Citrix SD-WAN

虚拟内联模式

在虚拟内联模式下,路由器使用路由协议(如 PBR、OSPF 或 BGP)将传入和传出 WAN 流量重定向到设备,设备将处理的数据包转发回路由器。

以下文章介绍了配置两个 SD-WAN (SD-WAN SE) 设备的分步过程:

  • 虚拟内联模式下的数据中心设备
  • 在内联模式下分支设备
  • 路由协议必须在核心交换机或路由器的上游配置。路由器必须监视 SD-WAN 设备的运行状况,以便在设备出现故障时可以绕过设备。
  • 虚拟内联模式将 SD-WAN 设备置于物理路径之外(单臂部署),也就是说,在旁路模式设置为故障阻止 (FTB) 的情况下,仅使用单个以太网接口(例如:接口 1/5)。 必须将 Citrix SD-WAN 设备配置为将流量传递到正确的 Gateway。用于虚拟路径的流量被定向到 SD-WAN 设备,然后封装并定向到相应的 WAN 链接。

收集信息

收集配置虚拟内联模式所需的以下信息:

  • 本地和远程站点的准确网络图,包括:
    • 本地和远程 WAN 链接及其双向带宽、子网、每条链路、路由和 VLAN 中的虚拟 IP 地址和网关。
  • 部署表

以下是示例网络逻辑示意图和部署表:

数据中心拓扑-虚拟内联模式

虚拟内联模式

分支拓扑-内联模式

PBR 模式下的部署分支

站点名称 数据中心站点 分支机构
设备名称 SJC-DC SJC-BR
管理知识产权 172.30.2.10/24 172.30.2.20/24
安全密钥 如果有 如果有
模型/版本 4000 2000
模式 虚拟内联模式 内联
拓扑 2 x 广域网路径 2 x 广域网路径
VIP 地址 192.168.1.10/24 — MPLS,192.168.2.10/24 — Internet,公共 IP w.x.y.z 10.17.0.9/24 - MPLS,10.18.0.9/24 – Internet,公共 IP a.b.c.d
网关 MPLS 10.20.0.1 10.17.0.1
网关 Internet 10.19.0.1 10.18.0.1
链接速度 MPLS – 100 Mbps,Internet – 20 Mbps MPLS – 10 Mbps,Internet – 2 Mbps
路由 需要在 SD-WAN SE 设备上添加路由,了解如何通过任何物理接口访问 LAN 子网(10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 等):Gi0/1-192.168.1.1, 配置 > 虚拟 WAN > 配置编辑器 > SJC_DC\ > 路由。在本示例中,使用了接口 192.168.1.1:- 不适用地址:10.10.13.0/24、10.10.12.0/24、10.10.11.0/24,- 服务类型:本地,- 网关 IP 地址:192.168.1.1 未添加其他路线
VLAN MPLS-VLAN 10、Internet - VLAN 20 无(默认值 0)

必备条件

  1. 在 SD-WAN 设备 Web 管理界面中,导航到配置 > 装置设置 > 管理员界面 > 其他选项卡 ,然后单击 切换控制台

    注意:

    如果显示 切换到客户端控制台 ,则表示设备已处于 MCN 模式。SD-WAN 网络中必须只有一个活动的 MCN。

  2. 导航到 配置 > 虚拟 WAN > 启用/禁用/清除流 程,然后单击 Citrix Virtual WAN 服务 部分中的启用。

    启用虚拟 WAN 服务

  3. 通过导航到配置 > 虚拟 WAN > 配置编辑器来开始配置。单击 “ 新建 ” 开始配置。单击 “ 建” 将创建一个初始配置文件,其文件名为 Untitled_1 。您可以稍后使用 “ 另存为 ” 按钮重命名文件(可 [选] )。

    开始一个新的配置

数据中心站点-虚拟内联模式配置

创建数据中心站点

  1. 导航到配置 > 虚拟 WAN > 配置编辑器 > 站点,然后单击 + 站点

  2. 输入站点名称和位置。从型号下拉列表中选择设备 型号 ,从 模式 下拉列表中选择 主 MCN

  3. 单击添加

    PBR 创建 DC 站点

基于连接的以太网接口配置接口组

在虚拟内联模式配置中,只使用一个以太网接口,即连接上游路由器的接口,提供路由策略含义(Example-Interface 1/5)。由于每个虚拟接口只使用一个以太网/物理接口,所以将旁路模式设置为故障阻止 (FTB)。另外,没有桥对。

