Citrix SD-WAN

PBR-Modus (virtueller Inline)

Im virtuellen Inline-Modus verwendet der Router richtlinienbasierte Routingregeln, um eingehenden und ausgehenden WAN-Datenverkehr an die Appliance umzuleiten, und die Appliance leitet die verarbeiteten Pakete zurück an den Router weiter.

Im folgenden Artikel wird die schrittweise Vorgehensweise zum Konfigurieren von zwei SD-WAN (SD-WAN SE) -Appliances beschrieben:

  • Rechenzentrums-Appliance im PBR-Modus (virtueller Inline-Modus)

  • Zweig Appliance im Inline-Modus

  • PBR muss entweder am Core-Switch oder weiter Upstream am Router konfiguriert werden. Der Router muss den Zustand der SD-WAN-Appliance überwachen, damit die Appliance bei einem Ausfall umgangen werden kann.

  • Der virtuelle Inline-Modus versetzt die SD-WAN-Appliance physisch außerhalb des Pfades (Einarm-Bereitstellung), d. h. nur eine einzige Ethernet-Schnittstelle, die verwendet werden soll (Beispiel: Schnittstelle 1/1), wobei der Bypass-Modus auf Fail-to-Block (FTB) eingestellt ist.

Die Citrix SD-WAN Appliance muss so konfiguriert werden, dass der Datenverkehr an das richtige Gateway weitergeleitet wird. Der für den virtuellen Pfad vorgesehene Datenverkehr wird auf die SD-WAN-Appliance geleitet und dann gekapselt und an die entsprechende WAN-Verbindung geleitet.

Sammeln von Informationen für die Konfiguration

  • Genaues Netzwerkdiagramm (Beispieldiagramm unten) Ihrer lokalen und entfernten Standorte, einschließlich:

    • Lokale und Remote-WAN-Verbindungen und ihre Bandbreite in beide Richtungen, ihre Subnetze, virtuelle IP-Adressen und Gateways von jedem Link, Routen und VLANs.
  • Bereitstellungstabelle (Beispieldiagramm unten)

Rechenzentrumtopologie — PBR-Modus (virtueller Inline-Modus)

lokalisierte Grafik

Zweigtopologie — Inline-Modus

lokalisierte Grafik

Sitename DataCenter Site Niederlassungsstandort
Appliance-Name SJC-DC SJC-BR
Management-IP 172.30.2.10/24 172.30.2.20/24
Sicherheitsschlüssel Falls vorhanden Falls vorhanden
Modell/Edition 4000 2000
Modus PBR-Modus (Virtueller Inline-Modus) Inline
Topologie 2 x WAN-Pfad 2 x WAN-Pfad
VIP-Adresse 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, Public IP w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24 — Internet, Öffentliche IP a.b.c.d
Gateway-MPLS 10.20.0.1 10.17.0.1
Gateway-Internet 10.19.0.1 10.18.0.1
Verbindungsgeschwindigkeit MPLS — 100 Mbit/s, Internet — 20 Mbit/s MPLS — 10 Mbit/s, Internet — 2 Mbit/s
Route Sie müssen eine Route auf der SD-WAN SE Appliance hinzufügen, wie Sie die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physikalischen Schnittstellen erreichen: Gi0/1 - 192.168.1.1, Konfiguration > Virtual WAN > Konfigurationseditor > SJC_DC Routes. In diesem Beispiel wurde die Schnittstelle 192.168.1.1 verwendet፦ n/w Adresse: 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Servicetyp: lokal, - Gateway-IP-Adresse: 192.168.1.1 Es wurden keine zusätzlichen Routen hinzugefügt
VLANs Keine (Standard 0) Keine (Standard 0)

Schritte zum Konfigurieren einer Site im virtuellen Inline-Modus:

  • Aktivieren Sie die MCN-Funktionalität.

  • Erstellen einer neuen Website.

  • Erstellen Sie eine Schnittstellengruppe und virtuelle Schnittstellen.

  • Weisen Sie virtuellen Schnittstellen virtuelle IP-Adresse zu.

  • Erstellen Sie WAN-Links und weisen Sie die IP-Adresse zu.

  • Routen hinzufügen.

  • Fehlerbehebung.

  • Richtlinienbasierte Routing-Konfiguration auf dem PBR-Router.

Konfigurationsvoraussetzungen

  • Aktivieren Sie die SD-WAN-Appliance als Master Control Node.

