在 AWS 上安装 SD-WAN VPX 标准版 AMI

Citrix SD-WAN SE 设备将多个网络路径绑定在单个虚拟路径中。对虚拟路径进行监视,以便始终通过最佳路径路由关键应用程序路径。该解决方案使客户能够在云中部署应用程序,并利用多个服务提供商网络向最终用户无缝交付应用程序。

要在 Amazon Web Services (AWS) 上创建 SD-WAN SE-VPX,您需要执行与创建任何其他实例相同的过程,将几个实例参数设置为非默认设置。

在 AWS 上实例化 SD-WAN 虚拟设备 (AMI):

要在 AWS VPC 中安装 SD-WAN 虚拟设备,您需要一个 AWS 账户。您可以在创建 AWS 账户http://aws.amazon.com/。SD-WAN 在 AWS Marketplace 中以 Amazon 计算机映像 (AMI) 的形式提供。

注意:Amazon 会频繁更改其 AWS 页面,因此以下说明可能不是最新的。

要在 AWS 上实例化 SD-WAN 虚拟设备 (AMI),请执行以下操作:

  1. 在 Web 浏览器中,键入http://aws.amazon.com/
  2. 单击 My Account/控制台,然后单击 My Account以打开 Amazon Web Services 登录页面。
  3. 使用您的 Amazon AWS 账户证书登录。这将转到 Amazon Web Services 页面。

Citrix SD-WAN SE 设备提供以下 AWS 服务实例:

  • VPC 控制面板-由 AWS 对象填充的 AWS 云中的独立部分,例如 EC2 实例
    • 通过在 AWS 中创建 VPC 来启用。请参阅以下配置步骤。
  • EC2 控制面板-弹性计算云,可调整大小的虚拟服务/实例
    • 通过创建 NetScaler SD-WAN AMI 启用。有关配置步骤,请参阅下文。
    • CIDR — 无类域间路由块,由连续 IP 地址范围组成,用于指定 VPC(不能大于 16 个区域)。

SD-WAN 网页界面

  • 配置 Citrix(以前为 NetScaler SD-WAN)SD-WAN AMI

以下是在 AWS 中部署 SD-WAN SE-VPX AMI 的要求和限制:

最低要求

  • AWS EC2 实例类型:c3.2xlarge
  • 虚拟 CPU:8
  • 内存:15 GB
  • 存储空间:160 GB
  • 网络接口:至少 2 个(一个管理,一个用于局域网/广域网)
  • BYOL — 自带许可证和订阅

限制

  • AWS 不允许桥接接口,因此 Fail-Wire 不是配置接口组的选项。

Citrix(前身为 NetScaler SD-WAN)与 AWS 的 SD-WAN

本地化后的图片

部署具有指定可用区的 AWS 区域。在该虚拟私有云 (VPC) 基础结构中,SD-WAN Standard Edition AMI (Amazon Machine Image) 部署为 VPC 网关。

  • VPC 私有具有通往 VPC 网关的路由。
  • SD-WAN 实例有一条通向 AWS VGW(VPN 网关)进行直接连接的路径,另一条通向 IGW(Internet 网关)的路径以实现互联网连接。
  • 数据中心、分支机构和云之间的连接应用不同传输模式,同时利用多个 WAN 路径。
  • 自动路由学习与 OSPF 和 BGP.
  • 跨多个路径的单个 IPsec 通道,在任何链路故障发生时都不需要安全重新协商。

本地化后的图片

在 AWS 中,必须为每个 SD-WAN AMI 接口定义子网和 IP 地址。使用的接口数量取决于部署使用案例。如果目标是可靠地访问 VPX 局域网端(同一区域内)的应用程序资源,则 VPX 可以配置三个以太网接口:一个用于 eth0 上的管理,一个用于 eth1 上的 LAN,另一个用于 eth2 上的 WAN。

或者,如果目标是通过 VPX 将流量固定到其他区域或公共互联网,则 VPX 可以配置两个以太网接口;一个用于 eth0 上的管理,另一个用于 eth1 上的 LAN/WAN。

