Citrix SD-WAN Orchestrator

Inlinemodus

In diesem Modus scheint die SD-WAN-Appliance eine Ethernet-Brücke zu sein. Die meisten SD-WAN-Appliance-Modelle verfügen über eine Fail-to-Wire-Feature (Ethernet-Bypass) für den Inlinemodus. Wenn die Stromversorgung ausfällt, schließt sich ein Relais und die Eingangs- und Ausgangsanschlüsse werden elektrisch angeschlossen, so dass das Ethernet-Signal von einem Port zum anderen weitergeleitet wird. Im Fail-to-Wire-Modus sieht die SD-WAN-Appliance wie ein Cross-Over-Kabel aus, das die beiden Anschlüsse verbindet.

Vorteile und Anwendungsfälle

Im Folgenden sind die Vorteile/Anwendungsfälle für die Bereitstellung im Inline-Modus aufgeführt:

  • Halten Sie den MPLS-Router daher Fail-to-Wire ist eine schöne Funktion. Fail-to-Wire-fähige Geräte ermöglichen ein nahtloses Failover zur Unterlagen-Infrastruktur, wenn die Box ausfällt.
    • Wenn Ihre Geräte Fail-to-Wire (SD-WAN 210 und höher) unterstützen, ermöglicht dies die Platzierung eines einzelnen SD-WAN Inline zur Hardware, um den LAN-Datenverkehr zum Customer Edge-Router zu umgehen, wenn das SD-WAN abstürzt/ausfällt.
    • Wenn die MPLS-Verbindungen vorhanden sind, die eine natürliche Erweiterung des LAN/Intranets des Kunden ergeben, ist der Fail-to-Wire-Bridge-Pair-Port die beste Wahl (Fail-to-Wire-fähige Paare), sodass bei einem Absturz oder einem Ausfall des Geräts der LAN-Verkehr die Hardware an den Edge-Router des Kunden umgangen wird (der beim nächsten weiterhin gewartet wird hüpfen).
  • Die Vernetzung ist einfach.
  • SD-WAN sieht den gesamten Datenverkehr im Inline-Modus, daher ist es das beste Szenario für die richtige Bandbreite/Kapazitätsrechnung.
  • Wenige Integrationsanforderungen, da Sie nur eine IP des L2-Segments benötigen. LAN-Segmente sind bekannt, da Sie einen Arm zur LAN-Schnittstelle haben. Wenn Sie eine Verbindung zu einem Core-Switch herstellen, können Sie auch dynamisches Routing ausführen, um Transparenz für alle LAN-Subnetze zu erhalten.
  • Kunden erwarten, dass SD-WAN als neuer Netzwerkknoten in die bestehende Infrastruktur integriert werden muss (nichts anderes ändert sich).
  • Proxy-ARP - Im Inline-Modus ist es für SD-WAN ein Segen, ARP-Anfragen an LAN Next-Hop zu senden, wenn das Gateway ausgefallen ist oder die SD-WAN-Schnittstelle in Richtung Next-Hop ausgefallen ist.
    • Im Inline-Modus mit Bridge-Pair (Fail-to-Block oder Fail-to-Wire) mit mehreren WAN-Verbindungen (MPLS/Internet) wird empfohlen, Proxy ARP für die Bridge-Paarschnittstelle zu aktivieren, die die LAN-Hosts mit ihrem Next-Hop-Gateway verbindet.
    • Aus irgendeinem Grund, wenn der nächste Hop heruntergefahren ist oder die SD-WAN-Schnittstelle zum nächsten Hop heruntergefahren ist, wodurch das Gateway nicht erreichbar ist, fungiert SD-WAN als Proxy für ARP-Anforderungen, so dass die LAN-Hosts weiterhin nahtlos Pakete senden und die verbleibenden WAN-Verbindungen verwenden können, die den virtuellen Pfad beibehalten.
  • Hohe Verfügbarkeit - Wenn Fail-to-Wire keine Option ist, können Geräte in parallele Hochverfügbarkeitsgeräte (gemeinsame LAN- und WAN-Schnittstellen für Active/Standby) platziert werden, um Redundanz zu erreichen.
    • Wenn Ihre Appliances Fail-to-Wire nicht unterstützen, wie das SD-WAN 110, müssen Sie sich für eine parallele Inline-Hochverfügbarkeit entscheiden, die es ermöglicht, ein Standby-Gerät einzuschalten, wenn das primäre Gerät ausfällt.

