配置路由器
要支持虚拟内联模式,路由器必须将传入和传出 WAN 流量转发到 SD-WAN 设备。设备处理流量后,路由器必须将传入流量从设备转发到 LAN,并将传出流量从设备转发到 WAN。您必须配置基于策略的规则以避免路由循环。此外,路由器必须监视设备的运行状况,以便在设备出现故障时可以绕过设备。
如果路由器支持反向路径转发功能,则必须在具有策略的接口上禁用该功能,以将流量重定向到 SD-WAN 设备(包括连接到设备的接口)。否则,路由器会间歇性地丢弃流量。默认情况下,路由器上启用了反向路径转发功能。
注意:如果网络有两个路由器,请使用工作表中标识的适当 IP 地址为每个路由器配置以下过程。
基于策略的规则
在虚拟内联模式下,如果路由规则不区分设备已转发的数据包和未转发的数据包,则数据包转发方法可以创建路由循环。您可以使用任何区分的方法。
典型的方法是将路由器的一个以太网端口专用于设备,并基于数据包到达的以太网端口创建路由规则。到达专用于设备的接口上的数据包永远不会转发回设备,但到达任何其他接口上的数据包都可以。
除非所有 WAN 流量通过设备,否则流量调整无法有效。以下是基本的路由算法:
- 请勿将数据包从设备转发回设备。
- 如果数据包从 WAN 到达,请将数据包转发到设备。
- 如果数据包发往 WAN,请将数据包转发到设备。
- 请勿将 LAN 到 LAN 的流量转发到设备。
运行状况监视
如果设备发生故障,则不应将数据路由到设备。默认情况下,基于思科策略的路由不执行运行状况监视。要启用运行状况监视,请定义规则以监视设备的可用性,并为 “设置 ip 下一跳” 命令指定 “验证可用性” 选项。使用此配置时,如果设备不可用,则不会应用路由,并且会绕过设备。
注意:Citrix 建议仅在与运行状况监视一起使用时使用虚拟内联模式。许多支持基于策略的路由器不支持运行状况检查。健康监测功能相对较新。它是第一次在思科 IOS 版本 12.3 (4) T.
以下是通过使用 IOS 软件版本的思科路由器型号 7600 监视设备可用性的规则示例:
``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is in the connected track 123 rtr 1 reachability ! rtr 1 type echo protocol IpIcmpecho 17.17.17.2 schedule 1 life forever start-time now
此规则会定期在 17.17.17.2 处对设备进行配置。您可以针对 123 进行测试,以查看单位是否向上。
## 路由器配置示例
以下是为虚拟内联模式配置 Cisco 路由器的示例:
``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.200.51.0 255.255.255.0
ip policy route-map server_side_map
!
interface FastEthernet0/1
ip address 17.17.17.1 255.255.255.0!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
ip policy route-map wan_side_map
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended server_side
permit ip 10.100.51.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.20.20.0 0.0.0.255 10.100.51.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!- Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 17.17.17.1 20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 17.17.17.1 10 track 123
<!--NeedCopy-->
此示例将访问列表应用于路径图并将路径图附加到界面。访问列表标识来自一个加速站点并在另一个站点终止的所有流量(源 IP 地址为 10.100.51.0/24,目标 IP 地址为 10.20.20.0/24 或相反)。有关访问列表和路由图的详细信息,请参阅路由器的文档。
此配置将所有匹配的 IP 流量重定向到设备。如果您只想重定向 TCP 流量,则可以按如下方式更改访问列表配置(此处仅显示远程端的配置):
pre codeblock
!
ip access-list extended server_side
permit tcp 10.200.51.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended wan_side
permit tcp 10.20.20.0 0.0.0.255 10.200.51.0 0.0.0.255
!
<!--NeedCopy-->
在高可用性设置中配置路由器
要在路由器之间配置高可用性,请参阅路由器特定的高可用性配置手册。