MCN konfigurieren
Der erste Schritt besteht darin, ein neues Konfigurationspaket zu öffnen und die MCN-Site zur neuen Konfiguration hinzuzufügen.
Hinweis
Der Konfigurationseditor ist nur im MCN-Konsolenmodus verfügbar. Wenn die Option Konfigurationseditor im Virtual WAN-Zweig der Navigationsstruktur nicht verfügbar ist, finden Sie im Abschnitt Umschalten des Management-Webinterface in den MCN-KonsolenmodusAnweisungen zum Ändern des Konsolenmodus.
Es wird empfohlen, das Konfigurationspaket häufig oder an Schlüsselpunkten in der Konfiguration zu speichern. Anweisungen finden Sie im Abschnitt Benennen, Speichern und Sichern der MCN-Site-Konfiguration.
Warnung
Wenn die Konsolensitzung ein Timeout auftritt oder Sie sich vor dem Speichern Ihrer Konfiguration vom Management-Webinterface abmelden, gehen alle nicht gespeicherten Konfigurationsänderungen verloren. Sie müssen sich dann wieder beim System anmelden und den Konfigurationsvorgang von Anfang an wiederholen. Aus diesem Grund wird empfohlen, dass Sie das Timeout-Intervall für Konsolensitzungen beim Erstellen oder Ändern eines Konfigurationspakets oder beim Ausführen anderer komplexer Aufgaben auf einen hohen Wert festlegen. Die Standardeinstellung beträgt 60 Minuten. Das Maximum beträgt 9.999 Minuten. Aus Sicherheitsgründen müssen Sie ihn dann nach Abschluss dieser Aufgaben auf einen niedrigeren Schwellenwert zurücksetzen. Anweisungen finden Sie im Abschnitt Festlegen des Timeout-Intervalls für Konsolensitzungen (Optional)
Gehen Sie folgendermaßen vor, um die MCN-Appliance-Site hinzuzufügen und mit der Konfiguration zu beginnen:
-
Navigieren Sie in der Navigationsstruktur zu Virtual WAN > Configuration Editor. Dadurch wird die Hauptseite des Konfigurationseditors (mittlerer Bereich) angezeigt.
-
Klicken Sie auf Neu, um mit der Definition einer neuen Konfiguration zu beginnen. Daraufhin wird die Seite Neue Konfigurationseinstellungen angezeigt.
-
Klicken Sie in der Siteleiste auf +Sites, um mit dem Hinzufügen und Konfigurieren der MCN-Site zu beginnen. Daraufhin wird das DialogfeldSite hinzufügen angezeigt.
-
Geben Sie die Siteinformationen ein.
Führen Sie folgende Schritte aus:
- Geben Sie den Site-Namen und densicheren Schlüsselein.
- Wählen Sie das Gerätemodellaus.
- Wählen Sie den Modusaus.
- Wählen Sie den primären MCN als Modus aus.
Hinweis
Im Menü Modelloptionen werden die generischen Modellnamen für die unterstützten Appliance-Modelle aufgeführt. Die generischen Namen enthalten nicht das Modellsuffix der Standard Edition, sondern entsprechen den entsprechenden SD-WAN Appliance-Modellen. Wählen Sie die entsprechende Modellnummer für dieses SD-WAN Appliance-Modell aus. (Wählen Sie beispielsweise 4000 aus, wenn es sich um eine SD-WAN 4000-SE-Appliance handelt.)
Einträge dürfen keine Leerzeichen enthalten und müssen im Linux-Format vorliegen.
So fügen Sie eine Site hinzu:
-
Klicken Sie auf Hinzufügen, um die Website hinzuzufügen. Dadurch wird die neue Site zur Sitestruktur hinzugefügt und das Konfigurationsformular Grundeinstellungen für die neue Site angezeigt.
Nachdem Sie auf Übernehmengeklickt haben, werden Audit-Warnungen angezeigt, die darauf hinweisen, dass weitere Maßnahmen erforderlich sind. Ein Roter-Punkt- oder Goldenrod-Delta-Symbol weist auf einen Fehler in dem Abschnitt hin, in dem es angezeigt wird. Sie können diese Warnungen verwenden, um Fehler oder fehlende Konfigurationsinformationen zu identifizieren. Bewegen Sie den Mauszeiger über ein Überwachungswarnsymbol, um eine kurze Beschreibung der Fehler in diesem Abschnitt anzuzeigen. Sie können auch auf die dunkelgraue Statusleiste (unten auf der Seite) klicken, um eine vollständige Liste aller nicht aufgelösten Überwachungswarnungen anzuzeigen. Konfigurierbarer Host-ARP-Timer (ms) wird während der Konfiguration auf Standortebene hinzugefügt. Der aktuelle Standardwert beträgt 1.000 ms. Der konfigurierbare Bereich reicht von 1.000 ms bis 180.000 ms. Die Konfiguration des Host-ARP-Timers ist nicht auf den Management-Port anwendbar.
