Citrix SD-WAN + Azure 虚拟 WAN 蓝图:部署指南

读者

本文档面向正在评估 Microsoft Azure 虚拟 WAN 和 Citrix SD-WAN 解决方案的云解决方案架构师、网络设计师、技术专业人员、合作伙伴和顾问。它还适用于网络管理员、Citrix 管理员、托管服务提供商或任何希望部署这些解决方案的人。

概述

本文档重点介绍了 Azure 虚拟广域网提供的优势、Azure VWAN 和 Citrix SD-WAN 联合解决方案的优势、它们应对的用例以及相应的配置指南。

大体而言,部署指南涵盖了如何:

  1. 在 Azure 虚拟 WAN 中建立连接

    • Hub-to-Hub 连接

    • VNet-to-Hub 对等

  2. 在 SD-WAN 和 Azure VWAN 之间建立连接。

    • 使用 SD-WAN 建立跨区域通信

    • 预计在 SD-WAN 上配置 HA

使用案例

本文档侧重于实现三个用例,以满足组织的典型需求。

使用案例 # 1: 从全球分布的分支机构安全地连接到部署在单个 Azure 区域的资源。

使用案例 2: 本地基础架构安全地连接到部署在不同 Azure 区域的资源。

使用案例 3: 全球分布的分支位置通过 Azure 骨干互相通信。

Azure 虚拟 WAN:概述

Azure 虚拟广域网 (VWAN) 是 Microsoft 提供的一项网络服务,它提供高速全球交通网络,并在分支机构、数据中心、中心和用户之间实现安全的任意到任意连接。它支持站点到站点 VPN(分支机构到 Azure)、用户 VPN(点对站)和 ExpressRoute 连接。它可以自动 Hub-to-VNet 连接(在 vnet/ 工作负载虚拟网络和集线器之间)。客户还可以使用 Azure VWAN 使用私有 Azure 骨干连接跨区域的分支机构。

Azure VWAN

参考资料:Azure 虚拟 WAN 流量路径

更好地协作:Azure VWAN 和 Citrix SD-WAN 联合解决方案的好处

Citrix SD-WAN 提供了安全可靠的 WAN 边缘解决方案,可通过自动化网络部署来降低将分支办公室连接到 Azure 的成本、复杂性和时间。 它在全球范围内提供了高级别的冗余、自动化、监视和控制,从而增强了 Azure 虚拟 WAN 的优势,同时允许你充分利用微软的高速全球骨干网。

  1. 好处 1:SD-WAN 可自动进行网络部署,将数百个分支办公室连接到 Azure 中心

    将从数百个本地位置的站点到站点 VPN 隧道设置到 Azure 可能非常耗时且容易出错。Citrix SD-WAN 与 Azure 虚拟 WAN 的集成可以将该过程提高数量级。Citrix SD-WAN Orchestrator 提供了一个单一的玻璃管理窗格,通过 API 集成将本地 Citrix SD-WAN 设备连接到 Azure 虚拟 WAN。 另一种体系结构是在 Azure 上部署 Citrix SD-WAN VPX(而不是使用 Azure 中心)。这形成了内部 SD-WAN 设备的书终解决方案。它可以带来好处,使网络更具弹性并改善用户的应用程序体验。好处包括链路绑定和负载平衡、业界领先的每数据包负载均衡技术带来的亚秒级故障转移以及选择性数据包复制 双向 QoS SD-WAN VPX 实例方法可能受带宽限制(即最大 2Gbps),在这种情况下,AzureVWAN 解决方案提供更高的吞吐量能力

  2. 好处 2:SD-WAN 可降低 WAN 运营成本

    MPLS 和 ExpressRoute 可以提供私有、高速且安全的通道来连接到 Azure VWAN。但是,这些解决方案通常是昂贵的解决方案,尤其是在必须考虑需要连接到私有内联网的所有分支站点时。SD-WAN 通过聚合多种经济高效的连接类型(4G/LTE、DSL、Internet 等),除了提供更高的恢复能力以从分支机构连接到 Azure 资源之外,还可以帮助降低 WAN 运营成本。 根据企业的安全要求,来自一个分支机构的流量可能需要回传到 Enterprise-总部,以确保安全合规性,使电路紧张并导致延迟增加。在 Azure 上部署虚拟 Citrix SD-WAN 设备可以通过在 Citrix SD-WAN 设备中处理使用内置 L2-L7 防火墙创建的安全策略来提供本地互联网突破。这将限制将流量回传到总部的需要,从而降低计量计费计划产生的导出数据费用,还有助于保持用户体验。

