Modo PBR (línea virtual)
En el modo virtual en línea, el enrutador utiliza reglas de redirección basadas en directivas para redirigir el tráfico WAN entrante y saliente al dispositivo, y el dispositivo reenvía los paquetes procesados al enrutador.
El siguiente artículo describe el procedimiento paso a paso para configurar dos dispositivos SD-WAN (SD-WAN SE):
-
Dispositivo del centro de datos en modo PBR (modo virtual en línea)
-
Branch Appliance en modo en línea
-
El PBR debe configurarse en el conmutador de núcleo o más arriba en el router. El enrutador debe supervisar el estado del dispositivo SD-WAN para que se pueda omitir el dispositivo si falla.
-
El modo virtual en línea coloca el dispositivo SD-WAN físicamente fuera de la ruta (implementación de un brazo), es decir, una interfaz Ethernet única que se va a utilizar (Ejemplo: Interfaz 1/1) con el modo de derivación establecido en fail-to-block (FTB).
El dispositivo Citrix SD-WAN debe configurarse para pasar tráfico a la Gateway adecuada. El tráfico destinado a la ruta virtual se dirige hacia el dispositivo SD-WAN y, a continuación, se encapsula y se dirige al enlace WAN apropiado.
Recopilar información para la configuración
-
Diagrama de red preciso (diagrama de ejemplo que se muestra a continuación) de sus sitios locales y remotos, que incluye:
- Enlaces WAN locales y remotos y sus anchos de banda en ambas direcciones, sus subredes, direcciones IP virtuales y puertas de enlace desde cada enlace, rutas y VLAN.
-
Tabla de implementación (diagrama de ejemplo que se muestra a continuación)
Topología del centro de datos: modo PBR (modo virtual en línea)
Topología de bifurcación: Modo en línea
Nombre del sitio | Sitio de DataCenter | Sitio de sucursal |
---|---|---|
Nombre del dispositivo | SJC-DC | SJC-BR |
Gestión IP | 172.30.2.10/24 | 172.30.2.20/24 |
Llave de seguridad | En caso de que haya | En caso de que haya |
Modelo/Modificación | 4000 | 2000 |
Modo | Modo PBR (modo virtual en línea) | En línea |
Topología | 2 x Ruta WAN | 2 x Ruta WAN |
Dirección VIP | 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, IP pública w.x.y.z | 10.17.0.9/24 - MPLS, 10.18.0.9/24: Internet, dirección IP pública a.b.c.d |
MPLS de puerta de enlace | 10.20.0.1 | 10.17.0.1 |
Puerta de enlace a Internet | 10.19.0.1 | 10.18.0.1 |
Velocidad de enlace | MPLS: 100 Mbps, Internet: 20 Mbps | MPLS — 10 Mbps, Internet — 2 Mbps |
Ruta | Es necesario agregar una ruta en el dispositivo SD-WAN SE sobre cómo llegar a las subredes LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) a través de cualquiera de las interfaces físicas: Gi0/1 - 192.168.1.1, Configuración > WAN virtual > Editor de configuración > SJC_DC > Rutas. En este ejemplo se utilizó la interfaz 192.168.1.1: - n/w dirección: 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Tipo de servicio: Local, - Dirección IP de puerta de enlace: 192.168.1.1 | No se agregaron rutas adicionales |
VLAN | Ninguno (valor predeterminado 0) | Ninguno (valor predeterminado 0) |
Pasos para configurar un sitio en modo virtual en línea:
-
Habilite la funcionalidad MCN.
-
Crea un nuevo sitio.
-
Cree un grupo de interfaces e interfaces virtuales.
-
Asignar dirección IP virtual a interfaces virtuales.
-
Cree vínculos WAN y asigne la dirección IP.
-
Agregar rutas.
-
Solución de problemas.
-
Configuración de redirección basado en directivas en el enrutador PBR.
Requisitos previos de configuración
-
Habilite el dispositivo SD-WAN como nodo de control maestro.
