Citrix SD-WAN

PBR-Modus (virtueller Inline)

Im virtuellen Inline-Modus verwendet der Router richtlinienbasierte Routingregeln, um eingehenden und ausgehenden WAN-Datenverkehr an die Appliance umzuleiten, und die Appliance leitet die verarbeiteten Pakete zurück an den Router weiter.

Im folgenden Artikel wird die schrittweise Vorgehensweise zum Konfigurieren von zwei SD-WAN (SD-WAN SE) -Appliances beschrieben:

  • Rechenzentrum-Appliance im PBR-Modus (virtueller Inline-Modus)

  • Zweig Appliance im Inline-Modus

  • PBR muss entweder am Core-Switch oder weiter Upstream am Router konfiguriert werden. Der Router muss den Zustand der SD-WAN-Appliance überwachen, damit die Appliance bei einem Ausfall umgangen werden kann.

  • Der virtuelle Inline-Modus versetzt die SD-WAN-Appliance physisch außerhalb des Pfades (Einarm-Bereitstellung), d. h. nur eine einzige Ethernet-Schnittstelle, die verwendet werden soll (Beispiel: Schnittstelle 1/1), wobei der Bypass-Modus auf Fail-to-Block (FTB) eingestellt ist.

Die Citrix SD-WAN Appliance muss so konfiguriert werden, dass der Datenverkehr an das richtige Gateway weitergeleitet wird. Der für den virtuellen Pfad vorgesehene Datenverkehr wird auf die SD-WAN-Appliance gerichtet und dann gekapselt und an die entsprechende WAN-Verbindung geleitet.

Sammeln von Informationen für die Konfiguration

  • Genaues Netzwerkdiagramm (Beispieldiagramm unten) Ihrer lokalen und entfernten Standorte, einschließlich:

    • Lokale und Remote-WAN-Verbindungen und ihre Bandbreite in beide Richtungen, ihre Subnetze, virtuelle IP-Adressen und Gateways von jedem Link, Routen und VLANs.
  • Bereitstellungstabelle (Beispieldiagramm unten)

Rechenzentrumtopologie — PBR-Modus (virtueller Inline-Modus)

lokalisiertes Bild

Zweigtopologie — Inline-Modus

lokalisiertes Bild

Sitename DataCenter Site Niederlassungsstandort
Appliance-Name SJC-DC SJC-BR
Management-IP 172.30.2.10/24 172.30.2.20/24
Sicherheitsschlüssel Falls vorhanden Falls vorhanden
Modell/Edition 4000 2000
Modus PBR-Modus (Virtueller Inline-Modus) Inline
Topologie 2 x WAN-Pfad 2 x WAN-Pfad
VIP-Adresse 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, Public IP w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24 – Internet, Public IP a.b.c.d
Gateway-MPLS 10.20.0.1 10.17.0.1
Gateway-Internet 10.19.0.1 10.18.0.1
Verbindungsgeschwindigkeit MPLS — 100 Mbit/s, Internet — 20 Mbit/s MPLS — 10 Mbit/s, Internet — 2 Mbit/s
Route Sie müssen eine Route auf der SD-WAN SE Appliance hinzufügen, um die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen zu erreichen: Gi0/1 - 192.168.1.1, Konfiguration> Virtual WAN> Konfigurationseditor> SJC\ _DC> Routen. In this example interface 192.168.1.1 was used: - n/w address: 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Service type: local, - Gateway IP address: 192.168.1.1 Es wurden keine zusätzlichen Routen hinzugefügt
VLANs Keine (Standard 0) Keine (Standard 0)

Schritte zum Konfigurieren einer Site im virtuellen Inline-Modus:

  • Aktivieren Sie die MCN-Funktionalität.

  • Erstellen einer neuen Site.

  • Erstellen Sie eine Schnittstellengruppe und virtuelle Schnittstellen.

  • Weisen Sie virtuellen Schnittstellen virtuelle IP-Adresse zu.

  • Erstellen Sie WAN-Links und weisen Sie die IP-Adresse zu.

  • Routen hinzufügen.

  • Fehlerbehebung.

  • Richtlinienbasierte Routing-Konfiguration auf dem PBR-Router.

Konfigurationsvoraussetzungen

  • Aktivieren Sie die SD-WAN-Appliance als Master Control Node.

  • Die Konfiguration erfolgt nur auf dem Master Control Node (MCN) der SD-WAN-Appliance.