  • Die Konfiguration erfolgt nur auf dem Master Control Node (MCN) der SD-WAN-Appliance.

So aktivieren Sie eine Appliance als Master-Control-Knoten:

  1. Navigieren Sie in der SD-WAN-Webverwaltungsschnittstelle zu Konfiguration > Einheiteneinstellungen > Administratorschnittstelle > Registerkarte Sonstiges > Konsole wechseln.

    Hinweis

    Wenn Zur Clientkonsole wechseln angezeigt wird, befindet sich die Appliance bereits im MCN-Modus. Es sollte nur einen aktiven MCN in einem SD-WAN-Netzwerk geben.

  2. Aktivieren Sie den virtuellen WAN-Dienst. Navigieren Sie zu Konfiguration > Virtuelles WAN > Flows aktivieren/deaktivieren/löschen.

  3. Starten Sie die Konfiguration, indem Sie zuKonfiguration>Virtual WAN >Konfigurations-Editornavigieren.Klicken Sie auf Newum mit der Konfiguration zu beginnen

    Dieser Vorgang erstellt eine Initialkonfigurationsdatei Untitled_1, die später mit der Schaltfläche Speichern unter umbenannt werden kann.

Im Folgenden werden die Konfigurationsschritte auf hoher Ebene beschrieben, um den Datacenter-Standort im PBR-Bereitstellungsmodus zu konfigurieren:

  1. Erstellen Sie einen DC-Standort.

  2. Konfigurieren Sie Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen.

  3. Konfigurieren Sie die virtuelle IP-Adresse für jede virtuelle Schnittstelle.

  4. Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.  

  5. Füllen Sie Routen aus, wenn mehr Subnetze in der LAN-Infrastruktur vorhanden sind.

Konfiguration des PBR-Modus des Rechenzentrumsstandorts

Erstellen eines DC-Standorts

  1. Navigieren Sie zuKonfigurationseditor >Sitesund klicken Sie auf die Schaltfläche + Site.

  2. Füllen Sie die Felder wie unten gezeigt.

  3. Behalten Sie die Standardeinstellungen bei, wenn Sie nicht dazu aufgefordert werden.

    lokalisierte Grafik

Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen

  1. Navigieren Sie im Konfigurations-Editor zuSites→**[Site-Name]Interface-Gruppen**. Klicken Sie auf”+”, um Schnittstellen hinzuzufügen, die verwendet werden sollen.Im PBR-Modus wird die Konfiguration nur auf einer einzigen Ethernet-Schnittstelle verwendet, d. h. Schnittstelle, die den Upstream-Router verbindet, was Auswirkungen auf die PBR-Richtlinie hat (Beispiel- Schnittstelle 1/1). Konfigurieren Sie MPLS und virtuelle Internetschnittstellen mit VLAN ID 10 bzw. 20.

  2. Der Bypass-Modus ist auf Fail-to-block-Modus eingestellt, da pro virtueller Schnittstelle nur eine Ethernet/physische Schnittstelle verwendet wird.Es gibt auch keine Brückenpaare.

  3. Erweitern Sie in diesem Beispiel die Option Virtuelle Schnittstellen +, und konfigurieren Sie die Virtuellen Schnittstellen.

    lokalisierte Grafik

Virtuelle IP-Adresse (VIP) für jede virtuelle Schnittstelle erstellen

Erstellen Sie für jeden WAN-Link eine virtuelle IP-Adresse im entsprechenden Subnetz.VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.

lokalisierte Grafik

So füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht auf Burstgeschwindigkeiten mit Internet- und MPLS-Verbindung aus:

  1. Navigieren Sie zuWAN-Linksund klicken Sie auf die Schaltfläche “+”, um einen WAN-Link für den Internet-Link hinzuzufügen.

  2. Geben Sie Informationen zum Internetlink ein, einschließlich der angegebenen öffentlichen IP-Adresse, wie unten dargestellt. Beachten Sie, dassAuto Detect Public IPnicht für SD-WAN-Appliance ausgewählt werden kann, die als MCN konfiguriert ist.

  3. Navigieren Sie zuAccess Interfacesund klicken Sie auf die**Schaltfläche**”+”, um für den Internetlink spezifische Schnittstellendetails hinzuzufügen.

