Citrix云和网关服务优化

与Citrix云和网关服务优化功能增强，您可以检测和路由指向Citrix云和网关服务的流量。您可以创建策略，将流量直接分配到internet，或者通过虚拟路径的回程路由发送。如果没有这个特性，当默认路由是虚拟路径时，网关服务会发夹返回客户的数据中心，然后再出去到Internet，增加了不必要的延迟。除此之外，您现在可以看到Citrix Gateway服务和Citrix Cloud流量，并可以创建QoS策略来将其优先级置于虚拟路径之上。

的Citrix云和网关服务中断该特性在Citrix SD-WAN软件版本11.2.1及以上版本中默认启用。

对于Citrix SD-WAN软件版本11.3.0以下，只在以下情况下进行Citrix云和网关服务流量的首包检测和分类Citrix云和网关服务中断功能未被禁用。

对于Citrix SD-WAN软件11.3.0及以上版本，对Citrix云和网关服务流量进行首包检测和分类，无论是否Citrix云和网关服务中断特性是否启用。

请注意

• 您只能通过Citrix SD-WAN Orchestrator服务配置Citrix Cloud和Gateway Service优化。

• Citrix SD-WAN Orchestrator流量优化是从Citrix SD-WAN软件11.2.3或更高版本引入的。我们的目标是提供更细粒度的分类，从而分别识别Citrix SD-WAN Orchestrator流量和来自Citrix Cloud的其他依赖服务的流量，并提供Internet断网选项。因此，客户现在可以选择只优化Citrix SD-WAN Orchestrator流量。

在选择Citrix云复选框,Citrix SD-WAN Orchestrator和相关的关键服务复选框已被预选。这允许所有Citrix云Web UI和API流量(包括Orchestrator和相关服务的流量)在防火墙中，并进行互联网中断。

另外，您可以选择只选择Citrix SD-WAN Orchestrator和相关的关键服务复选框并禁用其他通信流，以授予无缝地绕过防火墙的特权，只对Orchestrator相关的通信流进行处理。

Citrix云和网关服务类别

以下是用于分类和优化目的的流量分类:

• Citrix云:启用Citrix云Web UI和api的流量检测和路由功能。

  • Citrix SD-WAN Orchestrator和相关的关键服务:

    • Citrix SD-WAN协调器:支持在Citrix SD-WAN设备和Citrix SD-WAN Orchestrator之间建立和维护连接所需的心跳和其他流量的直接internet断连。

    • 思杰云下载服务:允许直接internet断网，以便将设备软件、配置、脚本和其他需求下载到Citrix SD-WAN设备上。

• Citrix网关服务:启用检测和路由流向Citrix网关服务的流量(控制和数据)。

  • 网关服务客户端数据:支持客户端与Citrix Gateway Service之间的ICA数据隧道直连断网。它需要高带宽和低延迟。

  • 网关业务服务器数据:支持VDAs与Citrix Gateway Service之间的ICA数据隧道直连断网。它需要高带宽和低延迟，并且只与VDA资源位置相关(VDA到Citrix网关服务连接)。

  • 网关业务控制流量:启用控制流量的直连断网。没有特定的QoS考虑。

  • 网关服务Web代理流量:启用Web代理流量直连断网。它需要很高的带宽，但对延迟的要求可能会有所不同。

先决条件

确保你具备以下条件:

1. 要执行Citrix Cloud和Gateway Service断网，必须在设备上配置一个Internet服务。有关配置Internet服务的更多信息，请参见互联网接入．

