Citrix SD-WAN

Modo virtual en línea

En el modo virtual en línea, el enrutador utiliza el protocolo de redirección como PBR, OSPF o BGP para redirigir el tráfico WAN entrante y saliente al dispositivo, y el dispositivo reenvía los paquetes procesados al enrutador.

El siguiente artículo describe el procedimiento paso a paso para configurar dos dispositivos SD-WAN (SD-WAN SE):

  • Dispositivo del centro de datos en modo virtual en línea

  • Branch Appliance en modo en línea

  • El protocolo de redirección debe configurarse ya sea en el conmutador principal o más arriba en el enrutador. El enrutador debe supervisar el estado del dispositivo SD-WAN para que se pueda omitir el dispositivo si falla.

  • El modo virtual en línea coloca el dispositivo SD-WAN físicamente fuera de la ruta (implementación de un brazo), es decir, una interfaz Ethernet única que se va a utilizar (Ejemplo: Interfaz 1/1) con el modo de derivación establecido en FAL-A-Block (FTB).

El dispositivo Citrix SD-WAN debe configurarse para pasar el tráfico a la Gateway adecuada. El tráfico destinado a la ruta virtual se dirige hacia el dispositivo SD-WAN y, a continuación, se encapsula y se dirige al enlace WAN apropiado.

Recopilar información para la configuración

  • Diagrama de red preciso (diagrama de ejemplo que se muestra a continuación) de sus sitios locales y remotos, incluyendo:

    • Enlaces WAN locales y remotos y sus anchos de banda en ambas direcciones, sus subredes, direcciones IP virtuales y puertas de enlace de cada enlace, rutas y VLAN.
  • Tabla de implementación (diagrama de ejemplo que se muestra a continuación)

Topología del centro de datos: Modo en línea virtual

Modo virtual en línea

Topología de bifurcación: Modo en línea

Rama de implementación en modo PBR

Nombre del sitio Sitio del centro de datos Sitio de sucursal
Nombre del dispositivo JC-DC SJC-BR
Gestión IP 172.30.2.10/24 172.30.2.20/24
Clave de seguridad En caso de que haya En caso de que haya
Modelo/Edición 4000 2000
Modo Modo virtual en línea En línea
Topología 2 x Ruta WAN 2 x Ruta WAN
Dirección VIP 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, IP pública w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24: Internet, dirección IP pública a.b.c.d
MPLS de puerta de enlace 10.20.0.1 10.17.0.1
Puerta de enlace a Internet 10.19.0.1 10.18.0.1
Velocidad de enlace MPLS: 100 Mbps, Internet: 20 Mbps MPLS: 10 Mbps, Internet: 2 Mbps
Ruta Es necesario agregar una ruta en el dispositivo SD-WAN SE sobre cómo llegar a las subredes LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) a través de cualquiera de las interfaces físicas: Gi0/1 - 192.168.1.1, Configuración\ > Virtual WAN\ > Editor de configuración\ > SJC\ _DC\ > Rutas. En este ejemplo se utilizó la interfaz 192.168.1.1: - n/w dirección: 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Tipo de servicio: Local, - Dirección IP de puerta de enlace: 192.168.1.1 No se agregaron rutas adicionales
VLAN Ninguno (valor predeterminado 0) Ninguno (valor predeterminado 0)

Pasos para configurar un sitio en el modo virtual en línea:

  • Habilite la funcionalidad de MCN.

  • Crear un nuevo sitio.

  • Crear un grupo de interfaces e interfaces virtuales.

  • Asigne la dirección IP virtual a las interfaces virtuales.

  • Cree enlaces WAN y asigne la dirección IP.

  • Agregar rutas.

  • Solución de problemas.

  • Configuración de la directiva de redirección en el enrutador.

Requisitos previos de configuración

  • Habilite el dispositivo SD-WAN como nodo de control maestro.

  • La configuración se realiza en el nodo principal de control (MCN) del dispositivo SD-WAN.

Para habilitar un dispositivo como nodo de control maestro:

  1. En la interfaz de administración web de SD-WAN, vaya a Configuración \ > Configuración del equipo \ > Interfaz de administrador \ > ficha Varios \ > Consola de conmutador.

    Nota

    Si** se muestra **Cambiar a la consola de cliente, el dispositivo ya está en modo MCN. Solo debe haber un MCN activo en una red SD-WAN.