-
Geben Sie die Grundeinstellungen für die neue Site ein, oder übernehmen Sie die Standardeinstellungen. In Citrix SD-WAN Bereitstellungen wie Gateway und One-Arm werden beim häufigen Empfang der ARP-Anforderungen die Zugriffspunkte überlastet, was sich auf den Datenfluss auswirkt. Sie können jetzt ARP-Timer so konfigurieren, dass sie die ARP-Anfragen mit bestimmten Intervall-Zeiten senden. Das Zeitintervall ist in Sekunden konfiguriert. Sie können ARP-Zeitintervalle bei der Konfiguration der Rechenzentrums-Site auf der Registerkarte Grundeinstellungen in der Benutzeroberfläche der Citrix SD-WAN Appliance konfigurieren.
-
(Optional, empfohlen) Speichern Sie die laufende Konfiguration.
Wenn Sie die Konfiguration nicht in einer Sitzung abschließen können, können Sie sie jederzeit speichern, sodass Sie später zurückkehren können, um sie abzuschließen. Die Konfiguration wird in Ihrem Workspace auf der lokalen Appliance gespeichert. Um die Arbeit in einer gespeicherten Konfiguration fortzusetzen, klicken Sie in der Menüleiste des Konfigurationseditors (oben im Seitenbereich) auf Öffnen. Daraufhin wird ein Dialogfeld zur Auswahl der Konfiguration angezeigt, die Sie ändern möchten.
Hinweis
Als zusätzliche Vorsichtsmaßnahme wird empfohlen, dass Sie Speichern unter anstelle vonSpeichernverwenden, um ein Überschreiben des falschen Konfigurationspakets zu vermeiden.
Gehen Sie folgendermaßen vor, um das aktuelle Konfigurationspaket zu speichern:
-
Klicken Sie auf Speichern unter (oben im mittleren Bereich des Konfigurationseditors). Dadurch wird das Dialogfeld Speichern unter geöffnet.
-
Geben Sie den Namen des Konfigurationspakets ein. Wenn Sie die Konfiguration in einem vorhandenen Paket speichern, wählen Sie vor dem Speichern unbedingt Überschreiben zulassen.
-
Klicken Sie auf Speichern.
So konfigurieren Sie Schnittstellengruppen für den MCN
Nach dem Hinzufügen der neuen MCN-Site besteht der nächste Schritt darin, die virtuellen Schnittstellengruppen für die Site zu erstellen und zu konfigurieren.
Im Folgenden sind einige Richtlinien für die Konfiguration von Virtual Interface-Gruppen aufgeführt:
-
Verwenden Sie logische Namen, die die Gruppe am besten beschreiben.
-
Vertrauenswürdige Netzwerke sind Netzwerke, die hinter einer Firewall geschützt sind.
-
Virtuelle Schnittstellen verknüpfen Schnittstellen zu Fail-to-Wire (FTW) -Paaren.
-
Einzelne WAN-Schnittstellen können sich nicht in einem FTW-Paar befinden.
-
Die IPv6-Adresse wird in Version 11.1.0 eingeführt und wird nur für nicht vertrauenswürdige Schnittstellen unterstützt. Nicht vertrauenswürdige Schnittstellen sind nicht routingfähig und werden für den virtuellen Pfadverkehr verwendet.
Hinweis
Weitere Richtlinien und Informationen zur Konfiguration von virtuellen Schnittstellengruppen finden Sie im Abschnitt Virtuelles Routing und Weiterleitung.
Gehen Sie folgendermaßen vor, um der neuen MCN-Site eine virtuelle Schnittstellengruppe hinzuzufügen:
-
Wenn Sie in der Ansicht Sites des Konfigurationseditorsfortfahren, wählen Sie die Site aus dem Dropdownmenü Site anzeigen aus. Dadurch wird die Konfigurationsansicht für den ausgewählten Standort geöffnet.
-
Klicken Sie auf +, um die Gruppe der virtuellen Schnittstelle hinzuzufügen. Dadurch wird der Tabelle ein neuer leerer Eintrag für die virtuelle Schnittstelle hinzugefügt und zur Bearbeitung geöffnet.
-
Klicken Sie rechts neben Virtuelle Schnittstellen auf +. Dadurch wird der Tabelle ein neuer leerer Gruppeneintrag hinzugefügt und zur Bearbeitung geöffnet.
-
Wählen Sie die Ethernet-Schnittstellen aus, die in die Gruppe aufgenommen werden sollen. Klicken Sie unter Ethernet-Schnittstellenauf eine Schnittstelle, um diese Schnittstelle einzuschließen/auszuschließen. Sie können beliebig viele Schnittstellen auswählen, die in die Gruppe aufgenommen werden sollen.
