Citrix SD-WAN Platforms

Installation de l’AMI SD-WAN VPX Standard Edition sur AWS

Les appliances Citrix SD-WAN SE lient plusieurs chemins réseau dans un seul chemin virtuel. Les chemins virtuels sont surveillés de manière à ce que les chemins d’application critiques soient toujours acheminés via des chemins optimaux. Cette solution permet aux clients de déployer des applications dans le cloud et d’utiliser plusieurs réseaux de fournisseurs de services pour une livraison transparente des applications aux utilisateurs finaux.

Pour créer un SD-WAN SE-VPX sur Amazon Web Services (AWS), vous passez par le même processus qu’avec la création d’une autre instance, en définissant quelques paramètres d’instance sur des paramètres autres que par défaut.

Instanciation d’une appliance virtuelle SD-WAN (AMI) sur AWS :

Pour installer une appliance virtuelle SD-WAN dans un VPC AWS, vous avez besoin d’un compte AWS. Vous pouvez créer un compte AWS à l’adresse http://aws.amazon.com/. Le SD-WAN est disponible en tant qu’image de machine Amazon (AMI) sur AWS Marketplace.

Remarque : Amazon apporte fréquemment des modifications à ses pages AWS, de sorte que les instructions suivantes peuvent ne pas être à jour.

Pour instancier une appliance virtuelle SD-WAN sur AWS :

  1. Dans un navigateur Web, tapez http://aws.amazon.com/.
  2. Cliquez sur Mon compte/Console, puis sur My Account pour ouvrir la page Connexion Amazon Web Services .
  3. Utilisez les informations d’identification de votre compte Amazon AWS pour vous connecter. Vous accédez à la page Amazon Web Services.

Les appliances Citrix SD-WAN SE offrent les instances de service AWS suivantes :

  • Tableau de bord VPC : partie isolée du nuage AWS remplie par des objets AWS, tels que les instances EC2
    • Activé par la création d’un VPC dans AWS. Consultez les étapes de configuration suivantes.
  • EC2 Dashboard - cloud de calcul élastique, services virtuels redimensionnables/instances
    • Activé par la création d’AMI SD-WAN NetScaler. Voir ci-dessous pour les étapes de configuration.
    • CIDR — Bloc de routage inter-domaines sans classe, composé d’une plage d’adresses IP continue, utilisé pour spécifier votre VPC (ne peut pas être supérieur à 16 régions).

Interface Web SD-WAN

  • Configurer l’AMI SD-WAN Citrix (anciennement NetScaler SD-WAN)

Voici les exigences et les limites du déploiement de SD-WAN SE-VPX AMI dans AWS :

Exigences minimales

  • Type d’instance AWS EC2 : c3.2xlarge
  • Processeur virtuel : 8
  • RAM : 15 GB
  • Stockage : 160 Go
  • Interfaces réseau : minimum de 2 (une gestion, une pour LAN/WAN)
  • BYOL — apportez votre propre licence et abonnement

Limitations

  • AWS n’autorise pas le pontage de l’interface, de sorte que Fail-to-Wire n’est pas une option pour configurer des groupes d’interfaces.

SD-WAN Citrix (anciennement NetScaler SD-WAN) avec AWS

Image localisée

Déploiement d’une région AWS avec une zone de disponibilité spécifiée. Dans cette infrastructure de Virtual Private Cloud (VPC), SD-WAN Standard Edition AMI (Amazon Machine Image) est déployée en tant que passerelle VPC.

  • Le VPC privé a des routes vers la passerelle VPC.
  • L’instance SD-WAN a une route vers AWS VGW (VPN Gateway) pour la connexion directe et une autre route vers IGW (Internet Gateway) pour la connectivité Internet.
  • Connectivité entre Data Center, Branch et Cloud en appliquant différents modes de transport utilisant simultanément plusieurs chemins WAN.
  • Apprentissage automatique des itinéraires avec OSPF et BGP.
  • Tunnel IPSec unique sur plusieurs chemins où la renégociation de sécurité n’est pas requise en cas d’échec de liaison.

