Citrix SD-WAN

Intégration de Citrix SD-WAN avec AWS Transit Gateway

Le service Amazon Web Service (AWS) Transit Gateway permet aux clients de connecter leurs VPC (Virtual Private Clouds) Amazon et leurs réseaux locaux à une seule passerelle. À mesure que le nombre de charges de travail exécutées sur AWS augmente, vous pouvez mettre à l’échelle vos réseaux sur plusieurs comptes et VPC Amazon pour suivre la croissance.

Vous pouvez désormais connecter des paires de VPC Amazon à l’aide de l’appairage. Toutefois, la gestion de la connectivité point à point sur de nombreux VPC Amazon, sans la possibilité de gérer de manière centralisée les stratégies de connectivité, peut s’avérer coûteuse et lourde sur le plan opérationnel. Pour la connectivité sur site, vous devez attacher votre VPN AWS à chaque VPC Amazon individuel. Cette solution peut prendre du temps à construire et être difficile à gérer lorsque le nombre de VPC augmente en centaines.

Avec AWS Transit Gateway, vous n’avez qu’à créer et à gérer une seule connexion depuis la passerelle centrale vers chaque VPC Amazon, centre de données local ou bureau distant sur votre réseau. Le Transit Gateway agit comme un hub qui contrôle la façon dont le trafic est acheminé entre tous les réseaux connectés qui agissent comme des rayons. Ce modèle de hub et de rayon simplifie considérablement la gestion et réduit les coûts d’exploitation, car chaque réseau ne doit se connecter qu’à la passerelle de transit et non à tous les autres réseaux. Tout nouveau VPC est connecté à Transit Gateway et automatiquement disponible pour tous les autres réseaux connectés à Transit Gateway. Cette facilité de connectivité facilite la mise à l’échelle de votre réseau au fur et à mesure de votre croissance.

Au fur et à mesure que les entreprises migrent un nombre croissant d’applications, de services et d’infrastructures vers le cloud, elles déploient rapidement le SD-WAN pour profiter des avantages de la connectivité haut débit et connecter directement les utilisateurs des sites de succursale aux ressources cloud. La complexité de la création et de la gestion de réseaux privés mondiaux à l’aide de services de transport Internet pour connecter des sites répartis géographiquement et des utilisateurs à des ressources cloud basées sur la proximité pose de nombreux défis. Le gestionnaire de réseau AWS Transit Gateway modifie ce paradigme. Désormais, les clients de Citrix SD-WAN qui utilisent AWS peuvent utiliser Citrix SD-WAN avec la passerelle de transit AWS en intégrant l’appliance de succursale Citrix SD-WAN AWS Transit Gateway afin d’offrir une expérience de la plus haute qualité aux utilisateurs avec la possibilité d’atteindre tous les VPC connectés à Transit Gateway.

Voici les étapes à suivre pour intégrer Citrix SD-WAN à AWS Transit Gateway :

  1. Créez AWS Transit Gateway.

  2. Attachez un VPN à Transit Gateway (VPN existant ou nouveau).

  3. Attachez un VPN à la passerelle Transit Gateway configurée où le VPN se trouve avec un site SD-WAN situé sur site Web ou dans n’importe quel cloud (AWS, Azure ou GCP).

  4. Établissez l’appairage BGP (Border Gateway Protocol) sur le tunnel IPsec avec AWS Transit Gateway à partir de Citrix SD-WAN pour apprendre les réseaux (VPC) connectés à Transit Gateway.

Cas d’utilisation

Le cas d’utilisation consiste à contacter les ressources déployées au sein d’AWS (dans n’importe quel VPC) à partir de l’environnement de branche. L’utilisation d’AWS Transit Gateway permet au trafic d’atteindre tous les VPC connectés à Transit Gateway sans avoir à gérer les routes BGP. Pour ce faire, effectuez les méthodes suivantes :

  • Établissez l’IPsec vers AWS Transit Gateway à partir de l’appliance Citrix SD-WAN de la branche. Dans cette méthode de déploiement, vous n’obtiendrez pas tous les avantages SD-WAN car le trafic passera sur IPSec.

