参考架构:软件定义广域网
读者
Citrix SD-WAN本文档还重点介绍了利用SD-WAN协调器的Citrix SD-WAN解决方案以及可能涉及的网络安全考虑因素。
【翻译】:中文翻译:中文翻译:中文翻译:中文翻译:
Citrix SD-WANWANOP版,全英文,全英文。
思杰SD-WAN
Citrix SD-WAN可以在多种部署模式下进行部署,并提供将物理和虚拟设备集成到客户现有网络设计中的灵活性。http://www.citrix Tech Zone, http://www.citrix Tech Zone英文:sd-wan
- sd-wan
- sd-wan
- sd-wan
- 单一区域部署
- 多区域部署
- 高可用性
sd-wan
边缘模式(也称为网关模式)将SD-WAN设备置于路径中(双臂部署),并需要对现有网络基础结构进行更改,以插入SD-WAN设备作为该分支的整个LAN网络的默认网关。在边缘模式下部署的SD-WAN充当第3层设备,无法执行故障到线路,所有涉及的接口都将配置为“故障到阻止”。如果未在高可用性(HA)中部署设备出现故障,则站点的默认网关也将失败,从而导致该站点中断,直到设备恢复为止。
sd-wan
内联模式,在此模式下,设备似乎是以太网桥。大多数设备型号都包括用于串联模式的 “故障到线”(以太网旁路)功能。如果电源出现故障,继电器关闭,输入和输出端口与电气连接,从而允许以太网信号从一个端口传递到另一个端口,就好像设备不在那里一样。在故障到线模式下,设备看起来像连接两个端口的交叉电缆。
1/1, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2, 1/2接口 1/3 和 1/4 也是硬件旁路对,将无法将核心连接到边缘防火墙。
sd-wan
虚拟内联模式,在该模式下,路由器将WAN定向流量转发到Citrix SD-WAN设备,而设备将其返回到路由器。这种模式的干扰性最小,通常用于数据中心。
Citrix SD-WAN
思杰SD-WAN
在本文档中,我们将重点介绍具有30个分支机构的单一区域部署,以演示SD-WAN最适合客户现有网络的体系结构,并提供优势。单个区域的上下文指的是让所有分支节点直接在主控节点(m cn)上终止其虚拟路径,而不是有多个区域,当网络中的节点数高于一个单一的设备。Citrix SD-WAN编排器
Citrix SD-WAN协调器是一种云托管的多租户管理SaaS产品,Citrix合作伙伴,CSP和MSP可以利用这些产品向其客户提供托管SD-WAN服务。SD-WAN协调器提供了一个单一窗格的玻璃管理界面,用于集中管理多个客户,并具有合适的基于角色的访问控制。
下面是一些主要功能:
- 好吧:通过此服务,Citrix合作伙伴可以在板载界面中管理多个SD-WAN客户,并且可以使用单窗格玻璃和适用的基于角色的访问控制。
- 集中配置- sd-wan (sd-wan)
- 集中式许可- - - - - -
- 发放— 物理和虚拟设备的网络和连接无缝加入。
- 以应用为中心的策略-“QoS”,“QoS”,“QoS”。
- 运行状况的分层汇总— 能够集中监视网络的运行状况、使用情况、质量和性能,并能够向下钻取各个站点和相关连接。
- 故障排除——设备和审核日志,诊断实用程序(如萍,Traceroute,数据包捕获),以解决网络连接问题。
每个分支机构和直流站点都需要通过其管理界面建立互联网连接才能访问SD-WAN协调器。Citrix SD-WAN软件版本大家是SD-WAN协调器上支持的最低设备软件。
单一区域部署
一家成熟的零售客户XYZ与Citrix联系,提出了设计要求,即他们拥有30家零售分支机构,这些分支机构目前正在通过MPLS电路将所有数据备份到总公司,扩展这些电路已被视为不是一个可扩展的解决方案,而且是成本令人望而却步。在讨论过程中,已经决定大量分支生成的流量可以在本地分发,这包括基于云的SaaS以及与业务无关的流量,如社交媒体。
客户正在寻找指导,并决定社交媒体/非业务关键流量在某些地方将被完全阻止,因为带宽可用性有限,并且目前没有计划在不久的将来扩大站点容量。