  4. Füllen Sie das Access Interface für IP- und Gateway Adressen wie unten dargestellt aus. DerProxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.

    lokalisierte Grafik

    lokalisierte Grafik

MPLS-Verknüpfung erstellen

  1. Navigieren Sie zu WAN-Linksund klicken Sie auf die Schaltfläche “+”, um einen WAN-Link für den MPLS-Link hinzuzufügen.

  2. Füllen Sie MPLS-Link-Details wie unten gezeigt.

  3. Navigieren Sie zu Access Interfacesund klicken Sie auf die**Schaltfläche**”+”, um Schnittstellendetails hinzuzufügen, die für den MPLS-Link spezifisch sind.

  4. Füllen Sie Access Interface für MPLS Virtual IP- und Gateway Adressen wie unten gezeigt.

    lokalisierte Grafik

    Hinweis

    Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.

Routen auffüllen

Fügen Sie am Rechenzentrumsstandort eine Route auf der SD-WAN SEE-Appliance hinzu, um die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen zu erreichen:

0/1/0.1 — 192.168.1.1 auf VLAN 10

0/1/0.2 — 192.168.2.1 auf VLAN 20

lokalisierte Grafik

lokalisierte Grafik

Konfiguration der Inline-Bereitstellung von Zweigstandort

Im Folgenden sind die Konfigurationsschritte auf hoher Ebene zum Konfigurieren von Zweigstandort für die Inline-Bereitstellung aufgeführt:

  1. Erstellen Sie eine Zweigwebsite.  

  2. Füllen Sie Schnittstellengruppen basierend auf angeschlossenen Ethernet-Schnittstellen aus.

  3. Erstellen Sie eine virtuelle IP-Adresse für jede virtuelle Schnittstelle.

  4. Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.  

    • Virtuelle Schnittstelle “INTERNET” konfiguriert auf Bridge-Paar 1/3 und 1/4

    • Virtuelle Schnittstelle “MPLS” konfiguriert con Bridge Pair 1/1 und 1/2

  5. Füllen Sie Routen aus, wenn mehr Subnetze in der LAN-Infrastruktur vorhanden sind.

Erstellen eines Zweigstandorts

lokalisierte Grafik

Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen

  1. Navigieren Sie imKonfigurations-EditorzuSites >**[Client-Sitenname]**Schnittstellengruppen**. Klicken Sie auf”+**”, um Schnittstellen hinzuzufügen, die verwendet werden sollen. Für die Inline-Modus-Konfiguration werden vier Ethernet-Schnittstellen verwendet: Schnittstellenpaar 1/3, 1/4 und Schnittstellenpaar 1/1 und 1/2.

  2. Der Bypass-Modus ist auf Fail-to-Wire-Modus eingestellt, da zwei EtherNet/Physical Schnittstellen pro virtueller Schnittstelle verwendet werden. Es gibt zwei Brückenpaare.

  3. Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.  

    • Virtuelle Schnittstelle “INTERNET” konfiguriert auf Bridge-Paar 1/3 und 1/4

    • Virtuelle Schnittstelle “MPLS” konfiguriert con Bridge Pair 1/1 und 1/2.

  4. Lesen Sie das Beispiel Remote Site Inline Mode Topologie oben und füllen Sie die Schnittstellengruppen Felder wie unten dargestellt.

    lokalisierte Grafik

Virtuelle IP-Adresse (VIP) für jede virtuelle Schnittstelle erstellen

Erstellen Sie für jeden WAN-Link eine virtuelle IP-Adresse im entsprechenden Subnetz.VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.

lokalisierte Grafik

So füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht auf Burstgeschwindigkeiten mithilfe der Internetverbindung

  1. Navigieren Sie zuWAN-Linksund klicken Sie auf die Schaltfläche “+”, um einen WAN-Link für den Internet-Link hinzuzufügen.

  2. Füllen Sie Details zum Internetlink, einschließlich der öffentlichen AutoDetect IP-Adresse, wie unten dargestellt.

  3. Navigieren Sie zuAccess Interfacesund klicken Sie auf die Schaltfläche “+”, um für den Internetlink spezifische Schnittstellendetails hinzuzufügen.

  4. Füllen Sie das Access Interface für virtuelle IP-Adresse und Gateway aus wie unten gezeigt.

    lokalisierte Grafik

    lokalisierte Grafik

MPLS-Verknüpfung erstellen

  1. Navigieren Sie zu WAN-Links und klicken Sie auf die Schaltfläche “+”,um einen WAN-Link für den MPLS-Link hinzuzufügen.