Image localisée

Dans AWS, un sous-réseau et une adresse IP doivent être définis pour chaque interface AMI SD-WAN. Le nombre d’interfaces utilisées dépend du cas d’utilisation du déploiement. Si l’objectif est d’accéder de manière fiable aux ressources applicatives situées du côté LAN du VPX (à l’intérieur de la même région), le VPX peut être configuré avec trois interfaces Ethernet : une pour la gestion sur eth0, une pour LAN sur eth1 et une pour WAN sur eth2.

Alternativement, si l’objectif est de trafic d’épingle à cheveux via le VPX vers une autre région ou vers l’Internet public, le VPX peut être configuré avec deux interfaces Ethernet : une pour la gestion sur eth0, et une seconde pour le LAN/WAN sur eth1.

Présentation de l’AMI SE SD-WAN dans AWS

  1. Créer un VPC dans AWS à l’aide du tableau de bord VPC

Pour commencer à utiliser le cloud privé virtuel Amazon, vous devez créer un VPC, un réseau virtuel dédié à votre compte AWS.

  • Définir des blocs/sous-réseaux CIDR et attribuer au VPC - pour identifier le périphérique dans le réseau. Par exemple. 192.168.100.0/22 est sélectionné pour le VPC dans l’exemple de diagramme de réseau englobant les sous-réseaux WAN, LAN et Management — 192.168.100.0 — 192.168.103.255) - 192.168.100.0/22
  • Définir une passerelle Internet pour le VPC — pour communiquer avec l’extérieur de l’environnement cloud
  • Définir le routage pour chaque sous-réseau défini - pour la communication entre les sous-réseaux et Internet
  • Définir les listes de contrôle d’accès réseau (liste de contrôle d’accès) - pour contrôler l’entrée/sortie du trafic depuis/vers le sous-réseau à des fins de sécurité
  • Définir le groupe de sécurité - pour contrôler l’entrée/sortie du trafic depuis/vers chaque instance de périphérique réseau

Créez une AMI SD-WAN NetScaler :

  • Définir les interfaces réseau pour l’instance EC2
  • Créer des adresses IP Elastic pour l’instance EC2
  • Définir la sécurité pour l’instance EC2 et les interfaces réseau

Connectez-vous à l’interface Web SD-WAN :

  • Licence
  • Installer identifier à l’aide de Local Change Management

Créer un VPC dans AWS - Virtual Private Cloud (VPC)

Pour créer un VPC :

  1. Dans la barre d’outils AWS Management Console, sélectionnez Services > VPC (Mise en réseau et diffusion de contenu).

    image localisée

  2. Sélectionnez vos VPC, puis cliquez sur le bouton Créer un VPC .

    image localisée

  3. Ajoutez la balise Nom, le bloc CIDR en fonction de votre diagramme de réseau et la location = par défaut, puis cliquez sur Oui, Créer.

    image localisée

Définir une Gateway Internet pour le VPC

Pour définir une Gateway Internet pour le VPC :

  1. Dans la console de gestion AWS, sélectionnez Passerelles Internet > Créer une passerelle Internet. Le trafic Internet Gateway correspondant à la route 0.0.0.0/0 peut être configuré dans la table de routage. Il est également nécessaire pour un accès externe à l’interface Web AMI SD-WAN pour une configuration ultérieure.

    image localisée

  2. Donnez à IGW une balise Name, puis cliquez sur Oui, Créer.

    image localisée

  3. Sélectionnez IGW nouvellement créé et cliquez sur Attacher au VPC.

    image localisée

  4. Sélectionnez le VPC créé précédemment et cliquez sur Oui, Attach.

    image localisée

Définir des sous-réseaux pour le VPC afin de différencier la gestion, le LAN et le WAN

Pour définir des sous-réseaux pour VPC :

  1. Dans la console de gestion AWS, sélectionnez Sous-réseaux > Créer des sous-réseaux pour créer des sous-réseaux Mgmt, LAN et WAN. Utilisez les sous-réseaux définis pour distinguer les sous-réseaux LAN, WAN et Mgmt définis dans la configuration SD-WAN.

