Citrix SD-WAN WANOP

Modo WCCP (no agrupado)

El modo WCCP solo permite un único dispositivo en un grupo de servicios WCCP. Si un nuevo dispositivo intenta ponerse en contacto con el router, descubre que el otro dispositivo está manejando el grupo de servicios y que el nuevo dispositivo establece una alerta. Comprueba periódicamente si el grupo de servicios sigue activo con el otro dispositivo y el nuevo dispositivo gestiona el grupo de servicios cuando el otro dispositivo se vuelve inactivo.

Nota: La agrupación en clústeres WCCP permite varios dispositivos por grupo de servicios.

Limitaciones y prácticas recomendadas

A continuación se presentan las limitaciones y las prácticas recomendadas para el modo WCCP (no agrupado):

  • En los dispositivos con más de un par acelerado, todo el tráfico de un grupo de servicios WCCP determinado debe llegar al mismo par acelerado.
  • No mezcle tráfico en línea y WCCP en el mismo dispositivo. El dispositivo no aplica esta directriz, pero violarla puede causar dificultades con la aceleración. (Los modos en línea virtuales y WCCP se pueden mezclar, pero solo si el WCCP y el tráfico en línea virtual provienen de diferentes enrutadores).
  • Para sitios con un único enrutador WAN, use WCCP siempre que el modo en línea no sea práctico.
  • Solo se admite un dispositivo por grupo de servicios. Si más de un dispositivo intenta conectarse al mismo enrutador con el mismo grupo de servicios, la negociación solo tendrá éxito para el primer dispositivo.
  • Para sitios con varios enrutadores WAN atendidos por el mismo dispositivo, WCCP puede utilizarse para admitir uno, algunos o todos los enrutadores WAN. Otros enrutadores pueden usar el modo virtual en línea.

Soporte de router para WCCP

Configurar el enrutador para WCCP es muy simple. La compatibilidad con WCCP versión 2 está incluida en todos los routers modernos, habiéndose agregado al IOS de Cisco en la versión 12.0 (11) S y 12.1 (3) T. La mejor estrategia de configuración del router está determinada por las características del router y los switches. El modelado del tráfico requiere dos grupos de servicio.

Si su router admite Reverse Path Forwarding, debe inhabilitarlo en todos los puertos, ya que puede confundir el tráfico WCCP con tráfico falsificado. Esta función se encuentra en los routers Cisco más recientes, como el Cisco 7600.

Estrategias de configuración del router

Existen dos enfoques básicos para redirigir el tráfico desde el enrutador al dispositivo:

Solo en el puerto WAN, agregue una instrucción WCCP redirect in y una instrucción WCCP redirect out. En cada puerto del enrutador, excepto en el puerto conectado al dispositivo, agregue una instrucción WCCP redirect in.

El primer método redirige solo el tráfico WAN al dispositivo, mientras que el segundo redirige todo el tráfico del enrutador al dispositivo, esté relacionado o no con WAN. En un router con varios puertos LAN y tráfico LAN a LAN sustancial, el envío de todo el tráfico al dispositivo puede sobrecargar su segmento LAN y sobrecargar al dispositivo con esta carga innecesaria. Si se utiliza GRE, el tráfico innecesario también puede cargar el router.

En algunos routers, la ruta de redireccionamiento en es más rápida y pone menos carga en la CPU del router que la ruta de redireccionamiento hacia fuera. Si es necesario, esto puede determinarse mediante un experimento directo en su router: Pruebe ambos métodos de redirección bajo carga de red completa para ver cuál ofrece las tasas de transferencia más altas.

Algunos routers y conmutadores compatibles con WCCP no admiten WCCP redirect out, por lo que se debe usar el segundo método. Para evitar sobrecargar el enrutador, se recomienda evitar redirigir grandes cantidades de puertos del enrutador a través del dispositivo, tal vez mediante el uso de dos enrutadores, uno para el enrutamiento WAN y otro para el enrutamiento LAN a LAN.

