Citrix SD-WAN

Cómo funciona el complemento WANOP

Los productos WANOP Client Plug-in utilizan su infraestructura WAN/VPN existente. Un equipo en el que está instalado el complemento continúa accediendo a la LAN, WAN e Internet como lo hacía antes de la instalación del complemento. No se requieren cambios en las tablas de redirección, la configuración de red, las aplicaciones cliente o las aplicaciones de servidor.

Las VPN de Citrix Access Gateway requieren una pequeña cantidad de configuración específica del complemento de cliente WANOP.

Hay dos variaciones en la forma en que las conexiones son manejadas por el plug-in y el dispositivo: el modo transparente y el modo de redirector. Redirector es un modo heredado que no se recomienda para nuevas implementaciones.

  • El modo transparente para la aceleración de conexión a dispositivo es muy similar a la aceleración de dispositivo a dispositivo. El dispositivo WANOP Client Plug-in debe estar en la ruta de acceso que toman los paquetes al viajar entre el complemento y el servidor. Al igual que ocurre con la aceleración de dispositivo a dispositivo, el modo transparente funciona como un proxy transparente, preservando la dirección IP de origen y destino y los números de puerto desde un extremo de la conexión al otro.

  • El modo de redirector (no recomendado) utiliza un proxy explícito. El complemento lee los paquetes salientes a la dirección IP del redirector del dispositivo. El dispositivo a su vez readapta los paquetes al servidor, mientras cambia la dirección de retorno para que apunte a sí mismo en lugar del complemento. En este modo, el dispositivo no tiene que estar físicamente en línea con la ruta entre la interfaz WAN y el servidor (aunque esta es la implementación ideal).

    Práctica recomendada: Utilice el modo transparente cuando pueda y el modo de redirección cuando sea necesario.

Modo transparente

En el modo transparente, los paquetes para conexiones aceleradas deben pasar por el dispositivo de destino, al igual que lo hacen en la aceleración de dispositivo a dispositivo.

El plug-in está configurado con una lista de dispositivos disponibles para la aceleración. Intenta ponerse en contacto con cada dispositivo, abriendo una conexión de señalización. Si la conexión de señalización se realiza correctamente, el complemento descarga las reglas de aceleración del dispositivo, que envía las direcciones de destino para las conexiones que el dispositivo puede acelerar.

Ilustración 1. Modo transparente, resaltando tres trayectorias de aceleración

Imagen localizada

Nota

  • Flujo de tráfico: El modo transparente acelera las conexiones entre un complemento cliente WANOP y un dispositivo habilitado para el complemento.
  • Licencias: Los dispositivos necesitan una licencia para admitir el número quieredo de complementos. En el diagrama, el repetidor A2 no necesita tener licencia para la aceleración del plug-in, ya que el repetidor A1 proporciona la aceleración del plug-in para el sitio A.
  • Conexión en serie: Si la conexión pasa a través de varios dispositivos en el ruta al dispositivo de destino, los dispositivos en el medio deben tener activada la conexión en cadena o la aceleración se bloquea. En el diagrama, el tráfico de los usuarios VPN móviles y de la oficina doméstica destinados a la sucursal grande B se acelera con el repetidor B. Para que esto funcione, los repetidores A1 y A2 deben tener habilitado el encadenamiento en margarita.

Cada vez que el complemento abre una nueva conexión, consulta las reglas de aceleración. Si la dirección de destino coincide con alguna de las reglas, el complemento intenta acelerar la conexión adjuntando opciones de aceleración al paquete inicial de la conexión (el paquete SYN). Si algún dispositivo conocido por el plug-in conecta opciones de aceleración al paquete de respuesta SYN-ACK, se establece una conexión acelerada con ese dispositivo.

La aplicación y el servidor no saben que se ha establecido la conexión acelerada. Solo el software del plug-in y el dispositivo saben que se está produciendo la aceleración.

El modo transparente se asemeja a la aceleración de dispositivo a dispositivo, pero no es idéntico al mismo. Las diferencias son:

  • Solo conexiones iniciadas por el cliente: El modo transparente acepta conexiones iniciadas por el sistema equipado con un complemento. Si utiliza un sistema equipado con un complemento como servidor, las conexiones del servidor no se aceleran. Por otro lado, la aceleración de dispositivo a dispositivo funciona independientemente de qué lado es el cliente y cuál es el servidor. (FTP en modo activo se trata como un caso especial, porque el servidor abre la conexión que inicia la transferencia de datos solicitada por el complemento.)

