Citrix SD-WAN + Azure Virtual WAN Blueprint: Guía de implementación

Destinatarios

Este documento está destinado a arquitectos de soluciones en la nube, diseñadores de redes, profesionales técnicos, socios y consultores que evalúan las soluciones de Microsoft Azure Virtual WAN y Citrix SD-WAN. También está diseñado para administradores de red, administradores de Citrix, proveedores de servicios administrados o cualquier persona que desee implementar estas soluciones.

Información general

En este documento se destacan las ventajas que ofrece Azure Virtual WAN, los beneficios de una solución conjunta de Azure VWAN y Citrix SD-WAN, los casos de uso a los que atienden y las instrucciones de configuración correspondientes.

En términos generales, la guía de implementación describe cómo:

  1. Establecer conectividad en Azure Virtual WAN

    • Hub-to-Hub conectividad

    • VNet-to-Hub emparejamiento

  2. Establezca la conectividad entre SD-WAN y Azure VWAN.

    • Establecer comunicación entre regiones mediante SD-WAN

    • Configurar HA en SD-WAN esperado

Casos de uso

Este documento se centra en lograr tres casos de uso diseñados para satisfacer los requisitos típicos de una organización.

Caso de uso n.º 1: Conéctese de forma segura a recursos implementados en una única región de Azure desde sucursales distribuidas globalmente.

Caso de uso n.º 2: La infraestructura local se conecta de forma segura a los recursos implementados en diferentes regiones de Azure.

Caso de uso n.º 3: Ubicaciones de sucursales distribuidas globalmente que se comunican entre sí a través de la estructura troncal de Azure.

Azure Virtual WAN: Introducción

Azure Virtual WAN (VWAN) es un servicio de red de Microsoft que proporciona una red de tránsito global de alta velocidad y permite una conectividad segura entre sucursales, centros de datos, concentradores y usuarios. Admite VPN sitio a sitio (Branch-to-Azure), VPN de usuario (punto a sitio) y conectividad ExpressRoute. Automatiza la conectividad Hub-to-VNet (entre la red virtual VNet/Workload y el Hub). Los clientes también pueden usar Azure VWAN para conectar sucursales entre regiones mediante la red troncal privada de Azure.

VWAN de Azure

Referencia: Rutas de tráfico WAN virtual de Azure

Mejor juntos: Beneficios de una solución conjunta de Azure VWAN y Citrix SD-WAN

Citrix SD-WAN proporciona una solución WAN perimetral segura y confiable que reduce el coste, la complejidad y el tiempo necesario para conectar sucursales a Azure mediante la automatización de las implementaciones de red. Aumenta los beneficios de Azure Virtual WAN al proporcionar un alto nivel de redundancia, automatización, supervisión y control a escala global, al tiempo que le permite aprovechar al máximo la red troncal global de alta velocidad de Microsoft.

  1. Beneficio 1: SD-WAN para automatizar las implementaciones de red para conectar cientos de sucursales al concentrador de Azure

    Configurar túneles VPN sitio a sitio desde cientos de ubicaciones locales a Azure puede llevar mucho tiempo y propenso a errores. La integración de Citrix SD-WAN con Azure Virtual WAN puede acelerar el proceso por orden de magnitud. Citrix SD-WAN Orchestrator proporciona un único panel de administración de vidrio para conectar dispositivos Citrix SD-WAN locales a la WAN virtual de Azure en virtud de la integración de API. Una arquitectura alternativa consiste en implementar un Citrix SD-WAN VPX en Azure (en lugar de usar Azure Hubs). Esto forma una solución con libreta con un dispositivo SD-WAN local. Puede aportar beneficios para hacer que la red sea más resistente y mejorar la experiencia de las aplicaciones para los usuarios. Entre las ventajas se incluyen la vinculación de vínculos y el equilibrio de carga, la conmutación por error de subsegundos gracias a la tecnología líder en la industria de equilibrio de carga por paquete y la QoS bidireccional de duplicación selectiva de paquetes El enfoque de instancia SD-WAN VPX puede tener un ancho de banda limitado (es decir, un máximo de 2 Gbps), en cuyo caso la instancia de Azure La solución VWAN proporciona mayores capacidades de rendimiento.

  2. Beneficio 2: SD-WAN para reducir los costes operativos de la WAN

    MPLS y ExpressRoute pueden proporcionar un canal privado, de alta velocidad y seguro para conectarse a la VWAN de Azure. Sin embargo, suelen ser soluciones costosas, especialmente cuando se tienen que tener en cuenta todos los sitios de sucursales que requerirían conectividad a la intranet privada. SD-WAN, al agregar varios tipos de conexión rentables (4G/LTE, DSL, Internet, etc.) puede ayudar a reducir los costes operativos de la WAN, además de proporcionar una mayor resistencia para conectarse a los recursos de Azure desde la sucursal. Dependiendo de los requisitos de seguridad de una empresa, es posible que el tráfico de una sucursal tenga que ser transportado de vuelta al cuartel general de la empresa para garantizar el cumplimiento de la seguridad, lo que tiene que forzar el circuito y dar lugar a una latencia adicional. La implementación de un dispositivo Citrix SD-WAN virtual en Azure puede proporcionar una interrupción local de Internet mediante el procesamiento de directivas de seguridad creadas con el firewall L2-L7 integrado en el dispositivo Citrix SD-WAN. Esto limitaría la necesidad de redirigir el tráfico hacia el cuartel general y, por lo tanto, reduciría los cargos por datos de salida incurridos en los planes medidos y también ayudaría a preservar la experiencia del usuario.

