Citrix SD-WAN 平台

在 AWS 上安装 SD-WAN VPX 标准版 AMI

Citrix SD-WAN SE 设备将单个虚拟路径中的多个网络路径绑定起来。对虚拟路径进行监视,以便始终通过最佳路径路由关键应用程序路径。此解决方案使客户能够在云中部署应用程序,并利用多个服务提供商网络向最终用户无缝交付应用程序。

要在 Amazon Web Services (AWS) 上创建 SD-WAN SE-VPX,您需要执行与创建任何其他实例相同的过程,将一些实例参数设置为非默认设置。

在 AWS 上实例化 SD-WAN 虚拟设备 (AMI):

要在 AWS VPC 中安装 SD-WAN 虚拟设备,您需要一个 AWS 账户。您可以在创建 AWS 账户 http://aws.amazon.com/。SD-WAN 在 AWS Marketplace 中以 Amazon 计算机映像 (AMI) 的形式提供。

注意:Amazon 会频繁更改其 AWS 页面,因此以下说明可能不是最新的。

要在 AWS 上实例化 SD-WAN 虚拟设备 (AMI),请执行以下操作:

  1. 在 Web 浏览器中,键入 http://aws.amazon.com/
  2. 单击My Account/控制台”,然后单击My Account以打开Amazon Web Services 登录页面。
  3. 使用您的亚马逊 AWS 账户证书登录。这将带您进入 Amazon Web Services 页面。

Citrix SD-WAN SE 设备提供以下 AWS 服务实例:

  • VPC 控制面板-由 AWS 对象(如 EC2 实例)填充的 AWS 云的隔离部分
    • 通过在 AWS 中创建 VPC 启用。请参阅以下配置步骤。
  • EC2 仪表板-弹性计算云,可调整大小的虚拟服务/实例
    • 通过创建 NetScaler SD-WAN AMI 启用。有关配置步骤,请参阅下文。
    • CIDR — 无类域间路由块,由连续 IP 地址范围组成,用于指定 VPC(不能大于 16 个区域)。

SD-WAN 网络界面

  • 配置 Citrix(以前为 NetScaler SD-WAN)SD-WAN AMI

以下是在 AWS 中部署 SD-WAN SE-VPX AMI 的要求和限制:

最低要求

  • AWS EC2 实例类型: c3.2xlarge
  • 虚拟处理器:8
  • 内存:15 GB
  • 存储空间:160 GB
  • 网络接口:最少 2 个(一个管理,一个用于局域网/广域网)
  • BYOL — 提供您自己的许可证和订阅

限制

  • AWS 不允许接口桥接,因此无法配置接口组。

Citrix(以前的 NetScaler SD-WAN)使用 AWS 的 SD-WAN

本地化后的图片

使用指定的可用区部署 AWS 区域。在该虚拟私有云 (VPC) 基础结构中,将 SD-WAN Standard Edition AMI (Amazon Machine Image) 部署为 VPC 网关。

  • 私有 VPC 具有通往 VPC 网关的路由。
  • SD-WAN 实例具有一条通往 AWS VGW(VPN 网关)的路由以进行直接连接,还有另一条通往 IGW(Internet 网关)的路由以进行Internet 连接。
  • 数据中心、分支机构和云之间的连接,应用不同的传输模式,同时利用多个 WAN 路径。
  • 使用 OSPF 和 BGP 进行自动路由学习。
  • 跨多个路径的单个 IPsec 通道,在任何链路故障发生时都不需要安全重新协商。

本地化后的图片

在 AWS 中,必须为每个 SD-WAN AMI 接口定义子网和 IP 地址。使用的接口数量取决于部署用例。如果目标是可靠地访问 VPX LAN 端(同一区域内)的应用程序资源,VPX 可以配置三个以太网接口:一个用于 eth0 上的管理,一个用于 eth1 上的 LAN,另一个用于 eth2 上的 WAN。

或者,如果目标是通过 VPX 发送到其他区域或公共互联网的流量,VPX 可以配置两个以太网接口;一个用于 eth0 上的管理,另一个用于 eth1 上的 LAN/WAN。

