参考架构:软件定义广域网
读者
本文档讨论了单个区域环境中 Citrix SD-WAN 的框架、设计和体系结构。本文档还重点介绍了利用 SD-WAN Orchestrator 的 Citrix SD-WAN 解决方案以及可能涉及的网络安全考虑因素。
本文档面向 IT 决策者、网络管理员、解决方案集成商、合作伙伴、云服务提供商和托管服务提供商。
本文中讨论的主题适用于 Citrix SD-WAN 的标准版和高级版。讨论的主题不适用于 WANOP Edition,该版本具有不同的功能和功能。
Citrix SD-WAN 体系结构
Citrix SD-WAN 可以在多种部署模式下进行部署,并提供将物理和虚拟设备集成到客户现有网络设计中的灵活性。有关 SD-WAN 概述,请参阅 Citrix Tech Zone 链接。以下是使用 SD-WAN 设备实现的一些用例方案。
- 边缘模式下的 SD-WAN
- 虚拟内联模式下的 SD-WAN
- 内联模式下的 SD-WAN
- 单一区域部署
- 多区域部署
- 高可用性
边缘模式下的 SD-WAN
边缘模式(也称为 Gateway 模式)将 SD-WAN 设备置于路径中(双臂部署),并需要对现有网络基础结构进行更改,以插入 SD-WAN 设备作为该分支的整个 LAN 网络的默认网关。在边缘模式下部署的 SD-WAN 充当第 3 层设备,无法执行故障到线路,所有涉及的接口都将配置为 “故障到阻止”。如果未在高可用性 (HA) 中部署设备出现故障,则站点的默认 Gateway 也将失败,从而导致该站点中断,直到设备恢复为止。
内联模式下的 SD-WAN
内联模式,在此模式下,设备似乎是以太网桥。大多数设备型号都包括用于串联模式的 “故障到线”(以太网旁路)功能。如果电源出现故障,继电器关闭,输入和输出端口与电气连接,从而允许以太网信号从一个端口传递到另一个端口,就好像设备不在那里一样。在故障到线模式下,设备看起来像连接两个端口的交叉电缆。
在下图中,接口 1/1 和 1/2 是硬件旁路对,将无法连接核心到边缘 MPLS 路由器。接口 1/3 和 1/4 也是硬件旁路对,将无法将核心连接到边缘防火墙。
虚拟内联模式下的 SD-WAN
虚拟内联模式,在该模式下,路由器将 WAN 定向流量转发到 Citrix SD-WAN 设备,而设备将其返回到路由器。这种模式的干扰性最小,通常用于数据中心。
高级示例 Citrix SD-WAN 体系结构
Citrix SD-WAN 用例是焦点
在本文档中,我们将重点介绍具有 30 个分支机构的单一区域部署,以演示 SD-WAN 最适合客户现有网络的体系结构,并提供优势。单个区域的上下文指的是让所有分支节点直接在主控节点 (MCN) 上终止其虚拟 路径,而不是有多个区域,当网络中的节点数高于一个单一的设备。 Citrix SD-WAN Orchestrator
Citrix SD-WAN Orchestrator 是一种云托管的多租户管理 SaaS 产品,Citrix 合作伙伴、CSP 和 MSP 可以利用这些产品向其客户提供托管 SD-WAN 服务。SD-WAN Orchestrator 提供了一个单一窗格的玻璃管理界面,用于集中管理多个客户,并具有合适的基于角色的访问控制。
下面是一些主要功能:
- 多租户和 RBAC:通过此服务,Citrix 合作伙伴可以在板载界面中管理多个 SD-WAN 客户,并且可以使用单窗格玻璃和适用的基于角色的访问控制。
- 集中配置— SD-WAN 网络的集中配置,具有引导式工作流程、视觉辅助设备和配置文件。
- 集中式许可-任何连接的 SD-WAN 设备的许可。
- 零触摸 Provisioning— 物理和虚拟设备的网络和连接无缝加入。
- 以应用为中心的策略— 基于应用程序的流量指导、服务质量 (QoS) 和防火墙策略,可在全局或每个站点进行配置。
- 运行状况的分层汇总— 能够集中监视网络的运行状况、使用情况、质量和性能,并能够向下钻取各个站点和相关连接。
- 故障排除-设备和审核日志、诊断实用程序(如 Ping、Traceroute、数据包捕获),以解决网络连接问题。