结合上述要求,客户必须安全地隔离网络流量,同时提供客户wi - fi,同时保持其与企业流量的隔离,此外,内部生成的流量将通过路由域分割,以提供额外的层的安全性,以便POS与车间终端隔离。
客户还表示,由于预算和资源配置,他们目前无法在所有站点部署SD-WAN解决方案,因此需要利用现有MPLS电路和内联网服务建立连通性。
零售客户-现有网络体系结构
在进行任何SD-WAN配置之前,网络管理员始终需要正确了解现有(底层)网络,并充分了解需要SD-WAN解决方案的局限性。
客户目前拥有适用于业务应用的主数据中心和辅助数据中心,具有弹性网络。主数据中心在CE路由器端接两个MPLS电路(10 Mbps和20 Mbps),辅助数据中心端接一个MPLS电路(20 Mbps),用于广域网连接。在主数据中心发生灾难时,主数据中心将故障转移到辅助数据中心。
。MPLS是一种非常复杂的技术,它是一种非常复杂的技术。目前,有几个分支位置有两个MPLS链接用于冗余,但它们被配置为主动/被动,因此它们没有充分利用它们付费的带宽。所有分支用户都通过数据中心突破访问互联网,因此所有流量都必须经过超额订阅MPLS电路,为了解决这个问题,客户计划在几个分支机构引入本地互联网突破,以提供与互联网和云托管SaaS的直接连接。应用程序。
Citrix SD-WAN
- Citrix SD-WAN启用WAN链路聚合,从而消除了其中一个链路出现故障或发生大量数据包丢失时的停机时间
- QoS (QoS)
- MPLS、MPLS、MPLS、MPLS、MPLS、MPLS
- 改进了业务连接和灾难恢复功能,即使在多个链路故障时也能保持连接
- 这句话的意思是:“我的意思是,我的意思是,我的意思是。
-思杰SD-WAN
上图表示了建议的叠加网络设计结合Citrix SD-WAN,在下面的章节中,我们将深入到每个数据中心和分支机构,了解SD-WAN配置,以及它如何形成使用不同的访问类型的虚拟广域网连接mpls,互联网和4 g LTE /链接。
SD-WAN协调器
SD-WAN设备配置为使用设备的管理接口通过互联网连接基于云的SD-WAN协调器。SD-WAN协调器会将配置和软件并行分发到每个 SD-WAN 设备,它还会轮询来自每个 SD-WAN 设备的数据,以便进行监视和报告。要求应用防火墙规则,以允许 SD-WAN 设备访问 Internet,以便它们能够与 Citrix Cloud SD-WAN Orchestrator 服务进行通信。
主要数据中心配置
主数据中心的SD-WAN设备使用虚拟内联模式部署,该模式有时也称为基于策略的路由(PBR)模式。【中文译文
- 基于策略的路由
- 动态路由协议
Citrix SD-WAN
SD-WAN设备可以针对每个所需的动态路由协议(OSPF和边界网关协议)在现有客户网络中执行第3层路由公告的路由发现,这消除了SD-WAN管理员静态定义端局域网和广域网端网络的要求环境,用于作为SD-WAN网络一部分的每个设备。
对于已启用路由学习的网络,Citrix SD-WAN可以更好地控制哪些SD-WAN路由发布到路由邻居而不是公告所有或没有路线。导出筛选器用于包含或排除使用OSPF和边界网关协议协议基于特定匹配的播发路由标准。路由筛选是在SD-WAN网络(数据中心/分支)中的局域网路由上实现的,并通过eBGP公告到非SD-WAN网络。Sd-wan: 0、0、0、0、0、0、0、0、0导出筛选器是用于根据特定顺序确定特定路由域或默认路由域的优先级的筛选器。
- 众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员众议员
- http://www.cn.cn/cn.筛http://www.cn.cn/cn.cn/cn/y2017.html导出所有静态和隧道路由
默认情况下,导出OSPF路由类型为类型5外部,原因是SD-WAN路由表被认为是OSPF协议的外部,因此OSPF更喜欢内部学习的路由(区域内),因此由SD-WAN公告路由可能无法优先级。1 .执行ospf协议,执行ospf协议,执行ospf协议。SD-WAN现在可以将路由作为区域内路由(LSA类型1)进行公告以便使用OSPF路径选择算法根据其路由成本获得首选项。
