Citrix SD-WAN-Referenzarchitektur

Zielgruppe

In diesem Dokument werden Framework, Design und Architektur für Citrix SD-WAN in einer Umgebung mit einer Region beschrieben. Dieses Dokument konzentriert sich auch auf die Citrix SD-WAN -Lösung, die die Aspekte SD-WAN Orchestrator und Netzwerksicherheit nutzt.

Das Dokument richtet sich an IT-Entscheidungsträger, Netzwerkadministratoren, Lösungsintegratoren, Partner, Clouddienst-Provider und Managed Service Provider.

Die in diesem Artikel beschriebenen Themen gelten sowohl für Standard als auch für Premium Edition von Citrix SD-WAN. Die besprochenen Themen gelten nicht für die WANOP Edition, die unterschiedliche Funktionen und Funktionen hat.

Citrix SD-WAN Architektur

Citrix SD-WAN kann in verschiedenen Bereitstellungsmodi bereitgestellt werden und bietet die Flexibilität, die physischen und virtuellen Appliances in das vorhandene Netzwerkdesign des Kunden zu integrieren. Informationen zum SD-WAN finden Sie im Link Citrix Tech Zone. Im Folgenden finden Sie einige der Anwendungsszenarien, die mithilfe von SD-WAN-Appliances implementiert wurden.

  • SD-WAN im Edge-Modus
  • SD-WAN im Virtual-Inline-Modus
  • SD-WAN im Inline-Modus
  • Bereitstellung in einer Region
  • Bereitstellung mehrerer Regionen
  • Hohe Verfügbarkeit

SD-WAN im Edge-Modus

Edge-Modus (auch als Gateway -Modus bezeichnet) platziert die SD-WAN-Appliance physisch in den Pfad (Zwei-Arm-Bereitstellung) und erfordert Änderungen in der vorhandenen Netzwerkinfrastruktur, um die SD-WAN-Appliance als Standard-Gateway für das gesamte LAN-Netzwerk für diesen Zweig einzufügen. Ein im Edge-Modus bereitgestelltes SD-WAN fungiert als Layer 3-Gerät und kann keine Fail-to-Wire durchführen. Alle beteiligten Schnittstellen werden für “Fail-to-Block” konfiguriert. Bei einem Appliance-Ausfall, wenn sie nicht in High Availability (HA) bereitgestellt wird, schlägt auch das Standard-Gateway für den Standort fehl, was zu einem Ausfall an diesem Standort führt, bis die Appliance wiederhergestellt wird.

SDWAN-RA-Image-1

SD-WAN im Inline-Modus

Inline-Modus: In diesem Modus scheint die Appliance eine Ethernet-Bridge zu sein. Die meisten Appliance-Modelle verfügen über eine “Fail-to-Wire” -Funktion (Ethernet Bypass) für den Inline-Modus. Wenn die Stromversorgung ausfällt, wird ein Relais geschlossen, und die Eingangs- und Ausgangsanschlüsse werden elektrisch angeschlossen, sodass das Ethernet-Signal von einem Port zum anderen durchlaufen kann, als ob das Gerät nicht da wäre. Im Fail-to-Wire-Modus sieht die Appliance wie ein Cross-Over-Kabel aus, das die beiden Ports verbindet.

Im folgenden Diagramm sind Schnittstellen 1/1 und 1/2 Hardware-Bypass-Paare und werden nicht verdrahtet, die den Kern mit dem Rand MPLS-Router verbinden. Schnittstellen 1/3 und 1/4 sind ebenfalls Hardware-Bypass-Paare und können den Core nicht mit der Edge-Firewall verbinden.

SDWAN-RA-Image-2

SD-WAN im virtuellen Inline-Modus

Virtueller Inline-Modus, in dem ein Router den WAN-bestimmten Datenverkehr an die Citrix SD-WAN Appliance weiterleitet und die Appliance an den Router zurückgibt. Dieser Modus ist am wenigsten störend und wird üblicherweise für Rechenzentren genutzt.

SDWAN-RA-Image-3

High-Level-Beispiel für Citrix SD-WAN Architektur

SDWAN-RA-Image-4

Der Citrix SD-WAN Anwendungsfall im Fokus

In diesem Dokument werden wir uns auf eine Single Region-Bereitstellung mit 30 Niederlassungen konzentrieren, um die Architektur zu demonstrieren, bei der das SD-WAN am besten zum bestehenden Netzwerk eines Kunden passt und die Vorteile bietet. Der Kontext einer einzelnen Region bezieht sich darauf, dass alle Zweigknoten ihre virtuellen Pfade direkt auf dem Master Control Node (MCN) beenden, anstatt mehrere Regionen zu haben, was eine Anforderung ist, wenn die Anzahl der Knoten im Netzwerk über der maximalen Anzahl von virtuellen Pfaden liegt, die von eine einzelne Appliance. Citrix SD-WAN Orchestrator

Der Citrix SD-WAN Orchestrator ist ein cloudgehostetes SaaS-Angebot mit mehreren Mandanten, das Citrix Partner, CSPs und MSPs nutzen können, um ihren Kunden verwaltete SD-WAN-Services anzubieten. Der SD-WAN Orchestrator bietet eine zentrale Glasmanagement-Schnittstelle für die zentrale Verwaltung mehrerer Kunden mit geeigneten rollenbasierten Zugriffskontrollen.

Im Folgenden finden Sie einige der wichtigsten Funktionen:

  • Multi-Tenancy & RBAC — Mit diesem Service können Citrix Partner mehrere SD-WAN-Kunden mit einem einzigen Glasfenster und geeigneten rollenbasierten Zugriffskontrollen integrieren und verwalten.
  • Zentralisierte Konfiguration — Zentralisierte Konfiguration von SD-WAN-Netzwerken mit geführten Workflows, visuellen Hilfsmitteln und Profilen.
  • Zentralisierte Lizenzierung - Lizenzierung für alle angeschlossenen SD-WAN-Geräte.
  • Zero Touch-Provisioning — Nahtloses Onboarding des Netzwerks und Verbindungen für physische und virtuelle Appliances.
  • Anwendungsorientierte Richtlinien — anwendungsbasierte Verkehrssteuerung, Quality of Service (QoS) und Firewall-Richtlinien, die global oder pro Standort konfiguriert werden können.
  • Hierarchische Zusammenfassung des Zustands — Fähigkeit, Integrität, Nutzung, Qualität und Leistung eines Netzwerks zentral zu überwachen, mit der Möglichkeit, einzelne Standorte und zugehörige Verbindungen aufschlüsseln zu können.
  • Fehlerbehebung — Geräte- und Überwachungsprotokolle, Diagnosedienstprogramme wie Ping, Traceroute, Paketerfassung zur Behebung von Netzwerkverbindungsproblemen.

Jeder Zweig- und DC-Standort muss über die Verwaltungsschnittstelle eine Internetverbindung haben, um auf SD-WAN Orchestrator zuzugreifen. Citrix SD-WAN-Softwareversion 10.1.1 ist die Mindestanwendungssoftware, die von SD-WAN Orchestrator unterstützt wird.

