Installation de l’AMI SD-WAN VPX Standard Edition sur AWS

Les appliances Citrix SD-WAN SE lient plusieurs chemins réseau dans le seul chemin virtuel. Les chemins virtuels sont surveillés de manière à ce que les chemins d’application critiques soient toujours acheminés par des chemins optimaux. Cette solution permet aux clients de déployer des applications dans le cloud et d’utiliser plusieurs réseaux de fournisseurs de services pour une livraison transparente des applications aux utilisateurs finaux.

Pour créer un SD-WAN SE-VPX sur Amazon Web Services (AWS), vous passez par le même processus que pour la création d’une autre instance, en définissant quelques paramètres d’instance sur des paramètres autres que par défaut.

Instanciation d’une appliance virtuelle SD-WAN (AMI) sur AWS :

Pour installer une appliance virtuelle SD-WAN dans un VPC AWS, vous avez besoin d’un compte AWS. Vous pouvez créer un compte AWS à l’adressehttp://aws.amazon.com/. Le SD-WAN est disponible sous forme d’image machine Amazon (AMI) dans AWS Marketplace.

Remarque : Amazon modifie fréquemment ses pages AWS. Il se peut donc que les instructions suivantes ne soient pas à jour.

Pour instancier une appliance virtuelle SD-WAN (AMI) sur AWS :

  1. Dans un navigateur Web, tapezhttp://aws.amazon.com/.
  2. Cliquez sur Mon compte/console, puis sur My Accountpour ouvrir la page de connexion Amazon Web Services.
  3. Utilisez vos informations d’identification de compte Amazon AWS pour vous connecter. Vous accédez ainsi à la page Amazon Web Services.

Les appliances Citrix SD-WAN SE offrent les instances de service AWS suivantes :

  • Tableau de bord VPC : partie isolée du nuage AWS remplie par des objets AWS, tels que des instances EC2
    • Activé par la création d’un VPC dans AWS. Reportez-vous aux étapes de configuration suivantes.
  • Tableau de bord EC2 : cloud de calcul élastique, services virtuels et instances redimensionnables
    • Activé en créant une AMI SD-WAN NetScaler. Voir ci-dessous pour les étapes de configuration.
    • CIDR — Bloc de routage interdomaine sans classe, constitué d’une plage d’adresses IP continue, utilisé pour spécifier votre VPC (ne peut pas dépasser 16 régions).

Interface Web SD-WAN

  • Configurer l’AMI SD-WAN Citrix (anciennement NetScaler SD-WAN)

Voici les exigences et limitations pour le déploiement de l’AMI SD-WAN SE-VPX dans AWS :

Exigences minimales

  • Type d’instance AWS EC2 : c3.2xlarge
  • CPU virtuel : 8
  • RAM : 15 GB
  • Stockage : 160 Go
  • Interfaces réseau : minimum de 2 (une gestion, une pour LAN/WAN)
  • BYOL — Apportez votre propre licence et abonnement

Limitations

  • AWS n’autorise pas le pontage de l’interface, de sorte que le Fail-to-Wire n’est pas une option pour configurer des groupes d’interface.

SD-WAN Citrix (anciennement NetScaler SD-WAN) avec AWS

Image localisée

Déploiement d’une région AWS avec une zone de disponibilité spécifiée. Au sein de cette infrastructure Virtual Private Cloud (VPC), l’AMI SD-WAN Standard Edition (Amazon Machine Image) est déployée en tant que passerelle VPC.

  • Le VPC privé a des routes vers la passerelle VPC.
  • L’instance SD-WAN a une route vers AWS VGW (VPN Gateway) pour la connexion directe et une autre route vers IGW (Internet Gateway) pour la connectivité Internet.
  • Connectivité entre Data Center, Branch et Cloud en appliquant différents modes de transport en utilisant plusieurs chemins WAN simultanément.
  • Apprentissage automatique de la route avec OSPF et BGP.
  • Tunnel IPSec unique sur plusieurs chemins où la renégociation de la sécurité n’est pas requise en cas d’échec de liaison.

