Citrix SD-WAN

申请路线

在典型的企业网络中,分支机构可访问本地数据中心、云数据中心或 SaaS 应用程序上的应用程序。应用程序路由功能允许您轻松、经济高效地引导应用程序通过您的网络。例如,当分支站点上的用户尝试访问 SaaS 应用程序时,流量可以被路由,以便分支机构可以直接访问 Internet 上的 SaaS 应用程序,而无需先通过数据中心。

Citrix SD-WAN 允许您定义以下服务的应用程序路由:

  • 虚拟路径:此服务管理跨虚拟路径的流量。虚拟路径是两个 WAN 链接之间的逻辑链接。它由一组 WAN 路径组成,可在两个 SD-WAN 节点之间提供高服务级别的通信。SD-WAN 设备在每个路径的基础上测量网络,并适应不断变化的应用需求和 WAN 条件。虚拟路径可以是静态的(始终存在)或动态的(仅当两个 SD-WAN 设备之间的流量达到配置的阈值时才存在)。
  • Internet: 此服务管理企业站点与公共互联网上站点之间的流量。互联网流量没有封装。当发生拥塞时,SD-WAN 通过相对于虚拟路径和 Intranet 流量的速率限制互联网流量来主动管理带宽。
  • Intranet:此服务管理尚未定义为跨虚拟路径传输的企业内部网流量。内部网流量未封装。SD-WAN 通过在拥塞期间相对于其他服务类型的速率限制此流量来管理带宽。在某些情况下,如果在虚拟路径上配置 Intranet 回退,则通常通过虚拟路径传输的流量可以被视为 Intranet 通信。
  • 本地:此服务管理与站点不匹配其他服务的本地流量。SD-WAN 忽略来源和发往本地路由的流量。
  • GRE 通道: 此服务管理发往 GRE 通道的 IP 流量,并与站点上配置的 LAN GRE 通道相匹配。GRE 隧道功能使您能够配置 SD-WAN 设备以终止局域网上的 GRE 隧道。对于具有服务类型 GRE 隧道的路由,Gateway 必须位于本地 GRE 隧道的隧道子网之一。
  • LAN IPsec 隧道: 此服务管理发往局域网 IPsec 隧道的 IP 流量,并与站点上配置的 LAN IPSec 隧道相匹配。通过 LAN IPsec 隧道功能,您可以将 SD-WAN 设备配置为终止局域网或 WAN 端的 IPsec 隧道。

要执行应用程序的服务指导,必须在第一个数据包本身上识别应用程序。最初,一旦对流量进行分类并且已知应用程序,数据包将通过 IP 路由流动,则使用相应的应用程序路由。通过学习与应用程序对象关联的 IP 子网和端口来实现第一个数据包分类。使用 DPI 分类器的历史分类结果和用户配置的 IP 端口匹配类型获得这些数据。

要配置应用程序路由,请执行以下操作:

  1. 在配置编辑器中,导航到连接”>“应用程序路由”,然后单击“+”。

应用程序指导 1

  1. 添加”页上,设置以下参数:
  • 应用程序对象:要引导的应用程序对象。此处列出了您创建的应用程序对象。有关详细信息,请参阅 应用程序分类 主题中的“应用程序对象”部分。

    SD-WAN 应用指导

  • 路由域:应用程序工艺路线要使用的路由域。选择一个已配置的路由域。
  • 成本:用于确定此工艺路线的工艺路线优先级的权重。成本较低的路径优先于成本较高的路径。这个范围是 1-65534。默认值为 5。
  • 服务类型: 选择以下服务之一。这将应用程序映射到服务。

  • 虚拟路径:将应用程序流量标识为虚拟路径流量,并根据虚拟路径规则匹配虚拟路径。在“下一跳站点”字段中,输入将虚拟路径数据包定向到的下一跳远程站点。

    注意

    任何触及虚拟路径应用程序路由的流都不会经过动态虚拟路径。

  • Internet:将应用程序流量标识为 Internet 流量并与 Internet 服务匹配。

  • Intranet:将应用程序流量标识为 Intranet 流量,并根据 Intranet 规则匹配内部网服务。在“内部网服务”字段中,选择要用于路由的内部网服务。

  • 本地:将应用程序流量标识为站点的本地流量,并且不匹配任何服务。来源和发往本地路径的流量将 被忽略。

    注意

    对于本地服务类型,完成 DPI 分类后,配置的 IP 路由将作出路由决策。

  • GRE 通道:将应用程序流量确定为目的地 GRE 通道,并与站点上配置的 LAN GRE 通道相匹配。在 Gateway IP 地址 字段中,输入必须位于 LAN GRE 通道子网中的网关 IP 地址。选择“基于网关的 资格”, 以使路由在无法访问网关时不接收任何流量。

  • LAN IPsec 隧道:将应用程序流量标识为发往 LAN IPSec 隧道,并与站点上配置的 LAN IPsec 隧道匹配。在“IPsec 隧道”字段中,选择配置的 IPsec 隧道之一。选择“基于隧道的 资格”, 以使路由在无法到达隧道时不接收任何通信。

    注意

    为自定义应用程序选择服务后,请勿对其进行更改。

  • 基于路径的资格: 选择该选项可使路由在指定路径关闭时不接收通信。在 路径 字段中,指定用于确定工艺路线合格性的路径。
  1. 单击“应用”

查看 SD-WAN 设备上配置的应用程序路由。在 SD-WAN GUI 中,导航到配置”>“虚拟 WAN”>“查看配置”视图下拉菜单中选择应用程序路由。

SD-WAN 引导 1

要查看应用程序路由的统计数据:

  1. 在 SD-WAN GUI 中,导航到监视”>“统计信息”

  2. 从“显示”下拉列表中,选择“应用程序路由”

SD-WAN 引导 2

您可以查看以下统计信息:

  • 应用程序对象:应用程序对象的名称。
  • Gateway IP 地址:具有 GRE 通道服务类型的应用程序对象所使用的网关 IP 地址。
  • 服务:映射到应用程序对象的服务类型。
  • 防火墙区域:此路由所在的防火墙区域。
  • 可达:应用程序路由的状态。
  • 站点:站点的名称。
  • 类型:指示路由是静态路由还是动态路由。
  • 成本:路由的优先级。
  • 命中计数:应用程序路由用于控制流量的次数。
  • 合格:应用程序路由是否符合发送流量的条件。
  • 资格类型:应用于此工艺路线的工艺路线资格条件类型。资格类型可以是路径、网关或隧道。
  • 资格值:为工艺路线资格条件指定的值。

注意

在当前版本中,属于应用程序系列的应用程序与应用程序对象中定义的类型匹配的应用程序无法进行转向。

故障排除

创建应用程序路由后,您可以使用监视”部分确认应用程序是否正确路由到预期服务。

要查看应用程序是否正确路由到预期服务,请导航到以下页面:

  • 监视 > 统计信息 > 应用程序路由
  • 监控 > 流
  • 监控 > 防火墙

如果存在任何意外路由行为,请在发现此问题时收集 STS 诊断程序包,并与 Citrix 技术支持团队共享。

STS 捆绑包可以使用“配置”>“系统维护”>“诊断信息”创建和下载

申请路线