Bereitstellung in einer Region

Ein etablierter Einzelhandelskunde XYZ hat Citrix mit einer Entwurfsanforderung angesprochen, bei der 30 Einzelhandelsgeschäfte vorhanden sind. Diese Filialen bringen derzeit alle Daten über ihre MPLS-Schaltungen in die Zentrale zurück. Die Erweiterung dieser Schaltungen wurde als keine skalierbare Lösung angesehen und ist kostengünstig. unerschwinglich. Im Rahmen der Diskussionen wurde entschieden, dass ein großer Teil des zweigstellengenerierten Datenverkehrs lokal behandelt werden kann. Dazu gehört cloudbasiertes SaaS sowie nicht-geschäftsbezogener Datenverkehr wie soziale Medien.

Der Kunde war auf der Suche nach Beratung und hat entschieden, dass Social Media-/nicht-geschäftskritische Traffic an einigen Standorten vollständig blockiert wird, da die Bandbreite begrenzt ist und keine aktuellen Pläne zur Erweiterung der Standortkapazität in naher Zukunft geplant ist.

In Verbindung mit den oben genannten Anforderungen hat der Kunde die Anforderung, den Netzwerkverkehr sicher zu trennen und gleichzeitig Gast-WLAN bereitzustellen, während er vom Unternehmensverkehr isoliert bleibt. Zusätzlich wird der intern generierte Datenverkehr über Routingdomänen aufgeteilt, um eine zusätzliche Schicht bereitzustellen. der Sicherheit, so dass der POS von den Werkstattterminals getrennt ist.

Der Kunde hat auch darauf hingewiesen, dass er derzeit nicht in der Lage ist, eine SD-WAN-Lösung an allen Standorten aufgrund von Budget und Ressourcen bereitzustellen, so dass Konnektivität mit der Nutzung bestehender MPLS-Schaltungen und damit Intranet-Services aufgebaut werden muss.

Einzelhandelskunde - Vorhandene Netzwerkarchitektur

Bevor Sie mit einer SD-WAN-Konfiguration fortfahren, muss der Netzwerkadministrator das vorhandene (Unterlagen-) Netzwerk immer richtig verstehen und die Einschränkungen verstehen, die die Notwendigkeit einer SD-WAN-Lösung erfordern.

Der Kunde verfügt derzeit über ein robustes Netzwerk, das über ein primäres und sekundäres Rechenzentrum für Geschäftsanwendungen verfügt. Das primäre Rechenzentrum verfügt über zwei MPLS-Schaltungen (10 und 20 Mbit/s), die am CE-Router abgeschlossen sind, und das sekundäre Rechenzentrum verfügt über eine MPLS-Schaltung (20 Mbit/s), die für WAN-Konnektivität beendet sind. Das primäre Rechenzentrum wird im Falle einer Katastrophe im primären Rechenzentrum ein Failover auf das sekundäre Rechenzentrum durchgeführt.

Der Point of Sales (POS) und andere geschäftskritische Anwendungen werden im Rechenzentrum gehostet. Alle Zweigstellen sind so konfiguriert, dass sie über die MPLS-Verbindung zum Rechenzentrum auf das POS und andere Geschäftsanwendungen zugreifen können. Derzeit haben einige der Zweigstellen zwei MPLS-Links für Redundanz, aber sie sind als Aktiv/Passiv konfiguriert und nutzen daher nicht die Bandbreite, die sie bezahlen. Alle Zweignutzer greifen über den Datencenter-Breakout auf das Internet zu, so dass der gesamte Datenverkehr die überzeichneten MPLS-Schaltungen durchqueren muss, um dies zu adressieren, plant der Kunde, lokale Internet-Breakout in einigen der Filialen einzuführen, um direkte Konnektivität mit dem Internet und Cloud-gehosteten SaaS bereitzustellen. Anwendungen.

SDWAN-RA-Image-5

Vorteile der Implementierung von Citrix SD-WAN

  1. Citrix SD-WAN ermöglicht die WAN-Link-Aggregation, wodurch Ausfallzeiten vermieden werden, wenn eine der Links ausfällt oder ein großer Paketverlust auftritt
  2. Verbesserte Anwendungsleistung und Quality of Service (QoS) für alle Zweigbenutzer beim Zugriff auf die Geschäftsanwendungen
  3. Reduziert die WAN-Kosten, indem der Kunde seine MPLS-Schaltungen um kostengünstigere Breitband- und LTE-Konnektivität an Zweigstellen erweitern kann
  4. Verbesserte Geschäftskonnektivität und Disaster Recovery-Funktionen, die die Konnektivität auch bei Ausfällen mehrerer Verbindungen aufrechterhalten
  5. Vereinfachte Vernetzung von Zweigstellen durch Konsolidierung von Netzwerkfunktionen in einer integrierten WAN-Edge-Appliance und Zentralisierung von Management und Richtliniendefinition

Einzelhandelskunde — Citrix SD-WAN -Netzwerkdesign

SDWAN-RA-Image-6

Das obige Diagramm stellt das vorgeschlagene Overlay-Netzwerkdesign mit Citrix SD-WAN, in den folgenden Abschnitten werden wir Drilldown in jedes Rechenzentrum und die Zweige, um die SD-WAN-Konfiguration zu verstehen und wie es die virtuelle WAN-Konnektivität mit verschiedenen Zugriffstypen - MPLS, Internet und 4 G/LTE-Verbindungen.

SD-WAN Orchestrator

Die SD-WAN-Appliances sind so konfiguriert, dass sie über die Verwaltungsschnittstellen der Geräte eine Verbindung mit cloudbasierten SD-WAN Orchestrator über das Internet herstellen. SD-WAN Orchestrator verteilt die Konfiguration und Software auf jedes SD-WAN-Gerät parallel, es fragt auch Daten von jedem SD-WAN-Gerät für Überwachungs- und Berichtszwecke ab. Firewallregeln sollten angewendet werden, um den Internetzugriff für SD-WAN-Appliances zu ermöglichen, damit diese mit dem Citrix Cloud SD-WAN Orchestrator Dienst kommunizieren können.

SDWAN-RA-Image-7

Konfiguration des primären Rechenzentrums

Die SD-WAN-Appliance im primären Rechenzentrum wird im Virtual Inline-Modus bereitgestellt, der manchmal auch als Policy-Based Routing (PBR) -Modus bezeichnet wird. Es gibt zwei Methoden, mit denen Datenverkehr an die SDWAN-Appliance weitergeleitet werden kann

  • Policy-basiertes Routing
  • Dynamisches Routing-Protokoll

Die Citrix SD-WAN Lösung unterstützt sowohl statische Routing- als auch dynamische Routingprotokolle.

Die SD-WAN-Appliances können Routenermittlung von Layer-3-Routing-Ankündigungen innerhalb des bestehenden Kundennetzwerks für jedes der gewünschten dynamischen Routing-Protokolle (OSPF und BGP) durchführen. Dadurch entfällt die Notwendigkeit, dass SD-WAN-Administratoren die LAN-Seite und das WAN-seitige Netzwerk statisch definieren müssen -Umgebung für jede Appliance, die Teil des SD-WAN-Netzwerks ist.

