基本设置

可以从“网络”控制板添加新站点并配置 SD-WAN 网络。

要创建站点,请单击网络仪表板上的 + 新站点。提供站点的名称和位置。

站点级配置新站点

您可以从头开始创建站点,也可以使用站点配置文件快速配置站点。

在您继续配置时,屏幕右侧的图形显示提供动态拓扑图。

要查看基本设置,请选择站点并导航到配置 > 基本设置

站点级基本设置

站点详细信息

第一步是输入站点、设备、高级设置和站点联系人详细信息。

站点详细信息

  • 选择站点配置文件会根据站点配置文件配置自动填充站点、界面和 WAN 链接参数。
  • 站点地址站点名称将根据上一步中提供的详细信息自动填充。
  • 可以根据在给定站点使用的硬件型号或虚拟设备来选择设备型号子型号
  • 设备版本会根据所选设备型号自动反映。当前支持 Standard Edition (SE)。
  • 站点角色定义了设备的角色。您可以为站点分配以下角色之一:

    • MCN:主控制节点 (MCN) 充当网络的 Controller,网络中只有一个活动设备可以被指定为 MCN。
    • 分支机构:从 MCN 接收配置并参与为分支机构建立虚拟 WAN 功能的分支站点上的设备。可以有多个分支站点。
    • RCN:区域控制节点 (RCN) 支持分层网络架构,支持多区域网络部署。MCN 控制多个 RCN,每个 RCN 依次控制多个分支站点。
    • 地理冗余 MCN:位于不同位置的站点,如果 MCN 不可用,则接管 MCN 的管理功能,从而确保灾难恢复。请注意,地理冗余 MCN 不为 MCN 提供高可用性或故障切换功能。
    • 异地冗余 RCN:位于不同位置的站点,该站点接管 RCN 的管理功能(如果不可用),可确保灾难恢复。请注意,地理冗余 RCN 不为 RCN 提供高可用性或故障切换功能。
  • 带宽层是您可以在任何设备上配置的应计费带宽容量,具体取决于设备型号。例如,SD-WAN 410 标准版 (SE) 设备支持 20、50、100、150 和 200 Mbps 的带宽层。根据给定站点的带宽需求,您可以选择所需的层。针对所配置的带宽层,每个站点都有记帐。

  • 网关 ARP 计时器(毫秒):配置的网关 IP 地址的地址解析协议 (ARP) 请求之间的时间(范围:100—20000 毫秒)。
  • 主机 ARP 计时器(毫秒):针对已配置的主机 IP 地址的 ARP 请求之间的时间(范围:1000—180000 毫秒)。
  • 启用源 MAC 学习:存储接收数据包的源 MAC 地址,以便传出到同一目标的数据包可以发送到同一端口。

  • 即使所有关联路径都关闭,仍保留通往 Internet 的路由:启用后,即使 Internet 服务的所有 WAN 链接都不可用,发往 Internet 服务的数据包仍会继续选择互联网服务。

  • 即使所有关联路径都关闭,仍保留从链接到 Intranet 的路由:启用后,即使 Intranet 服务的所有 WAN 链接都不可用,发往 Intranet 服务的数据包仍会继续选择 Intranet 服务。

  • 站点上可用管理员的联系详细信息。

配置面板右侧的动态网络图可在您完成配置过程中持续提供可视化反馈。

设备详细信息

设备详细信息部分允许您在站点配置和启用高可用性 (HA)。使用 HA,可以将两个设备作为主动主设备和被动辅助设备部署在站点上。主设备出现故障时,辅助设备将接管。有关详细信息,请参阅高可用性

站点级配置设备详细信息

设备信息

启用 HA,然后输入主设备和辅助设备的序列号和短名称。

  • 序列号:可以从 VPX Web 控制台访问虚拟 SD-WAN 实例 (VPX) 的序列号 ,如以下屏幕截图中突出显示的那样。在设备标签上还可以找到硬件设备的序列号。