Empfehlungen

Im Folgenden finden Sie die Empfehlungen für die Bereitstellung im Inlinemodus :

  • Der Inline-Modus eignet sich am besten für die Zweige, in denen die vorhandene Infrastruktur nicht geändert werden soll und das SD-WAN transparent im LAN-Segment liegt.
  • Rechenzentren können auch Inline-Fail-to-Wire- oder Inline-Parallel-Hochverfügbarkeit bereitstellen, da es äußerst wichtig ist, sicherzustellen, dass die Rechenzentrums-Workloads nicht aufgrund von Geräteausfallen/-abstürzen in Blackholes geraten.

Vorsicht

Im Folgenden sind die Informationen aufgeführt, mit denen Sie im Inline-Modus vorsichtig sein müssen:

  • Sanitär-Netzwerk mit zwei Armen zum SD-WAN (LAN- und WAN-Seite), benötigt einige Ausfallzeiten, da das Netzwerk in zwei Armen verstopft werden muss.
  • Muss sicherstellen, dass, wenn Fail-to-Wire verwendet wird, es sich hinter einem Kunden-Edge-Router/einer Firewall in einer VERTRAUENSWÜRDIGEN Zone befindet, damit die Sicherheit nicht gefährdet wird.
  • MPLS QoS ändert sich ein wenig, da die vorherigen QoS-Richtlinien möglicherweise von den Quell-IP-Adressen oder DSCP-basierten abhängig waren, die jetzt aufgrund einer Überlagerung maskiert werden.
  • Es muss darauf geachtet werden, den MPLS-Router mit einer gut gestalteten SD-WAN-spezifischen reservierten Bandbreite mit einem bestimmten DSCP-Tag wiederzuverwenden, sodass die QoS von SD-WAN sich um die Priorisierung des Datenverkehrs kümmert und Anwendungen mit hoher Priorität sendet, unmittelbar gefolgt von anderen Klassen (aber in der Lage sind, die Gesamtmenge zu berücksichtigen Bandbreite reserviert für SD-WAN auf dem MPLS-Router). MPLS-Warteschlangen sind eine Alternative oder MPLS mit einem einzigen DSCP in der Auto-Pfadgruppe festgelegt, die sich darum kümmern kann.
  • Wenn die Internetschnittstellen VERTRAUENSWÜRDIG sind, da die Links auf dem Kunden-Edge-Router enden, müssen Sie zur Nutzung des Internetdienstes eine exklusive dynamische NAT-Regel schreiben, um das Ausbrechen des Internets von der Appliance zu ermöglichen.
  • Wenn die Internetverbindungen die einzigen WAN-Verbindungen sind und weiterhin auf dem Customer Edge-Router enden, ist es immer noch in Ordnung, die Verbindungen zu umgehen, wenn der Customer Edge-Router Vorsichtsmaßnahmen trifft, um die Pakete über seine vorhandene Unterlage-Infrastruktur zu steuern.
    • Bei der Umgehung des LAN-Datenverkehrs über Bridge-Paar mit einer Internetverbindung und beim Ausfall der Appliance ist die richtige Vorsicht zu beachten. Da es sich um einen sensiblen Unternehmens-Intranetverkehr handelt, muss der Kunde am Vorabend des Ausfalls wissen, wie er damit umgehen soll.

Voraussetzungen

Bevor Sie mit der Konfiguration beginnen, stellen Sie sicher, dass Sie über ein gutes Verständnis der Netzwerktopologie verfügen und die Details des Standorts erfasst haben.

Das Folgende ist ein Beispiel für ein SD-WAN-Netzwerk, in dem eine Verzweigung im Inline-Modus konfiguriert ist.