主控制节点
中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:MCN。主控制节点(MCN) 是中央虚拟 WAN 设备,负责分支设备的时间同步、路由更新和集线器。头端设备通常部署在“高可用性”中。由于客户有两个用于灾难恢复的数据中心,因此主数据中心配置为主 MCN(可以是 HA 对),辅助数据中心配置为辅助 MCN(也可以是 HA 对)。
高可用性模式
Citrix SD-WAN高可用性(HA)配置在主数据中心有两个SD-WAN设备,它们在活动/备用伙伴关系中提供服务,出于冗余目的HA对中的两个设备必须是相同的设备型号。
要定义高可用性配置,SD-WAN管理员已将HA设备名称配置为主m cn模式,可以设置故障转移时间(以毫秒为单位),这可以指定在发生检测信号故障的情况下将备用m cn设备调用为活动节点之前的等待时间,故障转移时间的默认值为1000 ms。除了这些设置之外,管理员还为主m cn选择了主要回收选项,以便在故障转移事件后重新启动时回收控制。高可用性具有共享基础 MAC 地址的附加配置,可将其配置为在 HA 对中的设备之间共享接口 MAC 地址。如果发生故障转移,则辅助设备具有与发生故障的主设备相同的虚拟 MAC 地址。对于基于云的平台,还有一个用于禁用共享基础 MAC 地址的附加选项。
在高可用性IP接口配置中,管理员选择了虚拟接口,用于HA对中具有主IP地址和辅助IP地址的设备之间的检测信号通信。请注意,仅在受监视的接口从主接口到辅助接口的检测信号故障期间发生故障转移,如果SD-WAN设备上存在未监视检测信号故障的接口,且这些接口出现中断,则设备不会进行故障转移。
外部跟踪器IP地址配置为ARP上游路由器,并更新有关主设备状态的状态,如果响应中出现故障,SD-WAN将启动故障转移。
虚拟路径
SD-WAN管理员通过配置虚拟IP来表示每个广域网链接的终端节点,在数据中心和分支SD-WAN设备之间创建了广域网路径隧道。此配置允许将多个广域网链接(物理链接)聚合到单个虚拟路径中,允许数据包使用SD-WAN叠加网络而不是现有底层遍历WAN,虚拟路径是一个基于UDP端口4980的隧道。网络管理员确保上游防火墙,路由器,IPS和id设备具有必要的规则,允许UDP 4980数据包通过WAN链接建立SD-WAN设备之间的虚拟路径。
Sd-wan虚拟路径是连接 SD-WAN 站点的两个或多个 WAN 链接之间的逻辑链接。它是对不同的 WAN 访问类型进行分组,以提供高服务级别和 SD-WAN 节点之间的可靠通信。这是通过不断测量底层 WAN 路径条件来实现的。源(发送)设备向每个数据包添加一个标头,其中包含有关当前链接特性的信息。目标(接收)设备读取这些标头,并使用数据了解传输时间、拥塞、抖动、数据包丢失以及有关路径性能和运行状况的其他信息。
Sd-wan的英文:Sd-wan思杰SD-WAN、齐格SD-WAN、齐格SD-WAN。SD-WAN设备可以在仅缺少两个或三个数据包后检测路径中断,从而允许将应用程序流量无缝故障转移到次级最佳广域网路径。Sd-wan的英文:Sd-wan的英文:Sd-wan
虚拟路径在分支之间可以是静态的或动态的,但是所有分支都必须具有到m cn的静态路径,动态虚拟路径是根据配置的阈值在站点之间直接建立的。阈值基于这些站点之间发生的流量,只有在达到指定阈值后才会创建动态虚拟路径。动态虚拟路径的默认路由成本为 5,并且存在默认限制和定时器:
- 删除虚拟路径下降等待时间 — 1 分钟
- (m) - 10分
- 创建限制
- 采样时间 — 1 秒
- 600 KBPS
- 45pps
- 移除限制
- 采样时间-2 秒
- 45kbps
- 35pps
保护虚拟路径
董征、董征、董征、董征、董征、董征、董征等。这是虚拟路径默认启用的“启用加密密钥轮换“选项设置为确保在启用椭圆曲线Diffie加密的情况下为每个虚拟路径重新生成密钥赫尔曼密钥交换间隔10 - 15分钟,这是可配置的。