Image localisée

Dans AWS, un sous-réseau et une adresse IP doivent être définis pour chaque interface AMI SD-WAN.Le nombre d’interfaces utilisées dépend du cas d’utilisation du déploiement.Si l’objectif est d’accéder de manière fiable aux ressources applicatives du côté LAN du VPX (à l’intérieur de la même région), le VPX peut être configuré avec trois interfaces Ethernet : une pour la gestion sur eth0, une pour le LAN sur eth1 et une pour le WAN sur eth2.

Alternativement, si le but est d’épingler le trafic via le VPX vers une autre région ou vers l’Internet public, le VPX peut être configuré avec deux interfaces Ethernet ; une pour la gestion sur eth0, et une seconde pour LAN/WAN sur eth1.

Présentation de l’AMI SD-WAN SE dans AWS

  1. Créer un VPC dans AWS à l’aide du tableau de bord VPC

Pour commencer à utiliser le cloud privé virtuel Amazon, vous devez créer un VPC, qui est un réseau virtuel dédié à votre compte AWS.

  • Définissez des blocs/sous-réseaux CIDR et affectez au VPC - pour identifier le périphérique dans le réseau. Par exemple. 192.168.100.0/22 est sélectionné pour le VPC dans l’exemple de diagramme de réseau englobant les sous-réseaux WAN, LAN et Gestion — 192.168.100.0 — 192.168.103.255) - 192.168.100.0/22
  • Définir une passerelle Internet pour le VPC — pour communiquer avec l’extérieur de l’environnement cloud
  • Définir le routage pour chaque sous-réseau défini - pour la communication entre les sous-réseaux et Internet
  • Définir les ACL réseau (liste de contrôle d’accès) - pour contrôler l’entrée/sortie du trafic de/vers le sous-réseau à des fins de sécurité
  • Définir le groupe de sécurité - pour contrôler l’entrée/sortie du trafic depuis/vers chaque instance de périphérique réseau

Créez une AMI SD-WAN NetScaler :

  • Définir les interfaces réseau pour l’instance EC2
  • Créer des adresses IP élastiques pour l’instance EC2
  • Définir la sécurité pour l’instance EC2 et les interfaces réseau

Connectez-vous à l’interface Web SD-WAN :

  • Licence
  • Installer identifier à l’aide de la gestion des modifications locales

Créer un VPC dans AWS - Virtual Private Cloud (VPC)

Pour créer un VPC :

  1. Dans la barre d’outils AWS Management Console, sélectionnez Services -> **VPC **(Networking & Content Delivery). image localisée
  2. Sélectionnez vos VPC, puis cliquez sur le bouton Créer un VPC. image localisée
  3. Ajouter une balise Name, un bloc CIDR en fonction de votre diagramme de réseau et Tenancy = par défaut, puis cliquez sur **Oui, Créer **. image localisée

Définir une Gateway Internet pour le VPC

Pour définir une Gateway Internet pour le VPC :

  1. Dans la console de gestion AWS, sélectionnez Gateways Internet > Créer une passerelle Internet .Le trafic Internet Gateway correspondant à l’itinéraire 0.0.0.0/0 peut être configuré dans la table de routage.Il est également nécessaire pour un accès externe à l’interface Web de l’AMI SD-WAN pour une configuration ultérieure. image localisée
  2. Donnez à l’IGW une balise Name, puis cliquez sur Oui, Créer. image localisée
  3. Sélectionnez IGW nouvellement créé et cliquez sur Attacher au VPC. image localisée
  4. Sélectionnez le VPC créé précédemment et cliquez sur Oui, Attacher. image localisée

Définir des sous-réseaux pour le VPC afin de différencier la gestion, le réseau local et le réseau étendu

Pour définir des sous-réseaux pour VPC :

