Citrix SD-WAN

配置分支节点

要将新分支站点添加到站点表并开始配置站点,请执行以下操作:

注意

如果您在创建和保存新配置包后退出 MCN,则需要重新登录并重新打开配置,然后才能继续。为此,请单击配置编辑器菜单栏(页面顶部区域)中的打开。这将显示一个用于选择要更改的配置的对话框。

  1. 继续在配置编辑器中,单击站点栏中的添加以开始添加和配置新的分支站点。此时将显示添加站点对话框。

    添加分行网站

  2. 键入以下站点信息。

    注意

    条目不能包含空格,且必须采用 Linux 格式。

    • 站点名称 — 键入站点的名称。
    • 设备名称 — 键入要分配给设备的名称。
    • 安全密钥 — 这是一个 8-32 位的十六进制密钥,用于 SD-WAN 设备中的加密和成员身份验证。默认情况下,此字段预填充自动生成的安全密钥。接受默认值或键入自定义键入十六进制格式。
    • 型号 — 从下拉菜单中选择设备型号。
    • 模式 — 选择客户端作为模式。
  3. 单击 添加 以添加网站。新站点将添加到站点树中,并打开站点的基本设置配置窗体。

    分支基本设置

  4. 键入网站的基本设置,然后单击应用

    下一步是为新分支站点添加和配置接口组。

如何为分支配置接口组

要将接口组添加到新的分支站点,请执行以下操作:

  1. 继续在 配置编辑器 的 “站 ” 视图中,从 “站点” 下拉菜单中选择分支 点。这将打开所选站点的配置视图。

    为分支站点添加接口组

  2. 单击 + 以添加虚拟接口组。将向表中添加一个新的空白虚拟 接口组条目并打开以供编辑。

  3. 单击虚拟接口右侧的 +。将向表中添加一个新的空白组条目并打开以进行编辑。

    为分支站点添加虚拟接口

  4. 选择要包含在组中的以太网接口

    以太网接口下,单击一个接口以包含/排除该接口。您可以选择要包含在组中的任意数量的接口。

    排除分支的虚拟接口

  5. 从下拉菜单中选择旁路模式 (无默认值)。

    旁路模式 指定在设备或服务发生故障或重新启动时虚拟接口组中桥接配对接口的行为。选项包括:Fail-to-WireFail-to-Block

  6. 从下拉菜单中选择 安全级别

    这指定了虚拟接口组的网络段的安全级别。选项包括:可信不可信。受信任的区段受防火墙保护(默认为 受信任)。

  7. 单击您添加的虚拟接口左边缘的 +。这将显示 虚拟接口 表。

    添加虚拟接口

  8. 单击虚拟接口右侧的 +。此时将显示 名称、防火墙区域VLAN ID ID

  9. 键入此虚拟接口组的 名称VLAN ID

    • Name — 引用此虚拟接口的名称。

    • 启用 -默认情况下,所有虚拟接口都选中 用复选框。如果要禁用虚拟接口,请清除 用复选框。

      注意

      • 仅当 WAN 链接访问接口未使用虚拟接口时,禁用虚拟接口的选项才可用。如果 WAN 链路访问接口使用虚拟接口,则默认情况下该复选框处于只读状态并选中。
      • 在配置其他功能以及已启用的虚拟接口时,禁用的虚拟接口也会列出,但 WAN 链接的访问接口下除外。即使选择禁用的虚拟接口,也不考虑虚拟接口,也不会影响网络配置。
    • 防火墙区域 -从下拉菜单中选择防火墙区域。

    • VLAN ID — 用于识别和标记进出虚拟接口的流量的 ID。对原生/未标记的流量使用 0(零)的 ID。

  10. 单击 桥对 右侧的 +。将添加一个新的 桥接对 条目并打开以进行编辑。

  11. 从下拉菜单中选择要配对的以太网接口。要添加更多对,请再次单击 桥接对 旁边的 +

  12. 单击应用。您的设置将应用并添加到表的新虚拟接口组中。

    注意

    在此阶段,您将看到一个黄色的增量审核警报图标,位于新的虚拟接口组条目右侧。这是因为您尚未为站点配置任何虚拟 IP 地址 (VIP)。现在,您可以忽略此警报,因为当您为站点正确配置了 Virtual IP 时,它会自动解决。

