Citrix SD-WAN Orchestrator

Citrix 云和网关服务优化

通过 Citrix Cloud 和网关服务优化 功能增强,您可以检测和路由发往 Citrix Cloud 和网关服务的流量。您可以创建策略,直接将流量分解到互联网,也可以通过虚拟路径通过回程路由发送流量。在没有此功能的情况下,当默认路由为虚拟路径时,网关服务将发送回客户的数据中心,然后出入 Internet,增加不必要的延迟。除此之外,您现在可以查看 Citrix Gateway 服务和 Citrix Cloud 流量,并且可以创建 QoS 策略以将其优先于虚拟路径。

Citrix SD-WAN 软件版本 11.2.1 及更高版本中,Citrix 云和网关服务突破 功能默认处于启用状态。

对于 11.3.0 以下的 Citrix SD-WAN 软件版本,只有在未禁用 Citrix Cloud 和网关服务 突破功能的情况下,才会执行 Citrix Cloud 和网关服务 流量的首次数据包检测和分类。

对于 Citrix SD-WAN 软件版本 11.3.0 及更高版本,无论是否启用 Citrix Cloud 和 Gateway Service 突破功能,都会对 Citrix Cloud 和 Gateway Servic e 流量进行首次数据包检测和分类。

注意

  • 您只能通过 Citrix SD-WAN Orchestrator 服务配置 Citrix 云和网关服务优化。

  • Citrix SD-WAN Orchestrator 流量优化 是从 Citrix SD-WAN 软件版本 11.2.3 或更高版本引入的。目标是提供更精细的分类,从而分别识别 Citrix SD-WAN Orchestrator 流量和来自 Citrix Cloud 的其他相关服务的流量,并提供Internet 突破选项。因此,客户现在可以选择仅优化 Citrix SD-WAN Orchestrator 流量。

选中 Citrix Cloud 复选框后,将预先选中 Citrix SD-WAN Orchestrator 和相关关键服务 复选框。这允许所有 Citrix Cloud Web UI 和 API 流量(包括 Orchestrator 和依赖服务的流量)进入防火墙并突破互联网。

此外,您可以选择仅选中 Citrix SD-WAN Orchestrator 和依赖的关键服务 复选框并禁用其他流量,从而仅向 Orchestrator 相关流量提供绕过防火墙的权限。

Citrix SD-WAN Orchestrator 和依赖的关键服务

Citrix Cloud 和网关服务类别

以下是用于分类和优化目的的流量类别:

  • Citrix Cloud:启用此功能可检测和路由发往 Citrix Cloud Web UI 和 API 的流量。

    • Citrix SD-WAN Orchestrator 和依赖的关键服务:

      • Citrix SD-WAN Orchestrator:允许在 Citrix SD-WAN 设备和 Citrix SD-WAN Orchestrator 之间建立和维护 Citrix SD-WAN Orchestrator 之间建立和维

      • Citrix Cloud 下载服务:启用直接互联网突破,以便将设备软件、配置、脚本和其他要求下载到 Citrix SD-WAN 设备上。

  • Citrix Gateway 服务:启用以检测和路由发往 Citrix Gateway 服务的流量(控制和数据)。

    • 网关服务客户端数据:在客户端和 Citrix Gateway 服务之间启用 ICA 数据通道的直接Internet 突破。它需要高带宽和低延迟。

    • 网关服务服务器数据:在虚拟交付代理 (VDA) 和 Citrix Gateway 服务之间启用 ICA 数据通道的直接Internet 突破。它需要高带宽和低延迟,并且仅适用于 VDA 资源位置(VDA 到 Citrix Gateway 关服务连接)。

    • 网关服务控制流量:支持控制流量的直接Internet 突破。没有特定的 QoS 注意事项。

    • 网关服务 Web 代理流量:启用 Web 代理流量的直接Internet 突破。它需要高带宽,但延迟要求可能会有所不同。

必备条件

请确保您具有以下对象:

  1. 要执行 Citrix Cloud 和网关服务分组,必须在设备上配置互联网服务。有关配置互联网服务的更多信息,请参阅 互联网接入

  2. 确保管理界面具有互联网连接。如果未连接专用管理界面,请确保启用带内管理并且出站管理流量具有 Internet 连接。

  3. 可以使用 Citrix SD-WAN Web 界面配置管理界面设置。

  4. 确保已配置管理 DNS。要配置管理接口 DNS,请在站点级别导航到 配置 > 设备设置 > 网络适配器。在 DNS 设置 部分下,提供主 DNS 服务器和辅助 DNS 服务器详细信息,然后单击 保存

