Citrix SD-WAN

按 IP 地址和端口号进行规则

按 IP 地址和端口号的规则功能可帮助您为网络创建规则,并根据规则做出某些服务质量 (QoS) 决策。您可以为网络创建自定义规则。例如,您可以将规则创建为 — 如果源 IP 地址为 172.186.30.74 且目标 IP 地址为 172.186.10.89,则 将传输模式 设置为持久路径,将局域网至 WAN 类设置为 10 (realtime_class)”。

使用配置编辑器,您可以为流量创建规则,并将规则与应用程序和类关联。您可以指定筛选流量的条件,并可以应用常规行为、LAN 到 WAN 行为、WAN 到 LAN 行为和数据包检查规则。

您可以在站点级别或全局级别本地创建规则。如果多个站点需要相同的规则,则可以在全局 > 虚拟路径默认集 > 规则下全局为规则创建模板。然后,模板可以附加到需要应用规则的站点。即使站点与全局创建的规则模板相关联,您也可以创建特定于站点的规则。在这种情况下,站点特定规则优先并覆盖全局创建的规则模板。

按 IP 地址和端口号创建规则

  1. 在 SD-WAN 配置编辑器中,导航到 全局 > 虚拟路径默认设置。

    注意

    :您可以通过导航到站点 > 连接 > 虚拟路径 > 规则在站点级别创建规则。

  2. 单击 添加默认集,输入默认集的名称,然后单击 添加。在 “部分” 字段中,选择 “ 规则 ”,然后单击 +

  3. 在 “ 订单 ” 字段中,输入定单值以定义在相对于其他规则应用规则的时间。

  4. 在 规 则组名称 字段中,选择一个规则组。具有相同规则组的规则的统计数据将被分组,并可一起查看。

    要查看规则组,请导航到 监控 > 统计信息,然后在 显示 字段中选择 规则组

    您还可以添加自定义应用程序。有关详细信息,请参阅 添加规则组和启用 MOS

  5. 路由域 字段中,选择一个已配置的路由域。

  6. 您可以定义规则匹配条件,以根据以下列出的参数过滤服务。过滤后,规则设置将应用于符合这些条件的服务。

    • 源 IP 地址:与流量匹配的源 IP 地址和子网掩码。

    • 目标 IP 地址:要与流量匹配的目标 IP 地址和子网掩码。

      注意

      如果选中了 Dest=Src 复选框,则源 IP 地址也将用于目标 IP 地址。

    • 协议:与流量匹配的协议。

    • 源端口:与流量匹配的源端口号或端口范围。

    • 目标端口:要与流量匹配的目标端口号或端口范围。

      注意

      如果选中了 Dest=Src 复选框,则源端口也将用于目标端口。

    • DSCP:IP 标头中要与流量匹配的 DSCP标记。

    • VLAN:要与流量匹配的 VLAN ID

  7. 单击新规则旁边的添加 (+) 图标。

  8. 单击 使用协议初始化属性 ,通过应用规则默认值和协议的推荐设置来初始化规则属性。这将填充默认规则设置。您还可以手动自定义设置,如以下步骤所示。

  9. 单击 WAN General 磁贴以配置以下属性。

    • 发射模式:选择以下发射模式之一。

      • 负载平衡路径:流量的流量将在服务的多个路径之间进行平衡。通过最佳路径发送流量,直到使用该路径为止。剩余的数据包通过下一个最佳路径发送。

      • 持久路径:流量的流量将保持在同一路径上,直到路径不再可用为止。

      • 重复路径:流量的流量在多个路径之间重复,从而提高了可靠性。

      • 覆盖服务:流量的流量将覆盖到其他服务。在 覆盖服务 字段中,选择服务覆盖的服务类型。例如,虚拟路径服务可以覆盖到内部网、Internet 或直通服务。

    • 重新传输丢失的数据包:通过可靠服务将与此规则匹配的流量发送到远程设备,然后重新传输丢失的数据包。

    • 启用 TCP 终止:为此流启用 TCP 终止流量。缩短了数据包确认的往返时间,从而提高了吞吐量。

    • 首选 WAN 链接:流应首先使用的 WAN 链接。

    • 持久阻抗:在路径超过配置值的等待时间之前,流量将保持在同一路径中的最短时间(以毫秒为单位)。

    • 启用 IP、TCP 和 UDP:压缩 IP、TCP 和 UDP 数据包中的标头。

      注意

      IPv6 数据包不支持报头压缩。

    • 启用 GRE:压缩 GRE 数据包中的标头。

    • 启用数据包聚合:将小数据包聚合到较大的数据包中。

    • 跟踪性能:将此规则的性能属性记录在会话数据库中(例如,丢失、抖动、延迟和带宽)。

      广域网常规映像

  10. 单击 LAN 到 WAN 磁贴,以便为此规则配置 LAN 到 WAN 行为。

    • :选择要与此规则关联的类。

      注意

      您还可以在应用规则之前自定义类,有关详细信息,请参阅 如何自定义类

    • 大数据包大小:小于或等于此大小的数据包将被分配在 字段右侧的字段中指定的 放置限制和 放置深度 值。

      SD-WAN 规则 4

      大于此大小的数据包将按屏幕的 “数据包” 部分的默认 “丢弃限制” 和 “丢弃深度” 字段中指定的值分配。

      SD-WAN 规则 3

    • 删除限制:删除类调度程序中等待的数据包之后的时间长度。不适用于批量类。

    • 丢弃深度:队列深度阈值,超过该阈值后丢弃数据包。

    • 启用 RED:随机早期检测 (RED) 通过在拥塞发生时丢弃数据包来确保公平共享类资源。

    • 重新分配大小:数据包长度超过该长度时,将导致数据包重新分配给 “重新分配类” 字段中指定的类别。

    • 重新分配类:当数据包长度超过在 “重新分配大小” 字段中指定的数据包长度时使用的类。

    • 禁用限制:可以禁用复制以防止重复数据包占用带宽的时间。

    • 禁用深度:类调度程序的队列深度,此时不会生成重复的数据包。

    • TCP 独立 ACK 类:在大型文件传输过程中 TCP 独立确认映射到的高优先级类。

      SD-WAN 规则 5

  11. 单击 WAN 转 LAN 磁贴以配置此规则的 WAN 到 LAN 行为。

    • 启用数据包重新同步:将数据包排序到目标处的正确顺序。

    • 保持时间:保留数据包以进行重新排序的时间间隔,在此之后数据包将被发送到局域网。

    • 丢弃延迟的重新排序数据包:丢弃在重新排序所需的数据包发送到局域网之后到达的无序数据包。

    • DSCP 标记:DSCP 标记应用于与此规则匹配的数据包,然后将其发送到 LAN。

      SD-WAN 规则 6

  12. 单击 深度数据包检查 磁贴,然后选择 启用被动 FTP 检测,以允许规则检测用于 FTP 数据传输的端口,并自动将规则设置应用于检测到的端口。

  13. 单击应用

注意

保存配置,将其导出到更改管理收件箱,然后启动更改管理过程。

验证规则

在配置编辑器中,导航到监视 > 流程。选择流程页面顶部的选择流程部分中的流程类型字段。在 “ 流程类型 ” 字段旁边有一行复选框,用于选择要查看的流程信息。验证流信息是否符合配置的规则。

示例: 如果源 IP 地址是 172.186.30.74 且目标 IP 地址是 172.186.10.89,则将传输模式设置为永久路径规则显示以下流量数据

验证规则流数据

在配置编辑器中,导航到 监控 > 统计信息 ,然后验证配置的规则。

验证规则统计信息

按 IP 地址和端口号进行规则