    序列号

  • 短名称:“短名称”字段用于为站点指定易于识别的短名称,或者根据需要标记站点。

高级 HA 设置

  • 故障切换时间(毫秒):与主设备的联系丢失后,备用设备变为活动状态之前的等待时间。
  • 共享基础 MAC:高可用性对设备的共享 MAC 地址。发生故障转移时,辅助设备具有与发生故障的主设备相同的虚拟 MAC 地址。
  • 禁用共享基础 MAC:此选项仅适用于虚拟机 Hypervisor 和基于云的平台。选择此选项可禁用共享虚拟 MAC 地址。
  • 主要回收:故障转移事件发生后,指定的主设备在重新启动时恢复控制权。
  • HA 故障到线模式:HA 故障到线模式已启用。有关更多详细信息,请参阅 HA 部署模式
  • 启用 Y 型电缆支持:小型可插拔 (SFP) 端口可与光纤 Y 型电缆一起使用,以启用边缘模式部署的高可用性功能。此选项仅适用于 Citrix SD-WAN 1100 SE/PE 设备。有关详细信息,请参阅使用光纤 Y 型电缆启用边缘模式高可用性

接口

下一步是添加并配置接口。单击 + 界面开始配置接口。单击 + HA 接口开始配置 HA 接口。只有在配置了辅助设备以实现高可用性时,+ HA 接口选项才可用。

接口配置涉及到选择部署模式并设置接口级别属性。此配置适用于 LAN 和 WAN 链接。

站点级配置界面

带内管理

带内管理允许您使用 SD-WAN 数据端口进行管理。它同时承载数据流量和管理流量,而无需配置额外的管理路径。带内管理允许虚拟 IP 地址连接到管理服务,如 Web UI 和 SSH。您可以使用管理 IP 和带内虚拟 IP 访问 Web UI 和 SSH。

要启用带内管理,请从波段内管理 IP 下拉列表中选择一个 IP 地址。从带内管理 DNS 下拉列表中选择带内和备份管理平面上的所有 DNS 请求都将转发到的 DNS 代理。

有关带内管理的详细信息,请参阅带内管理

为接口配置的 IP 地址将列在 InBand Management IP 下拉列表下。在高级设置 > DNS 下配置的 DNS 代理服务将在 InBand Management DNS 下拉列表中列出。

界面属性

支持以下部署模式:

  1. Edge(网关)
  2. 内联-故障到线路、故障-阻止和虚拟内联。
  • 部署模式:选择以下部署模式之一。

    • 边缘(网关)

    Edge

    网关模式隐含 SD-WAN 用作所有 LAN 流量的 WAN 的“网关”。网关模式 是默认模式。可以在 LAN 端或 WAN 端将设备部署为网关。

    • 内联

    如果在 LAN 交换机与 WAN 路由器之间以内嵌方式部署 SD-WAN,SD-WAN 需要使用“桥接”LAN 和 WAN。

    所有 Citrix SD-WAN 设备都具有预定义的桥接接口。在启用了 “桥接” 选项的情况下,选择 LAN 端的任意接口时,将自动突出显示为网桥的 WAN 端预留的配对接口。例如,物理接口1和2为桥接对。

     -  **故障到线**:启用桥接对接口之间的物理连接,允许流量绕过 SD-WAN 并在设备重启或出现故障时直接通过网桥流动。
    
      > **注意**
      >
      > 串联 (Fail-to-Wire) 选项仅在硬件设备上可用,不在虚拟设备 (VPX/VPXL) 上可用。
      >
    
      ![内联无法连接](/en-us/citrix-sd-wan-orchestrator/media/inline-fail-to-wire.png)
    
     -  **故障到阻止**:此选项禁用硬件设备上桥接接口对之间的物理连接,从而防止在设备重启或出现故障时通过桥接流量。
    
      > **注意**
      >
      > 串联 (Fail-to-Block) 是虚拟设备 (VPX/VPXL) 上唯一可用的桥接模式选项。
      >
    
      ![内联无法阻止](/en-us/citrix-sd-wan-orchestrator/media/inline-fail-to-block.png)
    
     -  **虚拟内联(单臂)**:
    
      ![虚拟内联](/en-us/citrix-sd-wan-orchestrator/media/virtual-inline.png)
    