  1. 配置编辑器中,导航到 站 [点 > 站点名称] > 界面组。单击 + 以 添加要使用的接口。

  2. 选择连接到上游路由器的以太网接口,然后单击虚拟接口旁边的 + 。为 MPLS 和 INTERNET 链接添加虚拟接口。根据示例拓扑,添加以下内容:
    • VLAN 10 上配置了虚拟接口 MPLS
    • VLAN 20 上配置的虚 拟接口 互联网
  3. 旁路模式 下拉列表中选择 失败阻止 。单击应用

    PBR DC 2 配置虚拟接口

为每个虚拟接口创建虚拟 IP 地址

在适当的子网上为每个 WAN 链路创建虚拟 IP (VIP) 地址。VIP 用于虚拟 WAN 环境中的两个 SD-WAN 设备之间的通信。

  1. 配置编辑器中,导航到 站点 > [点 > 站点名称] > 虚拟 IP 地址。单击 + 创建 VIP。

  2. 输入 IP 地址/前缀,然后为 MPLS 和互联网选择相应的虚拟接口。

  3. 单击应用

    PBR DC 1 配置分配虚拟 IP 地址

创建互联网广域网链接

根据物理速率而不是突发速度创建 Internet WAN 链接。

  1. 配置编辑器中,导航到站点 > [点 > 站点名称] > WAN 链接,然后单击 + 链接。输入名称,然后选择访问类型公共 Internet。单击添加

  2. 输入实际费率。不要选中 自动检测公共 IP 复选框。对于配置为 MCN 的 SD-WAN 设备,无法选中 自动检测公共 IP 复选框。

    PBR DC 3 配置互联网广域网链路

  3. 部分 下拉列表中选择 访问接口 ,然后单击 + 按钮以添加特定于 Internet 链接的接口详细信息。

  4. 输入互联网 WAN 虚拟 IP 地址和网关地址。对于少于两个以太网接口,不会检查代理 ARP 。

  5. 单击应用

    PBR DC 4 配置互联网接入接口

创建 MPLS 链接

  1. 在 “ 站点” [点 > 站点名称] > “WAN 链接 ” 页面中,从 “ 部分 ” 下拉列表中选择 “ 设置 ”。单击 + 链接 按钮添加适用于 MPLS 的 WAN 链接。
  2. 输入 MPLS WAN Link 名称,然后选择 访问类型 作为 专用内联网。单击添加

  3. 输入实际费率和其他详细信息。单击应用

    MPLS 基本设置

  4. 部分 下拉列表中选择 访问接口 ,然后单击 + 按钮以添加特定于 MPLS 链接的接口详细信息。

  5. 输入 MPLS 虚拟 IP 地址和网关地址。对于少于两个以太网接口,不会检查代理 ARP 。

  6. 单击应用

    MPLS 访问接口

填充路线

在数据中心方面,在 SD-WAN 设备上添加关于如何通过任何物理接口到达局域网子网(10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 等)的路由。

0/1/0.1 – VLAN 10 上的 192.168.1.1

0/1/0.2 – VLAN 20 上的 192.168.2.1

在本例中,使用接口 192.168.1.1。

配置编辑器中,导航到 连接 > 路由 ,然后单击 + 添加路由。

输入 网络 IP 地址、开 和网 关地址。单击添加

添加路线

添加的路线列表

分支站点内联部署配置

创建分支站点

  1. 导航到 配置编辑器 > 站 点,然后单击 + 站点。

  2. 输入站点名称和位置。从型号下拉列表中选择设备 型号 ,从 模式 下拉列表中选择 客户端

  3. 单击添加

    PBR 创建 DC 站点

基于连接的以太网接口配置接口组

  1. 配置编辑器中,导航到 站点 > [客户端站点名称] > 接口组。单击 + 以 添加要使用的接口。对于内联模式配置,使用四个以太网接口;接口对 1/3、1/4 和接口对 1/1 和 1/2。

