Virtueller Inline-Modus
Im virtuellen Inlinemodus verwendet der Router ein Routing-Protokoll wie PBR, OSPF oder BGP, um eingehenden und ausgehenden WAN-Verkehr an die Appliance umzuleiten, und die Appliance leitet die verarbeiteten Pakete zurück an den Router.
Im folgenden Artikel wird die schrittweise Vorgehensweise zum Konfigurieren von zwei SD-WAN (SD-WAN SE) -Appliances beschrieben:
- Rechenzentrums-Appliance im virtuellen Inlinemodus
- Gerät im Inline-Modus verzweigen
- Das Routing-Protokoll muss entweder am Core-Switch oder weiter stromaufwärts am Router konfiguriert werden. Der Router muss den Zustand der SD-WAN-Appliance überwachen, damit die Appliance bei einem Ausfall umgangen werden kann.
- Im virtuellen Inlinemodus wird die SD-WAN-Appliance physisch aus dem Pfad versetzt (einarmige Bereitstellung), dh es muss nur eine einzige Ethernet-Schnittstelle verwendet werden (Beispiel: Schnittstelle 1/5), wobei der Bypass-Modus auf Fail-to-Block (FTB) eingestellt ist. Die Citrix SD-WAN Appliance muss so konfiguriert sein, dass Datenverkehr an das richtige Gateway weitergeleitet wird. Der für den virtuellen Pfad vorgesehene Datenverkehr wird auf die SD-WAN-Appliance gerichtet und dann gekapselt und an die entsprechende WAN-Verbindung geleitet.
Sammeln Sie Informationen
Sammeln Sie die folgenden Informationen, die für die Konfiguration des virtuellen Inlinemodus erforderlich sind:
- Genaues Netzwerkschema Ihrer lokalen und Remotestandorte, einschließlich:
- Lokale und Remote-WAN-Verbindungen und ihre Bandbreiten in beide Richtungen, ihre Subnetze, virtuellen IP-Adressen und Gateways von jeder Verbindung, Routen und VLANs.
- Tabelle für die Bereitstellung
Das Folgende ist ein Beispiel für ein Netzwerkschema und eine Bereitstellungstabelle:
Rechenzentrumtopologie — Virtueller Inline-Modus
Zweigtopologie — Inline-Modus
| Sitename | Rechenzentrums-Standort | Niederlassungsstandort |
|---|---|---|
| Appliance-Name | SJC-DC | SJC-BR |
| Management-IP | 172.30.2.10/24 | 172.30.2.20/24 |
| Sicherheits-Schlüssel | Falls vorhanden | Falls vorhanden |
| Modell/Edition | 4000 | 2000 |
| Modus | Virtueller Inlinemodus | Inline |
| Topologie | 2 x WAN-Pfad | 2 x WAN-Pfad |
| VIP-Adresse | 192.168.1.10/24 — MPLS, 192.168.2.10/24 — Internet, öffentliche IP w.x.y.z | 10.17.0.9/24 - MPLS, 10.18.0.9/24 — Internet, öffentliche IP a.b.c.d |
| Gateway-MPLS | 10.20.0.1 | 10.17.0.1 |
| Gateway-Internet | 10.19.0.1 | 10.18.0.1 |
| Verbindungsgeschwindigkeit | MPLS — 100 Mbit/s, Internet — 20 Mbit/s | MPLS — 10 Mbit/s, Internet — 2 Mbit/s |
| Route | Sie müssen eine Route auf der SD-WAN SE Appliance hinzufügen, wie Sie die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen erreichen: Gi0/1 - 192.168.1.1, Konfiguration > Virtuelles WAN > Konfigurationseditor > SJC_DC\ > Routes. In diesem Beispiel wurde die Schnittstelle 192.168.1.1 verwendet፦ n/w Adresse: 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Servicetyp: lokal, - Gateway-IP-Adresse: 192.168.1.1 | Es wurden keine zusätzlichen Strecken hinzugefügt |
| VLANs | MPLS - VLAN 10, Internet - VLAN 20 | Keine (Standard 0) |
Voraussetzungen
-
Navigieren Sie in der Webverwaltungsoberfläche der SD-WAN-Appliance zu Konfiguration > Appliance-Einstellungen > Administratorschnittstelle > Verschiedenes und klicken Sie auf Switch-Konsole.