  3. 好处 3:SD-WAN 可改善最后一英里的连接

    随着越来越多的工作负载迁移到云端,远程办公室的最后一英里连接变得越来越重要。向远程分支机构提供 MPLS 或 ExpressRoute 连接可能并不总是可能 — 除了纯粹的经济原因之外,配置 MPLS 或 Express Route 网络需要时间,而且可能无法实施。 远程分支站点上的 SD-WAN 部署可通过聚合多个网络链路(可配置为主链接和辅助链接)并识别最近的 Azure/Microsoft POP 来帮助改善与 Azure 的最后一英里连接体验。通过持续监控网络,SD-WAN 可以根据链路质量自动将流量从一个链路引导到另一个链路,从而为远程用户提供最佳体验。

  4. 好处 4:提供网络弹性和优化 WAN 体验的书端解决方案

    虽然可以通过本机 IPsec 将分支办公室连接到 Azure VWAN,但单个 IPsec 隧道可能容易发生数据包丢失和链路拥塞,因此无法降低中断风险。任何网络中断都可能导致数百万美元的生产力和收入损失。

    采用在 Azure 上部署 Citrix SD-WAN VPX 网络虚拟设备 (NVA) 的替代方法,使用本地 SD-WAN 设备形成书末解决方案,带来许多好处。这些优势包括链路绑定和负载平衡、亚秒级故障切换、选择性数据包复制以及双向 QoS 等,以使网络更具弹性并改善用户的应用体验。

  5. 好处 5:SD-WAN Orchestrator 可增强可见性

    Citrix SD-WAN Orchestrator 提供了一个单一管理窗格来管理和跟踪网络运行状况和使用情况。Orchestrator 基于模板的克隆简化了 SD-WAN 的大规模部署和网络扩展,有助于将更改扩展到整个分支办公室队列,并节省时间。 SD-WAN Orchestrator 还通过在新的或现有的 VNet 中的点击式配置 SD-WAN VPX 实例,为 Microsoft Azure 提供自动化的随机坡道。

参考拓扑

部署在指定区域(例如:Azure VWAN East Hub)中的 Azure 工作负载可以通过互联网或 4G/LTE 使用 Citrix SD-WAN 设备连接到多个分支位置。在虚拟网络 (VNet) 基础架构中,SD-WAN 标准版 VM (SD-WAN VPX) 部署在网关模式下。

参考拓扑

为了实现上述用例,我们需要在以下实体之间建立连接/配对:

  1. 通过 IPSec 隧道和 BGP 对等互连的 SDWAN VPX 和 Azure VWAN 中心

  2. 使用本地和全局 VNet 对等互连的 Azure VWAN 中心和 VNet

  3. 使用虚拟路径的 SD-WAN 分支设备和 SD-WAN VPX(在 Azure 上)

其中,通过 Citrix SD-WAN 的专有虚拟路径技术在 SD-WAN 分支设备和 SD-WAN VPX (3) 之间建立连接是带来多种功能的原因。这些功能包括每包负载平衡、选择性数据包复制和双向 QoS,并提供了联合解决方案的优势。下面的文档将引导你完成设置 Azure 虚拟 WAN 和部署 SD-WAN 虚拟设备所需的步骤。

Azure 资源调配和网络

在从 Orchestrator 部署 Azure 虚拟 WAN 之前,请确保已配置了与 Azure 虚拟 WAN 相关的资源,并且网络设计已最终确定。这简化了从 SD-WAN Orchestrator 管理控制台配置 Azure 虚拟 WAN 的过程。

这是如何创建与 Azure 虚拟 WAN 相关的资源的流程图。

步骤摘要

请注意 ,虽然我们遵循此流程,但您可以在创建资源组之前创建 VNet。以下是构建此拓扑时所采取的步骤的摘要。后续章节将详细介绍每个步骤。

步骤摘要

  1. 创建资源组
  2. 为东部和西部地区创建一个 VNet(针对上文讨论的拓扑)

    • 根据 Azure 中的拓扑结构,不同区域中的任意数量的 VNet 也同样适用
  3. 创建 Azure 虚拟 WAN 资源
  4. 创建管理东部和西部区域的 Azure 虚拟 WAN 中心(在单个虚拟 WAN 内部具有集线器到集线器的固有连接。
    • 在东部地区创建 Hub。
    • 在西部地区创建 Hub。
  5. 将东西地区的 VNet(在 step2 中创建)与各自的中心对等。
    • 例如,东部地区的 VNet 将与东部区域的中心对等,以便它可以查看 SD-WAN 子网(该子网从本地连接到 Azure 中的 SD-WAN VPX,最终通过 BGP 连接到提供子网的中心)

创建资源组

1. 在东部地区创建资源组

  • 为该区域创建资源组。在这个架构中,我们将它命名为 AzurevwaneaSrescGRP。
  • 确保选择该地区作为美国东部(对于东部地区工作负载 /VNet)。您可以根据拓扑选择在任何区域进行配置。
  • 查看并创建资源组。

