Citrix SD-WAN

Citrix SD-WAN 与 AWS 传输网关的集成

Amazon Web 服务 (AWS) 传输 Gateway 服务使客户能够将其 Amazon 虚拟私有云 (VPC) 和本地网络连接到单个网关。随着 AWS 上运行的工作负载数量的增加,您可以跨多个账户和 Amazon VPC 扩展网络,以跟上增长的步伐。

现在,您可以使用对等互连连接一对 Amazon VPC。但是,管理许多 Amazon VPC 之间的点对点连接,而无法集中管理连接策略,则可能会成本高昂且繁琐。对于本地连接,您需要将 AWS VPN 连接到每个单独的 Amazon VPC。当 VPC 数量增加到数百个时,此解决方案可能非常耗时,而且很难进行管理。

使用 AWS Transit Gateway,您只需创建和管理从中央网关到每个 Amazon VPC、本地数据中心或网络中的远程办公室的单个连接。Transit Gateway 充当一个集线器,控制如何在所有连接的网络之间路由流量,这些网络的作用类似于辐条。这种集线器和分支模式显著简化了管理并降低了运营成本,因为每个网络只需连接到 Transit Gateway 网关,而不是连接到所有其他网络。任何新 VPC 都连接到传输网关,并自动对连接到传输网关的所有其他网络使用。这种易于连接的方便性使您可以随着您的增长轻松扩展网络。

随着企业越来越多的应用、服务和基础设施迁移到云端,他们正在快速部署 SD-WAN,以实现宽带连接的优势,并将分支站点用户直接连接到云资源。使用互联网传输服务构建和管理全球专用网络,将分布在地理位置的位置和用户与基于邻近地区的云资源连接起来,面临许多挑战。AWS 中转网关网关管理器 改变了这一范例。现在,使用 AWS 的 Citrix SD-WAN 客户可以通过集成 Citrix SD-WAN 分支设备 AWS Transway Gateway,将 Citrix SD-WAN 与 AWS 传输网关结合使用,从而为能够接触到连接到传输网关的所有 VPC 的用户提供最高质量的体验。

以下是将 Citrix SD-WAN 与 AWS 传输网关集成的步骤:

  1. 创建 AWS 中转网关。

  2. 将 VPN 连接到传输网关(现有 VPN 或新 VPN)。

  3. 将 VPN 连接到配置的传输网关,其中 VPN 所在的 SD-WAN 站点位于 PREM 或任何云(AWS、Azure 或 GCP)中。

  4. 通过 IPsec 隧道与来自 Citrix SD-WAN 的 AWS 传输网关建立边界网关协议 (BGP) 对等,以了解连接到中转网关的网络 (VPC)。

用例

使用案例是从分支环境接触 AWS 内部(在任何 VPC 中)的资源。使用 AWS 中转网关可让流量到达连接到传输网关的所有 VPC,而无需处理 BGP 路由。要实现此目的,请执行以下方法:

  • 从分支机构 Citrix SD-WAN 设备建立到 AWS 传输网关的 IPsec。在此部署方法中,您将无法获得完整的 SD-WAN 优势,因为流量将通过 IPsec 进行。

  • 在 AWS 中部署 Citrix SD-WAN 设备,并通过虚拟路径将其连接到您的本地 Citrix SD-WAN 设备。

无论选择哪种方法,流量都会到达连接到传输网关的 VPC,而无需手动管理 AWS 下方的路由。

AWS 中转 Gateway

AWS 中转网关配置

要创建 AWS 传输网关,请导航到 VPC 控制面板,然后转到“传输网关”部分。

  1. 提供以下屏幕截图中突出显示的中转网关名称、描述和 Amazon ASN 编号,然后单击 创建中转网关

创建中转 Gateway

完成“传输网关”创建后,您可以看到状态为可用

中转 Gateway 状态

  1. 要创建“传 输网关附件”,请导航到“传 输网关”>“传输网关附件”, 然后单击“创建传输网关附件”

创建传输 Gateway 附件

  1. 从下拉列表中选择创建的传输网关,然后选择附件类型作为 VPC。提供附件名称标签,然后选择要连接到创建的传输网关的 VPC ID。将自动选择所选 VPC 中的其中一个子网。单击 创建附件 以将 VPC 连接到传输网关。

