Citrix SD-WAN Orchestrator

Routing

Der Abschnitt Routing bietet die folgenden Optionen:

  • Routing-Richtlinien
  • Domains weiterleiten
  • Routenprofile importieren
  • Routenprofile exportieren
  • Transit-Knoten

Routing-Richtlinien

Routing-Richtlinien helfen dabei, die Verkehrssteuerung zu ermöglichen. Basierend auf der Auswahl (Anwendungsrouten und IP-Routen) können Sie verschiedene Möglichkeiten nutzen, um den Datenverkehr zu steuern.

Routing-Richtlinie

Anwendungsrouten

Klicken Sie auf + Anwendungsroute, um Anwendungsroute zu erstellen.

  • Übereinstimmungskriterien für benutzerdefinierte Anwendungen:

    • Übereinstimmungstyp: Wählen Sie den Übereinstimmungstyp als Anwendung/Benutzerdefinierte Anwendung/Anwendungsgruppe aus der Dropdown-Liste
    • Anwendung: Wählen Sie eine Anwendung aus der Liste aus.
    • Routingdomäne: Wählen Sie eine Routingdomäne
  • Geltungsbereich: Sie können die Anwendungsroute auf globaler Ebene oder auf site- und gruppenspezifischer Ebene festlegen.

  • Verkehrssteuerung;
    • Lieferservice: Wählen Sie einen Lieferdienst aus der Liste.
    • Kosten: Spiegelt die relative Priorität jeder Route wider. Senken Sie die Kosten, höher die Priorität.
  • Berechtigung basierend auf Pfad:
    • Pfad hinzufügen: Wählen Sie eine Site und WAN-Links. Wenn der gewählte Pfad abfällt, erhält die Anwendungsroute keinen Datenverkehr.

Anwendungsweg

Wenn eine neue Anwendungsroute hinzugefügt wird, müssen die Routenkosten im folgenden Bereich liegen:

  • Benutzerdefinierte Anwendung: 1—20
  • Anwendung: 21—40
  • Anwendungsgruppe: 41—60

Office 365-Optimierung

Die Office 365-Optimierungsfunktionen entsprechen den Microsoft Office 365-Netzwerkverbindungsprinzipien, um Office 365 zu optimieren. Office 365 wird als Service über mehrere Service-Endpunkte (Fronttüren) bereitgestellt, die sich global befinden.

Um eine optimale Benutzererfahrung für Office 365-Datenverkehr zu erzielen, empfiehlt Microsoft, Office365-Datenverkehr aus Zweigumgebungen direkt ins Internet umzuleiten und Praktiken wie Backhauling auf einen zentralen Proxy zu vermeiden. Dies liegt daran, dass Office 365-Datenverkehr wie Outlook, Word empfindlich auf Latenz reagiert und Backhauling-Verkehr zu mehr Latenz führt, was zu einer schlechten Benutzererfahrung führt. Mit Citrix SD-WAN können Sie Richtlinien konfigurieren, um Office 365-Datenverkehr zum Internet auszuschalten. Weitere Informationen finden Sie unter Office 365-Optimierung.

Im Citrix SD-WAN Orchestrator Service hat standardmäßig jedes Netzwerk die Office 365-Regel unter Anwendungsgruppe. Um zu navigieren, gehen Sie zu Netzwerkkonfiguration > Routing > Routing-Richtlinien > Anwendungsrouten.

O365

Sie können die Regel nicht löschen, können aber die Einstellungen nach Bedarf konfigurieren.

O365-Detail

Klicken Sie auf die Office 365-Regel, um die Standardeinstellungen Übereinstimmungstyp, Anwendungsgruppe, Bereitstellungsdienst usw. anzuzeigen. Sie können diese Standardeinstellungen nicht ändern.

