Konfigurieren von Verknüpfungsdefinitionen

Link-Definitionen sind in einer geordneten Liste angeordnet, ein Eintrag pro Link, der von oben nach unten für jedes Paket getestet wird, das die Appliance betreten oder verlässt. Die erste passende Definition bestimmt, zu welcher Verknüpfung das Paket gehört. Innerhalb jeder Linkdefinition befindet sich eine geordnete Liste von Regeln, die ebenfalls von oben nach unten getestet wird. Jedes Paket wird mit diesen Regeln verglichen, und wenn es mit einer von ihnen übereinstimmt, gilt das Paket als über diesen Link unterwegs.

Innerhalb einer einzigen Regel werden die Felder mit einem logischen UND verbunden, so dass alle angegebenen Werte übereinstimmen müssen. Alle Felder sind standardmäßig auf Beliebig, ein Platzhaltereintrag, der immer übereinstimmt. Wenn ein Feld aus einer Liste besteht, z. B. einer Liste von IP-Subnetzen, werden die Listeneinträge mit einem logischen ODER verbunden. Das heißt, wenn ein Element übereinstimmt, wird die Liste als Ganzes als Übereinstimmung betrachtet.

Links können auf dem Ethernet-Adapter basieren, der dem Datenverkehr zugeordnet ist, den Quell- und Ziel-IP-Adressen, dem VLAN-Tag, der WCCP-Dienstgruppe (nur für WCCP-GRE) sowie der Quell- und Ziel-Ethernet-MAC-Adresse. Bei einer einfachen Inline-Bereitstellung werden möglicherweise nur die LAN-seitigen und WAN-seitigen beschleunigten Bridge-Ports (APA.1 und APA.2) identifiziert, während eine komplexe Rechenzentrumsbereitstellung die meisten der bereitgestellten Optionen verwenden muss, um Datenverkehr zu disambiguieren.

Die Definition eines Links in Bezug auf seine IP-Adressen ist möglich, außer wenn redundante Links verwendet werden. Da ein gegebenes Paket entweder einen Link in einer Active-Standby oder eine Active-Active-Active-Dual-Link-Bereitstellung übergehen kann, muss eine andere Methode verwendet werden, um zu bestimmen, welche Verbindung das Paket verwendet. Wenn zwei Brücken verwendet werden, kann der Datenverkehr für eine Verbindung über APA und die andere über aPb gehen, und die Links können in Bezug auf Adapter definiert werden. Wenn die beiden Links von verschiedenen Routern bedient werden, können die MAC-Adressen der Router verwendet werden, um den Datenverkehr auseinander zu bringen. Wenn alles andere fehlschlägt, kann WCCP-GRE verwendet werden, und der Router kann für jede WAN-Verbindung eine andere Servicegruppe verwenden, so dass die Citrix SD-WAN WANOP-Einheit den Verbindungsdatenverkehr nach Dienstgruppen voneinander unterscheiden kann.

Citrix empfiehlt portbasierte Verknüpfungsdefinitionen für einfache Inline-Bereitstellungen und IP-basierte Verknüpfungsdefinitionen für alle anderen Bereitstellungen.

So konfigurieren Sie Verknüpfungsdefinitionen:

  1. Navigieren Sie zu Konfiguration > Optimierungsregeln > Links, und klicken Sie auf Hinzufügen.

    lokalisierte Grafik

  2. Geben Sie Werte für die folgenden Parameter ein:

    • Name: Ein beschreibender Name des Links, der auch beschreiben kann, ob es sich um einen LAN-seitigen oder einen WAN-seitigen Link handelt.

    • Link-Typ: Der Link-Typ, entweder LAN oder WAN.

    • Bandwidth In: Das eingehende Bandbreitenlimit.

    • Bandbreitenausgang: Die ausgehende Bandbreitengrenze.

  3. Klicken Sie im Abschnitt Filterregeln auf Hinzufügen, und geben Sie Werte für die folgenden Parameter ein:

    • Adapter: Dies gibt eine Liste von Adaptern (Ethernet-Ports) an. Wenn Verbindungen über Ethernet-Adapter identifiziert werden können, vereinfacht dies die Konfiguration.