      在此模式下部署 SD-WAN 时,它只有**一个臂** 将其连接到在 SD-WAN 上共享同一接口的 WAN 路由器、LAN 和 WAN。因此,接口设置在 LAN 链接和 WAN 链接之间共享。
    
  • 接口类型: 从下拉列表中选择接口类型。
  • 安全性(可信/不可信):指定接口的安全级别。受信任的区段受防火墙的保护。
  • 接口名称: 根据所选的部署模式,接口名称字段将自动填充。

物理接口

  • 选择接口: 选择设备上可用的可配置以太网端口。

虚拟接口

  • VLAN ID:用于识别和标记进出接口的流量的 ID。
  • DHCP 客户端:在虚拟接口上启用后,DHCP 服务器将动态 IP 地址分配给连接的客户机。
  • IPv4:接口的虚拟 IP 地址和网络掩码。
  • 私有:启用后,虚拟 IP 地址仅可在本地设备上路由。
  • 身份:选择要用于 IP 服务的身份。例如, 身份 用作与 BGP 邻居通信的源 IP 地址。
  • 定向广播:选中定向广播复选框后,定向广播将发送到虚拟接口上的虚拟 IP 子网。
  • 虚拟接口名称: 根据所选的部署模式,虚拟接口名称字段将自动填充。
  • 路由域:提供分支机构网络或数据中心网络的单点管理的路由域。
  • 防火墙区域:接口所属的防火墙区域。防火墙区域用于保护逻辑区域中的接口并对其进行控制。
  • 客户端模式: 从下拉列表中选择客户端模式。在选择 PPPoE 静态显示器时,将显示更多设置。

    注意:

    当站点模式(位于“站点详细信息”选项卡下)被选为分支并且接口选项卡下的安全字段被选为不受信任时,PPPoE 动态选项在客户端模式下可用。

Citrix SD-WAN 用作 PPPoE 客户端。它通过 PPPoE 服务器进行身份验证并获取动态 IP 地址,或者使用静态 IP 地址建立 PPPoE 连接。

  • 启用 HA Heartbeat:启用通过此界面同步 HA 心跳。如果已经为高可用性配置了辅助设备,则此选项处于启用状态。选择此选项可允许主设备和辅助设备通过此接口同步 HA 检测信号。指定主设备和辅助设备的 IP 地址。

PPPoE 凭据

以太网点对点协议 (PPPoE) 通过公共客户本地设备将以太局域网上的多个计算机用户连接到远程站点。

Citrix SD-WAN 设备使用 PPPoE 为 ISP 提供支持,以便与拨号连接不同的是持续的 DSL 和有线调制解调器连接。有关详细信息,请参阅 PPPoE 配置

PPPoE 凭据

  • AC 名称: 为 PPPoE 配置提供访问集中器 (AC) 名称。
  • 服务名称: 输入服务名称。
  • 重新连接暂停: 输入重新连接尝试暂停时间。
  • 用户名: 输入 PPPoE 配置的用户名。
  • 密码: 输入 PPPoE 配置的密码。
  • 身份验证: 从下拉列表中选择授权协议。
    • 身份验证选项设置为“自动”时,SD-WAN 设备将遵守从服务器收到的受支持的身份验证协议请求。
    • 身份验证选项设置为 PAP/CHAP/EAP 时,只支持特定的身份验证协议。如果 PAP 在配置中,并且服务器使用 CHAP 发送身份验证请求,则连接请求将被拒绝。如果服务器不与 PAP 协商,则会发生身份验证失败。

