Citrix SD-WAN

Modo PBR (línea virtual)

En el modo virtual en línea, el enrutador utiliza reglas de redirección basadas en directivas para redirigir el tráfico WAN entrante y saliente al dispositivo, y el dispositivo reenvía los paquetes procesados al enrutador.

El siguiente artículo describe el procedimiento paso a paso para configurar dos dispositivos SD-WAN (SD-WAN SE):

  • Dispositivo del centro de datos en modo PBR (modo virtual en línea)

  • Branch Appliance en modo en línea

  • PBR debe configurarse en el conmutador principal o más arriba en el router. El enrutador debe supervisar el estado del dispositivo SD-WAN para que se pueda omitir el dispositivo si falla.

  • El modo virtual en línea coloca el dispositivo SD-WAN físicamente fuera de la ruta (implementación de un brazo), es decir, una interfaz Ethernet única que se va a utilizar (Ejemplo: Interfaz 1/1) con el modo de derivación establecido en FAL-A-Block (FTB).

El dispositivo Citrix SD-WAN debe configurarse para pasar tráfico a la Gateway adecuada. El tráfico destinado a la ruta virtual se dirige hacia el dispositivo SD-WAN y, a continuación, se encapsula y se dirige al enlace WAN apropiado.

Recopilar información para la configuración

  • Diagrama de red preciso (diagrama de ejemplo que se muestra a continuación) de sus sitios locales y remotos, incluyendo:

    • Enlaces WAN locales y remotos y sus anchos de banda en ambas direcciones, sus subredes, direcciones IP virtuales y puertas de enlace de cada enlace, rutas y VLAN.
  • Tabla de implementación (diagrama de ejemplo que se muestra a continuación)

Topología del centro de datos: Modo PBR (modo en línea virtual)

Imagen localizada

Topología de bifurcación: Modo en línea

Imagen localizada

Nombre del sitio Sitio de centro de datos Sitio de sucursal
Nombre del dispositivo JC-DC SJC-BR
Gestión IP 172.30.2.10/24 172.30.2.20/24
Clave de seguridad En caso de que haya En caso de que haya
Modelo/Edición 4000 2000
Modo Modo PBR (modo virtual en línea) En línea
Topología 2 x Ruta WAN 2 x Ruta WAN
Dirección VIP 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, IP pública w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24: Internet, dirección IP pública a.b.c.d
MPLS de puerta de enlace 10.20.0.1 10.17.0.1
Puerta de enlace a Internet 10.19.0.1 10.18.0.1
Velocidad de enlace MPLS: 100 Mbps, Internet: 20 Mbps MPLS: 10 Mbps, Internet: 2 Mbps
Ruta Necesidad de agregar una ruta en el dispositivo SD-WAN SE sobre cómo llegar a las subredes LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) a través de cualquiera de las interfaces físicas: Gi0/1 - 192.168.1.1, Configuración > Virtual WAN > Editor de configuración > SJC_DC > Rutas. En este ejemplo se utilizó la interfaz 192.168.1.1: - n/w dirección: 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Tipo de servicio: Local, - Dirección IP de puerta de enlace: 192.168.1.1 No se agregaron rutas adicionales
VLAN Ninguno (valor predeterminado 0) Ninguno (valor predeterminado 0)

Pasos para configurar un sitio en el modo virtual en línea:

  • Habilite la funcionalidad de MCN.

  • Crear un nuevo sitio.

  • Crear un grupo de interfaces e interfaces virtuales.

  • Asigne la dirección IP virtual a las interfaces virtuales.

  • Cree enlaces WAN y asigne la dirección IP.

  • Agregar rutas.

  • Solución de problemas.

  • Configuración de enrutamiento basado en directivas en el enrutador PBR.

Requisitos previos de configuración

  • Habilite el dispositivo SD-WAN como nodo de control maestro.

  • La configuración se realiza en el nodo principal de control (MCN) del dispositivo SD-WAN.

