Citrix SD-WAN WANOP

Configuración del router

El router tiene tres tareas cuando admite el modo virtual en línea:

  1. Debe reenviar el tráfico WAN entrante y saliente al dispositivo SD-WAN.
  2. Debe reenviar el tráfico SD-WAN a su destino (WAN o LAN).
  3. Debe supervisar el estado del dispositivo para que se pueda omitir el dispositivo si falla.

Reglas basadas en políticas

En el modo virtual en línea, los métodos de reenvío de paquetes pueden crear bucles de enrutamiento si las reglas de enrutamiento no distinguen entre un paquete que ha sido reenviado por el dispositivo y otro que no lo ha hecho. Puede usar cualquier método que haga esa distinción.

Un método típico consiste en dedicar uno de los puertos Ethernet del router al dispositivo y crear reglas de enrutamiento basadas en el puerto Ethernet al que llegan los paquetes. Los paquetes que llegan a la interfaz dedicada al dispositivo nunca se reenvían al dispositivo, pero pueden serlo los paquetes que llegan a cualquier otra interfaz.

El algoritmo básico de enrutamiento es:

  • No reenvíe paquetes desde el dispositivo al dispositivo.
  • Si el paquete llega de la WAN, reenviarlo al dispositivo.
  • Si el paquete está destinado a la WAN, reenvíe al dispositivo.
  • No reenvíe el tráfico de LAN a LAN al dispositivo.
  • El modelado del tráfico no es efectivo a menos que todo el tráfico WAN pase a través del dispositivo.

Nota: Al considerar las opciones de enrutamiento, tenga en cuenta que los datos devueltos, no solo los datos salientes, deben fluir a través del dispositivo. Por ejemplo, colocar el dispositivo en la subred local y designarlo como el enrutador predeterminado para los sistemas locales no funciona en una implementación virtual en línea. Los datos salientes fluirían a través del dispositivo, pero los datos entrantes lo omitirían. Para forzar los datos a través del dispositivo sin reconfigurar el router, utilice el modo en línea.

Supervisión de estado

Si el dispositivo falla, los datos no se deben enrutar a él. De forma predeterminada, el enrutamiento basado en políticas de Cisco no realiza ninguna supervisión del estado. Para habilitar la supervisión del estado, defina una regla para supervisar la disponibilidad del dispositivo y especifique la opción verify-availability para el comando set ip next-hop. Con esta configuración, si el dispositivo no está disponible, no se aplica la ruta y se omite el dispositivo.

Importante: Citrix recomienda el modo virtual en línea solo cuando se utiliza con supervisión de estado. Muchos enrutadores que admiten enrutamiento basado en políticas no admiten la comprobación de estado. La función de supervisión de la salud es relativamente nueva. Se puso disponible en la versión 12.3 (4) T. del IOS de Cisco.

A continuación se muestra un ejemplo de una regla para supervisar la disponibilidad del dispositivo:

``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is connected track 123 rtr 1 reachabilit y ! rtr 1 type echo protocol IpIcmpecho 192.168.1.200 schedule 1 life forever start-time now


Esta regla hace ping al dispositivo en 192.168.1.200 periódicamente. Puede probar con 123 para ver si la unidad está arriba.

## Ejemplos de enrutamiento

Los siguientes ejemplos ilustran la configuración de enrutadores Cisco para los sitios locales y remotos que se muestran en [Ejemplo virtual en línea](/es-es/citrix-sd-wan-wanop/11/cb-deployment-modes-con/br-adv-virt-inline-mode-con.html). Para ilustrar la supervisión del estado, la configuración del sitio local incluye la supervisión del estado, pero la configuración del sitio remoto no lo hace.

Nota: La configuración del sitio local supone que ya se ha configurado un monitor ping.

Los ejemplos se ajustan a la CLI del IOS de Cisco. Es posible que no sean aplicables a enrutadores de otros proveedores.

Sitio local, Comprobación de estado habilitada:

``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.10.10.5 255.255.255.0
ip policy route-map client_side_map
!
interface FastEthernet0/1
ip address 172.68.1.5 255.255.255.0
ip policy route-map wan_side_map
!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended client_side
permit ip 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!- Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 192.168.1.200 20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 192.168.1.200 10 track 123

Sitio remoto (sin comprobación de estado):

``` pre codeblock ! This example does not use health-checking. ! Remember, health-checking is always recommended, ! so this is a configuration of last resort. ! ! ip cef ! interface FastEthernet0/0 ip address 20.20.20.5 255.255.255.0 ip policy route-map client_side_map ! interface FastEthernet0/1 ip address 171.68.2.5 255.255.255.0 ip policy route-map wan_side_map ! interface FastEthernet1/0 ip address 192.168.2.5 255.255.255.0 ! ip classless ip route 0.0.0.0 0.0.0.0 171.68.2.1 ! ip access-list extended client_side permit ip 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255 ip access-list extended wan_side permit ip 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255 ! route-map wan_side_map permit 20 match ip address wan_side set ip next-hop 192.168.2.200 ! route-map client_side_map permit 10 match ip address client_side set ip next-hop 192.168.2.200 !_


Cada uno de los ejemplos anteriores aplica una lista de acceso a un mapa de ruta y adjunta el mapa de ruta a una interfaz. Las listas de acceso identifican todo el tráfico que se origina en un sitio acelerado y termina en el otro (IP de origen 10.10.10.0/24 y destino 20.20.20.0/24 o viceversa). Consulte la documentación de su router para obtener los detalles de las listas de acceso y los mapas de rutas.

Esta configuración redirige todo el tráfico IP correspondiente a los dispositivos. Si desea redirigir solo el tráfico TCP, puede cambiar la configuración de la lista de acceso de la siguiente manera (solo se muestra la configuración del lado remoto):

``` pre codeblock
!
 ip access-list extended client_side
 permit tcp 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255
 ip access-list extended wan_side
 permit tcp 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255
!

Tenga en cuenta que, para las listas de acceso, no se usan máscaras ordinarias. En su lugar, se utilizan máscaras comodín. Tenga en cuenta que al leer una máscara comodín en binario, “1” se considera un bit de no importa.

Configuración del router