Citrix SD-WAN

PBR 模式(虚拟内联)

在虚拟内联模式下,路由器使用基于策略的路由规则将传入和传出 WAN 流量重定向到设备,而设备将处理的数据包转发回路由器。

以下文章介绍了配置两个 SD-WAN (SD-WAN SE) 设备的分步过程:

  • PBR 模式下的数据中心设备(虚拟内联模式)

  • 内联模式下的分支设备

  • PBR 需要在核心交换机或路由器上游进一步配置。路由器必须监视 SD-WAN 设备的运行状况,以便在设备出现故障时可以绕过设备。

  • 虚拟内联模式将 SD-WAN 设备置于物理位置(单臂部署),即仅使用单个以太网接口(例如:接口 1/1),旁路模式设置为故障阻止 (FTB)。

Citrix SD-WAN 设备需要配置为将流量传递到正确的 Gateway。用于虚拟路径的流量被定向到 SD-WAN 设备,然后封装并定向到相应的 WAN 链接。

收集配置信息

  • 本地和远程站点的准确网络图(示例图如下),包括:

    • 本地和远程 WAN 链接及其双向带宽、子网、每条链路、路由和 VLAN 中的虚拟 IP 地址和网关。
  • 部署表(示例图如下)

数据中心拓扑-PBR 模式(虚拟内联模式)

本地化后的图片

分支拓扑-内联模式

本地化后的图片

站点名称 数据中心站点 分支机构
设备名称 SJC-DC SJC-BR
管理知识产权 172.30.2.10/24 172.30.2.20/24
安全密钥 如果有 如果有
模型/版本 4000 2000
模式 PBR 模式(虚拟内联模式) 内联
拓扑 2 x 广域网路径 2 x 广域网路径
VIP 地址 192.168.1.10/24 – MPLS,192.168.1.11/24 – Internet,公共 IP w.x.y.z 10.17.0.9/24 - MPLS,10.18.0.9/24 – Internet,公共 IP a.b.c.d
网关 MPLS 10.20.0.1 10.17.0.1
网关 Internet 10.19.0.1 10.18.0.1
链接速度 MPLS – 100 Mbps,Internet – 20 Mbps MPLS – 10 Mbps,Internet – 2 Mbps
路由 需要在 SD-WAN SE 设备上添加路由,了解如何通过任何物理接口到达 LAN 子网(10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 等):Gi0/1 - 192.168.1.1,配置 > 虚拟 WAN > 配置编辑器 > SJC_DC > 路由。在本示例中,使用了接口 192.168.1.1:- 不适用地址:10.10.13.0/24、10.10.12.0/24、10.10.11.0/24,- 服务类型:本地,- 网关 IP 地址:192.168.1.1 未添加其他路线
VLAN 无(默认值 0) 无(默认值 0)

在虚拟内联模式下配置站点的步骤:

  • 启用 MCN 功能。

  • 创建新站点。

  • 创建接口组和虚拟接口。

  • 将虚拟 IP 地址分配给虚拟接口。

  • 创建广域网链接并分配 IP 地址。

  • 添加路线。

  • 故障排除。

  • PBR 路由器上的基于策略的路由配置。

配置先决条件

  • 将 SD-WAN 设备启用为主控制节点。

  • 配置仅在 SD-WAN 设备的主控制节点 (MCN) 上完成。

要将设备启用为主控制节点,请执行以下操作:

  1. 在 SD-WAN Web 管理界面中,导航到 配置 >设备设 > 管理 员界面 > 杂项选项卡 > 切换控制台

    注意

    如果显示 切换到客户端控制台,则设备已处于 MCN 模式。SD-WAN 网络中应只有一个活动的 MCN。

  2. 启用虚拟广域网服务。导航到 配置 > 虚拟 WAN > 启用/禁用/清除流程。

  3. 通过导航到配置 > 虚拟 WAN > 配置编辑器启动配置。单击新建 开始配置。

    此操作将创建一个 Untitled_1 初始配置文件,以后可以使用 另存为 按钮重命名 [可选]。

以下是在 PBR 部署模式下配置数据中心站点的高级配置步骤:

