Citrix SD-WAN

Integración de Citrix SD-WAN con AWS Transit Gateway

El servicio Amazon Web Service (AWS) Transit Gateway permite a los clientes conectar sus nubes privadas virtuales de Amazon (VPC) y sus redes locales a una única puerta de enlace. A medida que aumenta el número de cargas de trabajo que se ejecutan en AWS, puede escalar sus redes entre varias cuentas y Amazon VPC para seguir el ritmo del crecimiento.

Ahora puede conectar pares de Amazon VPC mediante el emparejamiento. Sin embargo, la gestión de la conectividad punto a punto en muchas VPC de Amazon, sin la capacidad de gestionar de forma centralizada las directivas de conectividad, puede resultar costosa y complicada desde el punto de vista operativo. Para la conectividad local, debe conectar su AWS VPN a cada Amazon VPC individual. Esta solución puede llevar mucho tiempo y ser difícil de administrar cuando el número de VPC crece a cientos.

Con AWS Transit Gateway, solo tiene que crear y administrar una única conexión desde la puerta de enlace central a cada VPC de Amazon, centro de datos local u oficina remota de la red. La puerta de enlace de tránsito actúa como un concentrador que controla cómo se enruta el tráfico entre todas las redes conectadas que actúan como radios. Este modelo de hub y radio simplifica significativamente la gestión y reduce los costes operativos, ya que cada red solo tiene que conectarse a la puerta de enlace de tránsito y no a todas las demás redes. Cualquier VPC nueva está conectada a la puerta de enlace de tránsito y está disponible automáticamente para todas las demás redes conectadas a la puerta de enlace de tránsito. Esta facilidad de conectividad hace que sea fácil escalar su red a medida que crece.

A medida que las empresas migran un número cada vez mayor de aplicaciones, servicios e infraestructura a la nube, están implementando rápidamente SD-WAN para aprovechar los beneficios de la conectividad de banda ancha y conectar directamente a los usuarios de sitios de sucursales con los recursos de la nube. Existen muchos desafíos con las complejidades de crear y administrar redes privadas globales mediante servicios de transporte por Internet para conectar ubicaciones distribuidas geográficamente y usuarios con recursos en la nube basados en proximidad. AWS Transit Gateway Network Manager cambia este paradigma. Ahora, los clientes de Citrix SD-WAN que utilizan AWS pueden utilizar Citrix SD-WAN con AWS Transit Gateway integrando el dispositivo de sucursal de Citrix SD-WAN AWS Transit Gateway para ofrecer la más alta calidad de experiencia a los usuarios con la capacidad de llegar a todas las VPC conectadas a Transit Gateway.

Los siguientes son los pasos para integrar Citrix SD-WAN con AWS Transit Gateway:

  1. Cree AWS Transit Gateway.

  2. Conecte una VPN a la puerta de enlace de tránsito (ya sea una VPN existente o una nueva).

  3. Adjunte VPN a la puerta de enlace de tránsito configurada donde la VPN está con el sitio SD-WAN ubicado en las instalaciones o en cualquier nube (AWS, Azure o GCP).

  4. Establezca el peering Border Gateway Protocol (BGP) sobre el túnel IPsec con AWS Transit Gateway desde Citrix SD-WAN para conocer las redes (VPC) conectadas a Transit Gateway.

Caso de uso

El caso de uso es llegar a los recursos implementados en AWS (en cualquier VPC) desde el entorno de sucursal. El uso de AWS Transit Gateway permite que el tráfico llegue a todas las VPC conectadas a Transit Gateway sin ocuparse de las rutas BGP. Para lograr esto, realice los siguientes métodos:

  • Establezca IPSec to AWS Transit Gateway desde la sucursal del dispositivo Citrix SD-WAN. En este método de implementación no obtendrá beneficios completos de SD-WAN, ya que el tráfico pasará a través de IPSec.

