Citrix SD-WAN Orchestrator für Lokal 14.3

Site-Konfiguration

Sie können neue Sites über die Netzwerkstartseite oder über den Abschnitt Profile & Vorlagen hinzufügen, um Ihr SD-WAN-Netzwerk zu konfigurieren.

Um eine Site zu erstellen, klicken Sie im Netzwerk-Dashboard auf + Neue Site . Geben Sie einen Namen und einen Speicherort für die Site an.

Konfiguration auf Siteebene Neue Site

Sie können eine Site von Grund auf neu erstellen oder ein Site-Profil verwenden, um eine Site schnell zu konfigurieren.

Eine grafische Anzeige auf der rechten Seite des Bildschirms zeigt ein dynamisches Topologiediagramm an, während Sie mit der Konfiguration fortfahren.

Um die Standortkonfiguration anzuzeigen, wählen Sie Site aus und navigieren Sie zu Konfiguration > Standortkonfiguration.

Site-Konfiguration

Site-Einzelheiten

Der erste Schritt umfasst die Eingabe der Site, des Geräts, der erweiterten Einstellungen und der Site-Kontaktdaten.

Site-Einzelheiten

Wenn Sie Sites mithilfe einer Site-Vorlage konfigurieren, wird der folgende Bildschirm angezeigt.

Informationen zur Site-Vorlage

Site-/Vorlageninformationen

  • Wenn Sie ein Standortprofil auswählen, werden die Site-, Schnittstellen- und WAN-Linksparameter basierend auf der Standortprofilkonfiguration automatisch ausgefüllt.
  • Site-Adresse und Site-Name werden basierend auf den im vorherigen Schritt angegebenen Details automatisch ausgefüllt.
  • Aktivieren Sie das Kontrollkästchen Lat/Lng, um den Breiten- und Längengrad eines Standorts abzurufen.
  • Wählen Sie die Region aus der Dropdownliste aus.
  • Gerätemodell und Submodell können basierend auf dem Hardwaremodell oder der virtuellen Appliance ausgewählt werden, die an einem bestimmten Standort verwendet werden.
  • DieDevice Edition wird automatisch basierend auf dem ausgewählten Gerätemodell wiedergegeben. Derzeit werden Premium Edition (PE), Advanced Edition (AE) und Standard Edition (SE) unterstützt. Das PE-Modell wird nur auf 1100-, 2100-, 5100- und 6100-Plattformen unterstützt. Das AE-Modell wird auf 210- und 1100-Plattformen unterstützt.

    Hinweis

    Der Citrix SD-WAN Orchestrator Service unterstützt keine Advanced Edition- und Premium Edition-Plattformen.

  • Site-Rolle definiert die Rolle des Geräts. Sie können einer Site eine der folgenden Rollen zuweisen:

    • MCN: Master Control Node (MCN) dient als Controller des Netzwerks, und nur ein aktives Gerät in einem Netzwerk kann als MCN bezeichnet werden.
    • Niederlassung: Appliances an den Zweigstellen, die vom MCN konfiguriert werden und an der Einrichtung virtueller WAN-Funktionalitäten für die Zweigstellen beteiligt sind. Es kann mehrere Filialen geben.
    • RCN: Regional Control Node (RCN) unterstützt eine hierarchische Netzwerkarchitektur und ermöglicht die Bereitstellung von Netzwerken in mehreren Regionen. MCN steuert mehrere RCNs und jeder RCN wiederum steuert mehrere Zweigstandorte.
    • Georedundanter MCN: Ein Standort an einem anderen Standort, der die Verwaltungsfunktionen des MCN übernimmt, falls er nicht verfügbar ist, wodurch eine Notfallwiederherstellung sichergestellt wird. Der georedundante MCN bietet keine Hochverfügbarkeits- oder Failover-Funktionen für den MCN.
    • Georedundanter RCN: Ein Standort an einem anderen Standort, der die Verwaltungsfunktionen des RCN übernimmt, falls er nicht verfügbar ist, wodurch eine Notfallwiederherstellung sichergestellt wird. Die georedundante RCN bietet keine Hochverfügbarkeits- oder Failover-Funktionen für den RCN.
  • Bandbreiten-Tier ist die abrechenbare Bandbreitenkapazität, die Sie je nach Gerätemodell auf jedem Gerät konfigurieren können. Zum Beispiel unterstützt die SD-WAN 410 Standard Edition (SE) -Appliance Bandbreitensteinen von 20, 50, 100, 150 und 200 Mbit/s. Abhängig von Ihren Bandbreitenanforderungen für eine bestimmte Site können Sie die gewünschte Stufe auswählen. Jeder Standort wird für die konfigurierte Bandbreitenstufe in Rechnung gestellt.

Routing-Domäne

Im Abschnitt Routingdomäne können Sie die Standard-Routingdomäne für den Standort auswählen. Routingdomäneneinstellungen können entweder global oder standortspezifisch sein. Wenn Sie Globale Standardwerteauswählen, wird die global gültige Standard-Routingdomäne automatisch ausgewählt. Wenn Sie Standortspezifischauswählen, können Sie die Standard-Routingdomäne aus der Dropdown-Liste Routingdomäne auswählen.

Routing Unterstützung für LAN-Segmentierung

Die SD-WAN Standard und Enterprise Edition (SE/PE) -Appliances implementieren die LAN-Segmentierung über verschiedene Standorte hinweg, an denen eine der beiden Appliances bereitgestellt wird. Die Appliances erkennen und verwalten eine Aufzeichnung der verfügbaren LAN-seitigen VLANs und konfigurieren Regeln dafür, zu welchen anderen LAN-Segmenten (VLANs) an einem Remotestandort mit einer anderen SD-WAN SE/PE-Appliance eine Verbindung herstellen können.

Die obige Funktion wird mithilfe einer VRF-Tabelle (Virtual Routing and Forwarding) implementiert, die in der SD-WAN SE/PE-Appliance verwaltet wird und die Remote-IP-Adressbereiche verfolgt, auf die ein lokales LAN-Segment zugreifen kann. Dieser VLAN-zu-VLAN-Datenverkehr würde das WAN immer noch über denselben vorab festgelegten virtuellen Pfad zwischen den beiden Appliances durchqueren (es müssen keine neuen Pfade erstellt werden).

Ein Beispiel für diese Funktionalität ist, dass ein WAN-Administrator in der Lage sein könnte, die Netzwerkumgebung einer lokalen Zweigstelle über ein VLAN zu segmentieren und einigen dieser Segmente (VLANs) Zugriff auf DC-seitige LAN-Segmente zu gewähren, die Zugriff auf das Internet haben, während andere möglicherweise keinen solchen Zugriff erhalten. Die Konfiguration der VLAN-zu-VLAN-Verknüpfungen erfolgt über die Webschnittstelle des Citrix SD-WAN Orchestrator Service.

Erweiterte Einstellungen

  • Quell-MAC-Lernen aktivieren: Speichert die Quell-MAC-Adresse der empfangenen Pakete, sodass ausgehende Pakete an dasselbe Ziel an denselben Port gesendet werden können.

  • Route zum Internet vom Link beibehalten, auch wenn alle zugehörigen Pfade ausgefallen sind: Wenn diese Option aktiviert ist, wählen die für den Internetdienst bestimmten Pakete weiterhin den Internetdienst aus, auch wenn nicht alle WAN-Links für den Internetdienst verfügbar sind.

  • Route zum Intranet vom Link beibehalten, auch wenn alle zugehörigen Pfade ausgefallen sind: Wenn diese Option aktiviert ist, wählen die für den Intranetdienst bestimmten Pakete weiterhin den Intranetdienst aus, auch wenn nicht alle WAN-Links für den Intranetdienst verfügbar sind.

  • Die Kontaktdaten des Administrators sind auf der Website verfügbar.

Ein dynamisches Netzwerkschema rechts neben dem Konfigurationspanel bietet fortlaufend visuelles Feedback, während Sie den Konfigurationsprozess durchlaufen.

Gerätedetails

Im Abschnitt “Gerätedetails” können Sie High Availability (HA) an einem Standort konfigurieren und aktivieren. Mit HA können zwei Appliances an einem Standort als aktive primäre und passive Sekundärstufe eingesetzt werden. Die sekundäre Appliance übernimmt, wenn die primäre Ausfall erfolgt. Weitere Informationen finden Sie unter Hochverfügbarkeit.

