路由

的路由节允许您配置多个路由选项，如路由策略、路由汇总、路由域、传输节点。

路由策略

路由策略有助于开启流量引导功能。根据选择(应用路由和IP路由)，您可以使用不同的方式来引导流量。

应用程序路径

在典型的企业网络中，分支机构访问本地数据中心、云数据中心或SaaS应用。应用程序路由特性，允许您轻松且经济高效地通过网络引导应用程序。例如，当分支站点上的用户试图访问SaaS应用程序时，可以对流量进行路由，以便分支机构可以直接访问internet上的SaaS应用程序，而不必先经过数据中心。

Citrix SD-WAN Orchestrator服务可以为以下服务定义应用路由:

• 互联网突破:该服务管理企业站点和公共Internet上站点之间的流量。Internet流量没有被封装。当发生拥塞时，Citrix SD-WAN Orchestrator服务通过限制相对于虚拟路径的Internet流量和Intranet流量来主动管理带宽。

• 内部网:此服务管理未定义为通过虚拟路径传输的企业Intranet流量。内网流量没有封装。SD-WAN在拥塞期间通过限制相对于其他服务类型的流量来管理带宽。在某些条件下，如果在Virtual Path上配置了Intranet Fallback，那么通常通过Virtual Path的流量可以被视为Intranet流量。

• 虚拟路径:该服务管理虚拟路径上的流量。虚拟路径是两条广域网链路之间的逻辑链路。它由一组WAN路径组合而成，在两个SD-WAN节点之间提供高服务级别的通信。SD-WAN设备以每个路径为基础测量网络，并适应不断变化的应用程序需求和WAN条件。虚拟路径可以是静态的(始终存在)，也可以是动态的(仅当两个SD-WAN设备之间的流量达到配置的阈值时才存在)。

• IPsec隧道:该服务管理以LAN IPsec隧道为目的地的IP流量，并与站点上配置的LAN IPsec隧道进行匹配。通过配置SD-WAN设备，可以终止LAN或WAN侧的IPsec隧道。

• GRE考试:该服务管理以GRE隧道为目的的IP流量，并与局点配置的LAN GRE隧道进行匹配。通过配置SD-WAN设备，可以终止局域网内的GRE隧道。对于服务类型为GRE隧道的路由，网关必须在本端GRE隧道的一个隧道子网内。

• Zscaler:Zscaler云安全平台在全球100多个数据中心提供一系列安全检查站。通过简单地将互联网流量重定向到Zscaler服务，您可以立即保护您的商店，分支机构和远程位置。

• 云直通服务:Cloud Direct服务将思杰SD-WAN功能作为云服务提供，无论主机环境(数据中心、云和互联网)如何，都可以可靠、安全地交付所有与互联网绑定的流量。

为了对应用程序执行服务指导，重要的是在第一个数据包本身上识别应用程序。最初，报文经过IP路由，一旦流量分类，并且知道了应用，就会使用相应的应用路由。首先通过学习应用对象关联的IP子网和端口实现报文分类。这些是使用DPI分类器的历史分类结果和用户配置的IP端口匹配类型获得的。

点击+申请路线创建应用路由。

• 应用程序和域匹配条件

  • 匹配类型:选择匹配类型为应用程序和域/自定义应用程序/应用程序组从下拉列表和匹配类别中。

  • 路由域:应用路由使用的路由域。选择一个已配置的路由域。

• 范围:您可以在全局级别或特定于站点和组的级别确定应用程序路由的范围。

• 交通转向

  • 送货服务:在下拉列表框中选择一种快递业务。这将应用程序映射到服务。

    • 互联网突破:将应用程序流量标识为Internet流量并与Internet服务匹配。

    • 内部网:将应用流量识别为内网流量，并根据内网规则匹配内网服务。在服务名称字段时，选择路由使用的内网服务。

    • 虚拟路径:将应用流量识别为虚拟路径流量，并根据虚拟路径规则匹配虚拟路径。在虚拟路径远端站点字段，输入“Virtual Path”报文指向的远端站点。

      请注意任何命中虚拟路径应用路由的流都不会经过动态虚拟路径。

    • IPsec隧道:标识出目的地址为LAN IPsec隧道的应用流量，并与局点配置的LAN IPsec隧道匹配。在服务名称字段，选择一条已配置的IPsec隧道。选择“基于隧道的资格”，使该路由在隧道不可达时不接收流量。

