Citrix SD-WAN Orchestrator

SD-WAN 叠加路由

Citrix SD-WAN 可在远程站点、数据中心和云网络之间提供弹性强大的连接。SD-WAN 解决方案可以通过在网络中的 SD-WAN 设备之间建立隧道来实现这种连接。建立隧道通过应用覆盖现有底层网络的路由表来实现站点之间的连接。SD-WAN 路由表可以完全替换或与现有路由基础结构共存。

Citrix SD-WAN 设备根据可用性、丢失、延迟、抖动和拥塞特征单向测量可用路径。然后,设备会根据每个数据包选择最佳路径。这意味着从站点 A 到站点 B 选择的路径不一定是从站点 B 到站点 A 的路径。给定时间的最佳路径是在每个方向上单独选择的。Citrix SD-WAN 提供基于数据包的路径选择,可快速适应任何网络更改。SD-WAN 设备可以检测仅在两个或三个数据包丢失后的路径中断,从而允许应用程序流量无缝亚秒级故障转移到下一个最佳 WAN 路径。SD-WAN 设备在约 50 毫秒内重新计算每个 WAN 链路状态。下面的文章提供了 Citrix SD-WAN 网络中的详细路由配置。

Citrix SD-WAN 路由表

SD-WAN 配置允许特定站点的静态路由条目,并允许通过支持的路由协议(如 OSPF、eBGP 和 iBGP)从底层网络学习路由条目。路由由其下一跳和服务类型定义。它决定了路由的转发方式。以下是正在使用的主要服务类型:

  • 本地服务: 表示 SD-WAN 设备本地的任何路由或子网。它包括虚拟接口子网(自动创建本地路由)和路由表中定义的任何本地路由(带有本地下一跳)。路由将播发到具有到此本地站点的虚拟路径的其他 SD-WAN 设备,当作为合作伙伴信任时,该路由将配置为此路由。

注意

添加默认路由,将汇总路由添加为本地路由时要小心,因为这可能会导致其他站点出现虚拟路径路由。务必检查路由表,确保正确的路由生效。

  • 虚拟路径 — 表示从可通过虚拟路径访问的远程 SD-WAN 站点学习的任何本地路由。这些路由通常是自动的,但是可以在站点手动添加虚拟路径路由。此路由的任何流量都会转发到此目标路由(子网)的定义虚拟路径。

  • Intranet — 表示可通过专用 WAN 链路(MPLS、P2P、VPN 等)访问的路由。例如,位于 MPLS 网络上但没有 SD-WAN 设备的远程分支。假定这些路由必须转发到某个 WAN 路由器。默认情况下不启用 Intranet 服务。任何与此路由(子网)匹配的流量都被归类为内联网流量。

注意

请注意,添加 Intranet 路由时不存在下一个跃点,而是转发到 Intranet 服务。该服务与给定的 WAN 链接相关联。

  • 互联网 -与内联网类似,但用于定义流向公共互联网广域网链路的流量,而不是私有广域网链路的流量。一个独特的区别是,Internet 服务可以与多个 WAN 链接关联,并设置为负载平衡(每个流)或处于活动/备份。启用 Internet 服务时创建默认 Internet 路由(默认情况下处于关闭状态)。与此路由(子网)匹配的任何流量都被归类为 Internet,以便传输到公共 Internet 资源。

注意

Internet 服务路由可以播发到其他 SD-WAN 设备或阻止导出,具体取决于您是否通过虚拟路径进行Internet 访问。

  • 直通 — 当设备处于串联模式时,作为最后手段或替代服务。如果目标 IP 地址与任何其他路由无法匹配,则 SD-WAN 设备只需将其转发到下一个跃点 WAN 链接。默认路由:16 条直通路由的 0.0.0.0/0 成本是自动创建的。当 SD-WAN 设备部署在路径外或在边缘/网关模式下时,直通不起作用。匹配此路由(子网)的任何流量都被归类为此设备的直通。建议尽可能限制直通流量。