Gerätedetails zur Konfiguration auf Site-Ebene

Hinweis

Seriennummern können nicht mithilfe der Site-Vorlagen konfiguriert werden.

Geräteinformationen

Aktivieren Sie HA und geben Sie die Seriennummer und einen Kurznamen für die primären und sekundären Appliances ein. Klicken Sie auf Hinzufügen und geben Sie die Seriennummer zusammen mit dem Kurznamen der Site an.

Seriennummer hinzufügen

Klicken Sie auf Hinzufügen.

Seriennummer hinzugefügt

  • Seriennummer: Auf die Seriennummer einer virtuellen SD-WAN-Instanz (VPX) kann über die VPX-Webkonsole zugegriffen werden, wie im folgenden Screenshot hervorgehoben. Eine Seriennummer einer Hardware-Appliance finden Sie auch auf dem Geräteetikett.

    Seriennummer

  • Kurzname: Das Feld Kurzname wird verwendet, um einen leicht identifizierbaren Kurznamen für eine Site anzugeben oder eine Site bei Bedarf zu kennzeichnen.

Klicken Sie auf die Option Löschen, wenn Sie die Seriennummer löschen möchten.

Hinweis: Um die Seriennummer zu aktualisieren, müssen Sie die vorhandene Seriennummer löschen und eine neue einlesen.

Seriennummer löschen

Wenn Sie auf die Option Löschen klicken, wird ein Popup-Fenster angezeigt, um zu bestätigen, ob Sie die Seriennummer löschen möchten oder nicht.

Bestätigung zum Löschen der Seriennummer

Erweiterte HA-Einstellungen

  • Failover-Zeit (ms): Die Wartezeit nach dem Verlust des Kontakts mit der primären Appliance, bevor die Standby-Appliance aktiv wird.
  • Gemeinsamer Basis-MAC: Die gemeinsam genutzte MAC-Adresse für die Geräte mit hoher Verfügbarkeit. Wenn ein Failover auftritt, verfügt die sekundäre Appliance über dieselben virtuellen MAC-Adressen wie die fehlgeschlagene primäre Appliance.
  • Shared Base MAC deaktivieren: Diese Option ist nur auf Hypervisor- und Cloud-basierten Plattformen verfügbar. Wählen Sie diese Option, um die gemeinsam genutzte virtuelle MAC-Adresse zu deaktivieren.
  • Primäre Rückforderung: Die designierte primäre Appliance übernimmt beim Neustart nach einem Failover-Ereignis die Kontrolle zurück.
  • HA-Fail-to-Wire-Modus: Der HA-Fail-to-Wire-Modus ist aktiviert. Weitere Einzelheiten finden Sie unter HA-Bereitstellungsmodi.
  • Y-Kabel-Unterstützung aktivieren: Die Small Form-Factor Pluggable (SFP) -Ports können mit einem Glasfaser-Y-Kabel verwendet werden, um die Hochverfügbarkeitsfunktion für die Edge-Modus-Bereitstellung zu aktivieren. Diese Option ist nur für Citrix SD-WAN 1100 SE/PE Appliances verfügbar. Weitere Informationen finden Sie unter Hochverfügbarkeit im Edge-Modus mithilfe von Glasfaser-Y-Kabeln aktivieren.

Wi-Fi-Einzelheiten

Sie können eine Citrix SD-WAN-Appliance, die Wi-Fi unterstützt, als Wi-Fi-Zugangspunkt konfigurieren.

Die folgenden zwei Varianten der Citrix SD-WAN 110-Plattform unterstützen Wi-Fi und können als Wi-Fi-Zugangspunkt konfiguriert werden:

  • Citrix SD-WAN 110-WiFi-SE
  • Citrix SD-WAN 110-LTE-WLAN

Weitere Informationen zur Wi-Fi-Konfiguration finden Sie unter Wi-Fi Access Point

Schnittstellen

Der nächste Schritt besteht darin, die Schnittstellen hinzuzufügen und zu konfigurieren. Klicken Sie auf + Schnittstelle, um die Konfiguration der Schnittstelle zu starten Klicken Sie auf + HA-Schnittstelle, um die HA-Schnittstelle zu konfigurieren Die Option + HA-Schnittstelle ist nur verfügbar, wenn Sie eine sekundäre Appliance für hohe Verfügbarkeit konfiguriert haben.

Bei der Schnittstellenkonfiguration wird der Bereitstellungsmodus ausgewählt und die Attribute auf Schnittstellenebene festgelegt. Diese Konfiguration gilt sowohl für LAN- als auch für WAN-Verbindungen.

Konfigurationsschnittstelle auf Site-Ebene

In-Band-Verwaltung

Mit der In-Band-Verwaltung können Sie die SD-WAN-Datenports für die Verwaltung verwenden. Es trägt sowohl Daten- als auch Verwaltungsverkehr, ohne dass ein zusätzlicher Verwaltungspfad konfiguriert werden muss. Durch die In-Band-Verwaltung können virtuelle IP-Adressen mit Verwaltungsdiensten wie Web-UI und SSH verbunden werden. Sie können auf die Web-UI und SSH über die Management-IP und virtuelle In-Band-IPs zugreifen.

Um die In-Band-Verwaltung zu aktivieren, wählen Sie eine IPv4-Adresse aus der Dropdown-Liste InBand-Verwaltungs-IP oder eine IPv6-Adresse aus der Dropdown-Liste InBand-Verwaltung IPv6 aus. Wählen Sie aus der Dropdown-Liste InBand Management DNS oder InBand Management DNS V6 denDNS-Proxyaus, an den alleDNS-Anforderungenüber die Inband- und Backup-Verwaltungsebene weitergeleitet werden.

Weitere Informationen zur In-Band-Verwaltung finden Sie unter In-Band-Verwaltung.

Die für Schnittstellen konfigurierten IP-Adressen werden in der Dropdownliste InBand Management IP aufgeführt. Die unter Erweiterte Einstellungen > DNS konfigurierten DNS-Proxydienste werden in der Dropdownliste InBand Management DNS aufgelistet.

Interface-Attribute

Die folgenden Bereitstellungsmodi werden unterstützt:

  1. Edge (Gateway)
  2. Inline — Fail-to-Wire, Fail-to-Block und virtuell inline.
  • Bereitstellungsmodus: Wählen Sie einen der folgenden Bereitstellungsmodi aus.

    • Edge (Gateway):

      Edge

      Der Gateway-Modus impliziert, dass SD-WAN als „Gateway“ zum WAN für den gesamten LAN-Verkehr dient. Der Gateway-Modus ist der Standardmodus. Sie können die Appliance als Gateway auf der LAN- oder WAN-Seite bereitstellen.

    • Inline:

      Wenn SD-WAN inline zwischen einem LAN-Switch und einem WAN-Router bereitgestellt wird, wird erwartet, dass SD-WAN LAN und WAN „überbrückt“.

      Alle Citrix SD-WAN-Appliances verfügen über vordefinierte Bridge-gekoppelte Schnittstellen. Wenn die Option Bridge aktiviert ist, hebt die Auswahl einer beliebigen Schnittstelle auf der LAN-Seite automatisch die gekoppelte Schnittstelle hervor, die für das WAN-Ende der Bridge reserviert ist. Beispielsweise sind die physikalischen Schnittstellen 1 und 2 ein überbrücktes Paar.

      • Fail-To-Wire: Ermöglicht eine physische Verbindung zwischen dem überbrückten Schnittstellenpaar, sodass der Datenverkehr SD-WAN Bypass und im Falle eines Neustarts oder Ausfalls der Appliance direkt über die Bridge fließen kann.

      Früher wurde der DHCP-Client nur auf Fail-to-block-Port unterstützt. Mit der Version Citrix SD-WAN 11.2.0 wird die DHCP-Clientfunktion auf dem Fail-to-Wire-Port für den Zweigstandort mit seriellen Hochverfügbarkeitsbereitstellungen (HA) erweitert. Diese Erweiterung:

      • Ermöglicht die DHCP-Clientkonfiguration für nicht vertrauenswürdige Schnittstellengruppe, die über Fail-to-Wire-Bridge-Paare und serielle HA-Bereitstellungen verfügt
      • Ermöglicht die Auswahl von DHCP-Schnittstellen als Teil von privaten Intranet-WAN-Verbindungen.

