Citrix SD-WAN WANOP

WCCP-Modus (nicht gruppiert)

Der WCCP-Modus erlaubt nur eine einzelne Appliance in einer WCCP-Dienstgruppe. Wenn eine neue Appliance versucht, den Router zu kontaktieren, wird festgestellt, dass die andere Appliance die Servicegruppe verarbeitet, und die neue Appliance legt eine Warnung fest. Es überprüft regelmäßig, ob die Servicegruppe mit der anderen Appliance noch aktiv ist, und die neue Appliance verarbeitet die Servicegruppe, wenn die andere Appliance inaktiv wird.

Hinweis: WCCP-Clustering lässt mehrere Geräte pro Dienstgruppe zu.

Einschränkungen und Best Practices

Im Folgenden sind Einschränkungen und Best Practices für den (nicht gruppierten) WCCP-Modus aufgeführt:

  • Bei Appliances mit mehr als einem beschleunigten Paar muss der gesamte Datenverkehr für eine bestimmte WCCP-Dienstgruppe auf demselben beschleunigten Paar ankommen.
  • Vermischen Sie den Inline-und WCCP-Datenverkehr auf derselben Appliance nicht. Die Appliance erzwingt diese Richtlinie nicht, kann jedoch zu Schwierigkeiten bei der Beschleunigung führen. (WCCP und virtuelle Inlinemodi können gemischt werden, aber nur, wenn der WCCP und der virtuelle Inline-Datenverkehr von verschiedenen Routern stammen.)
  • Verwenden Sie für Sites mit einem einzelnen WAN-Router WCCP, wenn der Inlinemodus nicht praktisch ist.
  • Pro Servicegruppe wird nur eine Appliance unterstützt. Wenn mehrere Appliance versucht, eine Verbindung mit demselben Router mit derselben Servicegruppe herzustellen, ist die Aushandlung nur für die erste Appliance erfolgreich.
  • Bei Standorten mit mehreren WAN-Routern, die von derselben Appliance bedient werden, kann WCCP verwendet werden, um einen, einige oder alle Ihre WAN-Router zu unterstützen. Andere Router können den virtuellen Inlinemodus verwenden.

Router-Unterstützung für WCCP

Die Konfiguration des Routers für WCCP ist sehr einfach. Die Unterstützung von WCCP Version 2 ist in allen modernen Routern enthalten, die Cisco IOS bei Release 12.0 (11) S und 12.1 (3) T hinzugefügt wurden. Die beste Router-Konfigurationsstrategie hängt von den Eigenschaften Ihres Routers und Switches ab. Traffic Shaping erfordert zwei Service-Gruppen.

Wenn Ihr Router Reverse Path Forwarding unterstützt, müssen Sie es auf allen Ports deaktivieren, da es WCCP-Datenverkehr mit gefälschtem Datenverkehr verwechseln kann. Diese Funktion wird in neueren Cisco Routern wie dem Cisco 7600 gefunden.

Router-Konfigurationsstrategien

Es gibt zwei grundlegende Ansätze zum Umleiten von Datenverkehr vom Router zur Appliance:

Nur auf dem WAN-Port: Fügen Sie eine Anweisung “WCCP Redirect in” und eine Anweisung “WCCP Redirect out” hinzu. Jedem Port des Routers hinzufügen, außer dem an die Appliance angeschlossenen Port, fügen Sie eine Anweisung “WCCP redirect in” hinzu.

Die erste Methode leitet nur WAN-Datenverkehr an die Appliance weiter, während die zweite Methode den gesamten Routerverkehr an die Appliance weiterleitet, unabhängig davon, ob es sich um WAN-bezogene oder nicht. Auf einem Router mit mehreren LAN-Ports und erheblichem LAN-zu-LAN-Datenverkehr kann das Senden des gesamten Datenverkehrs an die Appliance sein LAN-Segment überladen und die Appliance mit dieser unnötigen Last belasten. Wenn GRE verwendet wird, kann der unnötige Datenverkehr auch den Router herunterladen.

Bei einigen Routern ist der Redirect in -Pfad schneller und belastet die CPU des Routers weniger als der Redirect Out -Pfad. Falls erforderlich, kann dies durch direkte Experimente auf Ihrem Router ermittelt werden: Testen Sie beide Umleitungsmethoden unter voller Netzwerklast, um zu sehen, welche die höchsten Übertragungsraten liefert.

Einige Router und WCCP-fähige Switches unterstützen WCCP-Umleitung nicht, daher muss die zweite Methode verwendet werden. Um eine Überlastung des Routers zu vermeiden, empfiehlt es sich, eine große Anzahl von Router-Ports über die Appliance umzuleiten, vielleicht durch Verwendung von zwei Routern, einen für WAN-Routing und einen für LAN-zu-LAN-Routing.