传输 Gateway 附件详细信息

  1. 将 VPC 连接到传输 Gateway 后,您可以看到资源类型 VPC 已关联到传输网关。

资源类型 VPC

  1. 要使用 VPN 将 SD-WAN 连接到传输网关,请从下拉列表中选择传输网关 ID,然后选择作为VPN 的 附件类型。确保您选择了正确的传输网关 ID。

通过提供 SD-WAN 链路公有 IP 地址及其 BGP ASN 编号,连接新的 VPN 客户网关。单击 创建附件 以连接具有传输网关的 VPN。

使用中转网关连接 VPN

  1. 将 VPN 连接到传输网关后,您可以查看详细信息,如以下屏幕截图所示:

连接到中转网关的 VPN

  1. 客户网关下,SD-WAN 客户网关和站点到站点 VPN 连接是作为 VPN 连接到传输网关的一部分创建的。您可以看到 SD-WAN 客户网关与此客户网关的 IP 地址一起创建,该地址代表 SD-WAN 的 WAN 链路公有 IP 地址。

客户 Gateway

  1. 导航 到站点 VPN 连接 以下载 SD-WAN 客户网关 VPN 配置。此配置文件包含两个 IPSec 隧道详细信息以及 BGP 对等信息。从 SD-WAN 到传输网关之间创建两条隧道,以实现冗余。

您可以看到 SD-WAN 链路公有 IP 地址被配置为客户网关地址。

站点到站点 VPN 连接

  1. 单击“下载配置”并下载 VPN 配置文件。选择“供应商”、“平台通用”和“软件”作为“供应商无关”

下载配置

下载的配置文件包含以下信息:

  • IKE 配置
  • AWS 中转网关的 IPSec 配置
  • 隧道接口配置
  • BGP 配置

    此信息适用于两个 IPSec 隧道以实现高可用性 (HA)。在 SD-WAN 中配置这两个隧道端点时,请确保配置这两个隧道端点。请参阅以下屏幕截图以供参考:

    两个 IPsec 隧道

在 SD-WAN 上配置内部网服务

  1. 要配置 SD-WAN 上 IPsec 隧道配置中使用的 Intranet 服务,请导航到 配置编辑器 > 连接 >,从下拉列表中选择站点,然后选择 Intranet 服务。单击 + 服务 以添加新的内部网服务。

配置内部网服务

  1. 添加 Intranet 服务后,选择用于此服务的 WAN 链接(用于建立通向传输网关的隧道)。

选择 WAN 链接

  1. 要配置通向 AWS 传输网关的 IPSec 隧道,请导航到 配置编辑器 > 连接 > 从下拉列表中 选择站点,然后单击 IPsec 隧道。单击 + 选项可添加 IPsec 隧道。

配置 IPsec 隧道

  1. 选择 服务类型 作为 Intranet ,然后选择添加Intranet 服务名称。选择本 地 IP 地 址作为 WAN 链路 IP 地址,选择 对等地 址作为传输网关虚拟专用网关 IP 地址。

单击“保持活动”复选框可让 SD-WAN 在配置激活后立即启动隧道。

IPsec 隧道服务类型

  1. 根据您从 AWS 下载的 VPN 配置文件配置 IKE 参数。

IKE 参数

  1. 根据您从 AWS 下载的 VPN 配置文件配置 IPSec 参数。还可以根据要通过隧道发送的网络配置IPsec 受保护的网络。您可以看到它已配置为允许通过 IPsec 隧道的任何流量。

IPsec 参数

  1. 将内部 IP 地址的 客户网关配置 为 SD-WAN 上的虚拟 IP 地址之一。从下载的 VPN 配置文件中,找到与 Tunnel-1 相关的 IP 地址内的客户 Gateway。将此客户 Gateway 在 IP 地址内配置为 SD-WAN 上的虚拟 IP 地址之一,然后启用“身份”复选框。

IP 地址内的客户 Gateway

  1. 在 SD-WAN 上添加路由以访问中转网关虚拟专用网关。从下载的 VPN 配置文件中,找到与 Tunnel-1 相关的虚拟专用网关的内部和外部 IP 地址。将路由添加到虚拟专用网关的内部和外部 IP 地址, 并选择在上述步骤中创建的内部网服务。