-
Wählen Sie im Dropdownmenü den Umgehungsmodus (keine Standardeinstellung). Der Bypass-Modus legt das Verhalten von Bridge-gekoppelten Schnittstellen in der virtuellen Schnittstellengruppe im Falle eines Ausfalls oder Neustarts einer Appliance oder eines Dienstes fest. Die Optionen sind: Fail-to-Wire oder Fail-to-Block.
-
Wählen Sie im Dropdownmenü die Sicherheitsstufe aus. Dies gibt die Sicherheitsstufe für das Netzwerksegment der Virtual Interface Group an. Die Optionen sind: Vertrauenswürdig oder Nicht vertrauenswürdig. Vertrauenswürdige Segmente sind durch eine Firewall geschützt (Standard ist Trusted).
-
Klicken Sie am linken Rand des virtuellen Interface, das Sie hinzugefügt haben, auf +. Daraufhin wird die Tabelle Virtuelle Schnittstellen angezeigt.
-
Klicken Sie rechts neben Virtuelle Schnittstellen auf +. Dies zeigt den Namen, die Firewall-Zone, die VLAN-ID, die gerichtete Broadcast, den Client-Modus und die automatische Konfiguration von Stateless Address (SLAAC)an.
-
Geben Sie den Namen und die VLAN-ID für diese virtuelle Schnittstellengruppe ein.
- Name — Dies ist der Name, unter dem auf dieses virtuelle Interface verwiesen wird.
- Firewall-Zone - Wählen Sie eine Firewall-Zone aus dem Dropdownmenü aus.
- VLAN-ID — Dies ist die ID zum Identifizieren und Markieren des Datenverkehrs zur und von der virtuellen Schnittstelle. Verwenden Sie die ID 0 (Null) für native/nicht markierte Datenverkehr.
- Client-Modus — Wählen Sie den Client-Modus aus dem Dropdownmenü aus.
- Directed Broadcast - Auf der virtuellen Schnittstelle können Directed Broadcasts-Pakete durch Aktivieren des Kontrollkästchens für Virtual IP-Subnetze weitergeleitet werden.
-
SLAAC — Aktivieren des Kontrollkästchens Stateless Address Auto-Configuration (SLAAC) auf einer virtuellen Schnittstelle ermöglicht es ihr, automatisch eine globale IPv6-Adresse vom verbundenen Router zu erhalten. Virtuelle Schnittstellen mit aktiviertem SLAAC benötigen keine konfigurierte virtuelle IP-Adresse.
HINWEIS SLAAC kann nur auf einer Zweigstelle auf einer nicht vertrauenswürdigen Schnittstelle aktiviert werden.
Sie haben die Möglichkeit, die IP-Adressen für SLAAC freizugeben oder zu erneuern.
-
Klicken Sie rechts neben Brückenpaaren auf +. Dadurch wird ein neuer Bridge Pairs Eintrag hinzugefügt und zur Bearbeitung geöffnet.
-
Wählen Sie die Ethernet-Schnittstellen, die gekoppelt werden sollen, aus den Dropdownmenüs aus. Um weitere Paare hinzuzufügen, klicken Sie erneut auf + neben Bridge Pairs.
-
Klicken Sie auf Apply. Dies wendet Ihre Einstellungen an und fügt die neue virtuelle Schnittstellengruppe zur Tabelle hinzu. Zu diesem Zeitpunkt sehen Sie rechts neben dem neuen Eintrag für die Gruppe der virtuellen Schnittstelle ein gelbes Deltaüberwachungswarnsymbol. Dies liegt daran, dass Sie noch keine virtuellen IP-Adressen (VIPs) für die Site konfiguriert haben. Vorerst können Sie diese Warnung ignorieren, da sie automatisch aufgelöst wird, wenn Sie die virtuellen IPs für die Site richtig konfiguriert haben.
-
Um weitere virtuelle Schnittstellengruppen hinzuzufügen, klicken Sie rechts neben dem Zweig Schnittstellengruppen auf + und gehen Sie wie oben gezeigt vor.
So konfigurieren Sie die virtuelle IP-Adresse für den MCN
Der nächste Schritt besteht darin, die virtuellen IP-Adressen für den Standort zu konfigurieren und sie der entsprechenden Gruppe zuzuweisen.
-
Klicken Sie in der Ansicht Sites für die neue MCN-Site auf + links neben den virtuellen IP-Adressen. Dadurch wird die Tabelle Virtuelle IP-Adressen für die neue Site angezeigt.
-
Klicken Sie auf + rechts neben Virtuelle IP-Adressen, um eine Adresse hinzuzufügen. Dadurch wird das Formular zum Hinzufügen und Konfigurieren einer neuen virtuellen IP-Adresse geöffnet.
