Citrix SD-WAN WANOP

配置链接定义

链接定义排列在一个有序列表中,每个链接有一个条目,从上到下对每个进入或离开设备的数据包进行测试。第一个匹配定义确定数据包所属的链接。在每个链接定义中都有一个有序的规则列表,这些规则也会从上到下进行测试。将每个数据包与这些规则进行比较,如果它与其中一个数据包匹配,则该数据包将被视为通过该链接传递。

在单个规则中,所有字段都是 ANded 一起的,因此所有指定值都必须匹配。所有字段默认为 “任意”,即始终匹配的通配符条目。当字段由列表(例如 IP 子网列表)组成时,列表条目将在一起。也就是说,如果任何元素匹配,整个列表被视为匹配。

链接可以基于与流量关联的以太网适配器、源和目标 IP 地址、VLAN 标签、WCCP 服务组(仅适用于 WCCP-GRE)以及源和目标以太网 MAC 地址。简单的内联部署可能只识别 LAN 端和 Wan端加速桥接端口 (aP.1 和 apA.2),而复杂的数据中心部署可能需要使用提供的大部分选项来消除流量歧义。

根据其 IP 地址定义链接是可能的,除非使用冗余链接。由于给定的数据包可能遍历主动-备用或主动-主动双链路部署中的链路,因此必须使用其他一些方法来确定数据包正在使用的链路。如果使用双桥,则一条链路的流量可以通过 apA,另一条通过 apB,并且可以通过适配器来定义链路。如果两个链接由不同的路由器提供,则可以使用路由器的 MAC 地址分开流量。当所有其他故障时,可以使用 WCCP-GRE,路由器可以为每个 WAN 链接使用不同的服务组,从而使 Citrix SD-WAN WANOP 单元能够按服务组分辨链路流量。

Citrix 建议对简单的内联部署进行基于端口的链接定义,对所有其他部署进行基于 IP 的链接定义。

要配置链接定义:

  1. 导航到 “ 配置 ” > “ 优化规则 ” > “ 链接 ”,然后单击 “ 添加”。

    本地化后的图片

  2. 输入以下参数的值:

    • 名称:链接的描述性名称,也可以描述它是 LAN 侧链接还是 WAN 侧链接。

    • 链接类型:链接类型,LAN 或 WAN。

    • 带宽入:传入带宽限制。

    • 带宽输出:传出带宽限制。

  3. 筛选规则 部分中,单击 添加 并输入以下参数的值:

    • 适配器: 指定适配器列表(以太网端口)。当链接可以通过以太网适配器识别时,这简化了配置。

    • 源 IP 地址: 对于输入本机的数据包,将考虑源 IP 规则(忽略退出本机的数据包)。在这些数据包上,Src IP 字段中的规则与 IP 标头中的源地址字段进行比较。该规则指定 IP 地址或子网的列表。还支持负面匹配,例如 “排除 10.0.0.1”。

    • 目标 IP 地址: 将针对退出单元的数据包考虑目标 IP 规则(忽略进入单元的数据包)。在这些数据包上,Dst IP 字段中的规则与 IP 标头中的目标地址字段进行比较。该规则指定 IP 地址或子网的列表。还支持负面匹配,例如 “排除 10.0.0.1”。

    • VLAN: VLAN 规则应用于进入或退出本机的数据包的 VLAN 标头。

    • WCCP 服务组: WCCP 服务组规则适用于进入或离开设备的 GREP 封装的 WCCP 数据包。(此规则不适用于 L2 WCCP。)

    • 源 MAC 地址: 源 MAC 地址用作筛选条件。

    • 目标 MAC 地址:用作分析条件的目标 MAC 地址。

  4. 单击 创建

    流量分类器以专门的方式使用 Src IP 和 Dest IP 字段(这同样适用于 Src MAC 和 DST MAC):