注意

直通在执行 POC 时非常有用,可以避免配置大量路由。在生产中要小心,因为 SD-WAN 不会考虑发送到直通的流量的 WAN 链路利用率。当故障排除问题,并且您希望通过虚拟路径将某个 IP 流从交付中取出时,这也很有帮助。

  • 丢弃 -不是服务,而是万不得已的路由,如果数据包匹配,则会丢弃数据包。通常,当 SD-WAN 设备部署在路径之外时,不会发生这种情况。您必须使用内联网服务或本地路由作为全部捕获路由。否则,由于没有直通服务(尽管存在直通默认路由),流量将被丢弃。

    <!—SD-WAN 配置编辑器允许为每个可用站点自定义路由表

路由表条目从不同的输入填充:

  • 配置的虚拟 IP 地址 (VIP) 自动填充为服务类型本地路由。配置编辑器阻止将相同的 VIP 分配给不同的站点节点。

  • 在本地站点启用的 Internet 服务在本地自动填充默认路由 (0.0.0.0/0) 以便实现直接 Internet 突破。

  • 管理员根据每个站点定义静态路由,这些路由被定义为服务类型本地路由。

  • 默认值 (0.0.0.0/0) 捕获定义为直通的成本为 16 的所有路由

管理员可以配置上述路由之一。除了路由成本外,还要根据服务类型包括服务类型、下一跳或网关。默认路径成本会自动添加到每种路径类型中(有关默认路径成本,请参阅下表)。此外,只有受信任的路由才会通告到其他 SD-WAN 设备。不受信任的路由仅由本地设备使用。

在 全局 设置下启用 WAN 到 WAN 转发(路由导出模板)后,MCN 站点将播发的路由共享给参与 SD-WAN 叠加的所有客户端。此功能支持不同客户端节点站点的主机之间的 IP 连接,通信通过 MCN 传输。 <!—可以在监控>统计页面上监控本地客户端节点的路由表,并在 显示下 拉列表中选择路由。—>

远程分支机构子网的每条路由都通过通过 MCN 连接的虚拟路径被通告为服务。 站点 列中填充了目标所在的客户机节点作为本地子网。

在以下示例中,启用 WAN 到 WAN 转发 (路由导出)。分支 A 有一个通过 MCN 的 Branch B 子网 (10.2.2.0/24) 的路由表条目作为下一跳。

叠加路由流程图

Citrix SD-WAN 流量在已定义路由上如何匹配

Citrix SD-WAN 上定义的路由的匹配过程基于目标子网的最长前缀匹配(类似于路由器操作)。路由越具体,匹配的更改就越高。排序按以下顺序完成:

  1. 最长前缀匹配
  2. 成本
  3. 服务

因此,/32 路由始终位于 /31 路由之前。对于两条 /32 路径,成本 4 路径始终位于成本 5 路径之前。对于两个 /32 成本 5 路由, 路由是根据有序的 IP 主机选择. 服务顺序如下:本地、虚拟路径、内联网、Internet 、直通、丢弃。

例如,请考虑以下两条路由,如下所示:

  • 192.168.1.0/24 成本 5

  • 192.168.1.64/26 成本 10

发往 192.168.1.65 主机的数据包将使用后一条路由,即使开销较高。通常,要对打算通过虚拟路径叠加层传输的路由进行配置,而其他流量则落入捕获所有路由,例如通往直通服务的默认路由。

路由可以在具有相同前缀的站点节点路由表中进行配置。然后,断开连接转到路由开销、服务类型(虚拟路径、Intranet、Internet 等)和下一跳 IP。

Citrix SD-WAN 路由数据包流

  • LAN 到 WAN(虚拟路径)流量路由匹配:

    1. LAN 接口接收和处理传入流量。

    2. 将接收的帧与路由表进行比较,以获得最长前缀匹配。

    3. 如果找到匹配项,则规则引擎处理该帧并在流程数据库中创建一个流。

  • WAN 到 LAN(虚拟路径)流量路由匹配:

    1. SD-WAN 从隧道接收虚拟路径流量并对其进行处理。

    2. 设备比较源 IP 地址以查看源是否为本地。

      • 如果是 — 则符合 WAN 条件并将 IP 目标与路由表/虚拟路径匹配。

      • 如果没有 — 则启用 WAN 到 WAN 转发检查。

    3. (禁用 WAN 到 WAN 转发)基于本地路由转发到 LAN。

    4. (启用 WAN 到 WAN 转发)基于路由表转发到虚拟路径。

  • 非虚拟路径流量:

    1. 传入流量在 LAN 接口上接收并进行处理。

    2. 将接收的帧与路由表进行比较,以获得最长前缀匹配。

    3. 如果找到匹配项,则规则引擎处理该帧并在流程数据库中创建一个流。

Citrix SD-WAN 路由协议支持

Citrix SD-WAN 版本 9.1 在配置中引入了 OSPF 和 BGP 路由协议。将路由协议引入 SD-WAN 使 SD-WAN 能够更轻松地集成到更复杂的底层网络中,其中路由协议正在积极使用。在 SD-WAN 上启用了相同的路由协议后,配置标为使用 SD-WAN 覆盖的子网变得更加容易。此外,路由协议使 SD-WAN 和非 SD-WAN 站点之间的通信能够使用通用路由协议直接与现有客户边缘路由器进行通信。无论 SD-WAN 的部署模式(内联模式、虚拟内联模式或 Edge/Gateway 模式)如何,Citrix SD-WAN 都可以参与路由协议并在底层网络中运行。此外,SD-WAN 可以在“仅学”模式下部署,在这种模式下,SD-WAN 可以接收路由,但不能将路由通告回底层。在路由基础设施复杂或不确定的网络中引入 SD-WAN 解决方案时,它很有用。

重要

如果您不小心,很容易泄漏不需要的路由。

SD-WAN 虚拟路径路由表用作外部网关协议 (EGP),类似于 BGP(思考站点到站点)。例如,当 SD-WAN 通告从 SD-WAN 设备到 OSPF 的路由时,它们通常被视为站点和协议的外部。

注意

注意在整个基础架构(跨广域网)有 IGP 的环境。这使 SD-WAN 通告路由的使用方式变得复杂。EIGRP 广泛应用于市场,SD-WAN 不与该协议互操作。

在 SD-WAN 部署中引入路由协议时,只有在 SD-WAN 服务启用并在网络中运行后,路由表才可用。因此,不建议最初启用来自 SD-WAN 设备的通告路由。使用导入和导出筛选器逐步引入 SD-WAN 上的路由协议。

让我们仔细看看下面的例子:

叠加路由 4

在此示例中,我们检查路由协议使用案例。前面的网络有四个地点:纽约、达拉斯、伦敦和旧金山。我们在其中三个地点部署 SD-WAN 设备。此外,我们还使用 SD-WAN 创建混合广域网网络,其中 MPLS 和互联网广域网链接用于提供虚拟化广域网。由于达拉斯没有 SD-WAN 设备,我们必须考虑如何最好地与该站点的现有路由协议集成。它确保底层网络和 SD-WAN 重叠网络之间的完全连接。

在示例网络中,eBGP 在 MPLS 网络的所有四个位置之间使用。每个位置都有自己的自治系统号码 (ASN)。

在纽约数据中心中,OSPF 正在运行,以便将核心数据中心子网公告到远程站点,并宣布纽约防火墙 (E) 的默认路由。在此示例中,所有Internet 流量都会回传到数据中心,即使伦敦分支机构和旧金山分支机构具有通往Internet 的路径。

旧金山站点还必须注意没有路由器。SD-WAN 在边缘/网关模式下部署。该设备是旧金山子网的默认网关,也参与了 MPLS 的 eBGP。

  • 使用纽约数据中心,请注意 SD-WAN 部署在虚拟内联模式下。目的是参与现有的 OSPF 路由协议,以便将流量作为首选 Gateway 转发到设备。
  • 伦敦站点以传统的内联模式部署。上游 WAN 路由器 (C) 仍然是伦敦子网的默认网关。
  • 旧金山站点是该网络新引入的站点。想法是在 Edge/Gateway 模式下部署 SD-WAN,并让设备充当新旧金山子网的默认网关。