    在东部创建资源组

2. 在西部地区创建资源组

  • 使用名称创建资源组。在这个架构中,我们使用了 AzurevwanWerescGRP。
  • 确保选择该地区作为美国西部(适用于西部地区 WorkLoads/VNet)。
  • 查看并创建资源组。

    在西部创建资源组

在东部和西部区域分别创建 VNet(根据参考拓扑)

你可以按照此链接为区域创建 VNet。

创建 Azure 虚拟 WAN 资源

  1. 在 Azure 搜索栏中搜索虚拟 WAN,然后单击 虚拟 WAN

    搜索 Azure VWAN

  2. 点击 “+ 添加” 以添加新的虚拟广域网

    点击添加

  3. 开始填写 Azure 虚拟 WAN 的基本详细信息

    • 我们选择了在文档开头创建的 East Resource 组,名为 AzureVWANEastRescGrp
    • 选择位置作为美国东部(根据上面的拓扑)
    • 为正在创建的 Azure 虚拟 WAN 资源提供一个名称。在这份文档中我们已经将其命名为 EastUSVWANANDHub

    注意:选择 SKU 作为 “标准”,以确保能够跨区域实现中心到中心的通信。但是,如果您不需要集线器间通信功能,则可以选择 “BASIC” SKU。

    创建广域网

  4. 验证通过后,单击创建 Validate

  5. 创建资源后,你可以在 Azure 虚拟 WAN 的全局部分找到它。

  6. 正如你在下面看到的,我们看到 “EastusvwanandHub” 将资源组列为 AzurevwaneaSrescGRP,位置被列为东 US2。

    Confirmation

注意:尽管 Azure 虚拟 WAN 资源已部署在美国东部 2 区域的东部资源组中,但你可以选择将其部署到每个网络拓扑的几乎任何区域/资源组中。

在每个区域创建 Azure VWAN 中心

1. 为东部区域创建 Azure 虚拟 WAN 中心

选择在上一步中创建的虚拟广域网资源 — “eastusvwanandHub”

  • 在虚拟广域网资源中,您可以在 “连接” 部分找到 “中心”。

    查找中心

  • 点击 Hubs ,你现在就可以添加一个新的 Hub

  • 单击 中心部分中的 “+ 新中心” ,它将打开一个新的配置窗格

    添加中心

  • 输入基本详细信息

    • 选择要在其中创建 Hub 的区域。
    • 在这种情况下,该地区为美国东部 2(将在此区域创建 Hub)
    • 给中心点一个名字。在这种情况下,它是 “EastusHub”
    • 为此集线器提供与此资源组中的任何其他子网不重叠或冗余的唯一地址空间

    配置虚拟中心

    • 最重要的步骤是配置 “站点到站点” 部分。
      • 对于是否要创建站点到站点,选择 “是”。
      • ASN 将自动填充,对于此中心,它将为 65515。
      • 根据您的需要选择网关规模单位。
        • 在这种情况下,它被选为 1 个缩放单位-500 Mbps x 2

      注意:将其他部分保留为默认

    • 单击 “查看并创建” 以在东部区域创建 Azure 虚拟 WAN 中心。
    • 中心创建过程可能需要 30 分钟才能完成。

    配置虚拟中心

    • 创建资源后,在虚拟 WAN 下的 Hub 部分中,您将在地理地图下看到一个新条目,其中包含我们创建的 Hub 的名称。
      • Hub 状态反映为 “成功”。
      • 地址空间必须与我们配置的相同。
      • 由于没有 VPN 站点仍然连接,因此计数为 “0”。我们将在后续步骤中连接 VPN 站点。

    配置虚拟中心

    • 单击 Geo 地图下的 EastusHub 链接,然后验证以下属性:
      • 路由状态 — 已配置
      • Hub 状态 — 成功
      • 地理位置 — 美国东部 2
      • VPN 网关配置状态 — 成功

    验证状态

2. 为西部地区创建 Azure 虚拟 WAN 中心

  • 在虚拟广域网资源 EastusvwanandHub(我们最初配置了我们的东美国中心)内部,您可以在连接部分找到 “中心”。

  • 单击 “中 ” 添加新的中心。

    添加一个新的中心

  • 输入基本详细信息
    • 选择要在其中创建 Hub 的区域。
    • 在这种情况下,该地区是美国西部 2(该中心将在该地区创建)
    • 给中心点一个名字。在这种情况下,它是 “westhubus”。 为此集线器提供一个与此资源组中的任何其他子网不重叠或冗余的唯一地址空间。

    配置中心

  • 最重要的步骤是配置 “站点到站点” 部分。
    • 为您要创建站点到站点吗(VPN Gateway)选择 “是”
    • ASN 会自动填充,对于此中心,它将为 65515
    • 根据您的选择选择网关规模单位(吞吐量的定义)
      • 在这里,我们选择了 1 个比例单位 — 500 Mbps x 2

