Citrix SD-WAN

申请路线

在典型的企业网络中,分支机构可访问本地数据中心、云数据中心或 SaaS 应用程序上的应用程序。应用程序路由功能允许您轻松、经济高效地引导应用程序通过您的网络。例如,当分支站点上的用户尝试访问 SaaS 应用程序时,流量可以被路由,以便分支机构可以直接访问 Internet 上的 SaaS 应用程序,而无需先通过数据中心。

Citrix SD-WAN 允许您定义以下服务的应用程序路由:

  • 虚拟路径:此服务管理跨虚拟路径的流量。虚拟路径是两个 WAN 链接之间的逻辑链接。它由一组 WAN 路径组成,可在两个 SD-WAN 节点之间提供高服务级别的通信。SD-WAN 设备在每个路径的基础上测量网络,并适应不断变化的应用需求和 WAN 条件。虚拟路径可以是静态的(始终存在)或动态的(仅当两个 SD-WAN 设备之间的流量达到配置的阈值时才存在)。

  • Internet: 此服务管理企业站点与公共 Internet 上的站点之间的流量。互联网流量没有封装。当发生拥塞时,SD-WAN 通过相对于虚拟路径和 Intranet 流量的速率限制互联网流量来主动管理带宽。

  • Intranet:此服务管理尚未定义为跨虚拟路径传输的企业 Intranet 流量。内部网流量未封装。SD-WAN 通过在拥塞期间相对于其他服务类型的速率限制此流量来管理带宽。在某些情况下,如果在虚拟路径上配置 Intranet 回退,则通常通过虚拟路径传输的流量可以被视为 Intranet 通信。

  • 本地:此服务管理站点与其他服务不匹配的本地流量。SD-WAN 忽略来源和发往本地路由的流量。

  • GRE 隧道:此服务管理发往 GRE 隧道的 IP 流量,并与站点配置的 LAN GRE 隧道匹配。GRE 隧道功能使您能够配置 SD-WAN 设备以终止局域网上的 GRE 隧道。对于具有服务类型 GRE 隧道的路由,Gateway 必须位于本地 GRE 隧道的隧道子网之一。

  • LAN IPSec 隧道:此服务管理发往 LAN IPsec 隧道的 IP 流量,并与站点配置的 LAN IPsec 隧道匹配。通过 LAN IPsec 隧道功能,您可以将 SD-WAN 设备配置为终止局域网或 WAN 端的 IPsec 隧道。

要执行应用程序的服务指导,必须在第一个数据包本身上识别应用程序。最初,一旦对流量进行分类并且已知应用程序,数据包将通过 IP 路由流动,则使用相应的应用程序路由。通过学习与应用程序对象关联的 IP 子网和端口来实现第一个数据包分类。使用 DPI 分类器的历史分类结果和用户配置的 IP 端口匹配类型获取这些结果。

要配置应用程序路由,请执行以下操作:

  1. 在配置编辑器中,导航到 连接 > 应用程序路由,然后单击 +

    应用程序指导 1

  2. 加 页面上,设置以下参数:

    • 应用程序对象:要引导的应用程序对象。此处列出了您创建的应用程序对象。有关详细信息, 请参阅应用分类 主题中的 应用程序对象 部分。

      SD-WAN 应用指导

    • 路由域:要由应用程序路由使用的路由域。选择一个已配置的路由域。

    • 成本:用于确定此路径的路径优先级的权重。成本较低的路径优先于成本较高的路径。这个范围是 1-65534。默认值为 5。

    • 服务类型: 选择以下服务之一。这将应用程序映射到服务。

    • 虚拟路径:将应用程序流量标识为虚拟路径流量,并根据虚拟路径规则匹配虚拟路径。在 “ 下一跳站点 ” 字段中,输入虚拟路径数据包定向到的下一跳远程站点。

      注意

      触及虚拟路径应用程序路由的任何流都不会超过动态虚拟路径。

    • Internet:将应用程序流量标识为 Internet 流量,并与 Internet 服务匹配。

    • Intranet:将应用程序流量识别为 Intranet 流量,并根据 Intranet 规则匹配 Intranet 服务。在 Intranet 服务 字段中,选择要用于路由的 Intranet 服务。

    • 本地:将应用程序流量标识为站点的本地流量并且不匹配任何服务。来源和发往本地路径的流量将 被忽略。

      注意

      对于本地服务类型,完成 DPI 分类后,配置的 IP 路由将作出路由决策。

    • GRE 隧道: 确定应用程序流量为目的地 GRE 隧道, 并匹配在现场配置的 LAN GRE 隧道. 在 网关 IP 地址 字段中,输入必须位于 LAN GRE 隧道子网中的网关 IP 地址。选择 基于网关的资格 以允许路由在无法访问网关时不接收任何流量。

    • 局域网 IPsec 隧道:将应用程序流量识别为目标到局域网 IPsec 隧道,并与站点中配置的 LAN IPsec 隧道匹配。在 IPsec 隧道 字段中,选择一个已配置的 IPsec 隧道。选择 基于隧道的资格,以便在隧道无法到达时使路径无法接收任何流量。

      注意

      为自定义应用程序选择服务后,请勿对其进行更改。

    • 基于路径的资格: 选择该选项可在指定路径停止时启用路径不接收流量。在 路径 字段中,指定用于确定路径资格的路径。

  3. 单击应用

查看 SD-WAN 设备上配置的应用程序路由。在 SD-WAN GUI 中,导航到 配置 > 虚拟 WAN > 查看配置。从 查看 下拉菜单中选择 应用程序路由

SD-WAN 应用程序指导 1

要查看应用程序路由的统计数据:

  1. 在 SD-WAN GUI 中,导航到 监视 > 统计信息

  2. 显示 下拉列表中,选择 应用程序路由

    SD-WAN 应用程序指导 2

您可以查看以下统计信息:

  • 应用程序对象:应用程序对象的名称。
  • 网关 IP 地址:使用 GRE 隧道服务类型的应用程序对象使用的网关 IP 地址。
  • 服务:映射到应用程序对象的服务类型。
  • 防火墙区域:此路由所在的防火墙区域。
  • 可访问:应用程序路由的状态。
  • 站点:站点的名称。
  • 类型:指示路由是静态还是动态路由。
  • 成本:路径的优先级。
  • 单击计数:使用应用程序路由来引导流量的次数。
  • 符合条件:申请路线是否符合发送流量的条件。
  • 资格类型:应用于此路径的路径资格条件类型。资格类型可以是路径、网关或隧道。
  • 资格值:为路径资格条件指定的值。

注意

在当前版本中,属于应用程序系列、应用程序对象中定义的匹配类型的应用程序无法引导。

故障排除

创建应用程序路由后,您可以使用 监视 部分确认应用程序已正确路由到预期服务。

要查看应用程序是否正确路由到预期服务,请导航到以下页面:

  • 监视 > 统计信息 > 应用程序路由
  • 监控 > 流
  • 监控 > 防火墙

如果存在任何意外路由行为,请在发现此问题时收集 STS 诊断程序包,并与 Citrix 技术支持团队共享。

可以使用 配置 > 系统维护 > 诊断 > 诊断信息创建和下载 STS 包。

申请路线