  2. Füllen Sie MPLS-Link-Details wie unten gezeigt.

  3. Navigieren Sie zu Access Interfacesund klicken Sie auf die Schaltfläche “+”, um Schnittstellendetails hinzuzufügen, die für den MPLS-Link spezifisch sind.

  4. Füllen Sie das Access Interface für virtuelle IP-Adresse und Gateway aus wie unten gezeigt.

    lokalisierte Grafik

    lokalisierte Grafik

Routen auffüllen

Routen werden automatisch basierend auf der obigen Konfiguration erstellt. Falls es mehr Subnetze gibt, die für diese Remote-Zweigstelle spezifisch sind, müssen bestimmte Routen hinzugefügt werden, um zu welchem Gateway der Datenverkehr geleitet werden soll, um diese Backend-Subnetze zu erreichen.  

lokalisierte Grafik

Beheben von Überwachungsfehlern

Nach Abschluss der Konfiguration für DC- und Zweigstandorte werden Sie benachrichtigt, um Überwachungsfehler auf DC- und BR-Standorten zu beheben. In diesem Beispiel werden wir den Audit-Fehler im Zusammenhang mit dem privaten Intranet WAN Link [SJC_DC-MPLS] beheben.

Hinweis

Standardmäßig generiert das System Pfade für WAN-Links, die als Zugriffstyp Public Internet definiert sind (hervorgehoben).

lokalisierte Grafik

lokalisiertes Bild

lokalisierte Grafik

Sie müssen die Autopfad-Gruppenfunktion verwenden oder Pfade manuell für WAN-Links mit dem Zugriffstyp Privates Internet aktivieren. Pfade für MPLS-Links können durch Klicken auf den Operator Hinzufügen (im grünen Rechteck) aktiviert werden.  

lokalisierte Grafik

Erstellen Sie eine Autopath-Gruppe:

  1. Navigieren Sie zur Registerkarte Global. Klicken Sie auf das [+]Zeichen neben Autopath Groups.

  2. Konfigurieren Sie die erstellte Autopath-Gruppe gemäß Anforderung, und klicken Sie auf Übernehmen.

    lokalisierte Grafik

  3. Benennen Sie die Autopath-Gruppe um [Optional].

  4. Ordnen Sie die Autopath-Gruppe den virtuellen Pfaden von Intranet-WAN-Links an den jeweiligen Standorten zu.

    Es können keine zwei Autopath-Gruppen als Standard markiert werden. Wenn markiert würde zu einem Überwachungsfehler führen.

Nachdem die Autopath-Gruppe den virtuellen Pfaden des Intranet-WAN zugeordnet wurde, sollten die Pfade automatisch ausgefüllt werden (hervorgehoben).

lokalisierte Grafik

  1. Wählen Sie die virtuellen Pfade unter WAN-Links für die jeweiligen Sites aus, und keine Autopath-Gruppe würde zugeordnet werden.

  2. Klicken Sie auf das Zeichen [+]neben Pfade, um virtuelle Pfade manuell hinzuzufügen.  

    lokalisierte Grafik

  3. Wählen Sie die WAN-Links für virtuelle Pfade für jede Site aus.

    lokalisierte Grafik

    Nachdem die virtuellen Pfade für WAN-Links mit dem Zugriffstyp Privates Intranet manuell hinzugefügt wurden, wird es unter Pfade (hervorgehoben) aufgefüllt.

    Nachdem Sie alle oben genannten Schritte ausgeführt haben, fahren Sie mitVorbereiten der SD-WAN-Appliance-Paketedem MCN-Thema fort.

Richtlinienbasierte Routingkonfiguration auf dem PBR-Router:

Schnittstelle mit dem LAN verbunden

  • Router# configure terminal

  • Router(config)# interface FastEthernet0/1

  • Router(config-if)# description ToLAN

  • Router(config-if)# ip address 10.10.11.1 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Schnittstelle verbindet sich mit dem MPLS WAN-Link

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/0

  • Router(config-if)# description To-MPLS-WAN

  • Router(config-if)# ip address 10.20.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Schnittstelle mit dem INET-WAN-Link verbunden

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/2/0

  • Router(config-if)# description To-INET-WAN

  • Router(config-if)# ip address 10.19.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Schnittstelle GigabitEthernet0/1 auf dem PBR-Router ist mit dem SD-WAN-Port verbunden 1/1, es ist im 1-Arm-Modus und dieser Port wird Verkehr für MPLS und INET-Verbindungen dienen.

