Citrix SD-WAN-Plattformen

Architektur

Intern enthält die SD-WAN 4000/5000 Appliance mehrere virtuelle Maschinen:

  • Ein Xen Hypervisor
  • Eine NetScaler Instanz
  • Mindestens zwei Accelerator-Instanzen
  • Eine Management-Server-Instanz, die die GUI und andere Aufgaben verwaltet
  • Interne Vernetzung

Abbildung 2. SD-WAN 4100/5100 virtuelle Maschinen, interne Netzwerke und externe Port-Nutzung (Inline-Bereitstellung wird angezeigt)

lokalisiertes Bild

Kein WAN-Datenverkehr wird in die Beschleuniger ein- oder verlässt, außer wie in der NetScaler Instanz konfiguriert. Wenn die Appliance zum ersten Mal verwendet wird, richtet der Provisioningassistent eine Erstkonfiguration ein, die die Kommunikation und den Lastausgleich zwischen der NetScaler Instanz und den Beschleunigern bereitstellt.

Der Verwaltungsdienst ist die Verwaltungskonfigurationsschnittstelle für die Appliance und bietet Zugriff auf wichtige Bedienungs- und Überwachungselemente der Appliance. Der Verwaltungsdienst zeigt SD-WAN-Parameter an, als ob sie von einem einzigen Beschleuniger stammen, und alle über diese Schnittstelle vorgenommenen Änderungen werden auf alle Accelerator-Instanzen angewendet.

Der Xen Hypervisor hostet alle virtuellen Maschinen. Der Hypervisor ist nicht vom Benutzer konfigurierbar und sollte nur auf Anforderung von Citrix zugegriffen werden.

Interne und externe Netzwerke

Die externen Netzwerkschnittstellen sind in zwei Kategorien unterteilt: Verkehrsschnittstellen und Verwaltungsschnittstellen.

Verkehrsschnittstellen— Die Verkehrsschnittstellen umfassen alle Netzwerkschnittstellen mit Ausnahme der Ports 0/1 und 0/2, die nur für die Verwaltung verwendet werden. Die Beschleunigung erfolgt nur an den Verkehrsschnittstellen.

Hinweis: Sie müssen die Verkehrsschnittstellen von der Verwaltungsschnittstelle isoliert halten, um ARP-Flattern und andere Probleme zu verhindern. Diese Isolation kann physisch oder durch Tagging von Management-Schnittstelle und Traffic-Schnittstellenpaketen mit verschiedenen VLANs erreicht werden.

Verwaltungssubnetz— Die virtuellen Maschinen stellen eine direkte Verbindung mit dem externen Verwaltungssubnetz her, wobei unterschiedliche IP-Adressen für den Verwaltungsdienst, die NetScaler Instanz und XenServer vorhanden sind.

Hinweis: Sie müssen die Verkehrsschnittstellen von der Verwaltungsschnittstelle isoliert halten, um ARP-Flattern und andere Probleme zu verhindern. Diese Isolation kann physisch oder durch Tagging von Management-Schnittstelle und Traffic-Schnittstellenpaketen mit verschiedenen VLANs erreicht werden.

Private Internal Traffic Subnetz— Die beschleunigten Ports der Beschleuniger werden intern in einem einarmigen Modus mit der NetScaler Instanz über ein internes Verkehrssubnetz verbunden. Es besteht keine direkte Verbindung zwischen den beschleunigten Ports der Instanzen und den externen Ports der Appliance. Der gesamte beschleunigte Datenverkehr zu den Beschleunigern wird von der NetScaler Instanz gesteuert.

Da auf dieses interne Subnetz von außerhalb der Appliance nicht zugegriffen werden kann, werden nicht routbare Subnetze im Bereich 169.254.0.0/16 verwendet. Die NetScaler Instanz stellt NAT für Features bereit, die routingfähigen Zugriff auf den Beschleuniger erfordern. Nur die folgenden beiden Funktionen der Beschleuniger erfordern IP-Adressen, die von außen erreicht werden können:

  • Die Signalisierungs-IP-Adresse, die für sicheres Peering und das SD-WAN-Plugin verwendet wird.
  • IP-Adressen, die für die Kommunikation mit dem Router verwendet werden, wenn das WCCP-Protokoll verwendet wird.