En general, el método 1 es más simple, mientras que el método 2 puede proporcionar un mayor rendimiento.

Modelado de tráfico y WCCP

Un grupo de servicios puede ser TCP o UDP, pero no ambos. Para que el formador de tráfico sea eficaz, ambos tipos de tráfico WAN deben pasar por el dispositivo. Por lo tanto:

La aceleración requiere un grupo de servicios, para el tráfico TCP. El modelado del tráfico requiere dos grupos de servicios, uno para el tráfico TCP y otro para el tráfico UDP. La diferencia entre los dos se configura en el dispositivo y el router acepta esta configuración.

Configurar el router

El dispositivo negocia WCCP-GRE o WCCP-L2 automáticamente. La opción principal es entre la operación de unidifusión (en la que el dispositivo está configurado con la dirección IP de cada enrutador) o la operación de multidifusión (en la que tanto el dispositivo como los enrutadores están configurados con la dirección de multidifusión).

Operación normal (unidifusión): para el funcionamiento normal, el procedimiento consiste en declarar WCCP versión 2 y el Id. de grupo WCCP para el router en su conjunto y, a continuación, habilitar la redirección en cada interfaz WAN. A continuación se muestra un ejemplo de Cisco IOS:

config term
ip wccp version 2
! We will configure the appliance to use group 51 for TCP and 52 for UDP.
ip wccp 51
ip wccp 52

! Repeat the following three lines for each WAN interface
! you wish to accelerate:
interface your_wan_interface
! If Reverse Path Forwarding is enabled (with an ip verify unicast
! source reachable” statement), delete or comment out the statement:
! ip verify unicast source reachable-via any
! Repeat on all ports.

ip wccp 51 redirect out
ip wccp 51 redirect in
ip wccp 52 redirect out
ip wccp 52 redirect in

! If the appliance is inline with one of the router interfaces
! (NOT SUPPORTED), add the following line for that interface
! to prevent loops:
ip wccp redirect exclude in
^Z

Si varios enrutadores van a utilizar el mismo dispositivo, cada uno se configura como se muestra anteriormente, utilizando los mismos grupos de servicio o diferentes.

Operación de multidifusión: cuando se proporciona al dispositivo y a cada enrutador una dirección de multidifusión, la configuración es ligeramente diferente a la de la operación normal. A continuación se muestra un ejemplo de Cisco IOS:

config term
ip wccp version 2
ip wccp 51 group-address 225.0.0.1

! Repeat the following three lines for each WAN interface
! you wish to accelerate:
interface your_wan_interface
! If Reverse Path Forwarding is enabled (with an ip verify unicast
! source reachable” statement), delete or comment out the statement:
! ip verify unicast source reachable-via any

ip wccp 51 redirect out
ip wccp 51 redirect in
!
! The following line is needed only on the interface facing the other router,
! if there is another router participating in this service group.
ip wccp 51 group-listen

!If the appliance is inline with one of the router interfaces,
!(which is supported but not recommended), add
!the following line for that interface to prevent loops:
ip wccp redirect exclude in
^Z

Procedimiento de configuración básico para el modo WCCP en el dispositivo SD-WAN

Para la mayoría de los sitios, puede utilizar el procedimiento siguiente para configurar el modo WCCP en el dispositivo. El procedimiento tiene que establecer varios parámetros en valores predeterminados sensibles. Es posible que las implementaciones avanzadas requieran que establezca estos parámetros en otros valores. Por ejemplo, si el router ya utiliza el grupo de servicios 51 de WCCP, deberá utilizar un valor diferente para el dispositivo.

