Citrix SD-WAN

最佳做法

本文概述了 Citrix SD-WAN 解决方案的部署最佳做法。它为以下 Citrix SD-WAN 部署模式提供了一般指导、优势和使用案例。

边缘/网关模式

建议

以下是 网关 模式部署的建议:

  1. 网关模式最适用于 SD-WAN 分支,其中路由器进行整合,客户已准备好允许 SD-WAN 作为终止连接的边缘设备。

  2. 当从头开始构建项目时,可以通过严格的设计来呈现出色的网络架构。

注意:

网关模式可以在数据中心端用于存在某些基础设施中断的现有项目。

优点/使用案例

以下是网关模式部署的优势/使用案例:

  1. 客户分支机构的路由器/防火墙/网络元素合并的最佳使用案例。

  2. 通过 DHCP 进行简单、方便的局域网主机管理。

    • 允许 SD-WAN 成为下一跳,并为数据端口的所有 LAN 主机提供基于 DHCP 的 IP 地址。
  3. 所有连接都在 SD-WAN 边缘/网关终止,管理变得简单。

  4. SD-WAN 是边缘路由的焦点,可控制所有流量。决策是在边缘到突破、回传或覆盖(包括带宽/容量计算)上做出的。

  5. 作为 LAN 主机的所有 LAN 子网主机都允许将 SD-WAN LAN VIP 用作下一跳。如果 SD-WAN LAN 连接到核心交换机,则可以运行动态路由以获得所有 LAN 子网的可见性。

  6. 高可用性 (HA) 的极大灵活性-严格建议 Gateway 模式,以便站点以主动/备用模式运行。此外,它有助于防止 SD-WAN 设备出现故障时的流量黑洞。

    • 分支机构提供的交换机-并行高可用性可以在 Gateway 模式下工作。

    • 分支机构不可用的交换机 — SD-WAN 也可以在 SD-WAN 边缘高可用性模式(失效到线高可用性模式)下运行,其中两个 SD-WAN 盒以菊花链形式连接,以便利用故障到线端口充当融合高可用性对。

  7. 允许将 Internet 定义为 不受信任 的接口,这些接口会自动创建动态 NAT 以进行突破,并将连接源入 NAT,以便响应返回到 SD-WAN。

  8. 不受信任 接口的安全考虑因素自然是隐含的,因为只允许 4980 上的 ICMP/ARP/UDP 控制数据包。

警告

以下是在网关模式下需要注意的信息:

  • 谨慎的设计和网络架构 -网关模式可能需要仔细的设计和网络考虑因素,因为整个分支/边缘网络都在 SD-WAN 中。阻止什么,路由什么,如何连接 LAN,如何终止 WAN 等。

  • 设备故障 - 边缘模式不能具有故障到线功能。当设备关闭时,整个分支都会关闭。

  • 安全态势 -由于路由在边缘管理,因此防火墙、中断/回程等安全状况至关重要,必须与客户一起构思。

  • 高可用性 — 故障到线的高可用性必须有一些端口可用性考虑因素,并且根据部署的不同,可能会变得难以设计。

    • SD-WAN 110 不是一个选项,因为它没有故障到线端口。

例如,如果您需要 2 条 WAN 链路才能运行,则需要 5 个端口,其中包括一个用于高可用性接口(包括 LAN 接口)的专用端口。

串联模式 — 故障到线/故障到模块

建议

以下是内联模式部署的建议:

  1. 内联模式最适合那些不更改现有基础架构且 SD-WAN 与 LAN 网段透明地内联的分支机构。

  2. 数据中心还可以采用内联故障到线或串联并行高可用性,因为确保数据中心工作负载不会因设备故障/崩溃而被遮蔽至关重要。

优势和使用案例

以下是内联模式部署的优势/使用案例:

  1. 因此,保持 MPLS 路由器失效到线是一个可爱的功能。支持故障到线的设备能够在包装箱出现故障时无缝故障切换到底层基础架构。

    • 如果您的设备支持故障到线(SD-WAN 210 及更高版本),这允许在 SD-WAN 崩溃/关闭时将单个 SD-WAN 内联到硬件绕过 LAN 流量传送到客户边缘路由器。

    • 如果存在 MPLS 链路,能够自然扩展到客户的 LAN/Intranet,则故障到线桥对端口是最佳选择(支持故障到线路的对),因此,当设备崩溃或停机时,LAN 流量会绕过硬件到客户边缘路由器(仍然保持下一个跳)。

  2. 网络很简单。

  3. SD-WAN 可以通过串联模式查看所有流量,因此这是适当的带宽/容量计算的最佳情况。

  4. 集成要求很少,因为您只需要 L2 网段的 IP。LAN 段是众所周知的,因为您有一个通向 LAN 接口的臂。如果您连接到核心交换机,您还可以运行动态路由以获得所有 LAN 子网的可见性。

  5. 客户的期望是,SD-WAN 必须将其作为新的网络节点融入现有基础架构(没有其他任何变化)。

  6. 代理 ARP — 在内联模式下,如果网关关闭或者 SD-WAN 接口向下一跳停机,SD-WAN 将 ARP 请求代理到局域网下一跳是一种祝福。

    • 通常,在具有多个 WAN 连接 (MPLS/Internet) 的网桥对(故障到块或故障到线)的串联模式下,建议为将 LAN 主机连接到其下一跳 Gateway 的网桥对接口启用代理 ARP。

    • 出于任何原因,当下一跳 Gateway 闭或 SD-WAN 接口到下一跳时,SD-WAN 将充当 ARP 请求的代理,允许 LAN 主机仍然无缝地发送数据包,并使用剩余的 WAN 连接保持虚拟路径正常运行。

