Citrix SD-WAN

Anwendungsroute

In einem typischen Unternehmensnetzwerk greifen die Zweigstellen auf Anwendungen im lokalen Rechenzentrum, im Cloud-Rechenzentrum oder in den SaaS-Anwendungen zu. Die Anwendungs-Routing-Funktion ermöglicht es Ihnen, die Anwendungen einfach und kosteneffizient durch Ihr Netzwerk zu steuern. Wenn beispielsweise ein Benutzer am Zweigstandort versucht, auf eine SaaS-Anwendung zuzugreifen, kann der Datenverkehr so weitergeleitet werden, dass die Zweigstellen direkt auf die SaaS-Anwendungen im Internet zugreifen können, ohne vorher das Rechenzentrum durchlaufen zu müssen.

Mit Citrix SD-WAN können Sie die Anwendungsrouten für die folgenden Dienste definieren:

  • Virtueller Pfad: Dieser Dienst verwaltet den Datenverkehr über die virtuellen Pfade hinweg. Ein virtueller Pfad ist eine logische Verbindung zwischen zwei WAN-Verbindungen. Es umfasst eine Sammlung von WAN-Pfaden, die kombiniert werden, um eine hohe Service-Level-Kommunikation zwischen zwei SD-WAN-Knoten zu ermöglichen. Die SD-WAN-Appliance misst das Netzwerk pro Pfad und passt sich an veränderte Anwendungsanforderungen und WAN-Bedingungen an. Ein virtueller Pfad kann statisch (immer vorhanden) oder dynamisch sein (nur vorhanden, wenn der Datenverkehr zwischen zwei SD-WAN-Appliances einen konfigurierten Schwellenwert erreicht).
  • Internet: Dieser Dienst verwaltet den Datenverkehr zwischen einer Enterprise-Site und Sites im öffentlichen Internet. Der Internetverkehr ist nicht gekapselt. Wenn eine Überlastung auftritt, verwaltet das SD-WAN aktiv die Bandbreite, indem es den Internetverkehr relativ zum virtuellen Pfad und dem Intranetdatenverkehr einschränkt.
  • Intranet: Dieser Dienst verwaltet Enterprise-Intranet-Datenverkehr, der nicht für die Übertragung über einen virtuellen Pfad definiert wurde. Der Intranetdatenverkehr ist nicht gekapselt. Das SD-WAN verwaltet die Bandbreite, indem dieser Datenverkehr im Verhältnis zu anderen Diensttypen während der Staus begrenzt wird. Unter bestimmten Bedingungen und wenn Intranet-Fallback auf dem virtuellen Pfad konfiguriert ist, kann Datenverkehr, der normalerweise durch den virtuellen Pfad fließt, stattdessen als Intranet-Datenverkehr behandelt werden.
  • Lokal: Dieser Dienst verwaltet den lokalen Datenverkehr zur Site, der keinem anderen Dienst entspricht. SD-WAN ignoriert Datenverkehr, der für eine lokale Route bestimmt ist.
  • GRE-Tunnel: Dieser Dienst verwaltet den IP-Datenverkehr, der für einen GRE-Tunnel bestimmt ist, und entspricht dem LAN-GRE-Tunnel, der am Standort konfiguriert ist. Mit der Funktion GRE Tunnel können Sie SD-WAN-Appliances so konfigurieren, dass GRE Tunnel im LAN beendet werden. Bei einer Route mit Servicetyp GRE Tunnel muss sich das Gateway in einem der Tunnelsubnetze des lokalen GRE Tunnels befinden.
  • LAN-IPsec-Tunnel: Dieser Dienst verwaltet den IP-Datenverkehr, der für einen LAN-IPsec-Tunnel bestimmt ist, und entspricht dem LAN-IPsec-Tunnel, der am Standort konfiguriert ist. Mit der LAN-IPSec-Tunnelfunktion können Sie SD-WAN-Appliances so konfigurieren, dass IPSec-Tunnel auf der LAN- oder WAN-Seite beendet werden.