    • Quell-IP-Adresse: Die Quell-IP-Regeln werden für Pakete berücksichtigt, die in die Einheit eingehen (Pakete, die die Einheit verlassen, werden ignoriert). Auf diesen Paketen werden die Regeln im Feld Src IP mit dem Feld Quelladresse im IP-Header verglichen. Die Regel gibt eine Liste von IP-Adressen oder Subnetzen an. Negative Übereinstimmungen wie “Exclude 10.0.0.1” werden ebenfalls unterstützt.

    • Ziel-IP-Adresse: Die Ziel-IP-Regeln werden für Pakete berücksichtigt, die die Einheit verlassen (Pakete, die die Einheit eingehen, werden ignoriert). Auf diesen Paketen werden die Regeln im Feld Dst IP mit dem Feld Zieladresse im IP-Header verglichen. Die Regel gibt eine Liste von IP-Adressen oder Subnetzen an. Negative Übereinstimmungen wie “Exclude 10.0.0.1” werden ebenfalls unterstützt.

    • VLAN: Die VLAN-Regeln werden auf die VLAN-Header von Paketen angewendet, die in die Einheit eingehen oder sie verlassen.

    • WCCP-Dienstgruppe: Die WCCP-Dienstgruppenregeln werden auf GRE-gekapselte WCCP-Pakete angewendet, die das Gerät ein- oder verlassen. (Dies funktioniert nicht mit L2 WCCP.)

    • Quell-MAC-Adresse: Die Quell-MAC-Adresse wird als Filterkriterium verwendet.

    • Ziel-MAC-Adresse: Die Ziel-MAC-Adresse, die als Dilter-Kriterien verwendet wird.

  4. Klicken Sie auf Erstellen.

    Der Traffic-Klassifikator verwendet die Felder Src IP und Dst IP auf spezialisierte Weise (das gleiche gilt für Src MAC und Dst MAC):

    • Das Feld Src wird nur bei Paketen untersucht, die in die Appliance eingegeben werden.

    • Die Dst wird nur bei Paketen untersucht, die die Appliance verlassen.

Die meisten Citrix SD-WAN WANOP-Appliances verwenden eine einfache Inline-Bereitstellung, bei der jede beschleunigte Bridge nur eine WAN-Verbindung bedient. Dies ist der einfachste Modus zu konfigurieren.

lokalisierte Grafik

In der obigen Abbildung wird der gesamte Verkehr, der durch die beschleunigte Brücke führt, als WAN-Datenverkehr angenommen. Der Link ist ein ADSL-Link mit unterschiedlichen Sende- und Empfangsgeschwindigkeiten (6,0 Mbit/s nach unten, 1,0 Mbit/s höher). Das WAN ist mit dem beschleunigten Bridge-Port APA.1 verbunden, und das LAN ist mit dem beschleunigten Bridge-Port APA.2 verbunden.

Die Aufgaben zum Definieren des WAN-seitigen Links (APA.1) sind:

  1. Geben Sie dem WAN einen beschreibenden Namen, z. B. WAN an HQ (APA.1).

  2. Setzen Sie den Typ auf WAN.

  3. Legen Sie die Grenzwerte für eingehende und ausgehende Bandbreite auf 95% der nominalen Verbindungsgeschwindigkeit fest.

  4. Stellen Sie sicher, dass eine Regel definiert wurde, die den WAN-Ethernet-Adapter angibt, der in diesem Beispiel APA ist.

  5. Klicken Sie auf Erstellen.

Die Aufgaben für die LAN-seitige Verbindung (APA.2) sind ähnlich:

  1. Geben Sie ihm einen beschreibenden Namen, z. B. Lokales LAN (APA.2).

  2. Setzen Sie den Typ auf LAN.

  3. Setzen Sie die Grenzwerte für eingehende und ausgehende Bandbreite auf 95% der nominalen Ethernet-Geschwindigkeit (95 Mbit/s oder 950 Mbit/s).

  4. Stellen Sie sicher, dass eine Regel vorhanden ist, die den LAN-Ethernet-Adapter angibt, die in diesem Beispiel APA.2 lautet.