每个分支机构和 DC 站点都需要通过其管理界面建立互联网连接才能访问 SD-WAN Orchestrator。Citrix SD-WAN 软件版本 10.1.1 是 SD-WAN Orchestrator 上支持的最低设备软件。
单一区域部署
一家成熟的零售客户 XYZ 与 Citrix 联系,提出了设计要求,即他们拥有 30 家零售分支机构,这些分支机构目前正在通过 MPLS 电路将所有数据备份到总公司-扩展这些电路已被视为不是一个可扩展的解决方案,而且是成本令人望而却步. 在讨论过程中,已经决定大量分支生成的流量可以在本地分发,这包括基于云的 SaaS 以及与业务无关的流量,如社交媒体。
客户正在寻找指导,并决定社交媒体/非业务关键流量在某些地方将被完全阻止,因为带宽可用性有限,并且目前没有计划在不久的将来扩大站点容量。
结合上述要求,客户必须安全地隔离网络流量,同时提供客户 Wi-Fi,同时保持其与企业流量的隔离,此外,内部生成的流量将通过路由域分割,以提供额外的层的安全性,以便 POS 与车间终端隔离。
客户还表示,由于预算和资源配置,他们目前无法在所有站点部署 SD-WAN 解决方案,因此需要利用现有 MPLS 电路和内联网服务建立连通性。
零售客户-现有网络体系结构
在进行任何 SD-WAN 配置之前,网络管理员始终需要正确了解现有(底层)网络,并充分了解需要 SD-WAN 解决方案的局限性。
客户目前拥有适用于业务应用的主数据中心和辅助数据中心,具有弹性网络。主数据中心在 CE 路由器端接两个 MPLS 电路(10 Mbps 和 20 Mbps),辅助数据中心端接一个 MPLS 电路(20 Mbps),用于广域网连接。在主数据中心发生灾难时,主数据中心将故障转移到辅助数据中心。
销售点 (POS) 和其他业务关键型应用程序托管在数据中心内。所有分支机构位置都配置为通过 MPLS 链接到数据中心访问 POS 和其他业务应用程序。目前,有几个分支位置有两个 MPLS 链接用于冗余,但它们被配置为主动/被动,因此它们没有充分利用它们付费的带宽。所有分支用户都通过数据中心突破访问互联网,因此所有流量都必须经过超额订阅 MPLS 电路,为了解决这个问题,客户计划在几个分支机构引入本地互联网突破,以提供与互联网和云托管 SaaS 的直接连接。应用程序。
实施 Citrix SD-WAN 的好处
- Citrix SD-WAN 启用 WAN 链路聚合,从而消除了其中一个链路出现故障或发生大量数据包丢失时的停机时间
- 为所有分支用户在访问业务应用程序时提高了应用程序性能和服务质量 (QoS)
- 通过允许客户在分支机构位置使用低价宽带和 LTE 连接来增强 MPLS 电路,降低广域网成本
- 改进了业务连接和灾难恢复功能,即使在多个链路故障时也能保持连接
- 通过将网络功能整合到集成 WAN 边缘设备中并集中管理和策略定义来简化分支网络
零售客户 – Citrix SD-WAN 网络设计
上图表示了建议的叠加网络设计结合 Citrix SD-WAN, 在下面的章节中,我们将深入到每个数据中心和分支机构,了解 SD-WAN 配置,以及它如何形成使用不同的访问类型的虚拟 WAN 连接-MPLS, Internet 和 4G/LTE 链接。
SD-WAN Orchestrator
SD-WAN 设备配置为使用设备的管理接口通过 Internet 连接基于云的 SD-WAN Orchestrator。SD-WAN Orchestrator 会将配置和软件并行分发到每个 SD-WAN 设备,它还会轮询来自每个 SD-WAN 设备的数据,以便进行监视和报告。要求应用防火墙规则,以允许 SD-WAN 设备访问 Internet,以便它们能够与 Citrix Cloud SD-WAN Orchestrator 服务进行通信。
主要数据中心配置
主数据中心的 SD-WAN 设备使用虚拟内联模式部署,该模式有时也称为基于策略的路由 (PBR) 模式。可通过两种方法将流量路由到 SDWAN 设备
- 基于策略的路由
- 动态路由协议
Citrix SD-WAN 解决方案支持静态路由和动态路由协议。
SD-WAN 设备可以针对每个所需的动态路由协议(OSPF 和 BGP)在现有客户网络中执行第 3 层路由公告的路由发现,这消除了 SD-WAN 管理员静态定义 LAN 端和 WAN 端网络的要求 环境,用于作为 SD-WAN 网络一部分的每个设备。