-
La configuración se realiza únicamente en el nodo de control maestro (MCN) del dispositivo SD-WAN.
Para habilitar un dispositivo como nodo de control maestro:
-
En la interfaz de administración web de SD-WAN, vaya a Configuración > Configuración del dispositivo > Interfaz de administrador > ficha Varios > Consola del conmutador.
Nota
Si aparece Switch to Client Console, el dispositivo ya está en modo MCN. Solo debe haber un MCN activo en una red SD-WAN.
-
Habilite el servicio WAN virtual. Vaya a Configuración > WAN virtual > Activar/Desactivar/Depurar flujos.
-
Inicie Configuración navegando a Configuración > Virtual WAN > Editor de configuración. Haga clic en Nuevo para iniciar la configuración.
Esta operación crea un archivo de configuración inicial Untitled_1 que se puede cambiar el nombre [opcional] más adelante mediante el botón Guardar como.
Los siguientes son los pasos de configuración de alto nivel para configurar el sitio de Datacenter en el modo de implementación PBR:
-
Cree un sitio de DC.
-
Configure grupos de interfaces basados en interfaces Ethernet conectadas.
-
Configure la dirección IP virtual para cada interfaz virtual.
-
Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.
-
Rellene rutas si hay más subredes en la infraestructura LAN.
Configuración del modo PBR del sitio del centro de datos
Crear un sitio de DC
-
Vaya al Editor de configuración > Sitios y haga clic en el botón + Sitio.
-
Rellene los campos como se muestra a continuación.
-
Mantenga la configuración predeterminada a menos que se le indique que cambie.
Configurar grupos de interfaces basados en interfaces Ethernet conectadas
-
En el Editor de configuración, vaya a Sitios > [Nombre del sitio] > Grupos de interfaz. Haga clic en + para agregar las interfaces que se van a utilizar. En el modo PBR, se utiliza la configuración en una única interfaz de Ethernet, es decir, la interfaz que conecta el enrutador ascendente que proporciona implicaciones de directiva PBR (ejemplo: Interfaz 1/1). Configure MPLS e interfaces virtuales de Internet con ID de VLAN 10 y 20 respectivamente.
-
El modo de omisión se establece en error de bloqueo, ya que solo se utiliza una interfaz Ethernet/física por interfaz virtual. Tampoco hay pares de puentes.
-
En este ejemplo, expanda la opción Interfaces Virtuales + y configure las Interfaces Virtuales.
Crear dirección IP virtual (VIP) para cada interfaz virtual
Cree una dirección IP virtual en la subred adecuada para cada enlace WAN. Los VIP se utilizan para la comunicación entre dos dispositivos SD-WAN en el entorno WAN virtual.
Crear enlace WAN de Internet
Para rellenar los vínculos WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y el enlace MPLS:
-
Vaya a Enlaces WAN, haga clic en el botón +para agregar un Enlace WAN para el vínculo de Internet.
-
Rellene los detalles del enlace a Internet, incluida la dirección IP pública suministrada como se muestra a continuación. Tenga en cuenta que la detección automática de IP pública no se puede seleccionar para el dispositivo SD-WAN configurado como MCN.
-
Vaya a Interfaces de acceso, haga clic en el botón +para agregar detalles de interfaz específicos para el vínculo de Internet.
-
Rellene la interfaz de acceso para direcciones IP y Gateway como se muestra a continuación. El ARP de proxy no se verifica para menos de dos interfaces Ethernet.
Crear vínculo MPLS
-
Vaya a Enlaces WAN, haga clic en el botón + para agregar un enlace WAN para el enlace MPLS.
-
Rellene los detalles del enlace MPLS como se muestra a continuación.
-
Vaya a Interfaces de acceso, haga clic en el botón + para agregar detalles de interfaz específicos para el enlace MPLS.
-
Rellene la interfaz de acceso para direcciones IP virtuales MPLS y Gateway como se muestra a continuación.