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/1

  • Router(config-if)# description To-SDWAN-link

  • Router(config-if)# ip address 192.168.1.1 255.255.255.0

Statische Routenkonfiguration (Route zu den Client/Remote-Subnetzen):

  • MPLS 10.17.0.0/24 über den nächsten Hop WAN-Router MPLS 10.20.0.1

  • INET 10.18.0.0/24 über den nächsten Hop WAN-Router/FW INET 10.19.0.1

  • Router# configure terminal

  • Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1

  • Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1

Routenkartendefinition:

Konfiguration der Zugriffssteuerungsliste:

Konfigurieren Sie ACLs, um den Datenverkehr zu definieren, der an und von der SD-WAN-Appliance gesendet werden soll.

  1. Vom LAN zur SD-WAN-Appliance

    Gemäß Topologie sind die LAN-Subnetze 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw. Um Datenverkehr vom LAN an das SD-WAN zu senden, konfigurieren Sie eine unidirektionale ACL (von LAN zu einem beliebigen).

    -  Router# configure terminal

    -  Router(config)# ip access-list extended server_side

    -  Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
  1. Von der SD-WAN-Appliance zu physischen WAN-Verbindungen
    -  Router# configure terminal

    -  Router(config)# ip access-list extended MPLS_Link

    -  Router(config)# permit ip 192.168.1.10 0.0.0.0 any

    -  Router# configure terminal

    -  Router(config)# ip access-list extended INET_Link

    -  Router(config)# permit ip 192.168.1.11 0.0.0.0 any

<!--NeedCopy-->

Routenzuordnungskonfiguration:

Definieren Sie die Routenzuordnung, die mit den ACLs übereinstimmt.

Routenplan für LAN-Verkehr:

Der nächste Hop wird eine der SD-WAN Virtual IPs (VIP) sein.

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

In diesem Fall wählten wir MPLS VIP 192.168.1.10 als nächster Hop und fügten auch eine Zustandsprüfung hinzu, um sicherzustellen, dass der Datenverkehr nicht weitergeleitet wird, wenn das SD-WAN ausfällt.

-  Router# configure terminal

-  Router(config)# route-map server_side_VW_PBR permit 10

-  Router(config-route-map)# match ip address server_side

-  Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123

<!--NeedCopy-->

Der obige Befehl konfiguriert die Routenzuordnung, um die Erreichbarkeit des verfolgten Objekts zu überprüfen. Der Tracking-Prozess bietet die Möglichkeit, einzelne Objekte zu verfolgen, wie ICMP-Ping-Erreichbarkeit, Routing-Nähe, eine Anwendung, die auf einem Remote-Gerät ausgeführt wird, eine Route in der Routing Information Base (RIB) oder den Status eines Schnittstellenlinienprotokolls zu verfolgen.

Routenplan für WAN-Verkehr:

Nächster Hop wird MPLS Router und Firewall für die jeweiligen WAN-Links sein.

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 20

-  Router(config-route-map)# match ip address MPLS_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 30

-  Router(config-route-map)# match ip address INET_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125

<!--NeedCopy-->

Wenden Sie die Routenkarte auf die Schnittstelle an:

-  Router# configure terminal

-  Router(config)# interface FastEthernet0/1

-  Router(config-if)# ip policy route-map server_side_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

-  Router# configure terminal

-  Router(config)# interface GigabitEthernet0/1

-  Router(config-if)# ip policy route-map WAN_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

<!--NeedCopy-->

MPLS-Router-Konfiguration (Gateway 10.20.0.1):

  • Fügen Sie Route auf MPLS-Router hinzu, um MPLS VWAN VIP im Rechenzentrum zu erreichen.

  • MPLS VIP subnet 192.168.1.0/24 via next hop PBR router MPLS link 10.20.0.2

  • Router# configure terminal

  • Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.0.2

Firewall-Konfiguration (Gateway 10.19.0.1):

Fügen Sie eine Route auf der Firewall hinzu, um INET VWAN VIP im Rechenzentrum zu erreichen.

INET VIP subnet 192.168.1.0/24 via next hop PBR router INET link 10.19.0.2

-  Router# configure terminal

-  Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->