添加路由

  1. 在 SD-WAN 上配置BGP。使用适当的 ASN 编号启用 BGP。从下载的 VPN 配置文件中,找到与隧道-1 相关的 BGP 配置选项。使用这些详细信息在 SD-WAN 上添加 BGP 邻居。

要在 SD-WAN 上启用 BGP,请导航到连接从下拉列表中选择站点,然后选择 BGP。单击 启用 复选框以启用 BGP。单击“通告 Citrix SD-WAN 路由”复选框可将 SD-WAN 路由通告到中转网关。使用 BGP 配置选项中的客户网关 ASN,并将其配置为 本地自治系统

在 SD-WAN 上配置 BGP

  1. 要在 SD-WAN上添加 BGP邻居,请导航到“连接”> 从下拉列表中选择站点,然后选择 BGP。单击 邻居 部分,然后单击 + 选项。

在添加 邻居时,使用 BGP 配置选项 中的邻居 IP 地址虚拟专用网关 ASN。源 IP 必须与从 AWS 下载的配置文件中的 IP 地址内部客户网关匹配(在 SD-WAN 上配置为虚拟 IP 地址)。在 SD-WAN 上启用了多跳的情况下添加 BGP 邻居。

添加 BGP 邻居

  1. 要添加 导入筛选器 以将 BGP 路由导入 SD-WAN,请导航到 连接,从下拉列表中选择站点,然后选择 BGP 并单击 导入筛选器 部分。单击 + 选项可添加导入筛选器。选择 协议 作为 BGP, 并匹配任意以导入所有 BGP 路由。选择 服务类型 作为 Intranet, 然后选择创建的 Intranet 服务。这是将具有服务类型的 BGP 路由导入为内部网。

添加导入筛选器

SD-WAN 上的监控和故障排除

  1. 要验证 SD-WAN 上的 IPsec 隧道建立状态,请导航到“监视”>“统计信息”>“IPsec 隧道”。在以下屏幕截图中,您可以看到 IPsec 隧道是从 SD-WAN 建立到 AWS 传输网关的,且状态为“良好”。此外,您还可以监视通过此 IPsec 隧道发送和接收的通信量。

SD-WAN 上的监控和故障排除

  1. 要验证 SD-WAN 上的 BGP 对等连接 状态,请导航到“监视”>“路由协议”, 然后选择“BGP 状态”。您可以看到 BGP 状态报告为“已建立”, 邻居 IP 地址邻居 ASN 与 AWS BGP 邻居详细信息相匹配。有了这一点,您可以确保通过 IPsec 隧道从 SD-WAN 到 AWS 传输网关建立 BGP 对等互连。

验证 BGP 对等状态

VPC (192.168.0.0) 连接到 AWS 中转网关。SD-WAN 已经通过 BGP 从 AWS 传输网关了解到此 VPC 网络 (192.168.0.0),并且根据上述步骤中创建的导入筛选器,该路由安装在 SD-WAN 上,并且服务类型为 Intranet。

  1. 要验证 SD-WAN 上的 BGP 路由安装,请导航到“监视”>“统计信息”>“路 由”,然后检查网络 192.168.0.0/16 已安装为 BGP 路由,服务类型为 Intranet。这意味着您可以了解连接到 AWS 传输网关的网络,并可以通过建立的 IPsec 隧道与这些网络进行通信。

验证 BGP 路由

AWS 上的监控和故障排除

  1. 要验证 AWS 上的 IPsec 隧道建立状态,请导航到 虚拟专用网络 (VPN) > 站点到站点 VPN 连接。在以下屏幕截图中,您可以看到客户网关地址代表 SD-WAN 链路公有 IP 地址,您已使用该地址建立了隧道。

隧道状态显示为“UP”。此外,还可以观察到,AWS 已经从 SD-WAN 学习了8 条 BGP 路由。这意味着 SD-WAN 能够通过 AWS 中转网关建立隧道,并能够通过 BGP 交换路由。

验证 AWS 上的 IPsec 隧道建立状态

  1. 根据 SD-WAN 上下载的配置文件,配置与第二条隧道相关的 IPSec 和 BGP 详细信息。

可以在 SD-WAN 上监控与两条隧道相关的状态,如下所示:

两条隧道状态

  1. 可以在 AWS 上监控与两个隧道相关的状态,如下所示:

AWS 上的两个隧道状态

Citrix SD-WAN 与 AWS 传输网关的集成