    注意:将所有其他部分保留为默认值。

    配置中心

  • 单击 “查看并创建” 以在西部地区创建虚拟 WAN 中心。
  • 集线器创建是一个耗时的过程,可能需要大约 30 分钟才能完成创建。

    查看并创建 Hub

  • 创建资源后,您可以通过单击 Geo 地图下的 WestusHub 链接来检查 Westhubus 中心的状态。它将带你进入 Hub 的详细信息部分。您可以按如下方式验证属性的状态:

    • 路由状态 — 已配置
    • Hub 状态 — 成功
    • 地理位置 — 美国西部 2
    • VPN 网关配置状态 — 成功

    Confirmation

对等 VNet 连接到中心

1. 将东 VNet 对等到东部枢纽

  • 在虚拟广域网资源 “eastusvwanandHub” 中,单击 “虚拟网络连接” ,然后单击 “+ 添加连接”

    添加连接

填写关于将美国东部地区的 vnet1 连接到虚拟中心的详细信息

  1. 连接名称 — 虚拟网络连接的名称 — vnet1eastpeerHub
  2. 中心 — 要与之对等的枢纽名称 — EastusHub
  3. 订阅 — 确保选择订阅作为用于创建虚拟 WAN 和虚拟中心资源的订阅
  4. 资源组 — 将是我们正在尝试与 Hub 对等的东部地区 VNet 的资源组
  5. 虚拟网络 — 与我们将对等的东部地区资源组关联的 VNet
  6. 传播到 “无” — 将其设置为 “否”
  7. 关联路由表 -选择默认
  8. 传播到路由表 — 选择默认 (EastusHub),这是 East 资源 VNet 的默认路由表
  9. 将其他人留为默认
  10. 点击 “创建”

    配置连接

  • 创建后,虚拟网络将类似于以下快照。这样可以将 East VNet 前缀传播到 EastusHub(虚拟中心),并允许 EastusHub 将其拥有的前缀(通过 BGP)传播到 East VNet 的路由表。

    验证连接

2. 将东 VNet 对等连接到西部枢纽

  • 在虚拟广域网资源 EastusvwanandHub 中,单击 “虚拟网络连接” ,然后单击 “+ 添加连接”
  1. 连接名称 — 虚拟网络连接的名称 — westhubvnet1Peer
  2. 中心 — 要与之对等的中心的名称 — wesHubus
  3. 订阅 — 确保选择订阅作为用于创建虚拟 WAN 和虚拟中心资源的订阅
  4. 资源组 — 将是我们正在尝试与 Hub 同行的西部地区 VNet 的资源组
  5. 虚拟网络 — 与我们对等的西部地区资源组关联的 VNet
  6. 传播到 “无” — 将其设置为 “否”
  7. 关联路由表 -选择默认
  8. 传播到路由表 — 选择默认 (wesThubus),这是 West 资源 VNets 的默认路由表
  9. 将其他人留为默认
  10. 点击 “创建”

    配置连接

  • 创建后,虚拟网络连接将类似于下面的快照。这使得 West VNet 前缀能够传播到 wesTHubus(虚拟中心),并允许 westhubus 将其拥有的前缀(通过 BGP)传播到 West VNet 的路由表。

    验证连接

SD-WAN Orchestrator 的先决条件

1. 在 Azure 中预配 SD-WAN 实例

  • 在 Azure 上将 SD-WAN 虚拟设备分别作为主 MCN(主控制节点)和 Secondary/Geo MCN 在 East-US2 和 West-US2 区域上配置。

    主 MCN 和 Secondary/Geo MCN 为特定用例提供服务(根据我们的参考拓扑)。但是,SD-WAN VPX 也可以在分支模式下部署。

    MCN 充当 SD-WAN 网络中的控制器,并摄取 Azure API 以建立与 Azure 虚拟 WAN 资源的站点到站点连接。MCN 充当 SD-WAN 覆盖的主控制器。在主 MCN 出现故障时,Secondary/Geo MCN 通过接管控制器的角色来为此控制器功能提供冗余。

  • 要在 Azure 上预配 Citrix SD-WAN VPX,你可以参考此文档

    注意:在浏览上述文档时,您可以看到提到了 10.2 版本,但是在市场搜索时,您会发现 “Citrix SD-WAN 标准版 10.2.5” 或 “Citrix SD-WAN 标准版 11.0.3”。您可以根据 Citrix SD-WAN 网络其余部分的固件版本选择这些版本中的任何一个版本。