Hinweis
Wenn Switch to Client Console angezeigt wird, befindet sich die Appliance bereits im MCN-Modus. Sie müssen nur einen aktiven MCN in einem SD-WAN-Netzwerk haben.
-
Navigieren Sie zu Konfiguration > Virtuelles WAN > Aktivieren/Deaktivieren/Bereinigen von Flows und klicken Sie im Abschnitt Citrix Virtual WAN-Dienst aktivieren auf Aktivieren.
-
Starten Sie Konfiguration, indem Sie zu Konfiguration > Virtuelles WAN > Konfigurationseditornavigieren. Klicken Sie auf Neu, um mit der Konfiguration zu beginnen. Durch Klicken auf Neu wird eine anfängliche Konfigurationsdatei mit Untitled_1 als Dateinamen erstellt. Sie können die Datei später [optional] mit der Schaltfläche Speichern unter umbenennen.
Rechenzentrumsstandort — Konfiguration des virtuellen Inlinemodus
Erstellen eines Rechenzentrumsstandorts
-
Navigieren Sie zu Konfiguration > Virtual WAN > Konfigurationseditor > Sites und klicken Sie auf + Site.
-
Geben Sie den Site-Namen und den Standort ein. Wählen Sie das Appliance-Modell aus der Dropdownliste Modell und Primärer MCN aus der Dropdownliste Modus aus.
-
Klicken Sie auf Hinzufügen.
Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen
In der Konfiguration des virtuellen Inlinemodus wird nur eine Ethernet-Schnittstelle verwendet, dh die Schnittstelle, die den Upstream-Router verbindet, was Auswirkungen auf die Routing-Richtlinie bietet (Beispiel-Interface 1/5). Der Bypass-Modus ist auf Fail-to-Block (FTB) eingestellt, da nur eine Ethernet/physische Schnittstelle pro virtueller Schnittstelle verwendet wird. Außerdem gibt es keine Bridge Pairs.
-
Navigieren Sie im Konfigurationseditorzu Sites > [Site-Name] > Schnittstellengruppen. Klicken Sie auf +, um Schnittstellen hinzuzufügen, die verwendet werden sollen.
- Wählen Sie die Ethernet-Schnittstelle aus, die mit dem Upstream-Router verbunden wird, und klicken Sie neben Virtuelle Schnittstellen auf +. Fügen Sie die virtuellen Schnittstellen für MPLS- und Internetverbindungen hinzu. Fügen Sie gemäß der Beispieltopologie Folgendes hinzu:
- Virtuelle Schnittstelle MPLS konfiguriert auf VLAN 10
- Virtuelle Schnittstelle INTERNET konfiguriert auf VLAN 20
-
Wählen Sie in der Dropdownliste Bypass-Modus die Option Fail-to-block aus. Klicken Sie auf Apply.
Erstellen Sie eine virtuelle IP-Adresse für jede virtuelle Schnittstelle
Erstellen Sie für jeden WAN-Link eine virtuelle IP (VIP) -Adresse im entsprechenden Subnetz. VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.
-
Navigieren Sie im Konfigurationseditorzu Sites >[Site-Name] > Virtuelle IP-Adressen. Klicken Sie auf +, um VIPs zu erstellen.
-
Geben Sie die IP-Adresse/das Präfix ein und wählen Sie die entsprechende virtuelle Schnittstelle für MPLS und Internet aus.
-
Klicken Sie auf Apply.
Internet-WAN-Link erstellen
Erstellen Sie eine Internet-WAN-Verbindung basierend auf der physischen Rate und nicht auf Burst-Geschwindigkeiten.
-
Navigieren Sie im Konfigurationseditorzu Sites >[Site-Name] > WAN-Links und klicken Sie auf + Link. Geben Sie einen Namen ein und wählen Sie Zugriffstyp als öffentliches Internet. Klicken Sie auf Hinzufügen.