  3. Beneficio 3: SD-WAN para mejorar la conectividad de última milla

    A medida que más cargas de trabajo se mueven a la nube, la conectividad de última milla hacia y desde oficinas remotas se vuelve aún más importante. Puede que no siempre sea posible proporcionar conectividad MPLS o ExpressRoute a sucursales remotas; además de razones puramente económicas, el aprovisionamiento de la red MPLS o Express Route lleva tiempo y puede que no sea factible implementarlo. Una implementación de SD-WAN en un sitio de sucursal remoto puede ayudar a mejorar la experiencia de conectividad de última milla con Azure agregando varios vínculos de red (que se pueden configurar como primarios y secundarios) e identificar el POP de Azure/Microsoft más cercano. Mediante la supervisión constante de la red, SD-WAN puede dirigir automáticamente el tráfico de un enlace a otro dependiendo de la calidad del enlace, proporcionando una experiencia óptima a los usuarios remotos.

  4. Beneficio 4: Una solución de acceso para proporcionar resistencia de red y experiencia WAN optimizada

    Aunque es posible conectar una sucursal a Azure VWAN a través de IPSec nativo, un único túnel IPSec puede ser propenso a la pérdida de paquetes y a la congestión de vínculos y no puede mitigar los riesgos de interrupciones. Cualquier interrupción de la red puede provocar millones de dólares en pérdidas de productividad e ingresos.

    La adopción del enfoque alternativo de implementar un dispositivo virtual de red (NVA) Citrix SD-WAN VPX Network Virtual Appliance (NVA) en Azure para formar una solución de acceso fijo con un dispositivo SD-WAN local ofrece muchas ventajas. Estos beneficios incluyen enlace de vínculos y equilibrio de carga, failover de subsegundos, replicación selectiva de paquetes y QoS bidireccional, entre otros, para hacer que la red sea más resistente y mejorar la experiencia de las aplicaciones para los usuarios.

  5. Beneficio 5: SD-WAN Orchestrator para una visibilidad mejorada

    Citrix SD-WAN orchestrator proporciona un único panel de vidrio para administrar y realizar un seguimiento del estado y el uso de la red. La clonación basada en plantillas de Orchestrator simplifica las implementaciones a gran escala de SD-WAN y expansiones de red, lo que ayuda a escalar los cambios a toda una flota de sucursales y ahorrar tiempo. SD-WAN Orchestrator también proporciona rampas automáticas de acceso a Microsoft Azure mediante el aprovisionamiento de instancias de SD-WAN VPX en redes virtuales nuevas o existentes con apuntar y hacer clic.

Topología de referencia

Las cargas de trabajo de Azure implementadas en una región especificada (por ejemplo: Azure VWAN East Hub) pueden conectarse a varias ubicaciones de sucursales mediante dispositivos Citrix SD-WAN a través de Internet o 4G/LTE. Dentro de una infraestructura de red virtual (vNet), la VM SD-WAN Standard Edition (SD-WAN VPX) se implementa en modo Gateway.

Topología de referencia

Para lograr los casos de uso descritos anteriormente, necesitamos establecer conectividad/emparejamiento entre las siguientes entidades:

  1. SDWAN VPX y Azure VWAN Hub sobre túneles IPsec y emparejamiento BGP

  2. Azure VWAN Hub y VNET mediante el emparejamiento local y global de VNet

  3. Dispositivos de sucursal SD-WAN y VPX de SD-WAN (en Azure) mediante rutas virtuales

De los tres, establecer conectividad entre el dispositivo de sucursal SD-WAN y SD-WAN VPX (3) a través de la tecnología de ruta virtual patentada de Citrix SD-WAN es lo que aporta varias capacidades. Estas funciones incluyen equilibrio de carga por paquete, replicación selectiva de paquetes y QoS bidireccional, y proporciona los beneficios de la solución conjunta. El siguiente documento le guía a través de los pasos necesarios para configurar Azure Virtual WAN e implementar junto con un dispositivo virtual SD-WAN.

Aprovisionamiento y redes de Azure

Antes de implementar Azure Virtual WAN desde Orchestrator, asegúrese de que se han aprovisionado los recursos relacionados con Azure Virtual WAN y que el diseño de red ha finalizado. Esto simplifica la configuración de Azure Virtual WAN desde la consola de administración de SD-WAN Orchestrator.

Este es un diagrama de flujo de cómo puede crear recursos relacionados con Azure Virtual WAN.

Resumen de Pasos

Tenga en cuenta que aunque hemos seguido este flujo, puede crear vNet antes de crear grupos de recursos. Aquí hay un resumen de los pasos realizados durante la construcción de esta topología. Cada paso se cubre en detalle en secciones posteriores.

Resumen de pasos

  1. Crear grupos de recursos
  2. Crear una red virtual cada una para la región Este y Oeste (para la topología descrita anteriormente)

    • Lo mismo sería aplicable para cualquier número de vNet en diferentes regiones, según la topología en Azure
  3. Crear recurso WAN virtual de Azure
  4. Cree Azure Virtual WAN Hubs que gobiernan las regiones Este y Oeste (con conectividad de Hub a Hub inherente dentro de la WAN virtual única.
    • Crear Hub en la región Este.
    • Crear Hub en la región Oeste.
  5. Peer las VNet de las regiones Este y Oeste (creadas en el paso 2) con sus respectivos Hubs.
    • Por ejemplo, una red virtual en la región Este se peer con el Hub en la región Este, de modo que obtenga visibilidad de las subredes SD-WAN (que se conectan desde las instalaciones a la VPX de SD-WAN en Azure que eventualmente se conecta al Hub proporcionando las subredes a través de BGP)

Crear grupos de recursos

1. Crear grupo de recursos en la región Este

  • Cree un grupo de recursos para la región. En esta arquitectura, la hemos llamado AzurevwaneastresCgrp.
  • Asegúrese de seleccionar la región como EE.UU. Este (para las cargas de trabajo de la región oriente/VNet). Puede optar por aprovisionarlo en cualquier región según su topología.
  • Revise y cree el grupo de recursos.