Im Allgemeinen ist Methode 1 einfacher, während Methode 2 eine höhere Leistung bieten kann.

Traffic Shaping und WCCP

Eine Dienstgruppe kann entweder TCP oder UDP sein, aber nicht beides. Damit der Traffic Shaper wirksam ist, müssen beide Arten von WAN-Datenverkehr durch die Appliance geleitet werden. Daher:

Die Beschleunigung erfordert eine Servicegruppe für TCP-Datenverkehr. Traffic Shaping erfordert zwei Dienstgruppen, eine für TCP-Datenverkehr und eine für UDP-Datenverkehr. Der Unterschied zwischen den beiden ist auf der Appliance konfiguriert, und der Router akzeptiert diese Konfiguration.

Konfigurieren des Routers

Die Appliance verhandelt automatisch WCCP-GRE oder WCCP-L2. Die Hauptwahl besteht zwischen dem Unicast-Vorgang (bei dem die Appliance mit der IP-Adresse jedes Routers konfiguriert ist) oder dem Multicast-Vorgang (bei dem sowohl die Appliance als auch die Router mit der Multicast-Adresse konfiguriert sind).

Normal (Unicast) -Operation: Für den normalen Betrieb wird WCCP Version 2 und die WCCP-Gruppen-ID für den Router als Ganzes deklariert und dann die Umleitung für jede WAN-Schnittstelle aktiviert. Es folgt ein Cisco IOS Beispiel:

config term
ip wccp version 2
! We will configure the appliance to use group 51 for TCP and 52 for UDP.
ip wccp 51
ip wccp 52

! Repeat the following three lines for each WAN interface
! you wish to accelerate:
interface your_wan_interface
! If Reverse Path Forwarding is enabled (with an ip verify unicast
! source reachable” statement), delete or comment out the statement:
! ip verify unicast source reachable-via any
! Repeat on all ports.

ip wccp 51 redirect out
ip wccp 51 redirect in
ip wccp 52 redirect out
ip wccp 52 redirect in

! If the appliance is inline with one of the router interfaces
! (NOT SUPPORTED), add the following line for that interface
! to prevent loops:
ip wccp redirect exclude in
^Z
<!--NeedCopy-->

Wenn mehrere Router dieselbe Appliance verwenden sollen, wird jeder wie oben dargestellt konfiguriert, wobei entweder dieselben oder unterschiedliche Servicegruppen verwendet werden.

Multicastbetrieb— Wenn der Appliance und jedem Router eine Multicastadresse zugewiesen wird, unterscheidet sich die Konfiguration geringfügig von der für den normalen Betrieb. Es folgt ein Cisco IOS Beispiel:

config term
ip wccp version 2
ip wccp 51 group-address 225.0.0.1

! Repeat the following three lines for each WAN interface
! you wish to accelerate:
interface your_wan_interface
! If Reverse Path Forwarding is enabled (with an ip verify unicast
! source reachable” statement), delete or comment out the statement:
! ip verify unicast source reachable-via any

ip wccp 51 redirect out
ip wccp 51 redirect in
!
! The following line is needed only on the interface facing the other router,
! if there is another router participating in this service group.
ip wccp 51 group-listen

!If the appliance is inline with one of the router interfaces,
!(which is supported but not recommended), add
!the following line for that interface to prevent loops:
ip wccp redirect exclude in
^Z
<!--NeedCopy-->

Grundlegende Konfigurationsprozedur für den WCCP-Modus auf der SD-WAN-Appliance

Für die meisten Standorte können Sie das folgende Verfahren verwenden, um den WCCP-Modus auf der Appliance zu konfigurieren. Die Prozedur hat mehrere Parameter auf sinnvolle Standardwerte gesetzt. Erweiterte Bereitstellungen erfordern möglicherweise, dass Sie diese Parameter auf andere Werte festlegen. Wenn beispielsweise die WCCP-Dienstgruppe 51 bereits von Ihrem Router verwendet wird, müssen Sie einen anderen Wert für die Appliance verwenden.