Um Service Steering für Anwendungen durchzuführen, ist es wichtig, eine Anwendung auf dem ersten Paket selbst zu identifizieren. Zunächst fließen die Pakete durch die IP-Route, sobald der Datenverkehr klassifiziert und die Anwendung bekannt ist, wird die entsprechende Anwendungsroute verwendet. Die erste Paketklassifizierung wird durch Erlernen der IP-Subnetze und Ports erreicht, die mit Anwendungsobjekten verknüpft sind. Diese werden mit historischen Klassifizierungsergebnissen des DPI-Klassifikators und vom Benutzer konfigurierten IP-Port-Typen abgerufen.

So konfigurieren Sie das Anwendungsrouting:

  1. Navigieren Sie im Konfigurationseditor zu Verbindungen > Anwendungsrouten, und klicken Sie auf +.

Anwendungssteuern1

  1. Legen Sie auf derSeiteHinzufügen die folgenden Parameter fest:
  • Application Object: Das Anwendungsobjekt, das Sie steuern möchten. Die von Ihnen erstellten Anwendungsobjekte werden hier aufgelistet. Weitere Informationen finden Sie imAbschnittAnwendungsobjekte imThemaAnwendungsklassifizierung.

    SD-WAN Anwendungslenkung

  • Routingdomäne: Die Routingdomäne, die von der Anwendungsroute verwendet werden soll. Wählen Sie eine der konfigurierten Routingdomänen aus.
  • Kosten: Eine Gewichtung zur Bestimmung der Routenpriorität für diese Route. Lower-Cost-Routen haben Vorrang vor höheren Kosten Routen. Der Bereich beträgt 1—65534. Der Standardwert ist 5.
  • Servicetyp: Wählen Sie einen der folgenden Dienste aus. Dadurch wird die Anwendung einem Dienst zugeordnet.

  • Virtueller Pfad: Identifiziert Anwendungsdatenverkehr als virtueller Pfadverkehr und entspricht einem virtuellen Pfad basierend auf virtuellen Pfadregeln. Geben Sie imFeldNächster Hop-Site die Remotesite des nächsten Hop ein, an die virtuelle Pfadpakete weitergeleitet werden.

    Hinweis:

    Jeder Flow, der auf die Virtual Path Application Routes trifft, wird nicht über den dynamischen virtuellen Pfad geführt.

  • Internet: Identifiziert Anwendungsdatenverkehr als Internetverkehr und entspricht dem Internetdienst.

  • Intranet: Identifiziert den Anwendungsdatenverkehr als Intranetverkehr und entspricht einem Intranetdienst basierend auf den Intranet-Regeln. Wählen Sie imFeldIntranetdienst einen Intranetdienst aus, der für die Route verwendet werden soll.

  • Lokal: Identifiziert den Anwendungsdatenverkehr als lokal zur Site und stimmt mit keinem Dienst überein. Datenverkehr, der für eine lokale Route bestimmt ist, wird ignoriert.

    Hinweis:

    Für den lokalen Diensttyp treffen die konfigurierten IP-Routen nach Abschluss der DPI-Klassifizierung die Routing-Entscheidung.

  • GRE-Tunnel: Identifiziert den Anwendungsverkehr als für einen GRE-Tunnel bestimmt und entspricht dem LAN-GRE-Tunnel, der am Standort konfiguriert wurde. Geben Sie im Feld Gateway-IP-Adresse die Gateway-IP-Adresse ein, die sich im Subnetz des LAN-GRE-Tunnels befinden muss. Wählen Sie Berechtigung basierend auf Gateway, um zu aktivieren, dass die Route keinen Datenverkehr empfängt, wenn das Gateway nicht erreichbar ist.