提示

(可选) 创建子接口以添加多个 VLAN。

按照您的网络要求继续添加接口。

WAN 链接

下一步是配置 WAN 链接。单击 + WAN 链接开始配置 WAN 链接。

WAN 链接配置涉及设置 WAN 链接访问类型和访问接口属性。

您可以从头开始配置 WAN 链接属性,也可以使用 WAN 链接配置文件快速配置 WAN 链接属性。如果您已使用站点配置文件,WAN 链接属性将自动填充。

WAN 链接属性

Wan 链接属性

  • 访问类型:指定链接的 WAN 连接类型。
    • 公共互联网:表示链接已通过 ISP 连接到互联网。
    • 专用 Intranet:表示链接已连接到 SD-WAN 网络中的一个或多个站点,无法连接到 SD-WAN 网络之外的位置。
    • MPLS:私人内联网的专用变体。指示链接使用一个或多个 DSCP 标记来控制 Intranet 上两个或多个点之间的服务质量,无法连接到 SD-WAN 网络外部的位置。
  • ISP 名称:服务提供商的名称。
  • 链接名称:根据以前的输入自动填充。
  • 跟踪 IP 地址:虚拟路径上的虚拟 IP 地址,可以通过 Ping 来确定路径状态。
  • 公有 IPv4 地址公有 IPv6 地址:NAT 或 DNS 服务器的 IP 地址。仅当串行 HA 部署中的 WAN 链接访问类型为公共互联网或专用 Intranet 时,此地址才适用并公开。公用 IP 可以手动配置,也可以使用自动学习选项自动获知。
  • 自动检测:启用后,SD-WAN 设备将自动检测公有 IP 地址。仅当设备角色是分支而不是主控制节点 (MCN) 时,此选项才可用。
  • 出口速度:WAN 到局域网的速度。
    • 速度:WAN 到 LAN 流量的可用或允许的速度,以 Kbps 或 Mbps 为单位。
    • 允许费率:如果 SD-WAN 设备不应使用整个 WAN 链路容量,请相应地更改允许的速率。
    • 自动学习:当您不确定带宽且链接不可靠时,可以启用自动学习功能。自动 学习 功能仅学习基础链接容量,并将来使用相同的值。
    • 物理速率:WAN 链路的实际带宽容量。
  • 入口速度:局域网到 WAN 的速度。
    • 速度:局域网到 WAN 流量的可用或允许的速度,以 Kbps 或 Mbps 为单位。
    • 允许费率:如果 SD-WAN 设备不应使用整个 LAN 链路容量,请相应地更改允许的速率。
    • 自动学习:当您不确定带宽且链接不可靠时,可以启用自动学习功能。自动 学习 功能仅学习基础链接容量,并将来使用相同的值。
    • 物理速率:LAN 链路的实际带宽容量。

MPLS 队列

MPLS 队列 设置仅适用于 WAN 链接访问类型 MPLS。此选项旨在在 MPLS WAN 链接上启用与服务提供程序 MPLS 队列对应的队列定义。有关详细信息,请参阅 MPLS 队列

MPLS 队列

以下是队列参数:

  • 队列名称:MPLS 队列的名称。
  • DSCP 标签:MPLS 队列的唯一差异化服务代码点 (DSCP) 标签。
  • LAN 到 WAN (%):用于上传的带宽的比例 (%) 不能超过定义的物理上传速率。
  • WAN 到 LAN (%):用于下载的带宽的比例 (%) 不能超过定义的物理下载速率。
  • 跟踪 IP 地址:虚拟路径上的虚拟 IP 地址,可以通过 Ping 来确定路径状态。
  • 拥塞阈值:拥塞量(以微秒为单位),之后 MPLS 队列将限制数据包传输以避免进一步拥塞。
  • 无与伦比的选项:如果启用,其他 MPLS 队列不匹配的 DCSP 标签将使用此类。仅可以将一个 MPLS 队列标记为用于不匹配的标记。
  • 无重新标记选项:如果启用,LAN 到 WAN Intranet 的流量将保留原始标记,不使用默认 DSCP 标记重新标记。
  • 资格:MPLS 队列的资格设置允许用户对某些流量类别使用 MPLS 队列添加额外的处罚。当某类流量被标记为不符合 MPLS 队列条件时,会添加罚款,使得除非网络条件要求,否则不可能使用 WAN 链接。

访问界面

访问接口定义 WAN 链路的 IP 地址和网关 IP 地址。每个 WAN 链接至少需要一个访问接口。以下是访问接口参数:

  • 访问接口名称:引用 Access 接口的名称。默认情况下使用以下命名约定:wan_link_Name-AI 编号:其中 wan_link_Name 是与此接口关联的 WAN 链路的名称,编号是当前为此链接配置的访问接口的数量,增加 1。
  • 虚拟接口:访问接口使用的虚拟接口。从为当前分支站点配置的虚拟接口的下拉菜单中选择一个条目。
  • 虚拟路径模式:指定当前 WAN 链路上虚拟路径流量的优先级。选项包括:主要、辅助或排除。如果设置为“排除”,则访问接口仅用于互联网和内联网流量。
  • IP 地址:从设备到 WAN 的访问接口终端节点的 IP 地址。根据需要选择 V4 (IPv4) 或 V6 (IPv6)。
  • Gateway IP 地址:网关路由器的 IP 地址。
  • 将访问接口绑定到 Gateway MAC:如果启用,则 Internet 或 Intranet 服务收到的数据包的源 MAC 地址必须与网关 MAC Address Swank 链接 > 高级 WAN 选项匹配。
  • 启用代理 ARP:如果启用,虚拟 WAN 设备将在无法访问 Gateway IP 地址时回复 ARP 请求。
  • 在路由域上启用 Internet 访问:在各路由域的所有路由表中自动创建默认路由 (0.0.0.0/0)。您可以为所有路由域启用,也可以启用 NONE。如果需要互联网访问,它避免了在所有路由域中创建独占静态路由的需要。

服务

服务”部分允许您添加服务类型,并为每种服务类型分配要使用的带宽百分比。您可以从“交付服务”部分定义服务类型并为其配置属性。您可以选择使用这些全局默认值,也可以从服务带宽设置下拉列表中配置链路特定的服务带宽设置。如果选择链接特定,请输入以下详细信息:

  • 服务名称:WAN 链接服务的名称。
  • 分配百分比:从链路的总容量中分配给服务的带宽的保证公平份额。
  • 模式:WAN 链接的操作模式,基于所选服务。对于 Internet,有一个“主”、“辅助”和“余额”,对于 Intranet,有一个“主”和“辅助”。
  • 局域网到 WAN 标签:要应用于服务上的 LAN 到 WAN 数据包的 DHCP 标签。
  • WAN 到 LAN 标签:应用于服务上的 WAN 到 LAN 数据包的 DHCP 标签。
  • WAN 到 LAN 匹配:分配给服务的 Internet WAN 到 LAN 数据包的匹配条件。
  • LAN 到 WAN 延迟:超过 WAN 链路带宽时缓冲数据包的最长时间。
  • 隧道头大小:隧道头的大小(以字节为单位)。
  • WAN 到 LAN 整理:如果启用,则会随机丢弃数据包,以防止 WAN 到 LAN 的流量超出服务的预配带宽。

服务

高级 WAN 链接设置

WAN 链接高级设置允许配置 ISP 特定的属性。

  • 拥塞阈值:拥塞量,在此之后 WAN 链路会限制数据包传输以避免进一步拥塞。
  • 提供程序 ID:提供程序在发送重复数据包时区分路径的唯一标识符。
  • 帧成本(字节):向每个数据包添加额外的头/拖车字节,例如以太网 IPG 或 AAL5 拖车。
  • MTU(字节):以字节为单位的最大原始数据包大小,不包括帧成本。
  • 主动 MTU 检测:主动探测所有虚拟路径上的 MTU。
  • 待机模式:待机链路不会用于传输用户流量,除非它变为活动状态。

    • 禁用:默认情况下,WAN 链接的待机模式处于禁用状态。
    • 按需:如果所有非备用 WAN 链路都已停止或禁用,则按需备用 WAN 链接也将变为活动状态。
    • 最后手段:只有在所有非备用 WAN 链路和所有按需备用 WAN 链路都死亡或禁用时,最后手段备用 WAN 链接才会激活。
  • 优先级:如果存在多个备用链接,备用链接变为活动状态的顺序
  • 隧道头大小:隧道头的大小(以字节为单位)