AWS 中的 SD-WAN SE AMI 概述

  1. 使用 VPC 控制面板在 AWS 中创建 VPC

要开始使用 Amazon 虚拟私有云,您需要创建一个 VPC,这是一个专用于您的 AWS 账户的虚拟网络。

  • 定义 CIDR 块/子网并分配给 VPC-用于识别网络中的设备。例如,在包含广域网、局域网和管理子网的示例网络图中,为 VPC 选择了 192.168.100.0/22 — 192.168.103.255)-192.168.100.0/22
  • 为 VPC 定义 Internet 网关 — 用于与云环境外通信
  • 为每个定义子网定义路由-用于子网和 Internet 之间的通信
  • 定义网络 ACL(访问控制列表)-出于安全目的,控制流量从/流入子网的流出
  • 定义安全组-用于控制流量从/流入网络设备的每个实例

创建 NetScaler SD-WAN AMI:

  • 定义 EC2 实例的网络接口
  • 为 EC2 实例创建弹性 IP 地址
  • 定义 EC2 实例和网络接口的安全性

连接到 SD-WAN Web 界面:

  • 许可证
  • 使用本地更改管理安装标识

在 AWS 中创建 VPC-虚拟私有云 (VPC)

要创建 VPC,请执行以下操作:

  1. 从 AWS 管理控制台工具栏中,选择 服务 -> **VPC **(网络和内容交付)。 本地化后的图片
  2. 选择您的 VPC,然后单击 创建 VPC按钮。 本地化后的图片
  3. 根据您的网络图添加 **名称 **标签、CIDR 块和租赁 = 默认值,然后单击 **是,创建 **。 本地化后的图片

为 VPC 定义互联网网关

要为 VPC 定义互联网 Gateway,请执行以下操作:

  1. 从 AWS 管理控制台中,选择 Internet 网 关 > 创建 Internet 网关 。可以在路由表中配置与 0.0.0.0/0 路由匹配的 Internet 网关流量。对 SD-WAN AMI Web 界面的外部访问也是必需的,以便进一步配置。 本地化后的图片
  2. 为 IGW 指定一个名称标签,然后单击 是,创建本地化后的图片
  3. 选择新创建的 IGW,然后单击 附加到 VPC本地化后的图片
  4. 选择之前创建的 VPC,然后单击 是,附加本地化后的图片

为 VPC 定义子网以区分 Mgmt、LAN 和 WAN

要为 VPC 定义子网,请执行以下操作:

  1. 从 AWS 管理控制台中,选择 子网 > 创建子网 以创建 Mgmt、LAN 和 WAN 子网。使用定义的子网区分 SD-WAN 配置中定义的 LAN、WAN 和 Mgmt 子网。 本地化后的图片
  2. 输入 VPX 的 Mgmt 子网的特定详细信息,然后使用 “ 是,创建” 按钮创建 它。
    • 名称标签:用于标识不同子网(Mgmt、LAN 或 WAN)的名称
    • <the VPC previously created>VPC:
    • <set at discretion>可用区域:
    • CIDR 块:特定于已定义名称(Mgmt、LAN 或 WAN)的子网,该子网是先前定义 本地化后的图片的 CIDR 的较小子集
  3. 重复此过程,直到您为 Mgmt、LAN 和 WAN 网络创建了子网。 本地化后的图片

定义管理子网的路由表

要定义路由表:

  1. 从 AWS 管理控制台中,选择 “ **路由表 ” > “创建路由表”,为 Mgmt、LAN 和 WAN 子网创建路由表。** 本地化后的图片
  2. 输入 Mgmt 子网的详细信息
    • 名称标签:用于标识不同子网(Mgmt、LAN 或 WAN)的名称
    • VPC:之前创建的 VPC 本地化后的图片
  3. 如果新创建的路由表仍高亮显示,请选择 子网关联 > 编辑本地化后的图片
  4. 与所需子网建立关联,然后单击 “ 保存”。 本地化后的图片
  5. 在新创建的路由表仍高亮显示的情况下,选择 “ 路由 ” > “ 编辑 ”。 本地化后的图片
  6. 单击 “ 添加 其他路由” 按钮(仅为 Mgmt 和 WAN 子网所需),然后单击 “ 保存 ”。
    • 目的地:0.0.0.0/0
    • 目标:互联网网关(igw-xxxxxxx 先前定义) 本地化后的图片