Office 365-Endpunkte sind eine Reihe von Netzwerkadressen und Subnetzen. Endpunkte werden in die folgenden drei Kategorien unterteilt:

  • Optimieren - Diese Endpunkte bieten Konnektivität zu jedem Office 365-Dienst und -Feature und sind empfindlich auf Verfügbarkeit, Leistung und Latenz. Es stellt über 75% der Office 365-Bandbreite, Verbindungen und Datenvolumen dar. Alle Endpunkte optimieren werden in Microsoft-Rechenzentren gehostet. Serviceanfragen an diese Endpunkte müssen ein Breakout von der Zweigstelle zum Internet verwenden und dürfen nicht über das Rechenzentrum gehen.

  • Zulassen - Diese Endpunkte bieten nur Verbindungen zu bestimmten Office 365-Diensten und -Features und sind nicht so empfindlich auf Netzwerkleistung und Latenz. Die Darstellung der Office 365-Bandbreite und der Anzahl der Verbindungen ist ebenfalls geringer. Diese Endpunkte werden in Microsoft-Rechenzentren gehostet. Serviceanfragen an diese Endpunkte können ein Breakout von der Zweigstelle zum Internet verwenden oder durch das Rechenzentrum gehen.

  • Standard - Diese Endpunkte stellen Office 365-Dienste bereit, die keine Optimierung erfordern und als normaler Internetverkehr behandelt werden können. Einige dieser Endpunkte werden möglicherweise nicht in Microsoft-Rechenzentren gehostet. Der Datenverkehr in dieser Kategorie ist nicht anfällig für Latenzschwankungen. Daher führt ein direktes Ausbrechen dieser Art von Datenverkehr zu keiner Leistungssteigerung im Vergleich zum Internetausfall. Darüber hinaus ist der Datenverkehr in dieser Kategorie möglicherweise nicht immer Office 365-Datenverkehr, daher wird empfohlen, diese Option zu deaktivieren, wenn Sie das Office 365-Breakout in Ihrem Netzwerk aktivieren.

    HINWEIS

    Standardmäßig sind die Optionen „Optimieren“, „Zulassen“ und „Standard“ deaktiviert. Sie können diese Einstellungen nicht löschen, können aber bei Bedarf aktiviert werden.

  • Beacon-Dienst aktivieren - Mit Citrix SD-WAN können Sie Beacon-Sprüfungen durchführen und die Latenz bestimmen, um Office 365-Endpunkte über jede WAN-Verbindung zu erreichen. Office 365 Beacon-Dienste sind standardmäßig aktiviert. Sie können es deaktivieren, indem Sie diese Option deaktivieren. Weitere Informationen finden Sie unter Office 365 Beacon-Dienst.

    Sie können die Verfügbarkeits- und Latenzberichte des Beacons auf Netzwerk - und Standortebeneanzeigen.

IP-Routen

Gehen Sie zur Registerkarte IP-Routen und klicken Sie auf + IP-Route to IP-Routenrichtlinie, um den Datenverkehr zu steuern.

IP-Route

  • IP-Protokoll-Übereinstimmungskriterien:

    • Zielnetzwerk: Fügen Sie das Zielnetzwerk hinzu, das beim Weiterleiten der Pakete hilft.
    • IP-Gruppe verwenden: Sie können ein Zielnetzwerk hinzufügen oder das Kontrollkästchen IP-Gruppe verwenden aktivieren, um eine IP-Gruppe aus der Dropdown-Liste auszuwählen.
    • Routingdomäne: Wählen Sie eine Routingdomäne aus der Dropdownliste
  • Geltungsbereich: Sie können die IP-Route auf globaler Ebene oder auf site- und gruppenspezifischer Ebene festlegen.

  • Verkehrssteuerung:
    • Lieferservice: Wählen Sie einen Zustelldienst aus der Dropdownliste aus.
    • Kosten: Das Kostenfeld spiegelt die relative Priorität jeder Route wider. Senken Sie die Kosten, höher die Priorität.

    Wenn eine neue IP-Route hinzugefügt wird, müssen die Routenkosten im Bereich von 1 bis 20 liegen.