    image localisée

  2. Entrez les détails spécifiques au sous-réseau de gestion du VPX, puis créez-le à l’aide du bouton Oui, Créer.
    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : <VPC créé précédemment>
    • Zone de disponibilité :à>
    • Bloc CIDR : sous-réseau spécifique au nom défini (Mgmt, LAN ou WAN) qui est un sous-ensemble plus petit du CIDR précédemment défini

    image localisée

  3. Répétez le processus jusqu’à ce que vous ayez créé un sous-réseau pour les réseaux de gestion, de réseau local et de réseau étendu.

    image localisée

Définir des tables de routage pour le sous-réseau de gestion

Pour définir des tables de routage :

  1. Dans AWS Management Console, sélectionnez Tables de routage > Créer une table de routage pour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN.

    image localisée

  2. Entrez le détail du sous-réseau de gestion
    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : VPC créé précédemment

    image localisée

  3. La table de routage nouvellement créée étant toujours en surbrillance, sélectionnez Association de sous-réseau > Modifier.

    image localisée

  4. Effectuez l’association avec le sous-réseau souhaité, puis cliquez sur Enregistrer.

    image localisée

  5. La nouvelle table de routage étant toujours en surbrillance, sélectionnez Routes > Modifier.

    image localisée

  6. Cliquez sur le bouton Ajouter un autre itinéraire (uniquement requis pour les sous-réseaux de gestion et WAN), puis sur Enregistrer.

    • Destination : 0.0.0.0/0
    • Cible : La passerelle Internet (igw-xxxxxxx précédemment défini)

    image localisée

Remarque

AWS fournit une table de routage globale dans l’instance EC2, mais l’AMI SD-WAN NetScaler utilise des tables de routage locales afin que l’utilisateur puisse contrôler le transfert de trafic vers le chemin virtuel.

Définir des tables de routage pour le sous-réseau WAN

Pour définir des tables de routage :

  1. Dans AWS Management Console, sélectionnez Tables de routage > Créer une table de routage pour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN.

    image localisée

  2. Entrez les détails du sous-réseau WAN :

    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : VPC créé précédemment
  3. La table de routage nouvellement créée étant toujours en surbrillance, sélectionnez Association de sous-réseau > Modifier.

    image localisée

  4. Effectuez l’association avec le sous-réseau souhaité, puis cliquez sur Enregistrer.
  5. La nouvelle table de routage étant toujours en surbrillance, sélectionnez Routes > Modifier.
  6. Cliquez sur le bouton Ajouter un autre itinéraire (uniquement requis pour les sous-réseaux de gestion et WAN), puis sur Enregistrer.

    • Destination : 0.0.0.0/0
    • Cible : <The Internet Gateway> (igw-xxxxxxx précédemment défini)

    image localisée

Définir des tables de routage pour le sous-réseau LAN

Pour définir des tables de routage pour le sous-réseau LAN :

  1. Dans AWS Management Console, sélectionnez Tables de routage > Créer une table de routage pour créer des tables de routage pour les sous-réseaux Ggmt, LAN et WAN.

    image localisée

  2. Entrez les détails du sous-réseau LAN :

    • Name tag : nom permettant d’identifier différents sous-réseaux (gestion, réseau local ou réseau étendu)
    • VPC : VPC créé précédemment
  3. La table de routage nouvellement créée étant toujours en surbrillance, sélectionnez Association de sous-réseau > Modifier.
  4. Effectuez l’association avec le sous-réseau souhaité, puis cliquez sur Enregistrer.

    image localisée

Remarque

Pour acheminer le trafic côté LAN via SD-WAN, associez la destination cible comme identifiant d’interface LAN SD-WAN dans la table de routage LAN SD-WAN. La cible pour n’importe quelle destination peut être définie sur l’identifiant d’interface uniquement après la création de l’instance et l’attachement des interfaces réseau à cette instance.