对于 已启 用路由 学习的 网络,Citrix SD-WAN 可以 更好地控制哪些 SD-WAN 路 由发 布到 路由邻居 而不是公告 所有 或 没有 路线。导出 筛选器 用于包含 或 排除 使用 OSPF 和 BGP 协议基于 特定 匹配的 播 发路由 标准。路由筛选是在 SD-WAN 网络(数据中心/分支)中的 LAN 路由上实现的,并通过 eBGP 公告到非 SD-WAN 网络。SD-WAN 管理员可以根据要求配置 32 个导出筛选器。导出筛选器是用于根据特定顺序确定特定路由域或默认路由域的优先级的筛选器。
- 导入筛选器 -(默认值:import none)
- 导出筛选器-(默认值:export all static and tunnel routes)
默认情况下,导出 OSPF 路由类型为类型 5 外部,原因是 SD-WAN 路由表被认为是 OSPF 协议的外部,因此 OSPF 更喜欢内部学习的路由(区域内),因此由 SD-WAN 公告路由可能无法优先级。当 OSPF 在广域网(即 MPLS 网络)中使用时,可以将其更改为区域内类型 1。SD-WAN 现在可以将路由作为区域内路由(LSA 类型 1)进行公告以便使用 OSPF 路径选择算法根据其路由成本获得首选项。
主控制节点
在单个区域部署的上下文中心设备是设置为 MCN(主控制节点)的前端设备。MCN 需要配置静态 IP 地址。主控制节点 (MCN) 是中央虚拟 WAN 设备,负责分支设备的时间同步、路由更新和集线器。头端设备通常部署在“高可用性”中。由于客户有两个用于灾难恢复的数据中心,因此主数据中心配置为主 MCN(可以是 HA 对),辅助数据中心配置为辅助 MCN(也可以是 HA 对)。
高可用性模式
Citrix SD-WAN 高可用性 (HA) 配置在主数据中心有两个 SD-WAN 设备,它们在活动/备用伙伴关系中提供服务,出于冗余目的-HA 对中的两个设备必须是相同的设备型号。
要定义高可用性配置,SD-WAN 管理员已将 HA 设备名称配置为主 MCN 模式。可以设置故障转移时间(以毫秒为单位),这可以指定在发生 检测信号故障的情况下将备用 MCN 设备调用为活动节点之前的等待时间-故障转移时间的默认值为 1000ms。除了这些设置之外,管理员还为主 MCN 选择了主要回收选项,以便在故障转移事件后重新启动时回收控制。高可用性具有共享基础 MAC 地址的附加配置,可将其配置为在 HA 对中的设备之间共享接口 MAC 地址。如果发生故障转移,则辅助设备具有与发生故障的主设备相同的虚拟 MAC 地址。对于基于云的平台,还有一个用于禁用共享基础 MAC 地址的附加选项。
在高可用性 IP 接口配置中,管理员选择了虚拟接口,用于 HA 对中具有主 IP 地址和辅助 IP 地址的设备之间的检测信号通信。请注意,仅在受监视的接口从主接口到辅助接口的检测信号故障期间发生故障转移,如果 SD-WAN 设备上存在未监视检测信号故障的接口,且这些接口出现中断,则设备不会进行故障转移。
外部跟踪器 IP 地址配置为 ARP 上游路由器,并更新有关主设备状态的状态,如果响应中出现故障,SD-WAN 将启动故障转移。
虚拟路径
SD-WAN 管理员通过配置虚拟 IP 来表示每个 WAN 链接的终端节点,在数据中心和分支 SD-WAN 设备之间创建了 WAN 路径隧道。此配置允许将多个 WAN 链接(物理链接)聚合到单个虚拟路径中,允许数据包使用 SD-WAN 叠加网络而不是现有底层遍历 WAN,虚拟路径是一个基于 UDP 端口 4980 的隧道。网络管理员确保上游防火墙、路由器、IPS 和 IDS 设备具有必要的规则,允许 UDP 4980 数据包通过 WAN 链接建立 SD-WAN 设备之间的虚拟路径。
SD-WAN 虚拟路径服务管理跨虚拟路径的流量。虚拟路径是连接 SD-WAN 站点的两个或多个 WAN 链接之间的逻辑链接。它是对不同的 WAN 访问类型进行分组,以提供高服务级别和 SD-WAN 节点之间的可靠通信。这是通过不断测量底层 WAN 路径条件来实现的。源(发送)设备向每个数据包添加一个标头,其中包含有关当前链接特性的信息。目标(接收)设备读取这些标头,并使用数据了解传输时间、拥塞、抖动、数据包丢失以及有关路径性能和运行状况的其他信息。
