PBR-Modus (virtueller Inline)
Im virtuellen Inlinemodus verwendet der Router richtlinienbasierte Routing-Regeln, um eingehenden und ausgehenden WAN-Verkehr an die Appliance umzuleiten, und die Appliance leitet die verarbeiteten Pakete zurück an den Router weiter.
Im folgenden Artikel wird die schrittweise Vorgehensweise zum Konfigurieren von zwei SD-WAN (SD-WAN SE) -Appliances beschrieben:
-
Rechenzentrums-Appliance im PBR-Modus (virtueller Inline-Modus)
-
Zweig Appliance im Inline-Modus
-
PBR muss entweder am Core-Switch oder weiter stromaufwärts am Router konfiguriert werden. Der Router muss den Zustand der SD-WAN-Appliance überwachen, damit die Appliance bei einem Ausfall umgangen werden kann.
-
Der virtuelle Inline-Modus versetzt die SD-WAN-Appliance physisch außerhalb des Pfades (Einarm-Bereitstellung), d. h. nur eine einzige Ethernet-Schnittstelle, die verwendet werden soll (Beispiel: Schnittstelle 1/1), wobei der Bypass-Modus auf Fail-to-Block (FTB) eingestellt ist.
Die Citrix SD-WAN Appliance muss so konfiguriert werden, dass der Datenverkehr an das richtige Gateway weitergeleitet wird. Der für den virtuellen Pfad vorgesehene Datenverkehr wird auf die SD-WAN-Appliance gerichtet und dann gekapselt und an die entsprechende WAN-Verbindung geleitet.
Sammeln von Informationen für die Konfiguration
-
Genaues Netzwerkschema (Beispieldiagramm siehe unten) Ihrer lokalen und Remotestandorte, einschließlich:
- Lokale und Remote-WAN-Verbindungen und ihre Bandbreiten in beide Richtungen, ihre Subnetze, virtuellen IP-Adressen und Gateways von jeder Verbindung, Routen und VLANs.
-
Bereitstellungstabelle (Beispieldiagramm unten)
Rechenzentrumstopologie — PBR-Modus (virtueller Inline-Modus)
Zweigtopologie — Inline-Modus
| Sitename | Rechenzentrumsseite | Niederlassungsstandort |
|---|---|---|
| Appliance-Name | SJC-DC | SJC-BR |
| Management-IP | 172.30.2.10/24 | 172.30.2.20/24 |
| Sicherheits-Schlüssel | Falls vorhanden | Falls vorhanden |
| Modell/Edition | 4000 | 2000 |
| Modus | PBR-Modus (virtueller Inlinemodus) | Inline |
| Topologie | 2 x WAN-Pfad | 2 x WAN-Pfad |
| VIP-Adresse | 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, Public IP w.x.y.z | 10.17.0.9/24 - MPLS, 10.18.0.9/24 — Internet, öffentliche IP a.b.c.d |
| Gateway-MPLS | 10.20.0.1 | 10.17.0.1 |
| Gateway-Internet | 10.19.0.1 | 10.18.0.1 |
| Verbindungsgeschwindigkeit | MPLS — 100 Mbit/s, Internet — 20 Mbit/s | MPLS — 10 Mbit/s, Internet — 2 Mbit/s |
| Route | Sie müssen eine Route auf der SD-WAN SE-Appliance hinzufügen, um die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen zu erreichen: Gi0/1 - 192.168.1.1, Konfiguration > Virtuelles WAN > Konfigurationseditor > SJC_DC > Routen. In diesem Beispiel wurde die Schnittstelle 192.168.1.1 verwendet፦ n/w Adresse: 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Servicetyp: lokal, - Gateway-IP-Adresse: 192.168.1.1 | Es wurden keine zusätzlichen Strecken hinzugefügt |
| VLANs | Keine (Standard 0) | Keine (Standard 0) |
Schritte zum Konfigurieren einer Site im virtuellen Inline-Modus:
-
Aktivieren Sie die MCN-Funktionalität.
-
Erstellen einer neuen Site.
-
Erstellen Sie eine Schnittstellengruppe und virtuelle Schnittstellen.
-
Weisen Sie virtuellen Schnittstellen eine virtuelle IP-Adresse zu.