      Hinweise

      • Die Inline-Option (Fail-to-Wire) ist nur auf Hardware-Appliances und nicht auf virtuellen Appliances (VPX/VPXL) verfügbar.
      • Der DHCP-Client wird nun auf dem privaten Intranetlink unterstützt.
      • Eine LAN-Schnittstelle darf nicht mit dem Fail-to-Wire-Paar verbunden werden, da Pakete zwischen den Schnittstellen überbrückt werden können.

      Inline kann nicht verkabelt werden

      • Fail-to-Block: Diese Option deaktiviert die physische Verbindung zwischen den überbrückten Schnittstellenpaaren auf Hardware-Appliances und verhindert so, dass bei einem Neustart oder Ausfall der Appliance Datenverkehr über die Bridge fließt.

      Hinweis

      Inline (Fail-to-Block) ist die einzige Bridge-Modus-Option, die auf virtuellen Appliances (VPX/VPXL) verfügbar ist.

      Inline kann nicht blockiert werden

      • Virtuelles Inline (einarmig):

      Virtuell inline

      Wenn SD-WAN in diesem Modus bereitgestellt wird, verfügt es über einen einzigen Arm, der es mit dem WAN-Router, dem LAN und dem WAN verbindet, die dieselbe Schnittstelle auf SD-WAN teilen. Daher werden die Schnittstelleneinstellungen zwischen den LAN- und WAN-Verbindungen gemeinsam genutzt.

  • Schnittstellentyp: Wählen Sie den Schnittstellentyp aus der Dropdownliste aus.
  • Sicherheit (vertrauenswürdig/nicht vertrauenswürdig): Gibt die Sicherheitsstufe der Schnittstelle an. Vertrauenswürdige Segmente werden durch eine Firewall geschützt.
  • Schnittstellenname: Basierend auf dem ausgewählten Bereitstellungsmodus wird das Feld Schnittstellenname automatisch ausgefüllt.

Physische Schnittstelle

  • Schnittstelle wählen: Wählen Sie den konfigurierbaren Ethernet-Port aus, der auf der Appliance verfügbar ist.

Virtuelles Interface

  • VLAN-ID: Die ID zum Identifizieren und Markieren des Datenverkehrs zur und von der Schnittstelle.
  • Name der virtuellen Schnittstelle: Basierend auf dem ausgewählten Bereitstellungsmodus wird das Feld Name der virtuellen Schnittstelle automatisch ausgefüllt.
  • HA Heartbeataktivieren: Aktivieren Sie die Synchronisierung von HA-Heartbeats über diese Schnittstelle. Diese Option ist aktiviert, wenn Sie eine sekundäre Appliance für HA konfiguriert haben. Wählen Sie diese Option, damit primäre und sekundäre Appliances die HA-Heartbeats über diese Schnittstelle synchronisieren können. Geben Sie die IP-Adresse der primären und sekundären Appliance an.
  • Routingdomäne: Die Routingdomäne, die einen zentralen Verwaltungspunkt des Zweigstellennetzwerks oder eines Rechenzentrumsnetzwerks bereitstellt.
  • Firewallzonen: Die Firewallzone, zu der die Schnittstelle gehört. Firewallzonen sichern und steuern die Schnittstellen in der logischen Zone.
  • Client-Modus: Wählen Sie in der Dropdownliste Client-Modus aus. Bei Auswahl von PPPoE zeigt Static weitere Einstellungen an.

    Hinweis

    Wenn der Standortmodus (auf der Registerkarte Standortdetails) als Verzweigung und das Feld Sicherheit (auf der Registerkarte Schnittstelle ) als Nicht vertrauenswürdigausgewählt ist, ist die Option PPPoE Dynamic unter Client-Modusverfügbar.

    Citrix SD-WAN fungiert als PPPoE-Client. Für IPv4 erhält SD-WAN die dynamische IPv4-Adresse oder verwendet die statische IPv4-Adresse. Für IPv6 bezieht es die lokale Linkadresse vom PPPoE-Server. Für die IPv6-Unicastadresse kann Static IP, DHCP oder SLAAC verwendet werden.

  • DHCP-Client: Wenn diese Option auf den virtuellen Schnittstellen aktiviert ist, weist der DHCP-Server dem verbundenen Client dynamisch IPv4-Adressen zu.
  • DHCP-IPv6-Client: Wenn diese Option auf den virtuellen Schnittstellen aktiviert ist, weist der DHCP-Server dem verbundenen Client dynamisch IPv6-Adressen zu.
  • SLAAC: Diese Option ist nur für IPv6-Adressen verfügbar. Wenn diese Option ausgewählt ist, erhält die Schnittstelle IPv6-Adressen über Stateless Address Autokonfiguration (SLAAC).
  • Directed Broadcast: Wenn das Kontrollkästchen Directed Broadcast aktiviert ist, werden die gerichteten Broadcasts an die virtuellen IP-Subnetze auf der virtuellen Schnittstelle gesendet.
  • Aktiviert: Standardmäßig ist das Kontrollkästchen Aktiviert für alle virtuellen Schnittstellen aktiviert. Wenn Sie die virtuelle Schnittstelle deaktivieren möchten, deaktivieren Sie das Kontrollkästchen Aktiviert .

    Hinweis

    • Das Kontrollkästchen Aktiviert ist nur ab Citrix SD-WAN Version 11.3.1 verfügbar.
    • Die Option zum Deaktivieren einer virtuellen Schnittstelle ist nur verfügbar, wenn sie nicht von einem WAN Link Access Interface verwendet wird. Wenn die virtuelle Schnittstelle von einem WAN Link Access Interface verwendet wird, ist das Kontrollkästchen schreibgeschützt und standardmäßig aktiviert.
    • Bei der Konfiguration anderer Funktionen zusammen mit aktivierten virtuellen Schnittstellen werden auch die deaktivierten virtuellen Schnittstellen aufgelistet, mit Ausnahme von Access Interfaces for a WAN-Link. Selbst wenn Sie eine deaktivierte virtuelle Schnittstelle auswählen, wird die virtuelle Schnittstelle nicht berücksichtigt und hat keine Auswirkungen auf die Netzwerkkonfiguration.
  • + IPv4-Adresse: Die virtuelle IPv4-Adresse und Netzmaske der Schnittstelle.
  • + IPv6-Adresse: Die virtuelle IPv6-Adresse und das Präfix der Schnittstelle.
  • Identität: Wählen Sie eine Identität aus, die für IP-Dienste verwendet werden soll. Beispielsweise wird Identität als Quell-IP-Adresse für die Kommunikation mit BGP-Nachbarn verwendet.
  • Privat: Wenn diese Option aktiviert ist, kann die virtuelle IP-Adresse nur auf der lokalen Appliance routingfähig sein.

Hinweis

  • LTE-Ports unterstützen keine statischen IP-Adressen (IPv4 und IPv6).
  • LTE-Ports unterstützen sowohl DHCP als auch SLAAC. Die Konfiguration von DHCPv4 oder DHCPv6 ist obligatorisch. SLAAC ist optional.
  • In LTE-Ports können Link-Local-Adressen für IPv6 oder SLAAC konfiguriert werden.

PPPoE-Anmeldeinformationen

PPPoE (Point to Point Protocol over Ethernet) verbindet mehrere Computerbenutzer in einem Ethernet-LAN mit einem Remotestandort über gängige Appliances, z. B. Citrix SD-WAN. PPPoE ermöglicht Benutzern, eine gemeinsame DSL (Digital Subscriber Line), ein Kabelmodem oder eine drahtlose Verbindung zum Internet freizugeben. PPPoE kombiniert das Point-to-Point-Protokoll (PPP), das üblicherweise in DFÜ-Verbindungen verwendet wird, mit dem Ethernet-Protokoll, das mehrere Benutzer in einem LAN unterstützt. Die PPP-Protokollinformationen sind in einem Ethernet-Frame gekapselt.