    Crear grupo de recursos en East

2. Crear grupo de recursos en la región Oeste

  • Cree un grupo de recursos con un nombre. En esta arquitectura hemos utilizado AzurevwanWestresCgrp.
  • Asegúrese de seleccionar la región como EE.UU. Oeste (para las cargas de trabajo de la región Oeste o VNet).
  • Revise y cree el grupo de recursos.

    Crear grupo de recursos en West

Crear una red virtual cada una en las regiones Este y Oeste (según la topología de referencia)

Puede seguir esto enlace para crear vNet para las regiones.

Crear recursos de Azure Virtual WAN

  1. Busque WAN virtual en la barra de búsqueda de Azure y haga clic en WAN virtuales.

    Buscar en Azure VWAN

  2. Haga clic en ‘+Agregar’ para agregar una nueva WAN virtual

    Haga clic en Agregar.

  3. Comience a rellenar los detalles básicos de Azure Virtual WAN

    • Hemos seleccionado el grupo East Resource creado al comienzo del documento, llamado AzureVWANEastRescGrp
    • Seleccione la ubicación como EE.UU. Este (según la topología anterior)
    • Proporcione un nombre al recurso WAN virtual de Azure que se está creando. En este documento lo hemos llamado EastUSVWANANDHub

    Nota: Selecciona el SKU como “ESTÁNDAR” para garantizar la capacidad de lograr la comunicación entre centros entre regiones. Sin embargo, si no necesitas capacidades de comunicación entre concentradores, puede elegir el SKU “BÁSICO”.

    Crear WAN

  4. Cuando pase la validación, haga clic en Crear Validate

  5. Una vez creado el recurso, puede encontrarlo en la sección global de Azure Virtual WAN.

  6. Como se ve a continuación, vemos “EastUSVwanandHub” listado con el grupo de recursos como AzurevwaneastresCgrp y la ubicación como East US2.

    Confirmation

Nota: Aunque Azure Virtual WAN Resource se ha implementado en el grupo de recursos Este de la región Este de EE. UU. 2, puede optar por implementarlo en casi cualquier región o grupo de recursos según su topología de red.

Crear concentradores de VWAN de Azure en cada región

1. Creación de Azure Virtual WAN Hub para la región Este

Seleccione el recurso WAN virtual creado en el paso anterior — “EastUSVwanandHub”

  • Dentro del recurso WAN virtual, encontrará “Hubs” en la sección Conectividad.

    Buscar Hubs

  • Haga clic en Hubs y ahora podrás agregar un nuevo Hub

  • Haga clic en ”+ Nuevo Hub” en la sección Hubs y abrirá un nuevo panel de configuración

    Agregar Hub

  • Introduzca los detalles básicos

    • Seleccione la región en la que quiere que se cree el Hub.
    • En este caso, la región es EE.UU. Este 2 (se creará Hub en esta región)
    • Dale un nombre al centro. En este caso, es “EastUSHub”
    • Proporcionar un espacio de direcciones único para este Hub que no se superponga o sea redundante con ninguna otra subred de este grupo de recursos

    Configurar Virtual Hub

    • El paso MÁS importante es configurar la sección “Sitio a Sitio”.
      • Seleccione “Sí” para ¿Desea crear un sitio a sitio?
      • El ASN se rellena automáticamente y para este Hub será 65515.
      • Elija las unidades de escala de puerta de enlace según su necesidad.
        • En este caso, se selecciona como 1 unidad de escala — 500 Mbps x 2

      Nota: Deje todas las demás secciones como por defecto

    • Haga clic en “Revisar y crear” para crear Azure Virtual WAN Hub en la región Este.
    • El proceso de creación del concentrador puede tardar hasta 30 minutos en completarse.

    Configurar Virtual Hub

    • Una vez creado el recurso, en la sección Hub bajo Virtual WAN, verá una nueva entrada bajo el mapa geográfico, con el nombre del Hub que hemos creado.
      • El estado del concentrador se refleja como “Sucedido”.
      • El espacio de direcciones debe ser como lo configuramos.
      • Dado que todavía no hay sitios VPN conectados, el recuento es ‘0’. Conectaremos los sitios VPN en pasos posteriores.

    Configurar Virtual Hub

    • Haga clic en el enlace EastUSHub bajo el mapa geográfico y compruebe los atributos siguientes:
      • Estado de redirección: Aprovisionado
      • Estado del concentrador: Se ha realizado correctamente
      • Ubicación — East US2
      • Estado de aprovisionamiento de puerta de enlace VPN: Realizado correctamente

    Verificar estado

2. Creación de Azure Virtual WAN Hub para la región Oeste

  • Dentro del recurso WAN virtual EastUSvwanandHub (donde inicialmente aprovisionamos nuestro Hub Este de EE. UU.), encontrará “Hubs” en la sección Conectividad.

  • Haga clic en Hubs para agregar un nuevo concentrador.

    Agregar un nuevo concentrador

  • Introduzca los detalles básicos
    • Seleccione la región en la que quiere que se cree el Hub.
    • En este caso, la región es US West 2 (el hub se creará en esta región)
    • Dale un nombre al centro. En este caso, es “WestHubUS”. Proporcione un espacio de direcciones único para este Hub que no se superponga o sea redundante con ninguna otra subred de este grupo de recursos.