So konfigurieren Sie den WCCP-Modus auf der Appliance:

  1. Auf der Seite Konfiguration: Appliance-Einstellungen: WCCP.
  2. Wenn keine Servicegruppen definiert wurden, wird die Seite Modus auswählen angezeigt. Die Optionen sind Single SD-WAN und Cluster (Mehrere SD-WANs). Wählen Sie Single SD-WAN aus. Sie werden zur WCCP-Seite weitergeleitet. Hinweis: Die Modusbeschriftungen sind irreführend. Der Modus Single SD-WAN wird auch für SD-WAN-Hochverfügbarkeitspaare verwendet.
  3. Wenn der WCCP-Modus nicht aktiviert ist, klicken Sie auf Aktivieren.
  4. Klicken Sie auf Dienstgruppe hinzufügen.
  5. Die Werte für Standardschnittstelle (APA), Protokoll (TCP), WCCP-Priorität (0), Router-Kommunikation (Unicast), (Kennwort leer) und Time to Live (1) müssen normalerweise nicht für die erste von Ihnen erstellte Servicegruppe geändert werden, aber wenn dies der Fall ist, geben Sie neue Werte in die bereitgestellten Felder ein.
  6. Geben Sie im Feld Routeradressierung (wenn Sie Unicast verwenden) oder im Feld Multicastadresse (wenn Sie Multicast verwenden) die IP-Adresse des Routers ein. Verwenden Sie die IP für den Routerport, der für die WCCP-Kommunikation mit der Appliance verwendet wird.
  7. Wenn mehr als ein Router WCCP für die Kommunikation mit dieser Appliance verwendet, fügen Sie jetzt weitere Router hinzu.
  8. Wenn Ihre Router spezielle Anforderungen haben, legen Sie die Felder Routerweiterleitung (Auto/GRE/Level-2), Routerpaketrückkehr (Auto/GRE/Level-2) und Routerzuweisung (Mask/Hash) entsprechend fest. Die Standardwerte liefern bei den meisten Routern optimale Ergebnisse.
  9. Klicken Sie auf Hinzufügen.
  10. Wiederholen Sie die vorherigen Schritte, um eine andere Dienstgruppe für UDP-Datenverkehr zu erstellen (z. B. Dienstgruppen-ID 52 und Protokoll UDP).
  11. Rufen Sie die Seite Überwachung: Appliance-Leistung: WCCP auf. Das Feld Status sollte innerhalb von 60 Sekunden in Verbunden geändert werden.
  12. Senden Sie Datenverkehr über den Link und überprüfen Sie auf der Seite Verbindungen, ob Verbindungen eintreffen und beschleunigt werden.

WCCP-Dienstgruppen-Konfigurationsdetails

In einer Servicegruppe verhandeln ein WCCP-Router und eine SD-WAN-Appliance (“WCCP-Cache” in WCCP-Terminologie) Kommunikationsattribute (Funktionen). Der Router wirbt seine Fähigkeiten in der Nachricht Ich sehe dich an. Die Kommunikationsattribute sind:

  • Weiterleitungsmethode: GRE oder Level-2
  • Paketrückgabemethode (nur Multicast): GRE oder Level-2
  • Zuweisungsmethode: Hash oder Maske
  • Kennwort (Standardwert ist none)

Die Appliance löst eine Warnung aus, wenn sie eine Inkompatibilität zwischen ihren Attributen und denen des Routers erkennt. Die Appliance ist möglicherweise aufgrund eines bestimmten Attributs einer Servicegruppe (z. B. GRE oder Level-2) nicht kompatibel. Seltener kann in einer Multicastdienstgruppe eine Warnung ausgelöst werden, wenn die Auswahl Auto ein bestimmtes Attribut mit einem bestimmten Router auswählt, aber das Attribut ist mit einem nachfolgenden Router nicht kompatibel.

Im Folgenden sind die grundlegenden Regeln für die Kommunikationsattribute innerhalb einer SD-WAN-Appliance aufgeführt.

Für Router-Weiterleitung:

  • Wenn Auto ausgewählt ist, ist die Voreinstellung für Level-2, da sie sowohl für Router als auch für Appliance effizienter ist. Level-2 wird ausgehandelt, wenn der Router es unterstützt und sich der Router im selben Subnetz wie die Appliance befindet.
  • Router in einer Unicast-Service-Gruppe können verschiedene Methoden aushandeln, wenn Auto ausgewählt ist.
  • Router in einer Multicastdienstgruppe müssen alle dieselbe Methode verwenden, unabhängig davon, ob sie mit GRE oder Level-2 oder mit Auto erzwungen wird, wie vom ersten Router in der Servicegruppe festgelegt wird.
  • Für eine Inkompatibilität gibt eine Warnung bekannt, dass der Router eine inkompatible Routerweiterleitung hat.

Für Router-Zuweisung:

  • Der Standardwert ist Hash.

  • Wenn Auto ausgewählt ist, wird der Modus mit dem Router ausgehandelt.

  • Alle Router in einer Servicegruppe müssen dieselbe Zuweisungsmethode (Hash oder Maske) unterstützen.

