交付服务

交付服务允许您配置交付服务,如 Internet、Intranet、IPsec 和局域网 GRE。交付服务在全局范围内定义,并应用于各个站点的 WAN 链路(如适用)。

每个 WAN 链路都可以应用所有或相关服务的子集,并在所有交付服务中设置相对带宽份额 (%)。

默认情况下,虚拟路径服务在所有链接上可用。可根据需要添加其他服务。

配送服务集导航

交付服务是 Citrix SD-WAN 上提供的交付机制,用于根据业务意图使用正确的交付方法指导不同的应用程序或流量配置文件。

配送服务可以大致归类为以下类别:

  • 虚拟路径服务:双端叠加 SD-WAN 隧道,在托管 SD-WAN 设备或虚拟实例的两个站点之间提供安全、可靠和高质量的连接。
  • 互联网服务:SD-WAN 站点与公共互联网之间的直接通道,不涉及 SD-WAN 封装。Citrix SD-WAN 支持跨多个 Internet 链路的 Internet 绑定流量的会话负载平衡功能。
  • 内部网服务:从 SD-WAN 站点到任何非 SD-WAN 站点的基于底层链路的连接。

    流量被解封装或可以使用任何非虚拟路径封装,如 IPsec、GRE。您可以设置多个内部网服务。

服务和带宽

在“服务和带宽”选项卡下,您可以查看默认情况下创建的互联网服务。分支流量使用中转站点访问 Internet。此部分允许您定义新的交付服务和所有交付服务的默认带宽分配比例 (%)。交付服务之间的带宽分配需求可能因涉及的链路类型而异。

例如,如果您正在使用多个 SaaS 应用程序,请在互联网链接上为 Internet 服务 分配很大一部分带宽,用于直接突破互联网。在 MPLS 链接上,根据 SD-WAN 站点是否拥有大部分流量进 入其他 SD-WAN 站点或非 SD-WAN 站点,为 虚拟路径服 务或内部网服务 分配更多带宽。

根据您的要求,您可以为每种链路类型(Internet 链接、MPLS 链接和专用内部网链接)定义跨传输服务的全局带宽共享默认值。

服务配置带宽详细信息

默认值可以在单个链接上覆盖。配置 WAN 链路时,您可以选择使用这些全局默认值或配置特定于链路的服务带宽设置。要在链路上启用和活动的任何传递服务,都需要配置非零带宽共享。

Cloud Direct 服务

Cloud Direct 服务通过可靠、安全的交付方式提供 SD-WAN 功能,无论主机环境如何(数据中心、云和互联网)。

Cloud Direct 服务:

  • 改进了网络可见性和管理。
  • 使合作伙伴能够为其最终客户提供针对业务关键 SaaS 应用程序的托管 SD-WAN 服务。

优势

Cloud Direct 服务具有以下优势:

  • 冗余:使用多个互联网 WAN 链路并提供无缝故障切换。
  • 链路聚合:同时使用所有互联网 WAN 链路。
  • 跨来自不同提供商的 WAN 连接进行智能负载平衡:
    • 测量数据包丢失、抖动和吞吐量。
    • 自定义应用程序标识。
    • 应用要求和电路性能匹配(适应实时网络条件)。
  • SLA 级动态 QoS 对 Internet 电路的访问能力:
    • 动态适应不同的电路吞吐量。
    • 通过入口和出口端点的隧道进行适应。
  • 在不中断呼叫的情况下重新路由 VOIP 呼叫。
  • 端到端监控和可见性。

要为 Cloud Direct 服务配置站点,请从客户级别导航至“配置”>“交付服务”>“服务和带宽”,然后单击“Cloud Direct 服务”旁边的设置图标。

Cloud Direct 服务

单击 + Cloud Direct 服务 添加站点。

Cloud Direct 服务站点

您可以选择 区域 并相应地选择站点。

Cloud Direct 服务区域

单击“ 看”查看您选择的站点,然后单击“保存”。

您可以查看是否使用以下详细信息创建站点:

  • 站点状态:显示站点是否已部署状态。如果部署,状态将提示 Cloud Direct 站点是否处于联机状态。
  • 站点名称:显示要为其部署 Cloud Direct 功能的站点名称。
  • 平台:对于所选站点,相应的设备型号名称将自动填充并在此处显示,例如 — 210-SE。
  • 开单状态:显示开单状态。
  • 许可的 Cloud Direct 带宽 (Mbps):显示 Cloud Direct 订阅带宽信息。订阅带宽与 Cloud Direct 服务的许可相关联。
  • 已启用的链路计数:显示为此服务启用的 WAN 链路计数。
  • 操作:您可以选择删除为此 SD-WAN 设备创建的 Cloud Direct 站点配置,也可以在只读模式下查看 Cloud Direct 站点配置和 WAN 链接详细信息。

