Citrix SD-WAN

配置 MCN

第一步是打开新的配置包,并将 MCN 站点添加到新配置。

注意

配置编辑器 仅在 MCN 控制台 模式下可用。如果导航树的虚拟 WAN 分支中的 配置编辑器 选项不可用,请参阅“将管理 Web 界面 切换到 MCN 控制台模式”一节,了解更改控制台模式的说明。

建议您经常或在配置的关键点保存配置包。命名、保存和备份 MCN 站点配置一节中提供了说明

警告

如果控制台会话超时或您在保存配置之前注销管理 Web 界面,则所有未保存的配置更改都将丢失。然后,您必须重新登录到系统,并从头开始重复配置过程。因此,建议您在创建或修改配置包或执行其他复杂任务时将控制台会话超时间隔设置为较高的值。默认值为 60 分钟。最长时间为 9,999 分钟。出于安全原因,您应在完成这些任务后将其重置为较低的阈值。有关说明,请参阅“设置控制台会话超时间间隔(可选)一节

要添加和开始配置 MCN 设备站点,请执行以下操作:

  1. 在导航树中,导航到 虚拟 WAN > 配置编辑器。此时将显示 配置编辑器 主页(中间窗格)。 本地化映像

  2. 单击“ 建”开始定义新配置。此时将显示“新建 配置设置”页。

本地化后的图片

  1. 单击“站点” 中的“+ 站点”以开始添加和配置 MCN 站点。此时将显示“添加站点”对话框。

本地化后的图片

  1. 输入站点信息。

请执行以下操作:

  1. 输入 站点名称安全密钥
  2. 选择设备 型号
  3. 选择 模式
  4. 选择 主 MCN 作为模式。

注意

型号 选项”菜单列出了受支持的设备型号的通用型号名称。通用名称不包含标准版型号后缀,但与等效的 SD-WAN 设备型号相对应。为此 SD-WAN 设备型号选择相应的型号。(例如,如果这是 SD-WAN 4000-SE 设备,请选择 4000。)

条目不能包含空格,且必须采用 Linux 格式。

要添加站点:

  1. 单击添加以添加站点。这会将新站点添加到 站点 树中,并显示新站点的“基本设 置”配置窗体。

本地化后的图片

单击“应用”后,将显示审核警告,指示需要执行进一步的操作。红点或金色增量图标表示它出现的部分中出现错误。您可以使用这些警告来识别错误或缺失的配置信息。将光标滚到审核警告图标上,以显示该部分中错误的简短描述。您还可以单击深灰色 审计 状态栏(页底部)以显示所有未解决审计警告的完整列表。可配置主机 ARP 定时器 (ms) 在配置过程中添加到站点级别。当前默认值为 1,000 毫秒。可配置的范围从 1000 毫秒到 18 万毫秒。主机 ARP 定时器配置不适用于管理端口。

  1. 输入新站点的基本设置,或接受默认设置。在 Citrix SD-WAN 部署(如网关和单臂)中,当频繁收到 ARP 请求时,访问点会变得过载,影响流量。您现在可以将 ARP 定时器配置为发送具有特定间隔时间的 ARP 请求。时间间隔配置为秒。您可以在 Citrix SD-WAN 设备 GUI 中的“基本设置”选项卡下配置数据中心站点时配置 ARP 时间间隔。

  2. (可选,推荐)保存正在进行的配置。

如果您无法在一个会话中完成配置,则可以随时保存配置,以便稍后返回完成配置。配置将保存到本地设备上的 Workspace。要在保存的配置中继续工作,请单击“配置编辑器”菜单栏(页面区域顶部)中的“打开”。这将显示一个用于选择要修改的配置的对话框。

注意

作为额外的预防措施,建议您使用“另存为”而不是“保存”,以避免覆盖错误的配置包。

要保存当前配置包,请执行以下操作:

  1. 单击“另存为”(位于“配置编辑器”中间窗格的顶部)。这将打开“另存为”对话框。

本地化后的图片

  1. 输入配置包名称。如果要将配置保存到现有软件包,请确保在保存之前选择“允许覆盖”。

  2. 单击“保存”

如何为 MCN 配置接口组

添加新 MCN 站点后,下一步是为站点创建和配置虚拟接口组。

以下是配置虚拟接口组的一些准则:

  • 使用最能描述组的逻辑名称。

  • 受信任的网络是在防火墙后面受到保护的网络。

  • 虚拟接口将接口关联到无法连接 (FTW) 对。

  • 单个 WAN 接口不能位于 FTW 对中。

注意

有关配置虚拟接口组的更多准则和信息,请参阅 虚拟路由和转发 部分。

要将虚拟接口组添加到新 MCN 站点,请执行以下操作:

  1. 继续在 配置编辑器的“站点”视图中,从“查看站点”下拉菜单中选择站点。这将打开所选站点的配置视图。

本地化后的图片

  1. 单击 + 添加 虚拟接口组。这将向表中添加一个新的空白虚拟接口组条目,并将其打开以进行编辑。

本地化后的图片

  1. 单击虚拟接口右侧的 +。这将向表中添加一个新的空白组条目,并将其打开以进行编辑。

本地化后的图片

  1. 选择要包括在组中的以太网接口。在以太网接口下,单击某个接口以包括/排除该接口。您可以选择要包含在组中的任意数量的接口。

本地化后的图片

  1. 从下拉菜单中选择旁路模式(无默认值)。“旁路模式”指定在设备或服务出现故障或重新启动时虚拟接口组中桥接接口的行为。选项包括: 故障到线故障到块

  2. 从下拉菜单中选择安全级别。这指定了虚拟接口组的网络段的安全级别。选项包括:“信任”或“不受信任”。受信任的区段受防火墙保护(默认为 受信任)。

  3. 单击添加的虚拟接口左边缘的 +。此时将显示“虚拟接口”表。

本地化后的图片

  1. 单击虚拟接口右侧的 +。这会显示 名称、防火墙区域VLAN ID ID。

本地化后的图片

  1. 输入此虚拟接口组名称VLAN ID。- 名称 — 这是引用此虚拟接口的名称。-防火墙区域-从下拉菜单。- VLAN ID — 这是用于识别和标记来往虚拟接口的流量的 ID。对原生/未标记的流量使用 0(零)的 ID。

  2. 单击网桥对右侧的 +。这将添加一个新的 网桥对 条目,并将其打开以进行编辑。

  3. 从下拉菜单中选择要配对的以太网接口。要添加更多对,请再次单击桥接对旁边的 +

  4. 单击“应用”。这将应用您的设置并将新的虚拟接口组添加到表中。在此阶段,您将看到一个黄色的增量审核警报图标,位于新的虚拟接口组条目右侧。这是因为您尚未为站点配置任何虚拟 IP 地址 (VIP)。现在,您可以忽略此警报,因为当您为站点正确配置了 Virtual IP 时,它会自动解决。

  5. 要添加更多虚拟接口组,请单击 接口组 分支右侧的 + ,然后如上所示继续操作。

如何为 MCN 配置虚拟 IP 地址

下一步是为站点配置虚拟 IP 地址,并将其分配给相应的组。

  1. 继续在新 MCN 站点的站 视图中,单击 虚拟 IP 地址左侧的+**。这将显示新站点的 **虚拟 IP 地址 表。

  2. 单击虚拟 IP 地址右侧的 + 以添加地址。这将打开用于添加和配置新虚拟 IP 地址的窗体。

  3. 输入 IP 地址 / 前缀 信息,然后选择与该地址关联的虚拟接口。虚拟 IP 地址必须包含完整的主机地址和网络掩码。

  4. 为虚拟 IP 地址选择所需的设置,例如防火墙区域、标识、私有和安全。

  5. 选择带内管理可允许虚拟 IP 地址连接到 Web UI 和 SSH 等管理服务。

注意:

接口应为“受信任”和“身份”的安全类型。

  1. 选择虚拟 IP 作为 备份管理网络。如果管理端口未配置默认 Gateway,则可以使用虚拟 IP 地址进行管理。

本地化后的图片

  1. 单击“应用”。这会将地址信息添加到站点,并将其包含在站点 虚拟 IP 地址 表中。

  2. 要添加更多虚拟 IP 地址,请单击虚拟 IP 地址右侧的 +,然后按照上述方式继续操作。

如何为 MCN 配置 WAN 链接

下一步是为站点配置 WAN 链接。

  1. 继续在新 MCN 站 点的“站点”视图中,单击 WAN 链接 标签。 本地化映像

  2. 单击 WAN 链接右侧的添加链接以添加新的 WAN 链路。这将打开“添加”对话框。 本地化映像

  3. (可选)如果您不想使用默认值,则输入 WAN 链接的名称。默认值为站点名称,后面附有以下后缀:WL-<number>,其 <number> 中\ 是此站点的 WAN 链路数,增加 1。

  4. 从下拉菜单中选择访问类型。选项包括 公共互联网、专用内部网专用 MPLS。

  5. 单击添加。这将显示 WAN 链接 基本设置配置页面,并将新的未配置 WAN 链接添加到页面中。 本地化映像

自动学习带宽消耗

自动学习在系统启动时运行,并每五分钟重复一次,直到观察到成功的结果。通过配置编辑器进行任何 WAN 链接配置更改后,自动学习也会运行。

您可以手动执行测试或在 SD-WAN GUI 中安排测试。当测试成功并启用自动学习时,这些测试的结果也应适用于允许的速率。

在大型网络上使用自动学习时,如果配置更改重新启动,则所有站点在 MCN 上同时运行测试,从而导致高带宽使用率导致结果不准确。建议您每天安排一次或两次带宽测试,通常在流量较低的情况下。 本地化映像

