PBR 模式(虚拟内联)
在虚拟内联模式下,路由器使用基于策略的路由规则将传入和传出 WAN 流量重定向到设备,而设备将处理的数据包转发回路由器。
以下文章介绍了配置两个 SD-WAN (SD-WAN SE) 设备的分步过程:
-
PBR 模式下的数据中心设备(虚拟内联模式)
-
内联模式下的分支设备
-
PBR 需要在核心交换机或路由器上游进一步配置。路由器必须监视 SD-WAN 设备的运行状况,以便在设备出现故障时可以绕过设备。
-
虚拟内联模式将 SD-WAN 设备置于物理位置(单臂部署),即仅使用单个以太网接口(例如:接口 1/1),旁路模式设置为故障阻止 (FTB)。
Citrix SD-WAN 设备需要配置为将流量传递到正确的 Gateway。 用于虚拟路径的流量被定向到 SD-WAN 设备,然后封装并定向到相应的 WAN 链接。
收集配置信息
-
本地和远程站点的准确网络图(示例图如下),包括:
- 本地和远程 WAN 链接及其双向带宽、子网、每条链路、路由和 VLAN 中的虚拟 IP 地址和网关。
-
部署表(示例图如下)
数据中心拓扑-PBR 模式(虚拟内联模式)
分支拓扑-内联模式
站点名称 | 数据中心站点 | 分支机构 |
---|---|---|
设备名称 | SJC-DC | SJC-BR |
管理 IP | 172.30.2.10/24 | 172.30.2.20/24 |
安全密钥 | 如果有 | 如果有 |
模型/版本 | 4000 | 2000 |
模式 | PBR 模式(虚拟内联模式) | 内联 |
拓扑 | 2 x 广域网路径 | 2 x 广域网路径 |
VIP 地址 | 192.168.1.10/24 – MPLS,192.168.1.11/24 – Internet,公共 IP w.x.y.z | 10.17.0.9/24 - MPLS,10.18.0.9/24 – Internet,公共 IP a.b.c.d |
网关 MPLS | 10.20.0.1 | 10.17.0.1 |
网关 Internet | 10.19.0.1 | 10.18.0.1 |
链接速度 | MPLS – 100 Mbps,Internet – 20 Mbps | MPLS – 10 Mbps,Internet – 2 Mbps |
路由 | 需要在 SD-WAN SE 设备上添加关于如何通过任何物理接口到达局域网子网(10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 等)的路由:Gi0/1-192.168.1.1,配置 > 虚拟广域网 > 配置编辑器 > SJC_DC > 路由。在本示例中,使用了接口 192.168.1.1:- 不适用地址:10.10.13.0/24、10.10.12.0/24、10.10.11.0/24,- 服务类型:本地,- 网关 IP 地址:192.168.1.1 | 未添加其他路由 |
VLAN | 无(默认值 0) | 无(默认值 0) |
在虚拟内联模式下配置站点的步骤:
-
启用 MCN 功能。
-
创建新站点。
-
创建接口组和虚拟接口。
-
将虚拟 IP 地址分配给虚拟接口。
-
创建广域网链接并分配 IP 地址。
-
添加路由。
-
故障排除。
-
PBR 路由器上的基于策略的路由配置。
配置先决条件
-
将 SD-WAN 设备启用为主控制节点。
-
配置仅在 SD-WAN 设备的主控制节点 (MCN) 上完成。
要将设备启用为主控制节点,请执行以下操作:
-
在 SD-WAN Web 管理界面中,导航到 配置 >装置设置 > 管理 员界面 > 其他选项卡 > 交换机控制台。
注意
如果显示 切换到客户端控制台,则设备已处于 MCN 模式。SD-WAN 网络中应只有一个活动的 MCN。
-
启用虚拟广域网服务。导航到 配置 > 虚拟 WAN > 启用/禁用/清除流程。
-
通过导航到配置 > 虚拟 WAN > 配置编辑器启动配置。单击新建 开始配置。
此操作将创建一个 Untitled_1 初始配置文件,以后可以使用 另存为 按钮重命名 [可选]。