  2. 旁路模式 设置为故障连接,因为每个虚拟接口使用两个以太网/物理接口。有两个桥对。

  3. 单击 虚拟接口 旁边的 + ,然后使用 Internet 和 MPLS 链接根据物理速率而不是突发速度填充 WAN 链接。

    • 网桥对1/3 和 1/4 上配置了虚拟接口 INTERNET

    • 在网桥对 1/1 和 1/2 上配置的虚拟接口 MPLS

  4. 单击 网桥对 旁边的 + ,然后通过选择适当的接口来创建网桥对。

    请参阅 先决条件分下的分支拓扑 — 串联模式 拓扑图,然后填充接口组。

    PBR 分支站点接口组

为每个虚拟接口创建虚拟 IP (VIP) 地址

在相应的子网上为每个 WAN 链接创建一个虚拟 IP 地址。VIP 用于虚拟 WAN 环境中的两个 SD-WAN 设备之间的通信。

  1. 配置编辑器中,导航到 站点 > [点 > 站点名称] > 虚拟 IP 地址。单击 + 创建 VIP。

  2. 输入 IP 地址/前缀,然后为 MPLS 和互联网选择相应的虚拟接口。

  3. 单击应用

    PBR 分支站点接口组

创建互联网广域网链接

使用 Internet 链接基于物理速率而不是突发速度填充 WAN 链接

  1. 导航到 WAN 链接,单击 + 链接 按钮为 Internet 链接添加 WAN 链接。输入名称,然后选择访问类型公共 Internet。单击添加

  2. 填充 Internet 链接详细信息,然后选中 自动检测公共 IP 地址 复选框。

  3. 从 “ 部分 ” 下拉列表中选择 “ 访问接口 ”,然后单击 + 以添加特定于 Internet 链接的接口详细信息。

  4. 输入互联网 WAN 虚拟 IP 地址和网关地址。对于少于两个以太网接口,不会检查代理 ARP 。

    PBR 分支机构网站互联网链接

    PBR 分支机构虚拟 IP 地址

创建 MPLS WAN 链接

  1. 导航到 WAN 链接 ,然后从 部分 下拉列表中选择 设置 。单击 + 链接 按钮为 MPLS 链接添加 WAN 链接。

  2. 输入 MPLS WAN Link 名称和其他详细信息。选择 访问类型 作为 专用 Intranet

    MPLS 基本设置

  3. 部分 下拉列表中选择 访问接口 ,然后单击 + 按钮以添加特定于 MPLS 链接的接口详细信息。

  4. 输入 MPLS 虚拟 IP 地址和网关地址。对于少于两个以太网接口,不会检查代理 ARP 。

    MPLS 访问接口

填充路线

路由是基于上述配置自动创建的。如果有更多特定于此远程分支机构的子网,则需要添加特定路由,以确定哪个网关将流量引导到达这些后端子网。

创建自动分析组

  1. 配置编辑器中,导航到 全局 > 自动分析组。单击 +

  2. 输入名称,然后单击 “ 应用”。

  3. 根据需要配置 Autopath 组,然后单击 应用

    自动路径组 PBR 模式

  4. 导航到 “ 连接” > “WAN 链接”。从 WAN 链接下拉列表中选择 Internet WAN 链 接,从 部分 下拉列表中选择 虚拟路径

  5. 选中 使用 复选框,然后从相应站点(数据中心和分支机构)的 Intranet WAN 链接的 Autopath Group 复选框中选择新创建的自动分析组。

    没有两个自动分析组可以标记为默认值。如果标记,将导致审计错误。

    自动分析组映射

为访问类型为 私有 Intranet的 WAN 链接手动添加虚拟路径后,虚拟路径将填充在 路径下。

完成上述所有步骤后,继续 准备 SD-WAN 设备包

解决审计错误

完成数据中心和分支站点的配置后,系统将提醒您解决 DC 和 BR 站点上的审计错误。解决审计错误(如果有)。

虚拟内联模式