SD-WAN 设备以单向方式测量路径,并根据每个数据包选择最佳路径。Citrix SD-WAN 提供基于数据包的路径选择,可快速适应任何网络更改。SD-WAN 设备可以在仅缺少两个或三个数据包后检测路径中断,从而允许将应用程序流量无缝故障转移到次级最佳 WAN 路径。SD-WAN 设备在大约 50 毫秒内重新计算每个 WAN 链接状态。
虚拟路径在分支之间可以是静态的或动态的,但是所有分支都必须具有到 MCN 的静态路径, 动态虚拟路径是根据配置的阈值在站点之间直接建立的。阈值基于这些站点之间发生的流量,只有在达到指定阈值后才会创建动态虚拟路径。动态虚拟路径的默认路由成本为 5,并且存在默认限制和定时器:
- 删除虚拟路径下降等待时间 — 1 分钟
- 重新创建虚拟路径保持时间 (m) — 10 分钟
- 创建限制
- 采样时间 — 1 秒
- 吞吐量 - 600 kbps
- 吞吐量 - 45 pps
- 移除限制
- 采样时间-2 秒
- 吞吐量 - 45 kbps
- 吞吐量 - 35 pps
保护虚拟路径
默认情况下为虚拟路径启用 AES-128 位加密,同时 AES-256 和 IPsec 也可用。这是虚拟路径默认启用的 “启用加密密钥轮换” 选项设置为确保在启用 Elliptic Curve Diffie 加密的情况下为每个虚拟路径重新生成密钥-Hellman 密钥交换间隔 10-15 分钟,这是可配置的。
每个站点都有一个私有密钥;对于每个虚拟路径,网络配置通过组合虚拟路径各端站点的私有密钥来生成一个密钥。首次设置虚拟路径后发生的初始密钥交换取决于使用该组合密钥加密和解密数据包的能力。
Citrix SD-WAN 支持 IPsec,使第三方设备能够终止 Citrix SD-WAN 设备的 LAN 或 WAN 端上的 IPsec VPN 通道。管理员可以使用 140-2 Level 1 FIPS 认证的 IPsec 加密二进制文件保护在 SD-WAN 设备上终止的站点到站点 IPsec 隧道。SD-WAN 还支持使用差异化虚拟路径隧道机制的弹性 IPsec 隧道。
二级数据中心配置
辅助数据中心的 SD-WAN 设备也部署在虚拟内联 (PBR) 模式下,辅助数据中心 SD-WAN 设备在并行 HA 配置中配置为辅助 MCN。
主 MCN 故障转移到辅助
辅助 MCN 连续监视主 MCN 的运行状况,如果主 MCN 发生故障,则辅助 MCN 代表 MCN 的角色,主 MCN 到辅助 MCN 切换会在主 MCN 处于非活动状态 15 秒后发生。主回收选项不适用于辅助 MCN,因为主回收在主设备恢复开启后以及阈值计时器到期时自动执行。
回程互联网到数据中心 MCN
术语 “回程” 表示发往互联网的流量将发送回另一个预定义的站点,该站点可以通过 WAN 链接访问互联网。对于出于安全考虑或基本网络限制而不允许在分支机构直接访问 Internet 的网络,可能会出现这种情况。网络管理员可以配置所有流量都回传到 MCN,无论是用于 DC 资源还是 Internet 访问,但是,可以利用其他 Citrix SD-WAN 分支节点站点访问 Internet。
对于某些环境,通过数据中心强化的 DMZ 对所有远程站点互联网流量进行备份可能是为分支机构用户提供 Internet 访问的最理想方法。但是,这种方法确实有其局限性需要注意,并且底层 WAN 链接的大小适当。
- 互联网流量的回传增加了互联网连接的延迟,并且根据数据中心分支站点的距离而变化
- 互联网流量的回传消耗了虚拟路径上的带宽,应考虑 WAN 链接的大小
- 互联网流量的回传可能会超额订阅数据中心的 Internet WAN 链接,特别是在利用虚拟内联模式的情况下。
分支用户的 Citrix Virtual Apps and Desktops 访问