以下是在 PBR 部署模式下配置数据中心站点的高级配置步骤:
-
创建 DC 站点。
-
基于连接的以太网接口配置接口组。
-
为每个虚拟接口配置虚拟 IP 地址。
-
使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接。
-
如果 LAN 基础结构中有更多子网,请填充路由。
数据中心站点 PBR 模式配置
创建 DC 站点
-
导航到 配置编辑器 > 站点,然后单击 + 站 点按钮。
-
填充字段,如下所示。
-
保留默认设置,除非要求更改。
基于连接的以太网接口配置接口组
-
在配置编辑器中,导航到 站 点 > [站点名称] > 界面组。单击 + 以 添加要使用的接口。在 PBR 模式下,只使用单个以太网接口上的配置,即连接上游路由器的接口,提供 PBR 策略影响(例如-接口 1/1)。分别使用 VLAN ID 10 和 20 配置 MPLS 和Internet 虚拟接口。
-
旁路模式设置为 故障到阻塞 ,因为每个虚拟接口只使用一个以太网/物理接口。也没有桥梁对。
-
在此示例中,展开虚拟接口 + 选项并配置虚拟接口。
为每个虚拟接口创建虚拟 IP (VIP) 地址
在相应的子网上为每个 WAN 链接创建一个 虚拟 IP 地址。VIP 用于虚拟 WAN 环境中的两个 SD-WAN 设备之间的通信。
创建Internet 广域网链接
要使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接,请执行以下操作:
-
导航到 WAN 链接,单击 +按钮为 Internet 链接添加 WAN 链接。
-
填充Internet 链接详细信息,包括提供的公有 IP 地址,如下所示。请注意,无法为配置为 MCN 的 SD-WAN 设备选择 自动检测公共 IP 。
-
导航到 访问界面,单击 + 按钮以添加特定于 Internet 链接的界面详细信息。
-
填充 IP 和 Gateway 地址的访问接口,如下所示。不检查少于两个以太网接口的 代理 ARP 。
创建 MPLS 链接
-
导航到 WAN 链接,单击 + 按钮为 MPLS 链接添加 WAN 链接。
-
填充 MPLS 链接详细信息,如下所示。
-
导航到 访问接口,单击 + 按钮添加特定于 MPLS 链接的接口详细信息。
-
填充 MPLS 虚拟 IP 和 Gateway 地址的访问接口,如下所示。
注意
对于少于两个以太网接口,不会检查代理 ARP 。
填充路由
在数据中心站点上,在 SD-WAN SEE 设备上添加路由,以便通过任何物理接口访问 LAN 子网(10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 等):
0/1/0.1 – VLAN 10 上的 192.168.1.1
0/1/0.2 – VLAN 20 上的 192.168.2.1
分支站点内联部署配置
以下是为内联部署配置分支站点的高级配置步骤:
-
创建分支站点。
-
基于连接的以太网接口填充接口组。
-
为每个虚拟接口创建虚拟 IP 地址。
-
使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接。
-
网桥对 1/3 和 1/4 上配置虚拟接口 Internet
-
虚拟接口 MPLS 配置的 CON 桥对 1/1 和 1/2
-
-
如果 LAN 基础结构中有更多子网,请填充路由。
创建分支站点
基于连接的以太网接口配置接口组
-
在 配置编辑器中,导航到 站 点 > [客户端站点名称] > 接口组。单击“+”添加要使用的接口。 对于内联模式配置,使用四个以太网接口;接口对 1/3、1/4 和接口对 1/1 和 1/2。
-
由于每个虚拟接口使用两个以太网/物理接口,旁路模式设置为故障到线路。有两个桥对。
-
使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接。
-
网桥对 1/3 和 1/4 上配置虚拟接口 Internet
-
虚拟接口 MPLS 配置 CON 桥对 1/1 和 1/2.
