Citrix SD-WAN 平台

配置路由器

要支持虚拟内联模式,路由器必须将传入和传出 WAN 流量转发到 SD-WAN 设备。设备处理流量后,路由器必须将传入流量从设备转发到 LAN,并将传出流量从设备转发到 WAN。您必须配置基于策略的规则以避免路由循环。此外,路由器必须监视设备的运行状况,以便在设备出现故障时可以绕过设备。

如果路由器支持反向路径转发功能,则必须在具有策略的接口上禁用该功能,以将流量重定向到 SD-WAN 设备(包括连接到设备的接口)。否则,路由器会间歇性地丢弃流量。默认情况下,路由器上启用了反向路径转发功能。

注意:如果网络有两个路由器,请使用工作表中标识的适当 IP 地址为每个路由器配置以下过程。

基于策略的规则

在虚拟内联模式下,如果路由规则不区分设备已转发的数据包和未转发的数据包,则数据包转发方法可以创建路由循环。您可以使用任何区分的方法。

典型的方法是将路由器的一个以太网端口专用于设备,并基于数据包到达的以太网端口创建路由规则。到达专用于设备的接口上的数据包永远不会转发回设备,但到达任何其他接口上的数据包都可以。

除非所有 WAN 流量通过设备,否则流量调整无法有效。以下是基本的路由算法:

  • 请勿将数据包从设备转发回设备。
  • 如果数据包从 WAN 到达,请将数据包转发到设备。
  • 如果数据包发往 WAN,请将数据包转发到设备。
  • 请勿将 LAN 到 LAN 的流量转发到设备。

运行状况监视

如果设备发生故障,则不应将数据路由到设备。默认情况下,基于思科策略的路由不执行运行状况监视。要启用运行状况监视,请定义规则以监视设备的可用性,并为 “设置 ip 下一跳” 命令指定 “验证可用性” 选项。使用此配置时,如果设备不可用,则不会应用路由,并且会绕过设备。

注意:Citrix 建议仅在与运行状况监视一起使用时使用虚拟内联模式。许多支持基于策略的路由器不支持运行状况检查。健康监测功能相对较新。它是第一次在思科 IOS 版本 12.3 (4) T.

以下是通过使用 IOS 软件版本的思科路由器型号 7600 监视设备可用性的规则示例:

``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is in the connected track 123 rtr 1 reachability ! rtr 1 type echo protocol IpIcmpecho 17.17.17.2 schedule 1 life forever start-time now


此规则会定期在 17.17.17.2 处对设备进行配置。您可以针对 123 进行测试,以查看单位是否向上。

## 路由器配置示例

以下是为虚拟内联模式配置 Cisco 路由器的示例:

``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.200.51.0   255.255.255.0
ip policy route-map server_side_map
!
interface FastEthernet0/1
ip address 17.17.17.1   255.255.255.0!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
ip policy route-map wan_side_map
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended server_side
permit ip 10.100.51.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.20.20.0 0.0.0.255 10.100.51.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!-  Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 17.17.17.1   20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 17.17.17.1   10 track 123
<!--NeedCopy-->

此示例将访问列表应用于路径图并将路径图附加到界面。访问列表标识来自一个加速站点并在另一个站点终止的所有流量(源 IP 地址为 10.100.51.0/24,目标 IP 地址为 10.20.20.0/24 或相反)。有关访问列表和路由图的详细信息,请参阅路由器的文档。

此配置将所有匹配的 IP 流量重定向到设备。如果您只想重定向 TCP 流量,则可以按如下方式更改访问列表配置(此处仅显示远程端的配置):

pre codeblock ! ip access-list extended server_side permit tcp 10.200.51.0 0.0.0.255 10.20.20.0 0.0.0.255 ip access-list extended wan_side permit tcp 10.20.20.0 0.0.0.255 10.200.51.0 0.0.0.255 ! <!--NeedCopy-->

在高可用性设置中配置路由器

要在路由器之间配置高可用性,请参阅路由器特定的高可用性配置手册。

配置路由器