在实施 SD-WAN 之前,请查看一些现有的底层路由表。

纽约核心路由器 B:

纽约核心路由器 b

本地纽约子网 (172.x.x.x) 可在路由器 B 上直接连接。从路由表中我们可以确定默认路由是 172.10.10.3(防火墙 E)。此外,我们可以看到,达拉斯(10.90.1.0/24)和伦敦(10.100.1.0/24)子网可通过172.10.10.1(MPLS 路由器 A)获得。路由成本表明它们是从 eBGP 学习的。

注意

在提供的示例中,旧金山未列为路线。这是因为我们还没有在边缘/网关模式下为该网络部署带有 SD-WAN 的站点。

纽约核心路由器 a

对于纽约广域网路由器 (A),OSPF 通过 eBGP 了解到跨 MPLS 学习的路由和路由列出。请注意路由成本。与 OSPF 110/10 相比,BGP 默认情况下是低于 20/1 的管理域和成本。

达拉斯路由器 D:

对于达拉斯 WAN 路由器 (D),所有路由都通过 MPLS 了解。

达拉斯路由器 d

注意

在此示例中,您可以忽略 192.168.65.0/24 子网。这是一个管理网络,与示例无关。所有路由器都连接到管理子网,但没有在任何路由协议中通告。

部署 Citrix SD-WAN 设备后,我们可以刷新查看达拉斯站点的 BGP 路由器的路由表。我们看到 10.80.1.0/24 和 10.81.1.0/24 的子网正在通过旧金山 SD-WAN 的 eBGP 正确看到。

达拉斯路由器 D:

达拉斯路由器 d 示例

Citrix SD-WAN 显示了学习的所有路由,包括通过虚拟路径叠加可用的路由。

让我们来看看 172.10.10.0/24,它位于纽约数据中心。通过两种方式学习这条路由:

  • 作为虚拟路径路由(数字 3),服务 = NYC-SFO,开销为 5 并键入静态。它是纽约 SD-WAN 设备通告的本地子网。它是静态的,因为它直接连接到设备,或者它是在配置中输入的手动静态路由。它可以访问,因为站点之间的虚拟路径处于工作/启动状态。

  • 作为通过 BGP(6 号)的广告路由,成本为 6。这现在被认为是一个后备路由。

前缀相等,成本不同。SD-WAN 使用虚拟路径路由,除非它变得不可用,在这种情况下,备用路由是通过 BGP 获知的。

现在,让我们假设路由线路 172.20.20.0/24。

  • 这是作为虚拟路径路由学习的(数字 9),但具有动态类型,开销为 6。这意味着远程 SD-WAN 设备通过路由协议(在本例中为 OSPF)了解此路由。默认情况下,路径成本较高。

  • SD-WAN 还会以相同的成本通过 BGP 获知此路由,因此该路由可能优先于虚拟路径路由。

我们还看到一个直通和丢弃路由与成本 16. 这些路由是自动的,无法删除。如果设备处于串联状态,则使用直通路由作为最后的手段。因此,如果数据包无法与更具体的路由匹配,则 SD-WAN 会将其传递到接口组的下一跳。如果 SD-WAN 超出路径或处于边缘/网关模式,则没有直通服务,在这种情况下,SD-WAN 使用默认丢弃路由丢弃数据包。命中计数指示每条路由中的数据包数,这在故障排除时非常有用。

对于纽约站点,我们希望在虚拟路径处于活动状态时将发往远程站点(伦敦和旧金山)的流量定向到 SD-WAN 设备。

纽约站点中有多个子网可用:

  • 172.10.10.0/24(直接连接)

  • 172.20.20.0/24(从核心路由器 B 通过 OSPF 公告)

  • 172.30.30.0/24(从核心路由器 B 通过 OSPF 公告)

