Plan de construction Citrix SD-WAN +Azure Virtual WAN : Guide de déploiement

Public

Ce document s’adresse aux architectes de solutions cloud, aux concepteurs de réseaux, aux professionnels techniques, aux partenaires et aux consultants qui évaluent les solutions Microsoft Azure Virtual WAN et Citrix SD-WAN. Il est également destiné aux administrateurs réseau, aux administrateurs Citrix, aux fournisseurs de services gérés ou à toute personne souhaitant déployer ces solutions.

Aperçu

Ce document met en évidence les avantages offerts par Azure Virtual WAN, les avantages d’une solution conjointe Azure VWAN et Citrix SD-WAN, les cas d’utilisation qu’ils prennent en charge et les conseils de configuration correspondants.

D’une manière générale, le guide de déploiement explique comment :

  1. Établir la connectivité dans Azure Virtual

    • Connectivité Hub-to-Hub

    • Peering VNet-to-Hub

  2. Établir la connectivité entre SD-WAN et Azure VWAN.

    • Établir une communication interrégionale à l’aide du SD-WAN

    • Configurer HA sur SD-WAN attendu

Cas d’utilisation

Le présent document met l’accent sur trois cas d’utilisation conçus pour répondre aux exigences typiques d’une organisation.

Cas d’utilisation n° 1 : Connectez-vous en toute sécurité aux ressources déployées dans une seule région Azure à partir de succursales distribuées globalement.

Cas d’utilisation n° 2 : infrastructure locale se connectant de manière sécurisée aux ressources déployées dans différentes régions Azure.

Cas d’utilisation # 3 : emplacements de branche distribués globalement communiquant entre eux sur l’épine dorsale Azure.

WAN virtuel Azure : Présentation

Azure Virtual WAN (VWAN) est un service de mise en réseau de Microsoft qui fournit un réseau de transit mondial à grande vitesse et permet une connectivité sécurisée entre les succursales, les centres de données, les concentrateurs et les utilisateurs. Il prend en charge le VPN de site à site (Branch-to-Azure), le VPN utilisateur (Point-to-Site) et la connectivité ExpressRoute. Il automatise la connectivité Hub-to-VNet (entre le réseau virtuel VNet/Workload et le Hub). Les clients peuvent également utiliser le VWAN Azure pour connecter des succursales entre régions à l’aide de l’épine dorsale Azure privée.

VWAN Azure

Référence : Chemins de trafic WAN virtuel Azure

Mieux ensemble : Avantages d’une solution conjointe Azure VWAN et Citrix SD-WAN

Citrix SD-WAN fournit une solution périphérique WAN sécurisée et fiable qui réduit le coût, la complexité et le temps de connexion des succursales à Azure en automatisant les déploiements réseau. Il augmente les avantages d’Azure Virtual WAN en offrant un niveau élevé de redondance, d’automatisation, de surveillance et de contrôle à l’échelle mondiale, tout en vous permettant de tirer pleinement parti de l’épine dorsale mondiale haute vitesse de Microsoft.

  1. Avantage 1 : SD-WAN pour automatiser les déploiements réseau pour connecter des centaines de succursales à Azure Hub

    La configuration de tunnels VPN de site à site à partir de centaines d’emplacements locaux vers Azure peut prendre beaucoup de temps et sujette aux erreurs. L’intégration de Citrix SD-WAN avec Azure Virtual WAN peut accélérer ce processus par ordre de grandeur. Citrix SD-WAN Orchestrator fournit un volet unique de gestion du verre pour connecter des appliances Citrix SD-WAN locales à un WAN virtuel Azure en vertu de l’intégration d’API. Une autre architecture consiste à déployer un VPX Citrix SD-WAN sur Azure (au lieu d’utiliser Azure Hubs). Il s’agit d’une solution complète avec une appliance SD-WAN locale. Il peut apporter des avantages pour rendre le réseau plus résilient et améliorer l’expérience applicative pour les utilisateurs. Les avantages comprennent la liaison de liaison et l’équilibrage de charge, le basculement en sous-seconde grâce à la technologie d’équilibrage de charge par paquet leader du secteur, et la qualité de service bidirectionnelle de duplication sélective des paquets L’approche d’instance VPX SD-WAN peut être limitée à la bande passante (c’est-à-dire 2 Gbit/s maximum), auquel cas Azure La solution VWAN offre des capacités de débit plus élevées.

  2. Avantage 2 : SD-WAN pour réduire les coûts opérationnels du réseau étendu

    MPLS et ExpressRoute peuvent fournir un canal privé, haut débit et sécurisé pour se connecter au VWAN Azure. Cependant, ce sont généralement des solutions coûteuses, surtout lorsqu’il faut tenir compte de tous les sites de succursales qui nécessiteraient une connectivité à l’intranet privé. Le SD-WAN, en regroupant plusieurs types de connexion économiques (4G/LTE, DSL, Internet, etc.) peut contribuer à réduire les coûts opérationnels du réseau étendu, en plus d’offrir une meilleure résilience pour se connecter aux ressources Azure à partir de la succursale. Selon les exigences de sécurité d’une entreprise, le trafic provenant d’une succursale peut devoir être rétroacheminé vers le QG de l’entreprise pour garantir la conformité de la sécurité, forcer le circuit et entraîner une latence accrue. Le déploiement d’une appliance SD-WAN virtuelle Citrix sur Azure peut fournir une solution Internet locale en traitant les stratégies de sécurité créées avec le pare-feu L2-L7 intégré dans l’appliance Citrix SD-WAN. Cela limiterait la nécessité de réacheminer le trafic vers l’AC, ce qui réduirait les frais de données d’évacuation engagés sur les forfaits comptés et contribuerait également à préserver l’expérience utilisateur.