  1. Dans la console de gestion AWS, sélectionnez Sous-réseaux > Créer des sous-réseaux pour créer des sous-réseaux de gestion, de réseau local et de réseau étendu.Utilisez les sous-réseaux définis pour distinguer les sous-réseaux LAN, WAN et Mgmt définis dans la configuration SD-WAN. image localisée
  2. Entrez les détails spécifiques au sous-réseau de gestion du VPX, puis créez-le à l’aide du bouton Oui, Créer .
    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC :
    • Zone de disponibilité :à>
    • Bloc CIDR : sous-réseau spécifique au nom défini (Mgmt, LAN ou WAN) qui est un sous-ensemble plus petit du CIDR précédemment défini image localisée
  3. Répétez le processus jusqu’à ce que vous ayez créé un sous-réseau pour les réseaux Ggmt, LAN et WAN. image localisée

Définir des tables de routage pour le sous-réseau de gestion

Pour définir des tables de routage :

  1. Dans AWS Management Console, sélectionnez Tables de routage > Créer une table de routage pour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN. image localisée
  2. Entrez les détails du sous-réseau Gestion
    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : VPC créé précédemment image localisée
  3. La table de routage nouvellement créée étant toujours mise en surbrillance, sélectionnez Association de sous-réseau > Modifier. image localisée
  4. Créez l’association avec le sous-réseau souhaité, puis cliquez sur Enregistrer. image localisée
  5. La table de routage nouvellement créée étant toujours mise en surbrillance, sélectionnez Itinéraires > Modifier. image localisée
  6. Cliquez sur le bouton Ajouter un autre itinéraire (uniquement requis pour les sous-réseaux de gestion et WAN), puis sur Enregistrer.
    • Destination : 0.0.0.0/0
    • Cible : passerelle Internet (igw-xxxxxxx précédemment défini) image localisée

Remarque

AWS fournit une table de routage globale dans l’instance EC2, mais l’AMI NetScaler SD-WAN utilisera des tables de routage locales afin que l’utilisateur puisse contrôler le transfert du trafic vers le chemin virtuel.

Définir des tables de routage pour le sous-réseau WAN

Pour définir des tables de routage :

  1. Dans AWS Management Console, sélectionnez Tables de routage > Créer une table de routage pour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN. image localisée
  2. Entrez les détails du sous-réseau WAN :
    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : VPC créé précédemment
  3. La table de routage nouvellement créée étant toujours mise en surbrillance, sélectionnez Association de sous-réseau > Modifier. image localisée
  4. Créez l’association avec le sous-réseau souhaité, puis cliquez sur Enregistrer.
  5. La table de routage nouvellement créée étant toujours mise en surbrillance, sélectionnez Itinéraires > Modifier .
  6. Cliquez sur le bouton Ajouter un autre itinéraire (uniquement requis pour les sous-réseaux de gestion et WAN), puis sur Enregistrer.
    • Destination : 0.0.0.0/0
    • Cible : <La passerelle Internet (igw-xxxxxxx précédemment défini) image localisée

Définir des tables de routage pour le sous-réseau LAN

Pour définir des tables de routage pour le sous-réseau LAN :

  1. Dans AWS Management Console, sélectionnez Tables de routage > Créer une table de routage pour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN. image localisée
  2. Entrez les détails du sous-réseau LAN :
    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : VPC créé précédemment
  3. La table de routage nouvellement créée étant toujours mise en surbrillance, sélectionnez Association de sous-réseau > Modifier .
  4. Créez l’association avec le sous-réseau souhaité, puis cliquez sur Enregistrer. image localisée

Remarque

Pour acheminer le trafic latéral LAN via SD-WAN, associez la destination cible en tant qu’ID d’interface LAN SD-WAN dans la table de routage LAN SD-WAN. La cible de n’importe quelle destination peut être définie sur ID d’interface uniquement après avoir créé l’instance et attaché des interfaces réseau à cette instance.