注意

AWS 在 EC2 实例中提供了一个全局路由表,但 NetScaler SD-WAN AMI 将使用本地路由表,以便用户可以控制流量转发到虚拟路径。

定义 WAN 子网的路由表

要定义路由表:

  1. 从 AWS 管理控制台中,选择 “ **路由表 ” > “创建路由表”,为 Mgmt、LAN 和 WAN 子网创建路由表。** 本地化后的图片
  2. 输入 WAN 子网的详细信息:
    • 名称标签:用于标识不同子网(Mgmt、LAN 或 WAN)的名称
    • VPC:之前创建的 VPC
  3. 如果新创建的路由表仍高亮显示,请选择 子网关联 > 编辑本地化后的图片
  4. 与所需子网建立关联,然后单击 “ 保存”。
  5. 在新创建的路由表仍高亮显示的情况下,选择 “ 路由 ” > “ 编辑 ”。
  6. 单击 “ 添加 其他路由” 按钮(仅为 Mgmt 和 WAN 子网所需),然后单击 “ 保存 ”。
    • 目的地:0.0.0.0/0
    • 目标:< 互联网网关(igw-xxxxxxx 先前定义) 本地化后的图片

定义 LAN 子网的路由表

要为 LAN 子网定义路由表,请执行以下操作:

  1. 从 AWS 管理控制台中,选择 “ **路由表 ” > “创建路由表”,为 Mgmt、LAN 和 WAN 子网创建路由表。** 本地化后的图片
  2. 输入 LAN 子网的详细信息:
    • 名称标签:用于标识不同子网(Mgmt、LAN 或 WAN)的名称
    • VPC:之前创建的 VPC
  3. 如果新创建的路由表仍高亮显示,请选择 子网关联 > 编辑
  4. 与所需子网建立关联,然后单击 “ 保存”。 本地化后的图片

注意

要通过 SD-WAN 路由局域网端流量,请将目标目标作为 SD-WAN LAN 路由表中的 SD-WAN LAN 接口 ID 关联。只有在创建实例并将网络接口连接到该实例后,才能将任何目标的目标设置为接口 ID。

创建 SD-WAN SE AMI

要创建 EC2 实例,请执行以下操作:

  1. 从 AWS 管理控制台工具栏中,选择 服务 > EC2(计算)本地化后的图片
  2. 选择 EC2 仪表板工具栏,选择实 > 启动实例本地化后的图片
  3. 使用 AWS Marketplace 选项卡搜索 SD-WAN Amazon Machine Image (AMI),或使用我的 AMI 选项卡查找拥有或共享的 SD-WAN AMI,找到 Citrix NetScaler SD-WAN Standard Edition,然后单击选择本地化后的图片
  4. 使用 “ 继续” 确认选择。
  5. 在 “ 选择实例类型 ” 屏幕上,选择在准备过程中确定的 EC2 实例类型 ,然后选择 “ 下一步:配置实例详细信息 ”。 本地化后的图片
  6. 输入实例详细信息(任何未指定的内容应保持不设/默认状态):
    • 实例数:1
    • 网络:选择之前创建的 VPC >
    • 子网:选择先前定义的 Mgmt 子网
    • 自动分配公有 IP:已启用
    • 网络接口 > 主 IP:输入预定义的 Mgmt IP 本地化后的图片
  7. 单击 下一步:添加存储空间 本地化后的图片

    注意

    将 EC2 实例与 Mgmt 子网关联,以将第一个 EC2 接口 (eth0) 与 SD-WAN Mgmt 接口关联。如果 eth0 与 SD-WAN Mgmt 接口没有关联,则在重新启动 1 之后会丢失连接。