  • Déployez une appliance Citrix SD-WAN dans AWS et connectez-la à votre appliance Citrix SD-WAN sur site via un chemin virtuel.

Quelle que soit la méthode choisie, le trafic atteint les VPC connectés à Transit Gateway sans gérer manuellement le routage dans AWS infra.

Gateway de transit AWS

Configuration AWS Transit Gateway

Pour créer AWS Transit Gateway, accédez au tableau de bord VPC et accédez à la section Transit Gateway.

  1. Indiquez le nom de Transit Gateway, la description et le numéro Amazon ASN comme indiqué dans la capture d’écran suivante, puis cliquez sur Créer Transit Gateway.

Créer une Gateway de transit

Une fois la création de Transit Gateway terminée, vous pouvez voir l’état Disponible.

État de la Gateway de transit

  1. Pour créer les pièces jointes Transit Gateway, accédez à Transit Gateways > Pièces jointes Transit Gateway et cliquez sur Créer une pièce jointe Transit Gateway.

Créer une pièce jointe Transit Gateway

  1. Sélectionnez la Transit Gateway créée dans la liste déroulante et sélectionnez le type de pièce jointe en tant que VPC. Indiquez la balise de nom de pièce jointe et sélectionnez l’ID de VPC que vous souhaitez attacher à la Transit Gateway créée. L’un des sous-réseaux du VPC sélectionné sera sélectionné automatiquement. Cliquez sur Créer une pièce jointe pour attacher un VPC à la Transit Gateway.

Détails des pièces jointes de Gateway

  1. Après avoir attaché le VPC à la Gateway de transit, vous pouvez voir que le VPC de type ressource a été associé à la passerelle de transit.

Type de ressource VPC

  1. Pour attacher SD-WAN à Transit Gateway à l’aide d’un VPN, sélectionnez l’ID Transit Gateway dans la liste déroulante et sélectionnez Type de pièce jointe comme VPN. Assurez-vous de sélectionner le bon ID Transit Gateway.

Joignez une nouvelle passerelle client VPN en fournissant l’adresse IP publique du lien WAN SD-WAN et son numéro ASN BGP. Cliquez sur Créer une pièce jointe pour joindre un VPN avec Transit Gateway.

Attacher un VPN avec Transit Gateway

  1. Une fois le VPN attaché à la Transit Gateway, vous pouvez afficher les détails comme indiqué dans la capture d’écran suivante :

VPN attaché à Transit Gateway

  1. Sous Passerelles client, la passerelle client SD-WAN et la connexion VPN de site à site sont créées dans le cadre de la connexion VPN à Transit Gateway. Vous pouvez voir que la passerelle client SD-WAN est créée avec l’adresse IP de cette passerelle client qui représente l’adresse IP publique de liaison WAN du SD-WAN.

Gateway client

  1. Accédez à Connexions VPN de site à site pour télécharger la configuration VPN de passerelle client SD-WAN. Ce fichier de configuration contient deux détails de tunnel IPsec ainsi que les informations d’homologue BGP. Deux tunnels sont créés à partir du SD-WAN vers Transit Gateway pour la redondance.

Vous pouvez voir que l’adresse IP publique du lien WAN SD-WAN a été configurée en tant qu’adresse de passerelle client.

Connexion VPN de site à site

  1. Cliquez sur Télécharger la configuration et téléchargez le fichier de configuration VPN. Sélectionnez le fournisseur, la plate-forme comme génériqueet le logiciel comme le fournisseur agnostique.

Téléchargement de la configuration

Le fichier de configuration téléchargé contient les informations suivantes :

  • Configuration IKE
  • Configuration IPSec pour AWS Transit Gateway
  • Configuration de l’interface tunnel
  • Configuration BGP

    Ces informations sont disponibles pour deux tunnels IPsec pour la haute disponibilité (HA). Assurez-vous de configurer les deux points d’extrémité du tunnel lors de la configuration dans SD-WAN. Voir la capture d’écran suivante pour référence :

    Deux tunnels IPSec

Configurer le service Intranet sur SD-WAN

  1. Pour configurer le service Intranet utilisé dans la configuration du tunnel IPSec sur SD-WAN, accédez à Éditeur de configuration > Connexions, sélectionnez le site dans la liste déroulante et sélectionnez Service intranet. Cliquez sur + Service pour ajouter un nouveau service Intranet.