  3. Avantage 3 : SD-WAN pour améliorer la connectivité au dernier kilomètre

    À mesure que de plus en plus de charges de travail se déplacent vers le cloud, la connectivité au dernier kilomètre vers et depuis les bureaux distants devient d’autant plus importante. Il n’est peut-être pas toujours possible de fournir une connectivité MPLS ou ExpressRoute à des succursales distantes. Au-delà de raisons purement économiques, le provisionnement du réseau MPLS ou Express Route prend du temps et peut ne pas être réalisable à mettre en œuvre. Un déploiement SD-WAN sur une succursale distante peut aider à améliorer l’expérience de connectivité de dernier kilomètre vers Azure en regroupant plusieurs liens réseau (qui peuvent être configurés en tant que principal et secondaire) et en identifiant le POP Azure ou Microsoft le plus proche. En surveillant constamment le réseau, le SD-WAN peut automatiquement diriger le trafic d’une liaison à une autre en fonction de la qualité de liaison, offrant une expérience optimale aux utilisateurs distants.

  4. Avantage 4 : Une solution livrée pour offrir une résilience réseau et une expérience WAN optimisée

    Bien qu’il soit possible de connecter une succursale à Azure VWAN via IPsec natif, un seul tunnel IPsec peut être sujet à la perte de paquets et à la congestion des liaisons et ne peut pas atténuer les risques de pannes. Toute panne de réseau peut, dans certains cas, entraîner des pertes de productivité et de revenus de millions de dollars.

    L’adoption de l’approche alternative consistant à déployer un dispositif virtuel virtuel (NVA) Citrix SD-WAN VPX Network (NVA) sur Azure pour former une solution livret avec une appliance SD-WAN locale apporte de nombreux avantages. Ces avantages incluent la liaison et l’équilibrage de charge, le basculement en sous-seconde, la réplication sélective des paquets et la qualité de service bidirectionnelle, entre autres, pour rendre le réseau plus résilient et améliorer l’expérience applicative pour les utilisateurs.

  5. Avantage 5 : SD-WAN Orchestrator pour une meilleure visibilité

    L’orchestrateur Citrix SD-WAN fournit un volet unique pour gérer et suivre l’état et l’utilisation de votre réseau. Le clonage basé sur des modèles d’Orchestrator simplifie les déploiements à grande échelle de SD-WAN et d’extensions de réseau, contribuant ainsi à l’évolutivité des changements à toute une flotte de succursales et à gagner du temps. SD-WAN Orchestrator fournit également des rampes automatisées à Microsoft Azure via le provisionnement par pointer-cliquer d’instances VPX SD-WAN dans des réseaux virtuels nouveaux ou existants.

Topologie de référence

Les charges de travail Azure déployées dans une région spécifiée (ex : Azure VWAN East Hub) peuvent se connecter à plusieurs emplacements de succursales à l’aide d’appliances Citrix SD-WAN via Internet ou 4G/LTE. Dans une infrastructure de réseau virtuel (VNet), la machine virtuelle SD-WAN Standard Edition (SD-WAN VPX) est déployée en mode passerelle.

Topologie de référence

Pour atteindre les cas d’utilisation décrits ci-dessus, nous devons établir une connectivité/appariement entre les entités suivantes :

  1. VPX SDWAN et Azure VWAN Hub sur tunnels IPsec et appairage BGP

  2. Azure VWAN Hub et réseaux virtuels utilisant l’appairage local et mondial de VNet

  3. Appliances de succursales SD-WAN et SD-WAN VPX (sur Azure) à l’aide de chemins virtuels

Sur les trois, l’établissement de la connectivité entre l’appliance de branche SD-WAN et le SD-WAN VPX (3) via la technologie de chemin virtuel propriétaire de Citrix SD-WAN est ce qui apporte plusieurs fonctionnalités. Ces fonctionnalités incluent l’équilibrage de charge par paquet, la réplication sélective des paquets et la qualité de service bidirectionnelle et offrent les avantages de la solution commune. Le document ci-dessous vous explique les étapes nécessaires pour configurer Azure Virtual WAN et déployer un dispositif virtuel SD-WAN à côté.

Provisioning Azure et mise en réseau

Avant de déployer Azure Virtual WAN à partir d’Orchestrator, assurez-vous que les ressources liées à Azure Virtual WAN ont été provisionnées et que la conception du réseau a été finalisée. Cela simplifie la configuration du WAN virtuel Azure à partir de la console de gestion SD-WAN Orchestrator.

Il s’agit d’un organigramme de la façon dont vous pouvez créer des ressources liées à Azure Virtual WAN.

Résumé de Steps

Notez que bien que nous ayons suivi ce flux, vous pouvez créer des réseaux virtuels avant de créer des groupes de ressources. Voici un résumé des étapes entreprises lors de la construction de cette topologie. Chaque étape est traitée en détail dans les sections suivantes.

Résumé des étapes

  1. Créer des groupes de ressources
  2. Créer un réseau virtuel pour chaque région Est et Ouest (pour la topologie décrite ci-dessus)

    • La même chose serait applicable pour n’importe quel nombre de réseaux virtuels dans différentes régions, selon la topologie dans Azure
  3. Créer une ressource WAN virtuel Azure
  4. Créez des Hubs WAN virtuels Azure régissant les régions Est et Ouest (avec une connectivité Hub vers Hub inhérente au Hub au sein d’un WAN virtuel unique.
    • Créez un Hub dans la région Est.
    • Créez un Hub dans la région Ouest.
  5. Appairez les réseaux virtuels des régions de l’Est et de l’Ouest (créés à l’étape2) avec leurs centres respectifs.
    • Par exemple, un réseau virtuel dans la région Est sera homologue avec le Hub dans la région Est, de sorte qu’il obtienne une visibilité sur les sous-réseaux SD-WAN (qui se connectent à partir de local à SD-WAN VPX dans Azure qui se connecte éventuellement au Hub fournissant les sous-réseaux via BGP)

Créer des groupes de ressources

1. Créer un groupe de ressources dans la région Est

  • Créez un groupe de ressources pour la région. Dans cette architecture, nous l’avons nommé AzureVWANEastRescGrp.
  • Assurez-vous de sélectionner la région en tant que USA Est (pour les charges de travail de la région Est/VNET). Vous pouvez choisir de le provisionner dans n’importe quelle région selon votre topologie.
  • Vérifiez et créez le groupe de ressources.