  8. 输入根存储的以下信息:
    • 卷类型:通用型 (SSD) GP2
  9. 然后选择 下一步:标签实例 本地化后的图片
  10. 通过为默认名称标签指定值,为 EC2 实例指定一个 名称 。可以选择创建其他所需的标签。 本地化后的图片
  11. 然后选择 “ 下一步:配置安全组”。
  12. 选择现有 安全组 或创建安全组:
    • 生成的默认安全组包括 HTTP、HTTPS、SSH,然 后单击 “ 添加规则 ” 按钮再添加两个:
    • 所有带来源的 ICMP:自定义 0.0.0.0/0
    • <known IP addresses from partner SD-WAN>具有端口范围的自定义 UDP 规则:4980 和来源:自定义
  13. 选择 审核启动本地化后的图片
  14. 完成审核后,选择 启动
  15. 密钥 对弹出窗口中,选择现有密钥对或创建新密钥对,然后选择 启动实例本地化后的图片

    重要

    如果创建了新的密钥对,请务必下载并将其存储在安全位置。

  16. NetScaler SD-WAN SE AMI 现在应该成功启动。 本地化后的图片

    注意

    安全组是控制 EC2 实例流量的一组防火墙规则。可在 EC2 启动期间和之后编辑入站和出站规则。每个 EC2 实例都必须分配一个安全组。此外,每个网络接口都必须分配一个安全组。多个安全组可用于将不同的规则集应用于各个接口。AWS 添加的默认安全组仅允许 VPC 内的流量。

    分配给 NetScaler SD-WAN AMI 及其接口的安全组必须接受 SSH、ICMP、HTTP 和 HTTPS。分配给 WAN 接口的安全组还必须接受端口 4980 上的 UDP(用于支持虚拟路径)。有关安全组配置信息的更多详细信息,请参阅 AWS 帮助。 重要 如果从新帐户预配置,请 等待两个小时,然后重试

  17. 导航回您的 AWS 控制台:EC2 控制面板
  18. 在工具栏中,在 “ 网络和安全 ” 下,选择 “ 网络接口 ”,高亮显示 Mgmt 接口,然后编辑 Name 标签,为接口提供一个有用的名称。
  19. 然后单击 创建网络接 口以创建 LAN 接口:
    • 描述: <a user-defined description for the interface>
    • <the subnet previously defined for the interface>子网:
    • <the private IP for the interface previously defined during preparation>私有 IP:
    • <the appropriate security group for the interface>安全组: 本地化后的图片
  20. 重复并单击 创建网络接口 以创建 WAN 接口。 本地化后的图片
  21. 编辑每个新界面的 Name 标签,并给出一个有用的名称。 本地化后的图片 本地化后的图片
  22. 高亮显示 Mgmt接口 并选择 操作 > 更改源/最长 。检查以禁用 源/DEST。选中,然后选择 保存本地化后的图片
  23. 对 LAN 和 WAN 接口重复此操作。 本地化后的图片
  24. 此时,所有网络接口: Mgmt.、 LANWAN都配置了 名称主要私有 IP,并为源/DEST 禁用。检查 属性。只有 Mgmt。网络接口具有与其关联的公有 IP。 本地化后的图片

    重要

    禁用源代码/最长。检查属性使接口能够处理不发往 EC2 实例的网络流量。由于 NetScaler SD-WAN AMI 充当网络流量的中间人,即源/最长。必须禁用校验属性才能正常操作。

    为这些网络接口定义的专用 IP 最终必须与 SD-WAN 配置中的 IP 地址匹配。如果 WAN 网络接口与此站点节点的 SD-WAN 配置中的多个 WAN 链接 IP 关联,则可能需要为该接口定义多个私有 IP。这可以通过根据需要定义 WAN 接口的辅助私有 IP 来实现。

  25. EC2 控制面板 工具栏中,选择 实例本地化后的图片
  26. 突出显示新创建的实例,然后选择 “ 操作 ” > “网 ” > “ 附加网络接口 ”。 本地化后的图片
  27. 先将 LAN 网络接口,然后将 WAN 网络接口连接到 SD-WAN SE AMI。 本地化后的图片

    注意

    按照该顺序附加 Mgmt、LAN 和 WAN 附加到 SD-WAN AMI 中的 eth0、eth1、eth2。这与预配置 AMI 的映射保持一致,并确保在 AMI 重启时不会错误地重新分配接口。

