交付服务

交付服务 允许您配置交付服务,例如互联网、内联网、IPSec 和 LAN GRE。交付服务在全球范围内进行定义,并应用于各个站点的 WAN 链接(如果适用)。

每个 WAN 链接可以应用全部或部分相关服务,并在所有交付服务中设置带宽的相对份额 (%)。

默认情况下,虚拟路径服务在所有链接上可用。可以根据需要添加其他服务。

交付服务是 Citrix SD-WAN 上可用的交付机制,用于根据业务意图使用正确的交付方法来引导不同的应用程序或流量配置文件。

送货服务可大致归类为以下内容:

  • 虚拟路径服务:双端叠加 SD-WAN 隧道,可在托管 SD-WAN 设备或虚拟实例的两个站点之间提供安全、可靠和高质量的连接。

  • 互联网服务:SD-WAN 站点和公共互联网之间的直接通道,不涉及 SD-WAN 封装。Citrix SD-WAN 支持针对跨多个 Internet 链接的 Internet 绑定流量进行会话负载平衡功能。

  • Cloud Direct Service:一种云服务,无论主机环境如何,可为所有 Internet 绑定流量提供 SD-WAN 功能。

  • Intranet 服务:基于链接的连接从 SD-WAN 站点到任何非 SD-WAN 站点。

    流量被解封装或可以使用任何非虚拟路径封装,如 IPsec、GRE。您可以设置多个 Intranet 服务。

服务和带宽

在“服务和带宽”选项卡下,您可以查看默认情况下创建 Internet 服务。分支流量使用中转站点访问 Internet。本节允许您定义新的交付服务和所有交付服务的默认带宽分配比例 (%)。交付服务之间的带宽分配需求可能会根据所涉链路的类型而有所不同。

例如,如果您正在使用多个 SaaS 应用程序,请将互联网链接上的大部分带宽分配给 Internet 服务,以便直接进行互联网突围。在 MPLS 链接上,根据 SD-WAN 站点 是大部分流量流向其他 SD-WAN 站点还是非 SD-WAN 站点,为 虚拟路径服务或Intranet 服务分配更多带宽。

根据您的要求,您可以为每种链接类型(Internet 链接、MPLS 链接和私有 Intranet 链接)定义交付服务之间的全局带宽共享默认值。

服务配置带宽详情

可以在单个链接上覆盖默认值。配置 WAN 链路时,您可以选择使用这些全局默认值或配置链路特定的服务带宽设置。要在链路上启用和激活任何交付服务,都需要配置非零带宽共享。

Cloud Direct 服务

Cloud Direct Service 将 SD-WAN 功能作为云服务提供,无论主机环境(数据中心、云和互联网)如何,可靠、安全地交付所有 Internet 绑定流量。

Cloud Direct 服务:

  • 提高网络可见性和管理。
  • 使合作伙伴能够为业务关键型 SaaS 应用程序向最终客户提供托管 SD-WAN 服务。

优势

Cloud Direct 服务具有以下优势:

  • 冗余:使用多个 Internet WAN 链路并提供无缝故障切换。
  • 链路聚合:同时使用所有互联网 WAN 链接。
  • 跨不同提供商的 WAN 连接进行智能负载平衡:
    • 测量数据包丢失、抖动和吞吐量。
    • 定制应用程序标识。
    • 应用要求和电路性能匹配(适应实时网络条件)。
  • SLA 级动态 QoS 对 Internet 电路的访问能力:
    • 动态适应不同的电路吞吐量。
    • 通过入口和出口端点的隧道进行适应。
  • 在不放弃呼叫的情况下在电路之间重新路由 VOIP 呼叫。
  • 端到端监控和可见性。

要为 Cloud Direct Service 配置站点,请从客户级别导航到 配置 > 交付服务 > 服务和带宽,然后单击 Cloud Direct Service 旁边的设置图标

Cloud Direct 服务

单击 + 云直接服务 以添加站点。要通过云直接引导特定应用程序,您可以从 默认 Cloud Direct 应用组 链接添加相关应用程序。

Cloud Direct 服务站点

您可以选择 区域 并相应地选择站点。

Cloud Direct 服务区域

单击“查看”以查看您选择的站点,然后单击“保存”

您可以使用以下详细信息查看网站是否已创建:

  • 站点状态:显示站点是否已部署状态。如果部署,状态将暗示 Cloud Direct 站点是否在线。
  • 站点名称:显示部署 Cloud Direct 功能的站点名称。
  • 平台:对于所选站点,相应的设备型号名称将自动填充并显示在此处,例如 — 210-SE。
  • 账单状态:显示账单状态。
  • 许可的云直接带宽 (Mbps):显示 Cloud Direct 订阅带宽信息。订阅带宽与 Cloud Direct 服务的许可相关联。
  • 已启用链接计数:显示为此服务启用的 WAN 链接的计数。
  • 操作:您可以选择删除为此 SD-WAN 设备创建的 Cloud Direct 站点配置,也可以在只读模式下查看 Cloud Direct 站点配置和 WAN 链接详细信息。

Cloud Direct 站点信息

单击站点条目,您可以编辑订阅带宽并更改为此服务选择的 WAN 链接。此外,您可以在每个选定的 WAN 链接上编辑 Cloud Direct 服务的入口(上传)和出口(下载)速度。

注意

  • 默认情况下,它选择前四个互联网 WAN 链接。
  • Cloud Direct 入口(上传)和出口(下载)速度值不得大于订阅带宽值。

Cloud Direct 站点编辑

您可以为基于应用程序的路由创建应用程序对象。通过包含必须通过 Cloud Direct 服务引导的相应应用程序来创建应用程序路由。有关详细信息,请参阅 路由策略

还有其他可用于 Internet 和 Intranet 服务的设置,可以使用针对每项服务显示的 设置 图标进行自定义。

配送服务设置

单击 + 服务, 然后选择 服务类型。根据您要创建的附加交付服务,选择所需的服务类型,然后继续进行配置。

Internet 服务

默认情况下 ,互联网服务可作为交付服务的一部分使用。您可以配置互联网服务路由相对于其他交付服务的成本。即使所有相关路径都关闭,您也可以保留从链接到互联网的路由。

Internet 服务

Intranet 服务

您可以创建多个 Intranet 服务。在全局级别创建 intranet 服务后,可以在 WAN 链接级别引用该服务。提供 服务名称,选择所需的 路由域防火墙区域。添加网络中的所有 Intranet IP 地址,网络中的其他站点可能会进行交互。即使所有关联路径都已关闭,也可以保留从链接到 Intranet 的路由。

配置内联网服务

GRE 服务

可以将 SD-WAN 设备配置为在 LAN 上终止 GRE 通道。

GRE

GRE 详情

  • 服务类型:选择 GRE 隧道使用的服务。
  • 名称:LAN GRE 服务的名称。
  • 路由域:GRE 隧道的路由域。
  • 防火墙区域:为隧道选择的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  • MTU:最大传输单元 — 可通过特定链路传输的最大 IP 数据报的大小。范围从 576 到 1500。默认值为 1500。
  • 保持活力:发送保持活动信息之间的时间。如果配置为 0,则不会发送保持活动状态数据包,但隧道会保持运行状态。
  • 保持活动重试:Citrix SD-WAN 设备在使隧道关闭之前发送保持活动数据包但没有响应的次数。
  • 校验和:为隧道的 GRE 报头启用或禁用校验和。

网站绑定

  • 站点名称:绘制 GRE 隧道的地图。
  • 源 IP:隧道的源 IP 地址。这是在此站点上配置的虚拟接口之一。所选路由域决定可用的源 IP 地址。
  • 公共源 IP:如果隧道流量通过 NAT,则为源 IP。
  • 目标 IP:隧道的目标 IP 地址。
  • 隧道 IP/ 前缀:GRE 隧道的 IP 地址和前缀。
  • 隧道网关 IP:路由隧道流量的下一跳 IP 地址。
  • LAN 网关 IP:路由 LAN 流量的下一跳 IP 地址。

Zscaler 服务

Zscaler 云安全平台在全球 100 多个数据中心提供了一系列安全检查帖子。只需将互联网流量重定向到 Zscaler 服务,您就可以立即保护您的商店、分支机构和远程位置。

Citrix SD-WAN Orchestrator 为 Zscaler Cloud 提供合作伙伴身份验证。要进行身份验证,请单击“配送服务”列下 列出的 Zscaler 旁边的“设置”图标。

Zscaler 设置

  • 输入您的 用户名密码

  • 云名称:管理员用于登录 Zscaler 服务的 URL 中提供的云名称。在以下示例中,help.zscaler.com 是 URL,zscaler.com 是云名称。

    云名

    为最大限度地提高运营效率,Zscaler 构建了具有高可扩展性的全球多云基础组织可以访问特定 Zscaler 云,以登录到他们的管理门户。同样的 Zscaler 云负责处理来自该组织的流量。

  • API 密钥:合作伙伴集成 Citrix SD-WAN 密钥。

Zscaler

单击 + 站点 以添加 Zscaler 服务的站点。在 Zscaler 云网络中的 SD-WAN 站点和 Zscaler 执行节点 (Zens) 之间建立了 IPsec 隧道。Zens 双向检查流量并强制执行安全和合规性策略。

