Citrix SD-WAN Orchestrator

内联模式

在此模式下,SD-WAN 设备似乎是以太网桥接。大多数 SD-WAN 设备型号都包括用于串联模式的 故障到线 (以太网旁路)功能。如果电源发生故障,继电器会关闭,输入和输出端口通过电连接,从而允许以太网信号从一个端口传递到另一个端口。在故障到线模式下,SD-WAN 设备看起来像连接两个端口的交叉电缆。

优势和使用案例

以下是内联模式部署的优势/使用案例:

  • 因此,保持 MPLS 路由器失效到线是一个可爱的功能。支持故障到线的设备能够在包装箱出现故障时无缝故障切换到底层基础架构。
    • 如果您的设备支持故障到线(SD-WAN 210 及更高版本),这允许在 SD-WAN 崩溃/关闭时将单个 SD-WAN 内联到硬件绕过 LAN 流量传送到客户边缘路由器。
    • 如果存在的 MPLS 链路可以自然扩展到客户的 LAN/Intranet,则故障连线桥对端口是最佳选择(支持故障连接的对),这样,当设备崩溃或停机时,局域网流量会被硬件绕过到客户边缘路由器(下次仍保持不变)跳)。
  • 网络很简单。
  • SD-WAN 可以通过串联模式查看所有流量,因此这是适当的带宽/容量计算的最佳情况。
  • 集成要求很少,因为您只需要 L2 网段的 IP。LAN 段是众所周知的,因为您有一个通向 LAN 接口的臂。如果您连接到核心交换机,您还可以运行动态路由以获得所有 LAN 子网的可见性。
  • 客户的期望是,SD-WAN 必须作为新的网络节点融入现有基础架构(没有其他改变)。
  • 代理 ARP-在串联模式下,如果网关出现故障或通往下一跳的 SD-WAN 接口出现故障,SD-WAN 可以将 ARP 请求代理到局域网下一跳,这是一种祝福。
    • 通常,在具有多个 WAN 连接 (MPLS/Internet) 的网桥对(故障到块或故障到线)的串联模式下,建议为将 LAN 主机连接到其下一跳 Gateway 的网桥对接口启用代理 ARP。
    • 出于任何原因,当下一跳 Gateway 闭或 SD-WAN 接口到下一跳时,SD-WAN 将充当 ARP 请求的代理,允许 LAN 主机仍然无缝地发送数据包,并使用剩余的 WAN 连接保持虚拟路径正常运行。
  • 高可用性 — 如果故障到线无法选择,则可以将设备置于并行高可用性(主动/备用的通用 LAN 和 WAN 接口)设备中以实现冗余。
    • 如果您的设备不支持故障连线,例如 SD-WAN 110,则必须使用内联并行高可用性,以便在主设备出现故障时启动备用设备。

建议

以下是内联模式部署的建议:

  • 内联模式最适合那些不更改现有基础架构且 SD-WAN 与 LAN 网段透明地内联的分支机构。
  • 数据中心还可以部署线内故障线上或线内并行高可用性,因为确保数据中心工作负载不会因为设备停机/崩溃而陷入黑洞非常重要。

警告

以下是在内联模式下需要注意的信息:

  • 管道网络与 SD-WAN(LAN 和 WAN 端)有两个臂,需要一些停机时间,因为网络必须用两个臂管道。
  • 必须确保是否使用故障到线路,它位于 受信任 区域中的客户边缘路由器/防火墙的后面,以免安全性受到威胁。
  • MPLS QoS 稍有改变,因为之前的 QoS 策略可能取决于源 IP 地址或基于 DSCP 的 DSCP,现在由于覆盖而被屏蔽。
  • 必须注意重新利用 MPLS 路由器,使其具有精心设计的 SD-WAN 专用预留带宽和特定的 DSCP 标签,这样 SD-WAN 的 QoS 负责优先处理流量,然后立即发送高优先级应用程序,然后发送其他类别的应用程序(但能够考虑整体情况)在 MPLS 路由器上为 SD-WAN 保留的带宽)。MPLS 队列是一种替代或 MPLS 在自动路径组上设置单个 DSCP,可以处理此问题。
  • 如果客户边缘路由器上的链路终止时 Internet 接口是 可信 的,则要使用 Internet 服务,则必须编写独占动态 NAT 规则以启用从设备中断Internet 。
  • 如果 Internet 链路是唯一的 WAN 连接,并且仍然在客户边缘路由器上终止,则如果客户边缘路由器采取预防措施,通过其现有的底层基础架构引导数据包,则绕过这些连接仍然是可以的。
    • 必须适当谨慎地考虑到通过Internet 连接的网桥对绕过 LAN 流量以及设备出现故障时的流动。由于这是一个敏感的企业 Intranet 流量,因此在发生故障的前夕,客户必须知道如何处理它。