Créer une AMI SD-WAN SE

Pour créer une instance EC2 :

  1. Dans la barre d’outils AWS Management Console, sélectionnez Services > EC2 (Calcul). image localisée
  2. Sélectionnez la barre d’outils du tableau de bord EC2, sélectionnez Instances > Lancer l’instance. image localisée
  3. Utilisez l’onglet AWS Marketplace pour rechercher l’AMI (Amazon Machine Image) SD-WAN Amazon Machine Image (AMI) ou utilisez l’onglet Mes AMI pour localiser une AMI SD-WAN appartenant ou partagée, recherchez Citrix NetScaler SD-WAN Standard Edition, puis cliquez sur Sélectionner. image localisée
  4. Confirmez la sélection avec Continuer.
  5. Dans l’écran Choisir un type d’instance, sélectionnez le type d’instance EC2 identifié lors de la préparation, puis sélectionnez Suivant : Configurer les détails de l’instance. image localisée
  6. Entrez les détails de l’instance (tout ce qui n’est pas spécifié doit être laissé indéfini/par défaut) :
    • Nombre d’instances : 1
    • Réseau : sélectionnez VPC précédemment créé>
    • Sous-réseau : sélectionnez Sous-réseau Mgmt précédemment défini
    • Affectation automatique d’IP publique : activé
    • Interfaces réseau > IP principale : saisissez l’IP de gestion prédéfinie image localisée
  7. Cliquez sur Suivant : Ajouter un stockage image localisée

    Remarque

    Associez l’instance EC2 au sous-réseau de gestion pour associer la première interface EC2 (eth0) à l’interface de gestion SD-WAN. Si eth0 n’est pas associé à l’interface de gestion SD-WAN, la connectivité est perdue après un redémarrage.1.

  8. Entrez les informations suivantes pour le stockage racine :
    • Type de volume : Usage général (SSD) GP2
  9. Ensuite, sélectionnez Suivant : Tag Instance image localisée
  10. Donnez un nom à l’instance EC2 en spécifiant une valeur pour la balise Name par défaut. Vous pouvez également créer d’autres balises souhaitées. image localisée
  11. Ensuite, sélectionnez Suivant : Configurer le groupe de sécurité.
  12. Sélectionnez un groupe de sécurité existant ou créez un groupe de sécurité :
    • Le groupe de sécurité par défaut généré inclut HTTP, HTTPS, SSH et Cliquez sur le bouton Ajouter une règle pour en ajouter deux autres :
    • Tous les ICMP avec Source : Custom 0.0.0.0/0
    • Règle UDP personnalisée avec plage de ports : 4980 et Source : personnalisée <adresses IP connues du partenaire SD-WAN>
  13. Sélectionnez Réviser et lancer. image localisée
  14. Après avoir terminé la révision, sélectionnez Lancer.
  15. Dans la fenêtre contextuelle Paire de clés, sélectionnez une paire de clés existante ou créez une nouvelle paire de clés, puis sélectionnez Lancer l’instance. image localisée

    Important

    Si une nouvelle paire de clés est créée, assurez-vous de la télécharger et de la stocker dans un endroit sûr.

  16. L’AMI NetScaler SD-WAN SE devrait maintenant être lancée avec succès. image localisée

    Remarque

    Un groupe de sécurité est un ensemble de règles de pare-feu qui contrôle le trafic d’une instance EC2. Les règles entrantes et sortantes peuvent être modifiées pendant et après le lancement d’EC2. Un groupe de sécurité doit être affecté à chaque instance EC2.De plus, chaque interface réseau doit avoir un groupe de sécurité affecté.Plusieurs groupes de sécurité peuvent être utilisés pour appliquer des ensembles de règles distincts à des interfaces individuelles. Le groupe de sécurité par défaut ajouté par AWS n’autorise que le trafic au sein d’un VPC.

    Le groupe de sécurité affecté à l’AMI NetScaler SD-WAN et à ses interfaces doit accepter SSH, ICMP, HTTP et HTTPS.Le groupe de sécurité affecté à l’interface WAN doit également accepter UDP sur le port 4980 (pour la prise en charge du chemin virtuel).Reportez-vous à l’aide d’AWS pour plus de détails sur les informations de configuration du groupe de sécurité. Important