  2. Habilite el servicio WAN virtual. Vaya a Configuración \ > Virtual WAN \ > Activar/Desactivar/Depurar Flujos.

  3. Inicie Configuración navegando a Configuración \ > Virtual WAN \ > Editor de configuración. Haga clic en Nuevo para comenzar la configuración.

    Esta operación crea un archivo de configuración inicial sin título\ _1 que se puede cambiar de nombre\ [opcional] más adelante mediante el** botón **Guardar como.

Los siguientes son los pasos de configuración de alto nivel para configurar el sitio del centro de datos en el modo de implementación virtual en línea:

  1. Cree un sitio de DC.

  2. Configurar grupos de interfaces basados en interfaces Ethernet conectadas.

  3. Configure la dirección IP virtual para cada interfaz virtual.

  4. Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.

  5. Rellene rutas si hay más subredes en la infraestructura LAN.

Configuración del modo en línea virtual del sitio del centro de datos

Crear un sitio de DC

  1. Vaya a Configuration Editor \ > Sitios yhaga clic en el** botón **+ Sitio.

  2. Rellene los campos como se muestra a continuación.

  3. Mantenga la configuración predeterminada a menos que se le indique que cambie.

    Crear sitio de DC

Configurar grupos de interfaces basados en interfaces Ethernet conectadas

  1. En el Editor de configuración, vaya a Sitios\ [Nombre del sitio] → Grupos de interfaz. Haga clic en «+» para agregar interfaces destinadas a ser utilizadas. En el modo virtual en línea, se utiliza la configuración en una única interfaz de Ethernet; es decir, la interfaz que conecta el enrutador ascendente que proporciona implicaciones de directiva de redirección (ejemplo: Interfaz 1/1). Configure MPLS e interfaces virtuales de Internet con ID de VLAN 10 y 20 respectivamente.

  2. El modo de omisión está configurado para fallar en el bloqueo, ya que solo se utiliza una interfaz Ethernet/física por interfaz virtual. Tampoco hay pares de puentes.

  3. En este ejemplo, expanda la opción Interfaces Virtuales + y configure las Interfaces Virtuales.

    Configurar interfaz virtual

Crear dirección IP virtual (VIP) para cada interfaz virtual

Cree una dirección IP virtual en la subred adecuada para cada enlace WAN. Los VIP se utilizan para la comunicación entre dos dispositivos SD-WAN en el entorno WAN virtual.

Configurar asignación de dirección IP virtual

Crear enlace WAN de Internet

Para rellenar enlaces WAN basados en la velocidad física y no en velocidades de ráfaga mediante Internet y el vínculo MPLS:

  1. Vaya a Vínculos WAN, haga clic en el** botón **+ para agregar un vínculo WAN para el vínculo de Internet.

  2. Rellene los detalles del enlace a Internet, incluida la dirección IP pública suministrada como se muestra a continuación. Tenga en cuenta que la detección automática de IP pública no se puede seleccionar para el dispositivo SD-WAN configurado como MCN.

  3. Vaya a Interfaces de acceso, haga clic en el** botón **+ para agregar detalles de interfaz específicos para el vínculo de Internet.

  4. Rellene la interfaz de acceso para direcciones IP y Gateway como se muestra a continuación. El ARP de proxy no se comprueba para menos de dos interfaces Ethernet.

    Configurar vínculo WAN de Internet

    Configurar interfaz de acceso a Internet

Crear vínculo MPLS

  1. Vaya a Vínculos WAN, haga clic en el** botón **+ para agregar un vínculo WAN para el vínculo MPLS.

  2. Rellene los detalles del enlace MPLS como se muestra a continuación.

  3. Vaya a Interfaces de acceso, haga clic en el** botón **+ para agregar detalles de interfaz específicos para el vínculo MPLS.

  4. Rellene la interfaz de acceso para direcciones IP virtuales MPLS y Gateway como se muestra a continuación.

    Configuración básica de MPLS

    Nota

    El ARP de proxy no se comprueba para menos de dos interfaces Ethernet.