  • LAN-IPsec-Tunnel: Identifiziert den Anwendungsdatenverkehr als für einen LAN-IPsec-Tunnel bestimmt und entspricht dem LAN-IPsec-Tunnel, der am Standort konfiguriert ist. Wählen Sie imFeldIPSec-Tunnel einen der konfigurierten IPSec-Tunnel aus. Wählen Sie Berechtigung Basierend auf Tunnel, damit die Route keinen Datenverkehr empfängt, wenn der Tunnel nicht erreichbar ist.

    Hinweis:

    Wenn Sie einen Dienst für eine benutzerdefinierte Anwendung ausgewählt haben, ändern Sie ihn nicht.

  • Berechtigung basierend auf Pfad: Wählen Sie diese Option, um zu aktivieren, dass die Route keinen Datenverkehr empfängt, wenn der angegebene Pfad heruntergefahren ist. Geben Sie imFeldPfad den Pfad an, der zur Bestimmung der Routenberechtigung verwendet werden soll.
  1. Klicken Sie auf Übernehmen.

So zeigen Sie die auf Ihrer SD-WAN-Appliance konfigurierten Anwendungsrouten an. Navigieren Sie in der SD-WAN GUI zu Konfiguration > Virtual WAN > Konfiguration anzeigen. Wählen Sie imDropdownmenüAnsicht die Option Anwendungsrouten aus.

SD-WAN-Lenkung1

So zeigen Sie Statistikdaten für die Anwendungsrouten an:

  1. Navigieren Sie in der SD-WAN GUI zu Überwachung > Statistik.

  2. Wählen Sie in derDropdownlisteAnzeigen die Option Anwendungsrouten aus.

SD-WAN-Lenkung2

Sie können die folgenden Statistiken anzeigen:

  • Application Object: Name des Anwendungsobjekts.
  • Gateway-IP-Adresse: Die Gateway-IP-Adresse, die von Anwendungsobjekten mit dem Diensttyp GRE Tunnel verwendet wird
  • Service: Der Diensttyp, der dem Anwendungsobjekt zugeordnet ist.
  • Firewallzone: Die Firewallzone, in die diese Route fällt.
  • Erreichbar: Der Status der Anwendungsroute.
  • Site: Name der Site.
  • Typ: Gibt an, ob die Route statisch oder dynamisch ist.
  • Kosten: Die Priorität der Route.
  • Trefferzähler: Die Häufigkeit, mit der die Anwendungsroute verwendet wird, um den Datenverkehr zu steuern.
  • Berechtigt: Ist die Anwendungsroute berechtigt, den Datenverkehr zu senden.
  • Berechtigungsart: Die Art der Routenberechtigung, die auf diese Route angewendet wird. Der Berechtigungstyp kann Pfad, Gateway oder Tunnel sein.
  • Berechtigungswert: Der für die Berechtigungsbedingung für Route angegebene Wert.

Hinweis:

In der aktuellen Version können Anwendungen, die zu einer Anwendungsfamilie gehören, die in einem Anwendungsobjekt definierten Typ übereinstimmen, nicht gesteuert werden.

Problembehandlung

Nachdem Sie die Anwendungsroute erstellt haben, können Sie mithilfe desAbschnittsÜberwachung bestätigen, dass die Anwendung korrekt an den beabsichtigten Dienst weitergeleitet wird.

Navigieren Sie zu den folgenden Seiten, um anzuzeigen, ob die Anwendung korrekt an den beabsichtigten Dienst weitergeleitet wurde:

  • Überwachung > Statistik > Anwendungsrouten
  • Überwachung > Flows
  • Überwachung > Firewall

Wenn ein unerwartetes Routingverhalten auftritt, sammeln Sie das STS-Diagnosepaket, während das Problem beobachtet wird, und teilen Sie es mit dem Citrix Support-Team.

Das STS-Bundle kann über Konfiguration > Systemwartung > Diagnose > Diagnoseinformationen erstellt und heruntergeladen werden.

Anwendungsroute