-
Geben Sie die **IP-Adresse/Präfixinformationen** ein und wählen Sie das virtuelle Interface aus, mit dem die Adresse verknüpft ist. Die virtuelle IP-Adresse muss die vollständige Hostadresse und die Netzmaske enthalten.
-
Wählen Sie die gewünschten Einstellungen für die virtuelle IP-Adresse aus, z. B. Firewallzone, Identität, Privat und Sicherheit.
-
Wählen Sie Inband Mgmt aus, damit die virtuelle IP-Adresse eine Verbindung zu Verwaltungsdiensten wie Web UI und SSH herstellen kann.
Hinweis:
Die Schnittstelle sollte vom Sicherheitstyp Trusted und Identity aktiviert sein.
-
Wählen Sie eine virtuelle IP als Backup-Management-Netzwerk aus. Auf diese Weise können Sie die virtuelle IP-Adresse für die Verwaltung verwenden, wenn der Verwaltungsport nicht mit einem Standard-Gateway konfiguriert ist.
-
Klicken Sie auf Apply. Dadurch werden die Adressinformationen zur Site hinzugefügt und in die Tabelle Virtuelle IP-Adressen der Site aufgenommen.
-
Um weitere virtuelle IP-Adressen hinzuzufügen, klicken Sie rechts neben den Virtuellen IP-Adressen auf +, und fahren Sie wie oben beschrieben fort.
Ab Version 11.1.0 stehen unter der virtuellen IP-Adresse zwei Unterabschnitte zur Verfügung: IPv4- und IPv6-Adressen.
Einschränkungen
- Es wird nur ein Pfadpaar erstellt, wenn sowohl IPv4- als auch IPv6-Access Interfaces für dieselbe WAN-Verbindung konfiguriert sind.
- Wenn der IPv6-Pfad ausfällt, findet kein Fallback auf IPv4 für dieselbe WAN-Verbindung statt.
- Tracking von IPv6-Adressen wird für Version 11.1.0 nicht unterstützt.
- IPv6 wird nur für die Kommunikation zwischen SD-WAN-Geräten über Virtual Path unterstützt. Internet- und Intranetdienste werden nicht unterstützt. Keine Unterstützung für Verwaltungsebene in Version 11.1.0.
- IPv6 wird für LTE-Links auf 210 Geräten für 11.1.0 Version nicht unterstützt.
- DHCPv6-Client und -Server werden für IPv6 nicht unterstützt. Sie können SLAAC für die automatische Adressierung konfigurieren.
Sie müssen eine virtuelle IP-Adresse für die neu erstellte nicht vertrauenswürdige Schnittstelle hinzufügen, oder Sie können SLAAC aktivieren, wenn es sich um einen Zweigstandort handelt. So fügen Sie virtuelle IP-Adresse hinzu:
- Wählen Sie im Dropdownmenü Abschnitt die Option IPv6 aus.
- Definieren Sie die folgenden Felder:
- IP-Adresse/Präfix — Geben Sie die vollständige Host-Adresse und Netzmaske an.
- Virtuelle Schnittstelle — Wählen Sie eine der zugeordneten virtuellen Schnittstellen aus dem Dropdownmenü aus.
- Firewallzone — Die Firewallzone für die virtuelle Schnittstelle.
-
Lokal verknüpfen (Optional): Wenn das Kontrollkästchen Lokal verknüpfen aktiviert ist, kann diese virtuelle IPv6-IP-Adresse als lokale Linkadresse für die virtuelle Schnittstelle verwendet werden.
HINWEIS Wenn das Kontrollkästchen Lokal verknüpfen nicht aktiviert ist, generiert die Appliance automatisch eine lokale Linkadresse und weist sie zu.
HINWEIS: Neighbor Discovery Protocol (NDP) wird von IPv6 unterstützt.
Wenn sowohl IPv4- als auch IPv6-Access Interfaces für die lokale und die Remotesite definiert sind, wird der Pfad nur mit IPv6-Adresse geformt.
So konfigurieren Sie WAN-Links für den MCN
Der nächste Schritt besteht darin, die WAN-Links für die Site zu konfigurieren.
-
Klicken Sie in der Ansicht Sites für die neue MCN-Site auf die Bezeichnung WAN-Links .
-
Klicken Sie rechts neben den WAN-Links auf Link hinzufügen, um eine neue WAN-Verbindung hinzuzufügen. Daraufhin wird das Dialogfeld Hinzufügen geöffnet.
-
(Optional) Geben Sie einen Namen für die WAN-Verbindung ein, wenn Sie die Standardeinstellung nicht verwenden möchten. Der Standardwert ist der Site-Name, der mit dem folgenden Suffix angehängt <number><number>wird: WL-, wobei die Anzahl der WAN-Links für diese Site ist, erhöht um eins.