    Créer un groupe de ressources dans East

2. Créer un groupe de ressources dans la région Ouest

  • Créez un groupe de ressources avec un nom. Dans cette architecture, nous avons utilisé AzureVWANWestRescGrp.
  • Veillez à sélectionner la région comme US West (pour les charges de travail de la région Ouest et VNET).
  • Vérifiez et créez le groupe de ressources.

    Créer un groupe de ressources dans West

Créer un réseau virtuel chacun dans les régions Est et Ouest (selon la topologie de référence)

Vous pouvez suivre ce lien pour créer des réseaux virtuels pour les régions.

Créer des ressources WAN virtuel Azure

  1. Recherchez Virtual WAN dans la barre de recherche Azure et cliquez sur WAN virtuels.

    Rechercher dans Azure VWAN

  2. Cliquez sur « +Ajouter » pour ajouter un nouveau réseau WAN virtuel

    Cliquez sur Ajouter

  3. Commencez à remplir les détails de base d’Azure Virtual WAN

    • Nous avons sélectionné le groupe East Resource créé au début du document, nommé AzureVWANEastRescGrp
    • Sélectionnez l’emplacement comme US Est (selon la topologie ci-dessus)
    • Fournissez un nom à la ressource WAN virtuel Azure en cours de création. Dans ce document, nous l’avons nommé EastUSVWANANDHub

    Remarque : Sélectionnez le SKU comme « STANDARD » pour garantir la capacité d’atteindre la communication entre les régions. Toutefois, si vous n’avez pas besoin de capacités de communication inter-hub, vous pouvez choisir le SKU « BASIC ».

    Créer un WAN

  4. Lorsque la validation est passée, cliquez sur Créer Validate

  5. Une fois la ressource créée, vous pouvez la trouver dans la section globale d’Azure Virtual WAN.

  6. Comme vous le voyez ci-dessous, nous voyons « EastUSvwanAndHub » répertorié avec le groupe de ressources comme AzuRevwanEastrescGRP et l’emplacement comme East US2.

    Confirmation

Remarque : alors que la ressource WAN virtuel Azure a été déployée dans le groupe de ressources Est de la région USA Est 2, vous pouvez choisir de le déployer dans presque n’importe quelle région/groupe de ressources par topologie de réseau.

Créer des concentrateurs Azure VWAN dans chaque région

1. Création d’Azure Virtual WAN Hub pour la région Est

Sélectionnez la ressource WAN virtuelle créée à l’étape précédente — « EastusvwanAndHub »

  • Dans la ressource Virtual WAN, vous trouverez « Hubs » sous la section Connectivité.

    Trouver des concentrateurs

  • Cliquez sur Hubs et vous pourrez maintenant ajouter un nouveau Hub

  • Cliquez sur « + Nouveau Hub » dans la section Hubs et il ouvrira un nouveau volet de configuration.

    Ajouter Hub

  • Entrez les détails de base

    • Sélectionnez la région dans laquelle vous souhaitez créer le Hub.
    • Dans ce cas, la région est US East 2 (Hub sera créé dans cette région)
    • Donnez un nom au hub. Dans ce cas, c’est « EastUSHub »
    • Fournir un espace d’adressage unique pour ce Hub qui ne se chevauche pas ou qui est redondant avec d’autres sous-réseaux de ce groupe de ressources

    Configurer Virtual Hub

    • L’étape la plus importante consiste à configurer la section « Site to Site ».
      • Sélectionnez « Oui » pour Souhaitez-vous créer un site à site.
      • L’ASN est automatiquement rempli et pour ce Hub il sera 65515.
      • Choisissez les unités d’échelle de passerelle selon vos besoins.
        • Dans ce cas, il est sélectionné comme 1 unité d’échelle — 500 Mbps x 2

      Note : Laissez toutes les autres sections comme par défaut

    • Cliquez sur « Réviser et créer » pour créer Azure Virtual WAN Hub dans la région Est.
    • Le processus de création du hub peut prendre jusqu’à 30 minutes.

    Configurer Virtual Hub

    • Une fois la ressource créée, dans la section Hub sous Virtual WAN, vous verrez une nouvelle entrée sous la carte géographique, avec le nom du Hub que nous avons créé.
      • Le statut du Hub indique « Réussi ».
      • L’espace d’adressage doit être tel que nous avons configuré.
      • Comme aucun site VPN n’est encore connecté, le nombre est « 0 ». Nous connecterons les sites VPN dans les étapes suivantes.

    Configurer Virtual Hub

    • Cliquez sur le lien EastusHub sous la carte géographique et vérifiez les attributs ci-dessous :
      • Statut du routage — Provisionné
      • Statut du Hub — Réussi
      • Emplacement — East US2
      • État du provisionnement de passerelle VPN — Réussite

    Vérifier l'état

2. Création d’Azure Virtual WAN Hub pour la région Ouest

  • À l’intérieur de la ressource Virtual WAN EastusvwanandHub (où nous avons initialement approvisionné notre Hub Est des États-Unis), vous trouverez « Hubs » sous la section Connectivité.

  • Cliquez sur Hubs pour ajouter un nouveau concentrateur.