Für Netzwerke mit aktiviertem Routenlernen bietet Citrix SD-WAN mehr Kontrolle darüber, welche SD-WAN-Routen an Routing-Nachbarn angekündigt werden, anstatt Werbung für alle oder keine Routen. Exportfilter werden verwendet, um Routen für Werbung mit OSPF- und BGP-Protokollen basierend auf bestimmten Übereinstimmungen ein- oder auszuschließen Kriterien. Die Routenfilterung wird auf LAN-Routen in einem SD-WAN-Netzwerk (Datacenter/Branch) implementiert und über eBGP in einem Nicht-SD-WAN-Netzwerk angekündigt. Der SD-WAN-Administrator kann 32 Exportfilter je nach Anforderung konfigurieren. Exportfilter sind die Filter, die verwendet werden, um die spezifische Routingdomäne oder Standard-Routingdomäne basierend auf der spezifischen Reihenfolge zu priorisieren.

  • Filter importieren — (Standard: Import none)
  • Filter exportieren — (Standard: Alle statischen Routen und Tunnelrouten exportieren)

Der OSPF-Routentyp exportieren ist standardmäßig Typ 5 Extern. Der Grund dafür ist, dass die SD-WAN-Routingtabelle als extern des OSPF-Protokolls betrachtet wird und daher OSPF eine intern erlernte Route (intern) bevorzugt. Daher haben Routen, die von SD-WAN angekündigt werden, keine Vorrang. Wenn OSPF über das WAN (d. h. MPLS-Netzwerke) verwendet wird, kann dies in Typ 1 innerhalb der Fläche geändert werden. SD-WAN kann nun Routen als Intra-Area Routes (LSA Type 1) ankündigen, um die Präferenz gemäß den Routenkosten mit dem OSPF-Pfadauswahlalgorithmus zu erhalten.

Master-Kontrollknoten

Im Rahmen einer Bereitstellung in einer einzelnen Region sind die Rechenzentrum-Appliances die Headend-Appliance (s), die als MCN (Master Control Node) festgelegt sind. MCN erfordert die Konfiguration einer statischen IP-Adresse. Der Master Control Node (MCN) ist die zentrale Virtual WAN Appliance, die für die Zeitsynchronisierung, Routing Updates und den Hub für die Zweiggeräte zuständig ist. Head-End-Geräte werden in der Regel in High Available bereitgestellt. Da der Kunde über zwei Rechenzentren für die Disaster Recovery verfügt, wird das primäre Rechenzentrum als primärer MCN konfiguriert (dies kann ein HA-Paar sein), und das sekundäre Rechenzentrum wird als sekundärer MCN (der auch ein HA-Paar sein kann) konfiguriert.

Hochverfügbarkeitsmodus

Die Citrix SD-WAN High Availability (HA) -Konfiguration verfügt über zwei SD-WAN-Appliances im primären Rechenzentrum, die zu Redundanzzwecken in einer Aktiv/Standby-Partnerschaft eingesetzt werden. Beide Appliances in einem HA-Paar müssen dasselbe Appliance-Modell aufweisen.

Zum Definieren der Hochverfügbarkeitskonfiguration hat der SD-WAN-Administrator den Namen der HA-Appliance mit dem Modus Primary MCN konfiguriert. Es ist möglich, eine Failoverzeit in Millisekunden festzulegen. Dies gibt die Wartezeit im Falle eines Herzschlagfehlers an, bevor die Standby-MCN-Appliance als aktiver Knoten aufgerufen wird. Der Standardwert für die Failoverzeit beträgt 1000ms. Zusätzlich zu diesen Einstellungen hat der Administrator die Option Primary Reclaim für den primären MCN ausgewählt, um das Steuerelement beim Neustart nach einem Failover-Ereignis zurückzugewinnen. High Availability verfügt über eine zusätzliche Konfiguration für die Shared Base-MAC-Adresse, die so konfiguriert werden kann, dass die MAC-Adressen der Schnittstelle zwischen den Appliances in einem HA-Paar freigegeben werden. Wenn ein Failover auftritt, verfügt die sekundäre Appliance über dieselben virtuellen MAC-Adressen wie die fehlgeschlagene primäre Appliance. Für cloudbasierte Plattformen gibt es eine zusätzliche Option zum Deaktivieren der Shared Base-MAC-Adresse.

In der Konfiguration der High Availability IP-Schnittstellen hat der Administrator die virtuelle Schnittstelle für die Heartbeat-Kommunikation zwischen den Appliances im HA-Paar mit primären und sekundären IP-Adressen ausgewählt. Es ist wichtig zu beachten, dass das Failover während des Heartbeat-Fehlers von primär zu sekundär nur für die überwachten Schnittstellen auftritt. Wenn Schnittstellen vorhanden sind, die nicht auf Heartbeat-Fehler auf der SD-WAN-Appliance überwacht werden und ein Ausfall auf diesen Schnittstellen besteht, werden die Appliances nicht Failover.

Die externe Tracker-IP-Adresse wurde konfiguriert, dass ARPs der Upstream-Router und aktualisiert den Status bezüglich des Status der primären Appliance. Wenn ein Fehler in der Antwort auftritt, initiiert das SD-WAN das Failover.

SDWAN-RA-Image-8

Virtueller Pfad

Der SD-WAN-Administrator hat einen WAN-Pfadtunnel über jede WAN-Verbindung zwischen Rechenzentrum und Zweig-SD-WAN-Appliances erstellt, indem er die virtuelle IP so konfiguriert hat, dass sie den Endpunkt für jede WAN-Verbindung darstellt. Diese Konfiguration ermöglicht es, mehrere WAN-Verbindungen (physische Verbindungen) in einem einzigen virtuellen Pfad zu aggregieren, sodass Pakete das WAN unter Verwendung des SD-WAN-Overlay-Netzwerks statt der vorhandenen Unterlage durchqueren können. Der virtuelle Pfad ist ein UDP-basierter Tunnel mit UDP-Port 4980. Der Netzwerkadministrator stellt sicher, dass die Upstream-Firewalls, Router, IPS- und IDS-Geräte über die erforderlichen Regeln verfügen, damit die UDP-4980-Pakete über die WAN-Verbindungen den virtuellen Pfad zwischen SD-WAN-Geräten einrichten können.

Der virtuelle SD-WAN-Dienst verwaltet den Datenverkehr über die virtuellen Pfade hinweg. Ein virtueller Pfad ist eine logische Verbindung zwischen zwei oder mehr WAN-Verbindungen, die die SD-WAN-Sites verbinden. Es ist die Gruppierung verschiedener WAN-Zugriffstypen, um hohe Service-Level und zuverlässige Kommunikation zwischen SD-WAN-Knoten bereitzustellen. Dies wird durch ständige Messung der unterlegten WAN-Pfadbedingungen erreicht. Die Quell-Appliance fügt jedem Paket einen Header mit Informationen über die aktuellen Verknüpfungsmerkmale hinzu. Die Ziel-Appliance liest diese Header und verwendet die Daten, um die Transitzeit, Überlastung, Jitter, Paketverlust und andere Informationen über die Leistung und den Zustand des Pfades zu verstehen.