  1. 输入新 WAN 链接的链接详细信息。配置局域网到广域网、广域网到局域网设置。一些准则如下:
  • 有些互联网链接可能是不对称的。
  • 错误配置允许的速度可能会对该链接的性能产生不利影响
  • 避免使用超过承诺率的突发速度。
  • 对于 Internet WAN 链接,请务必添加公有 IP 地址。
  1. 单击灰色的“高级设置”部分栏。这将打开链接的“高级设置”窗体。

本地化后的图片

  1. 输入链接高级设置:
  • 提供商 ID —(可选)输入唯一 ID 号 1—100 以指定连接到同一服务提供商的 WAN 链路。在发送重复数据包时,虚拟 WAN 使用提供程序 ID 区分路径。
  • 成本(字节) — 输入添加到每个数据包的头/尾部的大小(以字节为单位)。例如,添加以太网 IPG 或 AAL5 拖车的大小(以字节为单位)。
  • 拥塞 阈值 — 输入拥塞阈值(以微秒为单位),之后 WAN 链路将限制数据包传输以避免进一步拥塞。
  • MTU 大 小(字节) — 输入最大的原始数据包大小(以字节为单位),不包括帧开销。
  1. 单击灰色的“资格”部分栏。这将打开链接的 资格 设置窗体。

  2. 选择链接的 资格 设置。 本地化映像

  3. 单击灰色的按流量计费链接部分栏。这将打开链接的按流量计费链接设置窗体。

  4. (可选)选择 启用计量 以启用此链接的计量。这将显示“启用计数 设置”字段。 本地化图像 本地化映像

  5. 配置链接的计量设置。输入以下命令:

  • 数据 上限 (MB) — 输入链接的数据上限分配(以兆字节为单位)。

  • 开单 周期从下拉菜单中选择每月或每周。

  • 起始 日期 — 输入开单周期的起始日期。

  • 设置 最后手段 — 选择此选项可在所有其他可用链接发生故障时启用此链接作为最后手段的链接。在正常 WAN 条件下,Virtual WAN 仅通过计费链接发送最小流量,用于检查链接状态。但是,如果发生故障,SD-WAN 可以使用活动按计费链接作为转发生产流量的最后手段。

单击“应用”。这会将您指定的设置应用到新的 WAN 链接。

下一步是为新的 WAN 链接配置访问接口。访问接口由虚拟接口、WAN 端点 IP 地址、网关 IP 地址和虚拟路径模式组成,共同定义为特定 WAN 链接的接口。每个 WAN 链接必须至少有一个访问接口。

如何配置访问接口:

  1. 在链接的 WAN 链路配置页面中选择访问接口。这将打开站点的“访问接口”视图。 本地化图像 本地化映像

  2. 单击“+”以添加接口。这会向表格中添加一个空条目,并将其打开以进行编辑。输入链接的 访问接口 设置。每个 WAN 链路必须至少有一个接入接口。 本地化映像

  3. 输入以下命令:

  • 名称 — 这是引用此访问接口的名称。输入新访问接口的名称,或接受默认值。默认使用以下命名约定:WAN_link_Name-编号:其中 W AN_link_Name 是要与此接口关联的 WAN 链路的名称,编号是当前为此链接配置的接入接口数,递增 1。

注意

如果名称显示为截断,您可以将光标放在字段中,然后单击并按住鼠标向右或向左滚动以查看截断部分。

  • 虚拟接口 — 这是此访问接口使用的虚拟接口。从为此分支站点配置的虚拟接口下拉菜单中选择一个条目。

  • 路由域 -要为访问接口选择的路由域。

  • IP 地址 — 这是从设备到 WAN 的接入接口终端节点的 IP 地址。

  • Gateway IP 地址 — 这是网关路由器的 IP 地址。

  • 虚拟路径模式 — 此模式指定此 WAN 链路上虚拟路径流量的优先级。选项包括:“主”、“辅助”或“排除”。如果设置为“排除”,则此接入接口仅用于 Internet 和内部网通信。

  • 代理 ARP — 选中要启用的复选框。如果启用,则当 Gateway 关无法访问时,虚拟 WAN 设备会回复针对网关 IP 地址的 ARP 请求。

  1. 单击“应用”

您现在已完成配置新的 WAN 链接。重复这些步骤以添加和配置站点的更多 WAN 链接。

下一步是添加和配置站点的路由。

如何为 MCN 配置路由

要添加和配置站点的路由,请执行以下操作:

  1. 单击新 MCN 站点的“连接”视图,然后选择“路由”。这将显示站点的“路由”视图。
  2. 单击路由右侧的 + 添加路由。这将打开路由”对话框进行编辑。 本地化映像

  3. 输入新路径的路径配置信息。输入以下命令:
  • 网络 IP 地址 — 输入 网络 IP 地址
  • 成本 — 输入 1 到 15 之间的权重,以确定此路由的路由优先级。成本较低的路径优先于成本较高的路径。默认值为 5。
  • 服务类型 — 从此字段的下拉菜单中选择路由的服务类型。

这些选项如下所示:

  • 虚拟路径 — 此服务管理跨虚拟路径的流量。虚拟路径是两个 WAN 链接之间的逻辑链接。它由一组 WAN 路径组成,可在两个 SD-WAN 节点之间提供高服务级别的通信。这是通过不断测量和适应不断变化的应用需求和广域网条件来实现的。SD-WAN 设备根据每个路径测量网络。虚拟路径可以是静态的(始终存在)或动态的(仅当两个 SD-WAN 设备之间的流量达到配置的阈值时才存在)。
  • Internet — 此服务管理企业站点与公共互联网上站点之间的流量。此类型的流量未封装。在拥堵期间,SD-WAN 通过相对于虚拟路径的速率限制互联网流量,主动管理带宽,并根据管理员建立的 SD-WAN 配置管理 Intranet 流量。
  • Intranet — 此服务管理尚未定义为跨虚拟路径传输的企业内部网流量。与互联网流量一样,它仍然是未封装的,SD-WAN 通过在拥塞期间限制此流量相对于其他服务类型的速率来管理带宽。在某些情况下,如果为虚拟路径上的 Intranet 回退配置,则通常由虚拟路径传输的流量可能会被视为 Intranet 通信,以保持网络可靠性。
  • 直通 — 此服务管理要通过虚拟 WAN 传递的流量。定向到直通服务的流量包括广播、ARP 和其他非 IPv4 流量,以及虚拟 WAN 设备本地子网、配置的子网或网络管理员应用的规则上的流量。SD-WAN 不会延迟、形状或修改此流量。因此,必须确保直通流量不会消耗 SD-WAN 设备配置为用于其他服务的 WAN 链接上的大量资源。
  • 本地 — 此服务管理与站点不匹配其他服务的本地 IP 流量。SD-WAN 忽略来源和发往本地路由的流量。
  • GRE 通道 — 此服务管理发往 GRE 通道的 IP 流量,并与站点上配置的 LAN GRE 通道相匹配。GRE 隧道功能允许您配置 SD-WAN 设备以终止局域网上的 GRE 隧道。对于具有服务类型 GRE 隧道的路由,Gateway 必须位于本地 GRE 隧道的隧道子网之一。
  • 局域网 IPsec 隧道 — 此服务管理发往 IPsec 隧道的 IP 流量。
  • 网关 IP 地址 — 输入此路由的 网关 IP 地址
  • 资格 -基于路径(复选框)-(可选)如果启用,则路由在选定路径关闭时不会接收流量。
  • 路径 — 指定用于确定路径合格性的路径。

根据 服务类型,将显示以下设置:

服务类型 服务类型设置     虚拟路径 下一跳站点 — 这表示虚拟路径数据包被定向的远程站点。   互联网 导出路由:启用/禁用导出到其他连接的站点, 基于路径的资格   Intranet 导出路由, Intranet服务, 基于路径的资格, 基于隧道的资格   通过 基于路径的资格   本地 导出路线, 总结路由, 基于路径的资格   GRE 通道 导出路线, 基于路径的资格, 基于网关的资格   IPsec 隧道 出口路由, 资格路径, IPsec 隧道, 资格基于隧道   丢弃 导出路由, 总结路由
  1. 单击“应用”

注意

单击“应用”后,可能会显示审核警告,指示需要进一步执行操作。红点或金色增量图标表示它出现的部分中出现错误。您可以使用这些警告来识别错误或缺失的配置信息。将光标滚到审核警告图标上,以显示该部分中错误的简短描述。您还可以单击深灰色 审计 状态栏(页底部)以显示所有审计警告的完整列表。

本地化后的图片

您还可以编辑配置的路由,如下所示。

本地化后的图片

要为站点添加更多路由,请单击“路由”分支右侧的“+”,然后按照上述方式继续操作。

您现在已完成输入新 MCN 站点的主要配置信息。以下两部分提供了有关更多可选步骤的说明:

如果您现在不想配置这些功能,可以直接转到 命名、保存和备份 MCN 站点配置部分。

配置 MCN