Créer une AMI SE SD-WAN

Pour créer une instance EC2 :

  1. Dans la barre d’outils AWS Management Console, sélectionnez Services > EC2 (Compute).

    image localisée

  2. Sélectionnez la barre d’outils du tableau de bord EC2, sélectionnez Instances > Lancer l’instance.

    image localisée

  3. Utilisez l’onglet AWS Marketplace pour rechercher l’AMI Amazon Machine Image (AMI) SD-WAN ou utilisez l’onglet Mes AMI pour localiser une AMI SD-WAN possédée ou partagée, localisez Citrix NetScaler SD-WAN Standard Edition, puis cliquez sur Sélectionner.

    image localisée

  4. Confirmez la sélection avec Continuer.
  5. Dans l’écran Choisir le type d’instance, sélectionnez le type d’instance EC2 identifié lors de la préparation, puis sélectionnez Suivant : Configurer les détails de l’instance.

    image localisée

  6. Entrez les détails de l’instance (tout ce qui n’est pas spécifié doit être laissé désactivé/par défaut) :
    • Nombre d’instances : 1
    • Réseau : sélectionnez VPC précédemment créé>
    • Sous-réseau : sélectionnez Gestion du sous-réseau précédemment défini
    • Affectation automatique d’IP publique : activé
    • Interfaces réseau > IP principale : saisissez l’adresse IP de gestion prédéfinie

    image localisée

  7. Cliquez sur Suivant : Ajouter du stockage

    image localisée

    Remarque

    Associez l’instance EC2 au sous-réseau Mgmt pour associer la première interface EC2 (eth0) à l’interface SD-WAN Mgmt. Si eth0 n’est pas associé à l’interface SD-WAN Mgmt, la connectivité est perdue à la suite d’un reboot.1.

  8. Entrez les informations suivantes pour le stockage racine :
    • Type de volume : GP2 à usage général (SSD)
  9. Ensuite, sélectionnez Suivant : Tag Instance

    image localisée

  10. Donnez un nom à l’instance EC2 en spécifiant une valeur pour la balise Name par défaut. Vous pouvez également créer d’autres balises souhaitées.

    image localisée

  11. Sélectionnez ensuite Suivant : Configurer le groupe de sécurité.
  12. Sélectionnez un groupe de sécurité existant ou créez un groupe de sécurité :
    • Le groupe de sécurité par défaut généré inclut HTTP, HTTPS, SSH et Cliquez sur le bouton Ajouter une règle pour en ajouter deux autres :
    • Tous les ICMP avec Source : Custom 0.0.0.0/0
    • Règle UDP personnalisée avec plage de ports : 4980 et Source : personnalisée <adresses IP connues du partenaire SD-WAN>
  13. Sélectionnez Réviser et lancer.

    image localisée

  14. Après avoir terminé la révision, sélectionnez Lancer.
  15. Dans la fenêtre contextuelle Paire de clés, sélectionnez une paire de clés existante ou créez une nouvelle paire de clés, puis sélectionnez Lancer l’instance.

    image localisée

    Important

    Si une nouvelle paire de clés est créée, assurez-vous de la télécharger et de la stocker dans un emplacement sûr.

  16. L’AMI NetScaler SD-WAN SE devrait maintenant être lancée avec succès.

    image localisée

    Remarque

    Un groupe de sécurité est un ensemble de règles de pare-feu qui contrôle le trafic d’une instance EC2. Les règles entrantes et sortantes peuvent être modifiées pendant et après le lancement d’EC2. Un groupe de sécurité doit être affecté à chaque instance EC2. En outre, un groupe de sécurité doit être affecté à chaque interface réseau. Plusieurs groupes de sécurité peuvent être utilisés pour appliquer des ensembles distincts de règles à des interfaces individuelles. Le groupe de sécurité par défaut ajouté par AWS autorise uniquement le trafic au sein d’un VPC.

    Le groupe de sécurité affecté à l’AMI SD-WAN NetScaler et ses interfaces doivent accepter SSH, ICMP, HTTP et HTTPS. Le groupe de sécurité affecté à l’interface WAN doit également accepter UDP sur le port 4980 (pour la prise en charge du chemin virtuel). Reportez-vous à l’aide d’AWS pour plus de détails sur la configuration du groupe de sécurité. Important