-
Wählen Sie den Zugriffstyp aus dem Dropdownmenü aus. Die Optionen sind Public Internet, Private Intranet oder Private MPLS.
-
Klicken Sie auf Hinzufügen. Dadurch wird die Konfigurationsseite WAN-Links Basic Settings angezeigt und der Seite wird der neuen nicht konfigurierten WAN-Link hinzugefügt.
Nur-IPv6-Pfad zwischen zwei Sites wird erstellt, wenn sowohl IPv4- als auch IPv6-Access Interfaces für dieselbe WAN-Verbindung konfiguriert sind.
-
Wählen Sie im Dropdownmenü Einstellung die Option Access Interfaces (IPv6) aus.
-
Definieren Sie die folgenden Felder:
- Name — Geben Sie den Namen des Access Interface an.
- Virtuelle Schnittstelle — Sobald eine Routingdomäne ausgewählt wurde, wählen Sie eine der zugehörigen virtuellen Schnittstellen aus dem Dropdownmenü aus.
- IP-Adresse — Geben Sie eine statische IP-Adresse für den Endpunkt der Zugriffsschnittstelle auf dem SD-WAN an.
-
Gateway-IP-Adresse — Geben Sie die IP-Adresse des Gateway-Routers an.
HINWEIS: Sie können die IP-Adresse und die Gateway-IP-Adresse nicht konfigurieren, wenn das virtuelle Gerät für die Verwendung des SLAAC-Modus konfiguriert ist.
-
Virtueller Pfadmodus - Wählen Sie den virtuellen Pfadmodus aus dem Dropdownmenü aus, um die Priorität für den virtuellen Pfadverkehr auf diesem WAN-Link zu bestimmen.
-
Gateway-MAC-Adressbindung — Wenn das Kontrollkästchen Gateway-MAC-Adressbindung aktiviert ist, muss die Quell-MAC-Adresse der im Internet oder Intranetdienste empfangenen Pakete mit der GATEWAY-MAC-Adresse übereinstimmen.
Sobald die IPv6-Schnittstelle für die WAN-Verbindung erstellt wurde, können Sie diese Schnittstelle verwenden, um mit dem Internet Service Provider (ISP) zu kommunizieren.
HINWEIS: Da das anfängliche IPv6-Angebot nur Virtual Path-Konnektivität ist, können wir keine LAN-seitigen IPv6-Pakete senden.
Automatisches Lernen von Bandbreitenverbrauch
Auto Learn läuft beim Systemstart und wiederholt sich alle fünf Minuten, bis ein erfolgreiches Ergebnis beobachtet wird. Auto learn wird auch ausgeführt, nachdem Änderungen der WAN-Verbindungskonfiguration im Konfigurationseditor vorgenommen wurden.
Sie können Tests manuell ausführen oder Tests in der SD-WAN-GUI planen. Die Ergebnisse dieser Tests sollten auch für die zulässige Rate gelten, wenn der Test erfolgreich ist und das automatische Lernen aktiviert ist.
Wenn Sie Auto Learn in großen Netzwerken verwenden, werden bei Neustart der Konfigurationsänderung alle Standorte gleichzeitig Tests auf dem MCN ausgeführt, was zu einer hohen Bandbreitenauslastung führt, die zu ungenauen Ergebnissen führt. Es wird empfohlen, Bandbreitentests ein- oder zweimal täglich zu planen, normalerweise wenn das Verkehrsaufkommen niedrig ist.
Hinweis
Automatische Erkennung der WAN Link-Bandbreite, gilt nur für Zweige und nicht für MCN/RCN.
- Geben Sie die Linkdetails für den neuen WAN-Link ein. Konfigurieren Sie die Einstellungen von LAN zu WAN, WAN zu LAN. Einige Richtlinien lauten wie folgt:
- Einige Internetlinks könnten asymmetrisch sein.
- Eine Fehlkonfiguration der zulässigen Geschwindigkeit kann die Leistung für diese Verbindung beeinträchtigen
- Vermeiden Sie die Verwendung von Burstgeschwindigkeiten, die die festgeschriebene Rate übertreffen.
- Fügen Sie für Internet-WAN-Verbindungen unbedingt die öffentliche IP-Adresse hinzu.
-
Klicken Sie auf die graue Bereichsleiste Erweiterte Einstellungen. Dadurch wird das Formular Erweiterte Einstellungen für den Link geöffnet.
- Geben Sie die erweiterten Einstellungen für den Link ein:
- Anbieter-ID — (Optional) Geben Sie eine eindeutige ID-Nummer 1—100 ein, um WAN-Verbindungen zu kennzeichnen, die mit demselben Dienstanbieter verbunden sind. Virtual WAN verwendet die Provider-ID, um Pfade beim Senden doppelter Pakete zu unterscheiden.