  1. 创建 DC 站点。

  2. 基于连接的以太网接口配置接口组。

  3. 为每个虚拟接口配置虚拟 IP 地址。

  4. 使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接。

  5. 如果 LAN 基础结构中有更多子网,请填充路由。

数据中心站点 PBR 模式配置

创建 DC 站点

  1. 导航到 配置编辑器 > 站点 ,然后单击 + 站 点按钮。

  2. 填充字段,如下所示。

  3. 保留默认设置,除非要求更改。

    本地化后的图片

基于连接的以太网接口配置接口组

  1. 在配置编辑器中,导航到 站点 > [站点名称] > 接口组。单击 + 以 添加要使用的接口。在 PBR 模式下,只使用单个以太网接口上的配置,即连接上游路由器的接口,提供 PBR 策略影响(例如-接口 1/1)。分别使用 VLAN ID 10 和 20 配置 MPLS 和互联网虚拟接口。

  2. 旁路模式设置为故障阻止,因为每个虚拟接口只使用一个以太网/物理接口。也没有桥梁对。

  3. 在此示例中,展开虚拟接口 + 选项并配置虚拟接口。

    本地化后的图片

为每个虚拟接口创建虚拟 IP (VIP) 地址

在相应的子网上为每个 WAN 链接创建一个 虚拟 IP 地址。VIP 用于虚拟 WAN 环境中的两个 SD-WAN 设备之间的通信。

本地化后的图片

创建互联网广域网链接

要使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接,请执行以下操作:

  1. 导航到 WAN 链接,单击 +按钮为 Internet 链接添加 WAN 链接。

  2. 填充互联网链接详细信息,包括提供的公有 IP 地址,如下所示。请注意,无法为配置为 MCN 的 SD-WAN 设备选择 自动检测公有 IP

  3. 导航到 访问界面,单击 + 按钮以添加特定于 Internet 链接的界面详细信息。

  4. 填充 IP 和 Gateway 地址的访问接口,如下所示。对于少于两个以太网接口,不会检查代理 ARP

    本地化后的图片

    本地化后的图片

创建 MPLS 链接

  1. 导航到 WAN 链接,单击 +按钮为 MPLS 链接添加 WAN 链接。

  2. 填充 MPLS 链接详细信息,如下所示。

  3. 导航到 访问界面,单击 + 按钮以添加 MPLS 链接特定的界面详细信息。

  4. 填充 MPLS 虚拟 IP 和 Gateway 地址的访问接口,如下所示。

    本地化后的图片

    注意

    代理 ARP 不会检查少于两个以太网接口。

填充路线

在数据中心站点上,在 SD-WAN SEE 设备上添加路由,以便通过任何物理接口访问 LAN 子网(10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 等):

0/1/0.1 – VLAN 10 上的 192.168.1.1

0/1/0.2 – VLAN 20 上的 192.168.2.1

本地化后的图片

本地化后的图片

分支站点内联部署配置

以下是为内联部署配置分支站点的高级配置步骤:

  1. 创建分支站点。

  2. 基于连接的以太网接口填充接口组。

  3. 为每个虚拟接口创建虚拟 IP 地址。

  4. 使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接。

    • 网桥对 1/3 和 1/4 上配置虚拟接口 互联网

    • 虚拟接口 MPLS 配置的 CON 桥对 1/1 和 1/2

  5. 如果 LAN 基础结构中有更多子网,请填充路由。

创建分支站点

本地化后的图片

基于连接的以太网接口配置接口组

  1. 配置编辑器中,导航到 站点> [客户端站点名称]> 接口组。单击 “+” 添加要使用的接口。对于内联模式配置,使用四个以太网接口;接口对 1/3、1/4 和接口对 1/1 和 1/2。

  2. 由于每个虚拟接口使用两个以太网/物理接口,旁路模式设置为故障到线路。有两个桥对。

  3. 使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接。

    • 网桥对 1/3 和 1/4 上配置虚拟接口 互联网

    • 虚拟接口 MPLS 配置 CON 桥对 1/1 和 1/2.