SD-WAN-Appliances messen den Pfad unidirektional und wählen den besten Pfad pro Paket aus. Citrix SD-WAN bietet paketbasierte Pfadauswahl zur schnellen Anpassung an alle Netzwerkänderungen. SD-WAN-Appliances können Pfadausfälle nach nur zwei oder drei fehlenden Paketen erkennen, wodurch ein nahtloses Failover des Anwendungsdatenverkehrs in Sub-Sekunden-Verbindung zum nächstbesten WAN-Pfad ermöglicht wird. SD-WAN-Appliances berechnen jeden WAN-Verbindungsstatus in etwa 50 ms neu.

Ein virtueller Pfad kann statisch oder dynamisch zwischen Zweigen sein, jedoch müssen alle Zweige einen statischen Pfad zum MCN haben. Dynamische virtuelle Pfade werden direkt zwischen Standorten basierend auf einem konfigurierten Schwellenwert eingerichtet. Der Schwellenwert basiert auf der Menge des Datenverkehrs zwischen diesen Standorten. Dynamische virtuelle Pfade werden erst erstellt, wenn der angegebene Schwellenwert erreicht ist. Dynamic Virtual Path haben die Standard-Routenkosten von 5, und es gibt Standardlimits und Timer:

  • Entfernung virtueller Pfad heruntergefahren Wartezeit — 1 Minute
  • Virtual Path Haltezeit neu erstellen (m) — 10 Minuten
  • Erstellungsgrenzwerte
    • Sample-Zeit — 1 Sekunde
    • Durchsatz — 600 Kbit/s
    • Durchsatz — 45 pps
  • Entfernungsgrenzwerte
    • Sample-Zeit — 2 Sekunden
    • Durchsatz — 45 kBit/s
    • Durchsatz — 35 pps

Sichern des virtuellen Pfades

Die AES-128-Bit-Verschlüsselung ist standardmäßig für virtuelle Pfade aktiviert, wobei AES-256 und IPSec ebenfalls verfügbar sind. Dies ist für den virtuellen Pfad Die Option “Enable Encryption Key Rotation” ist so eingestellt, dass die Schlüsselregeneration für jeden virtuellen Pfad mit aktivierter Verschlüsselung mit einem Elliptischen Kurven-Diffie sichergestellt wird -Hellman-Schlüsselaustausch in Intervallen von 10-15 Minuten und dies ist konfigurierbar.

Für jeden Standort gibt es einen geheimen Schlüssel; für jeden virtuellen Pfad generiert die Netzwerkkonfiguration einen Schlüssel, indem die geheimen Schlüssel von den Standorten an jedem Ende des virtuellen Pfads kombiniert werden. Der anfängliche Schlüsselaustausch, der nach dem ersten Einrichten eines virtuellen Pfads erfolgt, hängt von der Fähigkeit ab, Pakete mit diesem kombinierten Schlüssel zu verschlüsseln und zu entschlüsseln.

Citrix SD-WAN unterstützt IPsec, mit dem Geräte von Drittanbietern IPsec-VPN-Tunnel auf der LAN- oder WAN-Seite einer Citrix SD-WAN-Appliance beendet werden können. Der Administrator kann Site-to-Site IPsec-Tunnel sichern, die auf einer SD-WAN-Appliance beendet werden, indem er eine 140-2 Level 1 FIPS-zertifizierte IPsec-Kryptografie-Binärdatei verwendet. SD-WAN unterstützt auch widerstandsfähiges IPSec-Tunneling mithilfe eines differenzierten virtuellen Pfad-Tunneling-Mechanismus.

Konfiguration des sekundären Rechenzentrums

Die SD-WAN-Appliances im sekundären Rechenzentrum werden auch im Virtual Inline (PBR) -Modus bereitgestellt, die SD-WAN-Appliances des sekundären Rechenzentrums werden als sekundäre MCNs in einer parallelen HA-Konfiguration konfiguriert.

SDWAN-RA-Image-9

Primärer MCN-Failover auf sekundäre

SDWAN-RA-Image-10

Der sekundäre MCN überwacht kontinuierlich den Zustand des primären MCN und wenn der primäre MCN ausfällt, übernimmt der sekundäre MCN die Rolle des MCN, wird der primäre MCN zum sekundären MCN umgeschaltet, nachdem der primäre MCN 15 Sekunden inaktiv ist. Die Option für die primäre Rückgewinnung ist für sekundäre MCN nicht verfügbar, da die primäre Rückgewinnung automatisch erfolgt, nachdem die primäre Appliance wieder eingeschaltet ist und der Schwellenwert abgelaufen ist.

Backhaul Internet to Rechenzentrum MCN

Der Begriff “Backhaul” bezeichnet den Datenverkehr, der für das Internet bestimmt ist, an eine andere vordefinierte Website zurückgesendet werden soll, die über eine WAN-Link auf das Internet zugreifen kann. Dies kann bei Netzwerken der Fall sein, die aufgrund von Sicherheitsbedenken oder aufgrund der unterlegten Netzwerkbeschränkungen keinen Internetzugang direkt in einer Zweigstelle zulassen. Der Netzwerkadministrator kann konfigurieren, dass der gesamte Datenverkehr an den MCN zurückgeleitet wird, unabhängig davon, ob es sich um DC-Ressourcen oder um den Internetzugang handelt. Andere Citrix SD-WAN -Zweigknoten-Sites können jedoch für den Zugriff auf das Internet genutzt werden.

In einigen Umgebungen kann die Backhaushaltung des gesamten Internetverkehrs von Remotestandorten durch die gehärtete DMZ im Rechenzentrum der begehrteste Ansatz sein, um Benutzern in Zweigstellen den Internetzugang zu ermöglichen. Dieser Ansatz hat jedoch seine Einschränkungen zu beachten und die Größe der unterlegten WAN-Verbindungen entsprechend.

  • Die Backhaul des Internetverkehrs erhöht die Latenz der Internetkonnektivität und ist abhängig von der Entfernung des Zweigstellenstandorts für das Rechenzentrum variabel.
  • Backhaul des Internetverkehrs verbraucht Bandbreite auf dem virtuellen Pfad und sollte bei der Dimensionierung von WAN-Links berücksichtigt werden
  • Die Backhaul des Internetverkehrs kann die Internet-WAN-Verbindung im Rechenzentrum überzeichnen, insbesondere wenn der virtuelle Inline-Modus genutzt wird.

Zugriff auf Citrix Virtual Apps and Desktops für Benutzer in einer Zweigstelle

Die Citrix Virtual Apps and Desktops Umgebung wird an den Standorten des Rechenzentrums für alle Zweigbenutzer gehostet, die über das MPLS-Netzwerk auf die CVAD-Umgebung zugreifen müssen, das alle Funktionen der Citrix HDX-Benutzererfahrung wie Drucken, Multimedia usw. umfasst. Mit Citrix SD-WAN kann der Kunde die beste Benutzererfahrung für die Zweigstellenbenutzer bereitstellen, während er auf die Citrix Virtual Apps and Desktops-Umgebung zugreift.

