Citrix SD-WAN

路由间域服务

Citrix SD-WAN 允许您使用路由域对网络进行分段,从而确保高安全性和易于管理。使用路由域后,重叠网络中的流量彼此隔离。每个路由域都维护自己的路由表。有关路由域的更多信息,请参阅 路由域

但是,有时我们需要在路由域之间路由流量。例如,如果打印机、扫描仪和邮件服务器等共享服务被置备为单独的路由域。要使来自不同路由域的用户能够访问共享服务,需要路由间域。

Citrix SD-WAN 提供静态路由间域服务,允许在站点内部的路由域之间或不同站点之间发生路由泄漏。这样就不需要边缘路由器来处理路由泄漏。路由间域服务可以进一步用于设置路由、防火墙策略和 NAT 规则。

Inter_Rouing_Domain_Zone 是一个新的防火墙区 域,默认情况下创建,并作为路由间域服务的防火墙区域,用于路由和过滤。

注意

Citrix SD-WAN PE 设备不会对路由间域数据包执行 WAN 优化功能。

在两个路由域之间配置路由间域服务。

考虑一个 SD-WAN 网络,其中包含一个 MCN 和 2 个或更多分支机构,其中至少有两个全局配置的路由域。默认情况下,MCN 上的所有路由域都处于启用状态。在其他站点上有选择地启用所需的路由域。有关配置路由域的信息,请参阅 配置路由域

  1. 在 SD-WAN 配置编辑器中,导航到 连接 > 选择站点 > 路由间域服务

  2. 单击 + 并输入以下参数的值:

  • 名称:路由间域服务的名称。
  • 路由域 1: 对的第一个路由域。
  • 路由域 2:对的第二个路由域。
  • 防火墙区域:服务的防火墙区域。
    • 默认值:分配了 Inter_Routing_Domain_Zone 防火墙区域。
    • 无: 未选择任何区域,数据包的原始区域将被保留。
    • 可能会选择网络中配置的所有区域。

    配置路由间域服务

  1. 单击 应用 以创建路由间域服务。创建的服务可用于创建路由、防火墙策略和 NAT 策略。

注意:

您无法使用站点上未启用的路由域来配置路由间域服务。

要使用路由间域服务创建路由,请创建一个 服务类型路由间域服务的路由 ,然后选择路由间域服务。有关配置路由的更多信息,请参阅 如何配置路由

使用路由间域服务配置路由

同时添加来自其他路由域对的路由,以建立与两个路由域之间的连接。

您还可以配置防火墙策略来控制路由域之间的流量。在防火墙策略中,为源服务和目标服务选择路由间域服务,然后选择所需的防火墙操作。有关配置防火墙策略的信息,请参阅 策略

使用路由间域服务配置策略

您还可以选择 Intranet 服务类型来配置静态和动态 NAT 策略。有关配置 NAT 策略的详细信息,请参阅 网络地址转换

使用路由间域服务配置 NAT

监视

您可以在监视 > 防火墙统计 > 连接下查看使用路由域间服务的连接视统计信息

监视路由间域

使用案例: 跨路由域共享资源

让我们考虑一个场景,即不同路由域中的用户需要访问公共资产,例如打印机或网络存储。分支 RD1、RD2 和共享 RD 有 3 个路由域,如图所示。

跨路由域共享资源

要使 RD1 和 RD2 中的用户能够访问共享 RD 中的资源,请执行以下操作:

  1. 在 RD1 和共享 RD 之间创建路由间域服务,例如 Inter RD1
  2. 在 RD2 和共享 RD 之间创建路由域间服务,例如 Inter RD2

    共享 RD

  3. 从 RD1 和 RD2 配置到共享 RD 的静态路由。在 RD1 中,将一条路由 172.168.2.0/24 添加到国际线路 1。

    在 RD1 中添加路由

  4. 在 RD2 中,将一条路由 172.168.2.0/24 添加到国际线路 2。

    在 RD2 中添加路由

  5. 使用共享 RD 中的 VIP 将动态 NAT 规则添加到 InterRD1。启用 绑定响应程序路由 以确保反向路由使用相同的服务类型。

    适用于 RD1 的动态 NAT

  6. 使用共享 RD 中的 VIP 将动态 NAT 规则添加到 InterRD2,例如 10.0.0.11。启用 绑定响应程序路由 以确保反向路由使用相同的服务类型。

    适用于 RD2 的动态 NAT

  7. 使用筛选器限制 RD1/RD2 中允许用户访问共享 RD 中的哪些资源。
路由间域服务