  • 在 Azure 中预配 Citrix SD-WAN VPX 后,我们需要通过 SD-WAN Orchestrator 来完成配置。

    注意:在 SD-WAN Orchestrator 中开始配置之前,请使用以下信息。

2. Azure 中 SD-WAN VPX 实例的序列号

  • 你可以转到 Azure 中的串行控制台,然后在实例的 CLI 中输入管理员凭据,然后键入 “system_info” 然后输入命令。您可以在此处找到设备/实例的序列号。
  • 否则,你可以转到 Azure 实例虚拟机,单击 网络,然后获取管理界面的公有 IP,如下所示。

    获取管理界面的公共 IP

  • 获取公共 IP 后,您可以访问设备,使用 https://<public_IP> 在任何浏览器 (CHROME/FIREFOX/SAFARI) 中访问该设备,并提供管理员凭据以登录。
  • 将会打开设备的仪表板。请注意序列号以备将来使用。

3. 从 Azure 获取 vPX 的局域网和 WAN 接口 IP

  • 在配置主 MCN 和辅助 /Geo MCN IP 的同时获取局域网和 WAN 接口 IP
  • 你可以从每个 Azure 主 MCN 和 Secondary/Geo MCN 的 “网络” 部分获得相同的信息
  • 例如,主 MCN LAN IP 为 10.1.1.4(如下面的快照所示)
    • 对 Secondary/Geo MCN 执行同样的操作,并记下它的局域网 IP

    获取主 MCN 局域网 IP

  • 主 MCN WAN IP 是 10.1.2.4。根据下面的快照

    • 对 Secondary/Geo MCN 执行同样的操作,并记下其 WAN IP

    获取辅助 MCN WAN IP

4. 获取主 MCN 和二分/Geo MCN 的 WAN 链路的公有 IP 地址

  • 您可以在网络部分的虚拟机的 WAN 界面 (mCN/Geo MCN) 中获取此信息。

  • 在设备的 WAN 链接创建期间,必须在任何管理基础架构上为主 MCN 和辅助 /Geo MCN 等控制器配置静态公共 IP 地址。但是,如果您已在分支模式下部署 VPX,则也可以动态获取 IP 地址。

    获取主 MCN 公共广域网 IP

  • 此时,我们可以方便地获得以下信息。

    Flowchart

接下来的步骤:

  • 使用 MCN、辅助/Geo-MCN 和分支机构的上述所有信息配置 SD-WAN Orchestrator。按照此链接,使用标准 Orchestrator 配置实践在本地 SD-WAN 设备上完成配置。

5. 创建 Azure 服务主体

在订阅中创建 Azure 服务主体,以启用 SD-WAN Orchestrator 中的编程管理部署(自动化)的方式。Microsoft Azure 要求每个需要由第三方以编程方式管理的资源、关联 IAM 角色并创建应用注册以利用外部资源自动化的优势。

为此,请按照此处中概述的步骤进行操作。有关更多详细信息,您可以参阅附录部分中的这一部分内容。

6. 在 SD-WAN Orchestrator 中填写 Azure 身份验证凭据

  • 在订阅中创建 Azure 承担者以启用以编程方式管理部署。
  • 记下 Azure 承担者的客户端 ID、客户端密钥和租户/目录 ID,包括你的 Azure 订阅详细信息。
  • 在全局设置下,单击 配置-> 交付服务-> Azure 虚拟 WAN 单击服务的设置图标。
  • 单击身份验证链接。它会弹出你现在准备好的详细信息。
  • 请仔细输入详细信息并保存。如果 SAVE 成功,您将在下一步中看到订阅中配置的虚拟广域网和集线器。如果无法看到,请仔细检查详细信息,清除身份验证详细信息,然后重试。

    Azure 身份验证凭据

在 SD-WAN Orchestrator 上创建 Azure 虚拟 WAN 服务

1. 先决条件

如果你已经做到了这一点,那么你必须已经创建了 Azure 虚拟 WAN 和虚拟中心位于你希望 SD-WAN 站点与之建立连接的虚拟 WAN 内。在完成前提条件之前,建议不要参阅本节。

2. 将 DCMCN 站点与虚拟 WAN 资源和虚拟中心相关联

  • 在全局配置中,单击 配置-> 交付服务-> 单击 Azure 虚拟 WAN 的设置图标

    添加站点

  • 选择该服务后,您将进入虚拟 WAN 自动配置页面。
  • 点击 “+ 站点”。

    VWAN 创建验证

  • 根据 Azure 订阅和其他主体详细信息的身份验证是否成功,你现在将看到 Azure 虚拟 WAN 填充了作为订阅的一部分配置的所有 VWAN。

答:为虚拟 WAN 集成添加站点、配置和部署**

现在,对于这种架构,MCN 将与东部区域关联并连接到 EasthuBus。
  • 选择 EastusvwanandHub,这是我们在其中创建东西中心的虚拟广域网。
  • 选择 eastusHub