Citrix SD-WAN-Appliances verwenden PPPoE, um ISP dabei zu unterstützen, im Gegensatz zu Wählverbindungen über laufende und kontinuierliche DSL- und Kabelmodemverbindungen zu verfügen. PPPoE bietet jeder Benutzer-Remotestandortsitzung die Möglichkeit, die Netzwerkadressen des anderen durch einen ersten Austausch namens “Discovery” zu erfahren. Nachdem eine Sitzung zwischen einem einzelnen Benutzer und dem Remotestandort, beispielsweise einem ISP-Anbieter, eingerichtet wurde, kann die Sitzung überwacht werden. Unternehmen nutzen gemeinsam genutzten Internetzugang über DSL-Leitungen mit Ethernet und PPPoE.

Citrix SD-WAN fungiert als PPPoE-Client. Für IPv4 erhält SD-WAN die dynamische IPv4-Adresse oder verwendet die statische IPv4-Adresse. Für IPv6 bezieht es die lokale Linkadresse vom PPPoE-Server. Für die IPv6-Unicastadresse kann Static IP, DHCP oder SLAAC verwendet werden.

Folgendes ist erforderlich, um erfolgreiche PPPoE-Sitzungen einzurichten:

  • Konfigurieren Sie die virtuelle Netzwerkschnittstelle (VNI).
  • Eindeutige Anmeldeinformationen für die Erstellung einer PPPoE-Sitzung.
  • Konfigurieren Sie WAN-Verbindung. Für jedes VNI kann nur eine WAN-Verbindung konfiguriert sein.
  • Konfigurieren Sie die virtuelle IP-Adresse. Jede Sitzung erhält eine eindeutige IP-Adresse, dynamisch oder statisch, basierend auf der bereitgestellten Konfiguration.
  • Stellen Sie die Appliance im Bridge-Modus bereit, um PPPoE mit statischer IP-Adresse zu verwenden, und konfigurieren Sie die Schnittstelle als „vertrauenswürdig „
  • Statische IP wird bevorzugt, um eine Konfiguration zu haben, um die vom Server vorgeschlagene IP zu erzwingen. Wenn sie sich von der konfigurierten statischen IP unterscheidet, kann ein Fehler auftreten.
  • Stellen Sie die Appliance als Edge-Gerät bereit, um PPPoE mit dynamischer IP zu verwenden, und konfigurieren Sie die Schnittstelle als „nicht vertrauenswürdig „
  • Unterstützte Authentifizierungsprotokolle sind PAP, CHAP, EAP-MD5, EAP-SRP.
  • Die maximale Anzahl mehrerer Sitzungen hängt von der Anzahl der konfigurierten VNIs ab.
  • Erstellen Sie mehrere VNIs zur Unterstützung mehrerer PPPoE-Sitzungen pro Schnittstellengruppe.

Hinweis:

Es dürfen mehrere VNIs mit demselben 802.1Q-VLAN-Tag erstellt werden.

Einschränkungen für die PPPoE-Konfiguration:

  • 802.1q VLAN-Tagging wird nicht unterstützt.
  • Die EAP-TLS-Authentifizierung wird nicht unterstützt.
  • Adress-/Steuerungskomprimierung.
  • Entleeren Sie die Kompression.
  • Verhandlung über Protokoll-Feld-Komprimierung
  • Protokoll zur Kompressionssteuerung.
  • BSD Kompression komprimieren.
  • IPX-Protokolle.
  • PPP Multilink.
  • TCP/IP-Header-Kompression im Van Jacobson-Stil.
  • Verbindungs-ID-Komprimierungsoption bei der TCP/IP-Header-Komprimierung im Van Jacobson-Stil.
  • PPPoE wird auf LTE-Schnittstellen nicht unterstützt.

Ab der Citrix SD-WAN 11.3.1-Version wird ein zusätzlicher 8-Byte-PPPoE-Header für die Anpassung der TCP-Maximal-Segmentgröße (MSS) berücksichtigt. Der zusätzliche 8-Byte-PPPoE-Header passt den MSS in den Synchronisierungspaketen basierend auf der MTU an. Die unterstützte MTU reicht von 1280 Byte bis 1492 Byte.

PPPoE-Konfiguration

Auf einem MCN können Sie nur statische PPPoE konfigurieren. In einer Zweigstelle können Sie entweder PPPoE statisch oder PPPoE dynamisch konfigurieren.

Um PPPoE zu konfigurieren, navigieren Sie auf Standortebene zur Registerkarte Konfiguration > Standortkonfiguration > Schnittstellen . Wählen Sie im Abschnitt Virtuelle Schnittstellen die entsprechende PPPoE-Option aus der Dropdown-Liste Client-Modus aus.

Hinweis

  • Ein mit mehreren Schnittstellen konfiguriertes VNI kann nur eine Schnittstelle für PPPoE-Konnektivität verwenden.
  • Wenn ein VNI, das mit mehreren Schnittstellen und einer PPPoE-Konnektivität konfiguriert ist, in eine andere Schnittstelle geändert wird, kann die Seite Berichte > Echtzeit > PPPoE verwendet werden, um die bestehende Sitzung zu beenden und eine neue Sitzung zu starten. Die neue Sitzung kann dann über die neue Schnittstelle eingerichtet werden.
  • Wenn PPPoE Dynamic ausgewählt ist, muss der VNI “Nicht vertrauenswürdig” sein.

PPPoE-Anmeldeinformationen

  • AC-Name: Geben Sie den Access Concentrator (AC) -Namen für die PPPoE-Konfiguration an.
  • Dienstname: Geben Sie einen Dienstnamen ein.
  • Haltezeit erneut verbinden: Geben Sie die Haltezeit für den Wiederverbindungsversuch ein.
  • Benutzername: Geben Sie den Benutzernamen für die PPPoE-Konfiguration ein.
  • Passwort: Geben Sie das Passwort für die PPPoE-Konfiguration ein.
  • Auth: Wählen Sie das Autorisierungsprotokoll aus der Dropdownliste aus.
    • Wenn die Option Auth auf Auto gesetzt ist, berücksichtigt die SD-WAN-Appliance die vom Server empfangene unterstützte Authentifizierungsprotokollanforderung.
    • Wenn die Option Auth auf PAP/CHAP/EAP gesetzt ist, werden nur bestimmte Authentifizierungsprotokolle berücksichtigt. Wenn PAP in der Konfiguration ist und der Server eine Authentifizierungsanfrage mit CHAP sendet, wird die Verbindungsanforderung zurückgewiesen. Wenn der Server nicht mit PAP aushandelt, tritt ein Authentifizierungsfehler auf.

Pro statischem oder dynamischem PPPoE-VNI ist nur eine WAN-Link-Erstellung zulässig. Die WAN-Verbindungskonfiguration hängt von der VNI-Auswahl des Clientmodus ab.

Wenn der VNI mit dem dynamischen PPPoE-Clientmodus konfiguriert ist:

  • IP-Adress- und Gateway-IP-Adressfelder werden inaktiv.
  • Der virtuelle Pfadmodus ist auf “Primär” eingestellt.
  • Proxy ARP kann nicht konfiguriert werden.

Standardmäßig ist Gateway MAC-Adressbindung ausgewählt.

Wenn das VNI mit dem statischen PPPoE-Client-Modus konfiguriert ist, konfigurieren Sie die IP-Adresse.

Hinweis:

Wenn der Server die konfigurierte statische IP-Adresse nicht berücksichtigt und eine andere IP-Adresse anbietet, tritt ein Fehler auf. Die PPPoE-Sitzung versucht, die Verbindung in regelmäßigen Abständen wiederherzustellen, bis der Server die konfigurierte IP-Adresse akzeptiert.

PPPoE-Überwachung und Fehlerbehebung

Navigieren Sie auf Standortebene zum Abschnitt Berichte > Echtzeit > PPPoE, um Informationen zu den konfigurierten VNIs im statischen oder dynamischen PPPoE-Client-Modus anzuzeigen. Es ermöglicht Ihnen, die Sitzungen zur Fehlerbehebung manuell zu starten oder zu beenden.