AWS 中的 SD-WAN SE AMI 概述

  1. 使用 VPC 控制面板在 AWS 中创建 VPC

要开始使用 Amazon 虚拟私有云,您需要创建 VPC,这是专用于您的 AWS 账户的虚拟网络。

  • 定义 CIDR 块/子网并分配给 VPC-用于识别网络中的设备。例如,在包含 WAN、LAN 和管理子网 - 192.168.100.0 - 192.168.103.255 - 192.168.100.0/22 的示例网络图中为 VPC 选择 192.168.100.0/22
  • 为 VPC 定义 Internet 网关 — 用于与云环境外部通信
  • 为每个定义子网定义路由-用于子网和 Internet 之间的通信
  • 定义网络 ACL(访问控制列表)-为了安全起见,控制来自/流入子网的流量
  • 定义安全组-用于控制从/到网络设备的每个实例的流入/流出

创建一个 NetScaler SD-WAN AMI:

  • 定义 EC2 实例的网络接口
  • 为 EC2 实例创建弹性 IP 地址
  • 定义 EC2 实例和网络接口的安全性

连接到 SD-WAN Web 界面:

  • 许可证
  • 使用本地更改管理安装识别

在 AWS-虚拟私有云 (VPC) 中创建 VPC

要创建 VPC:

  1. 从 AWS 管理控制台工具栏中,选择 服务 > VPC (网络和内容交付)。

    本地化后的图片

  2. 选择您的 VPC,然后单击 创建 VPC 按钮。

    本地化后的图片

  3. 根据您的网络图和租赁 = 默认值添加 名称 标记,CIDR 块,然后单击 是,创建

    本地化后的图片

为 VPC 定义互联网 Gateway

要为 VPC 定义互联网 Gateway,请执行以下操作:

  1. 在 AWS 管理控制台中,选择 Internet 网关 > 创建 Internet 网关。可以在路由表中配置与 0.0.0.0/0 路由匹配的 Internet 网关流量。对 SD-WAN AMI Web 界面的外部访问也需要此功能,以便进一步配置。

    本地化后的图片

  2. 为 IGW 指定一个名称标记,然后单击 是,创建

    本地化后的图片

  3. 选择新创建的 IGW,然后单击附加到 VPC

    本地化后的图片

  4. 选择之前创建的 VPC,然后单击 是,附加

    本地化后的图片

为 VPC 定义子网以区分管理、LAN 和 WAN

要为 VPC 定义子网,请执行以下操作:

  1. 在 AWS 管理控制台中,选择子网>创建子网以创建管理、LAN 和 WAN 子网。使用定义的子网区分 SD-WAN 配置中定义的 LAN、WAN 和管理子网。

    本地化后的图片

  2. 输入 VPX 管理子网的特定详细信息,然后使用是,创建” 按钮创建 该子网。
    • 名称标记:用于标识不同子网(管理、LAN 或 WAN)的名称
    • VPC:<the VPC previously created>
    • 可用区:<set at discretion>
    • CIDR 块:特定于已定义的名称(管理、LAN 或 WAN)的子网,该子网是先前定义的 CIDR 的较小子集

    本地化后的图片

  3. 重复此过程,直到为管理网络、LAN 和 WAN 网络创建子网为止。

    本地化后的图片

定义管理子网的路由表

要定义路由表:

  1. 在 AWS 管理控制台中,选择 路由表> 创 建路由表以创建管理、LAN 和 WAN 子网的路由表。

    本地化后的图片

  2. 输入管理子网的详细信息
    • 名称标记:用于标识不同子网(管理、LAN 或 WAN)的名称
    • VPC:先前创建的 VPC

    本地化后的图片

  3. 如果新创建的路由表仍然突出显示,请选择子网关联>编辑

    本地化后的图片

  4. 建立与所需子网的关联,然后单击保存

    本地化后的图片

  5. 如果新创建的路由表仍然突出显示,请选择路由>编辑

    本地化后的图片

  6. 单击 添加 其他路由按钮(仅管理和 WAN 子网需要),然后单击 保存

    • 目的地:0.0.0.0/0
    • 目标:Internet 网关(以前定义的 igw-xxxxxxx)