    Ajouter un nouveau hub

  • Entrez les détails de base
    • Sélectionnez la région dans laquelle vous souhaitez créer le Hub.
    • Dans ce cas, la région est US West 2 (le hub sera créé dans cette région)
    • Donnez un nom au hub. Dans ce cas, il s’agit de « WesthuBus ». Fournissez un espace d’adressage unique pour ce Hub qui ne se chevauche pas ou qui est redondant avec d’autres sous-réseaux de ce groupe de ressources.

    Configurer Hub

  • L’étape la plus importante consiste à configurer la section « Site to Site ».
    • Sélectionnez « Oui » pour Souhaitez-vous créer un site à site (passerelle VPN)
    • L’ASN est automatiquement rempli et pour ce Hub il sera 65515
    • Choisissez les unités d’échelle de passerelle selon votre choix (définition du débit)
      • Ici, nous avons sélectionné 1 Scale Unit — 500 Mbps x 2.

    Remarque : Laissez toutes les autres sections par défaut.

    Configurer Hub

  • Cliquez sur « Réviser et créer » pour créer le Hub WAN virtuel dans la région Ouest.
  • La création du hub est un processus fastidieux et peut prendre environ 30 minutes pour terminer la création.

    Passer en revue et créer le hub

  • Une fois la ressource créée, vous pouvez vérifier l’état du hub WesthuBus en cliquant sur le lien WestusHub, sous la carte géographique. Il vous mènera dans la section des détails du Hub. Vous pouvez vérifier l’état des attributs comme suit :

    • Statut du routage — Provisionné
    • Statut du Hub — Réussi
    • Emplacement — West US2
    • État du provisionnement de passerelle VPN — Réussite

    Confirmation

VNet homologue vers le Hub

1. Appairage du réseau virtuel Est au hub Est

  • Dans la ressource WAN virtuel « EastUvwanAndHub », cliquez sur « Connexions réseau virtuel » et cliquez sur « +Ajouter une connexion ».

    Ajouter une connexion

Remplissez les détails de la connexion pour associer le vNet1 dans la région Est des États-Unis au Hub virtuel

  1. Nom de la connexion — Nom de la connexion au réseau virtuel — VNet1EastPeerHub
  2. Hubs — Nom du Hub à homologuer — EastUSHub
  3. Abonnement — Assurez-vous de sélectionner l’abonnement comme celui que vous avez utilisé pour créer le réseau étendu virtuel et les ressources du Hub virtuel
  4. Groupe de ressources — Sera le groupe de ressources de la région Est vNet que nous essayons d’associer avec le Hub
  5. Réseau virtuel — Le réseau virtuel associé au groupe de ressources de la région Est que nous allons associer
  6. Propager à Aucun — Définissez la valeur sur NO
  7. Associer la table d’itinéraires - Sélectionner par défaut
  8. Propager vers les tables de routage — Sélectionnez Default (EastUHub) qui est la table de routage par défaut pour les réseaux virtuels de ressources Est
  9. Laissez les autres par défaut
  10. Cliquez sur « Créer ».

    Configurer la connexion

  • Une fois créé, le réseau virtuel ressemblera à l’instantané suivant. Cela permet la propagation des préfixes East VNet vers l’EastusHub (Hub virtuel), et permet à EastusHub de propager les préfixes qu’il possède (via BGP) à la table de routage du réseau virtuel Est.

    Vérifier la connexion

2. Pairage du réseau virtuel Est au carrefour Ouest

  • Dans la ressource Virtual WAN EastusvwanAndHub, cliquez sur « Connexions réseau virtuel » et cliquez sur « +Ajouter une connexion ».
  1. Nom de la connexion — Nom de la connexion au réseau virtuel — WestHubVNet1Peer
  2. Hubs — Nom du Hub à homologuer — WestHubUS
  3. Abonnement — Assurez-vous de sélectionner l’abonnement comme celui que vous avez utilisé pour créer le réseau étendu virtuel et les ressources du Hub virtuel
  4. Groupe de ressources — Sera le groupe de ressources de la région Ouest vNet que nous essayons d’homologues avec le Hub
  5. Réseau virtuel — Le réseau virtuel associé au groupe de ressources de la région Ouest que nous homologues
  6. Propager à Aucun — Définissez la valeur sur NO
  7. Associer la table d’itinéraires - Sélectionner par défaut
  8. Propager vers les tables de routage — Sélectionnez par défaut (WesthuBus) qui est la table de routage par défaut pour les réseaux virtuels de ressources West
  9. Laissez les autres par défaut
  10. Cliquez sur « Créer ».

    Configurer la connexion

  • Une fois créée, la connexion réseau virtuelle ressemblera à l’instantané ci-dessous. Cela permet la propagation des préfixes West VNet vers le WestHubus (Hub virtuel) et permet au WesthuBus de propager les préfixes qu’il possède (via BGP) à la table de routage du réseau virtuel West.

    Vérifier la connexion

Prérequis pour SD-WAN Orchestrator

1. Provisionner des instances SD-WAN dans Azure

  • Provisionnez une appliance virtuelle SD-WAN sur Azure en tant que MCN principal (nœud de contrôle maître) et MCN secondaire/Geo sur les régions East-US2 et West-US2, respectivement.

    Le MCN principal et Secondary/Geo MCN servent un cas d’utilisation spécifique (selon notre topologie de référence). Cependant, le VPX SD-WAN peut également être déployé en mode branche.

    Le MCN agit en tant que contrôleur dans le réseau SD-WAN et ingère les API Azure pour établir une connectivité site à site avec les ressources Azure Virtual WAN. Le MCN agit comme le contrôleur principal pour la superposition SD-WAN. Le MCN Secondary/Geo fournit une redondance pour cette fonction de contrôleur en assumant le rôle du contrôleur, si et quand le MCN principal tombe en panne.

  • Pour provisionner Citrix SD-WAN VPX sur Azure, vous pouvez vous référer à ce document.