    Configurar Hub

  • El paso MÁS importante es configurar la sección “Sitio a Sitio”.
    • Seleccione “Sí” para ¿Desea crear un sitio a sitio (puerta de enlace VPN)
    • El ASN se rellena automáticamente y para este Hub será 65515
    • Elija las unidades de escala de puerta de enlace según su elección (Definición de rendimiento)
      • Aquí, hemos seleccionado 1 unidad de escala — 500 Mbps x 2.

    Nota: Deje todas las demás secciones por defecto.

    Configurar Hub

  • Haga clic en “Revisar y crear” para crear el concentrador virtual WAN en la región Oeste.
  • La creación del hub es un proceso que consume mucho tiempo y puede tardar alrededor de 30 minutos en terminar la creación.

    Revisar y crear el concentrador

  • Después de crear el recurso, puede comprobar el estado del concentrador de WestUSHub haciendo clic en el vínculo WestUSHub, en el mapa geográfico. Le llevará a la sección de detalles del Hub. Puede verificar el estado de los atributos de la siguiente manera:

    • Estado de redirección: Aprovisionado
    • Estado del concentrador: Se ha realizado correctamente
    • Ubicación — West US2
    • Estado de aprovisionamiento de puerta de enlace VPN: Realizado correctamente

    Confirmation

VNet de par al concentrador

1. Emparejar la red virtual East con el hub East

  • Dentro del recurso WAN virtual “EastUSvwanandHub”, haga clic en “Conexiones de red virtual” y haga clic en “+Agregar conexión”.

    Agregar conexión

Rellene los detalles de la conexión para conectar el VNet1 en la región Este de EE.UU. al Virtual Hub

  1. Nombre de conexión — Nombre de la conexión de red virtual — VNet1eastPeerHub
  2. Hubs — Nombre del Hub con el que se va a peer — EastUSHub
  3. Suscripción: Asegúrese de seleccionar la suscripción como la que utilizó para crear la WAN virtual y los recursos de Virtual Hub
  4. Grupo de recursos: Será el grupo de recursos de la VNet de la región Este que estamos tratando de peer con el Hub
  5. Red virtual: La red virtual asociada al grupo de recursos de la región Este que vamos a peer
  6. Propagar a Ninguno — Establezca en NO
  7. Asociar tabla de redirección - Seleccionar valor predeterminado
  8. Propagar a tablas de redirección: Seleccione por defecto (EastUSHub), que es la tabla de redirección predeterminada para las VNET de recursos de este
  9. Dejar otros como predeterminados
  10. Haga clic en “Crear”.

    Configurar conexión

  • Una vez creada, la Red Virtual se parecerá a la siguiente instantánea. Esto habilita la propagación de los prefijos de East vNet a EastUSHub (Virtual Hub) y permite que EastUSHub propagar los prefijos que tiene (a través de BGP) a la tabla de redirección de East vNet.

    Comprobar conexión

2. Enfoque de la red virtual del este al West Hub

  • Dentro del recurso WAN virtual EastUSVWANANDHub, haga clic en “Conexiones de red virtual” y haga clic en “+Agregar conexión”.
  1. Nombre de conexión — Nombre de la conexión de red virtual — WestHubvNet1Peer
  2. Hubs — Nombre del Hub con el que se va a peer — WestHubUS
  3. Suscripción: Asegúrese de seleccionar la suscripción como la que utilizó para crear la WAN virtual y los recursos de Virtual Hub
  4. Grupo de recursos: Será el grupo de recursos de la región Oeste vNet que estamos tratando de peer con el Hub
  5. Red virtual: La red virtual asociada al grupo de recursos de la región Oeste que peer
  6. Propagar a Ninguno — Establezca en NO
  7. Asociar tabla de redirección - Seleccionar valor predeterminado
  8. Propagar a tablas de redirección: Seleccione por defecto (WestHubus), que es la tabla de redirección predeterminada para las VNET de recursos West
  9. Dejar otros como predeterminados
  10. Haga clic en “Crear”.

    Configurar conexión

  • Una vez creada, la conexión de red virtual se parecerá a la siguiente instantánea. Esto habilita la propagación de los prefijos West vNet al WestHubUS (Virtual Hub) y permite que WestHubUS propagar los prefijos que tiene (a través de BGP) a la tabla de redirección de West vNet.

    Comprobar conexión

Requisitos previos de SD-WAN Orchestrator

1. Aprovisionamiento de instancias SD-WAN en Azure

  • Aprovisionar un dispositivo virtual SD-WAN en Azure como MCN principal (nodo de control maestro) y MCN secundario/geográfico en las regiones East-US2 y West-US2, respectivamente.

    El MCN primario y el MCN secundario/Geo sirven un caso de uso específico (según nuestra topología de referencia). Sin embargo, el SD-WAN VPX también se puede implementar en modo de sucursal.

    El MCN actúa como controlador en la red SD-WAN e ingiere las API de Azure para establecer la conectividad de sitio a sitio con recursos de Azure Virtual WAN. El MCN actúa como el controlador principal para la superposición de SD-WAN. El MCN secundario/geográfico proporciona redundancia para esta función de controlador asumiendo el rol del controlador, siempre y cuando el MCN primario se desconecte.

  • Para aprovisionar Citrix SD-WAN VPX en Azure, puede referirse a esto documento.