PPPoE-Bericht

Wenn es ein Problem beim Einrichten einer PPPoE-Sitzung gibt:

  • Wenn Sie mit der Maus über den Status „Fehlgeschlagen“ fahren, wird der Grund für den letzten Fehler angezeigt.
  • Starten Sie die Sitzung neu, um eine neue Sitzung einzurichten oder um Probleme bei einer aktiven PPPoE-Sitzung zu beheben.
  • Wenn eine PPPoE-Sitzung manuell beendet wird, kann sie erst gestartet werden, wenn sie manuell gestartet und eine Konfigurationsänderung aktiviert wurde oder der Dienst neu gestartet wurde.

Eine PPPoE-Sitzung kann aus folgenden Gründen fehlschlagen:

  • Wenn SD-WAN sich aufgrund eines falschen Benutzernamen/Passworts in der Konfiguration nicht beim Peer authentifizieren kann.
  • Die PPP-Verhandlung schlägt fehl - die Verhandlung erreicht nicht den Punkt, an dem mindestens ein Netzwerkprotokoll ausgeführt wird.
  • Problem mit Systemspeicher oder Systemressourcen.
  • Ungültig/schlechte Konfiguration (falscher AC-Name oder Dienstname).
  • Die serielle Port konnte aufgrund eines Betriebssystemfehlers nicht geöffnet werden.
  • Keine Antwort für die Echo-Pakete empfangen (Link ist fehlerhaft oder der Server reagiert nicht).
  • Es gab mehrere ununterbrochene erfolglose Wählsitzungen in einer Minute.

Nach 10 aufeinanderfolgenden Ausfällen wird der Grund für das Scheitern beobachtet.

  • Wenn der Fehler normal ist, wird er sofort neu gestartet.
  • Wenn der Fehler ein Fehler ist, wird der Neustart für 10 Sekunden zurückgesetzt.
  • Wenn der Fehler schwerwiegend ist, wird der Neustart vor dem Neustart für 30 Sekunden zurückgesetzt.

LCP-Echo-Anforderungspakete werden alle 60 Sekunden von SD-WAN generiert, und das Nichtempfangen von 5 Echoantworten wird als Verbindungsfehler angesehen und stellt die Sitzung wieder her.

  • Wenn der VNI betriebsbereit ist, zeigen die IP- und Gateway-IP-Spalten die aktuellen Werte in der Sitzung an. Es zeigt an, dass es sich um kürzlich empfangene Werte handelt.
  • Wenn der VNI angehalten ist oder sich im Status „Fehlgeschlagen“ befindet, sind die Werte die zuletzt empfangenen Werte.
  • Wenn Sie den Mauszeiger über die Spalte Gateway-IP bewegen, wird die MAC-Adresse des PPPoE Access Concentrators angezeigt, von dem die Sitzung und die IP empfangen werden.
  • Wenn Sie mit der Maus über den Wert „state“ fahren, wird eine Meldung angezeigt, die für einen Status „Failed“ nützlicher ist.
PPPoE-Sitzungstyp Status-Farbe Beschreibung
Konfiguriert Gelb Ein VNI ist mit PPPoE konfiguriert. Dies ist ein Ausgangszustand.
Dialing Gelb Nachdem ein VNI konfiguriert wurde, wechselt der PPPoE-Sitzungsstatus in den Wählzustand, indem die PPPoE-Erkennung gestartet wird. Paketinformationen werden erfasst.
Sitzungsfortbestehen Gelb VNI wird vom Discovery-Status in den Sitzungsstatus verschoben und wartet auf den Empfang der IP, wenn es dynamisch ist, oder wartet auf Bestätigung vom Server für die angekündigte IP, falls statisch.
Bereit Grün IP-Pakete werden empfangen und die VNI und die zugehörige WAN-Verbindung sind einsatzbereit.
Fehlgeschlagen Rot PPP/PPPoE-Sitzung wird beendet. Der Grund für den Fehler kann eine ungültige Konfiguration oder ein schwerwiegender Fehler sein. Die Sitzung versucht nach 30 Sekunden wieder eine Verbindung herzustellen.
Beendet Gelb PPP/PPPoE-Sitzung wird manuell gestoppt.
Kündigung Gelb Ein Zwischenzustand, der aus einem bestimmten Grund endet. Dieser Zustand beginnt automatisch nach einer bestimmten Dauer (5 Sekunden für normalen Fehler oder 30 Sekunden für einen schwerwiegenden Fehler).
Deaktiviert Gelb Der SD-WAN-Dienst ist deaktiviert.

Die Datei SDWAN_ip_learned.log enthält Protokolle, die sich auf PPPoE beziehen. Navigieren Sie zu Fehlerbehebung > Geräteprotokolle, um die Datei SDWAN_ip_learned.log anzuzeigen oder herunterzuladen.

Kabelgebundene 802.11x-Konfiguration

Wired 802.1X ist ein Authentifizierungsmechanismus, bei dem sich Clients authentifizieren müssen, bevor sie auf die LAN-Ressourcen zugreifen können. Der Citrix SD-WAN Orchestrator-Service unterstützt die Konfiguration der kabelgebundenen 802.1X-Authentifizierung auf LAN-Schnittstellen.

Im Citrix SD-WAN-Netzwerk senden die Clients Authentifizierungsanfragen an die Citrix SD-WAN Appliance, um auf die LAN-Ressourcen zuzugreifen. Die Citrix SD-WAN Appliance fungiert als Authentifikator und sendet die Authentifizierungsanfragen an den Authentifizierungsserver. Der Citrix SD-WAN Orchestrator-Service unterstützt nur RADIUS-Server, die als Authentifizierungsserver konfiguriert werden.

Bei der ersten Authentifizierung können nur EAPOL-Pakete oder DHCP-Pakete verarbeitet werden, die die 802.1X-Authentifizierung über das standardmäßige virtuelle LAN initialisieren können. Ein neu verbundener Client muss innerhalb von 90 Sekunden authentifiziert werden. Wenn die Authentifizierung erfolgreich ist, erhält sie Zugriff auf die LAN-Ressourcen.

Wenn die Authentifizierung fehlschlägt, erhält der Client keinen Netzwerkzugriff und alle Pakete werden verworfen. Die Clients, die direkt mit der Citrix SD-WAN-Appliance verbunden sind, können die Authentifizierung erneut versuchen, indem sie das Ethernet-Kabel abziehen und erneut einsetzen. Optional können Sie ein bestimmtes virtuelles LAN definieren, um Zugriff auf eingeschränkte LAN-Ressourcen für die fehlgeschlagenen Authentifizierungsanforderungen zu gewähren. In solchen Fällen erhalten die fehlgeschlagenen Authentifizierungsanforderungen Zugriff auf das angegebene virtuelle LAN. Sie können den Zugriff auf den authentifizierten Datenverkehr mithilfe verschiedener Routingdomänen oder Firewallzonen einschränken, während Sie das virtuelle LAN erstellen.

Hinweis

  • Im standardmäßigen virtuellen LAN muss immer 802.1X aktiviert sein.
  • Dynamische virtuelle LANs werden nicht unterstützt.

802.1x-Architekturdiagramm

Die Citrix SD-WAN-Appliance erwartet den Empfang von Paketen ohne 802.1Q-Tag (Pakete ohne Tags). Wenn die Citrix SD-WAN-Appliance ein Paket mit einem 802.1Q-Tag empfängt, das auf das zugewiesene virtuelle LAN festgelegt ist, müssen alle vom MAC stammenden Pakete markiert werden. Wenn ein Paket ohne 802.1Q-Tag im Header oder mit einem anderen Tag als dem virtuellen LAN empfangen wird, zu dem die MAC-Adresse gehört, wird das Paket verworfen.

Wenn mehrere Clients, die mit einem Switch verbunden sind, versuchen, sich gleichzeitig über einen einzigen Port zu authentifizieren, wird jeder Client einzeln authentifiziert, bevor er Zugriff auf die LAN-Ressourcen erhalten kann. Die Clients, die sich nicht authentifizieren können, können die Authentifizierung erneut versuchen, indem sie das Ethernet-Kabel abziehen, 3 Minuten warten und das Ethernet-Kabel erneut einstecken. Die Plattformen Citrix SD-WAN 110, 210 und 410 unterstützen maximal 32 Clients (sowohl authentifizierte als auch nicht authentifizierte). Alle anderen Plattformen unterstützen maximal 64 Clients (sowohl authentifizierte als auch nicht authentifizierte).