In beiden Fällen ist die Anzahl der extern sichtbaren IP-Adressen unabhängig von der Anzahl der Beschleuniger, die die Appliance besitzt.

Für das interne Verkehrssubnetz sind zwei IP-Adressen pro Beschleuniger sowie eine Adresse für den NetScaler sowie eine oder zwei WCCP-VIP-Adressen erforderlich, wenn WCCP verwendet wird. Da das interne Netzwerk privat ist, verfügt es über eine Fülle von Adressraum für diese Aufgaben.

Datenfluss im Privatdatenverkehr-Subnetz—Die einarmige Verbindung zwischen der NetScaler Instanz und den Beschleunigern verwendet den virtuellen SD-WAN-Inlinemodus, in dem die NetScaler-Instanz Pakete an die Beschleuniger weiterleitet und die Beschleuniger sie zurück an die NetScaler-Instanz weiterleitet. Der Verkehrsfluss über dieses interne Verkehrssubnetz ist identisch, unabhängig davon, ob der für die Außenwelt (auf den externen Schnittstellen) sichtbare Modus inline, virtual inline oder WCCP ist.

Für diesen Datenverkehr sind die SD-WAN-Option “Return to Ethernet Sender” sowie die NetScaler MAC-Adressenweiterleitung und Subnetz-IP-Optionen erforderlich, die vom Provisioningassistenten aktiviert werden.

Zusammenfassung des Bereitstellungsmodus: Die Unterschiede zwischen dem WCCP-Modus, dem Inlinemodus und dem virtuellen Inlinemodus können wie folgt zusammengefasst werden:

  • Der WCCP-Modus ist eine Einarm-Konfiguration. Die Beschleuniger stellen WCCP-Steuerungskanäle mit dem Router ein. Im WCCP-Modus verwalten nur ein oder zwei Beschleuniger den WCCP-Kontrollkanal für alle Beschleuniger. Der Datenverkehr erfolgt über alle Beschleuniger hinweg Lastausgleich. Wenn die GRE-Kapselung verwendet wird, führt die NetScaler-Instanz die GRE-Kapselung/-Entkapselung auf dem Datenstrom zwischen sich und dem Router durch, wodurch die Daten zwischen dem NetScaler und den Beschleunigern eine entkapselte Level-2-Konfiguration verwenden können.
  • Der Inlinemodus arbeitet intern sehr ähnlich wie der WCCP-Modus, aber extern emuliert die Appliance eine Brücke, und es wird kein WCCP-Steuerkanal eingerichtet. Ein Paket, das an einem Brückenanschluss in die Appliance gelangt, wird über den anderen Brückenport beendet. SD-WAN 4000 und 5000 Appliances verfügen über mehrere Brücken, um mehrere Inline-Links zu unterstützen.
  • Im virtuellen Inlinemodus (wird verwendet, wenn WCCP und Inlinemodi nicht möglich sind) wird die Appliance in einer Einarm-Konfiguration bereitgestellt, ähnlich wie WCCP, jedoch ohne den WCCP-Steuerkanal. Der Datenverkehr wird vom Router mithilfe von Policy-Based Routing-Regeln (PBR) an die Appliance gesendet. Die Appliance verarbeitet den Datenverkehr und gibt ihn an den Router zurück.

Abbildung 3. WCCP und virtuelle Inline-Verkabelung

lokalisiertes Bild

Siehe SD-WAN 4100/5100 virtuelle Maschinen, interne Netzwerke und externe Portverwendung für ein Diagramm der Portverwendung auf SD-WAN 4100/5100 Appliances. Verkehrsports sind als eine Reihe von beschleunigten Brücken angeordnet, während die Managementports unabhängig sind. In der Regel wird nur ein Managementport verwendet.

