Citrix SD-WAN 上手指南1 初始化配置

Citrix SD-WAN版本

标准版:(SE、Standard Edition)只有广域网虚拟化功能。
优化版:(WANOP)只有WAN Optimization功能,也就是广域网优化功能。
豪华版:(PE、Premium Edition)集成标准版和优化版的所有功能。
注意:Citrix SD-WAN还有虚拟机版本,虚拟机版本只有标准版和优化版两种,没有豪华版。标准版和优化版虚拟机分为两种,不能集成在一起。

环境介绍

一、软件环境
1.所有测试环境都在单台服务器虚拟化上部署,服务器虚拟化采用XenServer 8.0版本。
2.Citrix SD-WAN采用10.2.2版本。
3.测试虚拟机使用Windows Server 2016。
4.测试软件使用iperf。
5.测试环境互连路由器使用开源的X86路由器 vyos 1.1.8版本,vyos路由器能够安装在各种服务器虚拟化平台上。vyos的安装方法和配置此文不再赘述。
注意:XenServer部署虚拟机可能会出现网络不通或端口通TCP连接异常的情况,如出现上述问题,请关闭虚拟机的TCP offload功能,详细操作方法,请参考CTX212540:Disable TCP offloading on XenServer

初始化部署 SD-WAN

  Citrix SD-WAN软件从官方下载需要一定权限,如果您没有权限则无法从官方下载。官方下载链接:https://www.citrix.com/downloads/citrix-sd-wan/。SD-WAN VPX分为VPX和和VPXL两种版本,VPXL是VPX的加强版,能支持更高的配置以及更新的Cloud平台虚拟机模式,详细差异查看Citrix SD-WAN Datasheet。另外,Citrix SD-WAN虚拟化版本支持XenServer、ESXi、Hyper-V、KVM、AWS和Azure等六种虚拟化平台,其中AWS和Azure是公有云平台。

  Citrix SD-WAN系统包分为两类,一类是完整的系统安装包,有硬件版本和虚拟化版本两种,硬件里的系统包在购买硬件的时间已经在SD-WAN设备里安装好,直接使用即可,Citrix官方不提供开放的硬件系统安装包;虚拟化版本安装包则要根据服务器虚拟机的产品不同,到Citrix官方下载对应的系统包,直接导入服务器虚拟化即可使用。

  不是所有的版本都有系统安装包,大部分的版本只是更新包,如果要下载系统安装包,需要展开每个版本查找,比如:10版本中只有10.0.3.8版本有系统安装包,如下图所示:

  另一类是更新包,更新包按硬件型号和虚拟机版本区分,每种型号都有各自的更新包,不同型号的更新不能在其它型号中使用。下载更新时,一定要找对版本。

  • SD-WAN硬件设备的默认IP地址:192.168.100.1,虚拟机版本在导入服务器虚拟化平台之后配置。SD-WAN默认用户名:admin,默认密码:password。
    SD-WAN VPX的网络默认启用了DHCP功能,网络中有DHCP服务器分配地址,能够自动获取地址,如果没有DHCP服务器,通过console登录后台管理控制台配置静态IP地址。进入配置IP界面,需要在控制台输入“management_ip”命令。

  • 输入“set interface <ip address> <subnet mask> <gateway>”命令配置静态IP地址,命令输入后,再输入“apply”命令应用配置,在弹出的确认提示后,输入“y”,确认应用配置。
  • 如果SD-WAN已经获取了DHCP地址,也可以通过GUI界面配置IP地址和DNS等信息。
  • 首次导入SD-WAN VPX默认有10Mbps的流量,如果需要更大流量则需要导入许可文件。
  • 首次配置更改GUI超时时间,默认SD-WAN GUI界面的超时时间为15分钟,可以更改更长的超时时间避免GUI会话过期。
  • 首次配置更改管理控制模式(MCN),默认所有的SD-WAN为Client模式,Client模式无法配置,只能从MCN接收配置,只有MCN才可以配置。在SD-WAN环境中,MCN模式一般部署在总部,所有的配置都通过MCN统一配置后再推送到所有SD-WAN设备中。
  • 首次配置NTP和时区。

 

配置总部(DC)的SD-WAN(旁路)

创建新站点和接口
  • 打开配置编辑器“Configuration Editor”,创建第一个配置文件。
  • 配置“站点”名称,产品“型号”,以及SD-WAN“模式”。

  • 点击“Sites”标签,进入站点配置,确认进入正确的站点。
  • 在“Interface Groups”中,定义每个接口的功能。注意:一个接口可以定义多种功能,但要为每种功能设备不同的VLAN。比如:互联网接口连接联通、电信和移动三家互联网宽带,但要使用VLAN分隔才可以使用。
    Bypass Mode:支持两中方式,Fail-to-Block,失败即阻断;Fail-to-Wire,透明模式。
    FirewallZone:默认有三种区域,可根据线路的安全情况选择,也可全局里自定义。
    Name:配置一个好记的名称。
为接口分配IP地址
  • 为每个接口配置IP地址。
配置WAN Links
  • 配置WAN Links,打开“WAN Links”,选择“+Add Link”,在“Name”框中输入WAN Links名称,在“Access Type”框中选择链路类型。
    Access Type:链路类型有三种:Public Internet,一般用于互联网链路;Private Intranet,一般用于以使用OSPF、BGP等技术将总部与分支之间建立了内网的链路中;Private MPLS,用于MPLS直接配置。
  • 配置链路的上行和下行带宽。
  • 配置链路的路由信息以及与接口关联。
  • 配置链路的IP地址、网关以及接口等信息。
  • 添加多条链路,请按照以上方法逐一创建即可。
  • 配置互联网链接需要注意以下两点:
    • 如果互联网接口使用内网地址,在WAN Links中需要配置互联网的出口公网地址。
    • 如果互联网接口使用公网地址,WAN Links中不需要再配置公网地址。
    • 总部互联网接口必须使用静态地址,分支可以使用动态地址,如果“Public IP Address”未填写地址,请勾选“Autodetect Public IP”。