    REMARQUE : Lorsque vous parcourez le document ci-dessus, vous pouvez voir que 10.2 est mentionné, mais lors de la recherche sur le marché, vous trouverez « Citrix SD-WAN Standard Edition 10.2.5 » ou « Citrix SD-WAN Standard Edition 11.0.3 ». Vous pouvez choisir l’une de ces versions en fonction de la version du microprogramme du reste de votre réseau Citrix SD-WAN.

  • Après avoir configuré les VPX Citrix SD-WAN dans Azure, nous devons passer par le SD-WAN Orchestrator pour terminer la configuration.

    Remarque : Avant de démarrer la configuration dans SD-WAN Orchestrator, gardez les informations suivantes à portée de main.

2. Numéro de série de l’instance VPX SD-WAN dans Azure

  • Vous pouvez accéder à la console série dans Azure et entrer des informations d’identification d’administrateur dans l’interface de ligne de commande de l’instance, taper « system_info » et entrer la commande. Vous trouverez ici le numéro de série de l’appliance/instance.
  • Sinon, vous pouvez accéder à la machine virtuelle d’instance Azure, cliquez sur Mise en réseau, puis obtenir l’adresse IP publique de l’interface de gestion comme ci-dessous.

    Obtenir l'adresse IP publique pour l'interface de gestion

  • Après avoir obtenu l’adresse IP publique, vous pouvez accéder à l’appliance, y accéder dans n’importe quel navigateur (CHROME/FIREFOX/SAFARI) à l’aide https://<public_IP> et fournir les informations d’identification de l’administrateur pour vous connecter.
  • Le tableau de bord de l’appliance s’ouvre. Notez le numéro de série pour une utilisation future.

3. Obtenir les adresses IP de l’interface LAN et WAN des VPX à partir d’Azure

  • Obtenir les IP de l’interface LAN et WAN tout en provisionnant le MCN principal et les adresses IP MCN secondaire/Geo
  • Vous pouvez obtenir les mêmes informations à partir de la section « Mise en réseau » de chaque MCN principal Azure et Secondary/Geo MCN
  • Par exemple, l’adresse IP principale du réseau local MCN est 10.1.1.4 (selon l’instantané ci-dessous)
    • Effectuez la même chose pour le MCN secondaire/Geo et notez son IP LAN ainsi

    Obtenir le principal MCN LAN IP

  • L’IP WAN MCN principale est 10.1.2.4. Selon l’instantané ci-dessous

    • Effectuez la même chose pour le MCN secondaire/Geo et notez son IP WAN ainsi

    Obtenir le MCN WAN IP secondaire

4. Obtenir l’adresse IP PUBLIQUE de la liaison WAN du MCN principal et du MCN Secondary/Geo

  • Vous pouvez obtenir ces informations dans l’interface WAN de la machine virtuelle (MCN/Geo MCN) dans la section Mise en réseau.

  • Les contrôleurs tels que le MCN principal et le MCN Secondary/Geo DOIVENT être configurés avec l’adresse IP STATIQUE PUBLIC lors de la création de la liaison WAN de l’appliance, sur n’importe quelle infrastructure de gestion. Si toutefois, vous avez déployé le VPX en mode branche, l’adresse IP peut également être obtenue dynamiquement.

    Obtenir le MCN principal IP WAN public

  • À ce stade, nous avons les informations suivantes à portée de main.

    Flowchart

Étapes suivantes :

  • Configurez le SD-WAN Orchestrator avec toutes les informations ci-dessus pour MCN, Secondaire/Geo-MCN et succursales. Terminez la configuration sur l’appliance SD-WAN sur site à l’aide des pratiques de configuration standard d’Orchestrator en suivant cette procédure lien.

5. Créer un principal de service Azure

Créez un principal Azure Service dans l’abonnement pour activer une méthode programmatique de gestion des déploiements (Automation) à partir de SD-WAN Orchestrator. Microsoft Azure exige que chaque ressource qui doit être gérée par programme par un tiers, associe un rôle IAM et crée une inscription d’application pour tirer parti de l’automatisation externe des ressources.

Pour ce faire, suivez les étapes décrites ici. Pour plus de détails, vous pouvez vous référer à ce segment dans la section Annexe.

6. Remplissez les informations d’identification d’authentification Azure dans SD-WAN Orchestrator

  • Créez un Azure Principal dans l’abonnement pour activer une méthode programmatique de gestion des déploiements.
  • Notez l’ID CLIENT, le SECRET CLIENT et l’ID LOCAT/DIRECTORY d’Azure Principal, y compris les détails de votre abonnement Azure.
  • Sous Paramètres globaux, cliquez sur Configuration -> Delivery Services -> WAN virtuel Azure Cliquez sur l’icône Paramètres du service.
  • Cliquez sur le lien Authentification. Il apparaîtra les détails que vous avez prêts avec vous maintenant.
  • Entrez les détails soigneusement et enregistrez. Si SAVE réussit, vous verrez le WAN virtuel et les concentrateurs configurés dans votre abonnement à l’étape suivante. Si vous ne parvenez pas à voir, vérifiez deux fois les détails, effacez les détails d’authentification et réessayez.

    Informations d'identification d'authentification Azure

Créer un service WAN virtuel Azure sur SD-WAN Orchestrator

1. Prérequis

Si vous avez fait ce chemin, vous DEVEZ avoir créé le WAN virtuel Azure et le Hub virtuel à l’intérieur du WAN virtuel auquel vous souhaitez que les sites SD-WAN forment la connectivité avec. Il n’est PAS recommandé de se rendre à cette section, avant de remplir les conditions préalables.

2. Associer le site DCMCN à la ressource WAN virtuel et au concentrateur virtuel

  • Dans Configuration globale, cliquez sur Configuration -> Delivery Services -> cliquez sur l’icône Paramètres d’Azure Virtual WAN.