- Framekosten (Byte) — Geben Sie die Größe (in Byte) des Headers/Trailers ein, der jedem Paket hinzugefügt wurde. Zum Beispiel die Größe der hinzugefügten Ethernet-IPG- oder AAL5-Anhänger in Bytes.
- Überlastungsschwelle — Geben Sie den Überlastungsschwellenwert (in Mikrosekunden) ein, nach dem die WAN-Verbindung die Paketübertragung drosselt, um eine weitere Überlastung zu vermeiden.
- MTU-Größe (Byte) — Geben Sie die größte Rohpaketgröße (in Byte) ein, ohne die Framekosten.
-
Klicken Sie auf die graue Teilleiste Berechtigung. Dadurch wird das Formular Berechtigungseinstellungen für den Link geöffnet.
-
Wählen Sie die Berechtigungseinstellungen für den Link aus.
-
Klicken Sie auf die graue Abschnittleiste mit Metered Link. Dadurch wird das Einstellungsformular für Metered Link für den Link geöffnet.
-
(Optional) Wählen Sie Metering aktivieren aus, um die Messung für diesen Link zu aktivieren. Daraufhin werden die Felder Metering-Einstellungen aktivieren angezeigt.
- Konfigurieren Sie die Messeinstellungen für den Link. Geben Sie Folgendes ein:
-
Datenobergrenze (MB) — Geben Sie die Daten-Cap-Zuweisung für den Link in Megabyte ein.
-
Abrechnungszeitraum — Wählen Sie entweder Monatlich oder Wöchentlich aus dem Dropdownmenü aus.
-
Beginnend von — Geben Sie das Startdatum des Abrechnungszyklus ein.
-
Last Resort — Wählen Sie diese Option aus, um diesen Link als Link der letzten Instanz zu aktivieren, falls alle anderen verfügbaren Links ausfallen. Unter normalen WAN-Bedingungen sendet Virtual WAN nur minimalen Datenverkehr über gemessene Verbindungen, um den Verbindungsstatus zu überprüfen. Im Falle eines Ausfalls kann SD-WAN jedoch aktive dosierte Verbindungen als letzten Ausweg für die Weiterleitung des Produktionsverkehrs verwenden.
Klicken Sie auf Apply. Dies wendet Ihre angegebenen Einstellungen auf die neue WAN-Verbindung an.
Der nächste Schritt besteht darin, die Access Interfaces für die neue WAN-Verbindung zu konfigurieren. Ein Access Interface besteht aus einer virtuellen Schnittstelle, einer WAN-Endpunkt-IP-Adresse, einer Gateway-IP-Adresse und einem virtuellen Pfadmodus, die gemeinsam als Schnittstelle für eine bestimmte WAN-Verbindung definiert sind. Jede WAN-Verbindung muss mindestens ein Access Interface haben.
So konfigurieren Sie die Zugriffsschnittstelle:
-
Wählen Sie auf der Seite WAN-Link-Konfiguration für den Link Zugriffsschnittstellen aus. Dadurch wird die Ansicht Access Interfaces für die Site geöffnet.
-
Klicken Sie auf +, um eine Schnittstelle hinzuzufügen. Dadurch wird der Tabelle ein leerer Eintrag hinzugefügt und zur Bearbeitung geöffnet. Geben Sie die Einstellungen für Access Interfaces für den Link ein. Jede WAN-Verbindung muss mindestens ein Access Interface haben.
-
Geben Sie Folgendes ein:
- Name — Dies ist der Name, unter dem auf dieses Access Interface verwiesen wird. Geben Sie einen Namen für das neue Access Interface ein, oder übernehmen Sie die Standardeinstellung. Die Standardeinstellung verwendet die folgende Namenskonvention: WAN_Link_Name-AI-Number: Wobei WAN_Link_Name der Name des WAN-Links ist, den Sie dieser Schnittstelle zuordnen, und Nummer die Anzahl der derzeit für diese Verbindung konfigurierten Zugriffsschnittstellen ist, erhöht um 1.
Hinweis
Wenn der Name abgeschnitten angezeigt wird, können Sie den Cursor in das Feld setzen, dann klicken und halten und rollen Sie die Maus nach rechts oder links, um den abgeschnittenen Teil zu sehen.
-
Virtuelles Interface — Dies ist das virtuelle Interface, das dieses Access Interface verwendet. Wählen Sie einen Eintrag aus dem Dropdownmenü der Virtuellen Schnittstellen aus, die für diesen Zweigstandort konfiguriert sind.
-
Routing-Domäne — Die Routing-Domäne, die Sie für das Access Interface auswählen möchten.
-
IP-Adresse — Dies ist die IP-Adresse für den Access Interface-Endpunkt von der Appliance zum WAN.