Branch-1-Konfiguration

Das Verfahren zum Hinzufügen eines Zweigstellenstandorts ist das gleiche wie das Erstellen und Konfigurieren der MCN-Site mit dem SD-WAN Orchestrator. Einige Konfigurationsschritte und Einstellungen variieren jedoch für Zweigstandorte geringfügig. Darüber hinaus können wir, sobald wir einen ersten Zweigstandort hinzugefügt haben, für Sites, die dasselbe Appliance-Modell haben, die Klonfunktion (Duplikate) verwenden, um das Hinzufügen und Konfigurieren dieser Sites zu optimieren.

Die SD-WAN-Appliance bei Branch-1 wird im Inline-Modus bereitgestellt. Die Fail-to-Wire-Konfiguration wurde angewendet, um die Verbindungen im Falle eines Hardware- oder Softwarefehlers zu überbrücken, wodurch Benutzer weiterhin auf geschäftskritische und POS-Anwendungen über MPLS zugreifen können.

Da Branch-1 nur über eine einzige MPLS-Verbindung verfügt und es keine Internetverbindung gibt, muss der gesamte Internetverkehr zum Rechenzentrum zurückholen, entschied sich der Kunde, den Internetlink zu nutzen, der in Branch-2 mit ausreichender Bandbreite für den Branch-1-Internetzugang verfügbar ist. Der SD-WAN-Administrator hat überprüft, dass die Latenz zum Erreichen von Branch-2 geringer ist als im Vergleich zu Rechenzentren. Daher würde die Nutzung des Internets in Branch-2 eine optimale Leistung für Branch-1-Benutzer bieten. Diese Anforderung wird über den Hairpineinsatz erreicht. Beachten Sie, dass der SD-WAN-Administrator die WAN-zu-WAN-Weiterleitung aktiviert hat, damit diese Site als Proxy für Multi-Hop-Sites fungieren kann.

Hairpin-Bereitstellung

Die Hairpin-Bereitstellung hilft einem Kunden bei der Implementierung einer Konfiguration, die es einem Standort ermöglicht, die WAN-Verbindung eines Remote-Hub-Sites für den Internetzugang zu verwenden, da lokale Internetdienste nicht verfügbar sind.

Der Zweck einer Hairpin-Bereitstellung besteht darin, den direkten Anwendungszugriff über einen Internet-Link zu ermöglichen, der nicht lokal auf der Zweigstelle oder Website ist. Kunden haben die Möglichkeit, bei Bedarf einen Remote-Standort für den Internetzugang zu nutzen und können Flows durch den virtuellen Pfad leiten.

Um die gewünschte Anforderung zu erfüllen, hat der Kunde die Konfiguration der Hairpin Deployment-Konfiguration für die Branch-1 SD-WAN-Appliance erstellt und angewendet, damit Branch-1-Benutzer über Zweigstelle-2 auf das Internet zugreifen können. Die gleichen Richtlinien und Konfigurationen wurden mit dem SD-WAN-Orchestrator an die Zweige weitergegeben. Der Kunde hat auch dafür gesorgt, dass die Zweigstelle-2 über die erforderliche Bandbreite über die Internetverbindung verfügt, um den zusätzlichen Datenverkehr von Branch-1 aufzunehmen.

Anwendungstransparenz mit Deep Packet Inspection (DPI)

Citrix SD-WAN verfügt über eine integrierte DPI-Bibliothek (Deep Packet Inspection), mit der Anwendungen in Echtzeit ermittelt und klassifiziert werden können. Mithilfe der integrierten DPI-Engine analysiert die SD-WAN-Appliance das eingehende Paket und klassifiziert es als zu einer Anwendung oder Anwendungsfamilie.

Mithilfe der DPI-basierten Anwendungstransparenz kann Citrix SD-WAN über 4.500 Anwendungen und Unteranwendungen erkennen. Diese Funktion verwendet eine Vielzahl von Pattern-Matching, Sitzungsverhalten, DNS-Caching und portbasierte Klassifizierungstechniken, um Echtzeit-Layer-7 Sichtbarkeit für alle Anwendungen zu bieten, die das WAN durchlaufen, einschließlich SSL-verschlüsseltem Datenverkehr wie HTTPS, IMAPS usw. Citrix SD-WAN bietet nicht nur Einblick in Anwendungen wie Social Media (Facebook, YouTube und Twitter), O365, Oracle und so weiter, sondern bietet auch Einblick in den Bandbreitenverbrauch von Anwendungen, um sicherzustellen, dass geschäftskritische Apps nicht an Bandbreite verhungern.

Da die Branch-1-Benutzer für den Anwendungszugriff über den Internet-Link auf Zweigstelle-2 zurückgeholt werden, entschied sich der Kunde, den Zugriff auf Anwendungsebene und seine Bandbreitenauslastung zu überwachen, um das Zugriffsmuster zu verstehen und den Zugriff nur für die Anwendungen mit geschäftlichen Anforderungen zu kontrollieren. Der Kunde hat Anwendungsrichtlinien erstellt, die eine neu erstellte Anwendungsgruppe namens “Social Media” blockieren, zu der auch Facebook, YouTube, Twitter usw. gehören.

Mit dieser Konfiguration konnten Branch-1-Benutzer nur für geschäftskritische Anwendungen auf das Internet zugreifen, und der nicht unternehmensbezogene Zugriff wurde am Branch-1 SD-WAN selbst blockiert, wodurch wertvolle Bandbreite eingespart wird.

SDWAN-RA-Image-11

Routing-Domänen

Citrix SD-WAN bietet die Möglichkeit, Netzwerke für mehr Sicherheit und Verwaltbarkeit mithilfe von Virtual Routing and Forwarding (VRF-Lite) zu segmentieren. Der Kunde kann Gastnetzwerkverkehr vom Produktionsdatenverkehr der Mitarbeiter trennen, eigene Routingdomänen erstellen, um große Unternehmensnetzwerke zu segmentieren, und Datenverkehr segmentieren, um mehrere Kundennetzwerke zu unterstützen. Jede Routingdomäne verfügt über eine eigene Routingtabelle und ermöglicht die Unterstützung überlappender IP-Subnetze.

Citrix SD-WAN Appliances implementieren OSPF- und BGP-Routingprotokolle für die Routingdomänen, um den Netzwerkverkehr zu steuern und zu segmentieren. Ein virtueller Pfad kann unabhängig von der Definition des Zugriffspunkts über alle Routingdomänen kommunizieren. Dies ist möglich, weil die SD-WAN-Kapselung die Routingdomäneninformationen für jedes Paket enthält. Daher wissen beide Endgeräte, wohin das Paket in Bezug auf Routingdomäne gehört. Routingdomäne sind durch eine Barriere wie VLAN getrennt, es ist möglich, bis zu 255 Routingdomänen zu konfigurieren.