-
Erstellen Sie WAN-Links und weisen Sie die IP-Adresse zu.
-
Routen hinzufügen.
-
Fehlerbehebung.
-
Richtlinienbasierte Routing-Konfiguration auf dem PBR-Router.
Konfigurationsvoraussetzungen
-
Aktivieren Sie die SD-WAN-Appliance als Master Control Node.
-
Die Konfiguration erfolgt nur auf dem Master Control Node (MCN) der SD-WAN-Appliance.
So aktivieren Sie eine Appliance als Master-Control-Knoten:
-
Navigieren Sie in der SD-WAN-Webverwaltungsoberfläche zu Konfiguration > Appliance-Einstellungen > Administratorschnittstelle > Registerkarte Verschiedenes > Switch-Konsole.
Hinweis
Wenn Zur Clientkonsole wechseln angezeigt wird, befindet sich die Appliance bereits im MCN-Modus. Es sollte nur einen aktiven MCN in einem SD-WAN-Netzwerk geben.
-
Aktivieren Sie den virtuellen WAN-Dienst. Navigieren Sie zu Konfiguration > Virtuelles WAN > Flows aktivieren/deaktivieren/löschen.
-
Starten Sie die Konfiguration, indem Sie zu Konfiguration > Virtuelles WAN > Konfigurations-Editor navigieren. Klicken Sie auf Neu, um mit der Konfiguration zu beginnen.
Dieser Vorgang erstellt eine Initialkonfigurationsdatei Untitled_1, die später mit der Schaltfläche Speichern unter umbenannt werden kann.
Im Folgenden werden die Konfigurationsschritte auf hoher Ebene beschrieben, um den Datacenter-Standort im PBR-Bereitstellungsmodus zu konfigurieren:
-
Erstellen Sie einen DC-Standort.
-
Konfiguration von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen.
-
Konfigurieren Sie die virtuelle IP-Adresse für jede virtuelle Schnittstelle.
-
Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.
-
Füllen Sie Routen aus, wenn mehr Subnetze in der LAN-Infrastruktur vorhanden sind.
Konfiguration des Rechenzentrumsstandorts PBR-Modus
Erstellen eines DC-Standorts
-
Navigieren Sie zu Konfigurationseditor > Sites und klicken Sie auf + Site.
-
Füllen Sie die Felder wie unten gezeigt.
-
Behalten Sie die Standardeinstellungen bei, wenn Sie nicht dazu aufgefordert werden.
Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen
-
Navigieren Sie im Konfigurationseditor zu Sites > [Site-Name] > Schnittstellengruppen. Klicken Sie auf +, um Schnittstellen hinzuzufügen, die verwendet werden sollen. Im PBR-Modus wird die Konfiguration nur auf einer einzigen Ethernet-Schnittstelle verwendet, dh eine Schnittstelle, die den Upstream-Router verbindet, was Auswirkungen auf die PBR-Richtlinie bietet (Beispiel - Schnittstelle 1/1). Konfigurieren Sie MPLS und virtuelle Internetschnittstellen mit VLAN ID 10 bzw. 20.
-
Der Umgehungsmodus ist auf Fail-to-Blockierung eingestellt, da nur eine Ethernet/physische Schnittstelle pro virtueller Schnittstelle verwendet wird. Es gibt auch keine Brückenpaare.
-
Erweitern Sie in diesem Beispiel die Option Virtuelle Schnittstellen +, und konfigurieren Sie die Virtuellen Schnittstellen.
Virtuelle IP-Adresse (VIP) für jede virtuelle Schnittstelle erstellen
Erstellen Sie für jeden WAN-Link eine virtuelle IP-Adresse im entsprechenden Subnetz. VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.
Internet-WAN-Link erstellen
So füllen Sie WAN-Verbindungen basierend auf der physischen Rate und nicht auf Burst-Geschwindigkeiten mithilfe des Internets und der MPLS-Verbindung:
-
Navigieren Sie zu WAN-Links, klicken Sie auf die Schaltfläche +, um einen WAN-Link für den Internetlink hinzuzufügen.