  7. 高可用性 — 如果故障到线无法选择,则可以将设备置于并行高可用性(主动/备用的通用 LAN 和 WAN 接口)设备中以实现冗余。

    • 如果您的设备不支持故障到线(如 SD-WAN 110),则必须采用内联并行高可用性,以便在主设备出现故障时启动备用设备。

警告

以下是在内联模式下需要注意的信息:

  • 管道网络与 SD-WAN(LAN 和 WAN 端)有两个臂,需要一些停机时间,因为网络必须用两个臂管道。

  • 必须确保是否使用故障到线路,它位于 受信任 区域中的客户边缘路由器/防火墙的后面,以免安全性受到威胁。

  • MPLS QoS 稍有改变,因为之前的 QoS 策略可能取决于源 IP 地址或基于 DSCP 的 DSCP,现在由于覆盖而被屏蔽。

  • 必须注意重新调整 MPLS 路由器的用途,使其具有特定 DSCP 标签的经过精心设计的 SD-WAN 特定预留带宽,以便 SD-WAN 的 QoS 负责排定流量的优先级,并立即发送其他类的高优先级应用程序(但能够考虑整体带宽为 MPLS 路由器上的 SD-WAN 保留)。MPLS 队列是一种替代或 MPLS 在自动路径组上设置单个 DSCP,可以处理此问题。

  • 如果客户边缘路由器上的链路终止时 Internet 接口是 可信 的,则要使用 Internet 服务,则必须编写独占动态 NAT 规则以启用从设备中断Internet 。

  • 如果 Internet 链路是唯一的 WAN 连接,并且仍然在客户边缘路由器上终止,则如果客户边缘路由器采取预防措施,通过其现有的底层基础架构引导数据包,则绕过这些连接仍然是可以的。

    • 必须适当谨慎地考虑到通过Internet 连接的网桥对绕过 LAN 流量以及设备出现故障时的流动。由于这是一个敏感的企业 Intranet 流量,因此在发生故障的前夕,客户必须知道如何处理它。

虚拟内联/单手模式

建议

以下是虚拟内联模式部署的建议:

  1. 虚拟内联模式是数据中心网络的最佳选择,因为 SD-WAN 网络管道可以在数据中心利用现有基础架构为其现有工作负载提供服务时并行处理。

  2. SD-WAN 位于单臂接口中,通过 VIP 上的 SLA 跟踪进行管理。如果跟踪发生故障,流量将通过现有底层基础设施恢复路由。

  3. 也可以在虚拟内联模式下部署分支,但是在内联/网关部署中更主要。

优势和使用案例

以下是虚拟内联模式部署的优势/用例:

  1. 在数据中心网络 SD-WAN 的最简单和推荐方式。

    • 虚拟内联模式允许使用前端核心路由器对 SD-WAN 进行并行网络管道。

    • 虚拟内联模式允许我们轻松定义 PBRs 转移 LAN 流量必须通过 SD-WAN 并获得覆盖的好处。

  2. 如果 SD-WAN 发生故障,则无缝故障切换到底层基础架构,并在正常情况下无缝转发到 SD-WAN 以获得覆盖优势。

  3. 简单的 网络集成 要求。虚拟内联式从前端路由器到 SD-WAN 的单臂接口。

  4. 易于在 仅导入模式下 部署动态路由(不导出任何内容),以获得 LAN 子网的可见性,以便将其发送到远程 SD-WAN 对等设备。

  5. 易于在路由器上定义 PBR(每个 WAN VIP 1),以指示如何选择物理。

警告

以下是在虚拟内联模式下需要注意的信息:

  • 必须适当注意将定义的 WAN 链路的 SD-WAN 逻辑 VIP 明确地映射到正确的物理接口(否则,这可能会导致 WAN 指标评估和 WAN 路径选择中出现不良问题)。

  • 要知道所有流量是通过 SD-WAN 还是仅通过特定流量转移,需要进行适当的设计考虑。

  • 这意味着 SD-WAN 必须专门用于自身的一些带宽份额,这些带宽必须在接口上设置,以便 SD-WAN 的容量不会被其他非 SD-WAN 流量使用,从而导致不良后果。

    • 如果 SD-WAN 链路容量定义不正确,则可能会出现带宽记帐问题和拥塞问题。
  • 如果设计不当,如果 SD-WAN 路由数据中心和分支 VIP 导出到前端,并且如果路由受到到 SD-WAN 的影响,叠加数据包开始循环并导致不良后果,则动态路由可能会导致一些问题。

  • 动态路由必须得到适当管理,考虑到学习内容/宣传内容的所有潜在因素。

  • 单臂物理接口有时可能会成为瓶颈。在这些线路中需要一些设计考虑因素,因为它既能满足上传/下载的需求,也可以充当 LAN 到 LAN,从 SD-WAN 到 LAN 的流量。

  • 在设计过程中,局域网到 LAN 的流量过多可能是一个值得注意的问题。

  • 如果未使用动态路由,则必须适当小心管理所有 LAN 子网,否则可能会导致不良路由问题。

  • 如果在虚拟内联的 SD-WAN 上定义一些默认路由 (0.0.0.0/0),以指向前端路由器,则存在潜在的路由环路问题。在这种情况下,如果虚拟路径出现故障,则来自数据中心 LAN 的任何流量(例如监控流量)都会循环回头端并回到 SD-WAN,导致不希望的路由问题(如果虚拟路径关闭,远程分支子网将变为可访问 导致默认路由为 HIT,这会导致循环问题)。

最佳做法