    本地化后的图片

注意

AWS 在 EC2 实例中提供了全局路由表,但 NetScaler SD-WAN AMI 将使用本地路由表,以便用户可以控制向虚拟路径的流量转发。

定义 WAN 子网的路由表

要定义路由表:

  1. 在 AWS 管理控制台中,选择 路由表> 创 建路由表以创建管理、LAN 和 WAN 子网的路由表。

    本地化后的图片

  2. 输入 WAN 子网的详细信息:

    • 名称标记:用于标识不同子网(管理、LAN 或 WAN)的名称
    • VPC:先前创建的 VPC
  3. 如果新创建的路由表仍然突出显示,请选择子网关联>编辑

    本地化后的图片

  4. 建立与所需子网的关联,然后单击保存
  5. 如果新创建的路由表仍然突出显示,请选择路由>编辑
  6. 单击 添加 其他路由按钮(仅管理和 WAN 子网需要),然后单击 保存

    • 目的地:0.0.0.0/0
    • 目标:<The Internet Gateway>(先前定义的 IGW-XXX)

    本地化后的图片

定义 LAN 子网的路由表

要定义 LAN 子网的路由表,请执行以下操作:

  1. 在 AWS 管理控制台中,选择 路由表> 创 建路由表以创建管理、LAN 和 WAN 子网的路由表。

    本地化后的图片

  2. 输入 LAN 子网的详细信息:

    • 名称标记:用于标识不同子网(管理、LAN 或 WAN)的名称
    • VPC:先前创建的 VPC
  3. 如果新创建的路由表仍然突出显示,请选择子网关联>编辑
  4. 建立与所需子网的关联,然后单击保存

    本地化后的图片

注意

要通过 SD-WAN 路由局域网端流量,请将目标目的地关联为 SD-WAN 局域网路由表中的 SD-WAN 接口 ID。只有在创建实例并将网络接口附加到该实例后,才能将任何目标的目标设置为接口 ID。

创建 SD-WAN SE AMI

要创建 EC2 实例,请执行以下操作:

  1. 从 AWS 管理控制台工具栏中,选择 服务 > EC2(计算)

    本地化后的图片

  2. 选择 EC2 仪表板工具栏,选择实 > 启动实例

    本地化后的图片

  3. 使用 AWS 市场 选项卡搜索 SD-WAN 亚马逊系统映像 (AMI),或使用我的 AM I” 选项卡查找拥有或共享的 SD-WAN AMI,找到 Citrix NetScaler SD-WAN 标准版 ,然后单击选择

    本地化后的图片

  4. 使用继续” 确认选择。
  5. 选择实例类型屏幕上,选择准备过程中确定的 EC2 实例类型 ,然后选择下一步:配置实例详细信息

    本地化后的图片

  6. 输入实例详细信息(未指定的任何内容都应保持未设置/默认状态):
    • 实例数:1
    • 网络:选择之前创建的 VPC >
    • 子网:选择以前定义的管理子网
    • 自动分配公有 IP:已启用
    • 网络接口 > 主 IP:输入预定义的管理 IP

    本地化后的图片

  7. 单击 下一步:添加存储空间

    本地化后的图片

    注意

    将 EC2 实例与管理子网关联,以将第一个 EC2 接口 (eth0) 与 SD-WAN 管理接口相关联。如果 eth0 与 SD-WAN 管理接口没有关联,则重新启动后连接将丢失。1。

  8. 输入根存储的以下信息:
    • 卷类型:通用型 (固态硬盘) GP2
  9. 然后选择 下一步:标记实例

    本地化后的图片

  10. 通过为默认名称标签指定值为 EC2 实例指定一个 名称 。(可选)创建其他所需的标签。

    本地化后的图片

  11. 然后选择下一步:配置安全组
  12. 选择现有 安全组 或创建安全组:
    • 生成的默认安全组包括 HTTP、HTTPS、SSH,然 后单击 添加规则 按钮再添加两个:
    • 所有带来源的 ICMP:自定义 0.0.0.0/0
    • 端口范围:4980 和源:自定义 UDP 规则 <known IP addresses from partner SD-WAN>
  13. 选择查看启动