-
-
请参阅上述示例 远程站点内联模式 拓扑并填充接口组字段,如下所示。
为每个虚拟接口创建虚拟 IP (VIP) 地址
在相应的子网上为每个 WAN 链接创建一个虚拟 IP 地址。 VIP 用于虚拟 WAN 环境中的两个 SD-WAN 设备之间的通信。
创建Internet 广域网链接
使用 Internet 链接基于物理速率而不是突发速度填充 WAN 链接
-
导航到 WAN 链接,单击 +按钮为 Internet 链接添加 WAN 链接。
-
填充Internet 链接详细信息,包括 自动检测公有 IP 地址 ,如下所示。
-
导航到 访问界面,单击 + 按钮以添加特定于 Internet 链接的界面详细信息。
-
填充虚拟 IP 地址和 Gateway 的访问接口,如下所示。
创建 MPLS 链接
-
导航到 WAN 链接, 单击 + 按钮为 MPLS 链接添加 WAN 链接。
-
填充 MPLS 链接详细信息,如下所示。
-
导航到 访问接口,单击 + 按钮添加特定于 MPLS 链接的接口详细信息。
-
填充虚拟 IP 地址和 Gateway 的访问接口,如下所示。
填充路由
路由是基于上述配置自动创建的。如果有更多特定于此远程分支机构的子网,则需要添加特定路由,以确定哪个网 Gateway 将流量引导到达这些后端子网。
解决审计错误
完成 DC 站点和分支站点的配置后,系统将提醒您解决 DC 站点和 BR 站点上的审核错误。 在此示例中,我们将解决与专用内联网 WAN Link [SJC_DC-MPLS] 相关的审计错误。
注意
默认情况下,系统会为定义为访问类型公共 Internet(突出显示)的 WAN 链接生成路径。
您需要使用自动路径组功能或手动启用具有专用 Internet 访问类型的 WAN 链接的路径。通过单击 添加 运算符(绿色矩形中),可以启用 MPLS 链接的路径。
创建自动分配组:
-
导航到 全局 选项卡。单击“自动分配组”旁边的 [+]号。
-
根据要求配置创建的自动分配组,然后单击 应用。
-
重命名自动解决组 [可选]。
-
将自动传输组映射到相应站点的 Intranet WAN 链接的虚拟路径。
没有两个自动分析组可以标记为默认值。如果标记,则会导致审核错误。
将自动传输组映射到 Intranet WAN 的虚拟路径后,路径应自动填充(高亮显示)。
手动添加具有访问类型的 WAN 链接专用内联网
-
为各自站点选择 WAN 链接下的虚拟路径,不会映射自动传输组。
-
单击“路径”旁边的 [+] 号以手动添加虚拟路径。
-
选择每个站点的虚拟路径 WAN 链接。
手动添加具有访问类型的 WAN 链接的虚拟路径后,将在 路径(高亮显示)下填充该虚拟路径。
完成上述所有步骤后,继续进入 MCN 主题上的 准备 SD-WAN 设备包 。
PBR 路由器上基于策略的路由配置:
连接到 LAN 的接口
-
Router# configure terminal
-
Router(config)# interface FastEthernet0/1
-
Router(config-if)# description ToLAN
-
Router(config-if)# ip address 10.10.11.1 255.255.255.0
-
Router(config-if)# duplex auto
-
路由器 (config-if) # 速度自动
连接到 MPLS WAN 链路的接口
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/0
-
Router(config-if)# description To-MPLS-WAN
-
Router(config-if)# ip address 10.20.0.2 255.255.255.0
-
Router(config-if)# duplex auto
-
路由器 (config-if) # 速度自动
连接到 INET WAN 链路的接口
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/2/0
-
Router(config-if)# description To-INET-WAN
-
Router(config-if)# ip address 10.19.0.2 255.255.255.0
-
Router(config-if)# duplex auto
-
路由器 (config-if) # 速度自动
PBR 路由器上的接口 GigabitEthernet0/1 连接到 SD-WAN 端口 1/1,处于 1 臂模式,这一个端口将服务于 MPLS 和 INET 链路的流量。
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/1
-
Router(config-if)# description To-SDWAN-link
-
Router(config-if)# ip address 192.168.1.1 255.255.255.0
静态路由配置(路由到客户端/远程子网):
-
通过下一个跃点 WAN 路由器 MPLS 10.20.0.1 的 MPLS 10.17.0.0/24
-
通过下一个跃点 WAN 路由器 /FW INET 10.19.0.1 的 INET 10.18.0.0/24
-
Router# configure terminal
-
Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1
