Citrix SD-WAN WANOP

Cómo funciona el plug-in WANOP

Los productos WANOP Client Plug-in utilizan su infraestructura WAN/VPN existente. Un equipo en el que está instalado el complemento continúa accediendo a la LAN, WAN e Internet como lo hacía antes de la instalación del complemento. No se requieren cambios en las tablas de redirección, la configuración de red, las aplicaciones cliente o las aplicaciones de servidor.

Las VPN de Citrix Access Gateway requieren una pequeña cantidad de configuración específica del complemento de cliente WANOP.

Hay dos variaciones en la forma en que las conexiones son manejadas por el plug-in y el dispositivo: el modo transparente y el modo de redirector. Redirector es un modo heredado que no se recomienda para nuevas implementaciones.

  • El modo transparente para la aceleración de conexión a dispositivo es muy similar a la aceleración de dispositivo a dispositivo. El dispositivo WANOP Client Plug-in debe estar en la ruta de acceso que toman los paquetes al viajar entre el complemento y el servidor. Al igual que ocurre con la aceleración de dispositivo a dispositivo, el modo transparente funciona como un proxy transparente, preservando la dirección IP de origen y destino y los números de puerto desde un extremo de la conexión al otro.

  • El modo de redirector (no recomendado) utiliza un proxy explícito. El complemento lee los paquetes salientes a la dirección IP del redirector del dispositivo. El dispositivo a su vez readapta los paquetes al servidor, mientras cambia la dirección de retorno para que apunte a sí mismo en lugar del complemento. En este modo, el dispositivo no tiene que estar físicamente en línea con la ruta entre la interfaz WAN y el servidor (aunque esta es la implementación ideal).

    Práctica recomendada: Utilice el modo transparente cuando pueda y el modo de redirección cuando sea necesario.

Modo transparente

En el modo transparente, los paquetes para conexiones aceleradas deben pasar por el dispositivo de destino, al igual que lo hacen en la aceleración de dispositivo a dispositivo.

El plug-in está configurado con una lista de dispositivos disponibles para la aceleración. Intenta ponerse en contacto con cada dispositivo, abriendo una conexión de señalización. Si la conexión de señalización se realiza correctamente, el complemento descarga las reglas de aceleración del dispositivo, que envía las direcciones de destino para las conexiones que el dispositivo puede acelerar.

Ilustración 1. Modo transparente, resaltando tres trayectorias de aceleración

Modo transparente

Nota

  • Flujo de tráfico: el modo transparente acelera las conexiones entre un Citrix WANOP Client Plug-in y un dispositivo habilitado para complementos.
  • Licencias: Los dispositivos necesitan una licencia para admitir el número deseado de complementos. En el diagrama, Citrix SD-WAN WANOP A2 no necesita tener licencia para la aceleración de complementos, ya que Citrix SD-WAN WANOP A1 proporciona la aceleración del plug-in para el sitio A.
  • Conexión en serie: Si la conexión pasa a través de varios dispositivos en el camino al dispositivo de destino, los dispositivos en el medio deben tener activada la conexión en cadena o la aceleración se bloquea. En el diagrama, Citrix SD-WAN WANOP B acelera el tráfico de los usuarios de VPN móviles y de la oficina doméstica destinados a la sucursal grande B. Para que esto funcione, Citrix SD-WAN WANOP A1 y A2 debe tener habilitada la conexión en cadena.

Cada vez que el complemento abre una nueva conexión, consulta las reglas de aceleración. Si la dirección de destino coincide con alguna de las reglas, el complemento intenta acelerar la conexión adjuntando opciones de aceleración al paquete inicial de la conexión (el paquete SYN). Si algún dispositivo conocido por el plug-in conecta opciones de aceleración al paquete de respuesta SYN-ACK, se establece una conexión acelerada con ese dispositivo.

La aplicación y el servidor no saben que se ha establecido la conexión acelerada. Solo el software del plug-in y el dispositivo saben que se está produciendo la aceleración.