Configurer le service intranet

  1. Après l’ajout du service Intranet, sélectionnez le lien WAN (à l’aide duquel vous allez établir le tunnel vers Transit Gateway) qui est utilisé pour ce service.

Sélectionner un lien WAN

  1. Pour configurer le tunnel IPsec vers AWS Transit Gateway, accédez à Éditeur de configuration > Connexions > sélectionnez le site dans la liste déroulante et cliquez sur Tunnels IPsec. Cliquez sur l’option + pour ajouter le tunnel IPSec.

Configurer le tunnel IPSec

  1. Sélectionnez le type de service en tant qu’intranet et sélectionnez le nom du service intranet que vous avez ajouté. Sélectionnez l’adresse IP locale comme adresse IP WAN Link et adresse homologue comme adresse IP Transit Gateway Virtual Private Gateway.

Cochez la case Keepalive pour que le tunnel soit initié par SD-WAN immédiatement après l’activation de la configuration.

Type de service de tunnel IPSec

  1. Configurez les paramètres IKE en fonction du fichier de configuration VPN que vous avez téléchargé à partir d’AWS.

Paramètres IKE

  1. Configurez les paramètres IPSec en fonction du fichier de configuration VPN que vous avez téléchargé à partir d’AWS. Configurez également les réseaux protégés IPsec en fonction du réseau que vous souhaitez envoyer via le tunnel. Vous pouvez voir qu’il est configuré pour autoriser tout trafic via le tunnel IPSec.

Paramètres IPSec

  1. Configurez l’adresse IP interne Customer Gateway comme l’une des adresses IP virtuelles sur SD-WAN. À partir du fichier de configuration VPN téléchargé, recherchez la Gateway client à l’intérieur de l’adresse IP associée au tunnel-1. Configurez cette Gateway client à l’intérieur de l’adresse IP comme l’une des adresses IP virtuelles sur SD-WAN et activez la case à cocher Identité.

Gateway client dans l'adresse IP

  1. Ajoutez des itinéraires sur SD-WAN pour contacter Virtual Private Gateway of Transit Gateway. À partir du fichier de configuration VPN téléchargé, recherchez l’adresse IP à l’intérieur et à l’extérieur de Virtual Private Gateway liée à Tunnel-1. Ajoutez des itinéraires à l’adresse IP interne et externe de Virtual Private Gateway avec Type de service comme Intranet et sélectionnez le service Intranet créé dans les étapes ci-dessus.

Ajouter des itinéraires

  1. Configurez BGP sur SD-WAN. Activez BGP avec le numéro ASN approprié. Dans le fichier de configuration VPN téléchargé, recherchez les options de configuration BGP liées au Tunnel-1. Utilisez ces détails pour ajouter un voisin BGP sur SD-WAN.

Pour activer BGP sur SD-WAN, accédez à Connexions, sélectionnez le site dans la liste déroulante, puis sélectionnez BGP. Cochez la case Activer pour activer BGP. Cliquez sur la case à cocher Annoncer les itinéraires Citrix SD-WAN pour annoncer les itinéraires SD-WAN vers Transit Gateway. Utilisez l’ASN Customer Gateway à partir des options de configuration BGP et configurez-le en tant que système autonome local.

Configurer BGP sur SD-WAN

  1. Pour ajouter des voisins BGP sur SD-WAN, accédez à Connexions > sélectionnez le site dans la liste déroulante, puis sélectionnez BGP. Cliquez sur la section Voisins et cliquez sur l’option +.