Cloud Direct 站点信息

单击站点条目,您可以编辑订阅带宽并更改为此服务选择的 WAN 链接。此外,您可以在每个选定的 WAN 链接上编辑 Cloud Direct 服务的入口(上传)和出口(下载)速度。

注意

  • 默认情况下,它选择前四个互联网 WAN 链接。
  • Cloud Direct 入口(上传)和出口(下载)速度值不得大于订阅带宽值。

Cloud Direct 站点编辑

您可以为基于应用程序的路由创建应用程序对象。通过包含相应的应用程序来创建应用程序路由,这些应用程序必须通过 Cloud Direct 服务进行引导。有关详细信息,请参阅路由策略

还有其他可用于 Internet 和 Intranet 服务的设置,可以使用针对每个服务显示的设置图标进行自定义。

配送服务设置

单击 + 新建服务并选择服务类型。根据您要创建的附加交付服务,选择所需的服务类型,然后继续进行配置。

服务类型

Internet 服务

默认情况下,Internet 服务可作为交付服务的一部分使用。您可以配置相对于其他交付服务的互联网服务路由成本。即使所有相关路径都已关闭,您也可以保留从链接到 Internet 的路由。

Internet 服务

Intranet 服务

您可以创建多个内部网服务。在全局级别创建 intranet 服务后,可以在 WAN 链接级别引用该服务。提供 服务名称,选择所需的 路由域防火墙区域。添加网络中的所有 Intranet IP 地址,以便网络中的其他站点可能会交互。即使所有关联路径都已关闭,也可以保留从链接到 Intranet 的路由。

配置内部网服务

GRE 服务

可以将 SD-WAN 设备配置为在 LAN 上终止 GRE 通道。

GRE

GRE 详细信息

  • 服务类型:选择 GRE 通道使用的服务。
  • 名称: LAN GRE 服务的名称。
  • 路由域:GRE 通道的路由域。
  • 防火墙区域:为通道选择的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  • MTU:最大传输单元 — 可通过特定链路传输的最大 IP 数据报的大小。这个范围是从 576 人到 1500 人。默认值为 1500。
  • 保持活动状态:发送保持活动状态消息的时间间隔。如果配置为 0,则不会发送保持活动状态的数据包,但隧道保持运行状态。
  • 保持活动重试次数:Citrix SD-WAN 设备在导致隧道关闭之前发送的数据包保持活动状态的次数。
  • 校验和:为通道的 GRE 头启用或禁用校验和。

站点绑定

  • 站点名称:要映射 GRE 通道的站点。
  • 源 IP:通道的源 IP 地址。这是在此站点上配置的虚拟接口之一。所选路由域决定可用的源 IP 地址。
  • 公用源 IP:通道流量通过 NAT 传输时的源 IP。
  • 目标 IP:通道的目标 IP 地址。
  • 通道 IP/前缀:GRE 通道的 IP 地址和前缀。
  • 通道网关 IP:用于路由通道流量的下一个跃点 IP 地址。
  • LAN 网关 IP:用于路由 LAN 流量的下一个跃点 IP 地址。

Zscaler 服务

Zscaler 云安全平台在全球 100 多个数据中心提供了一系列安全检查职位。只需将互联网流量重定向到 Zscaler 服务,即可立即保护您的商店、分支机构和远程位置。

Citrix SD-WAN Orchestrator 为 Zscaler 云提供合作伙伴身份验证。建立 IPsec 隧道以将互联网流量重定向到 Zscaler。默认情况下,所有站点都连接到 Zscaler。

Zscaler

提供以下详细信息以验证 Zscaler(合作伙伴登录信息):

  • 用户名:输入用户的名称。
  • 密码:输入密码。
  • 云名称:输入管理员用于登录 Zscaler 服务的 URL 中可用的云名称。 云名称

    为了最大限度地提高运营效率,Zscaler 构建了具有高可扩展性的全球多云基础架构。组织在一个云上置备,其流量仅由该云处理。

  • API 密钥:输入合作伙伴集成 Citrix SD-WAN 密钥。

身份验证成功后,提供 Zscaler 服务的带宽分配。默认情况下,所有具有 global_default WAN 链接配置的站点都使用 Zscaler 服务进行配置。Zscaler 服务的链路特定 WAN 链路配置允许您指定除全局分配以外的不同带宽分配。