    • 仅在进入设备的数据包上检查 Src 字段。

    • 仅在离开设备的数据包上检查 DST。

内联链接

大多数 Citrix SD-WAN WANOP 设备使用简单的内联部署,其中每个加速桥只提供一个 WAN 链接。这是最简单的配置模式。

简单的内联链接

本地化后的图片

在上图中,通过加速桥梁的所有流量都假定为 WAN 流量。该链接是一个 ADSL 链接,具有不同的发送和接收速度(向下 6.0 mbps,向上 1.0 mbps)。广域网连接到加速桥接端口 apA.1,LAN 连接加速桥接端口 apA.2。

定义 Wan-side 链接 (aP.1) 的任务是:

  1. 为广域网指定一个描述性名称,例如 “广域网至总部 (aP.1)”。

  2. 将类型设置为 “WAN”。

  3. 将传入和传出带宽限制设置为标称链路速度的 95%。

  4. 验证是否已定义指定 WAN 以太网适配器的规则,在此示例中,该适配器为 apA。

  5. 单击 创建。

局部网络端链接 (apA.2) 的任务类似:

  1. 为其指定一个描述性名称,例如 “本地局域网 (apA.2)”。

  2. 将类型设置为“LAN”。

  3. 将传入和传出带宽限制设置为标称以太网速度的 95%(95 mbps 或 950 mbps)。

  4. 验证是否存在指定 LAN 以太网适配器的规则,在此示例中,该适配器为 apA.2。

  5. 单击 创建。

具有双桥的内联部署

本地化后的图片

配置类似于简单的内联链接配置,但该站点除了 ADSL 互联网链接外还有第二个链接,即 T1 链接到企业广域网。Citrix SD-WAN WANOP 设备具有两个加速桥,每个 WAN 链接一个。

配置几乎与单桥箱一样简单,还有以下附加步骤:

  1. 编辑 apB 上的第二个 WAN 链接,在本例中为 apB.1。将类型设置为 “WAN”。将链路带宽设置为 1.5 mbps T1 速度的 95%,并为链接指定一个新名称,例如 “WAN 到总部”。

  2. 在 “局域网” 定义中添加指定 apB.2 的规则,并删除 apB.2 的默认链接定义。(或者,您可以编辑 apB.2 的默认链接定义,将其指定为 LAN 链接,就像对 apA.2 所做的那样。)

非内联链接

对于简单的内联部署(每个加速桥只提供一个 WAN)以外,请使用 IP 子网而不是桥接端口来区分 LAN 流量和 WAN 流量。此方法对于仅使用单桥端口的单臂部署至关重要。IP 子网有时也适用于内联部署,尤其是当设备提供多个 WAN 时。但是,对于简单的内联部署,基于端口的链接更容易定义。

流量分类器在检查 Src IP 和 DST IP 时应用专门的约定:

  • 仅在进入设备的数据包中检查 Src IP 字段。

  • 仅在离开设备的数据包中检查 DST IP 字段。

这种约定有时会令人困惑,但它允许隐式地将数据包传输方向视为定义的一部分。

在链接定义中使用 IP 地址

本地化后的图片

要使用基于 IP 的规则配置简单的内联 LAN 定义,您可以使用 LAN 子网来定义 LAN 和 WAN 链接,而不必指定以太网端口:

  • 为 LAN 链接定义创建规则,并在 Src IP 字段中指定 LAN 子网。

  • 为 WAN 链接定义创建规则,并在 Dst IP 字段中指定 LAN 子网(而不是 WAN 子网)。

WCCP 和虚拟内联模式

本地化后的图片

使用基于 IP 的规则配置 WCCP 或虚拟内联部署与在链接定义中使用 IP 地址相同,因为 LAN 和 WAN IP 子网是相同的。

使用 WCCP-GRE 时,GRE 标头将被忽略,并使用封装的数据包中的 IP 标头。因此,此相同的链接定义适用于 WCCP-L2、WCCP-GRE、内联和虚拟内联模式。

(WCCP 和虚拟内联模式需要配置路由器。WCCP 还要求在配置:高级部署页面上进行配置。)

配置链接定义