    Attendez deux heures si provisionné à partir d’un nouveau compte, puis réessayez

  17. Revenez à votre tableau de bord AWS Console : EC2.
  18. Dans la barre d’outils, sous Réseau et sécurité, sélectionnez Interfaces réseau, mettez en surbrillance l’interface de gestion et Modifier la balise Nom pour donner un nom utile à l’interface.
  19. Cliquez ensuite sur Créer une interface réseau pour créer les interfaces LAN :
    • Description : <a user-defined description for the interface>
    • Sous-réseau :<sous-réseau précédemment défini pour l’interface>
    • IP privée : <IP privée de l’interface précédemment définie durant la préparation>
    • Groupe de sécurité : <groupe de sécurité approprié pour l’interface> image localisée
  20. Répétez et cliquez sur Créer une interface réseau pour créer l’interface WAN. image localisée
  21. Modifiez la balise Name pour chaque nouvelle interface et donnez un nom utile. image localisée image localisée
  22. Mettez en surbrillance l’interface de gestion et sélectionnez Actions > Modifier source/Dest. Cochez pour désactiver Source/Dest. Cochez, puis sélectionnez Enregistrer. image localisée
  23. Répétez la procédure pour les interfaces LAN et WAN. image localisée
  24. À ce stade, toutes les interfaces réseau : Gestion, LANet WANsont configurées avec un nom, IP privée principaleet désactivées pour Source/Dest. Vérifier l’attribut. Seulement la gestion. L’interface réseau a une adresse IP publique qui lui est associée. image localisée

    Important

    Désactivation de la source/Dest. L’attribut Check permet à l’interface de gérer le trafic réseau qui n’est pas destiné à l’instance EC2. Comme l’AMI SD-WAN NetScaler agit comme intermédiaire pour le trafic réseau, la Source/Dest. L’attribut Check doit être désactivé pour le bon fonctionnement.

    Les adresses IP privées définies pour ces interfaces réseau doivent, en fin de compte, correspondre aux adresses IP de votre configuration SD-WAN. Il peut être nécessaire de définir plusieurs adresses IP privées pour l’interface réseau WAN si cette interface est associée à plusieurs adresses IP de liaison WAN dans la configuration SD-WAN pour ce nœud de site. Pour ce faire, définissez des adresses IP privées secondaires pour l’interface WAN selon les besoins.

  25. Dans la barre d’outils Tableau de bord EC2, sélectionnez Instances. image localisée
  26. Mettez en surbrillance l’instance nouvellement créée, puis sélectionnez Actions > Mise en réseau > Attacher l’interface réseau. image localisée
  27. Connectez d’abord l’interface réseau LAN, puis l’interface réseau WAN à l’AMI SD-WAN SE. image localisée

    Remarque

    La connexion de la gestion, du réseau local et du réseau étendu dans cet ordre s’attache à eth0, eth1, eth2 dans l’AMI SD-WAN. Cela s’aligne avec le mappage de l’AMI provisionnée et garantit que les interfaces ne sont pas réaffectées de manière incorrecte en cas de redémarrage de l’AMI.

  28. Dans la barre d’outils Tableau de bord EC2, sélectionnez Elastic IP (EIP), puis cliquez sur Allouer une nouvelle adresse. image localisée
  29. Cliquez sur Allouer pour allouer une nouvelle adresse IP, puis sur Fermer une fois que la demande Nouvelle adresse a réussi.
  30. Mettez en surbrillance le nouvel EIP et sélectionnez Action > Associer l’adresse pour associer l’EIP à la gestion. Interface, puis cliquez sur Associer.
    • Type de ressource : <network interface>
    • Interface réseau :
    • IP privée : <previously defined private IP for Mgmt> image localisée
  31. Répétez le processus pour associer un autre nouvel EIP à l’interface WAN. image localisée

Configurer l’AMI SD-WAN SE - Interface de gestion Web SD-WAN

Pour configurer l’AMI SD-WAN SE :

  1. À ce stade, vous devriez être en mesure de vous connecter à l’interface de gestion de l’AMI SD-WAN SE à l’aide d’un navigateur Web.
  2. Entrez l’IP Elastic (EIP) associée à la gestion. Interface. Vous pouvez créer une exception de sécurité si le certificat de sécurité n’est pas reconnu.
  3. Connectez-vous à l’AMI SD-WAN SE à l’aide des informations d’identification suivantes :
    • Nom d’utilisateur : admin
    • Mot de passe : <aws-instance-id> (exemple ; i-00ab111abc2222abcd) image localisée

