Router-Konfiguration
Der Router hat drei Aufgaben bei der Unterstützung des virtuellen Inlinemodus:
- Es muss sowohl eingehenden als auch ausgehenden WAN-Datenverkehr an die SD-WAN-Appliance weiterleiten.
- Er muss SD-WAN-Datenverkehr an sein Ziel (WAN oder LAN) weiterleiten.
- Er muss den Zustand der Appliance überwachen, damit die Appliance bei einem Ausfall umgangen werden kann.
Policy-basierte Regeln
Im virtuellen Inlinemodus können die Paketweiterleitungsmethoden Routingschleifen erstellen, wenn die Routingregeln nicht zwischen einem Paket unterscheiden, das von der Appliance weitergeleitet wurde und einem Paket, das nicht vorhanden ist. Sie können jede Methode verwenden, die diese Unterscheidung macht.
Eine typische Methode besteht darin, einen der Ethernet-Ports des Routers der Appliance zuzuweisen und Routingregeln zu erstellen, die auf dem Ethernet-Port basieren, an dem Pakete ankommen. Pakete, die auf der für die Appliance dedizierten Schnittstelle eintreffen, werden nie wieder an die Appliance weitergeleitet, aber Pakete, die auf einer anderen Schnittstelle eintreffen, können sein.
Der grundlegende Routing-Algorithmus ist:
- Leiten Sie keine Pakete von der Appliance zurück an die Appliance weiter.
- Wenn das Paket aus dem WAN kommt, leiten Sie es an die Appliance weiter.
- Wenn das Paket für das WAN bestimmt ist, leiten Sie es an die Appliance weiter.
- Kein LAN-zu-LAN-Datenverkehr an die Appliance weiterleiten.
- Traffic Shaping ist nur wirksam, wenn der gesamte WAN-Datenverkehr die Appliance durchläuft.
Hinweis: Beachten Siebei der Berücksichtigung von Routing-Optionen, dass die Rückgabe von Daten, nicht nur ausgehende Daten, durch die Appliance fließen muss. Wenn die Appliance beispielsweise im lokalen Subnetz platziert und als Standardrouter für lokale Systeme festgelegt wird, funktioniert dies nicht in einer virtuellen Inline-Bereitstellung. Ausgehende Daten würden durch die Appliance fließen, aber eingehende Daten würden sie umgehen. Um Daten über die Appliance ohne Neukonfiguration des Routers zu erzwingen, verwenden Sie den Inlinemodus.
Gesundheitsüberwachung
Wenn die Appliance fehlschlägt, sollten Daten nicht an sie weitergeleitet werden. Standardmäßig führt Cisco richtlinienbasiertes Routing keine Zustandsüberwachung durch. Um die Zustandsüberwachung zu aktivieren, definieren Sie eine Regel zur Überwachung der Verfügbarkeit der Appliance und geben Sie die Option Verify-Availability für den Befehl set ip next-hop an. Wenn die Appliance bei dieser Konfiguration nicht verfügbar ist, wird die Route nicht angewendet und die Appliance wird umgangen.
Wichtig: Citrix empfiehlt den virtuellen Inlinemodus nur, wenn er mit der Integritätsüberwachung verwendet wird. Viele Router, die richtlinienbasiertes Routing unterstützen, unterstützen die Gesundheitsprüfung nicht. Die Funktion zur Überwachung der Gesundheit ist relativ neu. Es wurde in Cisco IOS Version 12.3 (4) T.
Es folgt ein Beispiel für eine Regel zur Überwachung der Verfügbarkeit der Appliance:
``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is connected track 123 rtr 1 reachabilit y ! rtr 1 type echo protocol IpIcmpecho 192.168.1.200 schedule 1 life forever start-time now
Diese Regel pingt die Appliance regelmäßig bei 192.168.1.200 an. Sie können gegen 123 testen, um zu sehen, ob das Gerät oben ist.
## Routing-Beispiele
Die folgenden Beispiele veranschaulichen die Konfiguration von Cisco-Routern für die in gezeigten lokalen und Remotesites: [Virtuelles Inline-Beispiel](/de-de/citrix-sd-wan-wanop/11/cb-deployment-modes-con/br-adv-virt-inline-mode-con.html). Zur Veranschaulichung der Integritätsüberwachung umfasst die Konfiguration für den lokalen Standort die Integritätsüberwachung, die Konfiguration für den Remotestandort jedoch nicht.
Hinweis: Die Konfiguration für den lokalen Standort setzt voraus, dass bereits ein Ping-Monitor konfiguriert wurde.
Die Beispiele entsprechen der Cisco IOS CLI. Sie sind möglicherweise nicht auf Router anderer Anbieter anwendbar.
Lokaler Standort, Gesundheitsprüfung aktiviert:
``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.10.10.5 255.255.255.0
ip policy route-map client_side_map
!
interface FastEthernet0/1
ip address 172.68.1.5 255.255.255.0
ip policy route-map wan_side_map
!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended client_side
permit ip 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!- Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 192.168.1.200 20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 192.168.1.200 10 track 123
<!--NeedCopy-->
Remote-Standort (keine Integritätsprüfung):
``` pre codeblock ! This example does not use health-checking. ! Remember, health-checking is always recommended, ! so this is a configuration of last resort. ! ! ip cef ! interface FastEthernet0/0 ip address 20.20.20.5 255.255.255.0 ip policy route-map client_side_map ! interface FastEthernet0/1 ip address 171.68.2.5 255.255.255.0 ip policy route-map wan_side_map ! interface FastEthernet1/0 ip address 192.168.2.5 255.255.255.0 ! ip classless ip route 0.0.0.0 0.0.0.0 171.68.2.1 ! ip access-list extended client_side permit ip 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255 ip access-list extended wan_side permit ip 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255 ! route-map wan_side_map permit 20 match ip address wan_side set ip next-hop 192.168.2.200 ! route-map client_side_map permit 10 match ip address client_side set ip next-hop 192.168.2.200 !_
Jedes der obigen Beispiele wendet eine Zugriffsliste auf eine Routenkarte an und fügt die Routenkarte an eine Schnittstelle an. Die Zugriffslisten identifizieren den gesamten Datenverkehr, der an einem beschleunigten Standort anfängt und an der anderen beendet wird (eine Quell-IP von 10.10.10.0/24 und Ziel 20.20.20.0/24 oder umgekehrt). Details zu Zugriffslisten und Routenkarten finden Sie in der Dokumentation Ihres Routers.
Diese Konfiguration leitet den gesamten übereinstimmenden IP-Datenverkehr an die Appliances um. Wenn Sie nur TCP-Datenverkehr umleiten möchten, können Sie die Zugriffslisten-Konfiguration wie folgt ändern (nur die Konfiguration der Remote-Seite wird hier gezeigt):
``` pre codeblock
!
ip access-list extended client_side
permit tcp 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255
ip access-list extended wan_side
permit tcp 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255
!
<!--NeedCopy-->
Beachten Sie, dass für Zugriffslisten keine gewöhnlichen Masken verwendet werden. Platzhaltermasken werden stattdessen verwendet. Beachten Sie, dass beim Lesen einer Platzhaltermaske in Binärdatei 1 als egal-Bit betrachtet wird.