Citrix SD-WAN

Virtueller Inline-Modus

Im virtuellen Inlinemodus verwendet der Router ein Routing-Protokoll wie PBR, OSPF oder BGP, um eingehenden und ausgehenden WAN-Verkehr an die Appliance umzuleiten, und die Appliance leitet die verarbeiteten Pakete zurück an den Router.

Im folgenden Artikel wird die schrittweise Vorgehensweise zum Konfigurieren von zwei SD-WAN (SD-WAN SE) -Appliances beschrieben:

  • Rechenzentrums-Appliance im virtuellen Inlinemodus
  • Gerät im Inline-Modus verzweigen
  • Das Routing-Protokoll muss entweder am Core-Switch oder weiter stromaufwärts am Router konfiguriert werden. Der Router muss den Zustand der SD-WAN-Appliance überwachen, damit die Appliance bei einem Ausfall umgangen werden kann.
  • Im virtuellen Inlinemodus wird die SD-WAN-Appliance physisch aus dem Pfad versetzt (einarmige Bereitstellung), dh es muss nur eine einzige Ethernet-Schnittstelle verwendet werden (Beispiel: Schnittstelle 1/5), wobei der Bypass-Modus auf Fail-to-Block (FTB) eingestellt ist. Die Citrix SD-WAN Appliance muss so konfiguriert sein, dass Datenverkehr an das richtige Gateway weitergeleitet wird. Der für den virtuellen Pfad vorgesehene Datenverkehr wird auf die SD-WAN-Appliance gerichtet und dann gekapselt und an die entsprechende WAN-Verbindung geleitet.

Sammeln Sie Informationen

Sammeln Sie die folgenden Informationen, die für die Konfiguration des virtuellen Inlinemodus erforderlich sind:

  • Genaues Netzwerkschema Ihrer lokalen und Remotestandorte, einschließlich:
    • Lokale und Remote-WAN-Verbindungen und ihre Bandbreiten in beide Richtungen, ihre Subnetze, virtuellen IP-Adressen und Gateways von jeder Verbindung, Routen und VLANs.
  • Tabelle für die Bereitstellung

Das Folgende ist ein Beispiel für ein Netzwerkschema und eine Bereitstellungstabelle:

Rechenzentrumtopologie — Virtueller Inline-Modus

Virtueller Inline-Modus

Zweigtopologie — Inline-Modus

Deployment-Zweig im PBR-Modus

Sitename Rechenzentrums-Standort Niederlassungsstandort
Appliance-Name SJC-DC SJC-BR
Management-IP 172.30.2.10/24 172.30.2.20/24
Sicherheits-Schlüssel Falls vorhanden Falls vorhanden
Modell/Edition 4000 2000
Modus Virtueller Inlinemodus Inline
Topologie 2 x WAN-Pfad 2 x WAN-Pfad
VIP-Adresse 192.168.1.10/24 — MPLS, 192.168.2.10/24 — Internet, öffentliche IP w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24 — Internet, öffentliche IP a.b.c.d
Gateway-MPLS 10.20.0.1 10.17.0.1
Gateway-Internet 10.19.0.1 10.18.0.1
Verbindungsgeschwindigkeit MPLS — 100 Mbit/s, Internet — 20 Mbit/s MPLS — 10 Mbit/s, Internet — 2 Mbit/s
Route Sie müssen eine Route auf der SD-WAN SE Appliance hinzufügen, wie Sie die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen erreichen: Gi0/1 - 192.168.1.1, Konfiguration > Virtuelles WAN > Konfigurationseditor > SJC_DC\ > Routes. In diesem Beispiel wurde die Schnittstelle 192.168.1.1 verwendet፦ n/w Adresse: 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Servicetyp: lokal, - Gateway-IP-Adresse: 192.168.1.1 Es wurden keine zusätzlichen Strecken hinzugefügt
VLANs MPLS - VLAN 10, Internet - VLAN 20 Keine (Standard 0)

Voraussetzungen

  1. Navigieren Sie in der Webverwaltungsoberfläche der SD-WAN-Appliance zu Konfiguration > Appliance-Einstellungen > Administratorschnittstelle > Verschiedenes und klicken Sie auf Switch-Konsole.

    Hinweis

    Wenn Switch to Client Console angezeigt wird, befindet sich die Appliance bereits im MCN-Modus. Sie müssen nur einen aktiven MCN in einem SD-WAN-Netzwerk haben.