Citrix Virtual Apps and Desktops 环境托管在数据中心位置,供需要通过 MPLS 网络访问 CVAD 环境的所有分支用户使用,该网络包括所有 Citrix HDX 用户体验功能,如打印、多媒体等。Citrix SD-WAN 允许客户在访问 Citrix Virtual Apps and Desktops 环境时为分支用户提供最佳用户体验。
分支-1 配置
添加分支站点的过程与使用 SD-WAN Orchestrator 创建和配置 MCN 站点相同,但是,某些配置步骤和设置对于分支站点确实略有不同。此外,一旦我们添加了初始分支站点,对于具有相同设备型号的站点,我们可以使用克隆(重复)功能来简化添加和配置这些站点的过程。
分支-1 上的 SD-WAN 设备使用内联模式进行部署。故障到线配置已应用于在硬件或软件故障时桥接链路,使用户仍然能够通过 MPLS 访问关键业务和 POS 应用程序。
由于分支-1 只有一个 MPLS 链接,并且没有互联网链接,因此所有的互联网流量必须回传到数据中心,客户决定利用分支-2 中提供的互联网链接,为分支-1 互联网接入提供足够的带宽。SD-WAN 管理员已经验证,到达分支-2 的延迟小于数据中心,因此在分支-2 上利用互联网将为分支-1 用户提供最佳性能。此要求是通过发夹部署实现的。请注意,SD-WAN 管理员启用 WAN 到 WAN 转发,以使此站点能够充当多跃点站点的代理。
发夹部署
Hairpin 部署可帮助客户实施允许站点使用远程中心站点的 WAN 链接访问 Internet 的配置,因为本地互联网服务不可用。
发夹部署的目的是允许通过不是分支机构或站点本地的 Internet 链接直接访问应用程序。客户将能够在需要时使用远程站点进行互联网接入,并且可以通过虚拟路径路由流量。
为了达到预期的要求,客户创建并应用了分支-1 SD-WAN 设备的发夹部署配置,以便 branch-1 用户可以通过 branch-2 访问互联网,并使用 SD-WAN orchestrator 将相同的策略和配置传播到分支机构。客户还确保分支-2 在互联网链接上具有所需的带宽量,以容纳来自分支-1 的额外流量。
使用深度数据包检测 (DPI) 的应用程序可见性
Citrix SD-WAN 具有集成的深度数据包检查 (DPI) 库,可实现应用程序的实时发现和分类。SD-WAN 设备使用内置 DPI 引擎分析传入的数据包,并将其归类为属于应用程序或应用程序系列。
使用基于 DPI 的应用程序可见性,Citrix SD-WAN 可以检测 4,500 多个应用程序和子应用程序。此功能采用各种模式匹配、会话行为、DNS 缓存和基于端口的分类技术,提供对遍历 WAN 的所有应用程序(包括 HTTPS、IMAPS 等 SSL 加密流量)的实时第 7 层可见性。Citrix SD-WAN 不仅提供了社交媒体(Facebook、YouTube 和 Twitter)、O365、Oracle 等应用程序的可见性,而且还提供了应用程序带宽消耗的可见性,帮助确保业务关键型应用程序不会缺乏带宽。
由于分支-1 用户被回传到分支-2,以便通过互联网链接访问应用程序,客户决定监视应用程序级别访问及其带宽利用率,以了解访问模式并控制仅针对业务需求应用程序的访问。客户创建了应用程序策略,以阻止新创建的名为 “社交媒体” 的应用程序组,该应用组包括 Facebook、YouTube、Twitter 等。
有了这种配置,分支-1 用户只能访问互联网的业务关键型应用程序,并且在分支-1 SD-WAN 本身阻止了非业务相关的访问,从而节省了宝贵的带宽。
路由域
Citrix SD-WAN 提供了通过使用虚拟路由和转发 (VRF-Lite) 对网络进行分段以实现更高的安全性和可管理性的功能。客户可以将来宾网络流量与员工生产流量分离开来,创建不同的路由域来分割大型企业网络,并将流量分割到支持多个客户网络。每个路由域都有自己的路由表,并启用对重叠 IP 子网的支持。
Citrix SD-WAN 设备为路由域实施 OSPF 和 BGP 路由协议,以控制和分割网络流量。无论访问点的定义如何,虚拟路径都可以使用所有路由域进行通信。这是可能的,因为 SD-WAN 封装包含每个数据包的路由域信息,因此两个最终设备都知道数据包在路由域中所属的位置。路由域由诸如 VLAN 之类的障碍隔开, 最多可以配置 255 个路由域。