  4. 请参阅上述示例 远程站点内联模式 拓扑并填充接口组字段,如下所示。

    本地化后的图片

为每个虚拟接口创建虚拟 IP (VIP) 地址

在相应的子网上为每个 WAN 链接创建一个虚拟 IP 地址。VIP 用于虚拟 WAN 环境中的两个 SD-WAN 设备之间的通信。

本地化后的图片

创建互联网广域网链接

使用 Internet 链接基于物理速率而不是突发速度填充 WAN 链接

  1. 导航到 WAN 链接,单击 +按钮为 Internet 链接添加 WAN 链接。

  2. 填充互联网链接详细信息,包括 自动检测公有 IP 地址 ,如下所示。

  3. 导航到 访问界面,单击 + 按钮以添加特定于 Internet 链接的界面详细信息。

  4. 填充虚拟 IP 地址和 Gateway 的访问接口,如下所示。

    本地化后的图片

    本地化后的图片

创建 MPLS 链接

  1. 导航到 WAN 链接, 单击 + 按钮为 MPLS 链接添加 WAN 链接。

  2. 填充 MPLS 链接详细信息,如下所示。

  3. 导航到 访问界面,单击 + 按钮以添加特定于 MPLS 链接的界面详细信息。

  4. 填充虚拟 IP 地址和 Gateway 的访问接口,如下所示。

    本地化后的图片

    本地化后的图片

填充路线

路由是基于上述配置自动创建的。如果有更多特定于此远程分支机构的子网,则需要添加特定路由,以确定哪个网 Gateway 将流量引导到达这些后端子网。

本地化后的图片

解决审计错误

完成 DC 站点和分支站点的配置后,系统将提醒您解决 DC 站点和 BR 站点上的审核错误。在此示例中,我们将解决与专用 Intranet WAN 链接 [SJC_DC-MPLS] 相关的审核错误。

注意

默认情况下,系统会为定义为访问类型公共 Internet(突出显示)的 WAN 链接生成路径。

本地化后的图片

本地化后的图片

本地化后的图片

您需要使用自动路径组功能或手动启用具有专用 Internet 访问类型的 WAN 链接的路径。通过单击 添加 运算符(绿色矩形中),可以启用 MPLS 链接的路径。

本地化后的图片

创建自动分配组

  1. 导航到 全局 选项卡。单击 [自动解析组]旁边的 +标志。

  2. 根据要求配置创建的自动分配组,然后单击 应用

    本地化后的图片

  3. 重命名自动解决组 [可选]。

  4. 将自动传输组映射到相应站点的 Intranet WAN 链接的虚拟路径。

    没有两个自动分析组可以标记为默认值。如果标记,则会导致审核错误。

将自动传输组映射到 Intranet WAN 的虚拟路径后,路径应自动填充(高亮显示)。

本地化后的图片

手动添加具有访问类型的 WAN 链接专用内联网

  1. 为各自站点选择 WAN 链接下的虚拟路径,不会映射自动传输组。

  2. 单击路径[自动解析组]旁边的符号以手动添加虚拟路径。

    本地化后的图片

  3. 选择每个站点的虚拟路径 WAN 链接。

    本地化后的图片

    手动添加具有访问类型的 WAN 链接的虚拟路径后,将在 路径(高亮显示)下填充该虚拟路径。

    完成上述所有步骤后,继续准备 SD-WAN 设备包进行 MCN 主题。

PBR 路由器上基于策略的路由配置

连接到 LAN 的接口

  • 路由器编号配置终端

  • Router(config)# interface FastEthernet0/1

  • Router(config-if)# description ToLAN

  • Router(config-if)# ip address 10.10.11.1 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

连接到 MPLS WAN 链路的接口

  • 路由器编号配置终端

  • Router(config)# interface GigabitEthernet0/0

  • Router(config-if)# description To-MPLS-WAN

  • Router(config-if)# ip address 10.20.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