  • Wenn dieses Attribut für jede Servicegruppe als Auto konfiguriert ist, wählt die Appliance Hash oder Maske, wenn der erste Router angeschlossen ist. Hash wird gewählt, wenn der Router es unterstützt. Andernfalls ist Maske ausgewählt. Das Problem, dass nachfolgende Router nicht mit der automatisch ausgewählten Methode kompatibel sind, kann minimiert werden, indem manuell eine Methode ausgewählt wird, die allen Routern in der Servicegruppe gemeinsam ist.

  • Für eine Inkompatibilität gibt eine Warnung bekannt, dass der Router eine inkompatible Router-Zuweisungsmethode hat.

  • Bei beiden Methoden weist die einzelne Appliance in der Dienstgruppe alle Router in der Dienstgruppe an, alle TCP- oder UDP-Pakete an die Appliance zu leiten. Router können dieses Verhalten mit Zugriffslisten ändern oder indem sie auswählen, welche Schnittstellen an die Dienstgruppe weitergeleitet werden sollen.

    Bei der Mask -Methode verhandelt die Appliance die Maske Quell-IP-Adresse. Die Appliance bietet keinen Mechanismus zur Auswahl der Ziel-IP-Adresse oder der Ports für Quelle oder Ziel. Die Maske Quell-IP-Adresse identifiziert keine spezifische IP-Adresse oder einen bestimmten Bereich. Das Protokoll bietet keine Möglichkeit, eine bestimmte IP-Adresse anzugeben. Da in der Dienstgruppe nur eine einzelne Appliance vorhanden ist, wird standardmäßig eine Ein-Bit-Maske verwendet, um Routerressourcen zu sparen. (Release 6.0 verwendet eine größere Maske.)

Für Kennwort:

  • Wenn der Router ein Kennwort benötigt, muss das auf der Appliance definierte Kennwort übereinstimmen. Wenn der Router kein Kennwort benötigt, muss das Kennwortfeld auf der Appliance leer sein.

WCCP-Tests und Fehlerbehebung

Wenn Sie mit WCCP arbeiten, bietet die Appliance verschiedene Möglichkeiten, den Status der WCCP-Schnittstelle zu überwachen, und Ihr Router sollte auch Informationen bereitstellen.

Überwachung: Appliance-Leistung: Seite WCCP— Die Seite WCCP meldet den aktuellen Status des WCCP-Links und meldet die meisten Probleme.

Protokolleinträge— Auf der Seite Überwachung: Appliance-Leistung: Protokollierung wird jedes Mal ein neuer Eintrag angezeigt, wenn der WCCP-Modus eingerichtet oder verloren geht.

Abbildung 1. WCCP-Protokolleinträge (Format variiert je nach Veröffentlichung etwas)

lokalisiertes Bild

Router-Status— Auf dem Router zeigt der Befehl show ip wccp den Status des WCCP-Links an:

Router>enable
Password:
Router#show ip wccp
Global WCCP information:
    Router information:
        Router Identifier:                   172.16.2.4
        Protocol Version:                    2.0

    Service Identifier: 51
        Number of Cache Engines:             0
        Number of routers:                   0
        Total Packets Redirected:            19951
        Redirect access-list:                -none-
        Total Packets Denied Redirect:       0
        Total Packets Unassigned:            0
        Group access-list:                   -none-
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
<!--NeedCopy-->

WCCP-Modus überprüfen

Sie können die WCCP-Konfiguration über die SD-WAN-GUI überwachen.

So überwachen Sie die WCCP-Konfiguration

  1. Navigieren Sie zur Seite Überwachung > Applianceleistung > WCCP.
  2. Wählen Sie einen Cache aus und klicken Sie auf Informationen abrufen. Auf der Seite Cache-Status wird die WCCP-Konfiguration angezeigt, wie in der folgenden Abbildung dargestellt.

    lokalisiertes Bild

  3. Starten Sie den Datenverkehr, der über die SD-WAN-Appliance weitergeleitet werden soll, und überwachen Sie die Verbindung auf der Seite Überwachung > Optimierung > Verbindungen.
    • Wenn die Verbindungen auf der Registerkarte Beschleunigte Verbindungen angezeigt werden, ist dies ein Indikator dafür, dass alles funktioniert.
    • Wenn sich die Verbindungen auf der Registerkarte Nicht beschleunigte Verbindungen befinden, sehen Sie sich die Spalte Details an. Eine Routingasymmetrie erkannte Nachricht impliziert, dass eine der IP-WCCP-Umleitungslinien auf dem Router fehlt oder einen Fehler aufweist oder dass unterschiedliche Pfade vom Client-Server- und Server-Client-Datenverkehr übernommen werden.
    • Wenn keine Verbindungen angezeigt werden, aber die Appliance meldet, dass sie mit dem Router verbunden ist und auf der WCCP-Überwachungsseite keine Fehler angezeigt wird, liegt das Problem wahrscheinlich bei der Routerkonfiguration.