Arquitectura

Internamente, el dispositivo SD-WAN 4000/5000 contiene varias máquinas virtuales:

  • Un Hypervisor Xen
  • Una instancia de NetScaler
  • Al menos dos instancias del acelerador
  • Una instancia del servidor de administración que administra la GUI y otras tareas
  • Redes internas

Imagen 2. SD-WAN 4100/5100 máquinas virtuales, redes internas y uso de puertos externos (se muestra la implementación en línea)

Imagen localizada

Ningún tráfico WAN entra o sale de los aceleradores, excepto según lo configurado en la instancia de NetScaler. Cuando se utiliza por primera vez el dispositivo, el Asistente para Provisioning Services configura una configuración inicial que proporciona comunicación y equilibrio de carga entre la instancia de NetScaler y los aceleradores.

El servicio de administración es la interfaz de configuración de administración del dispositivo y proporciona acceso a elementos clave de funcionamiento y supervisión del dispositivo. El servicio de administración muestra los parámetros de SD-WAN como si fueran de un solo acelerador, y todos los cambios realizados a través de esta interfaz se aplican a todas las instancias del acelerador.

El Hypervisor Xen aloja todas las máquinas virtuales. El Hypervisor no se puede configurar por el usuario y no se debe acceder a él excepto a petición de Citrix.

Redes internas y externas

Las interfaces de red externas se dividen en dos categorías: Interfaces de tráfico e interfaces de gestión.

Interfacesde tráfico: Las interfaces de tráfico incluyen todas las interfaces de red excepto los puertos 0/1 y 0/2, que solo se utilizan para la administración. La aceleración se lleva a cabo solo en las interfaces de tráfico.

Nota: Debe mantener las interfaces de tráfico aisladas de la interfaz de administración para evitar el cambio de ARP y otros problemas. Este aislamiento se puede lograr físicamente o etiquetando paquetes de interfaz de administración y de interfaz de tráfico con diferentes VLAN.

Subred de administración: Las máquinas virtuales se conectan directamente a la subred de administración externa, con diferentes direcciones IP para el servicio de administración, la instancia de NetScaler y XenServer.

Nota: Debe mantener las interfaces de tráfico aisladas de la interfaz de administración para evitar el cambio de ARP y otros problemas. Este aislamiento se puede lograr físicamente o etiquetando paquetes de interfaz de administración y de interfaz de tráfico con diferentes VLAN.

Subred de tráfico interno privado: Los puertos acelerados de los aceleradores se conectan internamente a la instancia de NetScaler en modo de un brazo, mediante una subred de tráfico interna. No hay conexión directa entre los puertos acelerados de las instancias y los puertos externos del dispositivo. La instancia de NetScaler controla todo el tráfico acelerado a los aceleradores.

Dado que esta subred interna no es accesible desde fuera del dispositivo, utiliza subredes no enrutables en el intervalo 169.254.0.0/16. La instancia de NetScaler proporciona NAT para las funciones que requieren acceso enrutable al acelerador. Solo las dos funciones siguientes de los aceleradores requieren direcciones IP a las que se puede llegar desde el mundo exterior:

  • La dirección IP de señalización, utilizada para el peering seguro y el complemento SD-WAN.
  • Direcciones IP, utilizadas para la comunicación con el router cuando se utiliza el protocolo WCCP.

En ambos casos, el número de direcciones IP visibles externamente es independiente del número de aceleradores que tenga el dispositivo.

La subred de tráfico interno requiere dos direcciones IP por acelerador, más una dirección para NetScaler, más una o dos direcciones VIP WCCP si se utiliza WCCP. Dado que la red interna es privada, tiene una abundancia de espacio de direcciones para estas tareas.

Flujo de datos en la subred de tráfico privado: La conexión de un brazo entre la instancia de NetScaler y los aceleradores utiliza el modo virtual en línea SD-WAN, en el que la instancia de NetScaler enruta los paquetes a los aceleradores y los aceleradores los enrutan de vuelta a la instancia de NetScaler. El flujo de tráfico a través de esta subred de tráfico interna es idéntico independientemente de si el modo visible para el mundo exterior (en las interfaces externas) es en línea, virtual en línea o WCCP.

Este tráfico requiere la opción SD-WAN “Return to Ethernet Sender” y las opciones NetScaler MAC Address Forwarding and Use Subnet IP, habilitadas por el Asistente de aprovisionamiento.