    本地化后的图片

  14. 完成审阅后,选择 启动
  15. 密钥 对弹出窗口中,选择现有密钥对或创建新密钥对,然后选择 启动实例

    本地化后的图片

    重要

    如果创建了新的密钥对,请确保将其下载并存储在安全位置。

  16. 现在应该成功启动 NetScaler SD-WAN SE AMI。

    本地化后的图片

    注意

    安全组是一组防火墙规则,用于控制 EC2 实例的流量。可以在 EC2 启动期间和之后编辑入站和出站规则。每个 EC2 实例都必须分配一个安全组。此外,每个网络接口都必须分配一个安全组。可以使用多个安全组将不同的规则集应用于各个接口。AWS 添加的默认安全组仅允许 VPC 内的流量。

    分配给 NetScaler SD-WAN AMI 及其接口的安全组必须接受 SSH、ICMP、HTTP 和 HTTPS。分配给 WAN 接口的安全组还必须接受端口 4980 上的 UDP(用于支持虚拟路径)。有关安全组配置信息的更多详细信息,请参阅 AWS 帮助。 重要

    如果从新帐户置备,请等待两个小时,然后重试

  17. 导航回您的 AWS 控制台:EC2 控制面板

  18. 从工具栏中的网络和安全选择网络接口” 下,突出显示管理界面和 “编辑名称” 标记,以便为接口提供有用的名称。
  19. 然后单击 创建网络接 口以创建 LAN 接口:
    • 描述: <a user-defined description for the interface>
    • 子网:<the subnet previously defined for the interface>
    • 私有 IP:<the private IP for the interface previously defined during preparation>
    • 安全组:<the appropriate security group for the interface>

    本地化后的图片

  20. 重复并单击 创建网络接口 以创建 WAN 接口。

    本地化后的图片

  21. 编辑每个新接口的 Name 标记,并给出一个有用的名称。

    本地化后的图片

    本地化后的图片

  22. 突出显示 管理 界面 ,然后选择 操作 > 更改源/目标。选中以禁用 源/最低值。选中,然后选择保存

    本地化后的图片

  23. 对局域网和广域网接口重复此操作。

    本地化后的图片

  24. 此时,所有网络接口( 管理LANWAN )都配置了 名称主专用 IP,并且禁用了 源/源。检查 属性。只有管理。网络接口具有与之关联的公共 IP。

    本地化后的图片

    重要

    禁用源代码/最低代码。检查属性使接口能够处理未发往 EC2 实例的网络流量。由于 NetScaler SD-WAN AMI 充当网络流量的中间点,源/最低点。必须禁用检查属性才能正常操作。

    为这些网络接口定义的专用 IP 最终必须与 SD-WAN 配置中的 IP 地址匹配。如果 WAN 网络接口与此站点节点的 SD-WAN 配置中的多个 WAN 链路 IP 关联,则可能需要为该接口定义多个专用 IP。这可以通过根据需要为 WAN 接口定义辅助专用 IP 来实现。

  25. EC2 仪表板 工具栏中,选择 实例

    本地化后的图片

  26. 突出显示新创建的实例,然后选择操作> “网 连接” >连接网络接口

    本地化后的图片

  27. 首先连接 LAN 网络接口,然后连接 WAN 网络接口到 SD-WAN SE AMI。

    本地化后的图片

    注意

    按该顺序连接 Mgmt、LAN 和 WAN 可连接到 SD-WAN AMI 中的 eth0、eth1、eth2。这与预配置 AMI 的映射对齐,并确保在 AMI 重新启动时不会错误地重新分配接口。