    NOTA: Al revisar el documento anterior, puede ver que se menciona 10.2, pero al realizar búsquedas en el mercado, encontrará “Citrix SD-WAN Standard Edition 10.2.5” o “Citrix SD-WAN Standard Edition 11.0.3”. Puede elegir cualquiera de estas versiones en función de la versión de firmware del resto de su red Citrix SD-WAN.

  • Después de aprovisionar las VPX de Citrix SD-WAN en Azure, tenemos que pasar por SD-WAN Orchestrator para finalizar la configuración.

    Nota: Antes de iniciar la configuración en SD-WAN Orchestrator, mantenga la siguiente información a mano.

2. Número de serie de la instancia de SD-WAN VPX en Azure

  • Puede ir a la consola serie en Azure e introducir credenciales de administrador en la CLI de la instancia, escribir “system_info” e introducir el comando. Puede encontrar el número de serie del dispositivo/instancia aquí.
  • De lo contrario, puede ir a la máquina virtual de instancia de Azure, hacer clic en Redesy, a continuación, obtener la IP pública de la interfaz de administración como se muestra a continuación.

    Obtener la IP pública para la interfaz de administración

  • Después de obtener la IP pública, puede acceder al dispositivo, acceder a él desde cualquier explorador (CHROME/FIREFOX/SAFARI) mediante https://<public_IP> y proporcionar las credenciales de administrador para iniciar sesión.
  • Se abrirá el tablero del dispositivo. Anote el número de serie para su uso futuro.

3. Obtener las IPs de interfaz LAN y WAN de VPX de Azure

  • Obtener las IP de la interfaz LAN y WAN mientras se aprovisionan las IPs MCN primarias y secundarias/Geo MCN
  • Puede obtener la misma información en la sección “Redes” de cada MCN primario de Azure y MCN secundario/Geo
  • Por ejemplo, la IP LAN de MCN principal es 10.1.1.4 (según la instantánea a continuación)
    • Realice lo mismo para el MCN secundario/Geo y tenga en cuenta su IP LAN también

    Obtener la IP LAN principal de MCN

  • La IP WAN de MCN principal es 10.1.2.4. De acuerdo con la siguiente instantánea

    • Realice lo mismo para el MCN de Secundario/Geo y tenga en cuenta su IP WAN también

    Obtener la IP WAN MCN secundaria

4. Obtener la dirección IP PÚBLICA del enlace WAN tanto del MCN primario como del MCN secundario/Geo

  • Puede obtener esta información en la interfaz WAN de la máquina virtual (MCN/Geo MCN) en la sección Redes.

  • Los controladores como el MCN primario y el MCN secundario/geográfico DEBEN configurarse con una dirección IP PÚBLICA ESTÁTICA durante la creación del enlace WAN del dispositivo, en cualquier infraestructura de administración. Sin embargo, si ha implementado la VPX en modo de bifurcación, la dirección IP también se puede obtener dinámicamente.

    Obtener la IP WAN pública de MCN primaria

  • En este punto, tenemos la siguiente información a mano.

    Flowchart

Próximos pasos:

  • Configure SD-WAN Orchestrator con toda la información anterior para MCN, Secundario/Geo-MCN y sucursal. Complete la configuración en el dispositivo SD-WAN local mediante las prácticas de configuración estándar de Orchestrator siguiendo esto enlace.

5. Crear una entidad de servicio de Azure

Cree una entidad de servicio de Azure en la suscripción para habilitar una forma programática de administrar implementaciones (automatización) desde SD-WAN Orchestrator. Microsoft Azure ordena que cada recurso que necesite ser administrado mediante programación por un tercero, asocie un rol de IAM y cree un registro de aplicaciones para aprovechar la automatización de los recursos externamente.

Para ello, siga los pasos descritos aquí. Para obtener más detalles, puede consultar este segmento en la Apéndice sección.

6. Rellenar las credenciales de autenticación de Azure en SD-WAN Orchestrator

  • Cree una entidad principal de Azure en la suscripción para habilitar una forma programática de administrar implementaciones.
  • Anote el ID de CLIENTE de Azure Principal, el SECRETO DE CLIENTE y el ID DE ARRENDATARIO/DIRECTORIO, incluidos los detalles de la suscripción de Azure.
  • En Configuración global, haga clic en Configuración -> Servicios de entrega -> Azure Virtual WAN Haga clic en el icono Configuración del servicio.
  • Haga clic en el vínculo Autenticación Aparecerá los detalles que tiene listo con usted ahora.
  • Introduzca los detalles cuidadosamente y guarde. Si SAVE se realiza correctamente, verá la WAN virtual y los concentradores configurados en su suscripción en el siguiente paso. Si no puede ver, compruebe dos veces los detalles, borre los detalles de autenticación e inténtelo de nuevo.

    Credenciales de autenticación de Azure

Crear el servicio Virtual WAN de Azure en SD-WAN Orchestrator

1. Requisitos previos

Si ha llegado hasta ahora, DEBE haber creado Azure Virtual WAN y Virtual Hub dentro de la WAN virtual a la que quiere que los sitios SD-WAN formen la conectividad con. NO se recomienda acudir a esta sección, antes de completar los requisitos previos.

2. Asociar el sitio DCMCN con el recurso WAN virtual y el concentrador virtual

  • En Configuración global, haga clic en Configuración -> Servicios de entrega -> haga clic en el icono Configuración de Azure Virtual WAN.

    Agregar sitio

  • Una vez seleccionado el servicio, se le llevará a la página de configuración Automatizada de WAN Virtual.
  • Haga clic en ”+ Sitio”.

    Verificación de creación de VWAN

  • En función de si la autenticación de la suscripción de Azure y otros detalles principales se realizó correctamente, ahora verá la WAN virtual de Azure rellenada con TODAS las VWAN configuradas como parte de la suscripción.