So aktivieren Sie eine Appliance als Master-Control-Knoten:

  1. Navigieren Sie in der SD-WAN-Webverwaltungsschnittstelle zu Konfiguration > Einheiteneinstellungen > Administratorschnittstelle > Registerkarte Verschiedenes > Switch-Konsole.

Hinweis:

Wenn Zur Clientkonsole wechseln angezeigt wird, befindet sich die Appliance bereits im MCN-Modus. Es sollte nur einen aktiven MCN in einem SD-WAN-Netzwerk geben.

  1. Aktivieren Sie den virtuellen WAN-Dienst. Navigieren Sie zu Konfiguration > Virtuelles WAN > Flows aktivieren/deaktivieren/bereinigen.

  2. Starten Sie die Konfiguration, indem Sie zu Konfiguration > Virtual WAN > Konfigurationseditor navigieren. Klicken Sie auf Neu, um die Konfiguration zu beginnen

Bei diesem Vorgang wird eine Initialkonfigurationsdatei “Untitled\ _1” erstellt, die später über die** Schaltfläche “ **Speichern unter” in\ [optional] umbenannt werden kann.

Im Folgenden werden die Konfigurationsschritte auf hoher Ebene beschrieben, um den Datacenter-Standort im PBR-Bereitstellungsmodus zu konfigurieren:

  1. Erstellen Sie einen DC-Standort.

  2. Konfigurieren Sie Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen.

  3. Konfigurieren Sie die virtuelle IP-Adresse für jede virtuelle Schnittstelle.

  4. Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.

  5. Füllen Sie Routen aus, wenn mehr Subnetze in der LAN-Infrastruktur vorhanden sind.

Konfiguration des PBR-Modus des Rechenzentrumsstandorts

Erstellen eines DC-Standorts

  1. Navigieren Sie zu Konfigurationseditor > Sites, und klicken Sie auf dieSchaltfläche+ Site.

  2. Füllen Sie die Felder wie unten gezeigt.

  3. Behalten Sie die Standardeinstellungen bei, wenn Sie nicht dazu aufgefordert werden.

lokalisiertes Bild

Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen

  1. Navigieren Sie im Konfigurationseditor zu Sites > \ [Sitename] > Schnittstellengruppen. Klicken Sie auf +, um Schnittstellen hinzuzufügen, die verwendet werden sollen. Im PBR-Modus wird die Konfiguration nur auf einer einzigen Ethernet-Schnittstelle verwendet, d.h. Schnittstelle, die den Upstream-Router verbindet, was Auswirkungen auf PBR-Richtlinien hat (Beispiel-Schnittstelle 1/1). Konfigurieren Sie MPLS und virtuelle Internetschnittstellen mit VLAN ID 10 bzw. 20.

  2. Der Umgehungsmodus ist auf Fail-to-Block eingestellt, da pro virtueller Schnittstelle nur eine EtherNet/Physical Schnittstelle verwendet wird. Es gibt auch keine Brückenpaare.

  3. Erweitern Sie in diesem Beispiel die Option Virtuelle Schnittstellen +, und konfigurieren Sie die Virtuellen Schnittstellen.

lokalisiertes Bild

Virtuelle IP-Adresse (VIP) für jede virtuelle Schnittstelle erstellen

Erstellen Sie eine virtuelle IP-Adresse im entsprechenden Subnetz für jede WAN-Verbindung. VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.

lokalisiertes Bild

So füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht auf Burst-Geschwindigkeiten mithilfe des Internet- und MPLS-Links aus:

  1. Navigieren Sie zu WAN-Links, klicken Sie auf dieSchaltfläche+, um einen WAN-Link für die Internetverbindung hinzuzufügen.

  2. Geben Sie Informationen zum Internetlink ein, einschließlich der angegebenen öffentlichen IP-Adresse, wie unten dargestellt. Beachten Sie, dass die automatische Erkennung öffentlicher IP für die als MCN konfigurierte SD-WAN-Appliance nicht ausgewählt werden kann.

  3. Navigieren Sie zu Access Interfaces, klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den Internetlink hinzuzufügen.

  4. Füllen Sie das Access Interface für IP- und Gateway Adressen wie unten dargestellt aus. Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.

lokalisiertes Bild

lokalisiertes Bild

MPLS-Verknüpfung erstellen

  1. Navigieren Sie zu WAN-Links, klicken Sie auf die Schaltfläche +, um einen WAN-Link für den MPLS-Link hinzuzufügen.

  2. Füllen Sie MPLS-Link-Details wie unten gezeigt.

  3. Navigieren Sie zu Access Interfaces, und klicken Sie auf dieSchaltfläche+, um Schnittstellendetails für den MPLS-Link hinzuzufügen.