  28. EC2 仪表板 工具栏中,选择 弹性 IP (EIP),然后单击 分配新地址

    本地化后的图片

  29. 单击分配以分配新的 IP 地址,然后单击 “新地址” 请求成功后 关闭
  30. 突出显示新的 EIP,然后选择 操作 > 关 联地址 以将 EIP 与管理关联。界面,然后单击 关联
    • 资源类型:<network interface>
    • 网络接口:< 先前创建的管理。网络接口 >
    • 私有 IP:<previously defined private IP for Mgmt>

    本地化后的图片

  31. 重复此过程,将另一个新的 EIP 与 WAN 接口相关联。

    本地化后的图片

配置 SD-WAN SE AMI-SD-WAN Web 管理界面

要配置 SD-WAN SE AMI,请执行以下操作:

  1. 此时,您应该能够使用 Web 浏览器连接到 SD-WAN SE AMI 的管理界面。
  2. 输入与管理关联的 弹性 IP (EIP) 。接口。如果无法识别安全证书,则可以创建安全例外。
  3. 使用以下凭据登录 SD-WAN SE AMI:

    • 用户名:admin
    • 密码:<AWS 实例 ID>(示例:i-00ab111abc2222abcd)

    本地化后的图片

    注意

    如果管理。无法访问接口,请检查以下内容:

    • 确保 EIP 与 Mgmt. 接口正确关联
    • 确保弹性 IP 响应 ping
    • Makes sure the Mgmt. interface Route Table includes an Internet Gateway route (0.0.0.0/0)
    • 确保管理界面安全组配置为允许 HTTP/HTTPS/ICMP/SSH

    自 9.1 版 SD-WAN AMI 起,用户还可以使用以下凭据登录到 SD-WAN AMI 控制台:*ssh admin@*,假设 EC2 实例的密钥对已添加到用户的 SSH 密钥链中。

  4. 对于 SD -WAN SE 自带许可证 (BYOL) AMI,必须安装软件许可证:
    • 在 SD-WAN Web 界面上,导航至 “配置” >装 置 设 置” >许可
    • 许可证配置中: 上传此设备的许可证选择选择文件,浏览并打开 SD-WAN SE AWS 许可证,然后单击 上传并安装
    • 成功上传后,许可状态将显示状态:已许可

    本地化后的图片

  5. 为新 AMI 设置相应的 数据/时间
    • 在 SD-WAN Web 界面上,导航至 配置 > 系统维护 > 日期/时间设置
    • 使用 NTP、日期 /时间设置或时区设置正确的日期和时

    本地化后的图片

    注意

    SD-WAN SE AMI 虚拟广域网服务将保持禁用状态,直到 AMI 上安装了装置包(软件 + 配置)。

将 SD-WAN SE AMI 添加到您的 SD-WAN 环境中

要将 SD-WAN AMI 添加到 SD-WAN 环境中,请执行以下操作:

  1. 导航到 SD-WAN 环境的 SD-WAN 中心主控制节点
  2. 使用 配置编辑器 添加 新站点节点:
    • 添加站点:型号 VPX, 模式:客户端
    • 接口组:安全局域网 = eth1,安全局域网 = eth2(不受信任)
    • 虚拟 IP 地址:192.168.100.5 = awsLAN,192.168.101.5 = 正在配置 awsLAN 虚拟 IP 地址的 awsWAN,SD-WAN 会向 SD-WAN 环境公告将 LAN 子网 192.168.100.5/24 作为本地路由(请参阅连接 > <AWS 节点> 路由)。 广域网链路:
    • 带访问类型公共 Internet 的 AWSBR-WAN,如果客户端节点,则自动检测公有 IP,或者配置 WAN 链接的 EIC(如果 MCN 节点),访问接口:AWSwan 192.168.101.5,带网 Gateway 192.168.101.1(#.#.1 通常是 AWS 预留网关)。