Para habilitar un dispositivo como nodo de control maestro:

  1. En la interfaz de administración web de SD-WAN, vaya a Configuración > Configuración del equipo > Interfaz de administrador > ficha Varios > Consola del conmutador.

    Nota

    Si aparece Switch to Client Console, el dispositivo ya está en modo MCN. Solo debe haber un MCN activo en una red SD-WAN.

  2. Habilite el servicio WAN virtual. Vaya a Configuración > WAN virtual > Activar/Desactivar/Depurar Flujos.

  3. Inicie Configuración navegando a Configuración > Virtual WAN > Editor de configuración. Haga clic en Nuevo para iniciar la configuración.

    Esta operación crea un archivo de configuración inicial Untitled_1 que se puede cambiar el nombre [opcional] más adelante mediante el botón Guardar como.

Los siguientes son los pasos de configuración de alto nivel para configurar el sitio de Datacenter en el modo de implementación PBR:

  1. Cree un sitio de DC.

  2. Configurar grupos de interfaces basados en interfaces Ethernet conectadas.

  3. Configure la dirección IP virtual para cada interfaz virtual.

  4. Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.

  5. Rellene rutas si hay más subredes en la infraestructura LAN.

Configuración del modo PBR del sitio del centro de datos

Crear un sitio de DC

  1. Vaya al Editor de configuración > Sitios y haga clic en el botón + Sitio.

  2. Rellene los campos como se muestra a continuación.

  3. Mantenga la configuración predeterminada a menos que se le indique que cambie.

    Imagen localizada

Configurar grupos de interfaces basados en interfaces Ethernet conectadas

  1. En el Editor de configuración, vaya a Sitios > [Nombre del sitio] > Grupos de interfaz. Haga clic en + para agregar las interfaces que se van a utilizar. En el modo PBR, se utiliza la configuración en una única interfaz de Ethernet, es decir, la interfaz que conecta el enrutador ascendente que proporciona implicaciones de directiva PBR (ejemplo: Interfaz 1/1). Configure MPLS e interfaces virtuales de Internet con ID de VLAN 10 y 20 respectivamente.

  2. El modo de omisión está configurado para fallar en el bloqueo, ya que solo se utiliza una interfaz Ethernet/física por interfaz virtual. Tampoco hay pares de puentes.

  3. En este ejemplo, expanda la opción Interfaces Virtuales + y configure las Interfaces Virtuales.

    Imagen localizada

Crear dirección IP virtual (VIP) para cada interfaz virtual

Cree una dirección IP virtual en la subred adecuada para cada enlace WAN. Los VIP se utilizan para la comunicación entre dos dispositivos SD-WAN en el entorno WAN virtual.

Imagen localizada

Crear enlace WAN de Internet

Para rellenar enlaces WAN basados en la velocidad física y no en velocidades de ráfaga mediante Internet y el vínculo MPLS:

  1. Vaya a Enlaces WAN, haga clic en el botón +para agregar un Enlace WAN para el vínculo de Internet.

  2. Rellene los detalles del enlace a Internet, incluida la dirección IP pública suministrada como se muestra a continuación. Tenga en cuenta que la detección automática de IP pública no se puede seleccionar para el dispositivo SD-WAN configurado como MCN.

  3. Vaya a Interfaces de acceso, haga clic en el botón +para agregar detalles de interfaz específicos para el vínculo de Internet.

  4. Rellene la interfaz de acceso para direcciones IP y Gateway como se muestra a continuación. ElARP proxy no está comprobado para menos de dos interfaces Ethernet.

    Imagen localizada

    Imagen localizada

Crear vínculo MPLS

  1. Vaya a Enlaces WAN, haga clic en el botón +para agregar un Enlace WAN para el vínculo MPLS.

  2. Rellene los detalles del enlace MPLS como se muestra a continuación.

  3. Vaya a Access Interfaces, haga clic en el botón +para agregar detalles de interfaz específicos para el enlace MPLS.

  4. Rellene la interfaz de acceso para direcciones IP virtuales MPLS y Gateway como se muestra a continuación.

    Imagen localizada

    Nota

    El ARP de proxy no se comprueba para menos de dos interfaces Ethernet.