  28. EC2 控制面板 工具栏中,选择 弹性 IP (EIP) ,然后单击 分配新地址本地化后的图片
  29. 单击 分配 以分配新 IP 地址,然后在新地址请求成功后 关闭
  30. 突出显示新的 EIP 并选择 作 > 关联地址 以将 EIP 与 Mgmt 关联。界面,然后单击 关联
    • <network interface>资源类型:
    • 网络接口:<之前创建的 Mgmt。网络接口 >
    • <previously defined private IP for Mgmt>私有 IP: 本地化后的图片
  31. 重复此过程以将另一个新的 EIP 与 WAN 接口关联。 本地化后的图片

配置 SD-WAN SE AMI-SD-WAN Web 管理界面

要配置 SD-WAN SE AMI,请执行以下操作:

  1. 此时,您应该能够使用 Web 浏览器连接到 SD-WAN SE AMI 的管理界面。
  2. 输入与 Mgmt 关联的 弹性 IP (EIP) 。接口。如果无法识别安全证书,则可以创建安全例外。
  3. 使用以下凭据登录 SD-WAN SE AMI:
    • 用户名: 管理员
    • 密码:<aws-instance-id>(示例:i-00ab111abc2222abcd) 本地化后的图片

      注意

      如果是 Mgmt。无法到达接口,请检查以下内容:

        -  确保 EIP 与 Mgmt 接口正确关联。   -  确保 EIP 响应 ping   -  Makes sure the Mgmt. interface Route Table includes an Internet Gateway route (0.0.0.0/0)   -  确保 Mgmt. 接口安全组配置为允许 HTTP/HTTPS/ICMP/SSH
      

      自 9.1 版 SD-WAN AMI 起,用户还可以使用以下凭据登录到 SD-WAN AMI 控制台:*ssh admin@*,假设 EC2 实例的密钥对已添加到用户的 SSH 密钥链中。

  4. 对于 SD -WAN SE 自带许可证 (BYOL) AMI,必须安装软件许可证:
    • 在 SD-WAN Web 界面上,导航到 配置 > 设备设置 > 授权
    • 许可证配置上传此设备的许可证,选择 “ 选择文件”,浏览并打开 SD-WAN SE AWS 许可证,然后单击 “ 上传并安装
    • 成功上传后,许可状态将显示状态:已许 本地化后的图片
  5. 为新 AMI 设置相应的 数据/时间
    • 在 SD-WAN Web 界面上,导航到 “ 配置 ” > “ 系统维护 ” > “ 日期/时间设置
    • 使用 NTP、日期 /时 **间设置或时区 本地化后的图片设置正确的日期和时间

      注意

      在 AMI 上安装设备包(软件 + 配置)之前,SD-WAN SE AMI 虚拟广域网服务将保持禁用状态。

将 SD-WAN SE AMI 添加到您的 SD-WAN 环境

要将 SD-WAN AMI 添加到 SD-WAN 环境,请执行以下操作:

  1. 导航到 SD-WAN 环境的 SD-WAN 中心主控制节点
  2. 使用 配置编辑器 添加 新站 点节点:
    • 添加站点:型号 VPX,模式:客户端
    • 接口组:AWSLN = eth1,AWSwan = eth2(不受信任)
    • 虚拟 IP 地址:192.168.100.5 = AWSLAN,192.168.101.5 = AWSwan,配置了 AWSLAN 虚拟 IP 地址,SD-WAN 将 192.168.100.5/24 的局域网子网作为通往 SD-WAN 环境的本地路由(请参阅 连接 > < AWSnode > 路由))。** **广域网链接:
    • 带访问类型公共 Internet 的 AWSBR-WAN,如果客户端节点,则自动检测公有 IP,或者配置 WAN 链接的 EIC(如果 MCN 节点),访问接口:AWSwan 192.168.101.5,带网 Gateway 192.168.101.1(#.#.1 通常是 AWS 预留网关)。 本地化后的图片 本地化后的图片
  3. 在配置编辑器中,在 “ 连接 ” > “ DC ” > “ 虚拟路径” > “ **DC-AWS ” > “路径** ” 下验证 路径 关联。 本地化后的图片