      Remarque

      Si la gestion. Impossible d’accéder à l’interface, vérifiez les points suivants :

        -  Assurez-vous que l'EIP est correctement associé à l'interface Mgmt.   -  Assurez-vous que l'EIP répond au ping   -  Assurez-vous que la table de routage de l'interface Mgmt. inclut une route de passerelle Internet (0.0.0.0/0)   -  Assurez-vous que le groupe de sécurité de l'interface Mgmt. est configuré pour autoriser HTTP/HTTP/ICMP/SSH
      

      À partir de la version 9.1 de l’AMI SD-WAN, les utilisateurs peuvent également se connecter à la console AMI SD-WAN à l’aide de*ssh admin@*, en supposant que la paire de clés de l'instance EC2 a été ajoutée à la chaîne de clés SSH de l'utilisateur.

  4. Pour l’AMI SD-WAN SE bring-your-own-license (BYOL), une licence logicielle doit être installée :
    • Sur l’interface Web SD-WAN, accédez à Configuration > Paramètres de l’appliance > Licences
    • Dans Configuration de la licence : Charger une licence pour cette appliance, sélectionnez Choisir un fichier, naviguez et ouvrez la licence AWS SD-WAN SE, puis cliquez sur Charger et installer
    • Après le téléchargement réussi, l’état de la licence indiquera l’état : Licence image localisée
  5. Définissez les données/heure appropriées pour la nouvelle AMI :
    • Sur l’interface Web SD-WAN, accédez à Configuration > Maintenance du système > Paramètres de date/heure
    • Définir la date et l’heure correctes en utilisant NTP, Date/Heure Setting ou **Fuseau horaire image localisée

      Remarque

      Le service Virtual WAN SE AMI SD-WAN reste désactivé jusqu’à ce qu’un package d’appliance (Software + Configuration) soit installé sur l’AMI.

Ajouter une AMI SD-WAN SE à votre environnement SD-WAN

Pour ajouter une AMI SD-WAN à votre environnement SD-WAN :

  1. Accédez à votre centre SD-WAN ou nœud de contrôle maître pour votre environnement SD-WAN.
  2. Ajoutez un nouveau nœud de site à l’aide de l’éditeur de configuration :
    • Ajouter le site : modèle VPX, Mode : client
    • Groupes d’interface : AWSLAN = eth1, AWSwan = eth2 (non approuvé)
    • Adresse IP virtuelle : 192.168.100.5 = AWSLAN, 192.168.101.5 = AWSwan avec une adresse IP virtuelle AWSLAN en cours de configuration, le SD-WAN annonce le sous-réseau LAN de 192.168.100.5/24 en tant que route locale vers l’environnement SD-WAN (voir Connexions > < AWSNode > Routes). Liens WAN :
    • AWSBR-WAN avec type d’accès Internet public, détection automatique de l’IP publique si nœud client ou configuration de l’EIC pour la liaison WAN si nœud MCN, Interfaces d’accès : AWSWan 192.168.101.5 avec Gateway 192.168.101.1 (#.#.1 est généralement la Gateway réservée AWS). image localisée image localisée
  3. Dans l’éditeur de configuration, validez l’association de chemin sous Connexions > DC > Chemins virtuels > DC-AWS > Chemins d’accès. image localisée

    Remarque

    Le chemin virtuel est utilisé sur l’interface WAN AMI pour transférer les mises à jour logicielles et de configuration vers l’AMI SD-WAN plutôt que via une connexion directe à l’interface de gestion.

    Les adresses IP privées doivent être définies sur l’interface réseau WAN EC2 pour chaque IP de liaison WAN dans l’éditeur de configuration.Pour ce faire, il est possible de définir une ou plusieurs adresses IP privées secondaires pour l’interface réseau si nécessaire.