Rellenar rutas

En el sitio del centro de datos, agregue una ruta en el dispositivo SD-WAN SEE para llegar a las subredes LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) a través de cualquiera de las interfaces físicas:

0/1/0.1: 192.168.1.1 en VLAN 10

0/1/0.2: 192.168.2.1 en VLAN 20

Imagen localizada

Imagen localizada

Configuración de implementación en línea del sitio de sucursal

A continuación se presentan los pasos de configuración de alto nivel para configurar el sitio de sucursal para la implementación en línea:

  1. Crear un sitio de sucursal.

  2. Rellene grupos de interfaces basados en interfaces Ethernet conectadas.

  3. Crear dirección IP virtual para cada interfaz virtual.

  4. Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.

    • Interfaz virtual INTERNET configurada en el par de puentes 1/3 y 1/4

    • Interfaz virtual MPLS configurada con puente par 1/1 y 1/2

  5. Rellene rutas si hay más subredes en la infraestructura LAN.

Crear un sitio de sucursal

Imagen localizada

Configurar grupos de interfaces basados en interfaces Ethernet conectadas

  1. En el Editor de configuración, vaya a Sitios> [Nombre del sitio del cliente]> Grupos de interfaz. Haga clic en ”+“para agregar interfaces destinadas a ser utilizadas. Para la configuración del modo en línea, se utilizan cuatro interfaces de Ethernet; par de interfaces 1/3, 1/4 y par de interfaces 1/1 y 1/2.

  2. El modo de derivación está configurado en conmutación por error, ya que se utilizan dos interfaces Ethernet/físicas por interfaz virtual. Hay dos pares de puentes.

  3. Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.

    • Interfaz virtual INTERNET configurada en el par de puentes 1/3 y 1/4

    • Interfaz virtual MPLS configurado con puente par 1/1 y 1/2.

  4. Consulte la topología de ejemplo Modo en línea de sitio remoto anterior y rellene los campos Grupos de interfaz como se muestra a continuación.

    Imagen localizada

Crear dirección IP virtual (VIP) para cada interfaz virtual

Cree una dirección IP virtual en la subred adecuada para cada enlace WAN. Los VIP se utilizan para la comunicación entre dos dispositivos SD-WAN en el entorno WAN virtual.

Imagen localizada

Crear enlace WAN de Internet

Para rellenar enlaces WAN basados en la velocidad física y no en las velocidades de ráfaga mediante vínculo de Internet

  1. Vaya a Enlaces WAN, haga clic en el botón +para agregar un Enlace WAN para el vínculo de Internet.

  2. Rellene los detalles del vínculo de Internet, incluida la dirección IP pública de detección automática, como se muestra a continuación.

  3. Vaya a Interfaces de acceso, haga clic en el botón +para agregar detalles de interfaz específicos para el vínculo de Internet.

  4. Rellene la interfaz de acceso para la dirección IP virtual y la Gateway como se muestra a continuación.

    Imagen localizada

    Imagen localizada

Crear vínculo MPLS

  1. Vaya a Vínculos WAN, haga clic en el botón + para agregar un vínculo WAN para el vínculo MPLS.

  2. Rellene los detalles del enlace MPLS como se muestra a continuación.

  3. Vaya a Access Interfaces, haga clic en el botón +para agregar detalles de interfaz específicos para el enlace MPLS.

  4. Rellene la interfaz de acceso para la dirección IP virtual y la Gateway como se muestra a continuación.

    Imagen localizada

    Imagen localizada

Rellenar rutas

Las rutas se crean automáticamente en función de la configuración anterior. En caso de que haya más subredes específicas para esta sucursal remota, entonces se deben agregar rutas específicas que identifiquen a qué Gateway dirigir el tráfico para llegar a esas subredes de back-end.