    Attendez deux heures si provisionné à partir d’un nouveau compte, puis réessayez

  17. Revenez à votre console AWS : EC2 Dashboard.

  18. Dans la barre d’outils, sous Réseau et sécurité, sélectionnez Interfaces réseau, mettez en surbrillance l’interface de gestion et Modifier la balise Nom pour donner un nom utile à l’interface.
  19. Cliquez ensuite sur Créer une interface réseau pour créer les interfaces LAN :
    • Description : <a user-defined description for the interface>
    • Sous-réseau :<sous-réseau précédemment défini pour l’interface>
    • IP privée : <IP privée de l’interface précédemment définie durant la préparation>
    • Groupe de sécurité : <groupe de sécurité approprié pour l’interface>

    image localisée

  20. Répétez et cliquez sur Créer une interface réseau pour créer l’interface WAN.

    image localisée

  21. Modifiez la balise Name pour chaque nouvelle interface et donnez un nom utile.

    image localisée

    image localisée

  22. Mettez en surbrillance l’interface de gestion et sélectionnez Actions > Modifier la source/Dest. Cochez pour désactiver Source/Dest. Cochez, puis sélectionnez Enregistrer.

    image localisée

  23. Répétez l’opération pour les interfaces LAN et WAN.

    image localisée

  24. À ce stade, toutes les interfaces réseau : Gestion, LANet WAN sont configurées avec un nom, une adresse IP privée principaleet désactivées pour Source/Dest. Vérifier l’attribut. Seulement le Mgmt. Une adresse IP publique est associée à l’interface réseau.

    image localisée

    Important

    Désactivation de la source/Dest. L’attribut Check permet à l’interface de gérer le trafic réseau qui n’est pas destiné à l’instance EC2. Comme l’AMI SD-WAN NetScaler agit comme intermédiaire pour le trafic réseau, Source/Dest. L’attribut de vérification doit être désactivé pour un bon fonctionnement.

    Les adresses IP privées définies pour ces interfaces réseau doivent correspondre aux adresses IP de votre configuration SD-WAN. Il peut être nécessaire de définir plusieurs adresses IP privées pour l’interface réseau WAN si cette interface est associée à plusieurs adresses IP de liaison WAN dans la configuration SD-WAN pour ce nœud de site. Pour ce faire, vous pouvez définir des adresses IP privées secondaires pour l’interface WAN si nécessaire.

  25. Dans la barre d’outils Tableau de bord EC2, sélectionnez Instances.

    image localisée

  26. Mettez en surbrillance l’instance nouvellement créée, puis sélectionnez Actions > Mise en réseau > Attacher l’interface réseau.

    image localisée

  27. Connectez d’abord l’interface réseau LAN, puis l’interface réseau WAN à l’AMI SE SD-WAN.

    image localisée

    Remarque

    L’attachement du Mgmt, du LAN et du WAN dans cet ordre s’attache à eth0, eth1, eth2 dans l’AMI SD-WAN. Cela s’aligne sur le mappage de l’AMI provisionnée et garantit que les interfaces ne sont pas réattribuées de manière incorrecte en cas de redémarrage de l’AMI.

  28. Dans la barre d’outils Tableau de bord EC2, sélectionnez Elastic IP (EIP), puis cliquez sur Allouer une nouvelle adresse.

    image localisée

  29. Cliquez sur Allouer pour allouer une nouvelle adresse IP, puis Fermer une fois la demande de nouvelle adresse réussie.
  30. Mettez en surbrillance le nouvel EIP et sélectionnez Action > Associer l’adresse pour associer l’EIP à la gestion. Interface, puis cliquez sur Associer.
    • Type de ressource : <network interface>
    • Interface réseau : <Interface réseau de gestion précédemment créée>
    • IP privée : <previously defined private IP for Mgmt>

    image localisée

  31. Répétez le processus pour associer un autre nouvel EIP à l’interface WAN.

    image localisée

Configurer SD-WAN SE AMI - Interface de gestion Web SD-WAN

Pour configurer l’AMI SE SD-WAN :

  1. À ce stade, vous devriez être en mesure de vous connecter à l’interface de gestion de l’AMI SD-WAN SE à l’aide d’un navigateur Web.
  2. Entrez l’IP Elastic (EIP) associée à la gestion. Interface. Vous pouvez créer une exception de sécurité si le certificat de sécurité n’est pas reconnu.
  3. Connectez-vous à l’AMI SE SD-WAN à l’aide des informations d’identification suivantes :

    • Nom d’utilisateur : admin
    • Mot de passe : <aws-instance-id> (exemple ; i-00ab111abc22abcd)

    image localisée

    Remarque

    Si le Mgmt. Impossible d’atteindre l’interface, vérifiez ce qui suit :