每个站点都有一个私有密钥;对于每个虚拟路径,网络配置通过组合虚拟路径各端站点的私有密钥来生成一个密钥。首次设置虚拟路径后发生的初始密钥交换取决于使用该组合密钥加密和解密数据包的能力。
Citrix SD-WAN支持IPsec,使第三方设备能够终止Citrix SD-WAN设备的局域网或广域网端上的IPsec VPN通道。管理员可以使用140 - 2一级FIPS认证的IPsec加密二进制文件保护在SD-WAN设备上终止的站点到站点IPsec隧道。SD-WAN
二级数据中心配置
辅助数据中心的SD-WAN设备也部署在虚拟内联(PBR)模式下,辅助数据中心SD-WAN设备在并行HA配置中配置为辅助m cn。
【中文翻译
辅助m cn连续监视主m cn的运行状况,如果主m cn发生故障,则辅助m cn代表m cn的角色,主m cn到辅助m cn切换会在主m cn处于非活动状态15秒后发生。中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:中文:
MCN
术语“回”程表示发往互联网的流量将发送回另一个预定义的站点,该站点可以通过WAN链接访问互联网。对于出于安全考虑或基本网络限制而不允许在分支机构直接访问互联网的网络,可能会出现这种情况。网络管理员可以配置所有流量都回传到m cn,无论是用于直流资源还是互联网访问,但是,可以利用其他Citrix SD-WAN分支节点站点访问互联网。
对于某些环境,通过数据中心强化的DMZ对所有远程站点互联网流量进行备份可能是为分支机构用户提供互联网访问的最理想方法。“”“”“”“”“”“”“”
- 互联网流量的回传增加了互联网连接的延迟,并且根据数据中心分支站点的距离而变化
- 英文翻译:英文翻译:英文翻译
- 互联网流量的回传可能会超额订阅数据中心的互联网WAN链接,特别是在利用虚拟内联模式的情况下。
思杰虚拟应用和桌面软件
Citrix虚拟应用程序和桌面环境托管在数据中心位置,供需要通过MPLS网络访问CVAD环境的所有分支用户使用,该网络包括所有Citrix HDX用户体验功能,如打印,多媒体等。Citrix SD-WAN允许客户在访问Citrix虚拟应用程序和桌面环境时为分支用户提供最佳用户体验。
分支-1 配置
添加分支站点的过程与使用SD-WAN协调器创建和配置m cn站点相同,但是,某些配置步骤和设置对于分支站点确实略有不同。此外,一旦我们添加了初始分支站点,对于具有相同设备型号的站点,我们可以使用克隆(重复)功能来简化添加和配置这些站点的过程。
【中文译文】故障到线配置已应用于在硬件或软件故障时桥接链路,使用户仍然能够通过MPLS访问关键业务和POS应用程序。
由于分支1只有一个MPLS链接,并且没有互联网链接,因此所有的互联网流量必须回传到数据中心,客户决定利用分支2中提供的互联网链接,为分支1互联网接入提供足够的带宽。SD-WAN管理员已经验证,到达分支2的延迟小于数据中心,因此在分支2上利用互联网将为分支1用户提供最佳性能。此要求是通过发夹部署实现的。sd-wan, sd-wan, sd-wan, sd-wan, sd-wan, sd-wan, sd-wan, sd-wan
发夹部署
发夹部署可帮助客户实施允许站点使用远程中心站点的WAN链接访问互联网的配置,因为本地互联网服务不可用。
互联网通讯软件、通讯软件、通讯软件等。客户将能够在需要时使用远程站点进行互联网接入,并且可以通过虚拟路径路由流量。
为了达到预期的要求,客户创建并应用了分支1 SD-WAN设备的发夹部署配置,以便为1用户可以通过分公司二访问互联网,并使用SD-WAN协调器将相同的策略和配置传播到分支机构。客户还确保分支-2 在互联网链接上具有所需的带宽量,以容纳来自分支-1 的额外流量。
(dpi)
Citrix SD-WAN具有集成的深度数据包检查(DPI)库,可实现应用程序的实时发现和分类。Sd-wan、Sd-wan、Sd-wan、Sd-wan、Sd-wan、Sd-wan。