-
Gateway-IP-Adresse — Dies ist die IP-Adresse für den Gateway-Router.
-
Virtueller Pfadmodus — Dies gibt die Priorität für den Virtual Path-Verkehr auf dieser WAN-Verbindung an. Die Optionen sind: Primär, Sekundäroder Ausschließen. Wenn diese Zugriffsoberfläche auf Ausschließenfestgelegt ist, wird diese Zugriffsoberfläche nur für den Internet- und Intranetverkehr verwendet.
-
Proxy ARP — Aktivieren Sie das zu aktivierte Kontrollkästchen. Wenn diese Option aktiviert ist, antwortet die Virtual WAN Appliance auf ARP-Anforderungen für die Gateway-IP-Adresse, wenn das Gateway nicht erreichbar ist.
- Klicken Sie auf Apply.
Sie haben nun die Konfiguration der neuen WAN-Verbindung abgeschlossen. Wiederholen Sie diese Schritte, um weitere WAN-Links für die Site hinzuzufügen und zu konfigurieren.
Der nächste Schritt besteht darin, die Routen für die Site hinzuzufügen und zu konfigurieren.
So konfigurieren Sie Routen für den MCN
Gehen Sie folgendermaßen vor, um die Routen für die Site hinzuzufügen und zu konfigurieren:
- Klicken Sie auf die Ansicht Verbindungen für den neuen MCN-Standort und wählen Sie Routenaus. Dadurch wird die Ansicht Routen für die Site angezeigt.
-
Klicken Sie rechts neben Routes auf +, um eine Route hinzuzufügen. Daraufhin wird das Dialogfeld Routen zur Bearbeitung geöffnet.
- Geben Sie die Routenkonfigurationsinformationen für die neue Route ein. Geben Sie Folgendes ein:
- Netzwerk-IP-Adresse — Geben Sie die Netzwerk-IP-Adresseein.
- Kosten — Geben Sie ein Gewicht von 1 bis 15 ein, um die Routenpriorität für diese Route zu bestimmen. Lower-Cost-Routen haben Vorrang vor höheren Kosten Routen. Der Standardwert ist 5.
-
Servicetyp — Wählen Sie den Servicetyp für die Route aus dem Dropdownmenü für dieses Feld aus.
- Virtueller Pfad — Dieser Dienst verwaltet den Datenverkehr über die virtuellen Pfade. Ein virtueller Pfad ist eine logische Verbindung zwischen zwei WAN-Verbindungen. Es umfasst eine Sammlung von WAN-Pfaden, die kombiniert werden, um eine hohe Service-Level-Kommunikation zwischen zwei SD-WAN-Knoten zu ermöglichen. Dies wird erreicht, indem ständig gemessen und an sich ändernde Anwendungsanforderungen und WAN-Bedingungen angepasst werden. SD-WAN-Appliances messen das Netzwerk pro Pfad. Ein virtueller Pfad kann statisch (immer vorhanden) oder dynamisch sein (nur vorhanden, wenn der Datenverkehr zwischen zwei SD-WAN-Appliances einen konfigurierten Schwellenwert erreicht).
- Internet — Dieser Dienst verwaltet den Verkehr zwischen einer Enterprise-Site und Websites im öffentlichen Internet. Verkehr dieser Art ist nicht gekapselt. In Zeiten der Überlastung verwaltet das SD-WAN aktiv die Bandbreite, indem es den Internetverkehr relativ zum virtuellen Pfad und den Intranet-Verkehr gemäß der vom Administrator festgelegten SD-WAN-Konfiguration begrenzt.
- Intranet — Dieser Dienst verwaltet Enterprise Intranet-Verkehr, der nicht für die Übertragung über einen virtuellen Pfad definiert wurde. Wie beim Internetverkehr bleibt er ungekapselt, und das SD-WAN verwaltet die Bandbreite, indem dieser Datenverkehr im Verhältnis zu anderen Diensttypen während der Staus begrenzt wird. Unter bestimmten Bedingungen und wenn für Intranet-Fallback auf dem virtuellen Pfad konfiguriert, kann Datenverkehr, der normalerweise über einen virtuellen Pfad übertragen wird, stattdessen als Intranet-Verkehr behandelt werden, um die Netzwerkzuverlässigkeit aufrechtzuerhalten.
- Passthrough — Dieser Dienst verwaltet den Datenverkehr, der durch das virtuelle WAN geleitet werden soll. Der an den Passthrough-Dienst gerichtete Datenverkehr umfasst Broadcasts, ARPs und anderen Nicht-IPv4-Verkehr sowie Datenverkehr im lokalen Subnetz der Virtual WAN Appliance, konfigurierten Subnetzen oder Regeln, die vom Netzwerkadministrator angewendet werden. Dieser Verkehr wird vom SD-WAN nicht verzögert, geformt oder modifiziert. Daher müssen Sie sicherstellen, dass Passthrough-Datenverkehr keine erheblichen Ressourcen auf den WAN-Verbindungen verbraucht, die die SD-WAN-Appliance für andere Dienste konfiguriert ist.