Netzwerktopologie im Inlinemodus

Die Einzelheiten der einzelnen Standorte sind in der folgenden Tabelle aufgeführt:

Site-Einzelheiten Inlinemodus
Sitename Zweig 1
Management-IP 172.30.2.20/24
Sicherheits-Schlüssel Falls vorhanden
Modell/Edition 2100
Modus Inline
Topologie 2 x WAN-Pfad
VIP-Adresse 10.17.0.9/24 - MPLS, 10.18.0.9/24 - Internet, Öffentliche IP a.b.c.d
Gateway-MPLS 10.17.0.1
Gateway-Internet 10.18.0.1
Verbindungsgeschwindigkeit MPLS - 10 Mbit/s, Internet - 2 Mbit/s
Route Es wurden keine zusätzlichen Strecken hinzugefügt
VLANs Keine (Standard 0)

Inlinemodus konfigurieren

  1. Navigieren Sie in der Konfiguration auf Kundenebene zu Konfiguration > Network Home. Klicken Sie auf Websites hinzufügen.

    Neue Website im Inlinemodus hinzugefügt

  2. Klicken Sie auf Weiter und navigieren Sie zur Registerkarte Site-Details . Wählen Sie die Site-Rolle als Zweigaus. Klicken Sie auf Weiter und navigieren Sie zur Registerkarte Gerätedetails . Geben Sie die Seriennummer der Appliance ein.

    Site-Details im Inlinemodus

  3. Klicken Sie auf Weiter und navigieren Sie zur Seite Interfaces . Klicken Sie auf + Schnittstelle. Wählen Sie Inline (Fail-To-Wire) als Bereitstellungsmodus. Wählen Sie die Schnittstellen basierend auf Ihren Präferenzen und virtuellen IP-Adressen aus. Klicken Sie auf Fertig.

    Fügen Sie zwei Schnittstellenpaare im Bridge-Pair-Modus hinzu; eines für MPLS und eines für Internet.

  4. Klicken Sie auf Weiter und navigieren Sie zur Registerkarte Schnittstellen . Klicken Sie auf + Schnittstelle.

  5. Wählen Sie in der Dropdown-Liste Bereitstellungsmodus die Option Virtuell Inline (einarmig) und Ein-Arm als Schnittstellentypaus. Wählen Sie die Ethernet-Schnittstelle aus, die eine Verbindung zum Router im virtuellen Inline-Modus herstellt. Fügen Sie gemäß dieser Topologie zwei virtuelle LANs mit derselben physischen Schnittstelle hinzu; eines für MPLS und eines für Internet.

    Um das erste VLAN hinzuzufügen, geben Sie im Abschnitt Virtuelle Schnittstellen die VLAN-ID, den Namen für die virtuelle Schnittstelle und die IP-Adresse ein. Klicken Sie auf Fertig.

    Registerkarte „Schnittstelle im Inline-Modus“

    Registerkarte „Schnittstelle im Inline-Modus“

  6. Klicken Sie auf Weiter und navigieren Sie zur Registerkarte WAN-Links . Klicken Sie auf + WAN-Link und wählen Sie das Optionsfeld Neu erstellen aus. Fügen Sie zwei WAN-Links hinzu; eine für MPLS und eine für Internet.

    Wählen Sie für die Internet-WAN-Verbindung Öffentliches Internet als Zugriffstypaus. Wählen Sie den ISP-Namen und der Name der WAN-Verbindung wird automatisch ausgefüllt. Wählen Sie die Geschwindigkeit und wählen Sie die erforderliche virtuelle Schnittstelle und das Gateway.

    Wählen Sie für die MPLS-WAN-Verbindung MPLS als Zugriffstypaus. Wählen Sie den ISP-Namen und der Name der WAN-Verbindung wird automatisch ausgefüllt. Wählen Sie die Geschwindigkeit und wählen Sie die erforderliche virtuelle Schnittstelle und das Gateway.

    Hinweis:

    Wenn das Rechenzentrum und die Zweigstellen unterschiedliche ISPs haben, müssen Sie eine Autopath-Gruppe erstellen und die Details der ISPs darin aufnehmen.

    Internet-WAN-Link im Inlinemodus

    Internet-WAN-Linkliste im Inline-Modus

  7. Klicke auf Fertig und dann auf Speichern. Klicken Sie auf Überprüfen, um die Konfigurationen zu überprüfen Wenn Fehler festgestellt wurden, beheben Sie diese, bevor Sie fortfahren.

Inlinemodus