Konfigurieren eines Routers
Um den virtuellen Inlinemodus zu unterstützen, muss ein Router sowohl eingehenden als auch ausgehenden WAN-Datenverkehr an die SD-WAN-Appliance weiterleiten. Nachdem die Appliance den Datenverkehr verarbeitet hat, muss der Router den eingehenden Datenverkehr von der Appliance an das LAN und den ausgehenden Datenverkehr von der Appliance an das WAN weiterleiten. Sie müssen richtlinienbasierte Regeln konfigurieren, um Routingschleifen zu vermeiden. Darüber hinaus muss der Router den Zustand der Appliance überwachen, damit die Appliance bei einem Ausfall umgangen werden kann.
Wenn der Router die Funktion Reverse Path Forwarding unterstützt, müssen Sie das Feature auf den Schnittstellen mit Richtlinien deaktivieren, um den Datenverkehr an eine SD-WAN-Appliance umzuleiten, einschließlich der Schnittstelle, die mit der Appliance verbunden ist. Andernfalls unterbricht der Router zeitweise den Datenverkehr. Standardmäßig ist die Funktion Pfadweiterleitung umkehren auf dem Router aktiviert.
Hinweis: Wenn das Netzwerk über zwei Router verfügt, konfigurieren Sie die folgenden Verfahren für jeden Router mithilfe der entsprechenden IP-Adressen, die im Arbeitsblatt angegeben sind.
Policy-basierte Regeln
Im virtuellen Inlinemodus können die Paketweiterleitungsmethoden Routingschleifen erstellen, wenn die Routingregeln nicht zwischen einem Paket unterscheiden, das von der Appliance weitergeleitet wurde und einem Paket, das nicht vorhanden ist. Sie können jede Methode verwenden, die diese Unterscheidung macht.
Eine typische Methode besteht darin, einen der Ethernet-Ports des Routers der Appliance zuzuweisen und Routing-Regeln basierend auf dem Ethernet-Port zu erstellen, an dem Pakete ankommen. Pakete, die auf der für die Appliance dedizierten Schnittstelle eintreffen, werden nie wieder an die Appliance weitergeleitet, aber Pakete, die auf einer anderen Schnittstelle eintreffen, können sein.
Traffic Shaping ist nur wirksam, wenn der gesamte WAN-Datenverkehr die Appliance durchläuft. Im Folgenden ist der grundlegende Routing-Algorithmus:
- Leiten Sie keine Pakete von der Appliance zurück an die Appliance weiter.
- Wenn das Paket aus dem WAN kommt, leiten Sie das Paket an die Appliance weiter.
- Wenn das Paket für das WAN bestimmt ist, leiten Sie das Paket an die Appliance weiter.
- Kein LAN-zu-LAN-Datenverkehr an die Appliance weiterleiten.
Systemüberwachung
Wenn die Appliance fehlschlägt, sollten Daten nicht an sie weitergeleitet werden. Standardmäßig führt Cisco richtlinienbasiertes Routing keine Statusüberwachung durch. Um die Zustandsüberwachung zu aktivieren, definieren Sie eine Regel zur Überwachung der Verfügbarkeit der Appliance und geben Sie die Option Verify-Availability für den Befehl set ip next-hop an. Wenn die Appliance bei dieser Konfiguration nicht verfügbar ist, wird die Route nicht angewendet und die Appliance wird umgangen.
Hinweis: Citrix empfiehlt den virtuellen Inlinemodus nur, wenn er mit der Integritätsüberwachung verwendet wird. Viele Router, die richtlinienbasiertes Routing unterstützen, unterstützen keine Integritätsprüfung. Die Funktion zur Überwachung der Gesundheit ist relativ neu. Es war erstmals in Cisco IOS Version 12.3 (4) T.
Im Folgenden finden Sie ein Beispiel für eine Regel zur Überwachung der Verfügbarkeit der Appliance mithilfe des Cisco Router-Modells 7600 mit der IOS-Software-Version:
``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is in the connected track 123 rtr 1 reachability ! rtr 1 type echo protocol IpIcmpecho 17.17.17.2 schedule 1 life forever start-time now
Diese Regel pingt die Appliance regelmäßig am 17.17.17.2 an. Sie können gegen 123 testen, um zu sehen, ob das Gerät oben ist.
## Beispiel für die Routerkonfiguration
Es folgt ein Beispiel für die Konfiguration eines Cisco-Routers für den virtuellen Inlinemodus:
``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.200.51.0 255.255.255.0
ip policy route-map server_side_map
!
interface FastEthernet0/1
ip address 17.17.17.1 255.255.255.0!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
ip policy route-map wan_side_map
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended server_side
permit ip 10.100.51.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.20.20.0 0.0.0.255 10.100.51.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!- Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 17.17.17.1 20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 17.17.17.1 10 track 123
<!--NeedCopy-->
In diesem Beispiel wird eine Zugriffsliste auf eine Routenkarte angewendet und die Routenkarte an eine Schnittstelle angehängt. Die Zugriffslisten identifizieren den gesamten Datenverkehr, der an einem beschleunigten Standort auftritt und an der anderen beendet wird (eine Quell-IP-Adresse von 10.100.51.0/24 und Ziel-IP-Adresse 10.20.20.0/24 oder umgekehrt). Details zu Zugriffslisten und Routenkarten finden Sie in der Dokumentation Ihres Routers.
Diese Konfiguration leitet den gesamten übereinstimmenden IP-Datenverkehr an die Appliances um. Wenn Sie nur TCP-Datenverkehr umleiten möchten, können Sie die Zugriffslisten-Konfiguration wie folgt ändern (nur die Konfiguration der Remote-Seite wird hier gezeigt):
pre codeblock
!
ip access-list extended server_side
permit tcp 10.200.51.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended wan_side
permit tcp 10.20.20.0 0.0.0.255 10.200.51.0 0.0.0.255
!
<!--NeedCopy-->
Konfigurieren von Routern in einem Hochverfügbarkeits-Setup
Informationen zum Konfigurieren der hohen Verfügbarkeit zwischen Routern finden Sie im routerspezifischen Konfigurationshandbuch für hohe Verfügbarkeit.