Citrix SD-WAN

Anwendungsroute

In einem typischen Unternehmensnetzwerk greifen die Zweigstellen auf Anwendungen im lokalen Rechenzentrum, im Cloud-Rechenzentrum oder in den SaaS-Anwendungen zu. Die Anwendungs-Routing-Funktion ermöglicht es Ihnen, die Anwendungen einfach und kosteneffizient durch Ihr Netzwerk zu steuern. Wenn beispielsweise ein Benutzer am Zweigstandort versucht, auf eine SaaS-Anwendung zuzugreifen, kann der Datenverkehr so weitergeleitet werden, dass die Zweigstellen direkt auf die SaaS-Anwendungen im Internet zugreifen können, ohne vorher das Rechenzentrum durchlaufen zu müssen.

Mit Citrix SD-WAN können Sie die Anwendungsrouten für die folgenden Dienste definieren:

  • Virtueller Pfad: Dieser Dienst verwaltet den Datenverkehr über die virtuellen Pfade. Ein virtueller Pfad ist eine logische Verbindung zwischen zwei WAN-Verbindungen. Es umfasst eine Sammlung von WAN-Pfaden, die kombiniert werden, um eine hohe Service-Level-Kommunikation zwischen zwei SD-WAN-Knoten zu ermöglichen. Die SD-WAN-Appliance misst das Netzwerk pro Pfad und passt sich an veränderte Anwendungsanforderungen und WAN-Bedingungen an. Ein virtueller Pfad kann statisch (immer vorhanden) oder dynamisch sein (nur vorhanden, wenn der Datenverkehr zwischen zwei SD-WAN-Appliances einen konfigurierten Schwellenwert erreicht).
  • Internet: Dieser Dienst verwaltet den Datenverkehr zwischen einem Enterprise-Standort und Websites im öffentlichen Internet. Der Internetverkehr ist nicht gekapselt. Wenn eine Überlastung auftritt, verwaltet das SD-WAN aktiv die Bandbreite, indem es den Internetverkehr relativ zum virtuellen Pfad und dem Intranetdatenverkehr einschränkt.
  • Intranet: Dieser Dienst verwaltet Enterprise-Intranet-Datenverkehr, der nicht für die Übertragung über einen virtuellen Pfad definiert wurde. Der Intranetdatenverkehr ist nicht gekapselt. Das SD-WAN verwaltet die Bandbreite, indem dieser Datenverkehr im Verhältnis zu anderen Diensttypen während der Staus begrenzt wird. Unter bestimmten Bedingungen und wenn Intranet-Fallback auf dem virtuellen Pfad konfiguriert ist, kann Datenverkehr, der normalerweise durch den virtuellen Pfad fließt, stattdessen als Intranet-Datenverkehr behandelt werden.
  • Lokal: Dieser Dienst verwaltet den lokalen Datenverkehr auf der Website, der keinem anderen Dienst entspricht. SD-WAN ignoriert Datenverkehr, der für eine lokale Route bestimmt ist.
  • GRE-Tunnel: Dieser Dienst verwaltet IP-Datenverkehr, der für einen GRE-Tunnel bestimmt ist, und stimmt mit dem am Standort konfigurierten LAN-GRE-Tunnel überein. Mit der Funktion GRE Tunnel können Sie SD-WAN-Appliances so konfigurieren, dass GRE Tunnel im LAN beendet werden. Bei einer Route mit Servicetyp GRE Tunnel muss sich das Gateway in einem der Tunnelsubnetze des lokalen GRE Tunnels befinden.
  • LAN IPSec-Tunnel: Dieser Dienst verwaltet den IP-Datenverkehr, der für einen LAN-IPSec-Tunnel bestimmt ist, und stimmt mit dem am Standort konfigurierten LAN-IPSec-Tunnel überein. Mit der LAN-IPSec-Tunnelfunktion können Sie SD-WAN-Appliances so konfigurieren, dass IPSec-Tunnel auf der LAN- oder WAN-Seite beendet werden.

Um Service Steering für Anwendungen durchzuführen, ist es wichtig, eine Anwendung auf dem ersten Paket selbst zu identifizieren. Zunächst fließen die Pakete durch die IP-Route, sobald der Datenverkehr klassifiziert und die Anwendung bekannt ist, wird die entsprechende Anwendungsroute verwendet. Die erste Paketklassifizierung wird durch Erlernen der IP-Subnetze und Ports erreicht, die mit Anwendungsobjekten verknüpft sind. Diese werden mit historischen Klassifizierungsergebnissen des DPI-Klassifikators und vom Benutzer konfigurierten IP-Port-Typen abgerufen.

So konfigurieren Sie das Anwendungsrouting:

  1. Navigieren Sie im Konfigurations-Editor zu Verbindungen > Anwendungsrouten, und klicken Sie auf +.

    lokalisierte Grafik

  2. Legen Sie auf der Seite Hinzufügen die folgenden Parameter fest:

    • Application Object: Das Anwendungsobjekt, das Sie steuern möchten. Die von Ihnen erstellten Anwendungsobjekte werden hier aufgelistet. Weitere Informationen finden Sie im Abschnitt Anwendungsobjekte im Thema Anwendungsklassifizierung.

      lokalisierte Grafik

    • Routingdomäne: Die Routingdomäne, die von der Anwendungsroute verwendet werden soll. Wählen Sie eine der konfigurierten Routingdomänen aus.
    • Kosten: Eine Gewichtung, die die Routenpriorität für diese Route bestimmt. Lower-Cost-Routen haben Vorrang vor höheren Kosten Routen. Der Bereich beträgt 1—65534. Der Standardwert ist 5.
    • Servicetyp: Wählen Sie einen der folgenden Dienste aus. Dadurch wird die Anwendung einem Dienst zugeordnet.