开始之前的准备工作

在开始配置之前,请确保您对网络拓扑有很好的了解并收集了站点的详细信息。

以下是 SD-WAN 网络的示例,其中分支配置为串联模式。

内联模式网络拓扑

下表提供了每个站点的详细信息:

网站详情 内联模式
站点名称 分支机构 1
管理 IP 172.30.2.20/24
安全密钥 如果有
模型/版本 2100
模式 内联
拓扑 2 x 广域网路径
VIP 地址 10.17.0.9/24-MPLS,10.18.0.9/24-互联网,公共IP a.b.c.d
网关 MPLS 10.17.0.1
网关 Internet 10.18.0.1
链接速度 MPLS-10 Mbps,互联网-2 Mbps
路由 未添加其他路由
VLAN 无(默认值 0)

配置内联模式

  1. 在客户级别配置中,导航到 配置 > 网络主目录。单击 “ 添加站点”。

    内联模式新增站点

  2. 单击 “ 下一步 ” 并导航到 “ 站点详细信息 ” 选项卡。将站点角色选择为 Branch。单击 “ 下一步 ” 并导航到 “ 设备详细信息 ” 选项卡。输入设备的序列号。

    内联模式网站详情

  3. 单击 “ 下一步 ” 并导航到 “ 接口 ” 页面。单击 + 接口。选择 串联(故障到线) 作为 部署模式。根据您的偏好和虚拟 IP 地址选择接口。单击完成

    在网桥对模式下添加两个接口对;一个用于 MPLS,另一个用于 Internet。

  4. 单击 “ 下一步 ” 并导航到 “接 ” 选项卡。单击 + 接口

  5. 从 “ 部署模式 ” 下拉列表中选择 “ 虚拟内联(单臂) ”,并选择 “ 单臂 ” 作为 接口类型。选择连接到虚拟内联模式路由器的以太网接口。根据此拓扑,添加两个具有相同物理接口的虚拟局域网;一个用于 MPLS,另一个用于 Internet。

    要添加第一个 VLAN,请在 “ 虚拟接口 ” 部分输入 VLAN ID、虚拟接口的名称和 IP 地址。单击完成

    内联模式接口选项卡

    内联模式接口选项卡

  6. 单击 “ 下一步 ” 并导航到 WAN 链接 选项卡。单击 + WAN 链接 ,然后选择 “ 新建 ” 单选按钮。添加两个 WAN 链接;一个用于 MPLS,另一个用于 Internet。

    对于互联网 WAN 链接,选择 公共互联网 作为 访问类型。选择 ISP 名称 ,WAN 链接的名称将自动填充。选择速度并选择所需的虚拟接口和网关。

    对于 MPLS WAN 链接,选择 MPLS 作为 访问类型。选择 ISP 名称,WAN 链接的名称将自动填充。选择速度并选择所需的虚拟接口和网关。

    注意

    如果数据中心和分支机构有不同的 ISP,则必须创建自动路径组并在其中包含 ISP 的详细信息。

    内联模式 Internet-wan-link

    内联模式互联网 WAN 链接列表

  7. 单击 “ 完成 ”,然后单击 “ 保存”。单击 “验证” 以验证配置。如果发现任何错误,请先修复这些错误,然后再继续操作。

内联模式