Nota
El ARP proxy no está comprobado para menos de dos interfaces Ethernet.
Rellenar rutas
En el sitio del centro de datos, agregue una ruta en el dispositivo SD-WAN SEE para llegar a las subredes LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) a través de cualquiera de las interfaces físicas:
0/1/0.1: 192.168.1.1 en VLAN 10
0/1/0.2: 192.168.2.1 en VLAN 20
Configuración de implementación en línea del sitio de sucursal
A continuación se indican los pasos de configuración de alto nivel para configurar el sitio de sucursal para la implementación en línea:
-
Cree un sitio de sucursal.
-
Rellene grupos de interfaces basados en interfaces Ethernet conectadas.
-
Cree una dirección IP virtual para cada interfaz virtual.
-
Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.
-
Interfaz virtual INTERNET configurada en el par de puentes 1/3 y 1/4
-
Interfaz virtual “MPLS” configurada con Bridge Pair 1/1 y 1/2
-
-
Rellene rutas si hay más subredes en la infraestructura LAN.
Crear un sitio de sucursal
Configurar grupos de interfaces basados en interfaces Ethernet conectadas
-
En el Editor de configuración, vaya a Sitios > [Nombre del sitio del cliente] > Grupos de interfaz. Haga clic en ”+” para agregar las interfaces que se van a utilizar. Para la configuración del modo en línea, se utilizan cuatro interfaces de Ethernet; par de interfaces 1/3, 1/4 y par de interfaces 1/1 y 1/2.
-
El modo de derivación está configurado en conmutación por error, ya que se utilizan dos interfaces Ethernet/físicas por interfaz virtual. Hay dos pares de puentes.
-
Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.
-
Interfaz virtual INTERNET configurada en el par de puentes 1/3 y 1/4
-
Interfaz virtual “MPLS” configurada con Bridge Pair 1/1 y 1/2.
-
-
Consulte la topología de ejemplo Modo en línea de sitio remoto anterior y rellene los campos Grupos de interfaz como se muestra a continuación.
Crear dirección IP virtual (VIP) para cada interfaz virtual
Cree una dirección IP virtual en la subred adecuada para cada enlace WAN. Los VIP se utilizan para la comunicación entre dos dispositivos SD-WAN en el entorno WAN virtual.
Crear enlace WAN de Internet
Para rellenar enlaces WAN basados en la velocidad física y no en las velocidades de ráfaga mediante vínculo de Internet
-
Vaya a Enlaces WAN, haga clic en el botón +para agregar un Enlace WAN para el vínculo de Internet.
-
Rellene los detalles del vínculo de Internet, incluida la dirección IP pública de detección automática, como se muestra a continuación.
-
Vaya a Interfaces de acceso, haga clic en el botón +para agregar detalles de interfaz específicos para el vínculo de Internet.
-
Rellene la interfaz de acceso para la dirección IP virtual y la Gateway como se muestra a continuación.
Crear vínculo MPLS
-
Vaya a Enlaces WAN, haga clic en el botón + para agregar un enlace WAN para el enlace MPLS.
-
Rellene los detalles del enlace MPLS como se muestra a continuación.
-
Vaya a Interfaces de acceso, haga clic en el botón + para agregar detalles de interfaz específicos para el enlace MPLS.
-
Rellene la interfaz de acceso para la dirección IP virtual y la Gateway como se muestra a continuación.
Rellenar rutas
Las rutas se crean automáticamente en función de la configuración anterior. En caso de que haya más subredes específicas de esta sucursal remota, se deben agregar rutas específicas que identifiquen a qué puerta de enlace dirigir el tráfico para llegar a esas subredes backend.
Resolución de errores de auditoría
Después de completar la configuración para los sitios de DC y Branch, se le avisará de que resuelva el error de auditoría en los sitios de DC y BR. En este ejemplo, resolveremos el error de auditoría relacionado con el enlace WAN de la intranet privada [SJC_DC-MPLS].