  • Implemente un dispositivo Citrix SD-WAN dentro de AWS y conéctelo a su dispositivo Citrix SD-WAN local a través de una ruta virtual.

Independientemente del método elegido, el tráfico llega a las VPC conectadas a la puerta de enlace de tránsito sin administrar manualmente el enrutamiento dentro de la infraestructura de AWS.

AWS Transit Gateway

Configuración de AWS Transit Gateway

Para crear AWS Transit Gateway, vaya al panel de VPC y vaya a lasecciónTransit Gateway.

  1. Proporciona el nombre de la puerta de enlace de tránsito, la descripción y el número ASN de Amazon tal y como se indica en la siguiente captura de pantalla y haga clic en Crear puerta de enlace de tránsito.

Crear Gateway la de tránsito

Una vez completada la creación de la puerta de enlace de tránsito, podrá ver el estado como Disponible.

Estado de la Gateway

  1. Para crear los anexos de la puerta de enlace de tránsito, vaya a Pasarelas de tránsito > Datos adjuntos de puerta de enlace de tránsito y haga clic en Crear datosadjuntos de puerta de enlace

Creación de datos adjuntos Gateway

  1. Seleccione la puerta de enlace de tránsito creada en la lista desplegable y seleccione el tipo de adjunto como VPC. Proporcione la etiqueta de nombre de datos adjuntos y seleccione el ID de VPC que quiere adjuntar a la puerta de enlace de tránsito creada. Una de las subredes de la VPC seleccionada se seleccionará automáticamente. Haga clic en Crear datos adjuntos para adjuntar VPC a la puerta de enlace de tránsito.

Detalles de datos adjuntos de Gateway

  1. Después de adjuntar la VPC a la Gateway de tránsito, puede ver que la VPC de tipo de recurso se asoció a la puerta de enlace de tránsito.

Tipo de recurso VPC

  1. Para conectar SD-WAN a la puerta de enlace de tránsito mediante VPN, seleccione el IDde puerta de enlace detránsito en la lista desplegable y seleccione Tipo de adjunto como VPN. Asegúrese de seleccionar el ID de puerta de enlace de tránsito correcto.

Adjunte una nueva puerta de enlace de cliente VPN proporcionando la dirección IP pública del enlace WAN SD-WAN y su número ASN BGP. Haga clic en Crear datos adjuntos para adjuntar VPN con Transit Gateway.

Adjuntar VPN con Transit Gateway

  1. Una vez que la VPN esté conectada a la puerta de enlace de tránsito, puede ver los detalles como se muestra en la siguiente captura de pantalla:

VPN conectada a la puerta de enlace de tránsito

  1. En Puertas de enlace de clientes, la puerta de enlace de clientes de SD-WAN y la conexión VPN de sitio a sitio se crean como parte de la VPN Attachment to Transit Gateway. Puede ver que la puerta de enlace del cliente de SD-WAN se crea junto con la dirección IP de esta puerta de enlace de cliente que representa la dirección IP pública del vínculo WAN de SD-WAN.

Gateway del cliente

  1. Vaya a Conexiones VPN de sitio a sitio para descargar Configuración de VPN de puerta de enlace de clientes de SD-WAN. Este archivo de configuración tiene dos detalles de túnel IPSec junto con la información del par BGP. Se crean dos túneles de SD-WAN a Transit Gateway para redundancia.

Puede ver que la dirección IP pública del vínculo WAN SD-WAN se configuró como la dirección de puerta de enlace del cliente.

Conexión VPN de sitio a sitio

  1. Haga clic en Descargar configuración y descargue el archivo de configuración de VPN. Seleccione el proveedor, la plataforma como genéricay el software como independiente del proveedor.