我们还需要通过 MPLS 提供前往达拉斯(10.100.1.0/24)的流量。

动态虚拟路径

可以允许两个客户端节点之间的动态虚拟路径来构建按需虚拟路径,以便在两个站点之间进行直接通信。动态虚拟路径的优点是,流量可以直接从一个客户端节点流向第二个客户端节点,而无需遍历 MCN 或两个虚拟路径,这会增加流量的延迟。动态虚拟路径是根据用户定义的流量阈值动态构建和移除的。这些阈值被定义为每秒数据包 (pps) 或带宽 (kbps)。此功能可实现动态全网格 SD-WAN 叠加拓扑。

满足动态虚拟路径的阈值后,客户端节点会使用站点之间的所有可用 WAN 路径,动态地创建彼此的虚拟化路径,并按以下方式充分利用它:

  • 发送批量数据(如果存在)并验证没有丢失,然后

  • 发送交互式数据并验证没有丢失,然后

  • 批量和交互式数据被认为稳定后发送实时数据(无丢失或可接受的水平)

  • 如果没有批量或交互式数据在动态虚拟路径稳定一段时间后发送实时数据

  • 如果用户数据在用户定义的时段内低于配置的阈值,则动态虚拟路径将被撕裂

    动态虚拟路径具有中间站点的概念。中间站点可以是 MCN 站点或网络中的任何其他站点。该站点必须配置静态虚拟路径并连接到两个或多个其他客户端节点。另一个设计注意事项要求是启用 WAN 到 WAN 转发。它将允许将来自所有站点的所有路由通告到需要动态虚拟路径的客户端节点。 <!— 除了启用该中间站点的 WAN 到WAN 转发之外,还 必须启用 “启用站点作为中间节点”,以监控客户端节点的通信并规定何时必须建立和切断动态路径。—>

在 SD-WAN 配置中可以允许多个 WAN 到 WAN 转发组。它可以完全控制某些客户端节点之间的路径建立,而不是其他节点之间的路径建立。

多个广域网

每个 SD-WAN 设备都有自己的唯一路由表,并为每个路由定义了以下详细信息:

  • Num — 基于匹配过程的设备路由顺序(最少先处理的编号)

  • 网络地址-子网或主机地址

  • 网关(如有必要)

  • 服务-应用于路径的服务

  • 防火墙区域-路由的防火墙区域分类

  • 可访问-标识站点的虚拟路径状态是否处于活动状态

  • 站点 — 预计路径存在的站点的名称

  • 类型 — 路由类型的识别(静态或动态)

  • 直接邻居

  • 成本-特定路线的成本

  • 命中次数-每个数据包使用该路由的次数。此信息将用于验证是否正确命中了路由。

  • 符合条件

  • 资格类型

  • 资格值

内联网和Internet 路由

对于 Intranet 和 Internet 服务类型,用户必须定义 SD-WAN WAN 链接以支持这些类型的服务。这是这些服务中任何一种定义路由的先决条件。如果 WAN 链接未定义为支持 Intranet 服务,则将其视为本地路由。Intranet、Internet 和直通路由仅与其配置的站点/设备相关。

在定义 Intranet、Internet 或直通路由时,以下是设计考虑因素:

  • 必须在 WAN 链接上定义服务(内联网/Internet -必需)

  • 内网/Internet 必须为WAN 链接定义网 Gateway

  • 与本地 SD-WAN 设备相关

  • 内联网路由可以通过虚拟路径学习,但成本更高

  • 使用 Internet 服务,会自动创建一个默认路由 (0.0.0.0/0) 以最大成本捕获所有路由

  • 不要假设直通工作,它必须进行测试/验证,同时使用虚拟路径关闭/禁用进行测试以验证所需的行为

  • 路由表是静态的,除非启用了路由学习功能

    多个路由参数支持的最大限制如下:

  • 最大路由域名:255

  • 每个 WAN 链路的最大访问接口:64

  • 每个站点的最大 BGP 邻居值:255

  • 每个站点最大 OSPF 面积:255

  • 每个 OSPF 区域的最大虚拟接口:255

  • 每个站点的最大路由学习导入过滤器:512

  • 每个站点的最大路由学习导出过滤器:512

  • 最大 BGP 路由策略:255

  • 最大 BGP 社区字符串对象:255

SD-WAN 叠加路由