Citrix SD-WAN WANOP

路由器配置

路由器在支持虚拟内联模式时有三个任务:

  1. 它必须将传入和传出 WAN 流量转发到 SD-WAN 设备。
  2. 它必须将 SD-WAN 流量转发到其目的地(WAN 或 LAN)。
  3. 它必须监视设备的运行状况,以便在设备出现故障时可以绕过设备。

基于策略的规则

在虚拟内联模式下,如果路由规则不区分设备已转发的数据包和未转发的数据包,则数据包转发方法可以创建路由循环。您可以使用任何区分的方法。

典型的方法是将路由器的以太网端口之一专用于设备,并创建基于数据包到达的以太网端口的路由规则。到达专用于设备的接口上的数据包永远不会转发回设备,但到达任何其他接口上的数据包都可以。

基本路由算法是:

  • 请勿将数据包从设备转发回设备。
  • 如果数据包从 WAN 到达,请将其转发到设备。
  • 如果数据包发送到 WAN,请转发到设备。
  • 请勿将局域网到局域网的流量转发到设备。
  • 除非所有 WAN 流量通过设备,否则流量调整无法有效。

注意:在考虑路由选项时,请记住,返回数据(而不仅仅是传出数据)必须在设备中流动。例如,将设备放在本地子网上并将其指定为本地系统的默认路由器在虚拟内联部署中不起作用。传出数据将通过设备流动,但传入数据会绕过它。要在不重新配置路由器的情况下强制使用数据,请使用内联模式。

运行状况监视

如果设备发生故障,则不应将数据路由到设备。默认情况下,基于思科策略的路由不进行运行状况监视。要启用运行状况监视,请定义规则以监视设备的可用性,并为 “设置 ip 下一跃点” 命令指定 “验证可用性” 选项。使用此配置时,如果设备不可用,则不会应用路由,并且会绕过设备。

重要提示:Citrix 建议仅在与运行状况监视一起使用时使用虚拟内联模式。许多支持基于策略的路由器不支持运行状况检查。健康监测功能相对较新。它成为在思科 IOS 版本 12.3 (4) T.

以下是用于监视设备可用性的规则示例:

``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is connected track 123 rtr 1 reachabilit y ! rtr 1 type echo protocol IpIcmpecho 192.168.1.200 schedule 1 life forever start-time now


此规则定期以 192.168.1.200 的方式对设备进行调整。您可以针对 123 进行测试,以查看单位是否向上。

## 路由示例

以下示例说明了为中所示的本地和远程站点配置 Cisco 路由器[虚拟内联示例](/zh-cn/citrix-sd-wan-wanop/11/cb-deployment-modes-con/br-adv-virt-inline-mode-con.html)。为了说明运行状况监视,本地站点的配置包括运行状况监视,但远程站点的配置不包括运行状况监视。

注意:本地站点的配置假定已配置 ping 监视器。

这些示例符合思科 IOS CLI。它们可能不适用于来自其他供应商的路由器。

本地站点,启用运行状况检查:

``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.10.10.5 255.255.255.0
ip policy route-map client_side_map
!
interface FastEthernet0/1
ip address 172.68.1.5 255.255.255.0
ip policy route-map wan_side_map
!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended client_side
permit ip 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!- Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 192.168.1.200 20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 192.168.1.200 10 track 123

远程站点(无运行状况检查):

``` pre codeblock ! This example does not use health-checking. ! Remember, health-checking is always recommended, ! so this is a configuration of last resort. ! ! ip cef ! interface FastEthernet0/0 ip address 20.20.20.5 255.255.255.0 ip policy route-map client_side_map ! interface FastEthernet0/1 ip address 171.68.2.5 255.255.255.0 ip policy route-map wan_side_map ! interface FastEthernet1/0 ip address 192.168.2.5 255.255.255.0 ! ip classless ip route 0.0.0.0 0.0.0.0 171.68.2.1 ! ip access-list extended client_side permit ip 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255 ip access-list extended wan_side permit ip 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255 ! route-map wan_side_map permit 20 match ip address wan_side set ip next-hop 192.168.2.200 ! route-map client_side_map permit 10 match ip address client_side set ip next-hop 192.168.2.200 !_


上述每个示例都将访问列表应用于路径图,并将路径图附加到界面。访问列表标识来自一个加速站点并在另一个站点终止的所有流量(源 IP 为 10.10.10.0/24,目的地为 20.20.20.0/24,反之亦然)。有关访问列表和路由图的详细信息,请参阅路由器的文档。

此配置将所有匹配的 IP 流量重定向到设备。如果您只想重定向 TCP 流量,则可以按如下方式更改访问列表配置(此处仅显示远程端的配置):

``` pre codeblock
!
 ip access-list extended client_side
 permit tcp 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255
 ip access-list extended wan_side
 permit tcp 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255
!

请注意,对于访问列表,不使用普通掩码。改为使用通配符掩码。请注意,当以二进制读取通配符掩码时,“1” 被认为是 “不关心” 位。

路由器配置