  4. Füllen Sie Access Interface für MPLS Virtual IP- und Gateway Adressen wie unten gezeigt.

lokalisiertes Bild

Hinweis:

Der Proxy ARP wird nicht auf weniger als zwei Ethernet-Schnittstellen überprüft.

Routen auffüllen

Fügen Sie am Rechenzentrumsstandort eine Route auf der SD-WAN SEE-Appliance hinzu, um die LAN-Subnetze (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw.) über eine der physischen Schnittstellen zu erreichen:

0/1/0.1 — 192.168.1.1 auf VLAN 10

0/1/0.2 — 192.168.2.1 auf VLAN 20

lokalisiertes Bild

lokalisiertes Bild

Konfiguration der Inline-Bereitstellung von Zweigstandort

Im Folgenden sind die Konfigurationsschritte auf hoher Ebene zum Konfigurieren von Zweigstandort für die Inline-Bereitstellung aufgeführt:

  1. Erstellen Sie eine ZweigSite.

  2. Füllen Sie Schnittstellengruppen basierend auf angeschlossenen Ethernet-Schnittstellen aus.

  3. Erstellen Sie eine virtuelle IP-Adresse für jede virtuelle Schnittstelle.

  4. Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.

  • Virtuelle Schnittstelle INTERNET konfiguriert auf Bridge-Paar 1/3 und 1/4

  • Virtuelle Schnittstelle MPLS konfiguriert mit Bridge Pair 1/1 und 1/2

  1. Füllen Sie Routen aus, wenn mehr Subnetze in der LAN-Infrastruktur vorhanden sind.

Erstellen eines Zweigstandorts

lokalisiertes Bild

Konfigurieren von Schnittstellengruppen basierend auf verbundenen Ethernet-Schnittstellen

  1. Navigieren Sie im Konfigurationseditorzu Sites > \ [Clientstandortname] > Schnittstellengruppen. Klicken Sie auf ”+”, um Schnittstellen hinzuzufügen, die verwendet werden sollen. Für die Inline-Moduskonfiguration werden vier Ethernet-Schnittstellen verwendet; Schnittstellenpaar 1/3, 1/4 und Schnittstellenpaar 1/1 und 1/2.

  2. Der Bypass-Modus ist auf Fail-to-Wire-Modus eingestellt, da zwei EtherNet/Physical Schnittstellen pro virtueller Schnittstelle verwendet werden. Es gibt zwei Brückenpaare.

  3. Füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht mit Burst-Geschwindigkeiten mithilfe von Internet- und MPLS-Links.

  • Virtuelle Schnittstelle INTERNET konfiguriert auf Bridge-Paar 1/3 und 1/4

  • Virtuelle Schnittstelle MPLS konfiguriert con Bridge Paar 1/1 und 1/2.

  1. Lesen Sie das Beispiel Remote Site Inline Mode Topologie oben und füllen Sie die Schnittstellengruppen Felder wie unten dargestellt.

lokalisiertes Bild

Virtuelle IP-Adresse (VIP) für jede virtuelle Schnittstelle erstellen

Erstellen Sie für jeden WAN-Link eine virtuelle IP-Adresse im entsprechenden Subnetz. VIPs werden für die Kommunikation zwischen zwei SD-WAN-Appliances in der virtuellen WAN-Umgebung verwendet.

lokalisiertes Bild

So füllen Sie WAN-Verbindungen basierend auf physischer Rate und nicht auf Burst-Geschwindigkeiten über Internetlinks aus

  1. Navigieren Sie zu WAN-Links, klicken Sie auf dieSchaltfläche+, um einen WAN-Link für die Internetverbindung hinzuzufügen.

  2. Füllen Sie Internetverknüpfungsdetails, einschließlich der öffentlichen AutoDetect IP-Adresse, wie unten dargestellt.

  3. Navigieren Sie zu Access Interfaces, klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den Internetlink hinzuzufügen.

  4. Füllen Sie das Access Interface für virtuelle IP-Adresse und Gateway aus wie unten gezeigt.

lokalisiertes Bild

lokalisiertes Bild

MPLS-Verknüpfung erstellen

  1. Navigieren Sie zu WAN-Links, klicken Sie auf die Schaltfläche +, um einen WAN-Link für den MPLS-Link hinzuzufügen.

  2. Füllen Sie MPLS-Link-Details wie unten gezeigt.

  3. Navigieren Sie zu Access Interfaces, und klicken Sie auf die Schaltfläche +, um Schnittstellendetails für den MPLS-Link hinzuzufügen.