  2. Navigieren Sie zu Konfiguration > Virtuelles WAN > Aktivieren/Deaktivieren/Bereinigen von Flows und klicken Sie im Abschnitt Citrix Virtual WAN-Dienst aktivieren auf Aktivieren.

    Virtuellen WAN-Dienst aktivieren

  3. Starten Sie Konfiguration, indem Sie zu Konfiguration > Virtuelles WAN > Konfigurationseditornavigieren. Klicken Sie auf Neu, um mit der Konfiguration zu beginnen. Durch Klicken auf Neu wird eine anfängliche Konfigurationsdatei mit Untitled_1 als Dateinamen erstellt. Sie können die Datei später [optional] mit der Schaltfläche Speichern unter umbenennen.

    Starten Sie eine neue Konfiguration

Rechenzentrumsstandort — Konfiguration des virtuellen Inlinemodus

Erstellen eines Rechenzentrumsstandorts

  1. Navigieren Sie zu Konfiguration > Virtual WAN > Konfigurationseditor > Sites und klicken Sie auf + Site.

  2. Geben Sie den Site-Namen und den Standort ein. Wählen Sie das Appliance-Modell aus der Dropdownliste Modell und Primärer MCN aus der Dropdownliste Modus aus.

  3. Klicken Sie auf Hinzufügen.

    PBR erstellt DC-Standort

Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen

In der Konfiguration des virtuellen Inlinemodus wird nur eine Ethernet-Schnittstelle verwendet, dh die Schnittstelle, die den Upstream-Router verbindet, was Auswirkungen auf die Routing-Richtlinie bietet (Beispiel-Interface 1/5). Der Bypass-Modus ist auf Fail-to-Block (FTB) eingestellt, da nur eine Ethernet/physische Schnittstelle pro virtueller Schnittstelle verwendet wird. Außerdem gibt es keine Bridge Pairs.

  1. Navigieren Sie im Konfigurationseditorzu Sites > [Site-Name] > Schnittstellengruppen. Klicken Sie auf +, um Schnittstellen hinzuzufügen, die verwendet werden sollen.

  2. Wählen Sie die Ethernet-Schnittstelle aus, die mit dem Upstream-Router verbunden wird, und klicken Sie neben Virtuelle Schnittstellen auf +. Fügen Sie die virtuellen Schnittstellen für MPLS- und Internetverbindungen hinzu. Fügen Sie gemäß der Beispieltopologie Folgendes hinzu:
    • Virtuelle Schnittstelle MPLS konfiguriert auf VLAN 10
    • Virtuelle Schnittstelle INTERNET konfiguriert auf VLAN 20
  3. Wählen Sie in der Dropdownliste Bypass-Modus die Option Fail-to-block aus. Klicken Sie auf Apply.

    PBR DC 2 konfiguriert virtuelle Schnittstelle

Erstellen Sie eine virtuelle IP-Adresse für jede virtuelle Schnittstelle

Erstellen Sie für jeden WAN-Link eine virtuelle IP (VIP) -Adresse im entsprechenden Subnetz. VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.

  1. Navigieren Sie im Konfigurationseditorzu Sites >[Site-Name] > Virtuelle IP-Adressen. Klicken Sie auf +, um VIPs zu erstellen.

  2. Geben Sie die IP-Adresse/das Präfix ein und wählen Sie die entsprechende virtuelle Schnittstelle für MPLS und Internet aus.

  3. Klicken Sie auf Apply.

    PBR DC 1 konfiguriert virtuelle IP-Adresse zuweisen

Erstellen Sie eine Internet-WAN-Verbindung basierend auf der physischen Rate und nicht auf Burst-Geschwindigkeiten.

  1. Navigieren Sie im Konfigurationseditorzu Sites >[Site-Name] > WAN-Links und klicken Sie auf + Link. Geben Sie einen Namen ein und wählen Sie Zugriffstyp als öffentliches Internet. Klicken Sie auf Hinzufügen.

  2. Geben Sie den physikalischen Tarif ein. Aktivieren Sie nicht das Kontrollkästchen Öffentliche IP automatisch erkennen. Für die SD-WAN-Appliance, die als MCN konfiguriert ist, kann das Kontrollkästchen Öffentliche IP automatisch erkennen nicht aktiviert werden.