配置静态路由
  • 添加静态路由,将本地的网段宣告到所有的SD-WAN设备上。
    SD-WAN的路由能够提供很多种的配置方式,详细配置信息请参考官方提供的文档库。

其它注意事项:
1、Citrix SD-WAN默认使用UDP 4980端口,该端口需要所有SD-WAN设备都能正常访问,否则无法建立隧道。
2、防火墙不能对 UDP 4980做数据包检查,UDP 4980的数据包中包含了SD-WAN插入的专用字段,有些防火墙可能会清楚专用字段。
3、如果总部出口存在多层NAT,SD-WAN将无法正常建立隧道

配置分支(B1)的SD-WAN(旁路)

  将分支的SD-WAN虚拟机导入测试环境中,并根据初始化配置要求初始化SD-WAN的配置,在此不再赘述。

  • 添加新的站点,配置站点名称、设备模式以及设备型号。
  • 配置“Interface Groups”,有几条线路,配置几个接口,本环境中,有三条线路内网、MPLS和Internet,内网和MPLS共用一条线路。
  • 配置“Virtual IP Addressess”,为MPLS和Internet配置IP地址。

  • 配置“WAN Links”,配置MPLS和Internet线路的带宽和路由信息。
    分支机构的Internet线路在配置时,建议勾选“Autodetect Public IP”。

    分支机构MPLS线路配置如下:

  • 配置“Routes”,添加本地路由。

启用WAN Links

在总部和分支机构的“Connections”选择项目中,选择“WAN Links”配置项,在配置右侧配置项中,将每条链路启用。只有启用的链路才能在“Virtual Path”中添加虚拟路径。

配置Virtual Paths

  • 专线禁用自动创建虚拟路径功能。专线一般都是点对点的线路,无法像Internet线路那样可能多线路交叉连接,因此,要禁用专线的自动创建虚拟路径的功能,根据实际线路的连接情况手工创建。

  • 进入虚拟链路创建页面,根据线路的实际情况,由系统自动创建路径或手工创建路径。自动创建的路径“auto”项目中显示“yes”,手工创建的则显示为“no”。

检查配置

  • 总部与分支创建完基础配置好,在配置页面最下方有一个“Audit Now”按钮,点击“Audit Now”,自动检查所有配置是否正常,如果配置没有任何问题,不会有任何错误提示。
  • 如果配置有问题检查不通过,在详细信息列出了错误信息,请根据错误提示修改配置,直至检查不出任何错误为止。

保存并更新配置

  • 在配置界面最上方,选择“save”按钮,保存到当前打开的配置文件中,或选择“save as…”,新建一个配置文件。
  • 保存配置到“Change Management inbox”,只有保存在“Change Management inbox”里的配置才能应用环境中。

应用配置

  • 打开“Change Management”,进入配置管理器界面。
  • 选择“Begin ->”,开始应用配置向导。
  • 如果有多种不同型号的设备,则需要在此处上传各型号的更新包,默认配置文件为最新的配置文件版本。
  • 确认配置没有任何问题好,可以直接开始下一步的配置向导,或选择“verify”验证,或选择“Clear Changes”清除本次配置。
  • 开始配置后,系统会提示许可信息,请选择接受并点击“OK”进入下一步。
  • 配置上传配置管理平台后,上传进度提示为100%,选择“Next->”,进入下一步。
  • 选择“Activate Staged”应用配置到设备中。
  • 如果MCN设备第一次应用配置,系统将自动跳转到“Local Change Management”配置界面,在本地配置界面,点击“Activate Staged”,将配置应用到本设备中。
  • 首次应用配置的时间约3分钟左右。
  • 更新完成后,选择“Done”。
  • 首次应用配置后,需要启动“Citrix Virtual WAN Service”服务,选择“Enable/Disable/Purge Flows”,进入服务管理界面。
  • 在服务管理界面,点击“Enable”按钮,服务启动时间需要半分钟左右。
  • 服务启动后正常显示状态。

分支首次应用配置

  • 在MCN配置管理器中下面,分支的配置文件。
  • 登录分支的SD-WAN设备,打开本地配置管理器。上传分支的配置文件,并启用配置应用向导。
  • 接下来的配置与总部首次应用一样,配置应用完成后,需要启动“Citrix Virtual WAN Service”服务。

虚拟路径状态检查

  • 在“Dashboard”界面能够看到SD-WAN设备的简要信息,以及链路的整体链接状态,和时间。
  • 在“Monitoring”界面能够看到更详细的信息,如下图所示,每条路径的来回状态,延时、抖动、丢包率和拥塞等状态。Monitoring能够查看非常多的SD-WAN连接状态信息以及历史数据,SD-WAN设备最长保存7天的历史数据,如果需要保存更长时间的历史数据需要安装SD-WAN Center日志分析和统一管理平台。

发表评论