    Important

    Rappel du mappage assigné dans le tableau de bord AWS EC2 affectant Mgmt. à eth0, LAN à eth1 et WAN comme eth2

    Amazon réserve les quatre premières adresses IP et la dernière adresse IP dans chaque bloc CIDR de sous-réseau et ne peut pas être affectée à une instance. Par exemple, dans un sous-réseau avec le bloc CIDR 192.168.100.0/24, les cinq adresses IP suivantes sont réservées :

      -  192.168.100.0 : Adresse réseau   -  192.168.100.1 : Réservé par AWS pour le routeur VPC   -  192.168.100.2 : Réservé par AWS pour le serveur DNS   -  192.168.100.3 : Réservé par AWS pour une utilisation future   -  192.168.100.255 : Adresse de diffusion réseau, qui n'est pas prise en charge dans un VPC
    
  4. Enregistrez et exportez la nouvelle configuration SD-WAN et exportez vers la boîte de réception de gestion des modifications. image localisée
  5. Accédez à la gestion des modifications MCN et exécutez le processus de gestion des modifications pour transmettre la dernière configuration à l’environnement SD-WAN en informant tous les nœuds SD-WAN existants du nœud AWS nouvellement ajouté et des sous-réseaux (interfaces virtuelles) qui lui sont associés. Assurez-vous de télécharger le package logiciel spécifique à VPX dans l’étape de préparation des modifications qui correspond au logiciel actuel utilisé par l’environnement SD-WAN existant.
  6. Depuis la page Gestion des modifications, téléchargez le package généré spécifiquement pour le nouveau nœud AWS à l’aide du lien actif.
  7. Revenez à l’interface de gestion de l’AMI SD-WAN SE à l’aide de l’EIP assignée pour l’interface de gestion.
  8. Accédez à Configuration > Maintenance du système > Gestion des modifications locales .
  9. Cliquez sur Choisir un fichier pour parcourir et charger le package de configuration AWS actif récemment téléchargé.
  10. Une fois la gestion des changements locauxréussie, l’interface Web doit s’actualiser automatiquement avec le dernier logiciel installé, le service Virtual WANétant toujours désactivé. image localisée
  11. Dans la section SD-WAN SE AMI, accédez à Configuration > Virtual WAN Enable/Disable/Purge Flows et activez le service à l’aide du bouton Activer.
  12. Une fois la connectivité réussie sur l’interface WAN, le SD-WAN signale l’état du chemin dans la page Surveillance > Statistiques > Chemins . image localisée

Résolution des problèmes

L’adresse IP de passerelle Internet Web (IWG) privée correcte doit être utilisée dans la configuration de l’interface d’accès SD-WAN

  • Si un IWG incorrect est utilisé dans l’éditeur de configuration pour définir le lien WAN pour le site AWS (adresse IP virtuelle et passerelle correcte), le chemin virtuel ne parvient pas à établir.
  • Un moyen rapide de vérifier si l’IWG n’est pas correctement configuré consiste à vérifier la table ARP SD-WAN.

Image localisée

SD-WAN intégré à l’outil de capture de paquets peut aider à confirmer le bon flux de paquets

  1. Accédez à la page Configuration > Maintenance du système > Diagnostic de l’AMI SD-WMA.
  2. Sélectionnez l’onglet Capture de paquets et définissez les paramètres suivants, puis cliquez sur Capture :
    • Interfaces : pour capturer sur eth2 qui était associé à l’interface WAN.
  3. La sortie de capture sur la page Web doit afficher les paquets de sonde UDP quittant l’AMI SD-WAN SE avec le WAN VIP/Private IP comme source, avec une destination des adresses IP publiques statiques utilisées pour le MCN, également le paquet UDP renvoyant avec la source de l’IP publique statique MCN et la destination de l’IP VIP/privée locale ( qui a été NAT par l’IWG).

Remarque

Cela peut généralement se produire lorsqu’une adresse IP est créée en dehors du bloc CIDR attribué au VPC.

Image localisée

REMARQUE

À partir des versions 10.2.6 et 11.0.3, il est obligatoire de modifier le mot de passe du compte d’utilisateur administrateur par défaut lors du provisioning d’une appliance SD-WAN ou d’un nouveau VPX SD-WAN SE. Cette modification est appliquée à l’aide de la CLI et de l’interface utilisateur WAN virtuelles.