    PBR DC 3 konfiguriert Internet-WAN-Verbindung

  3. Wählen Sie in der Dropdownliste Abschnitt die Option Zugriffsschnittstellen aus und klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den Internetlink hinzuzufügen.

  4. Geben Sie die virtuelle Internet-WAN-IP-Adresse und die Gateway-Adresse ein. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.

  5. Klicken Sie auf Apply.

    PBR DC 4 konfiguriert Internetzugangsschnittstelle

  1. Wählen Sie auf der Seite Sites > [Site-Name] > WAN-Links in der Dropdownliste Abschnitt die Option Einstellungen aus. Klicken Sie auf die Schaltfläche + Link, um einen WAN-Link für MPLS hinzuzufügen.
  2. Geben Sie den Namen des MPLS WAN Link ein und wählen Sie Zugriffstyp als privates Intranetaus. Klicken Sie auf Hinzufügen.

  3. Geben Sie den physischen Tarif und andere Details ein. Klicken Sie auf Apply.

    MPLS-Grundeinstellungen

  4. Wählen Sie in der Dropdownliste Abschnitt die Option Zugriffsschnittstellen aus und klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den MPLS-Link hinzuzufügen.

  5. Geben Sie die MPLS Virtual IP-Adresse und Gateway-Adresse ein. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.

  6. Klicken Sie auf Apply.

    MPLS Zugriffsschnittstellen

Routen auffüllen

Fügen Sie auf der Seite des Rechenzentrums eine Route auf der SD-WAN-Appliance hinzu, wie Sie die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen erreichen können.

0/1/0.1 — 192.168.1.1 auf VLAN 10

0/1/0.2 — 192.168.2.1 auf VLAN 20

In diesem Beispiel wird das Interface 192.168.1.1 verwendet.

Navigieren Sie im Konfigurationseditorzu Verbindungen > Routen und klicken Sie auf +, um die Routen hinzuzufügen.

Geben Sie die Netzwerk-IP-Adresse, die Kostenund die Gateway-Adresseein. Klicken Sie auf Hinzufügen.

Route hinzufügen

Liste der hinzugefügten Strecken

Konfiguration der Inline-Bereitstellung von Zweigstandort

Erstellen eines Zweigstandorts

  1. Navigieren Sie zu Configuration Editor > Sites und klicken Sie auf + Site.

  2. Geben Sie den Site-Namen und den Standort ein. Wählen Sie das Appliance-Modell aus der Dropdownliste Modell und Client aus der Dropdownliste Modus aus.

  3. Klicken Sie auf Hinzufügen.

    PBR erstellt DC-Standort

Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen

  1. Navigieren Sie im Konfigurationseditorzu Sites > [Client-Site-Name] > Schnittstellengruppen. Klicken Sie auf +, um Schnittstellen hinzuzufügen, die verwendet werden sollen. Für die Inline-Moduskonfiguration werden vier Ethernet-Schnittstellen verwendet; Schnittstellenpaar 1/3, 1/4 und Schnittstellenpaar 1/1 und 1/2.

  2. Stellen Sie den Bypass-Modus auf Fail-to-Wire ein, da zwei Ethernet/physische Schnittstellen pro virtueller Schnittstelle verwendet werden. Es gibt zwei Brückenpaare.

  3. Klicken Sie neben Virtuelle Schnittstellen auf + und füllen Sie WAN-Verbindungen basierend auf der physischen Rate und nicht auf Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.

    • Virtuelle Schnittstelle INTERNET konfiguriert auf Bridge-Paar 1/3 und 1/4

    • Virtuelle Schnittstelle MPLS konfiguriert auf Bridge Pair 1/1 und 1/2.

  4. Klicken Sie neben Bridge Pairs auf + und erstellen Sie das Bridge-Paar, indem Sie die entsprechenden Schnittstellen auswählen.

    Lesen Sie das Diagramm Zweigtopologie — Inline-Modus-Topologie im Abschnitt Voraussetzungen, und füllen Sie die Schnittstellengruppen aus.

    Schnittstellengruppen für PBR-Zweig

Virtuelle IP-Adresse (VIP) für jede virtuelle Schnittstelle erstellen

Erstellen Sie für jeden WAN-Link eine virtuelle IP-Adresse im entsprechenden Subnetz. VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.

  1. Navigieren Sie im Konfigurationseditorzu Sites >[Site-Name] > Virtuelle IP-Adressen. Klicken Sie auf +, um VIPs zu erstellen.