Resumen del modo de implementación: Las diferencias entre el modo WCCP, el modo en línea y el modo en línea virtual se pueden resumir de la siguiente manera:

  • El modo WCCP es una configuración de un brazo. Los aceleradores establecen canales de control WCCP con el router. En el modo WCCP, solo uno o dos aceleradores administran el canal de control WCCP en nombre de todos los aceleradores. El tráfico de datos está equilibrado en todos los aceleradores. Cuando se utiliza la encapsulación GRE, la instancia de NetScaler realiza la encapsulación/descapsulación GRE en la secuencia de datos entre ella y el router, lo que permite que los datos entre NetScaler y los aceleradores utilicen una configuración decapsulada de nivel 2.
  • El modo en línea funciona de manera similar al modo WCCP internamente, pero externamente el dispositivo emula un puente y no se establece ningún canal de control WCCP. Un paquete que entra en el dispositivo en un puerto de puente sale por el otro puerto de puente. Los dispositivos SD-WAN 4000 y 5000 tienen varios puentes para admitir varios enlaces en línea.
  • En el modo virtual en línea (utilizado cuando los modos WCCP y en línea no son factibles), el dispositivo se implementa en una configuración de un solo brazo, al igual que WCCP, pero sin el canal de control WCCP. El tráfico se envía al dispositivo desde el router, mediante reglas de enrutamiento basado en directivas (PBR). El dispositivo procesa el tráfico y lo devuelve al enrutador.

Imagen 3. WCCP y cableado virtual en línea

Imagen localizada

Consulte SD-WAN 4100/5100 máquinas virtuales, redes internas y uso de puertos externos para obtener un diagrama del uso de puertos en dispositivos SD-WAN 4100/5100. Los puertos de tráfico se organizan como un conjunto de puentes acelerados, mientras que los puertos de administración son independientes. Por lo general, solo se utiliza un puerto de administración.

Imagen 4. Cableado en línea

Imagen localizada

Puentes acelerados

Los dispositivos SD-WAN 4100/5100 tienen varios puentes acelerados. Los diferentes modelos tienen diferentes números y tipos de puertos de puente. Los dos puertos que componen dicho puente se denominan “par acelerado”. Todos los modelos actuales incluyen una función de derivación de red incorporada. (Algunas unidades SD-WAN 4100-500 y 4100—1000 más antiguas no incluyen bypass de red). La función de derivación de red (también denominada “falla al cablear”) conecta pares de puertos juntos si el dispositivo falla como resultado de una pérdida de energía o de un fallo de software (según lo determinado por un temporizador de vigilancia interno).

Implementación en línea. La función de bypass permite implementar SD-WAN 4100/5100 en línea con su WAN, normalmente entre su LAN y su router WAN, sin introducir un punto de falla en la red.

Los puentes acelerados admiten velocidades de datos de 1 Gbps o 10 Gbps. Se admiten interfaces Ethernet y SFP+, dependiendo del modelo.

Implementación unidireccional. También se admiten implementaciones con un brazo, mediante WCCP o modos virtuales en línea. Con tales implementaciones, un puerto de tráfico SD-WAN 4000/5000 se conecta directamente a un puerto en el enrutador WAN. El otro puerto del par en puente se deja sin conexión.

Consideraciones de rendimiento. Las implementaciones en línea proporcionan un rendimiento más alto que las implementaciones de un brazo, ya que el uso de dos puertos en lugar de uno duplica el rendimiento máximo de las interfaces.

El rendimiento máximo es importante con los dispositivos SD-WAN 4100/5100, ya que el compresor proporciona una aceleración proporcional a la relación de compresión. Es decir, una conexión que logra una compresión de 100:1 transfiere datos 100 veces más rápido que una conexión sin comprimir, siempre y cuando el resto de la ruta de red pueda mantenerse al día.

Por ejemplo, tome un centro de datos con un enlace WAN de 500 Mbps y una LAN de 1 Gbps. La pequeña relación de velocidad 2:1 entre la WAN y la LAN permite que la compresión proporcione solo una velocidad 2x sobre una base de enlace completo, ya que no hay forma de obtener datos dentro o fuera de la LAN a velocidades superiores a 1 Gbps. Se recomienda utilizar una LAN de 10 Gbps, que permite un aumento diez veces en las velocidades máximas de datos, con implementaciones SD-WAN 4100/5100.

Cuando se implementa un dispositivo SD-WAN 4100/5100 en modo de un brazo, la velocidad máxima de transferencia se reduce a la mitad. Un SD-WAN 4100/5100 en modo de un brazo, conectado al router con una interfaz LAN de 1 Gbps, satura esta interfaz cuando la WAN está funcionando a toda velocidad en ambas direcciones. Para un buen rendimiento, el SD-WAN 4100/5100 debe tener una interfaz LAN mucho más rápida que la WAN. Cuando el dispositivo esté conectado directamente al router en un modo de un brazo, utilice un puerto de enrutador de 10 Gbps.

Nota

Los puertos de 10 Gbps solo admiten 10 Gbps. No negocian velocidades más bajas. Utilice los puertos de 1 Gbps para redes de 1 Gbps.

Otros puertos

Un dispositivo SD-WAN 4100/5100 tiene al menos dos puertos no acelerados. El puerto 0/1 se utiliza normalmente para la administración, el puerto 0/2 está presente pero normalmente no se utiliza. También se proporciona un puerto de Light Out Management (LOM). Se puede utilizar un puerto RS-232 para la administración.