根据要求,管理员为分支1创建了两个路由域,这两个路由域将分别用于企业流量和来宾wi - fi访问,Citrix Virtual Apps and Desktops 流量将使用虚拟路径路由到数据中心,并使用发夹将来宾 Wi-Fi 访问路由到分支-2配置。
除了路由域外,客户还希望在虚拟路径上为业务关键型应用程序应用程序应用更高的优先级。在下一节中,我们将讨论应用程序 QoS 以及它如何帮助实现客户要求。
应用程序 QOS
Citrix SD-WAN 解决方案具有市场上最复杂的应用程序 QoS 引擎之一。它拥有最广泛的功能,不仅可以评估应用流量并将其与其他应用程序的优先级,还可以了解其在 WAN 网络质量方面的需求,并根据网络质量特征实时选择网络路径。
应用程序分类功能使 Citrix SD-WAN 设备能够分析传入流量,并将其分类为属于应用程序或应用程序系列。通过这种分类,我们可以通过创建和应用应用程序规则来提高单个应用程序或应用程序系列的 QoS。
网络管理员可以根据应用程序、应用程序系列或应用程序对象匹配类型筛选流量,并对其应用应用程序规则。应用程序规则类似于互联网协议 (IP) 规则。
Citrix SD-WAN 解决方案提供了一组默认的应用程序分类、规则筛选和类分配设置。使用类,管理员可以对虚拟路径上的特定类型的流量进行分类,然后应用规则来处理此流量。按照规则中的定义,将流量分配给特定类。
SD-WAN 系统提供 17 个类(0-16 个)。类 0-3 是针对 Citrix HDX QoS 优先级预定义的,这些类用于使用不同 ICA 优先级标签对 HDX 流量进行分类。SD-WAN 管理员可以编辑类类型及其分配的带宽共享,以获得最佳服务质量,但无法编辑类的名称。
类 10-16 是预定义的,并与实时类、交互式类和批量类类型相关联。每种类型都可以进一步配置,以便针对其流量类型优化服务质量。类 4-9 可用于指定用户定义的类。类是以下三种类型之一:
实时– VoIP 或 VoIP 类型的应用程序,例如 Skype for Business 或 ICA 音频。一般来说,它是指只使用小型 UDP 数据包的语音应用程序,这些应用程序对业务至关重要。
交互式— 这是最广泛的类别,是指具有高度用户交互的任何应用程序。其中一些应用程序(例如视频会议)对延迟敏感,需要高带宽。HTTPS 等其他应用程序可能需要更少的带宽,但对业务至关重要。交互式应用程序通常是事务性的。
Bulk-这是任何不需要丰富的用户体验,但更多关于移动数据(即 FTP 或备份/复制)的应用程序
为了实现客户对从分支机构到数据中心的HDX访问优先级的实际要求,SD-WAN 管理员为所有分支机构创建了 Citrix HDX 访问的 QoS 规则,并通过 SD-WAN Orchestrator 将该策略应用到分支机构。客户已应用置备设置,允许在与该 WAN 链接关联的各种服务之间为 WAN 链接分配带宽的双向(LAN 到 WAN/WAN 到 LAN)。
分支-2 配置
Branch-2 上的 SD-WAN 设备部署在 MPLS 和互联网电路上,它部署在被称为具有高可用性的内联模式下 — 这意味着现有的路由设备/防火墙保持原位。
客户已安装 210 台 LTE 设备,引入 4G/LTE 互联网连接,为本分行现有的互联网连接提供备份。使用深度数据包检测功能,需要互联网访问的业务应用程序和 SaaS 应用程序必须在本地分支机构中断,并且必须通过专用互联网链接或 4G/LTE 链接路由流量。所有的社交媒体访问都需要在分支机构中断,并通过互联网链接进行路由。
SD-WAN 管理员使用本地 Internet 分组服务配置了应用程序策略,以便通过分支的本地 Internet 链接转移流量。使用此 Internet 突破服务时,互联网流量从分支-2 直接发送到公共互联网,而不是回传到数据中心。
本地互联网分组服务
Internet 服务用于站点和公共 Internet 之间的流量,Internet 服务流量不被 Citrix SD-WAN 封装,并且不具有与通过虚拟路径服务(包括 QoS)传输的流量相同的功能。