-
Geben Sie Informationen zum Internetlink ein, einschließlich der angegebenen öffentlichen IP-Adresse, wie unten dargestellt. Beachten Sie, dass Auto Detect Public IP nicht für SD-WAN-Appliance ausgewählt werden kann, die als MCN konfiguriert ist.
-
Navigieren Sie zu Access Interfaces, klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den Internetlink hinzuzufügen.
-
Füllen Sie das Access Interface für IP- und Gateway Adressen wie unten dargestellt aus. Der Proxy-ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen geprüft.
MPLS-Verknüpfung erstellen
-
Navigieren Sie zu WAN-Links, klicken Sie auf die Schaltfläche +, um einen WAN-Link für den MPLS-Link hinzuzufügen.
-
Füllen Sie MPLS-Link-Details wie unten gezeigt.
-
Navigieren Sie zu Access Interfaces, klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den MPLS-Link hinzuzufügen.
-
Füllen Sie Access Interface für MPLS Virtual IP- und Gateway Adressen wie unten gezeigt.
Hinweis
Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.
Routen auffüllen
Fügen Sie am Rechenzentrumsstandort eine Route auf der SD-WAN SEE-Appliance hinzu, um die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen zu erreichen:
0/1/0.1 — 192.168.1.1 auf VLAN 10
0/1/0.2 — 192.168.2.1 auf VLAN 20
Konfiguration der Inline-Bereitstellung von Zweigstandort
Im Folgenden sind die Konfigurationsschritte auf hoher Ebene zum Konfigurieren des Zweigstandorts für die Inline-Bereitstellung aufgeführt
-
Erstellen Sie eine Zweigsite.
-
Füllen Sie Schnittstellengruppen basierend auf angeschlossenen Ethernet-Schnittstellen aus.
-
Erstellen Sie eine virtuelle IP-Adresse für jede virtuelle Schnittstelle.
-
Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.
-
Virtuelle Schnittstelle INTERNET konfiguriert auf Bridge-Paar 1/3 und 1/4
-
Virtuelle Schnittstelle “MPLS” konfiguriert con Bridge Pair 1/1 und 1/2
-
-
Füllen Sie Routen aus, wenn mehr Subnetze in der LAN-Infrastruktur vorhanden sind.
Erstellen eines Zweigstandorts
Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen
-
Navigieren Sie im Konfigurationseditorzu Sites > [Client-Site-Name] > Schnittstellengruppen. Klicken Sie auf ”+”, um Schnittstellen hinzuzufügen, die verwendet werden sollen. Für die Inline-Moduskonfiguration werden vier Ethernet-Schnittstellen verwendet; Schnittstellenpaar 1/3, 1/4 und Schnittstellenpaar 1/1 und 1/2.
-
Der Bypass-Modus ist auf Fail-to-Wire-Modus eingestellt, da zwei EtherNet/Physical Schnittstellen pro virtueller Schnittstelle verwendet werden. Es gibt zwei Brückenpaare.
-
Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.
-
Virtuelle Schnittstelle INTERNET konfiguriert auf Bridge-Paar 1/3 und 1/4
-
Virtuelle Schnittstelle “MPLS” konfiguriert con Bridge Pair 1/1 und 1/2.
-
-
Lesen Sie das Beispiel Remote Site Inline Mode Topologie oben und füllen Sie die Schnittstellengruppen Felder wie unten dargestellt.
Virtuelle IP-Adresse (VIP) für jede virtuelle Schnittstelle erstellen
Erstellen Sie für jeden WAN-Link eine virtuelle IP-Adresse im entsprechenden Subnetz. VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.
Internet-WAN-Link erstellen
So füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht auf Burst-Geschwindigkeiten über Internetlinks aus
-
Navigieren Sie zu WAN-Links, klicken Sie auf die Schaltfläche +, um einen WAN-Link für den Internetlink hinzuzufügen.
-
Füllen Sie Details zum Internetlink, einschließlich der öffentlichen AutoDetect IP-Adresse, wie unten dargestellt.
-
Navigieren Sie zu Access Interfaces, klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den Internetlink hinzuzufügen.
-
Füllen Sie das Access Interface für virtuelle IP-Adresse und Gateway aus wie unten gezeigt.