    Ajouter le site

  • Une fois le service sélectionné, vous accédez à la page Configuration automatisée du WAN virtuel.
  • Cliquez sur « + Site ».

    Vérification de création VWAN

  • Selon que l’authentification de l’abonnement Azure et d’autres détails principaux a réussi, vous verrez désormais le WAN virtuel Azure rempli avec TOUS les VWAN configurés dans le cadre de l’abonnement.

A. Ajouter un site, le configurer et le déployer pour l’intégration Virtual WAN**

Maintenant, pour cette architecture, le MCN sera associé à East REGION et se connectera au EastHubus.
  • Sélectionnez EastusvwanandHub qui est le WAN virtuel où nous avons créé les Hubs Est et Ouest.
  • Sélectionnez le EastusHub

    Nommer le site du DCMCN

  • Sélectionnez le site comme « DCMCN »
    • Les sites sont vus dans ce parce que les sites font déjà partie de la configuration, mis en scène et activés
  • Consultez et enregistrez les informations

    Examiner les sites

    • Une fois que vous avez enregistré, vous commencerez à voir le démarrage d’automatisation et le SD-WAN préparera le site en poussant les informations de configuration et en configurant à la fois le côté SD-WAN et le côté Azure pour la réussite de l’établissement du site VPN.

      • Pendant que la configuration prend effet, vous verrez la notification « Informations sur le site poussé — En attente de configuration VPN ».
      • Lorsque tout réussit, cela indique le succès du provisionnement du site.
      • À ce stade, la configuration Azure Virtual WAN est automatisée et complète. Ensuite, nous devons activer la même chose sur l’appliance pour lancer le tunnel IPSec.

    Examen de la configuration

    • Dans le cadre d’Azure Virtual WAN Automation, SD-WAN Orchestrator commence à utiliser les API Azure et prépare l’appliance SD-WAN in configuration focus (DCMCN) pour l’automatisation.

      • Dans cet aspect, lors de l’automatisation, nous le régissons sous deux aspects. Obtenir toutes les informations de l’appliance SD-WAN pour provisionner les points de terminaison IPsec et BGP sur Azure.
      • Parler avec Azure et obtenir les détails pour configurer les terminaux IPsec et BGP sur l’appliance SD-WAN.
      • L’appairage BGP est ensuite établi après la mise en place réussie du tunnel IPSec.
      • Cela permet l’échange de préfixes réseau appris par le DCMCN sur le chemin virtuel, y compris ses routes locales vers l’ EastusHub via BGP.

B. Détails du SD-WAN**

  • À partir des liens WAN disponibles, le script d’automatisation sélectionnera un point de terminaison homologue BGP local en tant qu’adresses IP locales
  • Pour que Tunnel forme l’interface WAN avec le point de terminaison IP public est choisi

C. Détails côté Azure**

  • Comme vous pouvez le voir dans l’instantané ci-dessous, le script automatisé a recueil les informations d’Azure pour EastusHub pour obtenir les détails suivants :
    • Région
    • Adresses IP publiques : point de terminaison de tunnel (Tunnel VPN actif/passif pour un seul concentrateur. Mais les deux tunnels seront établis. Le chemin de données sera traité via le tunnel principal et utilisera secondaire à la veille d’un basculement).
    • Points de terminaison privés GP obtenus à partir de la configuration EastusHub
    • BGP ASN — 65515
  • Le Hub utilise des paramètres IPsec/IKE standard obtenus à partir d’Azure afin que le point de terminaison local DCMCN puisse également être préparé avec des attributs similaires pour permettre la formation du tunnel IPSec après la négociation réussie.

    État de la configuration du tunnel VWAN Azure

3. Préparer la configuration automatisée du réseau WAN virtuel SD-WAN pour connecter MCN à Virtual WAN Hub

  • Après avoir terminé la configuration pour MCN et Secondary/Geo-MCN avec leurs concentrateurs respectifs, il est temps de les déployer automatiquement sur Azure Virtual WAN en un seul coup.

    Azure VWAN et état de configuration du site

  • Vous pouvez voir que les sites (post-ajout des hubs) sont dans l’état « Succès du provisionnement du site ».

    État du provisioning du site

4. Activez la configuration à partir de SD-WAN Orchestrator pour activer l’automatisation Azure Virtual WAN

  • Sélectionnez Configuration > Accueil Configuration réseau

    État du provisioning du site

  • Sélectionnez Déployer Config/Logiciel > Stage

    État du provisioning du site

  • Sélectionnez Activer

    État du provisioning du site

Vérifier l’état du service WAN virtuel

Remarque : Cliquez sur l’icône « info » sur le site WAN virtuel Azure pour obtenir des détails sur la configuration et l’état du tunnel WAN virtuel Azure.

Accédez à Tous les sites -> Configuration -> Delivery Services -> Azure Virtual WAN - Cliquez sur « I » (icône d’information) de n’importe quel site activé.

  • Vérifiez que le TUNNEL IPsec est en marche et s’exécute sur MCN (EastusHub)
    • Nous pouvons voir qu’il existe deux instances Azure Virtual WAN provisionnées. La deuxième instance fonctionne comme Active-en veille en cas de basculement.
    • L’automatisation du WAN virtuel Azure prend en charge l’activation du tunnel IPSec avec les deux instances par défaut, de sorte qu’aucune intervention manuelle n’est nécessaire.
    • Notez également que, bien que les deux tunnels soient opérationnels, il n’y a toujours qu’UN seul tunnel actif traitant les connexions et les paquets sur le chemin de données.