然而,重要的是要对此互联网流量进行分类和考虑,被识别为 Internet 服务的流量使 SD-WAN 能够通过相对于通过虚拟路径和 Intranet 传输的流量的速率限制来主动管理 WAN 链路带宽。服务根据管理员建立的配置。除了带宽 Provisioning 功能外,SD-WAN 还具有利用多个 Internet WAN 链接来平衡通过 Internet 服务传输的流量的额外功能。
可以在以下部署模式下配置使用 Citrix SD-WAN 上 Internet 服务的 Internet 流量控制:
- 带集成防火墙的分支机构直接互联网突破
- 在分支机构转发到 Secure Web Gateway 时直接进行 Internet 突围
Zscaler 云安全平台
为了保护流量和执行策略,企业回程分支互联网将流量定向企业数据中心。数据中心应用安全策略,筛选通过安全设备的流量,并通过 ISP 路由流量。这种通过私有 MPLS 链路进行后退操作是昂贵的,并且消耗了宝贵的资源。它还会导致显著延迟,从而在分支站点造成较差的用户体验。
另一种替代方法是在分支机构添加安全设备。但是,成本和复杂性会随着多台设备的安装而增加。此外,如果有大量的分支机构的成本和管理变得不切实际。
在不增加成本、复杂性或延迟的情况下强化安全性的理想解决方案是将所有分支 Internet 流量从 Citrix SD-WAN 设备路由到 Zscaler 云安全平台。然后,客户可以使用中央 Zscaler 控制台为用户创建精细的安全策略。无论用户位于数据中心还是分支站点,都会一致地应用这些策略。由于 Zscaler 安全解决方案是基于云的,因此客户不必向网络添加额外的安全设备。
Zscaler 云安全平台在全球 100 多个数据中心作为一系列安全检查站。只需将客户的互联网流量重定向到 Zscaler,他们就可以立即保护数据存储、分支机构和远程位置的安全。Zscaler 连接用户和互联网,检查每个流量数据包,即使它是加密或压缩。Citrix SD-WAN 设备可以通过客户站点的 GRE 隧道或 IPsec 隧道连接到 Zscaler 云网络。
为了实现互联网服务的突破和保护互联网流量,管理员在分支机构-2 SD-WAN 设备上配置了本地互联网分组服务,并创建了一个通往 Zscaler 云网络的 IPsec 隧道。通过这种配置,客户能够在安全的隧道中将互联网流量从分支-2 转移到 Zscaler,然后转移到公共互联网。通过实现这一目标,MPLS 链路带宽降低,从而节省了成本。
分支 3 配置
Branch-3 上的 SD-WAN 设备使用带故障到线配置的内联模式进行部署。该分支有互联网链接和 4G/LTE 互联网链接进行备份。分支 3 具有回传到互联网流量到数据中心 MCN 的配置。客户决定通过本地互联网链接转移为数不多的互联网流量领域,如新闻、SaaS 和其他云服务访问,以便为用户提供不间断和最佳的访问。
应用程序路由
分支机构用户需要使用 SD-WAN 虚拟路径访问托管在主数据中心或辅助数据中心、云应用程序或 SaaS 应用程序。应用路由功能允许通过网络轻松、经济高效地引导应用。当 Branch-3 用户尝试访问 SaaS 应用程序时,使用此功能,可以直接在互联网上路由流量,而无需先通过数据中心。
Citrix SD-WAN 定义了虚拟路径、互联网、Intranet、本地、GRE 隧道和 LAN IPsec 隧道的应用程序路由。要执行应用程序的服务指导,必须在第一个数据包本身上识别应用程序。最初,一旦对流量进行分类并且已知应用程序,数据包将通过 IP 路由流动,则使用相应的应用程序路由。通过学习与应用程序对象关联的 IP 子网和端口来实现第一个数据包分类。使用 DPI 分类器的历史分类结果和用户配置的 IP 端口匹配类型获取这些结果。
在 Branch-3,客户有一个互联网链接,并希望利用该链接进行指向互联网的应用流量。客户已将 Azure、AWS 和 Google 云访问权限配置为通过本地互联网链接访问的应用程序路由。
待机和计量 WAN 链接
Citrix SD-WAN 启用备用链接,可以对其进行配置,使用户流量仅在禁用所有其他可用 WAN 链接时在特定 Internet WAN 链接上载输。
备用链接可节省根据使用情况计费的链接的带宽。使用备用链接,管理员可以将这些链接配置为最后手段链接,从而禁止使用该链接,直到所有其他未按计费的链接关闭或降级。