- Lokal — Dieser Dienst verwaltet den lokalen IP-Verkehr auf der Website, der keinem anderen Dienst entspricht. SD-WAN ignoriert Datenverkehr, der für eine lokale Route bestimmt ist.
- GRE-Tunnel — Dieser Dienst verwaltet den IP-Verkehr, der für einen GRE-Tunnel bestimmt ist, und entspricht dem am Standort konfigurierten LAN GRE-Tunnel. Mit der GRE-Tunnel-Funktion können Sie SD-WAN-Appliances konfigurieren, um GRE-Tunnel im LAN zu beenden. Bei einer Route mit Servicetyp GRE Tunnel muss sich das Gateway in einem der Tunnelsubnetze des lokalen GRE Tunnels befinden.
- LAN IPsec-Tunnel — Dieser Dienst verwaltet den IP-Datenverkehr, der für den IPsec-Tunnel bestimmt ist.
- Inter-Routing - Dieser Service ermöglicht das Leck von Routen zwischen Routingdomänen innerhalb einer Site oder zwischen verschiedenen Standorten. Dadurch entfällt die Notwendigkeit, dass ein Edgerouter Routeleaking verarbeitet.
- Gateway-IP-Adresse — Geben Sie die Gateway-IP-Adresse für diese Route ein.
- Berechtigung - Basierend auf Pfad (Kontrollkästchen) — (Optional) — (Optional) Wenn diese Option aktiviert ist, erhält die Route keinen Traffic, wenn der ausgewählte Pfad ausgefallen ist.
- Pfad — Dies gibt den Pfad an, der zum Bestimmen der Routenberechtigung verwendet werden soll.
Je nach Servicetyp werden folgende Einstellungen angezeigt:
Servicetyp | Einstellungen für den Servicetyp |
---|---|
Virtueller Pfad | Next Hop Site — Dies gibt den Remotestandort an, an den Virtual Path-Pakete geleitet werden. |
Internet | Route exportieren: Aktivieren/Deaktivieren, um Routen zu anderen verbundenen Standorten zu exportieren, Berechtigung basierend auf Pfad |
Intranet | Route exportieren, Intranetdienst, Berechtigung basierend auf Pfad, Berechtigung basierend auf Tunnel |
Passthrough | Berechtigung basierend auf Pfad |
Lokal | Route exportieren, Übersichtsroute, Berechtigung basierend auf Pfad |
GRE Tunnel | Route exportieren, Berechtigung basierend auf Pfad, Berechtigung basierend auf Gateway |
IPsec-Tunnel | Route exportieren, Berechtigung basierend auf Pfad, IPsec-Tunnel, Berechtigung basierend auf Tunnel |
Verwerfen | Route exportieren, Übersichtsroute |
Inter-Routing | Inter-Routingdomänendienst |
- Klicken Sie auf Apply.
Hinweis
Nachdem Sie auf Übernehmengeklickt haben, werden möglicherweise Audit-Warnungen angezeigt, die darauf hinweisen, dass weitere Maßnahmen erforderlich sind. Ein Roter-Punkt- oder Goldenrod-Delta-Symbol weist auf einen Fehler in dem Abschnitt hin, in dem es angezeigt wird. Sie können diese Warnungen verwenden, um Fehler oder fehlende Konfigurationsinformationen zu identifizieren. Bewegen Sie den Mauszeiger über ein Überwachungswarnsymbol, um eine kurze Beschreibung der Fehler in diesem Abschnitt anzuzeigen. Sie können auch auf die dunkelgraue Statusleiste für Audits (unten auf der Seite) klicken, um eine vollständige Liste aller Überwachungswarnungen anzuzeigen.
Sie können konfigurierte Routen auch wie folgt bearbeiten.
Um weitere Routen für die Site hinzuzufügen, klicken Sie rechts neben dem Zweig Routen auf +, und fahren Sie wie oben beschrieben fort.
Sie haben jetzt die primären Konfigurationsinformationen für den neuen MCN-Site eingegeben. Die folgenden beiden Abschnitte enthalten Anweisungen für weitere optionale Schritte:
-
Konfigurieren von Hochverfügbarkeit (HA) für den MCN-Site (optional).
-
Aktivieren und Konfigurieren von Virtual WAN-Sicherheit und Verschlüsselung (optional).
Wenn Sie diese Funktionen jetzt nicht konfigurieren möchten, können Sie direkt mit dem Abschnitt Benennen, Speichern und Sichern der MCN-Site-Konfiguration fortfahren.