    • Assurez-vous que l’EIP est correctement associé à l’interface Mgmt.
    • Assurez-vous que l’EIP répond au ping
    • Assurez-vous que la table de routage de l’interface Mgmt inclut une route Internet Gateway (0.0.0.0/0)
    • Assurez-vous que le groupe de sécurité de l’interface Mgmt est configuré pour autoriser HTTPS/HTTPS/ICMP/SSH

    À partir de la version 9.1 SD-WAN AMI, les utilisateurs peuvent également se connecter à la console AMI SD-WAN à l’aide de ssh admin@<mgmt. EIP, en supposant que la paire de clés pour l’instance EC2 a été ajoutée à la chaîne de clés SSH de l’utilisateur.

  4. Pour l’AMI SD-WAN SE bring-your-own-license (BYOL), une licence logicielle doit être installée :
    • Sur l’interface Web SD-WAN, accédez à Configuration > Paramètres de l’appliance > Licences
    • Dans Configuration de la licence : Télécharger la licence pour cette appliance, sélectionnez Choisir un fichier, naviguez et ouvrez la licence SD-WAN SE AWS, puis cliquez sur Télécharger et installer
    • Après le téléchargement réussi, l’état de la licence indiquera l’état : Licence

    image localisée

  5. Définissez les données/heure appropriées pour la nouvelle AMI :
    • Sur l’interface Web SD-WAN, accédez à Configuration > Maintenance du système > Paramètres de date/heure
    • Définissez la date et l’heure correctes à l’aide du NTP, du paramètre Date/Heureou du fuseau horaire

    image localisée

    Remarque

    Le service SD-WAN SE AMI Virtual WAN reste désactivé jusqu’à ce qu’un package de matériel (Software + Configuration) soit installé sur l’AMI.

Ajouter SD-WAN SE AMI à votre environnement SD-WAN

Pour ajouter une AMI SD-WAN à votre environnement SD-WAN :

  1. Accédez à votre centre SD-WAN ou à votre nœud de contrôle maître pour votre environnement SD-WAN.
  2. Ajoutez un nouveau nœud de site à l’aide de l’éditeur de configuration :
    • Ajouter un site : modèle VPX, Mode : client
    • Groupes d’interface : AWSLAN = eth1, AWSwan = eth2 (non approuvé)
    • Adresse IP virtuelle : 192.168.100.5 = AWSLAN, 192.168.101.5 = AWSwan avec une adresse IP virtuelle AWSLAN en cours de configuration, le SD-WAN annonce le sous-réseau LAN de 192.168.100.5/24 en tant que route locale vers l’environnement SD-WAN (voir Connexions > < AWSNode > Routes). Liens WAN :
    • AWSBR-WAN avec type d’accès Internet public, détection automatique de l’IP publique si nœud client ou configuration de l’EIC pour la liaison WAN si nœud MCN, Interfaces d’accès : AWSWan 192.168.101.5 avec Gateway 192.168.101.1 (#.#.1 est généralement la Gateway réservée AWS).

    image localisée

    image localisée

  3. Dans l’éditeur de configuration, validez l’association de chemins sous Connexions > DC > Chemins virtuels > DC-AWS > Chemins d’accès.

    image localisée

    Remarque

    Le chemin virtuel est utilisé sur l’interface WAN AMI pour transmettre les mises à jour logicielles et de configuration vers l’AMI SD-WAN plutôt que via une connexion directe à l’interface Mgmt.

    Les adresses IP privées doivent être définies sur l’interface réseau WAN EC2 pour chaque IP de liaison WAN dans l’éditeur de configuration. Pour ce faire, vous pouvez définir une ou plusieurs adresses IP privées secondaires pour l’interface réseau si nécessaire.