Rellenar rutas

En el sitio del centro de datos, agregue una ruta en el dispositivo SD-WAN SEE para llegar a las subredes LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) a través de cualquiera de las interfaces físicas:

0/1/0.1: 192.168.1.1 en VLAN 10

0/1/0.2: 192.168.2.1 en VLAN 20

Ruta MPLS

Modificar rutas MPLS

Configuración de implementación en línea del sitio de sucursal

A continuación se presentan los pasos de configuración de alto nivel para configurar el sitio de sucursal para la implementación en línea:

  1. Crear un sitio de sucursal.

  2. Rellene grupos de interfaces basados en interfaces Ethernet conectadas.

  3. Crear dirección IP virtual para cada interfaz virtual.

  4. Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.

    • Interfaz virtual INTERNET configurada en el par de puentes 1/3 y 1/4

    • Interfaz virtual MPLS configurada con puente par 1/1 y 1/2

  5. Rellene rutas si hay más subredes en la infraestructura LAN.

Crear un sitio de sucursal

PBR crea un sitio de sucursal

Configurar grupos de interfaces basados en interfaces Ethernet conectadas

  1. En el Editor de configuración, vaya a Sitios > \ [Nombre del sitio del cliente] > Grupos de interfaz. Haga clic en +para agregar las interfaces que se van a utilizar. Para la configuración del modo en línea, se utilizan cuatro interfaces de Ethernet; par de interfaces 1/3, 1/4 y par de interfaces 1/1 y 1/2.

  2. El modo de derivación está configurado en conmutación por error, ya que se utilizan dos interfaces Ethernet/físicas por interfaz virtual. Hay dos pares de puentes.

  3. Rellene los enlaces WAN en función de la velocidad física y no de las velocidades de ráfaga mediante Internet y MPLS Links.

    • Interfaz virtual INTERNET configurada en el par de puentes 1/3 y 1/4

    • Interfaz virtual MPLS configurado con puente par 1/1 y 1/2.

  4. Consulte la topología de ejemplo Modo en línea de sitio remoto anterior y rellene los campos Grupos de interfaz como se muestra a continuación.

    PBR crea un grupo de interfaz de sitio de sucursal

Crear dirección IP virtual (VIP) para cada interfaz virtual

Cree una dirección IP virtual en la subred adecuada para cada enlace WAN. Los VIP se utilizan para la comunicación entre dos dispositivos SD-WAN en el entorno WAN virtual.

PBR crea la dirección IP virtual del sitio de sucursal 2

Crear enlace WAN de Internet

Para rellenar enlaces WAN basados en la velocidad física y no en las velocidades de ráfaga mediante vínculo de Internet

  1. Vaya a Vínculos WAN, haga clic en el** botón **+ para agregar un vínculo WAN para el vínculo de Internet.

  2. Rellene los detalles del vínculo de Internet, incluida la dirección IP pública AutoDetect como se muestra a continuación.

  3. Vaya a Interfaces de acceso, haga clic en el** botón **+ para agregar detalles de interfaz específicos para el vínculo de Internet.

  4. Rellene la interfaz de acceso para la dirección IP virtual y la Gateway como se muestra a continuación.

    PBR crea un enlace WAN de Internet de la sucursal 3

    PBR crea la interfaz de acceso a Internet del sitio sucursal 4

Crear vínculo MPLS

  1. Vaya a Vínculos WAN, haga clic en el** botón **+ para agregar un vínculo WAN para el vínculo MPLS.

  2. Rellene los detalles del enlace MPLS como se muestra a continuación.

  3. Vaya a Interfaces de acceso, haga clic en el** botón **+ para agregar detalles de interfaz específicos para el vínculo MPLS.

  4. Rellene la interfaz de acceso para la dirección IP virtual y la Gateway como se muestra a continuación.

    PBR crea un enlace WAN MPLS del sitio de sucursal 5

    PBR crea la interfaz de acceso MPLS del sitio de la sucursal 6

Rellenar rutas

Las rutas se crean automáticamente en función de la configuración anterior. En caso de que haya más subredes específicas para esta sucursal remota, entonces es necesario agregar rutas específicas que identifiquen qué Gateway dirigir el tráfico para llegar a esas subredes back-end.

Rama de ruta MPLS

Resolución de errores de auditoría

Después de completar la configuración para los sitios de DC y Branch, se le avisará de que resuelva el error de auditoría en los sitios de DC y BR. En este ejemplo, resolveremos el error de auditoría relacionado con el vínculo WAN de Intranet privada\ [SJC\ _DC-MPLS].

Nota

De forma predeterminada, el sistema genera rutas para Enlaces WAN definidos como el tipo de acceso Internet público (resaltado).