-
Geben Sie den physikalischen Tarif ein. Aktivieren Sie nicht das Kontrollkästchen Öffentliche IP automatisch erkennen. Für die SD-WAN-Appliance, die als MCN konfiguriert ist, kann das Kontrollkästchen Öffentliche IP automatisch erkennen nicht aktiviert werden.
-
Wählen Sie in der Dropdownliste Abschnitt die Option Zugriffsschnittstellen aus und klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den Internetlink hinzuzufügen.
-
Geben Sie die virtuelle Internet-WAN-IP-Adresse und die Gateway-Adresse ein. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.
-
Klicken Sie auf Apply.
Erstellen Sie einen MPLS-Link
- Wählen Sie auf der Seite Sites > [Site-Name] > WAN-Links in der Dropdownliste Abschnitt die Option Einstellungen aus. Klicken Sie auf die Schaltfläche + Link, um einen WAN-Link für MPLS hinzuzufügen.
-
Geben Sie den Namen des MPLS WAN Link ein und wählen Sie Zugriffstyp als privates Intranetaus. Klicken Sie auf Hinzufügen.
-
Geben Sie den physischen Tarif und andere Details ein. Klicken Sie auf Apply.
-
Wählen Sie in der Dropdownliste Abschnitt die Option Zugriffsschnittstellen aus und klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den MPLS-Link hinzuzufügen.
-
Geben Sie die MPLS Virtual IP-Adresse und Gateway-Adresse ein. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.
-
Klicken Sie auf Apply.
Routen auffüllen
Fügen Sie auf der Seite des Rechenzentrums eine Route auf der SD-WAN-Appliance hinzu, wie Sie die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen erreichen können.
0/1/0.1 — 192.168.1.1 auf VLAN 10
0/1/0.2 — 192.168.2.1 auf VLAN 20
In diesem Beispiel wird das Interface 192.168.1.1 verwendet.
Navigieren Sie im Konfigurationseditorzu Verbindungen > Routen und klicken Sie auf +, um die Routen hinzuzufügen.
Geben Sie die Netzwerk-IP-Adresse, die Kostenund die Gateway-Adresseein. Klicken Sie auf Hinzufügen.
Konfiguration der Inline-Bereitstellung von Zweigstandort
Erstellen eines Zweigstandorts
-
Navigieren Sie zu Configuration Editor > Sites und klicken Sie auf + Site.
-
Geben Sie den Site-Namen und den Standort ein. Wählen Sie das Appliance-Modell aus der Dropdownliste Modell und Client aus der Dropdownliste Modus aus.
-
Klicken Sie auf Hinzufügen.
Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen
-
Navigieren Sie im Konfigurationseditorzu Sites > [Client-Site-Name] > Schnittstellengruppen. Klicken Sie auf +, um Schnittstellen hinzuzufügen, die verwendet werden sollen. Für die Inline-Moduskonfiguration werden vier Ethernet-Schnittstellen verwendet; Schnittstellenpaar 1/3, 1/4 und Schnittstellenpaar 1/1 und 1/2.
-
Stellen Sie den Bypass-Modus auf Fail-to-Wire ein, da zwei Ethernet/physische Schnittstellen pro virtueller Schnittstelle verwendet werden. Es gibt zwei Brückenpaare.
-
Klicken Sie neben Virtuelle Schnittstellen auf + und füllen Sie WAN-Verbindungen basierend auf der physischen Rate und nicht auf Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.
-
Virtuelle Schnittstelle INTERNET konfiguriert auf Bridge-Paar 1/3 und 1/4
-
Virtuelle Schnittstelle MPLS konfiguriert auf Bridge Pair 1/1 und 1/2.
-
-
Klicken Sie neben Bridge Pairs auf + und erstellen Sie das Bridge-Paar, indem Sie die entsprechenden Schnittstellen auswählen.
Lesen Sie das Diagramm Zweigtopologie — Inline-Modus-Topologie im Abschnitt Voraussetzungen, und füllen Sie die Schnittstellengruppen aus.
Virtuelle IP-Adresse (VIP) für jede virtuelle Schnittstelle erstellen
Erstellen Sie für jeden WAN-Link eine virtuelle IP-Adresse im entsprechenden Subnetz. VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.