  4. Füllen Sie das Access Interface für virtuelle IP-Adresse und Gateway aus wie unten gezeigt.

lokalisiertes Bild

lokalisiertes Bild

Routen auffüllen

Routen werden automatisch basierend auf der obigen Konfiguration erstellt. Falls es mehr Subnetze gibt, die für diese Remote-Zweigstelle spezifisch sind, müssen bestimmte Routen hinzugefügt werden, um zu welchem Gateway der Datenverkehr geleitet werden soll, um diese Backend-Subnetze zu erreichen.

lokalisiertes Bild

Beheben von Überwachungsfehlern

Nach Abschluss der Konfiguration für DC- und Zweigstandorte werden Sie benachrichtigt, um Überwachungsfehler auf DC- und BR-Standorten zu beheben. In diesem Beispiel wird der Überwachungsfehler im Zusammenhang mit dem privaten Intranet WAN Link\ [SJC\ _DC-MPLS] behoben.

Hinweis:

Standardmäßig generiert das System Pfade für WAN-Links, die als Zugriffstyp Public Internet definiert sind (hervorgehoben).

lokalisiertes Bild

lokalisiertes Bild

lokalisiertes Bild

Sie müssen die Autopfad-Gruppenfunktion verwenden oder Pfade manuell für WAN-Links mit dem Zugriffstyp Privates Internet aktivieren. Pfade für MPLS-Links können durch Klicken auf den Operator Hinzufügen (im grünen Rechteck) aktiviert werden.

lokalisiertes Bild

Erstellen Sie eine Autopath-Gruppe:

  1. Navigieren Sie zurRegisterkarteGlobal. Klicken Sie auf das [] Pluszeichen neben Autopath Groups.

  2. Konfigurieren Sie die nach Anforderung erstellte Autopath-Gruppe, und klicken Sie auf Anwenden.

lokalisiertes Bild

  1. Benennen Sie die Autopath-Gruppe um\ [Optional].

  2. Ordnen Sie die Autopath-Gruppe den virtuellen Pfaden von Intranet-WAN-Links an den jeweiligen Standorten zu.

Es können keine zwei Autopath-Gruppen als Standard markiert werden. Wenn markiert würde zu einem Überwachungsfehler führen.

Nachdem die Autopath-Gruppe den virtuellen Pfaden des Intranet-WAN zugeordnet wurde, sollten die Pfade automatisch ausgefüllt werden (hervorgehoben).

lokalisiertes Bild

  1. Wählen Sie die virtuellen Pfade unter WAN-Links für die jeweiligen Sites aus, und keine Autopath-Gruppe würde zugeordnet werden.

  2. Klicken Sie auf das [] Pluszeichen neben Pfade, um virtuelle Pfade manuell hinzuzufügen.

lokalisiertes Bild

  1. Wählen Sie die WAN-Links für virtuelle Pfade für jede Site aus.

lokalisiertes Bild

Nachdem die virtuellen Pfade für WAN-Links mit dem Zugriffstyp Privates Intranet manuell hinzugefügt wurden, wird es unter Pfade (hervorgehoben) aufgefüllt.

Nachdem Sie alle oben genannten Schritte ausgeführt haben, fahren Sie mit Vorbereiten der SD-WAN-Appliance-Pakete im Thema MCN fort.

Richtlinienbasierte Routing-Konfiguration auf dem PBR-Router:

Schnittstelle mit dem LAN verbunden

  • Router# configure terminal

  • Router(config)# interface FastEthernet0/1

  • Router(config-if)# description ToLAN

  • Router(config-if)# ip address 10.10.11.1 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Schnittstelle verbindet sich mit dem MPLS WAN-Link

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/0

  • Router(config-if)# description To-MPLS-WAN

  • Router(config-if)# ip address 10.20.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Schnittstelle mit dem INET-WAN-Link verbunden

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/2/0

  • Router(config-if)# description To-INET-WAN

  • Router(config-if)# ip address 10.19.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Schnittstelle GigabitEthernet0/1 auf dem PBR-Router ist mit dem SD-WAN-Port verbunden 1/1, es ist im 1-Arm-Modus und dieser Port wird Verkehr für MPLS und INET-Verbindungen dienen.