Um die 802.1X-Authentifizierung zu konfigurieren, navigieren Sie zu Standortkonfiguration > Schnittstellen, und aktivieren Sie die Umschaltfläche 802.1x-Aktivierung . Wählen Sie ein vorhandenes RADIUS-Profil aus oder klicken Sie auf RADIUS-Profil erstellen, um ein RADIUS-Profil Einzelheiten zum Erstellen eines RADIUS-Profils finden Sie unter RADIUS-Serverprofile. Sie können dieselben RADIUS-Profile für die kabelgebundene 802.1x- und die drahtlose WPA2-Enterprise-Authentifizierung verwenden, vorausgesetzt, Ihre Appliance unterstützt Wireless WPA2-Enterprise.

Wählen Sie in der Dropdownliste Authentifizierte VIF eine virtuelle Schnittstelle aus. Die ausgewählte virtuelle Schnittstelle gewährt Zugriff auf die LAN-Ressourcen für erfolgreiche Authentifizierungsanforderungen.

Optional können Sie eine Schnittstelle aus der Dropdown-Liste Nicht authentifizierte VIF auswählen. Die ausgewählte virtuelle Schnittstelle gewährt Zugriff auf eine bestimmte LAN-Ressource für die fehlgeschlagenen authentifizierten Anforderungen.

Sie können eine Liste von MAC-Adressen hinzufügen, die den Authentifizierungsprozess umgeht. Datenverkehr von diesen MAC-Adressen wird implizit als authentifiziert behandelt. Diese MAC-Adressen sind anfällig für böswillige Angriffe. Verwenden Sie diese Funktion daher nur in physisch sicheren Umgebungen und für Legacy-Hardware, die keine kabelgebundene 802.1x-Authentifizierung unterstützt.

802.1x-Konfiguration

Sie können die Warnungen im Zusammenhang mit kabelgebundenen 802.1x-Authentifizierungsanforderungen unter Berichte > Warnungen anzeigen. Weitere Informationen finden Sie unter Warnmeldungen.

Der nächste Schritt ist die Konfiguration von WAN-Verbindungen. Klicken Sie auf + WAN Link, um die Konfiguration einer WAN-Verbindung zu starten.

Die WAN-Link-Konfiguration umfasst das Einrichten des WAN-Link-Zugriffstyps und der Attribute der

Sie können das WAN-Link-Attribut von Grund auf neu konfigurieren oder eine WAN-Link-Vorlage verwenden, um WAN-Link-Attribute schnell zu konfigurieren. Wenn Sie bereits ein Standortprofil verwendet haben, werden die WAN-Link-Attribute automatisch ausgefüllt.

WAN-Link-Attribute

  • Vorlagenname: Der Name der WAN-Link-Vorlage, die zum Erstellen der WAN-Verbindung verwendet wird. Der Name der WAN-Link-Vorlage kann nach dem Erstellen von WAN-Links nicht geändert werden. Sobald WAN-Verbindungen mithilfe einer WAN-Link-Vorlage erstellt wurden, können Sie den Zugriffstyp, den ISP-Namen oder die Internetkategorie nicht mehr bearbeiten.
  • Zugriffstyp: Gibt den WAN-Verbindungstyp der Verbindung an.
    • Öffentliches Internet: Zeigt an, dass der Link über einen ISP mit dem Internet verbunden ist.
    • Privates Intranet: Gibt an, dass der Link mit einem oder mehreren Standorten innerhalb des SD-WAN-Netzwerks verbunden ist und keine Verbindung zu Standorten außerhalb des SD-WAN-Netzwerks herstellen kann.
    • MPLS: Spezialisierte Variante von Private Intranet. Gibt an, dass die Verbindung ein oder mehrere DSCP-Tags verwendet, um die Quality of Service zwischen zwei oder mehr Punkten in einem Intranet zu steuern, und dass keine Verbindung zu Standorten außerhalb des SD-WAN-Netzwerks hergestellt werden kann.
  • ISP-Name: Der Name des Dienstanbieters.
  • Internetkategorie: Die Art des WAN-Link-Internetzugangstechnologiedienstes (Breitband, Satellit, Glasfaser, LTE usw.), der auf der WAN-Verbindung aktiviert ist.
  • Linkname: Automatisch ausgefüllt basierend auf den vorherigen Eingaben.
  • Tracking-IP-Adresse: Dievirtuelle IP-Adresse auf dem virtuellen Pfad, an die ein Ping gesendet werden kann, um den Status des Pfads zu ermitteln.
  • Öffentliche IPv4-Adresse und öffentliche IPv6-Adresse: DieIP-Adresse des NAT- oder DNS-Servers. Diese Adresse ist nur anwendbar und offengelegt, wenn der Zugriffstyp für WAN-Verbindungen Public Internet oder Privates Intranet in der Serial HA-Bereitstellung ist. Öffentliche IP-Adressen können entweder manuell konfiguriert oder mithilfe der Option Auto Learn automatisch erlernt werden.
  • Automatische Erkennung: Wenn diese Option aktiviert ist, erkennt die SD-WAN-Appliance automatisch die öffentliche IP-Adresse. Diese Option ist nur verfügbar, wenn es sich bei der Geräterolle um einen Zweig und nicht um den Master Control Node (MCN)handelt.
  • Ausgangsgeschwindigkeit: Die Geschwindigkeit von WAN zu LAN.
    • Geschwindigkeit: Die verfügbare oder zulässige Geschwindigkeit des WAN-zu-LAN-Datenverkehrs in Kbit/s oder Mbit/s.
    • Zulässige Rate: In Fällen, in denen die gesamte WAN-Link-Kapazität nicht von der SD-WAN-Appliance genutzt werden soll, ändern Sie die zulässige Rate entsprechend.
    • Automatisches Lernen: Wenn Sie sich über die Bandbreite nicht sicher sind und die Links nicht zuverlässig sind, können Sie die Funktion Auto Learn aktivieren. Die Auto-Learn-Funktion lernt nur die zugrunde liegende Linkkapazität und verwendet in Zukunft denselben Wert.
    • Physische Rate: Die tatsächliche Bandbreitenkapazität der WAN-Verbindung.
  • Eingangsgeschwindigkeit: Die LAN-zu-WAN-Geschwindigkeit.
    • Geschwindigkeit: Die verfügbare oder zulässige Geschwindigkeit des LAN-zu-WAN-Datenverkehrs in Kbit/s oder Mbit/s.
    • Zulässige Rate: In Fällen, in denen die gesamte LAN-Verbindungskapazität nicht von der SD-WAN-Appliance genutzt werden soll, ändern Sie die zulässige Rate entsprechend.
    • Automatisches Lernen: Wenn Sie sich über die Bandbreite nicht sicher sind und die Links nicht zuverlässig sind, können Sie die Funktion Auto Learn aktivieren. Die Auto-Learn-Funktion lernt nur die zugrunde liegende Linkkapazität und verwendet in Zukunft denselben Wert.
    • Physikalische Rate: Die tatsächliche Bandbreitenkapazität der LAN-Verbindung.

MPLS-Warteschlangen

Die MPLS-Warteschlangeneinstellungen sind nur für den WAN-Link-Zugriffstyp MPLS verfügbar. Diese Option soll die Definition von Warteschlangen aktivieren, die den MPLS-Warteschlangen des Service Providers auf dem MPLS-WAN-Link entsprechen. Informationen zum Hinzufügen von MPLS-Warteschlangen finden Sie unter MPLS-Warteschlangen.