Gemäß der Anforderung hat der Administrator zwei Routingdomänen für Zweig 1 erstellt, die für den Unternehmens-Datenverkehr bzw. den Gast-WLAN-Zugang verwendet werden. Citrix Virtual Apps and Desktops werden über den virtuellen Pfad an das Rechenzentrum weitergeleitet und der Gast-WLAN-Zugang wird über die Haarnadel an Branch-2 weitergeleitet. -Konfiguration.

Neben der Routingdomäne wollte der Kunde höhere Priorität für geschäftskritische Anwendungen gegenüber dem virtuellen Pfad anwenden. Im nächsten Abschnitt werden wir über QoS von Anwendungen diskutieren und wie es hilft, die Kundenanforderungen zu erreichen.

Anwendungs-QOS

Die Citrix SD-WAN Lösung verfügt über eine der anspruchsvollsten Anwendungs-QoS-Engines auf dem Markt. Es verfügt über die umfassendsten Funktionen, um nicht nur den Anwendungsdatenverkehr zu bewerten und ihn mit anderen Anwendungen zu priorisieren, sondern auch um seine Anforderungen in Bezug auf die WAN-Netzwerkqualität zu verstehen und einen Netzwerkpfad basierend auf Netzwerkqualitätsmerkmalen in Echtzeit auszuwählen.

Die Anwendungsklassifizierungsfunktion ermöglicht es der Citrix SD-WAN Appliance, eingehenden Datenverkehr zu analysieren und sie als Zugehörigkeit zu einer Anwendung oder Anwendungsfamilie zu klassifizieren. Diese Klassifizierung ermöglicht es uns, die QoS einzelner Anwendungen oder Anwendungsfamilien zu verbessern, indem Anwendungsregeln erstellt und angewendet werden.

Der Netzwerkadministrator kann Datenverkehrsflüsse basierend auf Anwendungs-, Anwendungs- oder Anwendungsobjektübereinandertypen filtern und Anwendungsregeln anwenden. Die Anwendungsregeln sind wie IP-Regeln (Internet Protocol).

Die Citrix SD-WAN Lösung bietet standardmäßig Standardeinstellungen für Anwendungsklassifizierungen, Regelfilterung und Klassenzuweisung. Mithilfe von Klassen kann der Administrator einen bestimmten Typ von Datenverkehr auf dem virtuellen Pfad klassifizieren und dann Regeln anwenden, um diesen Datenverkehr zu verarbeiten. Der Datenverkehr wird einer bestimmten Klasse zugewiesen, wie in der Regel definiert.

Das SD-WAN-System bietet 17 Klassen (0-16). Die Klassen 0-3 sind für die Citrix HDX QoS-Priorisierung vordefiniert. Diese Klassen werden verwendet, um HDX-Datenverkehr mit verschiedenen ICA-Prioritäts-Tags zu klassifizieren. Der SD-WAN-Administrator kann die Klassentypen und die zugewiesene Bandbreitenfreigabe bearbeiten, um die optimale Servicequalität zu erhalten, die Namen der Klassen jedoch nicht bearbeiten.

Klassen 10-16 sind vordefiniert und sind mit RealTime, Interactive und Bulk-Klassentypen verknüpft. Jeder Typ kann weiter konfiguriert werden, um Quality of Service für seine Art des Datenverkehrs zu optimieren. Klassen 4-9 können verwendet werden, um benutzerdefinierte Klassen anzugeben. Klassen sind von einer der folgenden drei Typen:

Echtzeit — VoIP- oder VoIP-ähnliche Anwendungen wie Skype for Business oder ICA Audio. Im Allgemeinen bezieht es sich auf Sprachanwendungen, die kleine UDP-Pakete verwenden, die geschäftskritisch sind.

Interaktiv — Dies ist die breiteste Kategorie und bezieht sich auf jede Anwendung, die ein hohes Maß an Benutzerinteraktion hat. Einige dieser Anwendungen, zum Beispiel Videokonferenzen, sind Latenzempfindlich und erfordern eine hohe Bandbreite. Andere Anwendungen wie HTTPS benötigen möglicherweise weniger Bandbreite, sind aber entscheidend für das Unternehmen. Interaktive Anwendungen sind typischerweise transaktionaler Natur.

Bulk — Dies ist jede Anwendung, die keine umfangreiche Benutzererfahrung benötigt, sondern mehr über das Verschieben von Daten (z. B. FTP oder Backup/Replikation)

Um die tatsächliche Anforderung des Kunden zu erfüllen, den HDX-Zugriff von der Zweigstelle zum Rechenzentrum zu priorisieren, hat der SD-WAN-Administrator die QoS-Regeln für den Citrix HDX-Zugriff für alle Zweigstellen erstellt und die Richtlinie über SD-WAN Orchestrator auf Zweige angewendet. Der Kunde hat die Provisioning einstellungen angewendet, die die bidirektionale (LAN zu WAN/WAN zu LAN) Verteilung der Bandbreite für eine WAN-Verbindung zwischen den verschiedenen Diensten ermöglichen, die mit dieser WAN-Verbindung verbunden sind.

Zweigstelle-2-Konfiguration

Die SD-WAN-Appliance am Branch-2 wird sowohl auf MPLS- als auch auf Internetschaltungen eingesetzt, sie wird im sogenannten Inline-Modus mit hoher Verfügbarkeit bereitgestellt — das bedeutet, dass die vorhandenen Routinggeräte/Firewalls in situ bleiben.

Der Kunde hat 210 LTE-Appliances installiert, die einen 4G/LTE -Internetlink eingeführt haben, um eine Sicherung für den bestehenden Internetlink dieser Zweigstelle bereitzustellen. Mit der Deep Packet Inspection Funktion müssen Geschäftsanwendungen und SaaS-Anwendungen, die Internetzugang erfordern, lokal in der Filiale ausgebrochen werden und der Datenverkehr über den dedizierten Internetlink oder den 4G/LTE-Link weitergeleitet werden. Der gesamte Social-Media-Zugang muss in der Filiale ausgebrochen und über den Internetlink weitergeleitet werden.

Mit dem lokalen Internetbreakoutdienst konfigurierte der SD-WAN-Administrator die Anwendungsrichtlinien, um den Datenverkehr über die lokale Internetverbindung für die Zweigstelle umzuleiten. Wenn Sie diesen Internetbreakoutdienst verwenden, wird der Internetverkehr von Zweig 2 direkt an das öffentliche Internet gesendet und nicht an das Rechenzentrum gesandt.

Lokaler Internetbreakoutdienst

Der Internetdienst wird für den Datenverkehr zwischen Standorten und dem öffentlichen Internet verwendet, der Internetdienstverkehr wird nicht von Citrix SD-WAN gekapselt und verfügt nicht über die gleichen Funktionen wie der Datenverkehr, der über den Virtual Path Service einschließlich QoS bereitgestellt wird.