A. Agregar sitio, configurarlo e implementarlo para la integración de WAN virtual**

Ahora para esta arquitectura, el MCN se asociará a la REGIÓN East y se conectará a EastHubUS.
  • Seleccione EastUSVWANANDHub que es la WAN virtual donde creamos los Hubs Este y Oeste.
  • Seleccione el EastUSHub

    Nombrar al sitio DCMCN

  • Seleccione el sitio como “DCMCN”
    • Los sitios se ven en esto porque los sitios ya forman parte de la configuración, se organizan en etapas y se activan
  • Revisar y guardar la información

    Revisar sitios

    • Una vez que haya guardado, comenzará a ver el inicio de la automatización y la SD-WAN preparará el sitio mediante la inserción de la información de configuración y configurará tanto el lado SD-WAN como el lado de Azure para el establecimiento correcto del sitio VPN.

      • Mientras la configuración surta efecto, verá la notificación “Información del sitio empujado — Esperando la configuración de VPN”.
      • Cuando todo se realice correctamente, indicará el éxito del aprovisionamiento del sitio.
      • En este punto, la configuración de Azure Virtual WAN está automatizada y completa. A continuación, tenemos que activar el mismo en el dispositivo para iniciar el túnel IPsec.

    Revisar configuración

    • Como parte de Azure Virtual WAN Automation, SD-WAN Orchestrator comienza a usar las API de Azure y prepara el dispositivo SD-WAN en el enfoque de configuración (DCMCN) para la automatización.

      • En este aspecto durante la automatización, lo gobernamos en dos aspectos. Obtener toda la información del dispositivo SD-WAN para aprovisionar los extremos IPSec y BGP en Azure.
      • Hablar con Azure y obtener los detalles para configurar los extremos IPSec y BGP en el dispositivo SD-WAN.
      • El emparejamiento BGP se establece después de establecer correctamente el túnel IPSec.
      • Esto permite el intercambio de prefijos de red aprendidos por el DCMCN a través de la ruta virtual, incluidas sus rutas locales a EastUSHub a través de BGP.

B. Detalles secundarios de la SD-WAN**

  • Desde los enlaces WAN disponibles, el script de automatización recogerá un extremo del mismo nivel BGP local como IPs locales
  • Para Túnel para formar la interfaz WAN con el extremo IP público se elige

C. Detalles secundarios de Azure**

  • Como puede ver en la siguiente instantánea, el script automatizado ha recogido la información de Azure para EastUSHub para obtener los siguientes detalles:
    • Región
    • Direcciones IP públicas: Punto final del túnel (túnel VPN activo/pasivo para un único concentrador. Pero ambos túneles se establecerán. Datapath se procesará a través del túnel primario y se utilizará secundario en vísperas de una conmutación por error).
    • Endpoints privados de GP obtenidos de la configuración de EastUSHub
    • BGP ASN — 65515
  • El Hub utiliza parámetros IPsec/IKE estándar que se obtienen de Azure para que el DCMCN de extremo local también se pueda preparar con atributos similares para habilitar la formación de la negociación correcta posterior al túnel IPSec.

    Estado de configuración del túnel VWAN de Azure

3. Preparar la configuración automatizada de WAN virtual de SD-WAN para conectar MCN a Virtual WAN Hub

  • Después de finalizar la configuración para MCN y Secundario/Geo-MCN con sus respectivos concentradores, es hora de permitir que se implementen automáticamente en la WAN virtual de Azure-en una sola toma.

    Estado de configuración de sitio y VWAN de Azure

  • Puede ver que los sitios (después de la adición de los concentradores) están en estado “Aprovisionamiento de sitios satisfactorios”.

    Estado de aprovisionamiento del sitio

4. Activar la configuración desde SD-WAN Orchestrator para habilitar la automatización de Azure Virtual WAN

  • Seleccione Configuración > Inicio de configuración de red

    Estado de aprovisionamiento del sitio

  • Seleccione Implementar config/Software > Stage

    Estado de aprovisionamiento del sitio

  • Seleccione Activar

    Estado de aprovisionamiento del sitio

Comprobar el estado del Servicio WAN virtual

Nota: Haga clic en el icono ‘información’ en el sitio de Azure Virtual WAN para obtener detalles acerca de la configuración y el estado del túnel WAN virtual de Azure.

Vaya a Todos los sitios -> Configuración -> Servicios de entrega -> Azure Virtual WAN - Haga clic en la ‘I’ (icono de información) de cualquier sitio activado.

  • Compruebe que el TÚNEL IPSec esté ACTIVO y ejecutándose en MCN (EastUSHub)
    • Podemos ver que hay dos instancias de Azure Virtual WAN aprovisionadas. La segunda instancia funciona como Active-Standby en caso de conmutación por error.
    • La automatización de Azure Virtual WAN se encarga de habilitar el túnel IPSec con las dos instancias de forma predeterminada para que no sea necesaria ninguna intervención manual.
    • También tenga en cuenta que, aunque ambos túneles están en funcionamiento, siempre hay un túnel activo que procesa las conexiones y paquetes en la ruta de datos.

    Verificar túnel en MCN

  • Verifique que IPSec TUNNEL esté FUNCIONANDO y ejecutándose en MCN secundario (WestHubUS)

    Verificar túnel en MCN secundario

Verifique los túneles IPSec entre SD-WAN y Hub después de la implementación automatizada

1. Comprobar la creación de sitios VPN en EastUSHub

En este paso, verificamos que se crea un NUEVO sitio VPN en EastUSHub. Este sitio servirá como el sitio DCMCN (Hecho a través de SD-WAN Azure Virtual WAN Automation).
  • Tenga en cuenta que vemos la tabla de sección “Sitios VPN” debajo del mapa geográfico indicando que EastUSHub tiene 1 sitios VPN conectados, que es nuestro dispositivo MCN.

