intranet, seleccione el enlace WAN (con el que va a establecer el túnel hacia la puerta de enlace de tránsito) que se utiliza para este servicio.

    Seleccionar vínculo WAN

  3. Para configurar el túnel IPSec hacia AWS Transit Gateway, vaya a Configuration Editor > Connections seleccione el sitio en la lista desplegable y haga clic en Túneles IPSec. Haga clic en la opción + para agregar túnel IPsec.

    Configurar túnel IPSec

  4. Seleccione el tipo de servicio como intranet y seleccione el nombre del servicio de intranet que ha agregado. Seleccione la dirección IP local como la dirección IP de enlace WAN y la dirección del mismo nivel como dirección IP de puerta de enlace privada virtual de tránsito.

    Haga clic en la casilla de verificación Keepalive para que SD-WAN inicie el túnel inmediatamente después de la activación de la configuración.

    Tipo de servicio de túnel IPSec

  5. Configure los parámetros de IKE en función del archivo de configuración de VPN que ha descargado de AWS.

    Parámetros IKE

  6. Configure los parámetros IPSec en función del archivo de configuración de VPN que ha descargado de AWS. Configure también las redes protegidas IPSec en función de la red que desea enviar a través del túnel. Puede ver que está configurado para permitir cualquier tráfico a través del túnel IPSec.

    Parámetros IPSec

  7. Configure la puerta de enlace del cliente dentro de la dirección IP como una de las direcciones IP virtuales en SD-WAN. Desde el archivo de configuración de VPN descargado, busque la Gateway del cliente dentro de la dirección IP relacionada con Tunnel-1. Configure esta puerta de enlace de cliente dentro de la dirección IP como una de las direcciones IP virtuales en SD-WAN y active la casilla Identity.

    Gateway del cliente dentro de dirección IP

  8. Agregue rutas en SD-WAN para llegar a la puerta de enlace privada virtual de tránsito. Desde el archivo de configuración de VPN descargado, busque la dirección IP interna y externa de Virtual Private Gateway relacionada con Tunnel-1. Agregue rutas a la dirección IP interna y externa de Virtual Private Gateway con el tipo de servicio como Intranet y seleccione el servicio de Intranet creado en los pasos anteriores.

    Agregar rutas

  9. Configure BGP en SD-WAN. Habilite BGP con el número ASN adecuado. En el archivo de configuración de VPN descargado, busque las opciones de configuración de BGP relacionadas con Tunnel-1. Utilice estos detalles para agregar vecino BGP en SD-WAN.

    Para habilitar BGP en SD-WAN, vaya a Conexiones, seleccione el sitio en la lista desplegable y, a continuación, seleccione BGP. Haga clic en la casilla de verificación Habilitar para habilitar BGP. Haga clic en la casilla de verificación Anunciar rutas SD-WAN de Citrix para anunciar rutas SD-WAN hacia la puerta de enlace de tránsito. Utilice el ASN de puerta de enlace del cliente desde las opciones de configuración de BGP y configúrelo como Sistema Autónomo Local.

    Configurar BGP en SD-WAN

  10. Para agregar vecinos BGP en SD-WAN, vaya a Conexiones seleccione el sitio en la lista desplegable y, a continuación, seleccione BGP. Haga clic en la sección Vecinos y en la opción +.

    Utilice Dirección IP de vecino y ASN de puerta de enlace privada virtual desde las opciones de configuración de BGP mientras agrega vecino. La IP de origen debe coincidir con la puerta de enlace del cliente dentro de la dirección IP (configurada como dirección IP virtual en SD-WAN) desde el archivo de configuración descargado de AWS. Agregar vecino BGP con Multi Hop habilitado en SD-WAN.

    Agregar vecino BGP

  11. Para agregar filtros de importación para importar rutas BGP a SD-WAN, vaya a Conexiones, seleccione el sitio en la lista desplegable, seleccione BGP y haga clic en Importar la sección Filtros. Haga clic en la opción + para agregar un filtro de importación. Seleccione el protocolo como BGP y coincida con cualquiera para importar todas las rutas BGP. Seleccione el tipo de servicio como Intranet y seleccione el servicio de Intranet creado. Esto es para importar rutas BGP con tipo de servicio como Intranet.

    Agregar filtros de importación

Supervisión y resolución de problemas en SD-WAN

  1. Para comprobar el estado de establecimiento del túnel IPSec en SD-WAN, vaya a Supervisión > Estadísticas > Túnel IPSec. En la siguiente captura de pantalla, puede ver que el túnel IPSec se establece desde SD-WAN hacia AWS Transit Gateway y el estado es BUENO. Además, puede supervisar la cantidad de tráfico enviado y recibido a través de este túnel IPSec.

    Supervisión y solución de problemas en SD-WAN

  2. Para verificar el estado de Peering BGP en SD-WAN, vaya a Supervisión > Protocolos de enrutamiento y seleccione Estado BGP. Puede ver que el estado BGP se informó como Establecido y que la dirección IP del vecino y la ASN de vecino coinciden con los detalles del vecino BGP de AWS. Con esto, puede asegurarse de que el peering BGP se estableció desde SD-WAN hasta AWS Transit Gateway a través del túnel IPSec.

    Verificar el estado del peering BGP

    Una VPC (192.168.0.0) está conectada a AWS Transit Gateway. SD-WAN ha aprendido esta red VPC (192.168.0.0) desde AWS Transit Gateway a través de BGP y esta ruta se instaló en SD-WAN con el tipo de servicio como Intranet según el filtro de importación creado en los pasos anteriores.

  3. Para verificar la instalación de la ruta BGP en SD-WAN, vaya a Monitoreo > Estadísticas > Rutas y compruebe la red 192.168.0.0/16 que se instaló como ruta BGP con el tipo de servicio como Intranet. Esto significa que puede aprender las redes conectadas a AWS Transit Gateway y puede comunicarse con esas redes a través del túnel IPSec establecido.

    Verificar rutas BGP

Supervisión y solución de problemas en AWS

  1. Para comprobar el estado del establecimiento del túnel IPSec en AWS, vaya a RED PRIVADA VIRTUAL (VPN) > Conexiones VPN de sitio a sitio. En la siguiente captura de pantalla, puede observar que la dirección de puerta de enlace del cliente representa la dirección IP pública de enlace SD-WAN mediante la cual se ha establecido el túnel.

    El estado del túnel se muestra como UP. También se puede observar que AWS ha aprendido 8 RUTAS BGP de SD-WAN. Esto significa que SD-WAN puede establecer Tunnel con AWS Transit Gateway y también puede intercambiar rutas a través de BGP.

    Verificar el estado de establecimiento del túnel IPSec en AWS

  2. Configure los detalles de IPSec y BGP relacionados con el segundo túnel en función del archivo de configuración descargado en SD-WAN.

    El estado relacionado con ambos túneles se puede monitorear en SD-WAN de la siguiente manera:

    Estado de ambos túneles

  3. El estado relacionado con ambos túneles se puede supervisar en AWS de la siguiente manera:

    Estado de ambos túneles en AWS

Integración de Citrix SD-WAN con AWS Transit Gateway