  13. 要添加更多虚拟接口组,请单击 接口组 分支右侧的 + ,然后按上述操作。

如何为分支站点配置虚拟 IP 地址

下一步是为站点配置虚拟 IP 地址,并将其分配给相应的组。

  1. 继续在新分支站点的站 视图中,单击 虚拟 IP 地址 左侧的 +。这将显示新站点的 虚拟 IP 地址 表。

  2. 单击 虚拟 IP 地址 右侧的 + 以 添加地址。此时将显示用于添加和配置新虚拟 IP 地址的窗体。

  3. 键入 IP 地址 / 前缀 信息,然后选择与该地址关联的 虚拟接口。虚拟 IP 地址必须包含完整的主机地址和网络掩码。

  4. 为虚拟 IP 地址选择所需的设置,例如防火墙区域、标识、私有和安全。

  5. 选择 Inband Mgmt 可允许虚拟 IP 地址连接到管理服务,如 Web UI 和 SSH。

    注意:

    接口必须为 “ 受信任 ” 且已启用 身份 的安全类型。

  6. 选择虚拟 IP 作为 备份管理网络。如果管理端口未配置默认 Gateway,则可以使用虚拟 IP 地址进行管理。

    分支机构的虚拟 IP 地址

  7. 单击应用。将添加到站点的地址信息,并将其包含在站点 虚拟 IP 地址 表中。

  8. 要添加更多虚拟 IP 地址,请单击 虚拟 IP 地址 右侧的 +,然后按照上述步骤继续操作。

如何为分支配置 WAN 链接

下一步是为站点配置 WAN 链接。

  1. 继续在新分支站点的站 视图中,单击 WAN 链接 标签。

  2. 单击 WAN链接右侧的添加链 接以添加新的 WAN 链接。此时将显示 添加 对话框。

    为分支站点添加 WAN 链接

  3. (可选)如果您不想使用默认值,请键入 WAN 链接的名称。

    默认值为站点名称,附有以下后缀:

    -WL-<number>

    其中 <number> 为此站点的 WAN 链接的数量,增量为 1。

  4. 从下拉菜单中选择 访问类型

    这些选项是 公共 Internet、专用 Intranet专 ​​用多协议标签交换。

  5. 单击添加。此时将显示 WAN 链 接基本设置配置页面,并将新的未配置 WAN 链接添加到该页面。

    WAN 链接的新配置编辑器

  6. 键入新 WAN 链接的链接详细信息。将局域网配置为 WAN,WAN 配置为 局域网 设置。

    一些准则如下:

    • 有些互联网链接可能是不对称的。错误配置允许的速度可能会对该链接的性能产生不利影响。

    • 避免使用超过承诺率的突发速度。

    • 对于 Internet WAN 链接,请务必添加公有 IP 地址。

  7. 单击灰色的 高级设置 部分栏。这将打开链接的 高级设置 窗体。

    新的配置编辑器高级设置

  8. 键入链接的 高级设置

    • 提供程序 ID —(可选)键入唯一 ID 号 1-100 以指定连接到同一服务提供程序的 WAN 链接。在发送重复数据包时,虚拟 WAN 使用提供程序 ID 区分路径。

    • 帧成本(字节) — 键入添加到每个数据包的头/拖车的大小(以字节为单位)。例如,添加以太网 IPG 或 AAL5 拖车的大小(以字节为单位)。

    • 拥塞阈值 — 键入拥塞阈值(以微秒为单位),之后 WAN 链路限制数据包传输,以避免进一步拥塞。

    • MTU 大小(字节) — 键入最大的原始数据包大小(以字节为单位),不包括帧成本。

  9. 单击灰色 资格 部分栏。这将打开链接的 资格 设置窗体。

  10. 选择链接的 资格 设置。

    新配置编辑器 WAN 链接资格

  11. 单击灰色 计量链接 部分栏。这将打开链接的 按计费链接 设置 窗体。

  12. (可选)选择 启用计量 以为此链接启用计量。这将显示 启用计量 设置 字段。

    新配置编辑器 WAN 计量链接

    MCN 站点的按计费 WAN 链接

  13. 配置链接的计量设置。键入以下命令:

    • 数据上限 (MB) — 键入链接的数据上限分配(以 MB 为单位)。
    • 账单周期 — 从下拉菜单中选择每月或每周
    • 开始 -键入计费周期的开始日期。
    • 设置最后手段 — 选择此选项可在所有其他可用链接失败时启用此链接作为最后手段的链接。在正常 WAN 条件下,Virtual WAN 仅通过计费链接发送最小流量,用于检查链接状态。但是,如果发生故障,SD-WAN 可以使用活动按计费链接作为转发生产流量的最后手段。
  14. 单击应用。这会将您指定的设置应用到新的 WAN 链接。

    下一步是为新的 WAN 链接配置访问接口。访问接口由虚拟接口、WAN 端点 IP 地址、网关 IP 地址和虚拟路径模式组成,共同定义为特定 WAN 链接的接口。每个 WAN 链接必须至少有一个访问接口。