Nota
De forma predeterminada, el sistema genera rutas para Enlaces WAN definidos como el tipo de acceso Internet público (resaltado).
Deberá utilizar la función de grupo de ruta automática o habilitar rutas de acceso manualmente para Enlaces WAN con un tipo de acceso de Internet privado. Las rutas para los vínculos MPLS se pueden habilitar haciendo clic en el operador Agregar (en el rectángulo verde).
Crear un grupo de rutas automáticas:
-
Acceda a la ficha Global. Haga clic en el signo [+] situado junto a Grupos de rutas automáticas.
-
Configure el grupo de rutas automáticas creado según los requisitos y haga clic en Aplicar.
-
Cambie el nombre del grupo de rutas automáticas [Opcional].
-
Asigne el grupo de rutas automáticas a los enlaces WAN de rutas virtuales de la intranet en los sitios respectivos.
No se pueden marcar dos grupos de rutas automáticas como predeterminados. Si se marca, se producirá un error de auditoría.
Después de asignar el grupo de rutas automáticas a las rutas virtuales de la WAN de la intranet, las rutas deben rellenarse automáticamente (resaltarse).
Agregar manualmente enlaces WAN con el tipo de acceso Intranet privada
-
Seleccione las rutas virtuales en Enlaces WAN para los sitios respectivos y no se asignaría ningún grupo de rutas automáticas.
-
Haga clic en el signo [+] situado junto a Rutas para agregar rutas virtuales manualmente.
-
Seleccione los enlaces WAN de rutas virtuales para cada sitio.
Después de agregar manualmente las rutas virtuales para los enlaces WAN con el tipo de acceso Intranet privada, se rellena en Rutas (resaltadas).
Después de completar todos los pasos anteriores, vaya al tema Preparación de los paquetes de dispositivos SD-WAN en el tema MCN.
Configuración de redirección basada en directivas en el router PBR:
Interfaz conectada a la LAN
-
Terminal de configuración del enrutador #
-
Enrutador (configuración) # interfaz FastEthernet0/1
-
Enrutador (config-if) # descripción ToLAN
-
Dirección ip # del router (config-if) 10.10.11.1 255.255.255.0
-
Enrutador (config-if) # dúplex automático
-
Router (config-if) # speed auto
La interfaz se conecta al enlace WAN MPLS
-
Terminal de configuración del enrutador #
-
Enrutador (configuración) # interfaz GigabitEthernet0/0
-
Enrutador (config-if) # descripción a MPLS-WAN
-
Dirección ip # del router (config-if) 10.20.0.2 255.255.255.0
-
Enrutador (config-if) # dúplex automático
-
Router (config-if) # speed auto
Interfaz conectada al INET WAN Link
-
Terminal de configuración del enrutador #
-
Enrutador (configuración) # interfaz GigabitEthernet0/2/0
-
Enrutador (config-if) # descripción de Inet-WAN
-
Dirección ip # del router (config-if) 10.19.0.2 255.255.255.0
-
Enrutador (config-if) # dúplex automático
-
Router (config-if) # speed auto
Interfaz GigabiteThernet0/1 en el enrutador PBR está conectado al puerto SD-WAN 1/1, está en modo de 1 brazo y este puerto servirá tráfico para enlaces MPLS e INET.
-
Terminal de configuración del enrutador #
-
Enrutador (configuración) # interfaz GigabitEthernet0/1
-
Enrutador (config-if) # descripción a enlace SDWAN
-
Enrutador (config-if) # dirección ip 192.168.1.1 255.255.255.0
Configuración de ruta estática (Ruta a las subredes cliente/remotas):
-
MPLS 10.17.0.0/24 a través del enrutador WAN de siguiente salto MPLS 10.20.0.1
-
INET 10.18.0.0/24 a través del router WAN de salto siguiente/FW INET 10.19.0.1
-
Terminal de configuración del enrutador #
-
Enrutador (configuración) # ip route 10.17.0.0 255.255.255.0 10.20.0.1
-
Enrutador (configuración) # ip route 10.18.0.0 255.255.255.0 10.19.0.1
Definición del mapa de ruta:
Configuración de la lista de control de acceso:
Configure las ACL para definir el tráfico que se enviará desde y hacia el dispositivo SD-WAN.