Para configurar el modo WCCP en el dispositivo:

  1. En la página Configuración: Configuración del equipo: WCCP.
  2. Si no se han definido grupos de servicios, aparece la página Seleccionar Modo. Las opciones son Single SD-WAN y Cluster (Múltiples SD-WAN). Seleccione SD-WAN único. Se le lleva a la página del WCCP. Nota: Las etiquetas de modo son engañosas. El modo SD-WAN único también se utiliza para pares de alta disponibilidad SD-WAN.
  3. Si el modo WCCP no está habilitado, haga clic en Habilitar.
  4. Haga clic en Agregar grupo de servicios.
  5. Los valores predeterminados de interfaz (apA), Protocolo (TCP), Prioridad WCCP (0), Comunicación del router (Unicast), (Contraseña en blanco) y Tiempo de vida (1) normalmente no tienen que cambiarse para el primer grupo de servicios que cree, pero si lo hacen, escriba nuevos valores en los campos proporcionados.
  6. En el campo Dirección del enrutador (si está utilizando unidifusión) o en el campo Dirección de multidifusión (si está utilizando multidifusión), escriba la dirección IP del enrutador. Utilice la IP para el puerto del router utilizado para la comunicación WCCP con el dispositivo.
  7. Si más de un enrutador utiliza WCCP para comunicarse con este dispositivo, agregue más enrutadores ahora.
  8. Si los enrutadores tienen requisitos especiales, configure los campos Reenvío del enrutador (Auto/GRE/Level-2), Retorno del paquete del enrutador (Auto/GRE/Level-2) y Asignación del enrutador (Máscara/Hash) en consecuencia. Los valores predeterminados producen resultados óptimos con la mayoría de los enrutadores.
  9. Haga clic en Agregar.
  10. Repita los pasos anteriores para crear otro grupo de servicios, para el tráfico UDP (por ejemplo, Id. de grupo de servicios 52 y UDP de protocolo).
  11. Vaya a la página Supervisión: Rendimiento del equipo: WCCP. El campo Estado debe cambiar a Conectado en 60 segundos.
  12. Envíe tráfico a través del vínculo y, en la página Conexiones, compruebe que las conexiones están llegando y se están acelerando.

Detalles de configuración del grupo de servicios WCCP

En un grupo de servicios, un enrutador WCCP y un dispositivo SD-WAN («WCCP Cache» en terminología WCCP) negocian atributos de comunicación (capacidades). El enrutador anuncia sus capacidades en el mensaje Te veo. Los atributos de comunicación son:

  • Método de reenvío: GRE o Level-2
  • Método de devolución de paquetes (solo multidifusión): GRE o Level-2
  • Método de asignación: Hash o máscara
  • Contraseña (el valor predeterminado es none)

El dispositivo activa una alerta si detecta una incompatibilidad entre sus atributos y los del enrutador. El dispositivo puede ser incompatible debido a un atributo específico de un grupo de servicios (como GRE o Level-2). Más raramente, en un grupo de servicios de multidifusión, se puede activar una alerta cuando la selección Auto elige un atributo particular con un enrutador determinado conectado, pero el atributo es incompatible con un enrutador posterior.

Las siguientes son las reglas básicas para los atributos de comunicación dentro de un dispositivo SD-WAN.

Para el reenvío del router:

  • Cuando se selecciona Automático, la preferencia es para el nivel 2, ya que es más eficiente tanto para el enrutador como para el dispositivo. El nivel 2 se negocia si el enrutador lo admite y el enrutador se encuentra en la misma subred que el dispositivo.
  • Los enrutadores de un grupo de servicios de unidifusión pueden negociar diferentes métodos si se selecciona Auto.
  • Los enrutadores de un grupo de servicios de multidifusión deben utilizar el mismo método, ya sea forzado con GRE o Nivel-2 o, con Automático, según determine el primer enrutador del grupo de servicios que se conecte.
  • Para una incompatibilidad, una alerta anuncia que el enrutador tiene reenvío de enrutador incompatible.

Para la asignación de enrutadores:

  • El valor predeterminado es Hash.

  • Cuando se selecciona Auto, el modo se negocia con el enrutador.

  • Todos los enrutadores de un grupo de servicios deben admitir el mismo método de asignación (Hash o Mask).