Es ist jedoch wichtig, diesen Internetverkehr zu klassifizieren und zu berücksichtigen. Datenverkehr, der als Internetdienst identifiziert wird, ermöglicht die zusätzliche Möglichkeit, dass SD-WAN in der Lage ist, die WAN-Verbindungsbandbreite aktiv zu verwalten, indem der Internetverkehr im Verhältnis zum Datenverkehr über den virtuellen Pfad und das Intranet übertragen wird. -Dienste gemäß der vom Administrator festgelegten Konfiguration. Zusätzlich zu den Funktionen zum Bandbreitenprovisioning verfügt SD-WAN über die zusätzliche Möglichkeit, den über den Internetdienst bereitgestellten Datenverkehr unter Verwendung mehrerer Internet-WAN-Verbindungen auszugleichen.

Die Steuerung des Internetverkehrs mithilfe des Internetdienstes auf Citrix SD-WAN kann in den folgenden Bereitstellungsmodi konfiguriert werden:

  • Direkter Internetbreakout in Branch mit integrierter Firewall
  • Direkter Internetbreakout bei Zweigweiterleitung an Secure Web Gateway

SDWAN-RA-Image-12

Zscaler Cloud-Sicherheitsplattform

Um den Datenverkehr zu sichern und Richtlinien durchzusetzen, verzweigen Unternehmen den Internetverkehr zum Rechenzentrum des Unternehmens. Das Rechenzentrum wendet Sicherheitsrichtlinien an, filtert den Datenverkehr über Sicherheits-Appliances und leitet den Datenverkehr über einen ISP weiter. Ein solches Backhauling über private MPLS-Links ist teuer und verbraucht wertvolle Ressourcen. Dies führt auch zu einer erheblichen Latenz, was zu einer schlechten Benutzererfahrung am Zweigstandort führt.

Eine Alternative zum Backhauling ist das Hinzufügen von Sicherheits-Appliances in der Filiale. Die Kosten und Komplexität steigen jedoch mit der Installation mehrerer Appliances. Auch wenn es eine große Anzahl von Filialen Kosten und Management wird unpraktisch.

Die ideale Lösung, um die Sicherheit ohne zusätzliche Kosten, Komplexität oder Latenz durchzusetzen, besteht darin, den gesamten Internetverkehr von der Citrix SD-WAN-Appliance an die Zscaler Cloud Security Platform weiterzuleiten. Der Kunde kann dann eine zentrale Zscaler-Konsole verwenden, um detaillierte Sicherheitsrichtlinien für die Benutzer zu erstellen. Die Richtlinien werden konsistent angewendet, unabhängig davon, ob sich der Benutzer im Rechenzentrum oder an einem Zweigstandort befindet. Da die Zscaler-Sicherheitslösung Cloud-basiert ist, muss der Kunde dem Netzwerk keine zusätzlichen Sicherheits-Appliances hinzufügen.

Die Zscaler Cloud Security Platform fungiert als eine Reihe von Sicherheitskontrollen in mehr als 100 Rechenzentren auf der ganzen Welt. Durch einfaches Umleiten des Internetverkehrs des Kunden an Zscaler können sie die Datenspeicher, Zweige und Remotestandorte sofort sichern. Zscaler verbindet Benutzer und das Internet und überprüft jedes Datenpaket, auch wenn es verschlüsselt oder komprimiert ist. Citrix SD-WAN-Appliances können über GRE-Tunnel oder IPsec-Tunnel eine Verbindung zu einem Zscaler-Cloud-Netzwerk herstellen.

Um den Internetbreakout zu erreichen und den Internetverkehr zu sichern, konfigurierte der Administrator den lokalen Internetbreakout-Dienst an der Zweigstelle-2 SD-WAN-Appliance und erstellte einen IPsec-Tunnel zum Zscaler Cloud-Netzwerk. Mit dieser Konfiguration konnte der Kunde den Internetverkehr von Zweig 2 nach Zscaler in einem sicheren Tunnel und dann ins öffentliche Internet umleiten. Durch die Erreichung dieses Ziels wurde die MPLS-Verbindungsbandbreite reduziert und somit Kosten gespart.

Branch-3-Konfiguration

Die SD-WAN-Appliance bei Branch-3 wird im Inline-Modus mit Fail-to-Wire-Konfiguration bereitgestellt. Dieser Zweig hat einen Internet-Link und einen 4G/LTE Internet-Link für Backup. Branch-3 verfügt über die Konfiguration für Backhaul zum Internetverkehr zum Rechenzentrum MCN. Der Kunde entschied sich, die wenigen Internet-Traffic-Bereiche wie Nachrichten, SaaS und andere Clouddienste über den lokalen Internetlink umzulenken, um den Benutzern einen ununterbrochenen und optimalen Zugriff zu bieten.

SDWAN-RA-Image-13

Anwendungsrouten

Die Zweigstellenbenutzer müssen über den virtuellen SD-WAN-Pfad auf die Anwendungen zugreifen, die in den primären oder sekundären Rechenzentren, den Cloud-Apps oder den SaaS-Anwendungen gehostet werden. Die Anwendungsrouting-Funktion ermöglicht es, die Anwendungen einfach und kostengünstig über das Netzwerk zu steuern. Mit dieser Funktion, wenn ein Branch-3-Benutzer versucht, auf eine SaaS-Anwendung zuzugreifen, kann der Datenverkehr direkt im Internet geleitet werden, ohne zuerst durch das Rechenzentrum gehen zu müssen.

Citrix SD-WAN definiert die Anwendungsrouten für Virtual Path, Internet, Intranet, Local, GRE Tunnel und LAN IPSec-Tunnel. Um Service Steering für Anwendungen durchzuführen, ist es wichtig, eine Anwendung auf dem ersten Paket selbst zu identifizieren. Zunächst fließen die Pakete durch die IP-Route, sobald der Datenverkehr klassifiziert und die Anwendung bekannt ist, wird die entsprechende Anwendungsroute verwendet. Die erste Paketklassifizierung wird durch Erlernen der IP-Subnetze und Ports erreicht, die mit Anwendungsobjekten verknüpft sind. Diese werden mit historischen Klassifizierungsergebnissen des DPI-Klassifikators und vom Benutzer konfigurierten IP-Port-Typen abgerufen.

Bei Branch-3 hat der Kunde einen Internetlink und wollte den Link für den Anwendungsverkehr nutzen, der zum Internet leitet. Der Kunde hat das Anwendungsrouting für Azure, AWS und Google Cloud für den Zugriff über den lokalen Internetlink konfiguriert.

Citrix SD-WAN aktiviert Standby-Links, die so konfiguriert werden können, dass Benutzerdatenverkehr nur über eine bestimmte Internet-WAN-Verbindung übertragen wird, wenn alle anderen verfügbaren WAN-Verbindungen deaktiviert sind.

Standby-Links sparen Bandbreite für Links, die je nach Nutzung abgerechnet werden. Mit den Standby-Links kann der Administrator die Links als Letzter Resort-Link konfigurieren, was die Verwendung des Links nicht zulässt, bis alle anderen nicht getakteten Links heruntergefahren oder verschlechtert sind.