-
De LAN a dispositivo SD-WAN
Según la topología, las subredes LAN son 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc. Para enviar tráfico desde LAN a la SD-WAN, configure una ACL unidireccional (de LAN a cualquiera).
- Router# configure terminal
- Router(config)# ip access-list extended server_side
- Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
- Del dispositivo SD-WAN a enlaces WAN físicos
- Router# configure terminal
- Router(config)# ip access-list extended MPLS_Link
- Router(config)# permit ip 192.168.1.10 0.0.0.0 any
- Router# configure terminal
- Router(config)# ip access-list extended INET_Link
- Router(config)# permit ip 192.168.1.11 0.0.0.0 any
<!--NeedCopy-->
Configuración del mapa de ruta:
Defina el mapa de rutas que coincida con las ACL.
Mapa de rutas para el tráfico LAN:
El siguiente salto será cualquiera de las IP virtuales (VIP) de SD-WAN.
MPLS VIP 192.168.1.10
INET VIP 192.168.1.11
En este caso, elegimos MPLS VIP 192.168.1.10 como siguiente salto y también agregamos una comprobación de estado para asegurarnos de que si el SD-WAN falla, el tráfico no se redirige hacia él.
- Router# configure terminal
- Router(config)# route-map server_side_VW_PBR permit 10
- Router(config-route-map)# match ip address server_side
- Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123
<!--NeedCopy-->
El comando anterior configura el mapa de ruta para verificar la accesibilidad del objeto rastreado. El proceso de seguimiento proporciona la capacidad de realizar un seguimiento de objetos individuales, como la accesibilidad de ping ICMP, la adyacencia de redirección, una aplicación que se ejecuta en un dispositivo remoto, una ruta en la Base de información de redirección (RIB) o para realizar un seguimiento del estado de un protocolo de línea de interfaz.
Mapa de rutas para el tráfico WAN:
El siguiente salto será MPLS Router y Firewall para los respectivos enlaces WAN.
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 20
- Router(config-route-map)# match ip address MPLS_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 30
- Router(config-route-map)# match ip address INET_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125
<!--NeedCopy-->
Aplique el mapa de ruta a la interfaz:
- Router# configure terminal
- Router(config)# interface FastEthernet0/1
- Router(config-if)# ip policy route-map server_side_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
- Router# configure terminal
- Router(config)# interface GigabitEthernet0/1
- Router(config-if)# ip policy route-map WAN_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
<!--NeedCopy-->
Configuración del router MPLS (puerta de enlace 10.20.0.1):
-
Agregue ruta en el router MPLS para llegar a MPLS VWAN VIP en el centro de datos.
-
Subred VIP MPLS 192.168.1.0/24 a través del router PBR siguiente salto MPLS link 10.20.0.2
-
Terminal de configuración del enrutador #
-
Enrutador (configuración) # ip route 192.168.1.0 255.255.255.0 10.20.0.2
Configuración del firewall (puerta de enlace 10.19.0.1):
Agregue una ruta en Firewall para llegar al VIP de INET VWAN en el centro de datos.
INET VIP subred 192.168.1.0/24 a través del router PBR siguiente salto enlace INET 10.19.0.2
- Router# configure terminal
- Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->
En este artículo
- Recopilar información para la configuración
- Requisitos previos de configuración
- Configuración del modo PBR del sitio del centro de datos
- Configuración de implementación en línea del sitio de sucursal
- Resolución de errores de auditoría
- Agregar manualmente enlaces WAN con el tipo de acceso Intranet privada