    Important

    Rappel du mappage attribué dans le tableau de bord AWS EC2 assignant Mgmt. à eth0, LAN à eth1 et WAN comme eth2

    Amazon réserve les quatre premières adresses IP et la dernière adresse IP dans chaque bloc CIDR de sous-réseau et ne peut pas être affectée à une instance. Par exemple, dans un sous-réseau avec le bloc CIDR 192.168.100.0/24, les cinq adresses IP suivantes sont réservées :

    • 192.168.100.0 : Adresse réseau
    • 192.168.100.1 : Réservé par AWS pour le routeur VPC
    • 192.168.100.2 : Réservé par AWS pour le serveur DNS
    • 192.168.100.3 : Réservé par AWS pour une utilisation future
    • 192.168.100.255 : Adresse de diffusion réseau, qui n’est pas prise en charge dans un VPC
  4. Enregistrez et exportez la configuration SD-WAN nouvellement créée et exportez dans la boîte de réception de Change Management.

    image localisée

  5. Accédez à MCN Change Management et exécutez le processus de gestion des modifications pour transférer la dernière configuration vers l’environnement SD-WAN en informant tous les nœuds SD-WAN existants du nœud AWS nouvellement ajouté et des sous-réseaux (interfaces virtuelles) qui lui sont associés. Assurez-vous de télécharger le package logiciel spécifique à VPX à l’étape de préparation des modifications qui correspond au logiciel actuel utilisé par l’environnement SD-WAN existant.
  6. Depuis la page Gestion des modifications, téléchargez le package généré spécifiquement pour le nouveau nœud AWS à l’aide du lien actif.
  7. Revenez à l’interface de gestion de l’AMI SD-WAN SE à l’aide de l’EIP assignée à l’interface de gestion.
  8. Accédez à Configuration > Maintenance du système > Gestion des modifications locales.
  9. Cliquez sur Choisir un fichier pour parcourir et télécharger le logiciel AWS actif récemment téléchargé.
  10. Une fois la gestion des modifications localesréussie, l’interface Web doit s’actualiser automatiquement avec le dernier logiciel installé, le service WAN virtuel étant toujours désactivé.

    image localisée

  11. Dans la section SD-WAN SE AMI, accédez à Configuration > Virtual WAN Enable/Disable/Purge Flows et activez le service à l’aide du bouton Activer.
  12. Une fois la connectivité réussie sur l’interface WAN, le SD-WAN signale l’état du bon chemin dans la page Surveillance > Statistiques > Chemins d’accès.

    image localisée

Résolution des problèmes

L’adresse IP privée correcte de la passerelle Web Internet (IWG) doit être utilisée dans la configuration de l’interface d’accès SD-WAN

  • Si un IWG incorrect est utilisé dans l’éditeur de configuration pour définir le lien WAN pour le site AWS (adresse IP virtuelle et passerelle correcte), le chemin virtuel ne parvient pas à établir.
  • Un moyen rapide de vérifier si l’IWG est mal configuré consiste à vérifier la table ARP SD-WAN.

Image localisée

L’outil SD-WAN intégré de capture de paquets peut aider à confirmer le flux de paquets correct

  1. Accédez à la page Configuration > Maintenance du système > Diagnostic de l’AMI SD-WMA.
  2. Sélectionnez l’onglet Capture de paquets et définissez les paramètres suivants, puis cliquez sur Capture :
    • Interfaces : Pour capturer sur eth2 qui était associé à l’interface WAN.
  3. La sortie de capture sur la page Web doit afficher les paquets de sonde UDP laissant l’AMI SD-WAN SE avec le WAN VIP/IP privée comme source, avec une destination des IP publiques statiques utilisées pour le MCN, aussi le paquet UDP retourné avec la source de l’IP publique statique MCN et la destination de l’IP locale VIP/privé ( qui était NAT par l’IWG).

Remarque

Cela peut généralement se produire lorsqu’une adresse IP est créée en dehors du bloc CIDR attribué au VPC.

Image localisée

REMARQUE

  • À partir de la version 10.2.6 et 11.0.3, il est obligatoire de modifier le mot de passe du compte d’utilisateur administrateur par défaut lors du Provisioning d’une appliance SD-WAN ou du déploiement d’un nouveau SD-WAN SE VPX. Cette modification est appliquée à l’aide de l’interface CLI et de l’interface utilisateur.

  • Un compte de maintenance système - CBVWSSH, existe pour le développement et le débogage et n’a pas d’autorisations de connexion externes. Le compte est accessible uniquement via la session CLI d’un utilisateur administratif ordinaire.