Configuración de descarga

El archivo de configuración descargado contiene la siguiente información:

  • Configuración de IKE
  • Configuración de IPSec para AWS Transit Gateway
  • Configuración de interfaz de túnel
  • Configuración de BGP

Esta información está disponible para dos túneles IPSec para High Availability (HA). Asegúrese de configurar ambos puntos finales del túnel mientras configura esto en SD-WAN. Vea la siguiente captura de pantalla para referencia:

Dos túneles IPSec

Configurar el servicio de Intranet en SD-WAN

  1. Para configurar el servicio Intranet que se utiliza en la configuración del túnel IPSec en SD-WAN, vaya a Editor de configuración > Conexiones, seleccione el sitio en la lista desplegable y seleccione Servicio de Intranet. Haga clic en + Servicio para agregar un nuevo servicio de Intranet.

Configurar el servicio de intranet

  1. Después de agregar el servicio de Intranet, seleccione el enlace WAN (con el que va a establecer el túnel hacia la puerta de enlace de tránsito) que se utiliza para este servicio.

Seleccionar vínculo WAN

  1. Para configurar el túnel IPSec hacia AWS Transit Gateway, vaya al Editor de configuración > Conexiones seleccione el sitio en la lista desplegable y haga clic en Túneles IPSec. Haga clic enla opción+ para agregar el túnel IPSec.

Configurar túnel IPSec

  1. Seleccione el tipo de servicio como intranet y seleccione el nombre del servicio de intranet que ha agregado. Seleccione ladirección IPlocal como dirección IP del enlace WAN y dirección del mismo nivel comodirecciónIP de la puerta de enlace privada virtual de la puerta de enlace de tránsito.

Haga clic en lacasilla de verificaciónKeepalive para que SD-WAN inicie el túnel inmediatamente después de la activación de la configuración.

Tipo de servicio de túnel IPSec

  1. Configure los parámetros de IKE en función del archivo de configuración de VPN que ha descargado de AWS.

Parámetros IKE

  1. Configure los parámetros IPSec en función del archivo de configuración de VPN que ha descargado de AWS. Configure también redes protegidas IPSec basadas en la red que quiere enviar a través del túnel. Puede ver que está configurado para permitir cualquier tráfico a través del túnel IPSec.

Parámetros IPSec

  1. Configure la puerta de enlace del cliente dentro de la dirección IP como una de las direcciones IP virtuales en SD-WAN. Desde el archivo de configuración de VPN descargado, busque la Gateway del cliente dentro de la dirección IP relacionada con Tunnel-1. Configure esta Gateway de cliente dentro de Dirección IP como una de las direcciones IP virtuales en SD-WAN y active la casilla deverificaciónIdentidad.

Gateway del cliente dentro de dirección IP

  1. Agregue rutas en SD-WAN para alcanzar la puerta de enlace privada virtual de la puerta de enlace de tránsito. Desde el archivo de configuración de VPN descargado, busque la dirección IP interna y externa de Virtual Private Gateway relacionada con Tunnel-1. Agregue rutas a la dirección IP interna y externa de Virtual Private Gateway con Tipo de servicio como Intranet y seleccione el servicio Intranet creado en los pasos anteriores.

Agregar rutas

  1. Configurar BGP en SD-WAN. Habilite BGP con el número ASN adecuado. En el archivo de configuración de VPN descargado, busque las opciones de configuración de BGP relacionadas con Tunnel-1. Utilice estos detalles para agregar vecino BGP en SD-WAN.

Para habilitar BGP en SD-WAN, vaya a Conexiones seleccione el sitio en la lista desplegable y, a continuación, seleccione BGP. Haga clic enla casilla de verificaciónHabilitar para habilitar BGP. Haga clic en la casilla deverificaciónAnunciar rutas Citrix SD-WAN para anunciar rutas SD-WAN hacia la puerta de enlace de tránsito. Utilice el ASNde la puerta de enlace delcliente desde las opciones de configuración de BGP y configúrelo como sistema autónomo local.