Modo PBR de error de auditoría

Modo PBR de interfaz de acceso

Error de auditoría PBR

Deberá utilizar la función de grupo de ruta automática o habilitar rutas de acceso manualmente para Enlaces WAN con un tipo de acceso de Internet privado. Las rutas para los vínculos MPLS se pueden habilitar haciendo clic en el operador Agregar (en el rectángulo verde).

PBR de ruta predeterminada

Cree un grupo de rutas automáticas:

  1. Vaya a la** ficha Global. Haga clic en el[ signo ]+ situado junto a Grupos de **Autopath.

  2. Configure el grupo de rutas automáticas creado según los requisitos y haga clic en Aplicar.

    Modo PBR de grupos de ruta automática

  3. Cambie el nombre del grupo Autopath\ [Opcional].

  4. Asigne el grupo de rutas automáticas a los enlaces WAN de rutas virtuales de la intranet en los sitios respectivos.

    No se pueden marcar dos grupos de rutas automáticas como predeterminados. Si se marca, se producirá un error de auditoría.

Después de asignar el grupo de rutas automáticas a las rutas virtuales de la WAN de Intranet, las rutas deben rellenarse automáticamente (resaltarse).

Asignación de grupos de rutas automáticas en modo P

Agregar manualmente enlaces WAN con el tipo de acceso Intranet privada

  1. Seleccione las rutas virtuales en Enlaces WAN para los sitios respectivos y no se asignaría ningún grupo de rutas automáticas.

  2. Haga clic en el[ signo ]+ situado junto a Rutas para agregar rutas virtuales manualmente.

    Asignación manual de grupos de rutas automáticas en modo P

  3. Seleccione los enlaces WAN de rutas virtuales para cada sitio.

    Agregar vínculos WAN

    Después de agregar manualmente las rutas virtuales para los enlaces WAN con el tipo de acceso Intranet privada, se rellena en Rutas (resaltadas).

    Después de completar todos los pasos anteriores, continúe con la preparación de los paquetes de dispositivos SD-WAN en el tema MCN.

Configuración de redirección basada en directivas en el enrutador PBR:

Interfaz conectada a la LAN

  • Enrutador\ # configurar terminal

  • Router (config)\ # interfaz FastetherNet0/1

  • Router (config-if)\ # descripción ToLAN

  • Router (config-if)\ # Dirección IP 10.10.11.1 255.255.255.0

  • Router (config-if)\ # dúplex auto

  • Router (config-if)\ # speed auto

La interfaz se conecta al enlace WAN MPLS

  • Enrutador\ # configurar terminal

  • Enrutador (configuración)\ # interfaz GigabitetherNet0/0

  • Router (config-if)\ # descripción A MPLS-WAN

  • Router (config-if)\ # Dirección IP 10.20.0.2 255.255.255.0

  • Router (config-if)\ # dúplex auto

  • Router (config-if)\ # speed auto

Interfaz conectada al INET WAN Link

  • Enrutador\ # configurar terminal

  • Router (config)\ # interfaz GigabitetherNet0/2/0

  • Router (config-if)\ # descripción To-inet-WAN

  • Router (config-if)\ # Dirección IP 10.19.0.2 255.255.255.0

  • Router (config-if)\ # dúplex auto

  • Router (config-if)\ # speed auto

Interfaz GigabiteThernet0/1 en el enrutador PBR está conectado al puerto SD-WAN 1/1, está en modo de 1 brazo y este puerto servirá tráfico para enlaces MPLS e INET.

  • Enrutador\ # configurar terminal

  • Enrutador (configuración)\ # interfaz GigabitetherNet0/1

  • Descripción del enrutador (config-if)\ # a SDWAN Link

  • Router (config-if)\ # Dirección IP 192.168.1.1 255.255.255.0

Configuración de ruta estática (Ruta a las subredes cliente/remotas):

  • MPLS 10.17.0.0/24 a través del router WAN de salto siguiente MPLS 10.20.0.1

  • INET 10.18.0.0/24 a través del router WAN de salto siguiente/FW INET 10.19.0.1

  • Enrutador\ # configurar terminal

  • Router (config)\ # Ruta IP 10.17.0.0 255.255.255.0 10.20.0.1

  • Router (config)\ # Ruta IP 10.18.0.0 255.255.255.0 10.19.0.1

Definición del mapa de ruta:

Configuración de la lista de control de acceso:

Configure las ACL para definir el tráfico que se va a enviar desde y hacia el dispositivo SD-WAN.