  • Para cualquier grupo de servicios, si este atributo está configurado como Automático, el dispositivo selecciona Hash o Máscara cuando se conecta el primer enrutador. Hash se elige si el enrutador lo admite. De lo contrario, se selecciona Máscara. El problema de que los enrutadores subsiguientes sean incompatibles con el método seleccionado automáticamente se puede minimizar seleccionando manualmente un método común a todos los enrutadores del grupo de servicios.

  • Para una incompatibilidad, una alerta anuncia que el enrutador tiene un método de asignación de enrutador incompatible.

  • Con cualquiera de los dos métodos, el dispositivo único del grupo de servicios indica a todos los enrutadores del grupo de servicios que dirijan todos los paquetes TCP o UDP al dispositivo. Los enrutadores pueden modificar este comportamiento con listas de acceso o seleccionando qué interfaces redirigir al grupo de servicios.

    Para el método Mask, el dispositivo negocia la máscara dirección IP de origen. El dispositivo no proporciona ningún mecanismo para seleccionar dirección IP de destino o los puertos para el origen o el destino. La máscara dirección IP de origen no identifica específicamente ninguna dirección IP o rango específicos. El protocolo no proporciona un medio para especificar una dirección IP específica. De forma predeterminada, dado que solo hay un único dispositivo en el grupo de servicios, se utiliza una máscara de un bit para conservar los recursos del enrutador. (La versión 6.0 utiliza una máscara más grande).

Para contraseña:

  • Si el router requiere una contraseña, la contraseña definida en el dispositivo debe coincidir. Si el enrutador no requiere una contraseña, el campo de contraseña del dispositivo debe estar en blanco.

Pruebas y solución de problemas de WCCP

Cuando se trabaja con WCCP, el dispositivo proporciona diferentes formas de supervisar el estado de la interfaz WCCP, y el router también debe proporcionar información.

PáginaSupervisión: Rendimiento del Equipo: Página WCCP: La página WCCP informa del estado actual del vínculo WCCP e informa de la mayoría de los problemas.

Entradas de Registro: la página Supervisión: Rendimiento del Equipo: Registro muestra una nueva entrada cada vez que se establece o pierde el modo WCCP.

Imagen 1. Entradas de registro de WCCP (el formato varía un poco con la versión)

Imagen localizada

Estado del router: en el router, el comando show ip wccp muestra el estado del enlace WCCP:

Router>enable
Password:
Router#show ip wccp
Global WCCP information:
    Router information:
        Router Identifier:                   172.16.2.4
        Protocol Version:                    2.0

    Service Identifier: 51
        Number of Cache Engines:             0
        Number of routers:                   0
        Total Packets Redirected:            19951
        Redirect access-list:                -none-
        Total Packets Denied Redirect:       0
        Total Packets Unassigned:            0
        Group access-list:                   -none-
        Total Messages Denied to Group:      0
        Total Authentication failures:       0

Verificar el modo WCCP

Puede supervisar la configuración de WCCP desde la GUI de SD-WAN.

Para supervisar la configuración de WCCP

  1. Acceda a la página Supervisión > Rendimiento del equipo > WCCP.
  2. Seleccione una caché y haga clic en Obtener información. Una página Estado de caché muestra la configuración de WCCP, como se muestra en la siguiente imagen.

    Imagen localizada

  3. Inicie el tráfico que debe reenviarse a través del dispositivo SD-WAN y supervise la conexión en la página Supervisión > Optimización > Conexiones.
    • Si las conexiones se muestran en la ficha Conexiones aceleradas, es un indicador de que todo está funcionando.
    • Si las conexiones se encuentran en la ficha Conexiones no aceleradas, consulte la columna Detalles. Un mensaje de asimetría de enrutamiento detectado implica que falta una de las líneas de redireccionamiento ip wccp en el router o tiene un error, o que el tráfico cliente-servidor y servidor-cliente toman diferentes rutas.
    • Si no se muestra ninguna conexión, pero el dispositivo informa de que está conectado al enrutador y la página de supervisión de WCCP no muestra ningún error, probablemente el problema esté relacionado con la configuración del enrutador.