    • Virtueller Pfad: Identifiziert Anwendungsdatenverkehr als virtueller Pfadverkehr und entspricht einem virtuellen Pfad basierend auf Regeln für virtuelle Pfade. Geben Sie im Feld Next Hop Site die Next-Hop-Remote-Site ein, an die Virtual Path Pakete weitergeleitet werden.

      Hinweis

      Jeder Flow, der auf die Virtual Path Application Routes trifft, wird nicht über den dynamischen virtuellen Pfad geführt.

    • Internet: Identifiziert Anwendungsdatenverkehr als Internetverkehr und entspricht dem Internetdienst.

    • Intranet: Identifiziert Anwendungsdatenverkehr als Intranetdatenverkehr und entspricht einem Intranetdienst basierend auf den Intranetregeln. Wählen Sie im Feld Intranetdienst einen Intranetdienst aus, der für die Route verwendet werden soll.

    • Lokal: Identifiziert den Anwendungsdatenverkehr als lokal zur Site und entspricht keinem Dienst. Datenverkehr, der für eine lokale Route bestimmt ist, wird ignoriert.

      Hinweis

      Für den lokalen Diensttyp treffen die konfigurierten IP-Routen nach Abschluss der DPI-Klassifizierung die Routing-Entscheidung.

    • GRE-Tunnel: Identifiziert den Anwendungsdatenverkehr als für einen GRE-Tunnel bestimmt und entspricht dem am Standort konfigurierten LAN-GRE-Tunnel. Geben Sie im Feld Gateway IP-Adresse die Gateway-IP-Adresse ein, die sich im Subnetz des LAN GRE Tunnels befinden muss. Wählen Sie Berechtigung basierend auf Gateway aus, damit die Route keinen Datenverkehr empfängt, wenn das Gateway nicht erreichbar ist.

    • LAN IPSec-Tunnel: Identifiziert den Anwendungsdatenverkehr als für einen LAN-IPSec-Tunnel bestimmt und entspricht dem am Standort konfigurierten LAN-IPSec-Tunnel. Wählen Sie im Feld IPSec-Tunnel einen der konfigurierten IPSec-Tunnel aus. Wählen Sie Berechtigung basierend auf Tunnel aus, damit die Route keinen Datenverkehr empfängt, wenn der Tunnel nicht erreichbar ist.

      Hinweis

      Wenn Sie einen Dienst für eine benutzerdefinierte Anwendung ausgewählt haben, ändern Sie ihn nicht.

    • Berechtigung basierend auf Pfad: Wählen Sie diese Option aus, damit die Route keinen Datenverkehr empfängt, wenn der angegebene Pfad ausgefallen ist. Geben Sie im Feld Pfad den Pfad an, der zum Bestimmen der Routenberechtigung verwendet werden soll.
  3. Klicken Sie auf Übernehmen.

So zeigen Sie die auf Ihrer SD-WAN-Appliance konfigurierten Anwendungsrouten an. Navigieren Sie in der SD-WAN-GUI zu Konfiguration > Virtuelles WAN > Konfiguration anzeigen . Wählen Sie im Dropdownmenü Ansicht die Option Anwendungsrouten aus. lokalisierte Grafik

So zeigen Sie Statistikdaten für die Anwendungsrouten an:

  1. Navigieren Sie in der SD-WAN-GUI zu Überwachung > Statistik .

  2. Wählen Sie in der Dropdown-Liste Anzeigen die Option Anwendungsrouten aus.

    lokalisierte Grafik

Sie können die folgenden Statistiken anzeigen:

  • Application Object: Name des Anwendungsobjekts.
  • Gateway IP-Adresse: DieGateway-IP-Adresse, die von Anwendungsobjekten mit dem GRE-Tunneldiensttyp verwendet wird.
  • Dienst: Der Diensttyp, der dem Anwendungsobjekt zugeordnet ist.
  • Firewall-Zone: Die Firewall-Zone, in die diese Route fällt.
  • Erreichbar: Der Status der Anwendungsroute.
  • Site: Name der Website.
  • Typ: Gibt an, ob die Route statisch oder dynamisch ist.
  • Kosten: Die Priorität der Route.
  • Trefferanzahl: Gibt an, wie oft die Anwendungsroute verwendet wird, um den Datenverkehr zu steuern.
  • Berechtigt: Ist die Anwendungsroute berechtigt, den Datenverkehr zu senden.
  • Berechtigungsart: Die Art der Berechtigungsbedingung für die Route, die auf diese Route angewendet wird. Der Berechtigungstyp kann Pfad, Gateway oder Tunnel sein.
  • Berechtigungswert: Der Wert, der für die Berechtigungsbedingung für die Route angegeben wurde.

Hinweis

In der aktuellen Version können Anwendungen, die zu einer Anwendungsfamilie gehören, die in einem Anwendungsobjekt definierten Typ übereinstimmen, nicht gesteuert werden.

Anwendungsroute