    本地化后的图片

    本地化后的图片

  3. 在配置编辑器中验证 连接 > DC > 虚拟路径 > DC-AWS > 路径 下的 路径关联。

    本地化后的图片

    注意

    虚拟路径通过 AMI WAN 界面用于将软件和配置更新推送到 SD-WAN AMI,而不是通过直接 连接到管理界面。

    必须在配置编辑器中为每个 WAN 链路 IP 在 EC2 WAN 网络接口上定义私有 IP 地址。这可以通过根据需要为网络接口定义一个或多个辅助专用 IP 来实现。

    重要

    在 AWS EC2 控制板中撤消已分配的映射,以将 Mgmt 分配给 eth0,将 LAN 分配给 eth1,以及将 WAN 分配给 eth2

    Amazon 保留每个子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址,不能分配给实例。例如, 在具有 CIDR 块 192.168.100.0/24 的子网中,保留以下五个 IP 地址:

    • 192.168.100.0:网络地址
    • 192.168.100.1:由 AWS 为 VPC 路由器保留
    • 192.168.100.2:由 AWS 为 DNS 服务器预留
    • 192.168.100.3:由 AWS 保留供将来使用
    • 192.168.100.255:网络广播地址,该地址在 VPC 中不受支持
  4. 保存并导出 新创建的 SD-WAN 配置并导出到 变更管理收件箱

    本地化后的图片

  5. 导航到 MCN 更改管理 ,然后运行更改管理流程,将最新配置推送到 SD-WAN 环境,通知所有现有 SD-WAN 节点新添加的 AWS 节点及其关联的子网(虚拟接口)。请确保在 “更改准备” 步骤中上传特定于 VPX 的软件包,该软件包与现有 SD-WAN 环境使用的当前软件匹配。
  6. 变更管理页面,使用 活动 链接下载专为新 AWS 节点生成的软件包。
  7. 使用为管理界面分配的弹性 IP 导航回 SD-WAN SE AMI 的管理界面。
  8. 导航至配置>系统维护>本地更改管理
  9. 单击选择文件浏览并 上传 最近下载的活动 AWS 软件/配置包。
  10. 成功进行 本地更改管理后,Web 界面应使用最新安装的软件自动刷新,而 虚拟 WAN 服务仍处 于禁用状态。

    本地化后的图片

  11. 在 SD-WAN SE AMI 部分,导航至配置>虚拟 WAN 启用/禁用/清除流 ”,然后使用 “启用” 按钮 用服务。
  12. 在 WAN 接口上成功连接后,SD-WAN 会在监视>统计信息> “路径” 页面上报告 “良好 路径 状态”。

    本地化后的图片

故障排除

必须在 SD-WAN 访问接口配置中使用正确的专用 Internet Web 网关 (IWG) IP

  • 如果在配置编辑器中使用了不正确的 IWG 来定义 AWS 站点的 WAN 链接(虚拟 IP 地址和正确的网关),则无法建立虚拟路径。
  • 检查 IWG 是否配置错误的快速方法是检查 SD-WAN ARP 表

本地化后的图片

SD-WAN 内置数据包捕获工具可帮助确认正确的数据包流量

  1. 导航到 SD-WMA AMI 的配置>系统维护>诊断页面。
  2. 选择数据包捕获选项卡,并设置以下设置,然后单击捕获”:
    • 接口:捕获与 WAN 接口关联的 eth2。
  3. 网页上的捕获输出必须显示离开 SD-WAN SE AMI 的 UDP 探测数据包,其中以 WAN VIP/专用 IP 作为源,其中包含 MCN 使用的静态公用 IP 的目标,还包括返回的 UDP 数据包,其中包含 MCN 静态公用 IP 的源和本地 VIP 的目标(这是国际工作组的 NAT)。

注意

在分配给 VPC 的 CIDR 块之外创建 IP 地址时,通常会发生这种情况。

本地化后的图片

注意

  • 从 10.2.6 和 11.0.3 版本开始,必须在 Provisioning 备任何 SD-WAN 设备或部署新的 SD-WAN SE VPX 时更改默认管理员用户帐户密码。此更改使用 CLI 和 UI 强制执行。

  • 系统维护帐户-CBVWSH,用于开发和调试,没有外部登录权限。只能通过常规管理用户的 CLI 会话访问该帐户。