Citrix SD-WAN WANOP

Weiterleitungsregeln

Standardmäßig wird der Besitzer einer Gruppenmodusverbindung durch einen Hash der Quell- und Ziel-IP-Adressen festgelegt. Jede Appliance in der Gruppe verwendet denselben Algorithmus, um zu bestimmen, welches Gruppenmitglied eine bestimmte Verbindung besitzt. Diese Methode erfordert keine Konfiguration. Der Besitzer kann optional durch benutzereinstellbare Regeln angegeben werden.

Da der Gruppen-Mode-Hash nicht identisch mit dem von Load Balancers verwendeten ist, wird etwa die Hälfte des Datenverkehrs in einer Gruppe mit zwei Appliances an die besitzende Appliance weitergeleitet. Im schlimmsten Fall bewirkt die Weiterleitung, dass die Last auf der LAN-seitigen Schnittstelle verdoppelt wird, was die Spitzenweiterleitungsrate der Appliance für den tatsächlichen WAN-Datenverkehr halbiert.

Diese Geschwindigkeitseinbuße kann reduziert werden, wenn die primären oder Aux1-Ethernet-Ports für den Datenverkehr zwischen Gruppenmitgliedern verwendet werden. Wenn Sie beispielsweise über eine Gruppe von zwei Appliances verfügen, können Sie ein Ethernet-Kabel verwenden, um die Primär Ports der beiden Einheiten zu verbinden und dann auf der Seite Gruppen-Modus auf jeder Einheit den Primär Port angeben. Die maximale Leistung wird jedoch erreicht, wenn der zwischen den Gruppenmodusmitgliedern weitergeleitete Datenverkehr minimiert wird.

Der Besitzer kann optional nach bestimmten IP/Port-basierten Regeln eingestellt werden. Diese Regeln müssen für alle Appliances in der Gruppe identisch sein. Jedes Mitglied der Gruppe überprüft, ob seine Gruppenmodus-Konfiguration mit den anderen identisch ist. Wenn nicht alle Konfigurationen identisch sind, wechselt keine der Mitglieds-Appliances in den Gruppenmodus.

Wenn der Datenverkehr zuerst bei der Appliance eintrifft, die Eigentümer der Verbindung ist, wird er beschleunigt und normal weitergeleitet. Wenn es zuerst bei einer anderen Appliance in der Gruppe ankommt, wird es über einen GRE-Tunnel an seinen Besitzer weitergeleitet, der ihn beschleunigt und zur Weiterleitung an die ursprüngliche Appliance zurückgibt. Somit lässt der Gruppenmodus die Linkauswahl des Routers unverändert.

Die Verwendung von expliziten IP-basierten Weiterleitungsregeln kann die Menge der Gruppenmodus-Weiterleitung reduzieren. Dies ist besonders nützlich in Szenarien mit Primärverknüpfung/Backup-Link-Szenarien, bei denen jeder Link einen bestimmten Bereich von IP-Adressen verarbeitet, aber als Backup fungieren kann, wenn der andere Link ausgefallen ist.

Abbildung 1. IP-basierte Besitzerauswahl

lokalisierte Grafik

Weiterleitungsregeln können sicherstellen, dass Gruppenmitglieder nur ihren natürlichen Datenverkehr verarbeiten. In vielen Installationen, bei denen der Verkehr normalerweise über die normale Verbindung geleitet wird und nur selten die andere überquert, können diese Regeln den Overhead erheblich reduzieren.

Regeln werden in der Reihenfolge von oben nach unten ausgewertet, und die erste Übereinstimmungsregel wird verwendet. Regeln werden mit einem optionalen IP-Adresse/Maskenpaar (das mit Quell- und Zieladressen verglichen wird) und mit einem optionalen Portbereich abgeglichen.

Unabhängig von der Reihenfolge der Regeln wird, wenn die Partner-Appliance nicht verfügbar ist, kein Datenverkehr an sie weitergeleitet, unabhängig davon, ob eine Regel übereinstimmt oder nicht.

In der folgenden Abbildung ist beispielsweise Mitglied 172.16.1.102 der Eigentümer des gesamten Datenverkehrs in oder aus seinem eigenen Subnetz (172.16.1.0/24), während Mitglied 172.16.0.184 der Eigentümer des gesamten anderen Datenverkehrs ist.

Wenn ein Paket bei Unit 172.16.1.102 eintrifft und nicht an/von net 172.16.1.0/24 adressiert wird, wird es an 172.16.0.184 weitergeleitet.

Wenn Unit 172.16.0.184 fehlschlägt, leitet Unit 172.16.1.102 keine Pakete mehr weiter. Es versucht, den Verkehr selbst zu handhaben. Dieses Verhalten kann verhindert werden, indem Sie auf der Registerkarte Gruppenmodus auf Nicht beschleunigen, wenn Mitgliedsfehler erkannt wird .

Schreiben Sie in einem Setup mit einer primären WAN-Verbindung und einer Backup-WAN-Verbindung die Weiterleitungsregeln, um den gesamten Datenverkehr an die Appliance auf der primären Verbindung zu senden. Wenn die primäre WAN-Verbindung fehlschlägt, aber die primäre Appliance nicht, wird ein Failover des WAN-Routers durchgeführt und Datenverkehr über die sekundäre Verbindung gesendet. Die Appliance auf der sekundären Verbindung leitet den Datenverkehr an die primäre Link-Appliance weiter, und die Beschleunigung wird ungestört fortgesetzt. Diese Konfiguration verwaltet beschleunigte Verbindungen nach dem Link-Failover.

Abbildung 2. Weiterleitungsregeln

lokalisierte Grafik

Weiterleitungsregeln