MPLS-Verknüpfung erstellen
-
Navigieren Sie zu WAN-Links, klicken Sie auf die Schaltfläche +, um einen WAN-Link für den MPLS-Link hinzuzufügen.
-
Füllen Sie MPLS-Link-Details wie unten gezeigt.
-
Navigieren Sie zu Access Interfaces, klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den MPLS-Link hinzuzufügen.
-
Füllen Sie das Access Interface für virtuelle IP-Adresse und Gateway aus wie unten gezeigt.
Routen auffüllen
Routen werden automatisch basierend auf der obigen Konfiguration erstellt. Falls es mehr Subnetze gibt, die für diese Remote-Zweigstelle spezifisch sind, müssen bestimmte Routen hinzugefügt werden, um zu identifizieren, auf welches Gateway der Datenverkehr geleitet werden soll, um diese Backend-Subnetze zu erreichen.
Beheben von Überwachungsfehlern
Nach Abschluss der Konfiguration für DC- und Zweigstandorte werden Sie benachrichtigt, um Überwachungsfehler auf DC- und BR-Standorten zu beheben. In diesem Beispiel werden wir den Audit-Fehler im Zusammenhang mit dem privaten Intranet-WAN-Link [SJC_DC-MPLS] beheben.
Hinweis
Standardmäßig generiert das System Pfade für WAN-Links, die als Zugriffstyp Public Internet definiert sind (hervorgehoben).
Sie müssen die Autopfad-Gruppenfunktion verwenden oder Pfade manuell für WAN-Links mit dem Zugriffstyp Privates Internet aktivieren. Pfade für MPLS-Links können durch Klicken auf den Operator Hinzufügen (im grünen Rechteck) aktiviert werden.
Erstellen Sie eine Autopath-Gruppe:
-
Navigieren Sie zur Registerkarte Global. Klicken Sie auf das [+]-Zeichen neben Autopath-Gruppen.
-
Konfigurieren Sie die erstellte Autopath-Gruppe gemäß Anforderung, und klicken Sie auf Übernehmen.
-
Benennen Sie die Autopath-Gruppe um [Optional].
-
Ordnen Sie die Autopath-Gruppe den virtuellen Pfaden von Intranet-WAN-Links an den jeweiligen Standorten zu.
Keine zwei Autopath-Gruppen können als Standard markiert werden. Wenn markiert würde zu einem Überwachungsfehler führen.
Nach dem Zuordnen der Autopath-Gruppe zu den virtuellen Pfaden des Intranet-WAN sollten die Pfade automatisch gefüllt (hervorgehoben) werden.
Manuelles Hinzufügen von WAN-Links mit Zugriffstyp Privates Intranet
-
Wählen Sie die virtuellen Pfade unter WAN-Links für die jeweiligen Sites aus, und keine Autopath-Gruppe würde zugeordnet werden.
-
Klicken Sie auf das [+] -Zeichen neben Pfade, um virtuelle Pfade manuell hinzuzufügen.
-
Wählen Sie die WAN-Links für virtuelle Pfade für jede Site aus.
Nachdem die virtuellen Pfade für WAN-Links mit dem Zugriffstyp Privates Intranet manuell hinzugefügt wurden, wird es unter Pfade (hervorgehoben) aufgefüllt.
Nachdem Sie alle oben genannten Schritte ausgeführt haben, fahren Sie mit der Vorbereitung der SD-WAN-Appliance-Pakete im MCN-Thema fort.
Richtlinienbasierte Routing-Konfiguration auf dem PBR-Router:
Schnittstelle mit dem LAN verbunden
-
Router# configure terminal
-
Router(config)# interface FastEthernet0/1
-
Router(config-if)# description ToLAN
-
Router(config-if)# ip address 10.10.11.1 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
Schnittstelle verbindet sich mit dem MPLS WAN-Link
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/0
-
Router(config-if)# description To-MPLS-WAN
-
Router(config-if)# ip address 10.20.0.2 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
Schnittstelle mit dem INET-WAN-Link verbunden
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/2/0
-
Router(config-if)# description To-INET-WAN
-
Router(config-if)# ip address 10.19.0.2 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
Schnittstelle GigabitEthernet0/1 auf dem PBR-Router ist mit dem SD-WAN-Port verbunden 1/1, es ist im 1-Arm-Modus und dieser Port wird Verkehr für MPLS und INET-Verbindungen dienen.