  • Zulassungskriterien:
    • Route exportieren: Wenn das Kontrollkästchen Route exportieren aktiviert ist und es sich bei der Route um eine lokale Route handelt, kann die Route standardmäßig exportiert werden. Wenn es sich bei der Route um eine INTRANET/INTERNET-basierte Route handelt, muss WAN-zu-WAN-Weiterleitung aktiviert werden, damit der Export funktioniert. Wenn das Kontrollkästchen Route exportieren deaktiviert ist, kann die lokale Route nicht in ein anderes SD-WAN exportiert werden und hat lokale Bedeutung.
  • Berechtigung basierend auf Pfad:
    • Pfad hinzufügen: Wählen Sie eine Site und WAN-Links. Wenn der hinzugefügte Pfad ausfällt, erhält die IP-Route keinen Datenverkehr.

Klicken Sie auf Konfiguration überprüfen, um einen Überwachungsfehler zu überprüfen.

Routenzusammenfassung

Routenzusammenfassung reduziert die Anzahl der Routen, die ein Router verwalten muss. Eine zusammenfassende Route ist eine einzelne Route, die zur Darstellung mehrerer Routen verwendet wird. Die Routenzusammenfassung spart Bandbreite, indem eine einzelne Routenankündigung gesendet wird, wodurch die Anzahl der Verbindungen zwischen Routern reduziert wird. Die Routenzusammenfassung spart Speicherplatz, da nur eine Routenadresse verwaltet wird. Die CPU-Ressourcen werden effizienter genutzt, indem rekursive Lookups vermieden werden. Sie haben die Möglichkeit, Zusammenfassungsrouten hinzuzufügen, ohne die Gateway-IP-Adresse anzugeben.

Routing-Domänen

DieRoutingdomäne trägt zur Verbesserung der Netzwerksicherheit/-funktionalität bei und arbeitet mit IP-Netzwerkroutern zusammen, die es ermöglichen, dass mehrere Routingtabelleninstanzen in einem virtuellen Router vorhanden sind und gleichzeitig arbeiten Mit dieser Funktionalität erhöht sich die Konnektivität, indem die Netzwerkpfade segmentiert werden können, ohne dass mehrere Geräte verwendet werden müssen, da der Datenverkehr automatisch getrennt wird. VRF erhöht auch die Netzwerksicherheit und kann die Notwendigkeit von Verschlüsselung und Authentifizierung überflüssig machen.

Die Routingdomäne konzentriert sich auf Layer-3-Verkehr über MPLS. Das Multiprotocol Label Switching oder MPLS-Cloud in der Cloud-Umgebung des Dienstanbieters verwendet das Multiprotokoll-Border Gateway-Protokoll oder das Multiprotokoll-BGP. Die Routingdomäne isoliert den Datenverkehr von der Quelle zum Ziel über diese MPLS-Cloud. Um überlappende Routen zu trennen und gemeinsame Dienste zu nutzen, enthält die Routingdomäne Route Distinguishers (RDs) und Route Targets (RTs).

Die folgende Topologie beschreibt die Funktionsweise der Routingdomänen:

Routing-Domäne

Sobald die Routingdomänen erstellt wurden, können Sie sie auf globaler Ebene (für Intranetdienste) oder auf Schnittstellenebene referenzieren.

Sie können auch die Standard-Routingdomäne auswählen, die für alle Standorte gilt.

Standard-Routingdomäne

Um Routen aus einer bestimmten Routingdomäne zuzuordnen, klicken Sie auf + Routingdomäne und wählen Sie eine der konfigurierten Routingdomänen aus der Dropdownliste Klicken Sie auf Speichern.

Routingdomänen für Netzwerksegmentierung

Klicken Sie auf Konfiguration überprüfen, um einen Überwachungsfehler zu überprüfen.

Weitere Informationen finden Sie unter Routingdomäne.