-
Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1
路由图定义:
访问控制列表配置:
配置 ACL 以定义要发送到 SD-WAN 设备和从 SD-WAN 设备发送的流量。
-
从局域网到 SD-WAN 设备
根据拓扑结构,LAN 子网分别为 10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 等。要将流量从 LAN 发送到 SD-WAN,请配置单向 ACL(从 LAN 到任何)。
- Router# configure terminal
- Router(config)# ip access-list extended server_side
- Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
- 从 SD-WAN 设备到物理 WAN 链接
- Router# configure terminal
- Router(config)# ip access-list extended MPLS_Link
- Router(config)# permit ip 192.168.1.10 0.0.0.0 any
- Router# configure terminal
- Router(config)# ip access-list extended INET_Link
- Router(config)# permit ip 192.168.1.11 0.0.0.0 any
<!--NeedCopy-->
路由图配置:
定义与 ACL 匹配的路由映射。
局域网交通的路由图:
下一个跳将是任何 SD-WAN 虚拟 IP(VIP)。
MPLS VIP 192.168.1.10
INET VIP 192.168.1.11
在这种情况下,我们选择 MPLS VIP 192.168.1.10 作为下一跃点,并添加了运行状况检查,以确保 SD-WAN 是否失败,流量没有路由到它。
- Router# configure terminal
- Router(config)# route-map server_side_VW_PBR permit 10
- Router(config-route-map)# match ip address server_side
- Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123
<!--NeedCopy-->
以上命令配置线路图以验证跟踪对象的可访问性。跟踪过程提供了跟踪单个对象的功能,例如 ICMP ping 可达性、路由邻接性、在远程设备上运行的应用程序、路由信息库 (RIB) 中的路由或跟踪接口线协议的状态。
WAN 流量的线路图:
下一个跃点将是 MPLS 路由器和防火墙相应的 WAN 链接。
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 20
- Router(config-route-map)# match ip address MPLS_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 30
- Router(config-route-map)# match ip address INET_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125
<!--NeedCopy-->
将线路图应用于界面:
- Router# configure terminal
- Router(config)# interface FastEthernet0/1
- Router(config-if)# ip policy route-map server_side_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
- Router# configure terminal
- Router(config)# interface GigabitEthernet0/1
- Router(config-if)# ip policy route-map WAN_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
<!--NeedCopy-->
MPLS 路由器配置(网关 10.20.0.1):
-
在 MPLS 路由器上添加路由,以达到 MPLS VWAN VIP 在数据中心。
-
通过下一个跃点 PBR 路由器 MPLS 链路 10.20.0.2 的 MPLS VIP 子网 192.168.1.0/24
-
Router# configure terminal
-
Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.0.2
防火墙配置 (Gateway 10.19.0.1):
在防火墙上添加路由以达到数据中心的 INET VWAN VIP。
通过下一个跃点 PBR 路由器 INET 链路 10.19.0.2 的 INET VIP 子网 192.168.1.0/24
- Router# configure terminal
- Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->