当有三个 WAN 链接到一个站点(即 MPLS、宽带互联网、4G/LTE)并且其中一个 WAN 链接是 4G/LTE 时,通常会启用“设置最后措施”,并且对于企业来说,除非有必要,否则无法允许使用。默认情况下不启用计量,可以在任何访问类型的 WAN 链接(公共互联网/专用 MPLS/专用 Intranet)上启用计量。
客户还需要为本地互联网链接启用备份/待机,这对云互联网流量至关重要。管理员已启用 4G-LTE 链接作为按计费的最后手段链接,以便如果专用本地互联网链接饱和或失败,互联网流量也将使用 4G-LTE 链接。
分支 29 配置
Branch-29 上的 SD-WAN 设备使用带并行 HA 配置的内联模式部署,以连接 2 x MPLS 链路和一个 4G-LTE 链路,后者在 SD-WAN 端接入互联网。由于我们为这个分支有 3 个 WAN 链接,客户希望将互联网和 Intranet 流量的虚拟路径分离开来。互联网流量应始终使用其中一个 MPLS 链路,如果发生故障,应使用 4G-LTE 链路,对于内联网非 SD-WAN 分支流量,则需要使用第二个 MPLS 链路。客户还确保他们在所有分支机构中配置了 Intranet 服务,以便与非 SD-WAN 分支机构进行通信。
内联网服务
Intranet 服务表示可通过专用 WAN 链接(MPLS、P2P、VPN 等)到分支 30(MPLS 网络上没有 SD-WAN 设备)访问的路由。假定这些路由需要转发到某个 WAN 路由器。默认情况下不启用 Intranet 服务,因此 SD-WAN 管理员已启用此服务并应用了路由。匹配此路由(子网)的任何流量都被分类为此设备的 Intranet,以便传递到没有 SD-WAN 解决方案的站点。
互联网服务
互联网服务类似于 Intranet,但用于定义流向公共互联网 WAN 链接而不是专用 WAN 链接的流量。一个独特的区别是,Internet 服务可以与多个 WAN 链接关联,并设置为负载平衡(每个流)或处于活动/备份。启用互联网服务时创建默认互联网路由(默认情况下处于关闭状态)。匹配此路由(子网)的任何流量都被归类为此设备的 Internet,以便传输到公共 Internet 资源。
内联网和互联网路由
对于 Intranet 和 Internet 服务类型,SD-WAN 管理员必须定义 SD-WAN 链接以支持这些类型的服务。这是这些服务中任何一种定义路由的先决条件。如果 WAN 链接未定义为支持 Intranet 服务,它将被视为本地路由。Intranet、Internet 和直通路由仅与其配置的站点/设备相关。
在定义 Intranet、Internet 或直通路由时,以下是设计考虑因素:
- 必须在 WAN 链接上定义服务(内联网/互联网-必需)
- 与本地 SD-WAN 设备相关
- 内联网路由可以通过虚拟路径学习,但成本更高
- 使用 Internet 服务,会自动创建一个默认路由 (0.0.0.0/0) 捕获成本 5 的所有路由,并且它是可配置的
- 不要假设直通将起作用,这应该被测试/验证,也可以使用虚拟路径下降/禁用来验证所需的行为
- 路由表是静态的,除非启用了路由学习功能
根据要求,SD-WAN 管理员创建了内联网服务,其中包含 MPLS 链接之一,用于建立与分支-30 的通信。为了满足互联网服务的要求,管理员已经创建了带有第二个 MPLS 链接的虚拟路径,以便与所有其他分支机构进行通信。
分支 30 配置
分支 30 是一个新的分支,通过 MPLS 网络连接到数据中心和其他分支机构,没有在分支机构安装 SD-WAN。在数据中心和其他分支机构配置的 Intranet 服务将路由转发到某些路由器。匹配此路由的任何流量都被分类为 Intranet,并传递到没有 SD-WAN 解决方案的分支 30。通过这种方式,来自分支机构的用户可以连接到数据中心以访问业务和 POS 应用程序。
来源
此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们想为您提供源图,您可以在自己的详细设计和实施指南中进行调整:源图。