  • 自动弹出选择:选中此选项后,SD-Orchestrator 会根据 WAN 链接的 IP 地址的地理位置查找自动选择离您站点最近的主 ZEN 和辅助 ZEN。清除后,手动选择 Zen。

  • Zscaler 主要区域:主 ZEN 所属的区域。

  • 主 Zscaler Pop:主要 ZEN。

  • 辅助 Zscaler 区域:辅助 ZEN 所属的区域。

  • 二级 Zscaler Pop:次要 ZEN。

  • 选择区 站点

Zscaler

查看 存配置。成功添加站点后,验证、暂存和激活配置。成功激活配置后,IPsec 隧道将被部署。信息 图标提供 Zscaler 隧道配置和状态的详细信息。如果无法连接到 Zscaler 网络/添加站点,请单击 刷新 以重试连接。

为 Zscaler 服务分配带宽。Zscaler 服务的链路特定 WAN 链路配置允许您指定全局分配以外的其他带宽分配。

您可以使用“操作”列 编辑删除 特定于站点的 Zscaler 配置。要一次删除所有 Zscaler 配置的站点,请单击全部 删除

Zscaler

IPsec 服务

Citrix SD-WAN 设备可以与 LAN 或 WAN 端的第三方对等方协商固定 IPsec 通道。您可以定义隧道端点并将站点映射到隧道端点。

还可以选择并应用用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。

要配置 IPsec 隧道:

  1. 指定服务详细信息。
  • 服务名称:IPsec 服务的名称。
  • 服务类型:选择 IPsec 隧道使用的服务。
  • 路由域:对于通过局域网的 IPsec 隧道,请选择路由域。如果 IPsec 通道使用 intranet 服务,intranet 服务将确定路由域。
  • 防火墙区域:隧道的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  1. 添加隧道终结点。
  • 名称:当 服务类型 为 Intranet 时,请选择隧道保护的 Intranet 服务。否则,请输入服务的名称。
  • 对等 IP:远程对等体的 IP 地址。
  • IPsec 配置文件:定义安全协议和 IPsec 设置的 IPsec 安全配置文件。
  • 预共享密钥:用于 IKE 身份验证的预共享密钥。
  • Peer 预共享密钥:用于 IKEv2 身份验证的预共享密钥。
  • 身份数据:使用手动身份或用户 FQDN 类型时用作本地身份的数据。
  • 对等身份数据:使用手动身份或用户 FQDN 类型时用作对等身份的数据。
  • 证书:如果选择证书作为 IKE 身份验证,请从配置的证书中进行选择。
  1. 将站点映射到隧道终点。
  • 选择端点:要映射到站点的终点。
  • 站点名称:要映射到终点的站点。
  • 虚拟接口名称:站点上用作终端点的虚拟接口。
  • 本地 IP:用作本地隧道端点的本地虚拟 IP 地址。
  • 网关 IP:下一跳 IP 地址。
  1. 创建受保护的网络。
  • 源网络 IP/ 前缀:IPsec 隧道保护的网络流量的源 IP 地址和前缀。
  • 目标网络 IP/ 前缀:IPsec 隧道保护的网络流量的目标 IP 地址和前缀。
  1. 确保对等设备上的 IPsec 配置进行镜像。

IPsec 服务

有关详细信息,请参阅 如何为虚拟和动态路径配置 IPsec 隧道

动态虚拟路径设置

通过全局动态虚拟路径设置,管理员可以配置跨网络的动态虚拟路径默认值。

在两个站点之间动态地实例化动态虚拟路径,以支持直接通信,而无需任何中间 SD-WAN 节点跃点。同样,动态虚拟路径连接也会动态删除。动态虚拟路径的创建和删除都会根据带宽阈值和时间设置触发。

动态虚拟路径设置

单击验证配置以验证任何审计错误。

下面是一些受支持的设置:

  • 置备以在网络中启用或禁用动态虚拟路径
  • 动态虚拟路径的路由成本
  • 要使用的 QoS 配置文件 —默认情况下标准。
  • 动态虚拟路径创建条件:

    • 测量间隔(秒):测量数据包计数和带宽以确定是否必须在两个站点之间创建动态虚拟路径的时间量,在这种情况下,是在给定的分支和控制节点之间。
    • 吞吐量阈值 (kbps):两个站点之间的总吞吐量阈值,在 测量间隔内测量,触发动态虚拟路径。在这种情况下,该阈值将应用于控制节点。
    • 吞吐量阈值 (pps) -两个站点之间的总吞吐量阈值,在 测量时间间隔内,触发动态虚拟路径。
  • 动态虚拟路径删除条件:

    • 测量间隔(分钟):测量数据包计数和带宽以确定是否必须在两个站点之间移除动态虚拟路径的时间量,在这种情况下,是指指定分支和控制节点之间的动态虚拟路径。
    • 吞吐量阈值 (kbps) -两个站点之间的总吞吐量阈值,在 测量间隔内测量,在此时移除动态虚拟路径。
    • 吞吐量阈值 (pps) -两个站点之间的总吞吐量阈值,在 测量间隔内测量,在此时移除动态虚拟路径。
    • 等待时间刷新死虚拟路径 (m):删除死动态虚拟路径的时间。
    • 重现死虚拟路径之前的保留时间 (m):在此时间之后,可以重新创建因死亡而移除的动态虚拟路径。

IPsec 加密配置文件

要添加 IPsec 加密配置文件,请导航到 配置 > 交付服务 > 选择 IPsec 加密配置文件

IPsec 加密导航

IPsec 提供安全通道。Citrix SD-WAN 支持 IPsec 虚拟路径,使第三方设备能够终止 Citrix SD-WAN 设备的 LAN 或 WAN 端的 IPsec VPN 隧道。可以使用 140-2 Level 1 FIPS 认证的 IPsec 加密二进制文件保护在 SD-WAN 设备上终止的站点到站点 IPsec 通道。

Citrix SD-WAN 还支持使用存在差别的虚拟路径通道机制的弹性 IPsec 通道。

在将 IPsec 服务配置为交付服务集时,将使用 IPsec 配置文件。在 IPsec 安全配置文件页面中,输入以下 IPsec 加密配置文件、IKE 设置IPsec 设置所需的值

单击验证配置以验证任何审计错误。

IPsec 加密配置文件信息

  • 配置文件名称:提供配置文件名称。
  • MTU:输入 IKE 或 IPSec 数据包的最大大小(以字节为单位)。
  • 保持活动状态:选中该复选框可使隧道保持活动状态并启用路由资格。
  • IKE 版本:从下拉列表中选择 IKE 协议版本。

    IPSec 教授加密信息

IKE 设置

  • 模式:从 IKE 阶段 1 协商模式的下拉列表中选择主模式或主动模式。
    • 主要:在谈判期间,没有信息暴露给潜在攻击者,但比攻击模式慢。 模式符合 FIPS 标准。
    • 激进性:一些信息(例如,谈判同行的身份)在谈判期间会暴露给潜在的攻击者,但速度比主模式更快。激进 模式不符合 FIP 要求。
  • 身份验证:从下拉菜单中选择认证类型为“证书”或“预共享密钥”。
  • 身份:从下拉列表中选择身份方法。
  • 对等身份:从下拉列表中选择对等身份方法。
  • DH 集团:选择可用于 IKE 密钥生成的 Diffie-Hellman (DH) 组。
  • 哈希算法:从下拉列表中选择哈希算法以验证 IKE 消息。
  • 加密模式:从下拉列表中选择 IKE 消息的加密模式。
  • 生命周期:输入 IKE 安全关联存在的首选持续时间(以秒为单位)。
  • 生命周期最长:输入允许 IKE 安全关联存在的最长首选持续时间(以秒为单位)。
  • DPD 超时:输入 VPN 连接的死对等检测超时(以秒为单位)。

    IKE 设置

IPsec 设置

  • 隧道类型:从下拉列表中选择 ESPESP+AuthESP+NULLAH 作为隧道封装类型。这些分类归入符合 FIPS 标准和不符合 FIPS 标准的类别。

    • ESP:仅加密用户数据
    • ESP+Auth:加密用户数据并包含 HMAC
    • ESP+NULL:数据包已验证但未加密
    • AH:只包括 HMAC
  • PFS 组:从下拉菜单中选择 Diffie-Hellman 组,用于完美的向前保密密钥生成。
  • 加密模式:从下拉菜单中选择 IPsec 消息的加密模式。
  • 哈希算法:MD5、SHA1 和 SHA-256 哈希算法可用于 HMAC 验证。
  • 网络不匹配:从下拉菜单中选择数据包与 IPsec 隧道的受保护网络不匹配时要采取的操作。
  • 生命周期:输入 IPsec 安全关联存在的时间量(以秒为单位)。
  • 生命周期最长:输入允许 IPsec 安全关联存在的最长时间(以秒为单位)。
  • 生命周期 (KB):输入 IPsec 安全关联要存在的数据量(以 KB 为单位)。
  • 生命周期 (KB) 最大值:输入允许 IPsec 安全关联存在的最大数据量(以千字节为单位)。

    IPsec 设置

交付服务