Domänendienst für den übergreifenden Routing

Der Citrix SD-WAN Orchestrator Service bietet einen statischen Inter-Routing-Domänendienst, der das Leaking von Routen zwischen Routingdomänen innerhalb eines Standorts oder zwischen verschiedenen Standorten ermöglicht. Dadurch entfällt die Notwendigkeit, dass ein Edgerouter Routeleaking verarbeitet. Der Inter-VRF-Routingdienst kann weiterhin verwendet werden, um Routen, Firewall-Richtlinien und NAT-Regeln einzurichten.

Weitere Informationen finden Sie unter Inter-Routing-Domänendienst.

So konfigurieren Sie den Inter-Routing-Domänendienst über den Citrix SD-WAN Orchestrator Service:

  1. Navigieren Sie auf Netzwerkebene zu Konfiguration > Routing >Routingdomänen** > **Inter-Routing-Domänendienst.

  2. Klicken Sie auf + Inter-Routing Domain und geben Sie Werte für die folgenden Parameter ein:

  • Name: Der Name des Inter-Routing Domain-Dienstes.
  • Routingdomäne 1: Die erste Routingdomäne des Paares.
  • Routingdomäne 2: Die zweite Routingdomäne des Paares.
  • Firewall-Zone: Die Firewall-Zone des Dienstes.
    • Standard: Die Firewallzone Inter_Routing_Domain_Zone ist zugewiesen.
    • Keine: Der Dienst verhält sich wie ein Conduit, der keine Zone hat und die ursprüngliche Zone des Pakets beibehält.
    • Möglicherweise sind alle im Netzwerk konfigurierten Zonen ausgewählt.

    Domänendienst für den übergreifenden Routing

Um Routen mit dem Inter-Routing-Domänendienst zu erstellen, erstellen Sie eine Route mit dem Diensttyp als Inter-Routing Domain Service und wählen Sie den Inter-Routing-Domänendienst aus. Weitere Informationen zum Konfigurieren von Routen finden Sie unter Routing-Richtlinien.

Routing-Richtlinien

Fügen Sie außerdem eine Route aus dem anderen Routingdomänenpaar hinzu, um eine Verbindung zwischen den beiden Routingdomänen herzustellen.

Sie können Firewall-Richtlinien auch konfigurieren, um den Datenverkehr zwischen Routingdomänen zu steuern. Wählen Sie in den Firewall-Richtlinien die Option Inter-Routing-Domänendienst für die Quell- und Zieldienste aus, und wählen Sie die erforderliche Firewall-Aktion aus. Informationen zum Konfigurieren von Firewall-Richtlinien finden Sie unter Firewall-Richtlinien.

Firewall-Richtlinien

Sie können auch den Intranetdiensttyp auswählen, um statische und dynamische NAT-Richtlinien zu konfigurieren. Weitere Informationen zum Konfigurieren von NAT-Richtlinien finden Sie unter Netzwerkadressübersetzung.

Routenprofile importieren

Sie können Filter konfigurieren, um die Art und Weise, wie das Routenlernen stattfindet, zu optimieren.

Importfilterregeln sind Regeln, die erfüllt sein müssen, bevor dynamische Routen in die SD-WAN-Routendatenbank importiert werden. Standardmäßig werden keine Routen importiert.

Routenprofile importieren

Fügen Sie ein Importfilterprofil mit dem Namen des Importprofils, der Profilverfügbarkeit und den Importfiltern sowie den folgenden Feldern hinzu:

  • Protokoll — Wählen Sie das Protokoll aus der Liste aus.
  • Routingdomäne — Um Routen aus einer bestimmten Routingdomäne zuzuordnen, wählen Sie eine der konfigurierten Routingdomänen aus der Liste aus.
  • Quellrouter — Geben Sie die IP-Adresse und Netzmaske des konfigurierten Netzwerkobjekts ein, das das Netzwerk der Route beschreibt.
  • Ziel-IP — Geben Sie die Ziel-IP-Adresse ein.
  • Präfix - Um Routen nach Präfix zuzuordnen, wählen Sie ein Übereinstimmungsprädikat aus der Liste aus und geben Sie ein Routenpräfix in das angrenzende Feld ein.
  • Nächster Hop - Geben Sie das nächste Hop-Ziel ein.
  • Routen-Tag — Füllen Sie das Routen-Tag
  • Kosten - Die Methode (Prädikat) und die SD-WAN-Routenkosten, die verwendet werden, um die Auswahl der exportierten Routen einzuschränken.