  5. Klicken Sie auf Erstellen.

Inline-Bereitstellung mit zwei Brücken

lokalisierte Grafik

Die Konfiguration ähnelt der einfachen Inline-Link-Konfiguration, aber die Site verfügt über einen zweiten Link, eine T1-Verbindung zum Unternehmens-WAN, zusätzlich zum ADSL-Internetlink. Die Citrix SD-WAN WANOP-Appliance verfügt über zwei beschleunigte Bridges, eine für jede WAN-Verbindung.

Die Konfiguration ist fast so einfach wie das Single-Bridge-Gehäuse, mit den folgenden zusätzlichen Schritten:

  1. Bearbeiten Sie einen zweiten WAN-Link auf aPb, der in diesem Fall apB.1 ist. Setzen Sie den Typ auf WAN. Legen Sie die Verbindungsbandbreite auf 95% der 1,5 Mbit/s T1-Geschwindigkeit fest, und geben Sie der Verbindung einen neuen Namen an, z. B. WAN an HQ.

  2. Fügen Sie der Definition LAN eine Regel hinzu, die APB.2 angibt, und löschen Sie die Standardverknüpfungsdefinition für APB.2. (Alternativ können Sie die Standardverknüpfungsdefinition für APB.2 bearbeiten, um sie als LAN-Verbindung anzugeben, wie es für APA.2 getan wurde.)

Verwenden Sie für andere als einfache Inline-Bereitstellungen (die nur ein WAN pro beschleunigter Bridge bedienen) IP-Subnetze anstelle von Bridge-Ports, um LAN-Datenverkehr vom WAN-Datenverkehr zu unterscheiden. Dieser Ansatz ist für Einarm-Bereitstellungen unerlässlich, die nur einen einzigen Bridge-Port verwenden. IP-Subnetze sind manchmal auch für Inline-Bereitstellungen nützlich, insbesondere wenn die Appliance mehr als ein WAN bedient. Für einfache Inline-Bereitstellungen sind jedoch portbasierte Links einfacher zu definieren.

Der Traffic Classifier wendet eine spezielle Konvention an, wenn die Src IP und Dst IP untersucht wird:

  • Das Feld Src IP wird nur in Paketen untersucht, die in die Appliance eingehen.

  • Das Feld Dst IP wird nur in Paketen untersucht, die die Appliance verlassen.

Diese Konvention kann manchmal verwirrend sein, aber sie erlaubt es, die Richtung der Paketreise implizit als Teil der Definition zu betrachten.

IP-Adresse in Verknüpfungsdefinitionen verwenden

lokalisierte Grafik

Um eine einfache Inline-LAN-Definition mithilfe von IP-basierten Regeln zu konfigurieren, können Sie die LAN- und WAN-Verbindungen definieren, ohne die Ethernet-Ports anzugeben. Verwenden Sie stattdessen das LAN-Subnetz:

  • Erstellen Sie eine Regel für die LAN-Link-Definition, und geben Sie das LAN-Subnetz im Feld Src IP an.

  • Erstellen Sie eine Regel für die WAN-Verbindungsdefinition, und geben Sie das LAN-Subnetz (nicht das WAN-Subnetz) im Feld Dst IP an.

WCCP und Virtual Inline-Modi

lokalisierte Grafik

Konfigurations-WCCP oder virtuelle Inline-Bereitstellung unter Verwendung von IP-basierten Regeln entspricht der Verwendung der IP-Adresse in der Linkdefinition, da LAN und WAN IP-Subnetze identisch sind.

Wenn WCCP-GRE verwendet wird, werden die GRE-Header ignoriert und die IP-Header innerhalb der gekapselten Datenpakete verwendet. Daher funktioniert dieselbe Link-Definition für WCCP-L2, WCCP-GRE, Inline und virtuelle Inline-Modi.

(WCCP und virtuelle Inline-Modi erfordern die Konfiguration Ihres Routers. WCCP erfordert auch eine Konfiguration auf der Seite Konfiguration: Erweiterte Bereitstellungen.)

Konfigurieren von Verknüpfungsdefinitionen