    • GRE考试:标识出目的地址为GRE隧道的应用流量，匹配局点配置的LAN GRE隧道。选择“基于网关的资格”，使该路由在网关不可达时不接收任何流量。

      请注意为自定义应用程序选择了服务后，不要更改它。

    • Zscaler:选择Zscaler服务来保护您的远程/分支位置。

    • 云直通服务:选择Cloud Direct service将Citrix SD-WAN功能作为云服务交付。

  • 成本:反映各路由的相对优先级。成本越低，优先级越高。

• 合格标准

  • 基于隧道的资格:选择站点和广域网链路。如果选择的路径断开，则应用程序路由不会接收任何流量。

如果添加了新的应用路由，则路由开销必须在以下范围内:

• 自定义应用程序: 1 - 20
• 应用程序:意向
• 应用程序组: 41-60

请注意:在当前版本中，不能操纵属于应用程序族、匹配应用程序对象中定义的类型的应用程序。

Office 365优化

Office 365优化功能遵循Microsoft Office 365网络连通性原则，对Office 365进行优化。Office 365通过位于全球的多个服务端点(前门)作为服务提供。

为了实现Office365流量的最佳用户体验，微软建议将Office365流量从分支环境直接重定向到Internet，并避免回退到中央代理等操作。这是因为Office 365的流量(如Outlook、Word)对延迟很敏感，而回传流量会带来更多的延迟，导致用户体验较差。Citrix SD-WAN允许您配置策略，将Office 365流量发送到Internet。有关更多信息，请参见Office 365优化．

IP路由

去IP路由选择并单击+ IP路由to IP路由策略，引导流量。

• IP协议匹配条件：

  • 目的地网络:添加帮助转发报文的目的网络。
  • 使用IP组:可以添加目的网络，也可以启用使用IP组复选框，在下拉列表框中选择IP组。
  • 路由域:在下拉列表框中选择路由域。

• 范围:您可以在全局级别或站点和组特定级别确定IP路由范围。

• 交通转向：
  • 送货服务:在下拉列表中选择一种快递业务。
  • 成本:反映各路由的相对优先级。成本越低，优先级越高。

  如果添加了一条新的IP路由，则路由开销必须在1-20之间。

• 合格标准：
  • 出口路线:如果出口路线选中复选框，如果路由是本地路由，则默认允许导出该路由。如果路由是基于INTRANET/INTERNET的路由，那么为了使导出工作，必须启用WAN到WAN转发。如果出口路线选中复选框，则该本地路由不允许导出到其他SD-WAN，具有本地意义。
• 基于路径的资格：
  • 添加路径:选择站点和广域网链路。如果添加的路径断开，则该IP路由不会收到任何流量。

点击验证配置验证任何审计错误。

路线总结

路由汇总减少了路由器必须维护的路由数量。摘要路由是用来表示多条路由的一条路由。它通过发送一条路由通告来节省带宽，从而减少路由器之间的链路数量。因为只维护了一个路由地址，所以可以节省内存。通过避免递归查找，可以更有效地使用CPU资源。您可以选择添加不指定网关IP地址的摘要路由。

路由域

路由域用于隔离VLAN流量。一旦创建了路由域，就可以在全局级别(对于Intranet服务)或接口级别引用它们。

您也可以选择适用于所有站点的默认路由域。

单击，匹配指定路由域的路由+路由域从下拉列表中选择已配置的路由域。点击保存．

点击验证配置验证任何审计错误。

有关更多信息，请参见路由域．

路由间域服务

Citrix SD-WAN Orchestrator服务提供静态跨路由域服务(Static Inter-Routing Domain service)，支持站点内路由域之间或不同站点之间的路由泄漏。这样就不需要边缘路由器来处理路由泄漏。vrf间路由服务还可以用于路由、防火墙策略和NAT规则的建立。

请注意

Citrix SD-WAN PE设备不对Inter-Routing Domain数据包执行WAN优化功能。

使用Citrix SD-WAN Orchestrator服务配置Inter-Routing Domain服务。

1. 在网络级别，导航到配置>路由>路由域>路由间域服务．

2. 点击+路由间域输入如下参数:

   • 名字:路由间域服务名称。
   • 路由域1:路由对的第一个路由域。
   • 路由域2:路由对中的第二个路由域。
   • 防火墙区:该服务所属的防火墙区域。
   • 默认的:Inter_Routing_Domain_Zone配置防火墙分区。
   • 没有一个:该服务就像一个导管，它没有Zone，只维护数据包的原始Zone。
   • 可能会选择网络中配置的所有zone。

   

3. 点击应用创建路由间域服务。创建的服务可用于创建路由、防火墙策略和NAT策略。

   请注意

   不能使用站点上未启用的路由域配置路由间域服务。

使用路由间域服务创建路由时，需要创建一条“服务类型”为“路由间域服务”的路由，并选择路由间域服务。有关配置路由的详细信息，请参见路由策略．

还可以添加来自另一个路由域对的路由，以建立两个路由域之间的来回连接。

还可以通过配置防火墙策略来控制路由域之间的流量。在防火墙策略中，源和目的服务选择“路由间域服务”，并选择相应的防火墙动作。有关配置防火墙策略的信息，请参见防火墙策略．

还可以选择“内网业务类型”配置静态NAT和动态NAT。有关配置NAT策略的更多信息，请参见网络地址转换．

用例:跨路由域共享资源

让我们考虑一个场景，在这个场景中，不同路由域的用户需要访问公共资产，比如打印机或网络存储。如图所示，一个分支RD1、RD2和Shared RD上有3个路由域。

允许RD1和RD2的用户访问共享RD中的资源。

1. 在RD1和Shared RD之间创建Inter- routing Domain服务，此处以Inter RD1为例。

2. 在RD2和Shared RD之间创建Inter- routing Domain服务，例如Inter RD2。

   

3. 从RD1和RD2配置到Shared RD的静态路由。在RD1中，为InterRD1添加一条路由172.168.2.0/24。

   

4. 在RD2中，为InterRD2添加一条172.168.2.0/24的路由。

   

5. 通过共享RD中的VIP为InterRD1添加动态NAT规则。启用“绑定响应器路由”，确保反向路由使用相同的业务类型。

   

6. 通过共享RD.nable绑定响应路由中的VIP为InterRD2添加动态NAT规则，确保反向路由使用相同的服务类型。

   

7. 使用过滤器限制共享RD中的哪些资源允许RD1/RD2中的用户访问。

监控

下，可以查看使用路由域间服务的连接的监控信息报告>实时>防火墙连接数．

引入路由配置文件

您可以配置Filters来调整路由学习的发生方式。

引入过滤规则是将动态路由引入到SD-WAN路由数据库之前必须满足的规则。缺省情况下，不引入路由。

添加一个导入过滤器配置文件与导入概要名称、概要可用性、而且进口过滤器同时填写以下字段:

• 协议—在列表中选择协议。
• 路由域—如果要匹配来自特定路由域的路由，请从列表中选择一个已配置的路由域。
• 源路由器—输入已配置的描述路由网络的网络对象的IP地址和子网掩码。
• 目的地IP—输入目的IP地址。
• 前缀—通过前缀匹配，从列表中选择匹配谓词，并在相邻字段中输入“路由前缀”。
• 下一跳—输入下一跳目的地址。
• 路线标记—填写路由标签。
• 成本-用于缩小导出路由选择范围的方法(谓词)和SD-WAN Route Cost。

点击验证配置验证任何审计错误。

导出路由配置文件

定义在动态路由协议上发布SD-WAN路由时必须满足的规则。缺省情况下，所有路由都发布给对等体。

点击验证配置验证任何审计错误。

交通节点

虚拟叠加传输节点

传输节点是能够在一个区域内的一个或多个分支之间转发流量的站点。

通过调整路由开销，可以影响两个节点之间的流量，选择中转节点作为中间跳。传输节点用于将数据路由到非相邻节点。例如，如果三个节点以A- b -C串联方式连接，则A到C的数据可以通过b路由。可以在Citrix SD-WAN Orchestrator服务中指定传输节点和通过该传输节点路由的站点。虚拟路径是按照开销的升序选择的。成本越低，优先级越高。

默认全局虚拟覆盖传输节点

您可以指定控制节点(MCN/RCN)和地理控制节点(Geo-MCN/RCN)作为网络中的默认全局虚拟覆盖传输节点。通过Hub启用spoke- to- spoke通信作为全局设置的一部分，允许所有站点在默认情况下使用配置的控制节点作为站点到站点通信的传输节点。