网关服务 DNS 设置

Citrix 云和网关服务优化的工作原理

  1. Citrix SD-WAN 设备使用云服务 API 下载应用程序签名列表。

  2. 当 Citrix Cloud 和 Gateway 服务应用程序的请求到达时,该应用程序将使用签名在第一个数据包上进行分类。

  3. 对 Citrix Cloud 和 Gateway 服务流量进行分类后,自动创建的应用程序路由和防火墙策略将生效,并将流量直接分发到 Internet。

  4. Citrix 云和网关服务默认使用 Quad9 来转发 DNS 请求。

启用/未启用突破的交通流量

  • 未启用突破功能

    没有启用突围

  • 启用分组功能后

    启用了突围

如果您使用云安全堆栈(例如 Zscaler、Check Point、Palo Alto)来处理互联网流量,则网关服务将接收来自该安全堆栈的公有 IP 地址的数据包,而不是 SD-WAN 分支。这将使直接工作负载连接失败,因此,发送到云托管 SD-WAN 的数据包将无法采用虚拟路径。有关更多信息,请参阅 直接工作负载连接

通过启用分组,网关服务将直接从 SD-WAN 分支接收数据包。动态虚拟路径在 SD-WAN 分支和云托管 SD-WAN 之间出现,流量通过这个虚拟路径在两个站点之间进行。有关启用动态虚拟路径的更多信息,请参阅 为分支到分支通信设置动态路径

启用和不启用分组讨论

通过启用突破,在 Citrix SD-WAN 设备和 Citrix SD-WAN Orchestrator 之间建立和维护 Citrix SD-WAN Orchestrator 之间的连接所需的流量将不再通过数据中心回传。流量通过直接从 Citrix SD-WAN 设备所在的分支机构突破到互联网,到达 Citrix SD-WAN Orchestrator。

启用和不启用突破功能的 Orchestrator

配置网关服务分组

Citrix Cloud 和 Gateway 服务突破策略允许您指定哪些类别的 Citrix Cloud 和网关服务流量可以直接从 SD-WAN 分支突破。

Citrix CloudCitrix Gateway 服务 选项在 Citrix Gateway 和 Citrix Cloud 优化 设置下可用。

Citrix 应用程序可以访问 Citrix Cloud 中的多项服务。有关详细信息,请参阅 系统和连接要求

在 Citrix SD-WAN Orchestrator 服务中,默认情况下,每个网络都有 Citrix Cloud 和网关服务路由。要导航,请转到 网络配置 > 路由 > 路由策略 > 应用程序路由

云和网关服务

您无法删除路由,但可以根据需要配置设置。默认情况下, Citrix Cloud 和网关服务 处于启用状态。

云和网关服务设置

适用于 Citrix 云和网关服务的透明转发器

Citrix Cloud 的 SD-WAN 分支开始,网关服务从 DNS 请求开始。通过 Citrix Cloud 和网关服务域的 DNS 请求必须在本地引导。如果启用 Citrix Cloud 和网关服务互联网突发,则会确定内部 DNS 路由。默认情况下,Citrix Cloud 和网关服务 DNS 请求将转发到开源 DNS 服务 Quad 9。四 9 DNS 服务是安全的,可扩展的,并具有多弹出的存在。如有必要,您可以更改 DNS 服务。

要添加 DNS 服务器,请在站点级别导航到 配置 > 高级设置 > DNS。在 “ 站点特定的 DNS 服务器 ” 部分下,单击 + DNS 服务器

站点特定的设置

每个启用了互联网服务和 Citrix Cloud 和网关服务分组的 SD-WAN 分支机构都会创建 Citrix Cloud 和网关服务应用程序的透明转发器。

要添加特定的 DNS 转发规则,请单击 “ NDS透明转发器” 部分下的 + 应用程序特定 DNS 转发规则 。使用此配置,您可以选择更改 Citrix Cloud 和网关服务应用程序的默认 Quad9 DNS 透明转发器。

NDS 透明货运

  • 应用程序:从 “应用程序” 下拉列表中选择 Citrix Cloud 和网关服务 应用程序

  • DNS 服务器:从下拉列表中选择您在 站点特定的 DNS 服务器 下创建的 DNS 服务器。

监视

您可以按如下方式监视 Citrix Cloud 和 Gateway 服务实时统计信息和使用情况报告:

  • 实时统计信息

网关服务统计 1

网关服务统计 2

网关服务统计 3

  • 实时防火墙连接

网关服务防火墙连接 1

网关服务防火墙连接 2

网关服务防火墙连接 3

  • 使用情况

网关服务使用

故障排除

连接错误记录在 SDWAN_dpi.log 文件中。要下载日志文件,请导航到 故障排除 > 设备日志,选择所需的站点,选择日志文件,然后单击 下载

网关服务故障排除

您还可以验证设备警报。要进行验证,请导航到 网络 > 警报

网关服务警报

Citrix 云和网关服务优化