使用基于DPI的应用程序可见性,Citrix SD-WAN可以检测4500多个应用程序和子应用程序。此功能采用各种模式匹配,会话行为,DNS缓存和基于端口的分类技术,提供对遍历WAN的所有应用程序(包括HTTPS, imap等SSL加密流量)的实时第7层可见性。Citrix SD-WAN不仅提供了社交媒体(Facebook, YouTube和Twitter), O365, Oracle等应用程序的可见性,而且还提供了应用程序带宽消耗的可见性,帮助确保业务关键型应用程序不会缺乏带宽。
由于分支-1 用户被回传到分支-2,以便通过互联网链接访问应用程序,客户决定监视应用程序级别访问及其带宽利用率,以了解访问模式并控制仅针对业务需求应用程序的访问。客户创建了应用程序策略,以阻止新创建的名为“社交媒体”的应用程序组,该应用组包括Facebook, YouTube, Twitter等。
有了这种配置,分1支用户只能访问互联网的业务关键型应用程序,并且在分支1 SD-WAN本身阻止了非业务相关的访问,从而节省了宝贵的带宽。
路由域
Citrix SD-WAN提供了通过使用虚拟路由和转发(VRF-Lite)对网络进行分段以实现更高的安全性和可管理性的功能。客户可以将来宾网络流量与员工生产流量分离开来,创建不同的路由域来分割大型企业网络,并将流量分割到支持多个客户网络。【翻译】:叠IP
Citrix SD-WAN设备为路由域实施OSPF和东方路由协议,以控制和分割网络流量。无论访问点的定义如何,虚拟路径都可以使用所有路由域进行通信。这是可能的,因为SD-WAN封装包含每个数据包的路由域信息,因此两个最终设备都知道数据包在路由域中所属的位置。路由域由诸如VLAN之类的障碍隔开,最多可以配置255个路由域。
根据要求,管理员为分支1创建了两个路由域,这两个路由域将分别用于企业流量和来宾wi - fi访问,Citrix虚拟应用程序和桌面流量将使用虚拟路径路由到数据中心,并使用发夹将来宾wi - fi访问路由到分支2配置。
除了路由域外,客户还希望在虚拟路径上为业务关键型应用程序应用程序应用更高的优先级。QoS、QoS、QoS、QoS、QoS、QoS、QoS、QoS。
qos
Citrix SD-WAN它拥有最广泛的功能,不仅可以评估应用流量并将其与其他应用程序的优先级,还可以了解其在WAN网络质量方面的需求,并根据网络质量特征实时选择网络路径。
应用程序分类功能使Citrix SD-WAN设备能够分析传入流量,并将其分类为属于应用程序或应用程序系列。QoS, QoS, QoS, QoS
网络管理员可以根据应用程序、应用程序系列或应用程序对象匹配类型筛选流量,并对其应用应用程序规则。“”“”“”“”“”“”“”
思杰(Citrix) SD-WAN。使用类,管理员可以对虚拟路径上的特定类型的流量进行分类,然后应用规则来处理此流量。按照规则中的定义,将流量分配给特定类。
Sd-wan(0-16)。类0 - 3是针对Citrix HDX QoS优先级预定义的,这些类用于使用不同ICA优先级标签对HDX流量进行分类。Sd-wan。
类 10-16 是预定义的,并与实时类、交互式类和批量类类型相关联。每种类型都可以进一步配置,以便针对其流量类型优化服务质量。类 4-9 可用于指定用户定义的类。类是以下三种类型之一:
实时——网络电话或VoIP类型的应用程序,例如Skype为业务或ICA音频。(1)、(2)、(2)、(2)、(2)、(2)、(2)、(3)、(3)、(3)、(3)。
交互式— 这是最广泛的类别,是指具有高度用户交互的任何应用程序。其中一些应用程序(例如视频会议)对延迟敏感,需要高带宽。HTTPS: http://www.chinesechinac.cn/cn/10.html交互式应用程序通常是事务性的。
散装- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
为了实现客户对从分支机构到数据中心的HDX访问优先级的实际要求,SD-WAN管理员为所有分支机构创建了Citrix HDX访问的QoS规则,并通过SD-WAN协调器将该策略应用到分支机构。客户已应用置备设置,允许在与该广域网链接关联的各种服务之间为广域网链接分配带宽的双向(局域网到广域网/ WAN到LAN)。