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/1

  • Router(config-if)# description To-SDWAN-link

  • Router(config-if)# ip address 192.168.1.1 255.255.255.0

Statische Routenkonfiguration (Route zu den Client/Remote-Subnetzen):

  • MPLS 10.17.0.0/24 über den nächsten Hop WAN-Router MPLS 10.20.0.1

  • INET 10.18.0.0/24 über den nächsten Hop WAN-Router/FW INET 10.19.0.1

  • Router# configure terminal

  • Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1

  • Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1

Definition der Routenkarte:

Konfiguration der Zugriffssteuerungsliste:

Konfigurieren Sie ACLs, um den Datenverkehr zu definieren, der an und von der SD-WAN-Appliance gesendet werden soll.

  1. Vom LAN zur SD-WAN-Appliance

Gemäß Topologie sind die LAN-Subnetze 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24 usw. Um Datenverkehr vom LAN an das SD-WAN zu senden, konfigurieren Sie eine unidirektionale ACL (von LAN zu einem beliebigen).

- Router\# configure terminal - Router(config)\# ip access-list extended server\_side - Router(config)\# permit ip 10.10.0.0 0.0.255.255 any```

1. Von der SD-WAN-Appliance zu physischen WAN-Verbindungen

  • Router# configure terminal - Router(config)# ip access-list extended MPLS_Link - Router(config)# permit ip 192.168.1.10 0.0.0.0 any - Router# configure terminal - Router(config)# ip access-list extended INET_Link - Router(config)# permit ip 192.168.1.11 0.0.0.0 any```

Routenzuordnungskonfiguration:

Definieren Sie die Routenzuordnung, die mit den ACLs übereinstimmt.

Routenplan für LAN-Verkehr:

Der nächste Hop wird eine der SD-WAN Virtual IPs (VIP) sein.

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

In diesem Fall wählten wir MPLS VIP 192.168.1.10 als nächster Hop und fügten auch eine Zustandsprüfung hinzu, um sicherzustellen, dass der Datenverkehr nicht weitergeleitet wird, wenn das SD-WAN ausfällt.

- Router\# configure terminal - Router(config)\# route-map server\_side\_VW\_PBR permit 10 - Router(config-route-map)\# match ip address server\_side - Router(config-route-map)\# set ip next-hop verify-availability 192.168.1.10 10 track 123```

Der obige Befehl konfiguriert die Routenzuordnung, um die Erreichbarkeit des verfolgten Objekts zu überprüfen. Der Tracking-Prozess bietet die Möglichkeit, einzelne Objekte zu verfolgen, wie ICMP-Ping-Erreichbarkeit, Routing-Nähe, eine Anwendung, die auf einem Remote-Gerät ausgeführt wird, eine Route in der Routing Information Base (RIB) oder den Status eines Schnittstellenlinienprotokolls zu verfolgen.

**Routenplan für WAN-Verkehr:**

Nächster Hop wird MPLS Router und Firewall für die jeweiligen WAN-Links sein.

  • Router# configure terminal - Router(config)# route-map WAN_VW_PBR permit 20 - Router(config-route-map)# match ip address MPLS_Link - Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124 - Router# configure terminal - Router(config)# route-map WAN_VW_PBR permit 30 - Router(config-route-map)# match ip address INET_Link - Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125```

Wenden Sie die Routenkarte auf die Schnittstelle an:

- Router\# configure terminal - Router(config)\# interface FastEthernet0/1 - Router(config-if)\# ip policy route-map server\_side\_VW\_PBR - Router(config-if)\# duplex auto - Router(config-if)\# speed auto - Router\# configure terminal - Router(config)\# interface GigabitEthernet0/1 - Router(config-if)\# ip policy route-map WAN\_VW\_PBR - Router(config-if)\# duplex auto - Router(config-if)\# speed auto```

**MPLS-Router-Konfiguration (Gateway 10.20.0.1)**:

- Fügen Sie Route auf MPLS-Router hinzu, um MPLS VWAN VIP im Rechenzentrum zu erreichen.

- MPLS VIP subnet 192.168.1.0/24 via next hop PBR router MPLS link 10.20.0.2

- Router\# configure terminal

- Router(config)\# ip route 192.168.1.0 255.255.255.0 10.20.0.2

**Firewall-Konfiguration (Gateway 10.19.0.1)**:

Fügen Sie eine Route auf der Firewall hinzu, um INET VWAN VIP im Rechenzentrum zu erreichen.

INET VIP subnet 192.168.1.0/24 via next hop PBR router INET link 10.19.0.2

  • Router# configure terminal - Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2```