    提名 DCMCN 网站

  • 选择网站作为 “DCMCN”
    • 这里可以看到这些站点是因为这些站点已经是配置的一部分、暂存和激活
  • 查看并保存信息

    查看网站

    • 保存后,你将开始看到自动化启动,SD-WAN 将通过推送配置信息并配置 SD-WAN 端和 Azure 侧来准备站点,以便成功建立 VPN 站点。

      • 配置生效时,您将看到 “推送的站点信息 — 等待 VPN 配置” 通知。
      • 一切都成功后,它将表示 站点资源调配成功
      • 此时,Azure 虚拟 WAN 配置是自动完成的。接下来,我们必须在设备上激活同样的功能才能启动 IPSec 隧道。

    查看配置

    • 作为 Azure 虚拟广域网自动化的一部分,SD-WAN Orchestrator 开始使用 Azure API,并为配置焦点的 SD-WAN 设备 (DCMCN) 做好自动化准备。

      • 在这方面,在自动化过程中,我们从两个方面来管理它。从 SD-WAN 设备获取所有信息,以在 Azure 上预配 IPSec 和 BGP 终端节点。
      • 与 Azure 交谈并获取在 SD-WAN 设备上配置 IPSec 和 BGP 终端节点的详细信息。
      • 然后,在成功建立 IPsec 隧道后,将建立 BGP 对等互连。
      • 这使得 DCMCN 能够通过虚拟路径交换网络前缀,包括通过 BGP 到达 EastusHub 的本地路由。

B. SD-WAN 端的详细信息**

  • 从可用的 WAN 链接中,自动化脚本将选择本地 BGP 对等端节点作为本地 IP
  • 为了使隧道形成带有公共 IP 终端节点的 WAN 接口被选择

C. Azure 侧详细信息**

  • 正如你在下面的快照中看到的那样,自动脚本为 EastusHub 收集了来自 Azure 的信息,以获取以下详细信息:
    • 区域
    • 公共 IP 地址 — 隧道端点(单个集线器的主动/被动 VPN 隧道。但是这两条隧道都将建立起来。Datapath 将通过主通道进行处理,并在故障转移前夕使用辅助通道)。
    • 从 EastusHub 配置获得的 GP 私有终端节点
    • BGP ASN — 65515
  • Hub 使用从 Azure 获取的标准 IPSEC/IKE 参数,以便本地端点 DCMCN 也可以使用类似属性进行准备,以便在成功协商后形成 IPsec 隧道。

    Azure VWAN 隧道配置状态

3. 准备 SD-WAN 虚拟 WAN 自动配置以将 MCN 连接到虚拟 WAN 中心

  • 在完成 MCN 和辅助/Geo-MCN 及其各自集线器的配置之后,是时候让它们一次性自动部署在 Azure-Virtual WAN 上。

    Azure VWAN 和站点配置状态

  • 您可以看到站点(添加集线器后)处于 “站点置备成功” 状态。

    站点配置状态

4. 从 SD-WAN Orchestrator 激活配置以启用 Azure 虚拟 WAN 自动化

  • 选择 配置 > 网络配置主页

    站点配置状态

  • 选择 部署配置/软件 > 舞台

    站点配置状态

  • 选择 激活

    站点配置状态

验证虚拟 WAN 服务状态

注意: 单击 Azure 虚拟 WAN 站点上的 “信息” 图标可获取有关 Azure 虚拟 WAN 隧道配置和状态的详细信息。

转到 所有站点-> 配置-> 交付服务-> Azure 虚拟 WAN-> 单击任何已激活站点的 “I”(信息图标)。

  • 验证 IPsec 隧道是否已启动并在 MCN 上运行 (EastusHub)
    • 我们可以看到有两个 Azure 虚拟 WAN 实例已预配置。在发生任何故障转移的情况下,第二个实例作为 活动-备用
    • Azure 虚拟 WAN 自动化负责在默认情况下为两个实例启用 IPsec 隧道,因此根本不需要手动干预。
    • 另请注意,尽管两条隧道都已启动并正在运行,但总是只有一条活动隧道来处理数据路径上的连接和数据包。

    ![验证 MCN(/en-us/tech-zone/build/media/deployment-guides_sdwan-azure-virtualwan_44.png)上的隧道]

  • 验证 IPSec 隧道是否已启动并在辅助 MCN (WesHubus) 上运行

    验证辅助 MCN 上的隧道

自动部署后验证 SD-WAN 和 Hub 之间的 IPsec 隧道

1. 在 EastusHub 中验证 VPN 站点的创建

在此步骤中,我们验证是否在 EastusHub 中创建了新的 VPN 站点。此站点将作为 DCMCN 站点(通过 SD-WAN Azure 虚拟 WAN 自动化完成)。
  • 注意 ,我们在地理地图下看到 “VPN 站点” 部分表格,表明 EastusHub 连接了 1 个 VPN 站点,这是我们的 MCN 设备。