  2. Geben Sie die IP-Adresse/das Präfix ein und wählen Sie die entsprechende virtuelle Schnittstelle für MPLS und Internet aus.

  3. Klicken Sie auf Apply.

    Schnittstellengruppen für PBR-Zweig

So füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht auf Burst-Geschwindigkeiten über Internetlinks aus

  1. Navigieren Sie zu WAN-Links, klicken Sie auf die Schaltfläche + Link, um einen WAN-Link für den Internetlink hinzuzufügen. Geben Sie einen Namen ein und wählen Sie Zugriffstyp als öffentliches Internet. Klicken Sie auf Hinzufügen.

  2. Füllen Sie die Internetverbindungsdetails aus und aktivieren Sie das Kontrollkästchen Öffentliche IP-Adresse automatisch erkennen.

  3. Wählen Sie in der Dropdownliste Abschnitt die Option Zugriffsschnittstellen aus und klicken Sie auf das +, um Schnittstellendetails für den Internetlink hinzuzufügen.

  4. Geben Sie die virtuelle Internet-WAN-IP-Adresse und die Gateway-Adresse ein. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.

    Internetverbindung der PBR-Niederlassung

    Virtuelle IP-Adresse der PBR-Zweigstelle

Erstellen Sie eine MPLS-WAN-Verbindung

  1. Navigieren Sie zu WAN-Links und wählen Sie Einstellungen aus der Dropdownliste Abschnitt aus. Klicken Sie auf die Schaltfläche + Link, um einen WAN-Link für den MPLS-Link hinzuzufügen.

  2. Geben Sie den Namen des MPLS WAN Link und andere Details ein. Wählen Sie Zugriffstyp als privates Intranetaus.

    MPLS-Grundeinstellungen

  3. Wählen Sie in der Dropdownliste Abschnitt die Option Zugriffsschnittstellen aus und klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den MPLS-Link hinzuzufügen.

  4. Geben Sie die MPLS Virtual IP-Adresse und Gateway-Adresse ein. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.

    MPLS Zugriffsschnittstellen

Routen auffüllen

Routen werden basierend auf der vorhergehenden Konfiguration automatisch erstellt. Wenn es mehr Subnetze gibt, die für diese Remote-Zweigstelle spezifisch sind, müssen bestimmte Routen hinzugefügt werden, um zu identifizieren, welches Gateway den Datenverkehr leiten soll, um diese Back-End-Subnetze zu erreichen.

Erstellen von Autopath-Gruppen

  1. Navigieren Sie im Konfigurationseditorzu Global > Autopath-Gruppen. Klicken Sie auf +.

  2. Geben Sie einen Namen ein und klicken Sie auf Übernehmen.

  3. Konfigurieren Sie die Autopath-Gruppe gemäß Ihren Anforderungen und klicken Sie auf Übernehmen.

    Autopath Gruppen PBR-Modus

  4. Navigieren Sie zu Verbindungen > WAN-Links. Wählen Sie den Internet-WAN-Link aus der Dropdownliste WAN-Links und virtuelle Pfade aus der Dropdownliste Abschnitt aus.

  5. Aktivieren Sie das Kontrollkästchen Verwenden und wählen Sie das neu erstellte Autopath-Gruppe aus der Autopath-Gruppe Kontrollkästchen für die Intranet-WAN-Links an den jeweiligen Standorten (sowohl Rechenzentrum als auch Zweig).

    Keine zwei Autopath-Gruppen können als Standard markiert werden. Wenn markiert, würde dies zu einem Audit-Fehler führen.

    Autopath-Gruppen-Mapping

Nachdem die virtuellen Pfade für WAN-Verbindungen mit Zugriffstyp manuell als Privates Intranethinzugefügt wurden, werden virtuelle Pfade unter Pfadegefüllt.

Nachdem Sie alle vorherigen Schritte abgeschlossen haben, fahren Sie mit Vorbereiten der SD-WAN-Appliance-Paketefort.

Beheben von Überwachungsfehlern

Nach Abschluss der Konfiguration für Rechenzentrums- und Zweigstandorte werden Sie darauf hingewiesen, die Überwachungsfehler an DC- und BR-Standorten zu beheben. Beheben Sie die Audit-Fehler (falls vorhanden).

Virtueller Inline-Modus