Imagen localizada

Resolución de errores de auditoría

Después de completar la configuración para los sitios de DC y Branch, se le avisará de que resuelva el error de auditoría en los sitios de DC y BR. En este ejemplo, resolveremos el error de auditoría relacionado con Private Intranet WAN Link [SJC_DC-MPLS].

Nota

De forma predeterminada, el sistema genera rutas para Enlaces WAN definidos como el tipo de acceso Internet público (resaltado).

Imagen localizada

Imagen localizada

Imagen localizada

Deberá utilizar la función de grupo de ruta automática o habilitar rutas de acceso manualmente para Enlaces WAN con un tipo de acceso de Internet privado. Las rutas para los vínculos MPLS se pueden habilitar haciendo clic en el operador Agregar (en el rectángulo verde).

Imagen localizada

Crear un grupo de rutas automáticas:

  1. Acceda a la ficha Global. Haga clic en el signo [+]junto a Grupos de ruta automática.

  2. Configure el grupo de rutas automáticas creado según los requisitos y haga clic en Aplicar.

    Imagen localizada

  3. Cambie el nombre del grupo de rutas automáticas [Opcional].

  4. Asigne el grupo de rutas automáticas a los enlaces WAN de rutas virtuales de la intranet en los sitios respectivos.

    No se pueden marcar dos grupos de rutas automáticas como predeterminados. Si se marca, se producirá un error de auditoría.

Después de asignar el grupo de rutas automáticas a las rutas virtuales de la WAN de intranet, las rutas deben rellenarse automáticamente (resaltarse).

Imagen localizada

Agregar manualmente enlaces WAN con el tipo de acceso Intranet privada

  1. Seleccione las rutas virtuales en Enlaces WAN para los sitios respectivos y no se asignaría ningún grupo de rutas automáticas.

  2. Haga clic en el[+]signo situado junto a Rutas de acceso para agregar rutas virtuales manualmente.

    Imagen localizada

  3. Seleccione los enlaces WAN de rutas virtuales para cada sitio.

    Imagen localizada

    Después de agregar manualmente las rutas virtuales para los enlaces WAN con el tipo de acceso Intranet privada, se rellena en Rutas (resaltadas).

    Después de completar todos los pasos anteriores, continúe conPreparación de los paquetes del dispositivo SD-WANel tema MCN.

Configuración de enrutamiento basada en directivas en el enrutador PBR:

Interfaz conectada a la LAN

  • Terminal de configuración del enrutador #

  • Enrutador (config) # interfaz Fastethernet0/1

  • Enrutador (config-if) # descripción ToLAN

  • Enrutador (config-if) # dirección IP 10.10.11.1 255.255.255.0

  • Enrutador (config-if) # dúplex automático

  • Router (config-if) # velocidad automática

La interfaz se conecta al enlace WAN MPLS

  • Terminal de configuración del enrutador #

  • Enrutador (config) # interfaz GigabiteThernet0/0

  • Enrutador (config-if) # descripción a MPLS-WAN

  • Enrutador (config-if) # dirección IP 10.20.0.2 255.255.255.0

  • Enrutador (config-if) # dúplex automático

  • Router (config-if) # velocidad automática

Interfaz conectada al INET WAN Link

  • Terminal de configuración del enrutador #

  • Enrutador (config) # interfaz GigabiteThernet0/2/0

  • Enrutador (config-if) # descripción de Inet-WAN

  • Enrutador (config-if) # dirección IP 10.19.0.2 255.255.255.0

  • Enrutador (config-if) # dúplex automático

  • Router (config-if) # velocidad automática

Interfaz GigabiteThernet0/1 en el enrutador PBR está conectado al puerto SD-WAN 1/1, está en modo de 1 brazo y este puerto servirá tráfico para enlaces MPLS e INET.