Access Interface

Ein Access Interface definiert die IP-Adresse und die Gateway-IP-Adresse für einen WAN-Link. Für jeden WAN-Link ist mindestens ein Access Interface erforderlich. Im Folgenden sind die Parameter für das Access Interface aufgeführt:

  • Name der Zugriffsschnittstelle: Der Name, mit dem auf die Access-Schnittstelle verwiesen wird. Die Standardeinstellung verwendet die folgende Benennungskonvention: WAN_link_name-AI-number: Wobei WAN_link_name der Name der WAN-Verbindung ist, die Sie dieser Schnittstelle zuordnen, und “number” ist die Anzahl der derzeit für diese Verbindung konfigurierten Access Interfaces, erhöht um 1.
  • Virtuelle Schnittstelle: Die virtuelle Schnittstelle, die das Access Interface verwendet. Wählen Sie einen Eintrag aus dem Dropdown-Menü von Virtuelle Interfaces aus, das für die aktuelle Zweigstelle konfiguriert ist.
  • Virtueller Pfadmodus: Gibt die Priorität für den Virtual Path-Datenverkehr auf der aktuellen WAN-Verbindung an. Die Optionen sind: Primär, Sekundäroder Ausschließen. Wenn auf Exclude festgelegt ist, wird das Access Interface nur für Internet- und Intranetdatenverkehr verwendet.
  • IP-Adresse: DieIP-Adresse für den Access Interface-Endpunkt von der Appliance zum WAN. Wählen Sie nach Bedarf V4 (IPv4) oder V6 (IPv6) aus.
  • Gateway-IP-Adresse: Die IP-Adresse für den Gateway-Router.
  • Zugangsschnittstelle an Gateway-MAC binden: Wenn aktiviert, muss die Quell-MAC-Adresse von Paketen, die über Internet- oder Intranetdienste empfangen werden, mit den Gateway-MAC-AddressWank-Links > Erweiterte WAN-Optionen
  • Proxy-ARP aktivieren: Wenn diese Option aktiviert ist, antwortet die virtuelle WAN-Appliance auf ARP-Anforderungen für die Gateway-IP-Adresse, wenn das Gateway nicht erreichbar ist.
  • Internetzugriff auf Routingdomänen aktivieren: Erstellt automatisch eine DEFAULT-Route (0.0.0.0/0) in allen Routingtabellen der jeweiligen Routingdomänen. Sie können für alle Routingdomänen oder keine aktivieren. Es vermeidet die Notwendigkeit, eine exklusive statische Route für alle Routingdomänen zu erstellen, wenn sie einen Internetzugang benötigen.

Zugriffs-Schnittstelle

Services

Im Abschnitt Dienste können Sie Diensttypen hinzufügen und den Prozentsatz der Bandbreite zuweisen, der für jeden Diensttyp verwendet werden soll. Sie können die Diensttypen definieren und Attribute dafür im Abschnitt Delivery Services konfigurieren. Sie können diese globalen Standardeinstellungen verwenden oder in der Dropdown-Liste Dienstbandbreiteneinstellungen verbindungsspezifische Einstellungen für die Dienstbandbreite konfigurieren. Wenn Sie Linkspezifisch wählen, geben Sie die folgenden Details ein:

  • Dienstname: Der Name des WAN-Link-Dienstes.
  • Zuweisung%: Der garantierte faire Anteil der Bandbreite, der dem Dienst aus der Gesamtkapazität der Verbindung zugewiesen wurde.
  • Modus: Der Betriebsmodus des WAN-Links, basierend auf dem ausgewählten Dienst. Für das Internet gibt es eine von Primary, Secondary und Balance und für Intranet gibt es Primär und Sekundär.
  • Tunnel-Header-Größe: Die Größe des Tunnel-Headers in Byte.
  • LAN-zu-WAN-Tag: Das DHCP-Tag, das auf LAN-zu-WAN-Pakete im Dienst angewendet werden soll.
  • LAN-zu-WAN-Verzögerung: Die maximale Zeit zum Puffern von Paketen, wenn die Bandbreite der WAN-Links überschritten wird.
  • Min. Kbit/s von LAN zu WAN: Der minimale Wert für die Upload-Bandbreite, der für den Dienst reserviert ist. Das Min-Kbps ist ein Pflichtfeld.
  • Max. Kbit/s von LAN zu WAN: Der maximale Wert für die Upload-Bandbreite, der für den Dienst reserviert ist. Das Feld Max. Kbps ist optional und der Wert darf nicht kleiner als der konfigurierte Mindestwert für die Upload-Bandbreite sein. Der Wert muss größer oder gleich dem Mindestwert für die Upload-Bandbreite sein.
  • WAN-zu-LAN-Tag: Das DHCP-Tag, das auf WAN-zu-LAN-Pakete im Dienst angewendet werden soll.
  • WAN-zu-LAN-Übereinstimmung: Die Übereinstimmungskriterien für Internet-WAN-LAN-Pakete, die dem Dienst zugewiesen werden sollen.
  • Min. Kbps von WAN zu LAN: Der Mindestwert für die Download-Bandbreite, der für den Dienst reserviert ist. Das Min-Kbps ist ein Pflichtfeld.
  • Max. Kbps von WAN zu LAN: Der maximale Wert für die Download-Bandbreite, der für den Dienst reserviert ist. Das Feld Max. Kbps ist optional und der Wert darf nicht kleiner als der konfigurierte Mindestwert für die Downloadbandbreite sein. Der Wert muss größer oder gleich dem Mindestwert für die Download-Bandbreite sein.
  • WAN-zu-LAN-Optimierung: Wenndiese Option aktiviert ist, werden Pakete nach dem Zufallsprinzip verworfen, um zu verhindern, dass der WAN-zu-LAN-Datenverkehr die vom Dienst bereitgestellte Bandbreite überschreitet.

Hinweis

Die minimalen und maximalen Kbit/s-Felder sind für den virtuellen Pfad nicht verfügbar.

Services

Wählen Sie die relative Bandbreitenbereitstellung über virtuelle Pfade hinweg je nach Bedarf als Global Default oder Linkspezifisch aus. Wenn Sie Verbindungsspezifischauswählen und die automatische Bandbreitenbereitstellung aktivieren, wird der Anteil der Bandbreite für den virtuellen Pfaddienst automatisch berechnet und entsprechend der Bandbreite angewendet, die möglicherweise von Remotestandorten verbraucht wird.

  • Max zu Min. Bandbreitenverhältnis des virtuellen Pfades für den Link: Sie können das maximale zu minimale virtuelle Pfadverhältnis festlegen, das auf die ausgewählte WAN-Verbindung angewendet werden kann.

  • Mindestreservierte Bandbreite für jeden virtuellen Pfad (Kbit/s): Sie können den Mindestwert für die reservierte Bandbreite in Kbit/s für jeden virtuellen Pfad festlegen.

Bereitstellung virtueller Pfade für den Link

So passen Sie die Bandbreiten für die virtuellen Pfade an, die einer WAN-Verbindung zugeordnet sind:

  1. Deaktivieren Sie das Kontrollkästchen Automatische Bandbreitenbereitstellung über alle virtuellen Pfade hinweg aktivieren, die mit dem Link verknüpft sind .

  2. Wählen Sie im Abschnitt Benutzerdefinierte Bandbreitenzuweisung für virtuelle Pfade eine Remote-Site aus. Sie können Bandbreiten für die virtuellen Pfade zur Remote-Site bereitstellen.

    • Minimale Bandbreite (Kbit/s): Die Mindestbandbreite, die für den virtuellen Pfad reserviert ist. Die Mindestbandbreite, die Sie für einen virtuellen Pfad festlegen können, beträgt 80 Kbps.

    • Maximale Bandbreite (Kbit/s): Die maximale Bandbreite, die der virtuelle Pfad über die WAN-Verbindung nutzen kann. Wenn die maximale Bandbreite nicht festgelegt ist, nutzt die Site die gesamte verfügbare Bandbreite.

    • Bandbreitenzuweisung (relative Kennzahl): Die Bandbreitenfreigabe, die einem virtuellen Pfad aus der berechtigten Bandbreite seiner Gruppe zugewiesen wurde. Wenn beispielsweise eine WAN-Verbindungsgruppe aus 3 virtuellen Pfaden für eine Bandbreite von 30 Mbit/s geeignet ist und Sie jedem virtuellen Pfad die gleiche Bandbreite zuweisen möchten, aktualisieren Sie 10 als Bandbreitenzuweisung am Remotestandort.

    Bereitstellung von Bandbreite

  3. Klicken Sie auf Fertig.

Hinweis

Der Citrix SD-WAN Orchestrator Service behält die zuvor konfigurierten benutzerdefinierten Bandbreiteneinstellungen bei, auch nachdem die zuvor konfigurierten dynamischen virtuellen Pfade zwischen zwei Standorten deaktiviert wurden. Achten Sie darauf, die benutzerdefinierten Bandbreiteneinstellungen manuell zu aktualisieren, wenn Sie die dynamischen virtuellen Pfade neu konfigurieren.