连接到 INET WAN 链路的接口

  • 路由器编号配置终端

  • Router(config)# interface GigabitEthernet0/2/0

  • Router(config-if)# description To-INET-WAN

  • Router(config-if)# ip address 10.19.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

PBR 路由器上的接口 GigabitEthernet0/1 连接到 SD-WAN 端口 1/1,处于 1 臂模式,这一个端口将服务于 MPLS 和 INET 链路的流量。

  • 路由器编号配置终端

  • Router(config)# interface GigabitEthernet0/1

  • Router(config-if)# description To-SDWAN-link

  • Router(config-if)# ip address 192.168.1.1 255.255.255.0

静态路由配置(路由到客户端/远程子网):

  • 通过下一个跃点 WAN 路由器 MPLS 10.20.0.1 的 MPLS 10.17.0.0/24

  • 通过下一个跃点 WAN 路由器 /FW INET 10.19.0.1 的 INET 10.18.0.0/24

  • 路由器编号配置终端

  • Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1

  • Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1

路线图定义

访问控制列表配置:

配置 ACL 以定义要发送到 SD-WAN 设备和从 SD-WAN 设备发送的流量。

  1. 从局域网到 SD-WAN 设备

    根据拓扑结构,LAN 子网分别为 10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 等。要将流量从 LAN 发送到 SD-WAN,请配置单向 ACL(从 LAN 到任何)。

    -  Router# configure terminal

    -  Router(config)# ip access-list extended server_side

    -  Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
  1. 从 SD-WAN 设备到物理 WAN 链接
    -  Router# configure terminal

    -  Router(config)# ip access-list extended MPLS_Link

    -  Router(config)# permit ip 192.168.1.10 0.0.0.0 any

    -  Router# configure terminal

    -  Router(config)# ip access-list extended INET_Link

    -  Router(config)# permit ip 192.168.1.11 0.0.0.0 any

<!--NeedCopy-->

路线图配置:

定义与 ACL 匹配的路由映射。

局域网交通的路线图:

下一个跳将是任何 SD-WAN 虚拟 IP(VIP)。

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

在这种情况下,我们选择 MPLS VIP 192.168.1.10 作为下一跃点,并添加了运行状况检查,以确保 SD-WAN 是否失败,流量没有路由到它。

-  Router# configure terminal

-  Router(config)# route-map server_side_VW_PBR permit 10

-  Router(config-route-map)# match ip address server_side

-  Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123

<!--NeedCopy-->

以上命令配置线路图以验证跟踪对象的可访问性。跟踪过程提供了跟踪单个对象的功能,例如 ICMP ping 可达性、路由邻接性、在远程设备上运行的应用程序、路由信息库 (RIB) 中的路由或跟踪接口线协议的状态。

WAN 流量的线路图:

下一个跃点将是 MPLS 路由器和防火墙相应的 WAN 链接。

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 20

-  Router(config-route-map)# match ip address MPLS_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 30

-  Router(config-route-map)# match ip address INET_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125

<!--NeedCopy-->

将线路图应用于界面:

-  Router# configure terminal

-  Router(config)# interface FastEthernet0/1

-  Router(config-if)# ip policy route-map server_side_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

-  Router# configure terminal

-  Router(config)# interface GigabitEthernet0/1

-  Router(config-if)# ip policy route-map WAN_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

<!--NeedCopy-->

MPLS 路由器配置 (Gateway 10.20.0.1)

  • 在 MPLS 路由器上添加路由,以达到 MPLS VWAN VIP 在数据中心。

  • 通过下一个跃点 PBR 路由器 MPLS 链路 10.20.0.2 的 MPLS VIP 子网 192.168.1.0/24

  • 路由器编号配置终端

  • Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.0.2

防火墙配置 (Gateway 10.19.0.1)

在防火墙上添加路线以达到数据中心的 INET VWAN VIP。

通过下一个跃点 PBR 路由器 INET 链路 10.19.0.2 的 INET VIP 子网 192.168.1.0/24

-  Router# configure terminal

-  Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->
PBR 模式(虚拟内联)