Citrix SD-WAN

按 IP 地址和端口号进行规则

按 IP 地址和端口号的规则功能可帮助您为网络创建规则,并根据规则做出某些服务质量 (QoS) 决策。您可以为网络创建自定义规则。例如,您可以创建一个规则,如果源 IP 地址为 172.186.30.74,目标 IP 地址为 172.186.10.89,则 将传输模式设置 为持久路径,将 LAN 设置 为“WAN 类”为 10(实时类)。

使用配置编辑器,您可以为流量创建规则,并将规则与应用程序和类关联。您可以指定筛选流量的条件,并可以应用常规行为、LAN 到 WAN 行为、WAN 到 LAN 行为和数据包检查规则。

您可以在站点级别或全局级别本地创建规则。如果多个站点需要相同的规则,则可以在“全局”>“虚拟路径默认集”>“规则”下为 全局创建规则模板。然后,模板可以附加到需要应用规则的站点。即使站点与全局创建的规则模板相关联,您也可以创建特定于站点的规则。在这种情况下,站点特定规则优先并覆盖全局创建的规则模板。

按 IP 地址和端口号创建规则

  1. 在 SD-WAN 配置编辑器中,导航到全局 > 虚拟路径默认集。

注意

您可以通过导航到“站 点”>“连接”>“虚拟路径”>“规则”在站点级别创建规则

  1. 单击“添加默认集”,输入默认集的名称,然后单击“添加”。在“节”字段中,选择“规则”, 然后单击“+”

  2. 订单 字段中,输入定单值,以定义何时应用规则相对于其他规则。

  3. 规则组名称字段中,选择一个规则组。具有相同规则组的规则的统计数据将被分组,并可一起查看。

要查看规则组,请导航到“监视”>“统计信息”,然后在“显示”字段中选择“规则组”

您还可以添加自定义应用程序。有关详细信息,请参阅 添加规则组和启用 MOS

  1. 在“路由域”字段中,选择配置的路由域之一。

  2. 您可以根据下面列出的参数定义规则匹配条件来筛选服务。过滤后,规则设置将应用于符合这些条件的服务。

  • 源 IP 地址:与流量匹配的源 IP 地址和子网掩码。

  • 目标 IP 地址:与流量匹配的目标 IP 地址和子网掩码。

    注意

    如果选中了 D est=Src 复选框,则源 IP 地址也将用于目标 IP 地址。

  • 协议:与流量匹配的协议。

  • 源端口:与流量匹配的源端口号或端口范围。

  • 目标端口:与流量匹配的目标端口号或端口范围。

    注意

    如果选中了 D est=Src 复选框,则源端口也将用于目标端口。

  • DSCP:IP标头中与流量匹配的DSCP 标记。

  • VLAN:与流量匹配VLAN ID。

  1. 单击新规则旁边的添加 (+) 图标。

  2. 单击使用协议 初始化属性,通过应用协议的规则默认值和建议设置 来初始化规则属性。这将填充默认规则设置。您还可以手动自定义设置,如以下步骤所示。

  3. 单击 WAN 常规 磁贴以配置以下属性。

  • 传输模式:选择以下传输模式之一。

    • 负载平衡路径:流的流量将在服务的多个路径之间平衡。通过最佳路径发送流量,直到使用该路径为止。剩余的数据包通过下一个最佳路径发送。

    • 持久路径:流的流量保持在同一路径上,直到路径不再可用。

    • 重复路径:流的流量跨多个路径重复,从而提高了可靠性。

    • 覆盖服务:流量覆盖到其他服务的流量。在 覆盖服务 字段中,选择服务覆盖的服务类型。例如,虚拟路径服务可以覆盖到内部网、Internet 或直通服务。

  • 重新传输丢失的数据包:通过可靠的服务将符合此规则的流量发送到远程设备,然后重新传输丢失的数据包。

  • 启用 TCP 终止:为此流启用 TCP 终止通信。缩短了数据包确认的往返时间,从而提高了吞吐量。

  • 首选 WAN 链路:流量应首先使用的 WAN 链路。

  • 持续阻抗:流量保留在同一路径中的最短时间(以毫秒为单位),直到路径长于配置值的等待时间为止。

  • 启用 IP、TCP 和 UDP:压缩 IP、TCP 和 UDP 数据包中的标头。

  • 启用 GRE:压缩 GRE 数据包中的标头。

  • 启用数据包聚合:将小数据包聚合到较大的数据包中。

  • 跟踪性能:在会话数据库中记录此规则的性能属性(例如丢失、抖动、延迟和带宽)。

    广域网常规映像

  1. 单击“LAN 到 WAN”磁贴,以便为此规则配置 LAN 到 WAN 的行为。
  • 分类:选择要与此规则关联的分类。

    注意

    您还可以在应用规则之前自定义类,有关详细信息,请参阅 如何自定义类

  • 大数据包大小:小于或等于此大小的数据包将分配在“**类”字段右侧的字段中指定的“丢弃限制”和“丢弃深度”**值。

    SD-WAN 规则 4

    大于此大小的数据包将分配在屏幕大数据包”部分的默认 **丢弃限制 和丢弃深度** 字段中指定的值。

    SD-WAN 规则 3

  • 丢弃限制:在类调度程序中等待的数据包丢弃的时间长度。不适用于批量类。

  • 丢弃深度:队列深度阈值,在此阈值之后丢弃数据包。

  • 启用 RED:随机早期检测 (RED) 通过在发生拥塞时丢弃数据包来确保类资源的公平共享。

  • 重新分配大小:数据包长度,如果超过该数据包,则会将数据包重新分配给在“重新分配类”字段中指定的类。

  • 重新分配类:当数据包长度超过“重新分配大小”字段中指定的数据包长度时使用的类。

  • 禁用限制:可禁用复制以防止重复数据包占用带宽的时间。

  • 禁用深度:类调度程序的队列深度,此时将不会生成重复的数据包。

  • TCP 独立 ACK 类:在大型文件传输过程中将 TCP 独立确认映射到的高优先级类。

    SD-WAN 规则 5

  1. 单击 WAN 到 LAN 磁贴以配置此规则的 WAN 到 LAN 行为。
  • 启用数据包重新排序:在目标位置按正确顺序排列数据包。

  • 保持时间:保留数据包以进行重新排序的时间间隔,之后数据包将发送到 LAN。

  • 丢弃延迟重新排序数据包:丢弃在重新排序所需的数据包发送到 LAN 之后到达的无序数据包。

  • DSCP 标记:应用于符合此规则的数据包的 DSCP 标记,然后再将其发送到 LAN。

    SD-WAN 规则 6

  1. 单击“深度数据包检测”磁贴,然后选择“启用被动 FTP 检测”,以允许规则检测用于 FTP 数据传输的端口,并自动将规则设置应用于检测到的端口。

  2. 单击“应用”

注意

保存配置,将其导出到更改管理收件箱,然后启动更改管理过程。

验证规则

在配置编辑器中,导航到“监视”>“流”。选择位于“”页顶部的“选择流”部分中的“流类型”字段。在“流式类型”字段旁边有一行复选框,用于选择要查看的流信息。验证流信息是否符合配置的规则。

示例:规则“如果源 IP 地址为 172.186.30.74,目标 IP 地址为 172.186.10.89,则 将传输模式设置 为持久路径”显示以下 流量数据

验证规则流数据

在配置编辑器中,导航到“监视”>“统计信息”并验证配置的规则。

验证规则统计信息

按 IP 地址和端口号进行规则