    注意

    虚拟路径通过 AMI WAN 界面使用,将软件和配置更新推送到 SD-WAN AMI,而不是通过直接 连接到 Mgmt 界面。

    必须在配置编辑器中为每个 WAN 链接 IP 在 EC2 WAN 网络接口上定义私有 IP 地址。这可以通过根据需要为网络接口定义一个或多个辅助专用 IP 来实现。

    重要

    回想一下 AWS EC2 仪表板中分配的映射,将 Mgmt 分配给 eth0,LAN 分配给 eth1,WAN 分配为 eth2

    Amazon 保留每个子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址,无法将其分配给实例。例如, 在具有 CIDR 块 192.168.100.0/24 的子网中,保留以下五个 IP 地址:

      -  192.168.100.0:网络地址   -  192.168.100.1:AWS 为 VPC 路由器预留   -  192.168.100.2:由 AWS 为 DNS 服务器保留   -  192.168.100.3:AWS 预留供将来使用   -  192.168.100.255:VPC 中不支持的网络广播地址
    
  4. 保存并导出 新创建的 SD-WAN 配置并导出到 更改管理收件箱本地化后的图片
  5. 导航到 MCN 更改管理 ,然后运行更改管理流程,将最新配置推送到 SD-WAN 环境,通知新添加的 AWS 节点以及与其关联的子网(虚拟接口)的所有现有 SD-WAN 节点。请确保在 “更改准备” 步骤中上传特定于 VPX 的软件包,该软件包与现有 SD-WAN 环境使用的当前软件相匹配。
  6. 从 “ 更改管理 ” 页面,使用 活动 链接下载专为新 AWS 节点生成的软件包。
  7. 使用为 Mgmt. 界面分配的 EIP 导航回 SD-WAN SE AMI 的管理界面。
  8. 导航到 配置 > 系统维护 > 本地更改管理
  9. 单击 “ 选择文件 ” 以浏览并 上传 最近下载的活动 AWS 软件/配置包。
  10. 本地更改管理成功后,Web 界面应使用最新安装的软件自动刷新,并且 虚拟广域网服务仍被禁用。 本地化后的图片
  11. 在 SD-WAN SE AMI 部分,导航到 配置 > 启用/禁用/清除虚拟 WAN 流 ,然后使用启用按钮 用服务。
  12. 在 WAN 接口上成功连接后,SD-WAN 会在 “ 监视 ” > “ 统计信息 ” > “路径” 页面上报告 “良好 路径 状态”。 本地化后的图片

故障排除

SD-WAN 访问接口配置中必须使用正确的专用互联网网关 (IWG) IP

  • 如果配置编辑器中使用了错误的 IWG 来定义 AWS 站点的 WAN 链接(虚拟 IP 地址和正确的网关),则无法建立虚拟路径。
  • 检查 IWG 是否配置不正确的快速方法是检查 SD-WAN ARP 表

本地化后的图片

SD-WAN 内置数据包捕获工具可帮助确认正确的数据包流

  1. 导航到 SD-WMA AMI 的 配置 > 系统维护 > 诊断 页面。
  2. 选择 “数 据包捕获 ” 选项卡,并设置以下设置,然后单击 “ 捕获 ”:
    • 接口:捕获与 WAN 接口关联的 eth2。
  3. 网页上的捕获输出必须显示 UDP 探测数据包,使 SD-WAN SE AMI 以 WAN VIP/私有 IP 作为源,其中包含用于 MCN 的静态公有 IP 的目标,还包含带有 MCN 静态公有 IP 源和本地 VIP/私有 IP 目标的返回 UDP 数据包 (这是国际工作组的 NAT)。

注意

在分配给 VPC 的 CIDR 块之外创建 IP 地址时,通常会发生这种情况。

本地化后的图片

注意

自 10.2.6 和 11.0.3 版本起,在预配任何 SD-WAN 设备或新 SD-WAN SE VPX 时,必须更改默认的管理员用户帐户密码。使用虚拟 WAN CLI 和 UI 强制执行此更改。