2. 确保管理接口与internet连接。如果没有连接专用管理口，请确保启用带内管理，并确保出方向的管理流量可以连接internet。

3. 您可以通过Citrix SD-WAN web界面配置管理接口。

4. 请确保已配置管理DNS。要配置管理接口DNS，请在站点级导航到配置>一体机设置>网络适配器．下DNS设置，提供主备DNS服务器的详细信息，单击保存．

思杰云和网关服务优化是如何工作的

1. Citrix SD-WAN设备使用云服务API下载应用程序签名列表。

2. 当Citrix Cloud and Gateway Service应用程序的请求到达时，应用程序将使用签名在第一个包上分类。

3. 一旦对Citrix Cloud和Gateway Service的流量进行了分类，自动创建的应用路由和防火墙策略将生效，并将流量直接分解到Internet上。

4. Citrix Cloud and Gateway Service默认使用Quad9转发DNS请求。

启用/不启用突破的流量

• 没有突破启用：

• 启用了突破：

如果您使用云安全栈(例如- Zscaler, Check Point, Palo Alto)来处理互联网流量，网关服务接收来自该安全栈的公共IP地址的数据包，而不是SD-WAN分支。这会使直接工作负载连接失效，因此，到云托管的SD-WAN的数据包将无法使用虚拟路径。有关更多信息，请参见直接工作负载的连接．

通过启用断接，网关服务可以直接接收来自SD-WAN分支的报文。动态虚拟路径出现在SD-WAN分支和云托管的SD-WAN之间，流量通过这两个站点之间的虚拟路径。有关启用动态虚拟路径的更多信息，请参见设置分支到分支通信的动态路径．

通过启用断接，建立和维护Citrix SD-WAN设备和Citrix SD-WAN Orchestrator之间的连接所需的流量将不再通过数据中心进行回溯。通过从Citrix SD-WAN设备所在的分支机构直接突破到internet，流量到达Citrix SD-WAN Orchestrator。

配置网关服务断接

Citrix云和网关服务中断策略允许您指定可以直接从SD-WAN分支中断的Citrix云和网关服务流量类别。

的Citrix云而且Citrix网关服务以下是可供选择的Citrix网关和Citrix云优化设置。

Citrix应用程序可以访问Citrix Cloud中的多个服务。有关详细信息,请参见系统及连通性要求．

在Citrix SD-WAN Orchestrator服务中，默认情况下每个网络都有Citrix Cloud和Gateway service路由。要导航，请转到网络配置>路由>路由策略>应用路由．

不能删除路由，但可以根据实际情况进行配置。的Citrix云和网关服务是默认启用。

Citrix云和网关服务的透明转发器

SD-WAN分支向Citrix云中断，网关服务从一个DNS请求开始。通过Citrix云和网关服务域的DNS请求必须在本地进行处理。如果启用了Citrix Cloud and Gateway Service Internet break out功能，则可以确定内部DNS路由。Citrix Cloud and Gateway Service DNS请求默认转发给开源DNS服务Quad 9。quad9 DNS服务是安全的，可扩展的，并具有多pop存在。您可以根据需要修改DNS服务。

若要在站点级添加DNS服务器，请导航到配置>高级设置> DNS．下站点对应的DNS服务器部分中,点击+ DNS服务器．

在每个启用了Internet服务和Citrix Cloud和Gateway Service断网的SD-WAN分支机构，都创建了Citrix Cloud和Gateway Service应用程序的透明转发器。

单击，可添加具体的DNS转发规则+应用特定DNS转发规则下NDS透明转发器部分。通过此配置，您可以选择更改Citrix云和网关服务应用程序的默认Quad9 DNS透明转发器。

• 应用程序中的Citrix Cloud和Gateway Service应用程序应用程序下拉列表。

• DNS服务器:选择您在下面创建的DNS服务器站点对应的DNS服务器下拉列表。

监控

您可以通过以下方式监控Citrix Cloud and Gateway Service的实时统计数据和使用报表:

• 实时统计

• 实时防火墙连接

• 使用

故障排除

连接错误已登录SDWAN_dpi.log文件。下载日志文件，请导航到处理>设备日志，选择对应的站点，选择日志文件，单击下载．

您也可以对设备告警进行验证。要验证，请导航到网络>警报．