    美国东部枢纽概述

  • 单击 EastusHub 链接。这将带我们进入东部地理枢纽的深入钻取。
  • 单击 “概述” 以查看 VPN 连接的站点的数量。我们看到 1 个已连接的站点(使用我们的 MCN)。

    美国东部枢纽统计

  • 单击 VPN(站点到站点) ,然后检查连接状态是 “成功” 和 “已连接” 到 DCMCN (SD-WAN MCN)

    连接状态

2. 在 westhubus 中验证 VPN 站点的创建

在此步骤中,我们验证是否在 westhubus 中创建了新的 VPN 站点。此网站将作为 DCGEOMCN 站点(通过 SD-WAN Azure 虚拟广域网自动化完成)
  • 注意 ,我们在地理地图下看到 “VPN 站点” 部分表格,表明 Westhubus 连接了 1 个 VPN 站点,这是我们的 Geo-MCN 设备 “DCOMCN”。

    美国西部枢纽概述

  • 单击 wesHubus 链接,该链接将带我们进入西部地理中心的向下钻取

  • 在这里,我们可以看到 “概述” 显示 VPN 连接的站点数目目前为 1 个(使用我们的 MCN)

    美国西部枢纽统计

  • 单击 VPN(站点到站点) ,然后检查连接状态是 “成功” 和 “已连接” 辅助 MCN(SD-WAN Geo MCN)。

    连接状态

SD-WAN MCN 到 EastusHub 路由

  • 下一跳类型: 最重要的是,下一跳类型表示如何在路由表中学习和安装路由

  • 如果下一跳类型为:vpn_S2s_Gateway
    • 通过 vpn_S2S_Gateway 接收的所有路由都是将 IPSEC+BGP 与 SD-WAN 集成的路由,其中部署了 Azure 自动化。
    • 验证 EastusHub 路由表,并检查 BGP 传播来自 MCN 的 SD-WAN 学习路由是否适当。
    • 在 EastusHub 路由中,主要路由通过配置为 42472 的 SD-WAN 的 AS 号通过 MCN 安装(在自动化过程中自动处理)
  • 如果下一跳类型为:虚拟网络连接
    • 这将是所有安装的路由,因为这些路由是通过 EastusHub 和 East VNet 之间的 East VNet 对等连接进行的。
  • 如果下一跳类型为:远程集线器
    • 这将是 Westhubus Hubus Hub 传播的所有路由(在同一 Azure 虚拟 WAN 实例下创建)。
    • 我们还可以看到,Remote Hub 类型的路由会相应地附加了 Origin 和 AS 路径,以避免路由环路。
    • 此表包含通过 Westhubus 中心从 EastusHub 传播的所有不同 VNet(在西部区域与西部枢纽对等)。

    EastusHub 路由

SD-WAN GEOMCN 到 wesHubus 路由

验证 westhubus 路由表,并检查 BGP 是否传播 SD-WAN 从 Secondary-MCN 学习路由。

  • 下一跳类型: 最重要的是,下一跳类型表示路由是如何学习和安装在路由表中的。

  • 如果下一跳类型为:vpn_S2s_Gateway
    • 通过 vpn_S2s_Gateway 接收的所有路由都是将 IPSEC+BGP 与部署 Azure 自动化的 SD-WAN 集成的路由。
    • 验证 westhubus 路由表,并检查 BGP 传播的 SD-WAN 从辅助 MCN 获悉的路由是否合适。
    • 在 westhubus 路由中,主要路由通过配置为 22338 的 SD-WAN 的 AS 号通过 MCN 安装(在自动化过程中自动处理)。
  • 如果下一跳类型为:虚拟网络连接
    • 这将是所有安装的路由,因为这些路由是通过 Westhubus 和 West VNet 之间的 West VNet 对等连接进行的。
  • 如果下一跳类型为:远程集线器
    • 这将包含 WesHubus Hub 传播的所有路由(该路由是在同一 Azure 虚拟 WAN 实例下创建的)。
    • 我们还可以看到,Remote Hub 类型的路由会相应地附加了 Origin 和 AS 路径,以避免路由环路。
    • 此表包含通过 EastusHub 中心从 westhubus 传播的所有不同 VNet(在东区域与东部中心对等)。