Zu berücksichtigende Punkte für die Bereitstellung von Bandbreite

  • Standardmäßig erhalten alle Filialen und WAN-Dienste (Virtual Path/Internet/Intranet) eine Gewichtung von jeweils 1.

  • Eine Anpassung der Bandbreite ist erforderlich, wenn es große Unterschiede in Bezug auf den Bandbreitenbedarf gibt.

  • Wenn dynamische virtuelle Pfade zwischen den verfügbaren Standorten aktiviert sind, wird die WAN-Link-Kapazität zwischen dem statischen virtuellen Pfad zum Datencenter und den dynamischen virtuellen Pfaden gemeinsam genutzt.

Erweiterte WAN-Optionen

Die erweiterten WAN-Link-Einstellungen ermöglichen die Konfiguration der ISP-spezifischen Attribute.

  • Überlastungsschwelle: Die Menge der Überlastung, nach der die WAN-Verbindung die Paketübertragung drosselt, um weitere Staus zu vermeiden.
  • Provider-ID: Eindeutige Kennung für den Anbieter zur Unterscheidung von Pfaden beim Senden doppelter Pakete.
  • Rahmenkosten (Byte): Zusätzliche Header/Trailer-Bytes werden zu jedem Paket hinzugefügt, z. B. für Ethernet-IPG- oder AAL5-Trailer.
  • MTU (Byte): Die größte Rohpaketgröße in Byte, ohne die Rahmenkosten.
  • Standby-Modus: Eine Standby-Verbindung wird nicht verwendet, um Benutzerverkehr zu übertragen, es sei denn, sie wird aktiv. Der Standby-Modus einer WAN-Verbindung ist standardmäßig deaktiviert. Weitere Informationen zum Standby-Modus finden Sie unter Standby-Modus.

    Erweiterte WAN-Option

  • Metering aktivieren: Verfolgt die Nutzung einer WAN-Verbindung und warnt den Benutzer, wenn die Verbindungsnutzung die konfigurierte Datenobergrenze überschreitet. Detaillierte Informationen zur Messung finden Sie unter Metering und Standby-WAN-Verbindungen.

    Metering aktivieren

  • Adaptive Bandbreitenerkennung: Verwendet die WAN-Verbindung mit einer reduzierten Bandbreitenrate, wenn ein Verlust festgestellt wird. Wenn die verfügbare Bandbreite unter der konfigurierten minimal akzeptablen Bandbreite liegt, wird der Pfad als SCHLECHT markiert. Verwenden Sie die benutzerdefinierte Empfindlichkeit für schlechten Verlust unter der Pfad- oder Autopath-Gruppe mit der Adaptiven Bandbreitenerkennung.

    Hinweis

    Die adaptive Bandbreitenerkennung ist nur für den Client und nicht für MCN verfügbar.

    • Zulässige Mindestbandbreite: Bei variierender Bandbreitenrate ist dies der Prozentsatz der zulässigen Rate von WAN zu LAN, unterhalb dessen der Pfad als SCHLECHT markiert ist. Die minimalen KBit/s sind auf jeder Seite eines virtuellen Pfades unterschiedlich. Der Wert kann im Bereich von 10% bis 50% und der Standardwert 30% liegen.

Weitere Informationen finden Sie unter Adaptive Bandbreitenerkennung

Routen

Der nächste Schritt im Workflow für die Sitekonfiguration besteht darin, Routen zu erstellen. Sie können Anwendungs- und IP-Routen basierend auf Ihren Site-Anforderungen erstellen.

HINWEIS:

Die Routen, die vor der Einführung der Registerkarten Anwendungsroute und IP-Route hinzugefügt wurden, werden unter der Registerkarte IP-Routen mit Delivery Service als Internet aufgeführt.

Die globalen Routen und standortspezifischen Routen, die auf Netzwerkebene erstellt werden, werden automatisch unter Routen > Anwendungsrouten und -routen > IP-Routen aufgelistet. Sie können die globalen Routen nur auf Siteebene anzeigen. Um eine globale Route zu bearbeiten oder zu löschen, navigieren Sie zu Konfigurationen auf Netzwerkebene.

Sie können Routen auch auf Siteebene erstellen, bearbeiten oder löschen.

Routen zur Site-Konfiguration

Anwendungs-Routen

Klicken Sie auf + Anwendungsroute, um eine Anwendungsroute zu erstellen.

  • Übereinstimmungskriterien für benutzerdefinierte Anwendungen:
    • Übereinstimmungstyp: Wählen Sie den Übereinstimmungstyp als **Anwendung/Benutzerdefinierte**Anwendung/Anwendungsgruppe aus der Dropdown-Liste
    • Anwendung: Wählen Sie eine Anwendung aus der Dropdownliste aus.
    • Routingdomäne: Wählen Sie eine Routingdomäne
  • Traffic Steering
    • Lieferservice: Wählen Sie einen Lieferdienst aus der Liste.
    • Kosten: Spiegelt die relative Priorität jeder Route wider. Senken Sie die Kosten, je höher die Priorität.
  • Berechtigung basierend auf Pfad:
    • Pfad hinzufügen: Wählen Sie eine Site und WAN-Links, sowohl zu als auch von. Wenn der hinzugefügte Pfad ausfällt, erhält die Anwendungsroute keinen Datenverkehr.

Wenn eine neue Anwendungsroute hinzugefügt wird, müssen die Routenkosten im folgenden Bereich liegen:

  • Kundenspezifische Anwendung: 1-20
  • Anwendung: 21-40
  • Anwendungsgruppe: 41-60

Anwendungsrouten für die Standortkonfiguration

IP-Routen

Gehen Sie zur Registerkarte IP-Routen und klicken Sie auf + IP-Route, um die IP-Routenrichtlinie zur Steuerung des Datenverkehrs zu erstellen.

  • IP-Protokoll-Übereinstimmungskriterien:
    • Zielnetzwerk: Fügen Sie das Zielnetzwerk hinzu, das beim Weiterleiten der Pakete hilft.
    • IP-Gruppe verwenden: Sie können ein Zielnetzwerk hinzufügen oder das Kontrollkästchen IP-Gruppe verwenden aktivieren, um eine IP-Gruppe aus der Dropdown-Liste auszuwählen.
    • Routingdomäne: Wählen Sie eine Routingdomäne aus der Dropdownliste
  • Traffic Steering
    • Lieferservice: Wählen Sie einen Zustelldienst aus der Dropdownliste aus.
    • Kosten: Spiegelt die relative Priorität jeder Route wider. Senken Sie die Kosten, je höher die Priorität.
  • Zulassungskriterien:
    • Route exportieren: Wenn das Kontrollkästchen Route exportieren aktiviert ist und es sich bei der Route um eine lokale Route handelt, kann die Route standardmäßig exportiert werden. Wenn es sich bei der Route um eine INTRANET/INTERNET-basierte Route handelt, muss WAN-zu-WAN-Weiterleitung aktiviert werden, damit der Export funktioniert. Wenn das Kontrollkästchen Exportroute deaktiviert ist, kann die lokale Route nicht in ein anderes SD-WAN exportiert werden und hat lokale Bedeutung.
  • Berechtigung basierend auf Pfad:
    • Pfad hinzufügen: Wählen Sie eine Site und WAN-Links, sowohl zu als auch von. Wenn der hinzugefügte Pfad ausfällt, erhält die IP-Route keinen Datenverkehr.

Wenn eine neue IP-Route hinzugefügt wird, müssen die Routenkosten im Bereich von 1—20 liegen.

IP-Route der Standortkonfiguration

Zusammenfassung

Dieser Abschnitt enthält eine Zusammenfassung der Site-Konfiguration, um eine schnelle Überprüfung zu ermöglichen, bevor Sie diese einreichen.

Zusammenfassung der Site-Konfiguration

Verwenden Sie die Option Als Vorlage speichern, um die Sitekonfiguration als Vorlage für die Wiederverwendung in anderen Sites zu speichern. Wenn Sie auf Fertig klicken, wird die Standortkonfiguration abgeschlossen und Sie gelangen zur Seite Netzwerkkonfiguration — Startseite, auf der Sie alle konfigurierten Sites überprüfen können. Weitere Informationen finden Sie unter Netzwerkkonfiguration.

Site-Konfiguration