Utilisez l’adresse IP Neighbor et l’ASN Virtual Private Gateway à partir des options de configuration BGP lors de l’ajout d’un voisin. L’adresse IP source doit correspondre à Customer Gateway à l’intérieur de l’adresse IP (configurée en tant qu’adresse IP virtuelle sur SD-WAN) à partir du fichier de configuration téléchargé à partir d’AWS. Ajouter BGP Neighbor avec Multi Hop activé sur SD-WAN.

Ajouter un voisin BGP

  1. Pour ajouter des filtres d’importation pour importer des itinéraires BGP sur SD-WAN, accédez à Connexions, sélectionnez le site dans la liste déroulante, puis sélectionnez BGP et cliquez sur la section Importer des filtres. Cliquez sur l’option + pour ajouter un filtre d’importation. Sélectionnez le protocole comme BGP et faites correspondre un pour importer toutes les routes BGP. Sélectionnez le type de service en tant qu’ Intranet et sélectionnez le service Intranet créé. Il s’agit d’importer des routes BGP avec le type de service en tant qu’Intranet.

Ajouter des filtres d'importation

Surveillance et dépannage sur SD-WAN

  1. Pour vérifier l’état de l’établissement du tunnel IPSec sur SD-WAN, accédez à Surveillance > Statistiques > Tunnel IPSec. Dans la capture d’écran suivante, vous pouvez voir que le tunnel IPSec est établi à partir du SD-WAN vers AWS Transit Gateway et que l’état est GOOD. En outre, vous pouvez surveiller la quantité de trafic envoyé et reçu via ce tunnel IPSec.

Surveillance et dépannage sur SD-WAN

  1. Pour vérifier l’état d’appairage BGP sur SD-WAN, accédez à Surveillance > Protocoles de routage et sélectionnez État BGP. Vous pouvez voir que l’état BGP a été signalé comme établi et que l’adresse IP du voisin et l’ASN du voisin correspondent aux détails du voisin AWS BGP. Avec cela, vous pouvez vous assurer que l’appairage BGP a été établi à partir du SD-WAN vers AWS Transit Gateway via le tunnel IPsec.

Vérifier l'état d'appairage BGP

Un VPC (192.168.0.0) est attaché à AWS Transit Gateway. SD-WAN a appris ce réseau VPC (192.168.0.0) d’AWS Transit Gateway via BGP Et cette route a été installée sur SD-WAN avec le type de service comme Intranet conformément au filtre d’importation créé dans les étapes ci-dessus.

  1. Pour vérifier l’installation de la route BGP sur SD-WAN, accédez à Surveillance > Statistiques > Routes et vérifiez le réseau 192.168.0.0/16 qui a été installé en tant que route BGP avec le type de service comme Intranet. Cela signifie que vous pouvez apprendre les réseaux connectés à AWS Transit Gateway et vous pouvez communiquer avec ces réseaux via IPsec Tunnel établi.

Vérifier les itinéraires BGP

Surveillance et dépannage sur AWS

  1. Pour vérifier l’état de l’établissement du tunnel IPsec sur AWS, accédez à VIRTUAL PRIVATE NETWORK (VPN) > Connexions VPN de site à site. Dans la capture d’écran suivante, vous pouvez observer que l’adresse de passerelle client représente l’adresse IP publique SD-WAN Link à l’aide de laquelle vous avez établi le tunnel.

Le statut Tunnel est affiché en tant que UP. En outre, on peut observer qu’AWS a appris 8 ROUTES BGP de SD-WAN. Cela signifie que SD-WAN est capable d’établir Tunnel avec AWS Transit Gateway et peut également échanger des itinéraires via BGP.

Vérifier l'état de l'établissement du tunnel IPSec sur AWS

  1. Configurez les détails IPsec et BGP relatifs au deuxième tunnel en fonction du fichier de configuration téléchargé sur SD-WAN.

L’état des deux tunnels peut être surveillé sur SD-WAN comme suit :

État des deux tunnels

  1. L’état des deux tunnels peut être surveillé sur AWS comme suit :

État des deux tunnels sur AWS

Intégration de Citrix SD-WAN avec AWS Transit Gateway