    注意

    添加了一个通过考虑远程带宽自动配置共享的选项来配置 WAN 链接。使用远程带宽设 Provisioning 置配选项使拥有大型网络和不同带宽配置的用户能够以动态方式管理数据中心站点的带宽配置。

  15. 在链 接的 WAN 链接配置页面中选择访问接口。这将打开站点的访问接口视图。

    WAN 链路访问接口

    WAN 链接访问接口站点视图

  16. 单击 + 以添加界面。表中的空白条目将添加并打开以进行编辑。键入链 接的访问界面 设置。

    注意

    每个 WAN 链接必须至少有一个访问接口。

    为分支站点添加了 WAN 链接访问接口

  17. 键入以下命令:

    • 名称:这是引用此访问接口的名称。键入新访问接口的名称,或接受默认值。默认设置使用以下命名约定:

      WAN_link_name-AI-number

      其中 Wan_link_Name 是您要与此接口关联的 WAN 链路的名称,数量是当前为此链路配置的访问接口数量,增加 1。

    注意

    如果名称显示为截断,您可以将光标放在字段中,然后单击并按住鼠标向右或向左滚动以查看截断部分。

    • 虚拟接口 — 此访问接口使用的虚拟接口。从为此分支站点配置的虚拟接口下拉菜单中选择一个条目。
    • IP 地址 — 访问接口终结点从设备到 WAN 的 IP 地址。
    • Gateway IP 地址 -这是网关路由器的 IP 地址。
    • 虚拟路径模式 — 此 WAN 链接上虚拟路径流量的优先级。选项包括:主要次要排除。如果设置为 排除,则此访问接口仅用于 Internet 和 Intranet 流量。
    • 代理 ARP — 选中要启用的复选框。如果启用,则当 Gateway 关无法访问时,虚拟 WAN 设备会回复针对网关 IP 地址的 ARP 请求。
  18. 单击应用

    您现在已完成配置新的 WAN 链接。重复这些步骤以添加和配置站点的额外 WAN 链接。

    下一步是添加和配置站点的路由。

如何为分支配置路由

要添加和配置站点的路由,请执行以下操作:

  1. 单击新分支站点的 连接 视图,然后选择 路由。这将显示站点的 路径 视图。

  2. 单击路径右侧的+ 以添加路径。这将打开 路由 对话框进行编辑。

    为分支站点添加路线

  3. 键入新路径的路径配置信息。

    • 网络 IP 地址 — 键入网络 IP 地址。

    • 成本 — 键入 1 到 15 之间的权重,用于确定此路径的路径优先级。成本较低的路径优先于成本较高的路径。默认值为 5。

    • 服务类型 — 从此字段的下拉菜单中选择路径的服务类型。这些选项如下所示:

      • 虚拟路径 — 此服务管理跨虚拟路径的流量。虚拟路径是两个 WAN 链接之间的逻辑链接。它由一组 WAN 路径组成,可在两个 SD-WAN 节点之间提供高服务级别的通信。这是通过不断测量和适应不断变化的应用需求和广域网条件来实现的。SD-WAN 设备根据每个路径测量网络。虚拟路径可以是静态的(始终存在)或动态的(仅当两个 SD-WAN 设备之间的流量达到配置的阈值时才存在)。

      • Internet — 此服务管理企业站点与公共 Internet 上的站点之间的流量。此类型的流量未封装。在拥堵期间,SD-WAN 通过相对于虚拟路径的速率限制互联网流量,主动管理带宽,并根据管理员建立的 SD-WAN 配置管理 Intranet 流量。

      • Intranet — 此服务管理尚未定义为跨虚拟路径传输的企业 Intranet 流量。与互联网流量一样,它仍然是未封装的,SD-WAN 通过在拥塞期间限制此流量相对于其他服务类型的速率来管理带宽。在某些情况下,如果为虚拟路径上的 Intranet 回退配置,则通常使用虚拟路径传输的流量可以被视为 Intranet 通信,以保持网络可靠性。

      • 直通 — 此服务管理要通过虚拟 WAN 传递的流量。定向到直通服务的流量包括广播、ARP 和其他非 IPv4 流量,以及虚拟 WAN 设备本地子网、配置的子网或网络管理员应用的规则上的流量。SD-WAN 不会延迟、形状或更改此流量。因此,必须确保直通流量不会消耗 SD-WAN 设备配置为用于其他服务的 WAN 链接上的大量资源。