Abbildung 4. Inline-Verkabelung

lokalisiertes Bild

Beschleunigte Brücken

SD-WAN 4100/5100 Appliances verfügen über mehrere beschleunigte Brücken. Verschiedene Modelle haben unterschiedliche Anzahl und Arten von Brückenports. Die beiden Ports, die eine solche Brücke bilden, werden als “beschleunigtes Paar” bezeichnet. Alle aktuellen Modelle verfügen über eine integrierte Netzwerkumgehungsfunktion. (Einige ältere SD-WAN 4100-500- und 4100-1000-Einheiten enthalten keinen Netzwerk-Bypass). Die Netzwerkumgehungsfunktion (auch “Fail-to-Wire” genannt) verbindet Ports miteinander, wenn die Appliance aufgrund eines Stromausfalls oder eines Softwarefehlers ausfällt (wie durch einen internen Watchdog-Zeitgeber bestimmt).

Inline-Bereitstellung. Die Bypass-Funktion ermöglicht die Bereitstellung von SD-WAN 4100/5100 in Übereinstimmung mit Ihrem WAN, in der Regel zwischen Ihrem LAN und Ihrem WAN-Router, ohne einen Netzwerkausfall einzuführen.

Die beschleunigten Brücken unterstützen entweder 1 Gbit/s oder 10 Gbit/s Datenraten. Je nach Modell werden Ethernet- und SFP+-Schnittstellen unterstützt.

Einarmige Bereitstellung. Einarm-Bereitstellungen werden ebenfalls mit WCCP oder virtuellen Inlinemodi unterstützt. Bei solchen Bereitstellungen wird ein SD-WAN 4000/5000 Verkehrsport direkt mit einem Port auf dem WAN-Router verbunden. Der andere Port des überbrückten Paares bleibt nicht verbunden.

Überlegungen zur Leistung. Inline-Bereitstellungen bieten eine höhere Leistung als die Einarmbereitstellungen, da die Verwendung von zwei Ports anstelle eines Ports den Spitzendurchsatz der Schnittstellen verdoppelt.

Spitzendurchsatz ist bei SD-WAN 4100/5100 Geräten wichtig, da der Kompressor im Verhältnis zum Verdichtungsverhältnis beschleunigt. Das heißt, eine Verbindung, die eine Komprimierung von 100:1 erreicht, überträgt Daten 100-mal schneller als eine unkomprimierte Verbindung, solange der Rest des Netzwerkpfads mithalten kann.

Nehmen Sie beispielsweise ein Rechenzentrum mit einer 500 Mbit/s WAN-Verbindung und einem 1-Gbit/s-LAN. Das kleine 2:1 Geschwindigkeitsverhältnis zwischen WAN und LAN ermöglicht die Komprimierung nur eine 2-fache Beschleunigung auf einer Ganzverknüpfungsbasis, da es bei Geschwindigkeiten über 1 Gbit/s keine Möglichkeit gibt, Daten ins LAN oder aus dem LAN zu gelangen. Für die Verwendung mit SD-WAN 4100/5100 Bereitstellungen wird ein 10-Gbit/s-LAN empfohlen, das eine zehnfache Erhöhung der Spitzendatenraten ermöglicht.

Wenn eine SD-WAN 4100/5100 Einheit im Einarmmodus bereitgestellt wird, wird die maximale Übertragungsrate halbiert. Ein SD-WAN 4100/5100 im Einarmmodus, der mit einer 1-Gbit/s LAN-Schnittstelle an den Router angeschlossen ist, sättigt diese Schnittstelle, wenn das WAN in beide Richtungen mit voller Geschwindigkeit läuft. Für eine gute Leistung muss SD-WAN 4100/5100 über eine LAN-Schnittstelle verfügen, die viel schneller ist als das WAN. Wenn die Appliance im Einarmmodus direkt mit dem Router verbunden ist, verwenden Sie einen 10-Gbit/s-Routerport

Hinweis

Die 10 Gbit/s Ports unterstützen nur 10 Gbit/s. Sie verhandeln keine niedrigeren Geschwindigkeiten. Verwenden Sie die 1-Gbit/s-Ports für 1-Gbit/s-Netzwerke.

Andere Ports

Eine SD-WAN 4100/5100 Appliance verfügt über mindestens zwei nicht beschleunigte Ports. Port 0/1 wird normalerweise für die Verwaltung verwendet, Port 0/2 ist vorhanden, aber normalerweise nicht verwendet. Ein LOM-Port (Light Out Management) ist ebenfalls vorhanden. Für die Verwaltung kann ein RS-232-Port verwendet werden.

Architektur