Configurar BGP en SD-WAN

  1. Para agregar Vecinos BGP en SD-WAN, vaya a Conexiones seleccione el sitio en la lista desplegable y, a continuación, seleccione BGP. Haga clic enla secciónVecinos y enla opción+

Utilice la dirección IP de vecino y la ASNde puerta de enlace privadavirtual desde las opciones de configuración de BGP mientras agrega vecino. La IP de origen debe coincidir con la puerta de enlace del cliente dentro de la dirección IP (configurada como dirección IP virtual en SD-WAN) desde el archivo de configuración descargado de AWS. Agregue BGP Neighbor con Multi Hop activado en SD-WAN.

Agregar vecino BGP

  1. Para agregar filtros de importación para importar rutas BGP en SD-WAN, vaya a Conexiones, seleccione el sitio en la lista desplegable y, a continuación, seleccione BGP y haga clic en Importar filtros. Haga clic enla opción+ para agregar un filtro Importar. Seleccione el protocolo como BGP y haga coincidir cualquiera para importar todas las rutas BGP. Seleccione el tipo de servicio como Intranet y seleccione el servicio de Intranet creado. Esto es para importar rutas BGP con tipo de servicio como Intranet.

Agregar filtros de importación

Supervisión y resolución de problemas en SD-WAN

  1. Para comprobar el estado de establecimiento del túnel IPSec en SD-WAN, vaya a Supervisión > Estadísticas > Túnel IPSec. En la siguiente captura de pantalla, puede ver que el túnel IPSec se establece desde SD-WAN hacia AWS Transit Gateway y el estado es BUENO. Además, puede supervisar la cantidad de tráfico enviado y recibido a través de este túnel IPSec.

Supervisión y resolución de problemas en SD-WAN

  1. Para verificar elestado de PeeringBGP en SD-WAN, vaya a Monitoring > Routing Protocolos y seleccione BGP State. Puede ver que el estado de BGP se notificó como Establecido y que la dirección IP del vecino y el ASN de vecino coinciden con los detalles del vecino de AWS BGP. Con esto, puede asegurarse de que el peering BGP se estableció desde SD-WAN hasta AWS Transit Gateway a través del túnel IPSec.

Verificar el estado del peering BGP

Una VPC (192.168.0.0) está conectada a AWS Transit Gateway. SD-WAN ha aprendido esta red VPC (192.168.0.0) desde AWS Transit Gateway a través de BGP. Esta ruta se instaló en SD-WAN con el tipo de servicio como Intranet según el filtro de importación creado en los pasos anteriores.

  1. Para verificar la instalación de la ruta BGP en SD-WAN, vaya a Supervisión > Estadísticas > Rutas y compruebe la red 192.168.0.0/16 que se instaló como ruta BGP con el tipo de servicio como Intranet. Esto significa que puede aprender las redes conectadas a AWS Transit Gateway y puede comunicarse con esas redes a través del túnel IPSec establecido.

Verificar rutas BGP

Supervisión y solución de problemas en AWS

  1. Para comprobar el estado de establecimiento del túnel IPSec en AWS, vaya a VIRTUAL PRIVADO NETWORK (VPN) > Conexiones VPN de sitio a sitio. En la siguiente captura de pantalla, puede observar que la dirección de puerta de enlace del cliente representa la dirección IP pública de enlace SD-WAN mediante la cual se ha establecido el túnel.

El estado del túnel se muestra como UP. También se puede observar que AWS ha aprendido 8 RUTAS BGP de SD-WAN. Esto significa que SD-WAN puede establecer Tunnel con AWS Transit Gateway y también puede intercambiar rutas a través de BGP.

Verificar el estado de establecimiento del túnel IPSec en AWS

  1. Configure los detalles de IPSec y BGP relacionados con el segundo túnel en función del archivo de configuración descargado en SD-WAN.

El estado relacionado con ambos túneles se puede monitorear en SD-WAN de la siguiente manera:

Estado de ambos túneles

  1. El estado relacionado con ambos túneles se puede supervisar en AWS de la siguiente manera:

Estado de ambos túneles en AWS

Integración de Citrix SD-WAN con AWS Transit Gateway