 Routenprofildetails importieren

Klicken Sie auf Konfiguration überprüfen, um einen Überwachungsfehler zu überprüfen.

Routenprofile exportieren

Definieren Sie die Regeln, die bei der Werbung für SD-WAN-Routen über dynamische Routing-Protokolle erfüllt werden müssen. Standardmäßig werden alle Routen für Peers angekündigt.

Routenprofil exportieren

Klicken Sie auf Konfiguration überprüfen, um einen Überwachungsfehler zu überprüfen.

Transit-Knoten

Virtueller Overlay-Transit-Knoten

Sie können die Kosten für das Routing senken, indem Sie eine Site konfigurieren, um Daten über einen virtuellen Overlay-Transitknoten zu leiten. Transit-Knoten werden verwendet, um Daten an nicht benachbarte Knoten weiterzuleiten. Wenn beispielsweise drei Knoten in der Reihe A-B-C verbunden sind, können Daten von A nach C über B geroutet werden. Sie können den Transitknoten und die Standorte angeben, die über den Transitknoten geroutet werden sollen, im Citrix SD-WAN Orchestrator Service. Die virtuellen Pfade werden in aufsteigender Reihenfolge der Kosten gewählt. Senken Sie die Kosten, höher die Priorität.

Standardmäßige globale virtuelle Overlay-Transit-Knoten

Die Steuerknoten (MCN/RCN) und die Geo-Kontrollknoten (GEO-MCN/RCN) sind die standardmäßigen globalen virtuellen Overlay-Transitknoten in einem Netzwerk. Durch das Aktivieren der Hub-and-Spoke-Kommunikation als Teil globaler Einstellungen können alle Standorte die Steuerungsknoten standardmäßig als Transit-Knoten für die Kommunikation von Standort zu Standort verwenden. Wenn Sie die Hub-and-Spoke-Kommunikation deaktivieren, stellen Sie sicher, dass es standortspezifische Regeln gibt, die es dem nicht zu steuernden Knoten ermöglichen, als Transitknoten zu fungieren.

Virtueller Overlay-Transit-Knoten

Fügen Sie den Kontrollknoten und die Geo-Control-Knoten hinzu, die Sie als virtuelle Overlay-Transitknoten verwenden möchten, und geben Sie die Kosten für den virtuellen Pfad an. Die Kontrollknoten und Geo-Control-Knoten haben 6 und 7 als die jeweiligen standardmäßigen virtuellen Pfadkosten. Sie können die Kosten für den virtuellen Pfad gemäß Ihren Netzwerkanforderungen ändern. Klicken Sie auf Standard wiederherstellen, um die Standardkosten für den virtuellen Pfad für die Standard-Transitknoten wiederherzustellen.

Hinweis

Sie können maximal 3 Kontrollknoten und 3 Geo-Control-Knoten als Transit-Knoten hinzufügen.

Standardmäßig ist die WAN-zu-WAN-Weiterleitung für alle Pfade aktiviert, die mit den ausgewählten Steuerungs- und Geo-Control-Knoten verknüpft sind. Die WAN-zu-WAN-Weiterleitun ermöglicht es einer Site, als Zwischensprung zwischen zwei benachbarten Standorten für Site-zu-Site-, Internet- oder Intranetdatenverkehr zu fungieren und als Vermittler für dynamische virtuelle Pfade zu fungieren.