Azure 虚拟广域网服务

Microsoft Azure 虚拟广域网和 Citrix SD-WAN 提供了跨云工作负载的简化网络连接和集中管理。此服务提供分支设备的自动配置,以连接到 Azure 虚拟广域网,并根据业务需求配置分支流量管理策略。

Azure 服务主体 供将任何 Citrix SD-WAN 站点映射到 Azure 虚拟广域网的信息。在将站点配置为 Azure 虚拟广域网服务之前,您需要在各自的 Azure 区域中使用站点到站点连接 Gateway 资源创建 Azure 虚拟广域网中心。在 Citrix SD-WAN 设备和 Azure 之间建立站点到站点连接。

注意

仅列出在 Azure 门户中为您的订阅创建的虚拟 WAN 中心以进行映射。

作为将 Citrix SD-WAN 分支映射到 Azure 虚拟广域网的一部分,分支站点需要与 Azure WAN 资源关联,才能使用预选的 IPsec IKE/IPsec 设置与 Azure 虚拟中心建立 IPsec 隧道。默认情况下,通过 BGP 了解站点和 Azure 主干路由。如果 Citrix SD-WAN 分支站点配置了多个互联网 WAN 链路,则会自动选择两个 WAN 链路来提供冗余。选定的 Citrix SD-WAN 软件必须支持在主 IPsec 隧道和辅助 IPsec 隧道之间进行切换,这些通道从 11.1 版开始就受到支持。

注意:

一个 Citrix SD-WAN 站点可以连接到相同或不同 Azure 区域中的多个 Azure 虚拟中心。

某些 Citrix SD-WAN 设备对可支持的 IPsec 隧道数量有资源限制。因此,如果不符合 Citrix SD-WAN 设备隧道计数限制,则配置映射可能会失败。

以下是每个 SD-WAN 平台的 IPsec 隧道限制:

SD-WAN 设备 支持的 IPsec 隧道
4100, 5100, 6100 256
1100, 2100 128
210, 410, 1000, 2000 8

将 Citrix SD-WAN 站点映射到 Azure 虚拟广域网中心可能需要一些时间,因为它涉及从 Azure 下载 IPsec 配置。下载分支配置 后,分支映射状态显示为“配置已下载”。建议在激活配置之前刷新站点状态以查看更新的状态。

下图描述了协调器和 Azure 虚拟广域网连接的高级工作流。

虚拟广域网工作流

要将站点与 Azure WAN 资源关联,请执行以下操作:

  1. 从 Citrix SD-WAN Orchestrator 中,导航到“交付服务”>“网络级别的服务和带宽”。单击 Azure 虚拟广域网旁边的设置选项。

    Azure 虚拟广域网服务

    注意:

    您必须为 Azure 虚拟广域网服务提供订阅带宽(以% 为单位)。您可以在全局级别和站点级别保留订阅带宽。

  2. 提供 Azure 租户 ID、应用程序 ID、密钥订阅 ID (也称为服务主体)。如果凭据不正确,则身份验证将失败,并且不允许进一步操作。单击保存

    Azure 虚拟广域网服务

    身份验证成功后,必须将分支站点与 Azure 虚拟广域网资源关联,才能建立 IPsec 隧道。一个分支可以连接到 Azure 虚拟广域网资源中的多个集线器,一个 Azure 虚拟广域网资源可以连接到多个分支站点。

  3. 单击 + 站点 添加站点。

    Azure 虚拟广域网添加站点

    **注

    意:**如果您没有保留订阅带宽,则“+ 站点”选项将被禁用。

  4. 提供以下详细信息:

    • Azure 虚拟广域网 -从与订阅关联的下拉列表中选择 Azure 虚拟广域网。同一站点无法连接到多个 WAN。

    • Azure 中心 -选择 Azure 中心。仅列出具有 Azure 虚拟中心的 Azure 虚拟广域网进行映射。您可以添加连接到同一站点的多个集线器。

      注意

      Azure 虚拟广域网字段仅列出已创建相应集线器的那些虚拟广域网。

    • 选@@择区域/组 — 您可以选择所有或选择性的区域/组。

    • 选择站点 — 您可以选择要映射的所有站点或选择性站点。

    Azure 虚拟广域网添加站点

  5. 单击“查看”。

    Azure 虚拟广域网添加站点

    ALB 内部 IP — 如果特定站点是 Azure VPX 并以高可用性 (HA) 模式部署,则需要 Azure 负载平衡器 (ALB) IP 输入。否则这个字段是可选的。

  6. 单击保存

  7. 部署站点后,您可以看到以下信息:

    Azure 虚拟广域网站详细信息

    • 信息 -显示 Azure 虚拟广域网隧道配置详细信息和状态。

      Azure 虚拟部署站点信息

    • 站点名称 — 显示已部署的站点名称。
    • 虚拟广域 网 — 显示映射相应站点的 Azure 虚拟广域网。
    • 集线器 — 显示集线器的数量。
    • 状态 — 显示具有最终完成消息的不同部署状态。如果已成功置备站点,则只能创建 IPsec 隧道。
    • 操作 — 您可以 编辑删除 配置的站点。

站点成功置备后,您需要执行“验证”、“阶段”和“活动”过程来创建 IPSec 隧道。激活后,您可以在“信息”页面下查看隧道的状态。如果配置未激活,则隧道信息将不可用。

您还可以为不同的站点分配不同的带宽。为此,请为选定站点执行链接特定的配置。为此,请选择相应的 站点 > WAN 链接 选项卡 > 服务 部分。您可以覆盖全局带宽分配。

服务带宽设置

从 11.1.0 版本起,Azure 虚拟广域网支持多个 WAN 链路配置以及集线器到集线器的通信。有关详细信息,请参阅集线器到集线器通信

IPsec 服务

Citrix SD-WAN 设备可以与 LAN 或 WAN 端的第三方对等方协商固定 IPsec 通道。您可以定义通道终结点,并将站点映射到通道端点。

还可以选择并应用用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。

要配置 IPsec 隧道,请执行以下操作:

  1. 指定服务详细信息。

    • 服务名称:IPsec 服务的名称。
    • 服务类型:选择 IPsec 通道使用的服务。
    • 路由域:对于通过 LAN 传输的 IPsec 通道,请选择一个路由域。如果 IPsec 通道使用 intranet 服务,intranet 服务将确定路由域。
    • 防火墙区域:通道的防火墙区域。默认情况下,通道放置在 Default_LAN_Zone 中。
  2. 添加隧道终结点。

    • 名称:当“服务类型”为“内部网”时,选择通道保护的内部网服务。否则,请输入服务的名称。
    • 对等 IP:远程对等机的 IP 地址。
    • IPsec 配置文件:用于定义安全协议和 IPsec 设置的 IPsec 安全配置文件。
    • 预共享密钥: 用于 IKE身份验证的预共享密钥。
    • 对等预共享密钥:用于 IKEv2 身份验证的预共享密钥。
    • 身份数据: 使用手动身份标识或用户 FQDN 类型时要用作本地身份的数据。
    • 对等客户端身份数据:使用手动身份标识或用户 FQDN 类型时要用作对等客户端身份的数据。
    • 证书:如果选择“证书”作为 IKE 身份验证,请从已配置的证书中进行选择。
  3. 将站点映射到隧道端点。

    • 选择端点:要映射到站点的端点。
    • 站点名称:要映射到端点的站点。
    • 虚拟接口名称:将用作端点的站点上的虚拟接口。
    • 本地 IP:用作本地通道端点的本地虚拟 IP 地址。
  4. 创建受保护的网络。

    • 源网络 IP/前缀:IPsec 隧道保护的网络流量的源 IP 地址和前缀。
    • 目标网络 IP/前缀:IPsec 隧道保护的网络流量的目标 IP 地址和前缀。
  5. 确保对等设备上的 IPsec 配置进行镜像。

    IPsec 服务

有关详细信息,请参阅如何为虚拟和动态路径配置 IPsec 通道

动态虚拟路径设置

通过全局动态虚拟路径设置,管理员可以配置跨网络的动态虚拟路径默认值。

在两个站点之间动态地实例化动态虚拟路径,以支持直接通信,而无需任何中间 SD-WAN 节点跃点。同样,动态虚拟路径连接也会动态删除。动态虚拟路径的创建和删除都是根据带宽阈值和时间设置触发的。

动态虚拟路径设置

单击验证配置以验证任何审核错误。

下面是一些受支持的设置:

  • 置备以在网络中启用或禁用动态虚拟路径
  • 动态虚拟路径的路由成本
  • 要使用的 QoS 配置文件-默认情况下为标准
  • 动态虚拟路径创建条件:

    • 测量间隔 (秒):测量数据包计数和带宽的时间量,以确定是否必须在两个站点之间创建动态虚拟路径(在本例中是指定分支与控制节点之间)。
    • 吞吐量阈值 (kbps):两个站点之间的总吞吐量阈值(通过度量时间间隔计算),在该阈值时将触发动态虚拟路径。在这种情况下,该阈值将应用于控制节点。
    • 吞吐量阈值 (pps) -两个站点之间的总吞吐量 (通过度量间隔计算),在该阈值中触发动态虚拟路径。
  • 动态虚拟路径删除条件:

    • 测量间隔(分钟):测量数据包计数和带宽的时间量,以确定是否必须在两个站点之间移除动态虚拟路径(在本例中是指定分支与控制节点之间)。
    • 吞吐量阈值 (kbps) -两个站点之间的总吞吐量 (通过度量间隔计算),在该阈值中删除动态虚拟路径。
    • 吞吐量阈值 (pps) -两个站点之间的总吞吐量 (通过度量间隔计算),在该阈值中删除动态虚拟路径。
    • 等待时间以刷新失效虚拟路径(分钟):在该时间之后删除失效的动态虚拟路径。
    • 在重新创建失效的虚拟路径之前的暂候时间(分钟):可以重新创建已失效的动态虚拟路径的持续时间。

IPsec 加密配置文件

要添加 IPsec 加密配置文件,请导航到“配置”>“交付服务”>“IPsec 加密配置文件”。

IPsec 输入资产净值

IPsec 提供安全通道。Citrix SD-WAN 支持 IPsec 虚拟路径,使第三方设备能够终止 Citrix SD-WAN 设备的 LAN 或 WAN 端的 IPsec VPN 隧道。可以使用 140-2 Level 1 FIPS 认证的 IPsec 加密二进制文件保护在 SD-WAN 设备上终止的站点到站点 IPsec 通道。

Citrix SD-WAN 还支持使用存在差别的虚拟路径通道机制的弹性 IPsec 通道。

在将 IPsec 服务配置为交付服务集时,将使用 IPsec 配置文件。在 IPsec 安全配置文件页面中,输入以下 IPsec 加密配置文件、IKE 设置IPsec 设置所需的值。

单击验证配置以验证任何审核错误。

IPsec 加密配置文件信息

  • 配置文件名称:提供配置文件名称。
  • MTU: 输入最大 IKE 或 IPsec 数据包大小 (以字节为单位)。
  • 保持活动状态: 选中此复选框可使通道保持活动状态并启用工艺路线资格。
  • IKE 版本: 从下拉列表中选择一个 IKE 协议版本。

    IPsec 教授查询信息

IKE 设置

  • 模式:从 IKE 阶段 1 协商模式的下拉列表中选择主模式或主动模式。
    • 主模式:协商期间不会向潜在攻击者泄露任何信息,但是速度低于积极模式。
    • 主动: 协商期间向潜在攻击者泄露某些信息 (例如,协商对等体的身份),但是速度高于主模式。
  • 身份验证: 从下拉菜单中选择身份验证类型为证书或预共享密钥。
  • 标识: 从下拉列表中选择身份方法。
  • 对等身份: 从下拉列表中选择对等身份方法。
  • DH 组: 选择适用于 IKE 密钥生成的 Diffie-Hellman (DH) 组。
  • 哈希算法:从下拉列表中选择一种哈希算法以对 IKE 消息进行身份验证。
  • 加密模式:从下拉列表中选择 IKE 消息的加密模式。
  • 生存时间(秒):输入与存在 IKE 安全关联的首选持续时间 (以秒为单位)。
  • 最大寿命 (秒): 输入允许 IKE 安全关联存在的最长首选持续时间 (以秒为单位)。
  • DPD 超时(秒):输入 VPN 连接的失效对等体检测超时 (以秒为单位)。

    IKE 设置

IPsec 设置

  • 隧道类型:从下拉列表中选择 ESP、ESP + 身份验证、ESP+NULL 或 AH 作为隧道封装类型。

    • ESP: 仅加密用户数据
    • ESP+Auth:加密用户数据并包含一个 HMAC
    • ESP+NULL:数据包已通过身份验证但未加密
    • AH: 仅包含 HMAC
  • PFS Group:从下拉菜单中选择 Diffie-Hellman 组来完美地生成前向保密密钥。
  • 加密模式:从下拉菜单中选择 IPsec 消息的加密模式。
  • 哈希算法:MD5、SHA1 和 SHA-256 哈希算法可用于 HMAC 验证。
  • 网络不匹配: 从下拉菜单中选择一个数据包与 IPsec 通道的受保护网络不符时要执行的操作。
  • 生存时间(秒):输入 IPsec 安全关联的存在时间长度(以秒为单位)。
  • 最大生存期(秒):输入允许 IPsec 安全关联存在的最长时间(秒)。
  • 生存时间(KB):输入 IPsec 安全关联的存在数据量(以 KB 为单位)。
  • 生命周期 (KB) 最大值:输入允许 IPsec 安全关联存在的最大数据量(以千字节为单位)。

    IPsec 设置

交付服务