  • Conexión de señalización: El modo transparente utiliza una conexión de señalización entre el plug-in y el dispositivo para la transmisión de información de estado. La aceleración de dispositivo a dispositivo no requiere una conexión de señalización, excepto para las relaciones de pares seguras, que están inhabilitadas de forma predeterminada. Si el complemento no puede abrir una conexión de señalización, no intentará acelerar las conexiones a través del dispositivo.

  • Cadena en serie: Para un dispositivo que se encuentra en la ruta entre un complemento y su dispositivo de destino seleccionado, debe habilitar la conexión en cadena en el menú Configuración: Ajuste.

El modo transparente se usa a menudo con VPN. El complemento de cliente WANOP es compatible con la mayoría de VPN IPSec y PPTP, y con VPN de Citrix Access Gateway.

La siguiente imagen muestra el flujo de paquetes en modo transparente. Este flujo de paquetes es casi idéntico a la aceleración de dispositivo a dispositivo, excepto que la decisión de intentar o no acelerar la conexión se basa en las reglas de aceleración descargadas a través de la conexión de señalización.

Imagen 2. Flujo de paquetes en modo transparente

Imagen localizada

Modo Redirector

El modo Redirector funciona de manera diferente al modo transparente de las siguientes maneras:

  • El software WANOP Client Plug-in redirige los paquetes dirigiéndolos explícitamente al dispositivo.

  • Por lo tanto, el dispositivo en modo de redirector no tiene que interceptar todo el tráfico de enlace WAN. Debido a que las conexiones aceleradas se dirigen directamente a él, se puede colocar en cualquier lugar, siempre y cuando sea accesible tanto por el plug-in como por el servidor.

  • El dispositivo realiza sus optimizaciones y, a continuación, redirige los paquetes de salida al servidor, reemplazando la dirección IP de origen de los paquetes por su propia dirección. Desde el punto de vista del servidor, la conexión se origina en el dispositivo.

  • El tráfico de retorno del servidor se dirige al dispositivo, que realiza optimizaciones en la dirección de retorno y reenvía los paquetes de salida al complemento.

  • Los números de puerto de destino no se cambian, por lo que las aplicaciones de supervisión de red aún pueden clasificar el tráfico.

La siguiente imagen muestra cómo funciona el modo Redirector.

Ilustración 1. Modo Redirector

Imagen localizada

La siguiente imagen muestra el flujo de paquetes y la asignación de direcciones en modo de redirector.

Imagen 2. Flujo de paquetes en modo de redirector

Imagen localizada

Cómo selecciona el complemento un dispositivo

Cada complemento está configurado con una lista de dispositivos con los que puede ponerse en contacto para solicitar una conexión acelerada.

Cada uno de los dispositivos tiene una lista de reglas de aceleración, que es una lista de direcciones o puertos de destino a los que el dispositivo puede establecer conexiones aceleradas. El complemento descarga estas reglas de los dispositivos y hace coincidir la dirección de destino y el puerto de cada conexión con el conjunto de reglas de cada dispositivo. Si solo un dispositivo ofrece acelerar una conexión determinada, la selección es fácil. Si más de un dispositivo ofrece acelerar la conexión, el complemento debe elegir uno de los dispositivos.

Las reglas para la selección de dispositivos son las siguientes:

  • Si todos los dispositivos que ofrecen acelerar la conexión son dispositivos en modo de redirector, se selecciona el dispositivo situado más a la izquierda de la lista de dispositivos del complemento. (Si los dispositivos se especificaron como direcciones DNS y el registro DNS tiene varias direcciones IP, éstas también se analizan de izquierda a derecha.)

  • Si algunos de los dispositivos que ofrecen acelerar la conexión utilizan el modo de redirector y otros utilizan el modo transparente, los dispositivos de modo transparente se ignoran y la selección se realiza desde los dispositivos de modo redirector.

  • Si todos los dispositivos que ofrecen acelerar la conexión utilizan el modo transparente, el plug-in no selecciona un dispositivo específico. Inicia la conexión con las opciones SYN del complemento cliente WANOP y se utiliza el dispositivo candidato que conecte las opciones adecuadas al paquete SYN-ACK devuelto. Esto permite que el dispositivo que está en línea con el tráfico se identifique en el complemento. Sin embargo, el complemento debe tener una conexión de señalización abierta con el dispositivo que responde, de lo contrario, no se produce la aceleración.

  • Parte de la información de configuración se considera global. Esta información de configuración se toma del dispositivo situado más a la izquierda de la lista para el que se puede abrir una conexión de señalización.

Cómo funciona el complemento WANOP