  • 活动心跳间隔:待机路径处于活动状态时使用的心跳间隔。
  • 待机心跳间隔:待机路径处于非活动状态时使用的心跳间隔。

    高级 wan 选项

  • 启用计量:跟踪 WAN 链路上的使用情况,并在链路使用量超过配置的数据上限时向用户发出警报。
    • 数据上限 (MB):最大数据阈值,以 MB 为单位。
    • 计费周期:每周或每月的计费频率。
    • 开始:计费周期的开始日期。
    • 已使用的近似数据:已用于计量链接的近似数据(以 MB 为单位)。这仅适用于第一个周期。要跟踪正确的按计费链接使用情况,请指定大致按计费的链接使用情况(如果链接在当前计费周期中已使用了几天)。
    • 在达到数据上限时禁用链接:如果数据使用量达到指定的数据上限,计费链接及其所有相关路径将被禁用,直到下一个计费周期为止。如果未选择此选项,则在达到数据上限后,按计费链接将保持当前状态,直到下一个计费周期为止。

    启用计量

    有关详细信息,请参阅计量和备用 WAN 链接

  • 自适应带宽检测:检测到丢失时以较低的带宽速率使用 WAN 链路。当可用带宽低于配置的最小可接受带宽时,将路径标记为坏。使用路径或自适应带宽检测组下的自定义坏损失敏感度。

    注意

    自适应带宽检测仅适用于客户端,而不适用于 MCN。

    • 最小可接受带宽:当带宽速率不同时,WAN 到 LAN 允许的速率的百分比,低于该速率的路径将标记为坏。虚拟路径两侧的最小 kbps 不同。该值可以在 10%-50% 之间,默认值为 30%。

路由

站点配置工作流中的下一步是创建路由。您可以根据自己的站点要求创建应用程序和 IP 路由。

注意

在引入应用程序路由IP 路由选项卡之前添加的路由在交付服务为 Internet 的 IP 路由选项卡下列出。

在网络级别创建的全局路由和站点特定路由将自动列在路由 > 应用程序路由路由 > IP 路由选项卡下。您只能在站点级别查看全球路线。要编辑或删除全局路由,请导航到网络级别的配置。

您还可以在站点级别创建、编辑或删除路线。

基本设置路由

申请路线

单击 + 应用程序路由创建应用程序路由。

  • 定制应用程序匹配标准
    • 匹配类型:从下拉列表中选择匹配类型为应用程序/自定义应用程序/应用程序组
    • 应用程序:从下拉列表中选择一个应用程序。
    • 路由域:选择路由域。
  • 交通指导
    • 配送服务:从列表中选择一项送货服务。
    • 成本:反映每条路线的相对优先级。成本降低,优先级越高。
  • 基于路径的资格
    • 添加路径:选择站点和 WAN 链接,包括与之间的链接。如果添加的路径出现故障,则应用程序路由不会接收任何流量。

如果添加了新的应用程序路由,则路由成本必须在以下范围内:

  • 自定义应用程序:1—20
  • 应用程序:21—40
  • 应用程序组:41—60

基本设置应用路由

IP 路线

转到 IP 路由选项卡,然后单击 + IP 路由创建 IP 路由策略来引导流量。

  • IP 协议匹配标准
    • 目的网络:添加有助于转发数据包的目标网络。
    • 使用 IP 组:您可以添加目标网络或启用“使用 IP 组”复选框以从下拉列表中选择任何 IP 组。
    • 路由域:从下拉列表中选择路由域。
  • 交通指导
    • 配送服务:从下拉列表中选择一项送货服务。
    • 成本:反映每条路线的相对优先级。成本降低,优先级越高。
  • 资格标准
    • 导出路径:如果选中了导出路径复选框,并且如果路径是本地路径,则默认情况下该路径符合导出条件。如果路由是基于 INTRANET/INTERNET 的路由,则必须启用 WAN 到 WAN 转发才能导出。如果清除了导出路由复选框,则本地路由不符合导出到其他 SD-WAN 的条件,并且具有本地意义。
  • 基于路径的资格
    • 添加路径:选择站点和 WAN 链接,包括与之间的链接。如果添加的路径出现故障,则 IP 路由不会接收任何流量。

如果添加了新的 IP 路由,则路由成本必须在 1-20 范围内。

基本设置 IP 路由

摘要

本节简要介绍站点配置,以允许在提交相同内容之前快速查看。

基本设置摘要

使用“另存为模板”选项将站点配置另存为模板,以便在其他站点之间重复使用。单击完成标记站点配置已完成,然后将您转到网络配置-主页以查看所有已配置的站点。有关详细信息,请参阅网络配置

基本设置