El modo transparente se asemeja a la aceleración de dispositivo a dispositivo, pero no es idéntico al mismo. Las diferencias son:

  • Solo conexiones iniciadas por el cliente: El modo transparente acepta conexiones iniciadas por el sistema equipado con un complemento. Si utiliza un sistema equipado con un complemento como servidor, las conexiones del servidor no se aceleran. Por otro lado, la aceleración de dispositivo a dispositivo funciona independientemente de qué lado es el cliente y cuál es el servidor. (FTP en modo activo se trata como un caso especial, porque el servidor abre la conexión que inicia la transferencia de datos solicitada por el complemento.)

  • Conexión de señalización: El modo transparente utiliza una conexión de señalización entre el plug-in y el dispositivo para la transmisión de información de estado. La aceleración de dispositivo a dispositivo no requiere una conexión de señalización, excepto para las relaciones de pares seguras, que están inhabilitadas de forma predeterminada. Si el complemento no puede abrir una conexión de señalización, no intentará acelerar las conexiones a través del dispositivo.

  • Cadena en serie: Para un dispositivo que se encuentra en la ruta entre un complemento y su dispositivo de destino seleccionado, debe habilitar la conexión en cadena en el menú Configuración: Ajuste.

El modo transparente se usa a menudo con VPN. El complemento de cliente WANOP es compatible con la mayoría de VPN IPSec y PPTP, y con VPN de Citrix Access Gateway.

La siguiente imagen muestra el flujo de paquetes en modo transparente. Este flujo de paquetes es casi idéntico a la aceleración de dispositivo a dispositivo, excepto que la decisión de intentar o no acelerar la conexión se basa en las reglas de aceleración descargadas a través de la conexión de señalización.

Imagen 2. Flujo de paquetes en modo transparente

Flujo de modo transparente

  1. La aplicación del usuario abre una conexión TCP al servidor, enviando un paquete TCP SYN.

    Src: 10.0.0.50, Dst: 10.200.0.10

  2. El plug-in WANOP busca la dirección de destino y comprueba que coincide con una subred acelerada por el dispositivo. Se adjunta opciones WANOP al encabezado TCP del paquete SYN. No se cambian las direcciones.

    Src: 10.0.0.50, Dst: 10.200.0.10

  3. El dispositivo toma nota de las opciones SYN y reconoce que se trata de una conexión que se puede acelerar. Elimina las opciones del paquete y le permite pasar al servidor. No se cambian las direcciones.

    Src: 10.0.0.50, Dst: 10.200.0.10

  4. El servidor acepta la conexión y responde con un paquete TCP SYN-ACK.

    Src: 10.200.0.10, Dst: 10.0.0.50

  5. El dispositivo etiqueta el paquete SYN-ACK con una opción de encabezado TCP que muestra que se producirá la aceleración.

    Src: 10.200.0.10, Dst: 10.0.0.50

  6. El plug-in WANOP recibe el paquete SYN-ACK. Las opciones en los encabezados de paquetes indican que la conexión está acelerada. El Plug-in elimina las opciones y pasa el paquete SYN-ACK a la aplicación. La conexión está ahora completamente abierta y acelerada.

Modo Redirector

El modo Redirector funciona de manera diferente al modo transparente de las siguientes maneras:

  • El software WANOP Client Plug-in redirige los paquetes dirigiéndolos explícitamente al dispositivo.

  • Por lo tanto, el dispositivo en modo de redirector no tiene que interceptar todo el tráfico de enlace WAN. Debido a que las conexiones aceleradas se dirigen directamente a él, se puede colocar en cualquier lugar, siempre y cuando sea accesible tanto por el plug-in como por el servidor.

  • El dispositivo realiza sus optimizaciones y, a continuación, redirige los paquetes de salida al servidor, reemplazando la dirección IP de origen de los paquetes por su propia dirección. Desde el punto de vista del servidor, la conexión se origina en el dispositivo.

  • El tráfico de retorno del servidor se dirige al dispositivo, que realiza optimizaciones en la dirección de retorno y reenvía los paquetes de salida al complemento.

  • Los números de puerto de destino no se cambian, por lo que las aplicaciones de supervisión de red aún pueden clasificar el tráfico.

La siguiente imagen muestra cómo funciona el modo Redirector.

Ilustración 1. Modo Redirector

Aceleración del plug-in del cliente de WANOP

La siguiente imagen muestra el flujo de paquetes y la asignación de direcciones en modo de redirector.