-
Navigieren Sie im Konfigurationseditorzu Sites >[Site-Name] > Virtuelle IP-Adressen. Klicken Sie auf +, um VIPs zu erstellen.
-
Geben Sie die IP-Adresse/das Präfix ein und wählen Sie die entsprechende virtuelle Schnittstelle für MPLS und Internet aus.
-
Klicken Sie auf Apply.
Internet-WAN-Link erstellen
So füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht auf Burst-Geschwindigkeiten über Internetlinks aus
-
Navigieren Sie zu WAN-Links, klicken Sie auf die Schaltfläche + Link, um einen WAN-Link für den Internetlink hinzuzufügen. Geben Sie einen Namen ein und wählen Sie Zugriffstyp als öffentliches Internet. Klicken Sie auf Hinzufügen.
-
Füllen Sie die Internetverbindungsdetails aus und aktivieren Sie das Kontrollkästchen Öffentliche IP-Adresse automatisch erkennen.
-
Wählen Sie in der Dropdownliste Abschnitt die Option Zugriffsschnittstellen aus und klicken Sie auf das +, um Schnittstellendetails für den Internetlink hinzuzufügen.
-
Geben Sie die virtuelle Internet-WAN-IP-Adresse und die Gateway-Adresse ein. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.
Erstellen Sie eine MPLS-WAN-Verbindung
-
Navigieren Sie zu WAN-Links und wählen Sie Einstellungen aus der Dropdownliste Abschnitt aus. Klicken Sie auf die Schaltfläche + Link, um einen WAN-Link für den MPLS-Link hinzuzufügen.
-
Geben Sie den Namen des MPLS WAN Link und andere Details ein. Wählen Sie Zugriffstyp als privates Intranetaus.
-
Wählen Sie in der Dropdownliste Abschnitt die Option Zugriffsschnittstellen aus und klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den MPLS-Link hinzuzufügen.
-
Geben Sie die MPLS Virtual IP-Adresse und Gateway-Adresse ein. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.
Routen auffüllen
Routen werden basierend auf der vorhergehenden Konfiguration automatisch erstellt. Wenn es mehr Subnetze gibt, die für diese Remote-Zweigstelle spezifisch sind, müssen bestimmte Routen hinzugefügt werden, um zu identifizieren, welches Gateway den Datenverkehr leiten soll, um diese Back-End-Subnetze zu erreichen.
Erstellen von Autopath-Gruppen
-
Navigieren Sie im Konfigurationseditorzu Global > Autopath-Gruppen. Klicken Sie auf +.
-
Geben Sie einen Namen ein und klicken Sie auf Übernehmen.
-
Konfigurieren Sie die Autopath-Gruppe gemäß Ihren Anforderungen und klicken Sie auf Übernehmen.
-
Navigieren Sie zu Verbindungen > WAN-Links. Wählen Sie den Internet-WAN-Link aus der Dropdownliste WAN-Links und virtuelle Pfade aus der Dropdownliste Abschnitt aus.
-
Aktivieren Sie das Kontrollkästchen Verwenden und wählen Sie das neu erstellte Autopath-Gruppe aus der Autopath-Gruppe Kontrollkästchen für die Intranet-WAN-Links an den jeweiligen Standorten (sowohl Rechenzentrum als auch Zweig).
Keine zwei Autopath-Gruppen können als Standard markiert werden. Wenn markiert, würde dies zu einem Audit-Fehler führen.
Nachdem die virtuellen Pfade für WAN-Verbindungen mit Zugriffstyp manuell als Privates Intranethinzugefügt wurden, werden virtuelle Pfade unter Pfadegefüllt.
Nachdem Sie alle vorherigen Schritte abgeschlossen haben, fahren Sie mit Vorbereiten der SD-WAN-Appliance-Paketefort.
Beheben von Überwachungsfehlern
Nach Abschluss der Konfiguration für Rechenzentrums- und Zweigstandorte werden Sie darauf hingewiesen, die Überwachungsfehler an DC- und BR-Standorten zu beheben. Beheben Sie die Audit-Fehler (falls vorhanden).