    Visión general de East US Hub

  • Haga clic en el vínculo EastUSHub. Nos llevará a la perforación del Hub para el Geo Este.
  • Haga clic en ‘Overview’ para ver el número de sitios conectados a VPN. Vemos 1 sitio conectado (con nuestro MCN).

    Estadísticas del Hub Este de Estados Unidos

  • Haga clic en VPN (Sitio a Sitio) y compruebe que el estado de la conexión es “Correcto” y “Conectado” a DCMCN (SD-WAN MCN)

    Estado de conectividad

2. Comprobar la creación de sitios VPN en WestHubUS

En este paso, verificamos que se crea un NUEVO sitio VPN en WestHubUS. Este sitio servirá como sitio DCGEOMCN (Hecho a través de SD-WAN Azure Virtual WAN Automation)
  • Tenga en cuenta que vemos la tabla de sección “Sitios VPN” debajo del mapa geográfico indicando que el WestHubUS tiene 1 sitios VPN conectados, que es nuestro dispositivo Geo-MCN “DCGEOMCN”.

    Información general de West US Hub

  • Haga clic en el enlace WestHubUS que nos llevará al desglose del Hub para el West Geo

  • En esto, podemos ver que ‘Overview’ indica el número de sitios VPN conectados que es 1 en la actualidad (con nuestro MCN)

    Estadísticas del Hub Oeste de EE.UU.

  • Haga clic en VPN (Sitio a Sitio) y compruebe que el estado de la conexión es “Correcto” y “Conectado” a MCN secundario (SD-WAN Geo MCN).

    Estado de conectividad

REDIRECCIÓN SD-WAN MCN a EastUSHub

  • Tipo de salto siguiente: lo más importante, el tipo de salto siguiente indica cómo se aprendieron e instalaron las rutas en la tabla de redirección

  • Si el tipo de salto siguiente es: VPN_S2S_Gateway
    • Todas las rutas recibidas a través de VPN_S2s_Gateway son las que tienen la integración IPSec+BGP con SD-WAN, donde se implementó la automatización de Azure.
    • Compruebe la tabla de redirección de EastUSHub y compruebe si las rutas aprendidas SD-WAN propagadas por BGP desde el MCN son las adecuadas.
    • En la redirección EastUSHub, las principales rutas se instalan a través del MCN a través del número AS del SD-WAN configurado como 42472 (se encargan automáticamente durante la automatización)
  • Si el tipo de salto siguiente es: Conexión de red virtual
    • Estas serían todas las rutas instaladas como estas son a través del emparejamiento East VNet entre EastUSHub y East vNet.
  • Si el tipo de salto siguiente es: Remote Hub
    • Estas serían todas las rutas propagadas por el concentrador de WestHubUS (que se creó bajo la misma instancia de Azure Virtual WAN).
    • También podemos ver que las rutas de tipo Remote Hub tienen el Origin y la ruta AS anexadas apropiadamente para evitar bucles de redirección.
    • Esta tabla contiene todas las redes virtuales distintas (emparejadas en la región West con West Hub) que se propagan desde EastUSHub a través del concentrador WestHubUS.

    Redirección EastUSHub

REDIRECCIÓN SD-WAN GEOMCN a WestHubUS

Compruebe la tabla de redirección de WestHubUS y compruebe si BGP propagó rutas aprendidas SD-WAN desde el MCN secundario.

  • Tipo de salto siguiente: lo más importante es que el tipo de salto siguiente indica cómo se aprendieron e instalaron las rutas en la tabla de redirección.

  • Si el tipo de salto siguiente es: VPN_S2S_Gateway
    • Todas las rutas recibidas a través de VPN_S2S_Gateway son las que tienen la integración IPSec+BGP con la SD-WAN donde se implementó la automatización de Azure.
    • Compruebe la tabla de redirección de WestHubUS y compruebe si las rutas aprendidas SD-WAN propagadas por BGP desde el MCN secundario son adecuadas.
    • En la redirección WesthuBus, las principales rutas se instalan a través del MCN a través del número AS de la SD-WAN configurada como 22338 (se encargan automáticamente durante la automatización).
  • Si el tipo de salto siguiente es: Conexión de red virtual
    • Estas serían todas las rutas instaladas como estas son a través de West vNet emparejamiento entre WesthuBus y West vNet.
  • Si el tipo de salto siguiente es: Remote Hub
    • Esto contendría todas las rutas propagadas por el concentrador de WestHubUS (que se creó bajo la misma instancia de Azure Virtual WAN).
    • También podemos ver que las rutas de tipo Remote Hub tienen el Origin y la ruta AS anexadas apropiadamente para evitar bucles de redirección.
    • Esta tabla contiene todas las VNET distintas (emparejadas en la región East con East Hub) que se propagan desde WestHubUS a través de EastUSHub.

    Redirección de WestHubUS

Comprobar la propagación de rutas desde East VNet a EasttusHub

En este paso, verificamos que las rutas se están propagando desde East VNet al East VWAN Hub — EastUSHub mediante el emparejamiento Global VNet.