  • Terminal de configuración del enrutador #

  • Enrutador (config) # interfaz GigabiteThernet0/1

  • Enrutador (config-if) # descripción a enlace SDWAN

  • Enrutador (config-if) # dirección IP 192.168.1.1 255.255.255.0

Configuración de ruta estática (Ruta a las subredes cliente/remotas):

  • MPLS 10.17.0.0/24 a través del router WAN de salto siguiente MPLS 10.20.0.1

  • INET 10.18.0.0/24 a través del router WAN de salto siguiente/FW INET 10.19.0.1

  • Terminal de configuración del enrutador #

  • Router (config) # ruta ip 10.17.0.0 255.255.255.0 10.20.0.1

  • Router (config) # ruta ip 10.18.0.0 255.255.255.0 10.19.0.1

Definición del mapa de ruta:

Configuración de la lista de control de acceso:

Configure las ACL para definir el tráfico que se va a enviar desde y hacia el dispositivo SD-WAN.

  1. De LAN a dispositivo SD-WAN

    Según la topología, las subredes LAN son 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc. Para enviar tráfico desde LAN a la SD-WAN, configure una ACL unidireccional (de LAN a cualquiera).

    -  Router# configure terminal

    -  Router(config)# ip access-list extended server_side

    -  Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
  1. Del dispositivo SD-WAN a enlaces WAN físicos
    -  Router# configure terminal

    -  Router(config)# ip access-list extended MPLS_Link

    -  Router(config)# permit ip 192.168.1.10 0.0.0.0 any

    -  Router# configure terminal

    -  Router(config)# ip access-list extended INET_Link

    -  Router(config)# permit ip 192.168.1.11 0.0.0.0 any

<!--NeedCopy-->

Configuración del mapa de ruta:

Defina el mapa de ruta que coincida con las ACL.

Mapa de ruta para el tráfico LAN:

El siguiente salto será cualquiera de las IPs virtuales (VIP) SD-WAN.

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

En este caso, elegimos MPLS VIP 192.168.1.10 como siguiente salto y también agregamos una comprobación de estado para asegurarnos de que si el SD-WAN falla, el tráfico no se enruta hacia él.

-  Router# configure terminal

-  Router(config)# route-map server_side_VW_PBR permit 10

-  Router(config-route-map)# match ip address server_side

-  Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123

<!--NeedCopy-->

El comando anterior configura el mapa de ruta para verificar la accesibilidad del objeto rastreado. El proceso de seguimiento proporciona la capacidad de realizar un seguimiento de objetos individuales, como la accesibilidad de ping ICMP, la adyacencia de redirección, una aplicación que se ejecuta en un dispositivo remoto, una ruta en la Base de información de redirección (RIB) o para realizar un seguimiento del estado de un protocolo de línea de interfaz.

Mapa de ruta para el tráfico WAN:

El siguiente salto será MPLS Router y Firewall para los respectivos enlaces WAN.

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 20

-  Router(config-route-map)# match ip address MPLS_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 30

-  Router(config-route-map)# match ip address INET_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125

<!--NeedCopy-->

Aplique el mapa de ruta a la interfaz:

-  Router# configure terminal

-  Router(config)# interface FastEthernet0/1

-  Router(config-if)# ip policy route-map server_side_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

-  Router# configure terminal

-  Router(config)# interface GigabitEthernet0/1

-  Router(config-if)# ip policy route-map WAN_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

<!--NeedCopy-->

Configuración del enrutador MPLS (puerta de enlace 10.20.0.1):

  • Agregue ruta en el enrutador MPLS para llegar a MPLS VWAN VIP en el centro de datos.

  • Subred VIP MPLS 192.168.1.0/24 a través del router PBR siguiente salto MPLS link 10.20.0.2

  • Terminal de configuración del enrutador #

  • Router (config) # ruta ip 192.168.1.0 255.255.255.0 10.20.0.2

Configuración del firewall (puerta de enlace 10.19.0.1):

Agregue ruta en Firewall para llegar a INET VWAN VIP en el centro de datos.

INET VIP subred 192.168.1.0/24 a través del router PBR siguiente salto enlace INET 10.19.0.2

-  Router# configure terminal

-  Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->