Citrix 云和网关服务优化

借助 Citrix Cloud 和网关服务优化 功能增强功能,您可以检测和路由发往 Citrix Cloud 和网关服务的流量。您可以创建策略,直接将流量分解到 Internet,也可以通过虚拟路径的回程路由发送流量。在没有此功能的情况下,Gateway 服务将发送回客户的数据中心,然后返回 Citrix Cloud,增加不必要的延迟。除此之外,您现在可以了解 Citrix Gateway 和 Citrix Cloud 流量,并可以创建 QoS 策略以优先于虚拟路径。

现在,您可以对发往 Citrix Cloud 和 Citrix Gateway 服务(控制和数据)的流量启用第一个数据包检测、分类和选择性路由(直接 Internet 突破或通过虚拟路径)。

注意

您只能通过 Citrix Citrix SD-WAN Orchestrator 云和网关服务优化。Citrix SD-WAN 软件版本 11.2.1 或更高版本支持 Citrix 云和网关服务 功能。

Citrix 云和网关服务类别

出于 Citrix SD-WAN 流量分类和优化目的,所有 Citrix Cloud 流量分为以下类别:

  • Citrix Cloud:启用此功能可检测和路由发往 Citrix Cloud Web UI 和 API 的流量。

  • Citrix Gateway 服务:启用以检测和路由发往 Citrix Gateway 服务的流量(控制和数据)。

    • 网关服务客户端数据:在客户端和 Citrix Gateway 服务之间启用 ICA 数据隧道的直接互联网突破。它需要高带宽和低延迟。

    • 网关服务服务器数据:在虚拟交付代理 (VDA) 和 Citrix Gateway 服务之间启用 ICA 数据隧道的直接互联网突破。它需要高带宽和低延迟,并且仅适用于 VDA 资源位置(VDA 到 Citrix Gateway 服务连接)。

    • 网关服务控制流量:支持控制流量的直接互联网突破。没有具体的 QoS 考虑。

    • 网关服务 Web 代理流量:启用 Web 代理流量的直接互联网突破。它需要高带宽,但延迟要求可能会有所不同。

必备条件

请确保您具有以下对象:

  1. 要执行 Citrix Cloud 和网关服务分组,必须在设备上配置互联网服务。有关配置互联网服务的详细信息,请参阅 Internet 访问

  2. 确保管理界面具有互联网连接。如果未连接专用管理界面,请确保启用带内管理并且出站管理流量具有 Internet 连接。

  3. 可以使用 Citrix SD-WAN Web 界面配置管理界面设置。

  4. 确保已配置管理 DNS。要配置管理接口 DNS,请在站点级别导航到 配置 > 设备设置 > 网络适配器。在 DNS 设置 部分下,提供主 DNS 服务器和辅助 DNS 服务器详细信息,然后单击 保存

网关服务 DNS 设置

Citrix 云和网关服务优化的工作原理

仅当 Citrix Cloud 和 Gateway 服务分组功能未禁用(默认情况下启用该功能)时,才会对 Citrix Cloud 和网关服务流量进行首次数据包检测和分类。

  1. Citrix SD-WAN 设备使用云服务 API 下载应用程序签名列表。

  2. 当 Citrix Cloud 和 Gateway 服务应用程序的请求到达时,该应用程序将使用签名在第一个数据包上进行分类。

  3. 对 Citrix Cloud 和 Gateway 服务流量进行分类后,自动创建的应用程序路由和防火墙策略将生效,并将流量直接分发到 Internet。

  4. Citrix 云和网关服务默认使用 Quad9 来转发 DNS 请求。

  • 如果不启用分组讨论

    没有启用突围

  • 启用分组讨论后

    启用了突围

如果您使用云安全堆栈(例如 Zscaler、Check Point、Palo Alto)来处理互联网流量,则网关服务将接收来自该安全堆栈的公有 IP 地址的数据包,而不是 SD-WAN 分支。这将使直接工作负载连接失败,因此,发送到云托管 SD-WAN 的数据包将无法采用虚拟路径。有关详细信息,请参阅 直接工作负载连

通过启用分组,网关服务将直接从 SD-WAN 分支接收数据包。动态虚拟路径在 SD-WAN 分支和云托管 SD-WAN 之间出现,流量通过这个虚拟路径在两个站点之间进行。有关启用动态虚拟路径的详细信息,请参阅 设置分支机构到分支机构通信的动态路径

启用和不启用分组讨论

配置网关服务分组

Citrix Cloud 和 Gateway 服务突破策略允许您指定哪些类别的 Citrix Cloud 和网关服务流量可以直接从 SD-WAN 分支突破。

Citrix Cloud 和 Cit Citrix Gateway 服务 选项在 Citrix Gateway 和 Citrix 云优化 设置下提供。

Citrix 应用程序可以访问 Citrix Cloud 中的多项服务。有关详细信息,请参阅 系统和连接要求

在 Citrix SD-WAN Orchestrator 中,默认情况下,每个网络都有 Citrix Cloud 和网关服务路由。要导航,请转到网络配置 > 路由 > 路由策略 > 应用程序路由

云和网关服务

您无法删除路由,但可以根据需要配置设置。默认情况下,Citrix Cloud 和网关服务处于启用状态。

云和网关服务设置

适用于 Citrix 云和网关服务的透明转发器

Citrix Cloud 的 SD-WAN 分支开始,网关服务从 DNS 请求开始。通过 Citrix Cloud 和网关服务域的 DNS 请求必须在本地引导。如果启用 Citrix Cloud 和网关服务互联网突发,则会确定内部 DNS 路由。默认情况下,Citrix Cloud 和网关服务 DNS 请求将转发到开源 DNS 服务 Quad 9。四 9 DNS 服务是安全的,可扩展的,并具有多弹出的存在。如有必要,您可以更改 DNS 服务。

要添加 DNS 服务器,请在站点级导航到 配置 > 高级设置 > DNS。在“站点特定 DNS 服务器”部分下,单击 + DNS 服务器

站点特定的设置

每个启用了互联网服务和 Citrix Cloud 和网关服务分组的 SD-WAN 分支机构都会创建 Citrix Cloud 和网关服务应用程序的透明转发器。

要添加特定的 DNS 转发规则,请单击 NDS 透明转发器 部分下的+ 应用程序特定 DNS 转发规则。使用此配置,您可以选择更改 Citrix Cloud 和网关服务应用程序的默认 Quad9 DNS 透明转发器。

NDS 透明货运

  • 应用程序:从应用程序下拉列表中选择 Citrix Cloud 和网关服务应用程序。

  • DNS 服务器从下拉列表中选择您在站点特定 DNS 服务器下创建的 DNS 服务器。

监视

您可以按如下方式监视 Citrix Cloud 和 Gateway 服务实时统计信息和使用情况报告:

  • 实时统计

网关服务统计 1

网关服务统计 2

  • 实时防火墙连接

网关服务防火墙连接 1

网关服务防火墙连接 2

  • 使用情况

网关服务使用

故障排除

连接错误记录在 SDWAN_dpi.log 文件中。要下载日志文件,请导航到 疑难解答 > 设备日志,选择所需的站点,选择日志文件,然后单击 下载

网关服务疑难解

您还可以验证设备警报。要验证,请导航到“网络”>“警报”

网关服务警报

Citrix 云和网关服务优化