      • 本地 — 此服务管理不匹配其他服务的站点的本地 IP 流量。SD-WAN 忽略来源和发往本地路由的流量。

      • GRE 隧道 — 这项服务管理注定于 GRE 隧道的 IP 流量, 并匹配在现场配置的局域网 GRE 隧道. GRE 隧道功能使您能够配置 SD-WAN 设备以结束局域网上的 GRE 隧道。对于具有服务类型 GRE 隧道的路由,Gateway 必须位于本地 GRE 隧道的隧道子网之一。

      • 局域网 IPsec 隧道 — 此服务管理发往 IPsec 隧道的 IP 流量。

      • 际路由 -此服务允许站点内的路由域之间或不同站点之间的路由泄漏。这样就不需要边缘路由器来处理路由泄漏。

    • 网关 IP 地址— 键入此路由的网关 IP 地址。

    • 基于路径的资格 (复选框)-(可选)如果启用,则选定路径关闭时路由不会接收流量。

    • 路径 — 指定用于确定路径资格的路径。

  4. 单击应用

    注意

    单击 应用后,可能会显示审核警告,指示需要进一步操作。红点或金色增量图标表示它出现的部分中出现错误。您可以使用这些警告来识别错误或缺失的配置信息。将光标滚到审核警告图标上,以显示该部分中错误的简短描述。您还可以单击深灰色 核状态栏(页面底部)以显示所有审核警告的完整列表。

    为 MCN 添加路线

    您还可以编辑配置的路由,如下所示。

    编辑路线

您现在已完成配置客户端站点所需的步骤。在继续下一阶段部署之前,您还可以选择完成一些额外的可选步骤。下面列出了这些步骤和指向说明的链接。如果您现在不想配置这些功能,您可以直接进入准备 MCN 上的 SD-WAN 设备包。

可选步骤如下:

  • 置高可用性 — 高可用性是一种配置,其中一个站点上的两个虚拟 WAN 设备在主动/备用伙伴关系容量中提供服务,以实现冗余目的。如果您没有为此站点实施高可用性,则可以跳过此步骤。有关说明,请参阅为分支站点配置高可用性(高可用性)(可选)。

  • 克隆新分支站点 -您可以选择克隆您配置的分支站点,并将其用作添加另一个站点的模板。原始站点和克隆的设备型号必须相同。相关说明,请参阅克隆分支站点(可选)

  • 配置 WAN 优化 — 如果 Citrix SD-WAN 虚拟 WAN 许可证包含 WAN 优化功能,则可以选择启用这些功能并将其添加到配置中。为此,您必须在 配置编辑器 中完成 优化 部分,并保存更改的配置。

保存配置

下一步是保存已完成的 站点 配置。配置将保存到本地设备上的 Workspace。

警告

如果控制台会话超时或您在保存配置之前注销管理 Web 界面,则所有未保存的配置更改都将丢失。然后,您必须重新登录到系统,并从头开始重复配置过程。因此,建议您经常或在配置的关键点保存配置包。 注意

作为额外的预防措施,建议您使用另存为而非保存,以避免覆盖错误的配置包。 保存配置文件 后,您可以选择退出管理 Web 界面,然后继续配置过程。但是,如果您注销,则需要在恢复时重新打开保存的配置。说明在配置 MCN 下的部分中提供;将保存的配置包加载到配置编辑器中

要保存当前配置包,请执行以下操作:

  1. 单击 另存为 (位于 配置编辑器 中间窗格顶部)。这将打开 另存为 对话框。

    保存 MCN 配置

  2. 键入配置包名称。单击保存。

    注意

    如果要将配置保存到现有配置包中,请务必在保存之前选择 允许覆盖

    下一步是配置 MCN 与客户端站点之间的虚拟路径和虚拟路径服务。说明在配置 MCN 与客户端站点之间的虚拟路径服务中提供。

重命名分支站点

重命名分支站点后,您需要将新的配置包上传到网络。

  1. 从 MCN,具有包含重命名分支站点的新配置的阶段网络。

  2. 下载重命名的分支站点的临时包。

  3. MCN 上,选择激活暂存网络。这将禁用重命名的站点,并且站点变得不可用。

  4. 导航到分支 本地更改管理 页面。

  5. 上载之前下载的软件包。单击 下一步 ,然后单击 激活

以高可用性重命名分支站点

要在重命名启用高可用性的分支站点后上传新配置,请执行以下操作:

  1. 从 MCN,具有包含已重命名的分支站点的新配置的阶段网络。

  2. 为具有重命名分支站点的活动和高可用性设备下载临时包。

  3. MCN上,选择为网络激活暂存。这将禁用重命名的站点,并且站点变得不可用。

  4. 导航到分支处的活动设备。转到 本地变更管理 页面。

  5. 上载之前下载的软件包。单击 下一步 ,然后单击 激活

  6. 对备用设备重复步骤 4 (a) 和 4 (b)。

配置分支节点