    Vérifier le tunnel sur MCN

  • Vérifiez que le TUNNEL IPsec est opérationnel et s’exécute sur le MCN secondaire (WesthuBus)

    Vérifier le tunnel sur le MCN secondaire

Vérifier les tunnels IPSec entre SD-WAN et Hub post-déploiement automatisé

1. Vérifier la création du site VPN dans EastusHub

Dans cette étape, nous vérifions qu'un NOUVEAU site VPN est créé dans EastusHub. Ce site servira de site DCMCN (Terminé via SD-WAN Azure Virtual WAN WAN Automation).
  • Notez que nous voyons le tableau de section « Sites VPN » sous la carte géographique indiquant que le EastusHub a 1 sites VPN connectés qui est notre appareil MCN.

    Aperçu du Hub Est des États-Unis

  • Cliquez sur le lien EastusHub. Cela nous amènera à l’exploration du Hub pour la Geo Est.
  • Cliquez sur « Vue d’ensemble » pour voir le nombre de sites connectés au VPN. Nous voyons 1 site connecté (avec notre MCN).

    Statistiques Hub des États-Unis de l'Est

  • Cliquez sur VPN (Site to Site) et vérifiez que l’état de la connexion est « Succès » et « Connecté » à DCMCN (MCN SD-WAN)

    État deconnectivité

2. Vérifier la création d’un site VPN dans WesthuBus

Dans cette étape, nous vérifions qu'un nouveau site VPN est créé dans WesthuBus. Ce site servira de site DCGEOMCN (effectué via SD-WAN Azure Virtual WAN Automation)
  • Notez que nous voyons la table de section « sites VPN » sous la carte géographique indiquant que le WesthuBus a 1 sites VPN connectés qui est notre appareil Geo-MCN « DCGEOMCN ».

    Aperçu du Hub Ouest des États-Unis

  • Cliquez sur le lien WesthuBus qui nous mènera à l’exploration vers le bas du Hub pour la West Geo

  • Dans ce, nous pouvons voir que ‘Overview’ indique le nombre de sites connectés VPN qui est 1 actuellement (avec notre MCN)

    Statistiques du Hub Ouest des États-Unis

  • Cliquez sur VPN (Site to Site) et vérifiez que l’état de la connexion est « Succès » et « Connecté » au MCN secondaire (SD-WAN Geo MCN).

    État deconnectivité

ROUTAGE MCN SD-WAN vers EastUSHub

  • Type de saut suivant : Plus important encore, le type de saut suivant indique comment les routes ont été apprises et installées dans la table de routage

  • Si le type de saut suivant est : vPN_S2s_Gateway
    • Toutes les routes reçues via VPN_S2S_Gateway sont celles qui ont l’intégration IPsec+BGP avec SD-WAN, où l’automatisation Azure a été déployée.
    • Vérifiez la table de routage EastusHub et vérifiez si les routes apprises SD-WAN propagées par BGP à partir du MCN sont appropriées.
    • Dans le routage EastusHub, les routes principales sont installées via le MCN via le numéro AS du SD-WAN configuré comme 42472 (pris en charge automatiquement lors de l’automatisation)
  • Si le type de saut suivant est : Connexion réseau virtuel
    • Ce serait toutes les routes installées car elles sont via l’appairage East VNet entre EastusHub et East VNet.
  • Si le type de saut suivant est : Remote Hub
    • Il s’agit de toutes les routes propagées par le hub WesthuBus (qui a été créé sous la même instance Azure Virtual WAN).
    • Nous pouvons également voir que les routes de type Remote Hub ont l’origine et le chemin AS ajoutés de manière appropriée pour éviter les boucles de routage.
    • Ce tableau contient tous les réseaux virtuels distincts (pairs à la région Ouest avec le Hub Ouest) qui sont propagés à partir de l’EastUHub via le hub WesthuBus.

    Routage EastusHub

ROUTAGE SD-WAN GEOMCN vers WestHubUS

Vérifiez la table de routage WestHubUS et vérifiez si BGP a propagé les routes apprises SD-WAN depuis le MCN secondaire.

  • Type de saut suivant : Plus important encore, le type de saut suivant indique comment les routes ont été apprises et installées dans la table de routage.

  • Si le type de saut suivant est : vPN_S2s_Gateway
    • Toutes les routes reçues via VPN_S2S_Gateway sont celles qui ont l’intégration IPsec+BGP avec le SD-WAN où l’automatisation Azure a été déployée.
    • Vérifiez la table de routage WesthuBus et vérifiez si les routes apprises SD-WAN propagées par BGP à partir du MCN secondaire sont appropriées.
    • Dans le routage WesthuBus, les routes principales sont installées via le MCN via le numéro AS du SD-WAN configuré comme 22338 (pris en charge automatiquement lors de l’automatisation).
  • Si le type de saut suivant est : Connexion réseau virtuel
    • Il s’agit de toutes les routes installées car elles sont via l’appairage West VNet entre le WesthuBus et le West VNet.
  • Si le type de saut suivant est : Remote Hub
    • Cela contiendrait toutes les routes propagées par le hub WesthuBus (qui a été créé sous la même instance Azure Virtual WAN).
    • Nous pouvons également voir que les routes de type Remote Hub ont l’origine et le chemin AS ajoutés de manière appropriée pour éviter les boucles de routage.
    • Ce tableau contient tous les réseaux virtuels distincts (pairs à la région Est avec le Hub Est) qui sont propagés à partir du WesthuBus via le hub EastUHub.

    Routage WesthuBus

Vérifier la propagation de l’itinéraire depuis East VNet vers EasttusHub

Dans cette étape, nous vérifions que les routes sont propagées depuis East VNet vers le Hub East VWAN — EastusHub à l’aide de l’appairage Global VNet.