Set Last Resort ist in der Regel aktiviert, wenn drei WAN-Links zu einer Site vorhanden sind (d. h. MPLS, Breitband-Internet, 4G/LTE) und eine der WAN-Verbindungen 4G/LTE ist und kann für ein Unternehmen zu teuer sein, die Nutzung zu ermöglichen, es sei denn, es ist erforderlich. Die Messung ist standardmäßig nicht aktiviert und kann auf einer WAN-Verbindung eines beliebigen Zugriffstyps (Public Internet, Private MPLS, Private Intranet) aktiviert werden.

Der Kunde muss auch Backup/Standby für die lokale Internetverbindung aktivieren, die für den Cloud-Internetverkehr von entscheidender Bedeutung ist. Der Administrator hat den 4G-LTE-Link als getakteten letzten Resort-Link aktiviert, so dass, wenn der dedizierte lokale Internet-Link gesättigt oder ausfällt, der Internetverkehr auch den 4G-LTE-Link verwendet.

Zweigstelle-29-Konfiguration

Die SD-WAN-Appliance bei Zweigstelle-29 wird im Inline-Modus mit Parallel HA-Konfiguration bereitgestellt, um die 2 x MPLS-Verbindungen und eine 4G-LTE Verbindung zu verbinden, die bei SD-WAN für den Internetzugang beendet wird. Da wir 3 WAN-Links für diese Branche haben, wollte der Kunde den virtuellen Pfad für Internet- und Intranetverkehr trennen. Internetverkehr sollte immer einen der MPLS-Links verwenden, und wenn er fehlschlägt, sollte der 4G-LTE-Link verwendet werden und für den Intranet-Nicht-SD-WAN-Zweigverkehr muss der zweite MPLS-Link verwendet werden. Der Kunde hat auch dafür gesorgt, dass er die Intranetdienste in allen Zweigstellen so konfiguriert hat, dass sie mit den Nicht-SD-WAN-Niederlassungen kommunizieren.

SDWAN-RA-Image-14

Intranet-Service

Intranetdienst bezeichnet Routen, die über eine private WAN-Verbindung (MPLS, P2P, VPN usw.) zu Branch-30 erreichbar sind, die sich im MPLS-Netzwerk befindet, aber keine SD-WAN-Appliance besitzt. Es wird davon ausgegangen, dass diese Routen an einen bestimmten WAN-Router weitergeleitet werden müssen. Der Intranetdienst ist standardmäßig nicht aktiviert, daher hat der SD-WAN-Administrator diesen Dienst aktiviert und die Routen angewendet. Jeder Datenverkehr, der dieser Route (Subnetz) entspricht, wird als Intranet für diese Appliance klassifiziert, um an einen Standort zuzustellen, der keine SD-WAN-Lösung besitzt.

Internet Service

Der Internetdienst ist wie Intranet, wird jedoch verwendet, um Datenverkehr zu öffentlichen Internet-WAN-Verbindungen und nicht zu privaten WAN-Verbindungen zu definieren. Ein eindeutiger Unterschied besteht darin, dass der Internetdienst mehreren WAN-Verbindungen zugeordnet und auf Lastausgleich (pro Flow) oder aktiv/Backup eingestellt werden kann. Standard-Internetrouten werden erstellt, wenn der Internetdienst aktiviert ist (standardmäßig deaktiviert). Jeder Datenverkehr, der dieser Route (Subnetz) entspricht, wird als Internet für diese Appliance für die Bereitstellung an öffentliche Internetressourcen klassifiziert.

Intranet- und Internetrouten

Für die Typen Intranet und Internet muss der SD-WAN-Administrator einen SD-WAN-Link definieren, um diese Arten von Diensten zu unterstützen. Dies ist eine Voraussetzung für alle definierten Routen für einen dieser Dienste. Wenn die WAN-Link nicht zur Unterstützung des Intranetdienstes definiert ist, wird sie als lokale Route betrachtet. Die Intranet-, Internet- und Passthrough-Routen sind nur für die Standort/Appliance relevant, für die sie konfiguriert sind.

Bei der Definition von Intranet-, Internet- oder Passthrough-Routen gelten folgende Entwurfsüberlegungen:

  • Dienst muss auf der WAN-Verbindung definiert sein (Intranet/Internet — erforderlich)
  • Relevant für lokales SD-WAN-Gerät
  • Intranet-Routen können über den virtuellen Pfad erlernt werden, werden jedoch zu höheren Kosten durchgeführt.
  • Mit Internet Service, gibt es automatisch eine Standard-Route erstellt (0.0.0.0/0) fangen alle Route mit einem Preis 5 und es ist konfigurierbar
  • Gehen Sie nicht davon aus, dass Passthrough funktioniert, dies sollte testiert/verifiziert werden. Testen Sie auch mit Virtual Path herunter/deaktiviert, um das gewünschte Verhalten zu überprüfen.
  • Routentabellen sind statisch, es sei denn, die Routenlernfunktion ist aktiviert

Gemäß der Anforderung hat der SD-WAN-Administrator den Intranetdienst mit einer der MPLS-Links erstellt, um die Kommunikation mit Branch-30 herzustellen. Um die Anforderung des Internetdienstes zu erfüllen, hat der Administrator den virtuellen Pfad mit dem zweiten MPLS-Link erstellt, um mit allen anderen Zweigen zu kommunizieren.

Branch-30-Konfiguration

Branch-30 ist eine neue Zweigstelle, die mit dem Rechenzentrum und anderen Zweigstellen über MPLS-Netzwerk verbunden ist, ohne dass SD-WAN in der Filiale installiert ist. Die im Rechenzentrum und in anderen Zweigen konfigurierten Intranetdienste werden die Routen an bestimmte Router weitergeleitet. Jeder Datenverkehr, der dieser Route entspricht, wird als Intranet und Zustellung an einen Zweig 30 klassifiziert, der keine SD-WAN-Lösung besitzt. Auf diese Weise können sich die Benutzer aus der Zweigstelle mit dem Rechenzentrum verbinden, um auf die Geschäfts- und POS-Anwendungen zuzugreifen.

SDWAN-RA-Image-15

Quellen

Ziel dieser Referenzarchitektur ist es, Sie bei der Planung Ihrer eigenen Implementierung zu unterstützen. Um diese Arbeit zu erleichtern, möchten wir Ihnen Quelldiagramme zur Verfügung stellen, die Sie in Ihren eigenen detaillierten Entwürfen und Implementierungshandbüchern anpassen können: Quelldiagramme.

Referenzen

Citrix SD-WAN Orchestrator

Citrix SD-WAN Artikel

Best Practices für SD-WAN

Citrix SD-WAN für Citrix Workspace

Bereitstellungsmodi

GRE Tunnel für einen Zweigstandort

Backhaul Internet

Mess- und Standby-WAN-Verbindungen

Anwendungsklassen und Regeln

MPLS-Warteschlangen

Dynamisches Routing

Konfigurieren des Virtual Router-Redundanzprotokolls

IPSec-Tunnel zwischen SD-WAN und Drittanbieter-Geräten

Zscaler Integration mit GRE-Tunneln und IPsec-Tunneln

Citrix SD-WAN-Referenzarchitektur