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/1
-
Router(config-if)# description To-SDWAN-link
-
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Statische Routenkonfiguration (Route zu den Client/Remote-Subnetzen):
-
MPLS 10.17.0.0/24 via next hop WAN router MPLS 10.20.0.1
-
INET 10.18.0.0/24 über den nächsten Hop WAN-Router/FW INET 10.19.0.1
-
Router# configure terminal
-
Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1
-
Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1
Routenkartendefinition:
Konfiguration der Zugriffssteuerungsliste:
Konfigurieren Sie ACLs, um den Datenverkehr zu definieren, der zur und von der SD-WAN-Appliance gesendet werden soll.
-
Vom LAN zur SD-WAN-Appliance
Gemäß der Topologie sind die LAN-Subnetze 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw. Um Datenverkehr vom LAN an das SD-WAN zu senden, konfigurieren Sie eine unidirektionale ACL (von LAN zu einem beliebigen).
- Router# configure terminal
- Router(config)# ip access-list extended server_side
- Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
- Von der SD-WAN-Appliance zu physischen WAN-Verbindungen
- Router# configure terminal
- Router(config)# ip access-list extended MPLS_Link
- Router(config)# permit ip 192.168.1.10 0.0.0.0 any
- Router# configure terminal
- Router(config)# ip access-list extended INET_Link
- Router(config)# permit ip 192.168.1.11 0.0.0.0 any
<!--NeedCopy-->
Routenzuordnungskonfiguration:
Definieren Sie die Routenmap, die zu den ACLs passt.
Routenplan für den LAN-Verkehr:
Der nächste Hop wird einer der virtuellen SD-WAN IPs (VIP) sein.
MPLS VIP 192.168.1.10
INET VIP 192.168.1.11
In diesem Fall wählten wir MPLS VIP 192.168.1.10 als nächster Hop und fügten auch eine Zustandsprüfung hinzu, um sicherzustellen, dass der Datenverkehr nicht weitergeleitet wird, wenn das SD-WAN ausfällt.
- Router# configure terminal
- Router(config)# route-map server_side_VW_PBR permit 10
- Router(config-route-map)# match ip address server_side
- Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123
<!--NeedCopy-->
Der obige Befehl konfiguriert die Routenzuordnung, um die Erreichbarkeit des verfolgten Objekts zu überprüfen. Der Tracking-Prozess bietet die Möglichkeit, einzelne Objekte wie ICMP-Ping-Erreichbarkeit, Routing-Adjacenz, eine auf einem Remote-Gerät ausgeführte Anwendung, eine Route in der Routing Information Base (RIB) zu verfolgen oder den Status eines Schnittstellenleitungsprotokolls zu verfolgen.
Routenplan für WAN-Verkehr:
Nächster Hop wird MPLS Router und Firewall für die jeweiligen WAN-Links sein.
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 20
- Router(config-route-map)# match ip address MPLS_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 30
- Router(config-route-map)# match ip address INET_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125
<!--NeedCopy-->
Wenden Sie die Routenkarte auf die Schnittstelle an:
- Router# configure terminal
- Router(config)# interface FastEthernet0/1
- Router(config-if)# ip policy route-map server_side_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
- Router# configure terminal
- Router(config)# interface GigabitEthernet0/1
- Router(config-if)# ip policy route-map WAN_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
<!--NeedCopy-->
MPLS-Routerkonfiguration (Gateway 10.20.0.1):
-
Fügen Sie eine Route auf dem MPLS-Router hinzu, um MPLS VWAN VIP im Rechenzentrum zu erreichen.
-
MPLS VIP subnet 192.168.1.0/24 via next hop PBR router MPLS link 10.20.0.2
-
Router# configure terminal
-
Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.0.2
Firewall-Konfiguration (Gateway 10.19.0.1):
Fügen Sie eine Route auf der Firewall hinzu, um INET VWAN VIP im Rechenzentrum zu erreichen.
INET VIP subnet 192.168.1.0/24 via next hop PBR router INET link 10.19.0.2
- Router# configure terminal
- Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->