  • Vérifiez que EastusHub a fourni la visibilité des préfixes appris MCN depuis sa table de routage par défaut vers le réseau virtuel qui lui est apairé dans la région Est US2
  • Vérifiez la table de routage d’EastS2 VNet et vérifiez que le routage est en tact
  • Les réseaux virtuels sont l’origine réelle et la destination des charges de travail dans Azure et il est impératif que nous comprenions que les réseaux virtuels ont convergé pour contenir le flux de routage correct et les informations nécessaires pour atteindre les sous-réseaux ou préfixes du SD-WAN à distance
  • La majorité des routes sur les réseaux virtuels eux-mêmes seront directement routées via la passerelle réseau virtuelle, qui est le Hub auquel ils sont connectés
  • Dans ce cas, EastusHub est l’origine de toutes les routes dans la table de routage du réseau virtuel Est
  • appairage de vNet Le type de saut suivant serait le préfixe réel du préfixe WAN virtuel Azure qui a été créé de l’appairage VNet avec.
  • Réseau virtuel sera l’adresse locale du réseau virtuel lui-même

    Vérifier la propagation de la route EastHub

    Vérifier la propagation de la route EastHub

Vérifier la propagation de l’itinéraire depuis West VNet vers WesthuBus

Dans cette étape, nous vérifions que les routes sont propagées de West VNet vers le Hub West VWAN — WesthuBus utilisant l’appairage Global VNet

  • Vérifiez que WesthuBus a fourni la visibilité des préfixes appris GEOMCN depuis sa table de routage par défaut vers le réseau virtuel qui lui est apairé dans la région West US2
  • Vérifiez la table de routage du vNet Westus2 et vérifiez que le routage est en tact
  • Les réseaux virtuels sont l’origine réelle et la destination des charges de travail dans Azure et il est impératif que nous comprenions que les réseaux virtuels ont convergé pour contenir le flux de routage correct et les informations nécessaires pour atteindre les sous-réseaux ou préfixes du SD-WAN à distance
  • La majorité des routes sur les réseaux virtuels eux-mêmes seront directement routées via la passerelle réseau virtuelle, qui est le Hub auquel ils sont connectés
  • Dans ce cas, le WesthHuBus est l’origine de toutes les routes de la table de routage du réseau virtuel Ouest
  • appairage de vNet Le type de saut suivant serait le préfixe réel du préfixe Azure Virtual WAN qui a été créé de l’appairage VNet avec
  • Réseau virtuel sera l’adresse locale du réseau virtuel lui-même

    Vérifier la propagation de la route WesthHub

    Vérifier la propagation de la route WesthHub

Appel à l’action

Dans le cas où vous n’avez pas encore essayé Azure Virtual WAN, rendez-vous sur portal.azure.com. Si vous souhaitez profiter directement des avantages d’une solution SD-WAN, n’hésitez pas à demander un essai gratuit ici.

Annexe

Créer un principal de service Azure

1. Enregistrer la demande

Créez un principal Azure Service dans l’abonnement pour activer la manière programmatique de gérer les déploiements (Automation) à partir de SD-WAN Orchestrator. Microsoft Azure exige que chaque ressource qui doit être gérée par programme par un tiers associe un rôle IAM et crée une inscription d’application afin de tirer parti de l’automatisation externe des ressources.

Enregistrement de l'application

Enregistrer l'application

Ajouter un secret client

Remarque : Une fois que vous avez créé le secret client pour l’application, notez le ou copiez-le immédiatement à un endroit où vous pourrez vous référer ultérieurement.

2. Notez les détails Azure Service Principal

  • Notez l’ID CLIENT, le SECRET CLIENT et l’ID LOCAT/DIRECTORY, y compris les détails de votre abonnement Azure.
  • Vous obtiendrez l’ID CLIENT, CLIENT SECRET et ID DE LOCATAIRE à partir de l’application (Azure Service principal) que vous avez créée
  • ID d’abonnement : vous pouvez l’obtenir à partir de votre section « Abonnements » dans Azure pour le compte
  • ID client — Également appelé ID d’application que vous pouvez obtenir dans la section Aperçu de votre application nouvellement enregistrée ci-dessous.
  • ID de répertoire — Également appelé ID de locataire que vous pouvez obtenir à partir de la section Aperçu de votre application nouvellement enregistrée ci-dessous

Copier les détails Azure Principal

  • Client Secret : notez ou copiez le secret client dès que vous le créez. Cette étape est très importante pour authentifier le compte d’abonnement et vérifier que l’application créée est éligible pour gérer la programmabilité de la ressource sur laquelle vous souhaitez activer l’automatisation (dans Azure).

Copier les détails Azure Principal

3. Associer Azure Service Principal à la ressource

  • Accédez à la ressource WAN virtuelle « EastusvwanAndHub »
  • Accéder à Contrôle d’accès (IAM)
  • Cliquez sur le bouton « Ajouter » de la section Ajouter une attribution de rôle surlignée ci-dessous
  • Vous pouvez également cliquer sur la section Affectations de rôle, puis cliquer sur « + Ajouter » (à côté de Télécharger les affectations de rôle) pour ajouter le rôle IAM au principal de service.

Copier les détails Azure Principal

  • Une fois que vous cliquez sur « Ajouter », vous obtiendrez un volet contextuel sur la droite, pour ajouter le rôle
    • Choisissez le type ROLE comme « Contributeur »
    • Laisser Affecter l’accès par défaut (utilisateur, groupe ou principal de service Azure AD)
    • Dans la section Sélectionner, vous pouvez rechercher l’application que vous avez créée, appelée « orchestrateur ». (Ceci est juste une chaîne et nous pouvons personnaliser ce nom. Aucune confusion ne doit exister en utilisant une chaîne appelée « orchestrator » en tant que principal Azure lors de l’automatisation du provisioning via Orchestrator).
      • Une fois la recherche réussie, vous pouvez sélectionner l’application.
    • Sélectionnez le bouton « Enregistrer ». (Ceci conclut la création Azure Service Principal et l’association à la ressource)

Copier les détails Azure Principal

Plan de construction Citrix SD-WAN +Azure Virtual WAN : Guide de déploiement

Dans cet article