分支-2 配置
分公司二上的SD-WAN设备部署在MPLS和互联网电路上,它部署在被称为具有高可用性的内联模式下——这意味着现有的路由设备/防火墙保持原位。
客户已安装210台LTE设备,引入4 g LTE互/联网连接,为本分行现有的互联网连接提供备份。使用深度数据包检测功能,需要互联网访问的业务应用程序和SaaS应用程序必须在本地分支机构中断,并且必须通过专用互联网链接或4 g LTE /链接路由流量。所有的社交媒体访问都需要在分支机构中断,并通过互联网链接进行路由。
SD-WAN管理员使用本地网络分组服务配置了应用程序策略,以便通过分支的本地网络链接转移流量。互联网使用此突破服务时,互联网流量从分支2直接发送到公共互联网,而不是回传到数据中心。
本地互联网分组服务
互联网服务用于站点和公共互联网之间的流量,互联网服务流量不被Citrix SD-WAN封装,并且不具有与通过虚拟路径服务(包括QoS)传输的流量相同的功能。
然而,重要的是要对此互联网流量进行分类和考虑,被识别为互联网服务的流量使SD-WAN能够通过相对于通过虚拟路径和内部网传输的流量的速率限制来主动管理WAN链路带宽。服务根据管理员建立的配置。除了带宽配置功能外,SD-WAN还具有利用多个互联网WAN链接来平衡通过互联网服务传输的流量的额外功能。
可以在以下部署模式下配置使用Citrix SD-WAN上互联网服务的网络流量控制:
- 带集成防火墙的分支机构直接互联网突破
- 安全Web网关
Zscaler的翻译是
为了保护流量和执行策略,企业回程分支互联网将流量定向企业数据中心。http://www.jinjinjinjinjinjinjinjinjinjinjinjinjinjinjin.com,筛。MPLS、MPLS、MPLS、MPLS、MPLS、MPLS、MPLS、MPLS。它还会导致显著延迟,从而在分支站点造成较差的用户体验。
另一种替代方法是在分支机构添加安全设备。但是,成本和复杂性会随着多台设备的安装而增加。此外,如果有大量的分支机构的成本和管理变得不切实际。
在不增加成本,复杂性或延迟的情况下强化安全性的理想解决方案是将所有分支网络流量从Citrix SD-WAN设备路由到Zscaler云安全平台。“”“”“”“”。无论用户位于数据中心还是分支站点,都会一致地应用这些策略。“”“”“”“”“”“”“”“”
Zscaler的翻译结果:只需将客户的互联网流量重定向到Zscaler,他们就可以立即保护数据存储,分支机构和远程位置的安全。2 .中文:1 .中文:Citrix SD-WAN设备可以通过客户站点的GRE隧道或IPsec隧道连接到Zscaler云网络。
为了实现互联网服务的突破和保护互联网流量,管理员在分支机构2 SD-WAN设备上配置了本地互联网分组服务,并创建了一个通往Zscaler云网络的IPsec隧道。通过这种配置,客户能够在安全的隧道中将互联网流量从分支2转移到Zscaler,然后转移到公共互联网。mpls、mpls、mpls、mpls、mpls、mpls。
分支 3 配置
分支-3 SD-WAN。4 / lte、g / lte、g / g、g / g、g / g、g / g、g / g。【中文译文】客户决定通过本地互联网链接转移为数不多的互联网流量领域,如新闻,SaaS和其他云服务访问,以便为用户提供不间断和最佳的访问。
应用程序路由
分支机构用户需要使用SD-WAN虚拟路径访问托管在主数据中心或辅助数据中心,云应用程序或SaaS应用程序。应用路由功能允许通过网络轻松、经济高效地引导应用。当Branch-3用户尝试访问SaaS应用程序时,使用此功能,可以直接在互联网上路由流量,而无需先通过数据中心。
Citrix SD-WAN定义了虚拟路径,互联网,内部网,本地,GRE隧道和局域网IPsec隧道的应用程序路由。要执行应用程序的服务指导,必须在第一个数据包本身上识别应用程序。(英文),(英文),(英文),(英文),(英文),(英文),(英文)英文释义:英文释义:英文释义:“”“”“”“”“”“”