Site-spezifische Einstellungen für virtuelle Overlay-Transit-Knoten

Site-spezifische Einstellungen für virtuelle Overlay-Transit-Knoten ermöglichen es Ihnen, die globalen Einstellungen für virtuelle Overlay-Transitknoten für alle Standorte in Ihrem Netzwerk zu überschreiben. Sie können auch einen nicht zu steuernden Knoten als primären Transitknoten für einen Standort auswählen. Wählen Sie einen Kontrollknoten oder Geo-Kontrollknoten als sekundären und tertiären Transitknoten. Wenn der primäre Transitknoten ausgefallen ist, verwenden die Standorte den sekundären Transitknoten. Wenn sowohl primäre als auch sekundäre Transitknoten ausgefallen sind, verwenden die Standorte den tertiären Transitknoten. Geben Sie die Kosten für die Transitknoten an, und wählen Sie die Standorte aus, auf die die standortspezifischen Einstellungen für den virtuellen Overlay-Transitknoten angewendet werden.

Standortspezifischer Transitknoten

Internet-Transit-Knoten

Sie können Standorte als Internet-Transitstandorte hinzufügen, um den Internetzugriff auf die Standorte zu ermöglichen. Sites, die eine direkte Internetverbindung benötigen, müssen mindestens eine Verbindung mit aktiviertem Internetdienst haben. Das bedeutet, dass mindestens ein Link auf einen Bandbreitenanteil ungleich Null gesetzt ist%.

Jedem Transitstandort können Routenkosten zugewiesen werden. Die Standorte mit verfügbarem Internetdienst greifen direkt auf das Internet zu, da die direkte Route der kostengünstigste Routingpfad wäre. Websites ohne Internetdienst können über die konfigurierten Transitstandorte eine Weiterleitung zum Internet durchführen. Wenn die Internet-Transitorte konfiguriert sind, werden Routen zum Internet über diese Transitsites automatisch an alle Standorte weitergeleitet. Internet-Transit-Websites sind Standorte mit aktiviertem Internetdienst.

Zum Beispiel, wenn San Francisco und New York als Internet-Transitstandorte konfiguriert sind. Routen zum Internet über San Francisco und New York werden automatisch an alle Standorte übertragen.

Der virtuelle Overlay-Transitknoten mit aktiviertem Internetdienst fungiert als primärer Internet-Transit-Knoten. Wenn der Internetdienst auf dem virtuellen Overlay-Transitknoten nicht aktiviert ist, bietet der sekundäre/backup internet Transit-Knoten eine Route zum Internet.

Internet-Transit-Knoten

Intranet-Transit-Knoten

Der Intranet-Transitknoten ermöglicht allen Nicht-Intranet-Sites den Zugriff auf die konfigurierten Intranetnetzwerke. Jedem Transitstandort können Routenkosten zugewiesen werden. Die verfügbaren Standorte mit Intranetdienst greifen direkt auf die Intranet-Netzwerke zu, da die direkte Route der kostengünstigste Routingpfad wäre. Sites ohne Intranetdienst können über die konfigurierten Transitsites an die Intranetnetzwerke weiterleiten. Wenn die Transitstandorte konfiguriert sind, werden Routen zu Intranetnetzwerken über diese Transitstandorte automatisch an alle Standorte übertragen.

Zum Beispiel, wenn 10.2.1.0/24 ein Intranetnetzwerk ist und Austin und Dallas die konfigurierten Transitsites sind. Routen zu dieser Netzwerkadresse über Austin und Dallas werden automatisch an alle Standorte übertragen. Der virtuelle Overlay-Transitknoten mit aktiviertem Intranetdienst fungiert als primärer Intranet-Transitknoten. Wenn der Intranetdienst auf dem virtuellen Overlay-Transitknoten nicht aktiviert ist, bietet der sekundäre/backup Intranet-Transitknoten eine Route zum Intranet.

Intranet-Transit-Knoten

Routing