  1. De LAN a dispositivo SD-WAN

    Según la topología, las subredes LAN son 10.10.11.0/24, 10.10.12.0/24, 10.10.10.13.0/24, etc. Para enviar tráfico desde LAN a SD-WAN, configure una ACL unidireccional (de LAN a cualquiera).

- Router\ # configure terminal - Router (config)\ # ip access-list server extendido\ _side - Router (config)\ # permit ip 10.10.0.0 0.255.255 any```

1. Del dispositivo SD-WAN a enlaces WAN físicos

  • Router\ # configure terminal - Router (config)\ # ip access-list extendida MPLS\ _Link - Router (config)\ # permit ip 192.168.1.10 0.0.0 any - Router\ # configure terminal - Router (config)\ # ip access-list extendida INET\ _Link - Router (config)\ # permiso ip 192.168.1.11 0.0.0.0.0 cualquier```

Configuración del mapa de ruta:

Defina el mapa de ruta que coincida con las ACL.

Mapa de ruta para el tráfico LAN:

El siguiente salto será cualquiera de las IPs virtuales (VIP) SD-WAN.

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

En este caso, elegimos MPLS VIP 192.168.1.10 como siguiente salto y también agregamos una comprobación de estado para asegurarnos de que si el SD-WAN falla, el tráfico no se enruta hacia él.

- Router\ # configure terminal - Router (config)\ # servidor de mapa de ruta\ _side\ _VW\ _PBR permit 10 - Router (config-route-map)\ # coincide con el servidor de dirección IP\ _side - Router (config-route-map)\ # set ip next-hop verify-availability 192.168.1.10 pista 123```

El comando anterior configura el mapa de ruta para verificar la accesibilidad del objeto rastreado. El proceso de seguimiento proporciona la capacidad de realizar un seguimiento de objetos individuales, como la accesibilidad de ping ICMP, la adyacencia de redirección, una aplicación que se ejecuta en un dispositivo remoto, una ruta en la Base de información de redirección (RIB) o para realizar un seguimiento del estado de un protocolo de línea de interfaz.

**Mapa de ruta para el tráfico WAN:**

El siguiente salto será MPLS Router y Firewall para los respectivos enlaces WAN.

  • Router\ # configure terminal - Router (config)\ # route-map WAN\ _VW\ _PBR permit 20 - Router (config-route-map)\ # coincide con la dirección IP MPLS\ _Link - Router (config-route-map)\ # set ip next-hop verify-availability 10.20.0.1 20 track 124 - Router\ # configure terminal - Router (config)\ # route-map WAN\ _VAN W\ _PBR permiso 30 - Router (config-route-map)\ # coincide con la dirección IP INET\ _Link - Router (config-route-map)\ # set ip next-hop verify-availability 10.19.0.1 30 track 125```

Aplique el mapa de ruta a la interfaz:

- Router\ # configure terminal - Router (config)\ # interface FastetherNet0/1 - Router (config-if)\ # ip policy route-map server\ _side\ _VW\ _PBR - Router (config-if)\ # duplex auto - Router (config-if)\ # speed auto - Router\ # configure terminal - Router (config)\ # interfaz Gigabitethernet0/1 - (config-if)\ # ip policy route-map WAN\ _VW\ _PBR - Router (config-if)\ # duplex auto - Router (config-if)\ # speed auto```

**Configuración del router MPLS (Gateway 10.20.0.1)**:

- Agregue ruta en el enrutador MPLS para llegar a MPLS VWAN VIP en el centro de datos.

- Subred VIP MPLS 192.168.1.0/24 a través del router PBR siguiente salto MPLS link 10.20.0.2

- Enrutador\ # configurar terminal

- Router (config)\ # Ruta IP 192.168.1.0 255.255.255.0 10.20.0.2

**Configuración del firewall (Gateway 10.19.0.1)**:

Agregue ruta en Firewall para llegar a INET VWAN VIP en el centro de datos.

INET VIP subred 192.168.1.0/24 a través del router PBR siguiente salto enlace INET 10.19.0.2

  • Router\ # configure terminal - Router (config)\ # ip route 192.168.1.0 255.255.255.0 10.19.0.2```