Citrix SD-WAN

网关模式

Gateway 模式将 SD-WAN 设备置于路径中(双臂部署),并且需要对现有网络基础结构进行更改,以使 SD-WAN 设备成为该站点整个 LAN 网络的默认网关。Gateway mode used for new networks and router replacement. 网关模式允许 SD-WAN 设备:

  • 查看进出 WAN 的所有流量
  • 执行本地路由

网关模式

注意

在网关模式下部署的 SD-WAN 充当第 3 层设备,无法执行故障到线。所有涉及的接口都将被配置为 故障到阻止。如果设备出现故障,站点的默认 Gateway 也将出现故障,从而导致中断,直到还原设备和默认 Gateway 为止。  

内联模式 下,SD-WAN 设备似乎是以太网桥。大多数 SD-WAN 设备型号都包括用于串联模式的 故障到线 (以太网旁路)功能。如果电源发生故障,继电器会关闭,输入和输出端口通过电连接,从而允许以太网信号从一个端口传递到另一个端口。在故障到线模式下,SD-WAN 设备看起来像连接两个端口的交叉电缆。内联模式,用于集成到已经明确定义的网络中。

内联模式工作流

本文提供了在示例网络设置中在网关模式下配置 SD-WAN 设备的分步过程。还介绍了内联部署,以便分支端完成配置。如果删除了内联设备,网络可以继续运行,但如果删除网关设备,则会失去所有访问权限。

拓扑

下图描述了 SD-WAN 网络支持的拓扑。

Gateway 部署中的数据中心

数据中心 Gateway 模式

内联部署中的分支

分支机构内联部署

部署所需资源

下面介绍了部署要求和相关信息,以帮助您构建配置。

站点名称 数据中心站点 分支机构
设备名称 A_DC1 A_BR1
管理知识产权 172.30.2.10/24 172.30.2.20/24
安全密钥 如果有 如果有
模型/版本 4000 2000
模式 网关 内联
拓扑 2 x 广域网路径 2 x 广域网路径
VIP 地址 192.168.10.9/24 – MPLS,10.0.10.9/24 – Internet(公共 IP – A.B.C.D),192.168.30.1/24 - LAN 192.168.20.9/24 - MPLS,10.0.20.9/24 – Internet(公共 IP – W.X.Y.Z)
网关 MPLS 192.168.10.1 192.168.20.1
网关 Internet 10.0.10.1 10.0.20.1
链接速度 MPLS – 100 Mbps,Internet – 20 Mbps MPLS – 10 Mbps,Internet – 2 Mbps
路由 网络 IP 地址-192.168.31.0/24,服务类型-本地,网关 IP 地址-192.168.30.2 如果有
VLAN 如果有 如果有

配置先决条件

  • 将 SD-WAN 设备启用为主控制节点。

  • 配置仅在 SD-WAN 设备的主控制节点 (MCN) 上完成。

要将设备启用为主控制节点,请执行以下操作:

  1. 在 SD-WAN Web 管理界面中,导航到 配置 >设备设 > 管理 员界面 > 杂项选项卡 > 切换控制台

    注意

    如果显示 切换到客户端控制台,则设备已处于 MCN 模式。SD-WAN 网络中只能有一个活动的 MCN。

  2. 通过导航到配置 > 虚拟 WAN > 配置编辑器启动配置。单击新建 开始配置。

数据中心站点 Gateway 模式配置

以下是配置数据中心站点网关部署的高级配置步骤:

  1. 创建 DC 站点。

  2. 基于连接的以太网接口填充接口组。

  3. 为每个虚拟接口创建虚拟 IP 地址。

  4. 使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接。

  5. 如果 LAN 基础结构中有更多子网,请填充路由。

创建 DC 站点

  1. 导航到 配置编辑器 -> 站点,然后单击 + 添加 按钮。

  2. 填充字段,如下所示。

  3. 保留默认设置,除非要求更改。

    添加 MCN 站点部署

    MCN 基本设置视图

基于连接的以太网接口配置接口组

  1. 配置编辑器中,导航到 站点 > 查看站 点 > [站点名称] > 界面组。单击 “+” 以 添加要使用的接口。对于网关模式,为每个接口组分配一个以太网接口。

  2. 旁路模式设置为 故障到阻塞 ,因为每个虚拟接口只使用一个以太网/物理接口。也没有桥梁对。

  3. 在此示例中,创建了三个接口组,一个面向 LAN,另外两个面向每个相应的 WAN 链接。请参阅上面的示例“DC 网关模式”拓扑并填充接口组字段,如下所示。

    接口组 SD-WAN Gateway 模式

为每个虚拟接口创建虚拟 IP (VIP) 地址

  1. 在适当的子网上为每个 WAN 链接创建 VIP。VIP 用于虚拟 WAN 环境中的两个 SD-WAN 设备之间的通信。

  2. 创建一个虚拟 IP 地址,用作 LAN 网络的网关地址。

    VIP Gateway 模式

要使用 Internet 链路根据物理速率而不是突发速度填充 WAN 链路,请执行以下操作:

  1. 导航到 WAN 链接,单击 + 添加链接 按钮为 Internet 链接添加 WAN 链接。

  2. 填充互联网链接详细信息,包括提供的公有 IP 地址,如下所示。无法为配置为 MCN 的 SD-WAN 设备选择自动检测 公有 IP

  3. 从部分下拉菜单中导航到 访问界面,然后单击 + 添加 按钮以添加特定于 Internet 链接的界面详细信息。

  4. 填充 IP 和 Gateway 地址的访问接口,如下所示。

    WAN 链路 Gateway 模式

    接入接口 Gateway 模式

创建 MPLS 链接

  1. 导航到 WAN 链接,单击 + 按钮为 MPLS 链接添加 WAN 链接。

  2. 填充 MPLS 链接详细信息,如下所示。

  3. 导航到 访问接口,单击 + 按钮添加特定于 MPLS 链接的界面详细信息。

  4. 填充 IP 和 Gateway 地址的访问接口,如下所示。

    MPLS Gateway 模式广域网链路

    MPLS 接入接口 Gateway 模式

填充路由

路由是基于上述配置自动创建的。上面显示的直流局域网示例拓扑具有额外的局域网子网,该子网为 192.168.31.0/24。需要为此子网创建路由。网关 IP 地址必须与直流 LAN VIP 位于同一子网中,如下所示。

MPLS 路由 Gateway 模式

分支站点内联部署配置

以下是为内联部署配置分支站点的高级配置步骤:

  1. 创建分支站点。

  2. 基于连接的以太网接口填充接口组。

  3. 为每个虚拟接口创建虚拟 IP 地址。

  4. 使用 Internet 和 MPLS 链接基于物理速率而不是突发速度填充 WAN 链接。

  5. 如果 LAN 基础结构中有更多子网,请填充路由。

创建分支站点

  1. 导航到 配置编辑器 > 站点,然后单击 + 添加 按钮。

  2. 填充字段,如下所示。

  3. 保留默认设置,除非要求更改。

    添加分支站点 Gateway 模式

    分支站点设置 Gateway 模式

基于连接的以太网接口填充接口组

  1. 配置编辑器中,导航到 站点 > 查看站 点 > [客户端站点名称] > 界面组。单击 + 以 添加要使用的接口。对于内联模式,为每个接口组分配两个以太网接口。

  2. 旁路模式设置为 故障到线 ,网桥对是使用两个以太网接口创建的。

  3. 请参阅上述示例 远程站点内联模式 拓扑并填充接口组字段,如下所示。

    分支站点接口组 Gateway 模式

为每个虚拟接口创建虚拟 IP (VIP) 地址

  1. 在相应的子网上为每个 WAN 链接创建一个虚拟 IP 地址。VIP 用于虚拟 WAN 环境中的两个 SD-WAN 设备之间的通信。

    虚拟 IP 地址 Gateway 模式分支

要使用 Internet 链路根据物理速率而不是突发速度填充 WAN 链路,请执行以下操作:

  1. 导航到 WAN 链接,单击 + 按钮为 Internet 链接添加 WAN 链接。

  2. 填充互联网链接详细信息,包括自动检测公有 IP 地址,如下所示。

  3. 导航到 访问接口,单击 + 按钮添加特定于 Internet 链接的界面详细信息。

  4. 填充 IP 地址和 Gateway 的访问接口,如下所示。

    WAN 链路 Gateway 模式

    接入接口 Gateway 模式分支

创建 MPLS 链接

  1. 导航到 WAN 链接,单击 + 按钮为 MPLS 链接添加 WAN 链接。

  2. 填充 MPLS 链接详细信息,如下所示。

  3. 导航到访问接口,单击 + 按钮添加特定于 MPLS 链接的界面详细信息。

  4. 填充 IP 地址和 Gateway 的访问接口,如下所示。

    MPLS Gateway 模式 WAN 链路分支

    MPLS 接入接口分支

填充路径

路由是基于上述配置自动创建的。如果有更多的子网特定于此远程分支机构,则需要添加特定的路由,以确定哪个 Gateway 将流量引导到达这些后端子网。

MPLS 路由 Gateway 模式分支

解决审计错误

完成 DC 站点和分支站点的配置后,系统将提醒您解决 DC 站点和 BR 站点上的审核错误。

默认情况下,系统会为定义为访问类型公共 Internet 的 WAN 链接生成路径。您需要使用自动路径组功能或手动启用具有专用 Internet 访问类型的 WAN 链接的路径。通过单击“添加”运算符(绿色矩形中),可以启用 MPLS 链接的路径。

默认 WAN 链路

完成上述所有步骤后,继续准备 SD-WAN 设备包