中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:中文名称:客户已将Azure, AWS和谷歌云访问权限配置为通过本地互联网链接访问的应用程序路由。
这是一个很好的例子
Citrix SD-WAN启用备用链接,可以对其进行配置,使用户流量仅在禁用所有其他可用WAN链接时在特定互联网WAN链接上载输。
备用链接可节省根据使用情况计费的链接的带宽。使用备用链接,管理员可以将这些链接配置为最后手段链接,从而禁止使用该链接,直到所有其他未按计费的链接关闭或降级。
当有三个湾链接到一个站点(即MPLS,宽带互联网,4 g / LTE)并且其中一个WAN链接是4 g LTE /时,通常会启用“设置最后措施”,并且对于企业来说,除非有必要,否则无法允许使用。默认情况下不启用计量,可以在任何访问类型的WAN链接(公共互联网/专用MPLS /专用内部网)上启用计量。
客户还需要为本地互联网链接启用备份/待机,这对云互联网流量至关重要。管理员已启用4 g lte链接作为按计费的最后手段链接,以便如果专用本地互联网链接饱和或失败,互联网流量也将使用4 g lte链接。
分支 29 配置
Branch-29上的SD-WAN设备使用带并行HA配置的内联模式部署,以连接2 x MPLS链路和一个4 g lte链路,后者在SD-WAN端接入互联网。由于我们为这个分支有3个广域网链接,客户希望将互联网和局域网流量的虚拟路径分离开来。互联网流量应始终使用其中一个MPLS链路,如果发生故障,应使用4 g lte链路,对于内联网非SD-WAN分支流量,则需要使用第二个MPLS链路。客户还确保他们在所有分支机构中配置了内部网服务,以便与非SD-WAN分支机构进行通信。
内联网服务
内部网服务表示可通过专用WAN链接(P2P, MPLS VPN等)到分30支(MPLS网络上没有SD-WAN设备)访问的路由。中文:http://www.tingclass.cn/tingclass.cn/tingclass.cn/tingclass.cn/cn/默认情况下不启用内部网服务,因此SD-WAN管理员已启用此服务并应用了路由。匹配此路由(子网)的任何流量都被分类为此设备的内部网,以便传递到没有SD-WAN解决方案的站点。
互联网服务
互联网服务类似于内部网,但用于定义流向公共互联网WAN链接而不是专用WAN链接的流量。一个独特的区别是,互联网服务可以与多个广域网链接关联,并设置为负载平衡(每个流)或处于活动/备份。启用互联网服务时创建默认互联网路由(默认情况下处于关闭状态)。匹配此路由(子网)的任何流量都被归类为此设备的互联网,以便传输到公共互联网资源。
内联网和互联网路由
对于内部网和互联网服务类型,SD-WAN管理员必须定义SD-WAN链接以支持这些类型的服务。这是这些服务中任何一种定义路由的先决条件。桌面云、桌面云、桌面云、桌面云、桌面云。内部网、互联网
内部网、网际网路
- 【中文翻译】:每周一次,每周一次。
- [au:
- 内联网路由可以通过虚拟路径学习,但成本更高
- 使用互联网服务,会自动创建一个默认路由(0.0.0.0/0)捕获成本5的所有路由,并且它是可配置的
- 不要假设直通将起作用,这应该被测试/验证,也可以使用虚拟路径下降/禁用来验证所需的行为
- 路由表是静态的,除非启用了路由学习功能
根据要求,SD-WAN管理员创建了内联网服务,其中包含MPLS链接之一,用于建立与分支-30年的通信。为了满足互联网服务的要求,管理员已经创建了带有第二个MPLS链接的虚拟路径,以便与所有其他分支机构进行通信。
分支 30 配置
分支30是一个新的分支,通过MPLS网络连接到数据中心和其他分支机构,没有在分支机构安装SD-WAN。中文:内部网,内部网。匹配此路由的任何流量都被分类为内部网,并传递到没有SD-WAN解决方案的分30支。“”,“”,“”,“”,“”,“”
来源
此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们想为您提供源图,您可以在自己的详细设计和实施指南中进行调整:源图。