添加要用作虚拟覆盖传输节点的控制节点和地理控制节点，并指定虚拟路径代价。控制节点和地理控制节点的默认虚拟路径代价分别为6和7。您可以根据您的网络需求选择更改虚拟路径成本。点击恢复默认恢复默认传输节点的默认虚拟路径开销。

请注意

最多可添加3个控制节点和3个geo-control节点作为中转节点。

默认情况下，在与选定的控制和地理控制节点关联的所有路径上启用WAN-to-WAN转发。WAN-to-WAN转发允许一个站点充当两个相邻站点之间的中间跳点，用于任何站点到站点、internet或intranet流量，并充当动态虚拟路径的中介。

您可以覆盖全局传输节点设置，只在选定的控制传输节点上选择启用或禁用spoke-to-spoke转发。当辐对辐转发启用时，传输控制节点将在连接到它的站点之间导出路由。仅启用站点到站点通信和跨连接到传输节点的站点的动态虚拟路径。

启用路出口在所有站点路径上启用虚拟路径到虚拟路径转发和路由导出(WAN-to-WAN转发)。禁用切换按钮只启用虚拟路径到虚拟路径的转发，禁用所有站点路径的路由导出。只有在以下情况下，才能启用路由导出功能辐对辐转发启用。

虚拟覆盖传输节点的站点特定首选项

虚拟覆盖传输节点的站点特定首选项允许您覆盖网络中所有站点的全局虚拟覆盖传输节点设置。也可以选择非控制节点作为站点的主传输节点。选择一个控制节点或地理控制节点作为二级和三级传输节点。如果主传输节点故障，站点将使用备用传输节点。如果主中转节点和备用中转节点都宕机，站点使用三级中转节点。指定传输节点的成本，并选择应用特定于站点的虚拟覆盖传输节点设置的站点。

因特网传输节点

您可以将站点添加为Internet中转站，使站点可以通过Internet访问。需要直接互联网连接的网站，必须至少有一个链接与互联网服务启用。这意味着，至少有一个链路设置为非零带宽共享%。

每个过境点可以分配一个路线成本。有互联网服务的站点可以直接访问互联网，因为直连路由是成本最低的路由路径。没有internet服务的站点可以通过配置的中转站点路由到internet。当配置了internet中转站时，通过这些中转站到internet的路由将自动推送到所有站点。因特网中转站点是指开通因特网服务的站点。

例如，如果旧金山和纽约被配置为互联网中转站。经由旧金山和纽约通往互联网的路线会自动被推送到所有网站。

启用Internet服务的虚拟覆盖传输节点充当主Internet传输节点。如果虚拟覆盖传输节点上没有启用internet服务，则备用/备份internet传输节点将提供到internet的路由。

内网中转节点

内网中转节点使所有非内网站点都可以访问配置好的内网网络。每个过境点可以分配一个路线成本。由于直连路由是成本最低的路由路径，具有内部网业务的可用站点可以直接访问内部网。没有内网业务的站点可以通过配置的中转站路由到内网。配置中转站后，通过这些中转站到达内网的路由会自动推送到所有站点。例如10.2.1.0/24为内网网络，配置的传输站点为Austin和Dallas。通过奥斯汀和达拉斯到达该网络地址的路由会自动推送到所有站点。启用了内网服务的虚拟覆盖传输节点充当主内网传输节点。如果虚拟覆盖传输节点上没有启用内网业务，则备用/备用内网传输节点将提供到内网的路由。

边界网关协议

通过在下拉列表中选择需要配置的站点，单击，可以对站点进行BGP配置去．这将进入站点级BGP配置页面。有关配置BGP的详细信息，请参见边界网关协议．

OSPF

在下拉列表中选择局点，单击，可以配置局点的OSPF配置去．这将把您带到站点级OSPF配置页面。有关配置OSPF的详细信息，请参见OSPF．

多播组

在下拉列表中选择需要配置的站点，单击，可以为站点配置组播路由去．这将把您带到站点级多播组配置页面。有关配置组播路由的详细信息，请参见多播组．

VRRP

在下拉列表中选择需要配置VRRP的站点，单击去．这将带您进入站点级VRRP配置页面。有关配置组播路由的详细信息，请参见VRRP．