  • Compruebe que EastUSHub ha proporcionado la visibilidad de los prefijos aprendidos de MCN desde su tabla de ruta predeterminada a la vNet pegado a ella en la región East US2
  • Compruebe la tabla de redirección de EASTus2 vNet y verifique que la redirección esté intacto
  • Las redes virtuales son el origen y el destino reales de las cargas de trabajo en Azure y es imperativo que comprendamos que las redes virtuales han convergido para contener el flujo o información de redirección correctos para llegar a las subred/prefijos de SD-WAN de forma remota
  • La mayoría de las rutas de las redes virtuales se redirigirán directamente a través de Virtual Network Gateway, que es el Hub al que están conectados
  • En este caso, EastUSHub es el origen de todas las rutas de la tabla de redirección de East VNet
  • VNet emparejamiento El tipo de salto siguiente sería el prefijo real del prefijo WAN virtual de Azure que se creó del punto de conexión de vNet con.
  • Virtual Network será la dirección local de la propia VNet

    Comprobar la propagación de rutas EastHub

    Comprobar la propagación de rutas EastHub

Comprobar la propagación de rutas desde West vNet a WestHubUS

En este paso, verificamos que las rutas se están propagando desde la red virtual West al hub West VWAN: WestHubUS mediante el emparejamiento global de redes virtuales

  • Verifique que WestHubUS haya proporcionado la visibilidad de los prefijos aprendidos de GEOMCN desde su tabla de ruta predeterminada a la vNet pegado a ella en la región West US2
  • Compruebe la tabla de redirección de WestUS2 vNet y verifique que la redirección esté intacto
  • Las redes virtuales son el origen y el destino reales de las cargas de trabajo en Azure y es imperativo que comprendamos que las redes virtuales han convergido para contener el flujo o información de redirección correctos para llegar a las subred/prefijos de SD-WAN de forma remota
  • La mayoría de las rutas de las redes virtuales se redirigirán directamente a través de Virtual Network Gateway, que es el Hub al que están conectados
  • En este caso, el WestHubUS es el origen de todas las rutas en la tabla de redirección de West VNet
  • VNet emparejamiento El tipo de salto siguiente sería el prefijo real del prefijo de Azure Virtual WAN que se creó del emparejamiento de vNet con
  • Virtual Network será la dirección local de la propia VNet

    Comprobar la propagación de rutas de WesThub

    Comprobar la propagación de rutas de WestHub

Llamado a la acción

En caso de que aún no haya probado Azure Virtual WAN, diríjase a portal.azure.com. Si quiere disfrutar de los beneficios de una solución SD-WAN de primera mano, no dude en solicitar una prueba gratuita aquí.

Apéndice

Crear una entidad de servicio de Azure

1. Registrar la solicitud

Cree una entidad de servicio de Azure en la suscripción para habilitar la forma programática de administrar implementaciones (automatización) desde SD-WAN Orchestrator. Microsoft Azure ordena que cada recurso que necesite ser administrado mediante programación por un tercero asocie un rol de IAM y cree un registro de aplicación para aprovechar la automatización de los recursos externamente.

Registro de aplicaciones

Registrar la aplicación

Agregar secreto de cliente

Nota: Una vez que haya creado el Secreto del Cliente para la Aplicación, anotarlo o cópielo inmediatamente a algún lugar al que pueda referirse más tarde.

2. Anote los detalles de Azure Service Principal

  • Anote el ID DE CLIENTE, SECRETO DE CLIENTE e ID DE ARRENDATARIO/DIRECTORIO, incluidos los detalles de la suscripción de Azure.
  • Obtendrá el ID de CLIENTE, el SECRETO DE CLIENTE y el ID DE ARRENDATARIO de la aplicación (entidad principal de servicio de Azure) que creó
  • ID de suscripción: Puede obtenerlo en la sección “Suscripciones” de Azure para la cuenta
  • ID de cliente: También se llama ID de aplicación, que puede obtener en la sección Descripción general de su aplicación recién registrada a continuación
  • ID de directorio: También se llama ID de arrendatario, que puede obtener en la sección Descripción general de su aplicación recién registrada a continuación

Copiar detalles de Azure Principal

  • Secreto del cliente: Anote o copie el secreto del cliente tan pronto como lo cree. Este paso es muy importante para autenticar la cuenta de suscripción y verificar que la aplicación creada es apta para administrar la programabilidad del recurso en el que quiere habilitar la automatización (en Azure).

Copiar detalles de Azure Principal

3. Asociar Azure Service Principal al recurso

  • Vaya al recurso WAN virtual “EastUSVwanandHub”
  • Ir a Control de acceso (IAM)
  • Haga clic en el botón “Agregar” de la sección Agregar una asignación de rol resaltada a continuación
  • También puede hacer clic en la sección Asignaciones de roles y hacer clic en ”+ Agregar” (junto a Descargar asignaciones de roles) para agregar el rol de IAM a la entidad de servicio.

Copiar detalles de Azure Principal

  • Una vez que haga clic en “Agregar”, obtendrá un panel emergente a la derecha, para agregar el rol
    • Elija el tipo de ROL como “Colaborador”
    • Deje Asignar acceso a como predeterminado (usuario, grupo o entidad de servicio de Azure AD)
    • En la sección Seleccionar, puede buscar la aplicación que creó, llamada “Orchestrator”. (Esto es solo una cadena y podemos nombrar esto personalizado. No debe existir confusión con una cadena llamada “orchestrator” como principal de Azure al automatizar el aprovisionamiento a través de Orchestrator).
      • Una vez que la búsqueda se realiza correctamente, puede seleccionar la aplicación.
    • Seleccione el botón “Guardar”. (Esto concluye la creación de Azure Service Principal y la asociación con el recurso)

Copiar detalles de Azure Principal

Citrix SD-WAN + Azure Virtual WAN Blueprint: Guía de implementación

En este artículo