    westhubus 路由

验证从 East VNet 到 EastTusHub 的路由传播

在此步骤中,我们验证路由是否正在使用全局 VNet 对等互连从 East VNet 传播到 East VWAN Hub — EastusHub。

  • 验证 EastusHub 是否已提供 MCN 学习前缀的可见性,从其默认路由表到在东 US2 区域与其对等的 VNet
  • 检查 Eastus2 VNet 的路由表并验证路由是否有效
  • VNet 是 Azure 中工作负载的实际起源和目标,我们必须明白,VNet 已经聚合以包含正确的路由流/信息,以远程访问 SD-WAN 的子网/前缀
  • VNet 本身的大多数路由都将通过虚拟网络网关直接路由,虚拟网络网关是他们连接的集线器
  • 在这种情况下,EastusHub 是 East VNet 路由表中所有路由的来源
  • vNet 对等连接下一跳类型将是用 VNet 对等创建的 Azure 虚拟 WAN 前缀的实际前缀。
  • 虚拟网络将是 VNet 本身的本地地址

    验证 EasyHub 路由传播

    验证 EasyHub 路由传播

验证从 West VNet 到 westhubus 的路由传播

在此步骤中,我们验证路由是否正在使用全球 VNet 对等互连从 West VNet 传播到西 VWAN Hub-wesHubus

  • 验证 Westhubus 是否提供了 GEOMCN 学习的前缀的可见性,从默认路由表到西 US2 区域与其对等的 VNet
  • 检查 Westus2 VNet 的路由表并验证路由是否有效
  • VNet 是 Azure 中工作负载的实际起源和目标,我们必须明白,VNet 已经聚合以包含正确的路由流/信息,以远程访问 SD-WAN 的子网/前缀
  • VNet 本身的大多数路由都将通过虚拟网络网关直接路由,虚拟网络网关是他们连接的集线器
  • 在这种情况下,Westhubus 是 West VNet 路由表中所有路由的来源
  • VNet 对等连接下一跳类型将是为 VNet 对等创建的 Azure 虚拟 WAN 前缀的实际前缀
  • 虚拟网络将是 VNet 本身的本地地址

    验证 wesTHub 路由传播

    验证 wesTHub 路由传播

行动呼吁

如果你还没有尝试过 Azure 虚拟 WAN,请前往 portal.azure.com。如果您想亲身体验 SD-WAN 解决方案的好处,请随时申请免费试用 此处

附录

创建 Azure 服务主体

1. 注册应用程序

在订阅中创建 Azure 服务委托人,以启用从 SD-WAN Orchestrator 的编程方式管理部署(自动化)。Microsoft Azure 要求需要由第三方以编程方式管理的每个资源都关联一个 IAM 角色并创建应用程序注册,以利用外部资源自动化的优势。

应用程序注册

注册应用程序

添加客户端密钥

注意:为应用程序创建客户端密钥后,请记下它或立即将其复制到稍后可以参考的某个地方。

2. 记下 Azure 服务主体详细信息

  • 记下客户端 ID、客户端密钥和租户/目录 ID,包括 Azure 订阅详细信息。
  • 你将从你创建的应用程序(Azure 服务主体)获取客户端 ID、客户端密钥和租户 ID
  • 订阅 ID — 你可以从 Azure 的 “订阅” 部分获取该帐户
  • 客户端 ID — 也称为应用程序 ID,您可以从下面新注册的应用程序的概述部分获取
  • 目录 ID — 也称为租户 ID,您可以从下面新注册的应用程序的概述部分获取

复制 Azure 主体详细信息

  • 客户端密钥 — 在创建客户端密钥后立即记下或复制它。此步骤对于验证订阅帐户以及验证创建的应用程序是否有资格管理要启用自动化的资源的可编程性(在 Azure 中),这一步非常重要。

复制 Azure 主体详细信息

3. 将 Azure 服务主体与资源关联

  • 转到虚拟广域网资源 “eastusvwanandHub”
  • 转到 访问控制 (IAM)
  • 点 击下面突出显示的添加角色分配部分的 “添加” 按钮
  • 您也可以单击角色分配部分,然后单击 “+ 添加”(下载角色分配旁边)将 IAM 角色添加到服务主体。

复制 Azure 主体详细信息

  • 单击 “添加”后,您将在右侧看到一个弹出窗格,以添加角色
    • 选择 角色类型作 为 “贡献者”
    • 将分配访问权限 保留为默认值(Azure AD 用户、组或服务主体)
    • 选择 部分,您可以搜索您创建的应用程序,称为 “Orchestrator”。(这只是一个字符串,我们可以自定义命名这个。通过 Orchestrator 自动执行配置时,使用名为 “Orchestrator” 的字符串作为 Azure 承担者不能存在混淆)。
      • 搜索成功后,您可以选择应用程序。
    • 选择 “保存” 按钮。(Azure 服务主体的创建和与资源的关联到此结束)

复制 Azure 主体详细信息

Citrix SD-WAN + Azure 虚拟 WAN 蓝图:部署指南

本文中包含的内容