Imagen 2. Flujo de paquetes en modo de redirector

Modo de redireccionamiento de flujo de paquetes

  1. La aplicación del usuario abre una conexión TCP al servidor, enviando un paquete TCP SYN.

    Src: 10.0.0.50, Dst: 10.200.0.10

  2. Citrix SD-WAN WANOP Plug-in busca la dirección de destino y decide redirigir la conexión al dispositivo en 10.200.0.201.

    Src: 10.0.0.50, Dst: 10.200.0.201

    (10.200.0.10 se conserva en un campo de opción TCP. Las opciones 24-31 se utilizan para varios parámetros.)

  3. El dispositivo acepta la conexión y reenvía el paquete al servidor (mediante la dirección de destino del campo de opciones TCP) y se da a sí mismo como origen.

    Src: 10.200.0.201, Dst: 10.200.0.10

  4. El servidor acepta la conexión y responde con un paquete TCP SYN-ACK.

    Src: 10.200.0.10, Dst: 10.200.0.201

  5. El dispositivo vuelve a escribir las direcciones y reenvía el paquete al Plug-in (Colocación de la dirección del servidor en un campo de opción).

    Src: 10.200.0.201, Dst: 10.0.0.50

  6. La conexión ahora está completamente abierta. El cliente y el servidor envían paquetes de ida y vuelta a través del dispositivo.

    Mientras que las direcciones están en capas en modo Redirector, los números de puerto de desitnation son nit (aunque el número de puerto efímero puede serlo). Los datos no están encapsulados. El modo Redirector es un proxy, no un túnel.

    No hay relación 1:1 entre paquetes (aunque al final, los datos recibidos siempre son idénticos a los datos enviados). La compresión puede reducir muchos paquetes de entrada en un solo paquete. La aceleración de CIFS llevará a cabo operaciones especulativas de lectura anticipada y de retraso negativo. Además, si los paquetes se caen entre el dispositivo y el complemento Reperter, la retransmisión es manejada por el dispositivo, no el servidor, mediante algoritmos de recuperación avanzados.

Cómo selecciona el complemento un dispositivo

Cada complemento está configurado con una lista de dispositivos con los que puede ponerse en contacto para solicitar una conexión acelerada.

Cada uno de los dispositivos tiene una lista de reglas de aceleración, que es una lista de direcciones o puertos de destino a los que el dispositivo puede establecer conexiones aceleradas. El complemento descarga estas reglas de los dispositivos y hace coincidir la dirección de destino y el puerto de cada conexión con el conjunto de reglas de cada dispositivo. Si solo un dispositivo ofrece acelerar una conexión determinada, la selección es fácil. Si más de un dispositivo ofrece acelerar la conexión, el complemento debe elegir uno de los dispositivos.

Las reglas para la selección de dispositivos son las siguientes:

  • Si todos los dispositivos que ofrecen acelerar la conexión son dispositivos en modo de redirector, se selecciona el dispositivo situado más a la izquierda de la lista de dispositivos del complemento. (Si los dispositivos se especificaron como direcciones DNS y el registro DNS tiene varias direcciones IP, éstas también se analizan de izquierda a derecha.)

  • Si algunos de los dispositivos que ofrecen acelerar la conexión utilizan el modo de redirector y otros utilizan el modo transparente, los dispositivos de modo transparente se ignoran y la selección se realiza desde los dispositivos de modo redirector.

  • Si todos los dispositivos que ofrecen acelerar la conexión utilizan el modo transparente, el plug-in no selecciona un dispositivo específico. Inicia la conexión con las opciones SYN del complemento cliente WANOP y se utiliza el dispositivo candidato que conecte las opciones adecuadas al paquete SYN-ACK devuelto. Esto permite que el dispositivo que está en línea con el tráfico se identifique en el complemento. Sin embargo, el complemento debe tener una conexión de señalización abierta con el dispositivo que responde, de lo contrario, no se produce la aceleración.

  • Parte de la información de configuración se considera global. Esta información de configuración se toma del dispositivo situado más a la izquierda de la lista para el que se puede abrir una conexión de señalización.

Cómo funciona el plug-in WANOP