Arquitectura de referencia Citrix SD-WAN

Destinatarios

Este documento describe el marco, el diseño y la arquitectura de Citrix SD-WAN en un solo entorno de región. Este documento también se centra en la solución Citrix SD-WAN que aprovecha las consideraciones de seguridad de red y SD-WAN Orchestrator.

El documento está destinado a responsables de la toma de decisiones de TI, administradores de red, integradores de soluciones, socios, proveedores de servicios en la nube y proveedores de servicios gestionados.

Los temas tratados en este artículo son aplicables tanto a la edición estándar como a la edición premium de Citrix SD-WAN. Los temas discutidos no son aplicables a WANOP Edition, que tiene funciones y capacidades diferentes.

Arquitectura de Citrix SD-WAN

Citrix SD-WAN se puede implementar en varios modos de implementación y proporciona la flexibilidad necesaria para integrar los dispositivos, tanto físicos como virtuales, en el diseño de red existente del cliente. Consulte el enlace Citrix Tech Zone para obtener información general sobre SD-WAN. Los siguientes son algunos de los casos de casos de uso implementados mediante dispositivos SD-WAN.

  • SD-WAN en modo perimetral
  • SD-WAN en modo virtual en línea
  • SD-WAN en modo en línea
  • Implementación de una sola región
  • Implementación en varias regiones
  • Alta disponibilidad

SD-WAN en modo perimetral

El modo perimetral (también conocido como modo de puerta de enlace) coloca el dispositivo SD-WAN físicamente en la ruta (implementación de dos brazos) y requiere cambios en la infraestructura de red existente para insertar los dispositivos SD-WAN como puerta de enlace predeterminada para toda la red LAN de esa sucursal. Una SD-WAN implementada en modo Edge actúa como un dispositivo de Capa 3 y no puede realizar un error de conexión a cable, todas las interfaces involucradas se configurarán para “Fail-to-Block”. En caso de fallo del dispositivo si no se implementa en Alta disponibilidad (HA), también se producirá un error en la Gateway predeterminada del sitio, lo que provocará una interrupción en ese sitio hasta que se restaure el dispositivo.

SDWAN-RA-Image-1

SD-WAN en modo en línea

Modo en línea, en este modo, el dispositivo parece ser un puente Ethernet. La mayoría de los modelos de dispositivos incluyen una función de “error a cable” (derivación Ethernet) para el modo en línea. Si falla la alimentación, se cierra un relé y los puertos de entrada y salida se conectan eléctricamente, lo que permite que la señal Ethernet pase de un puerto a otro como si el dispositivo no estuviera allí. En el modo de conmutación por error, el dispositivo parece un cable cruzado que conecta los dos puertos.

En el siguiente diagrama, las interfaces 1/1 y 1/2 son pares de derivación de hardware y no pueden conectar el núcleo al router MPLS de borde. Las interfaces 1/3 y 1/4 también son pares de derivación de hardware y no pueden conectar el núcleo al firewall perimetral.

SDWAN-RA-Image-2

SD-WAN en modo virtual en línea

Modo virtual en línea, en el que un enrutador reenvía el tráfico destinado a WAN al dispositivo Citrix SD-WAN y el dispositivo lo devuelve al enrutador. Este modo es el menos disruptivo y suele aprovecharse para los centros de datos.

SDWAN-RA-Image-3

Ejemplo de alto nivel de arquitectura Citrix SD-WAN

SDWAN-RA-Image-4

El caso de uso de Citrix SD-WAN en foco

En este documento, nos centraremos en una implementación de una sola región con 30 sucursales para demostrar la arquitectura en la que la SD-WAN se adapta mejor a la red existente de un cliente y proporciona los beneficios. El contexto de una sola región se refiere a que todos los nodos de sucursal terminen sus rutas virtuales directamente en el nodo de control maestro (MCN) en lugar de tener varias regiones, lo que es un requisito cuando el número de nodos de la red está por encima del número máximo de rutas virtuales admitidas por un solo dispositivo. Citrix SD-WAN Orchestrator

Citrix SD-WAN Orchestrator es una oferta SaaS de administración multiarrendatario alojada en la nube, que los socios de Citrix, CSP y MSP pueden aprovechar para ofrecer servicios SD-WAN gestionados a sus clientes. El SD-WAN Orchestrator proporciona una interfaz de administración de vidrio de un solo panel para administrar varios clientes de forma centralizada, con controles de acceso basados en roles adecuados.

Las siguientes son algunas de las capacidades clave:

  • Multiarrendamiento y RBAC: El servicio permite a los partners de Citrix incluir y administrar varios clientes SD-WAN, con un único panel de vidrio y controles de acceso adecuados basados en roles.
  • Configuración centralizada: Configuración centralizada de redes SD-WAN, con flujos de trabajo guiados, ayudas visuales y perfiles.
  • Licencias centralizadas: Licencias para cualquier dispositivo SD-WAN conectado.
  • Aprovisionamiento sin contacto: Integración perfecta de la red y las conexiones para dispositivos físicos y virtuales.
  • Directivas centradas en las aplicaciones: Gestión del tráfico basada en aplicaciones, calidad de servicio (QoS) y directivas de firewall, configurables globalmente o por sitio.
  • Resumen jerárquico del estado: Capacidad para supervisar centralmente el estado, el uso, la calidad y el rendimiento de una red, con la capacidad de profundizar en sitios individuales y conexiones asociadas.
  • Solución de problemas: Registros de dispositivos y auditoría, utilidades de diagnóstico como Ping, Traceroute, Captura de paquetes para solucionar problemas de conectividad de red.

Cada uno de los sitios de sucursal y DC necesita tener conectividad a Internet a través de su interfaz de administración para acceder a SD-WAN Orchestrator. El software Citrix SD-WAN versión 10.1.1 es el software de dispositivo mínimo admitido en SD-WAN Orchestrator.

Implementación de una sola región

Un cliente minorista bien establecido XYZ se ha acercado a Citrix con un requisito de diseño en virtud del cual tienen 30 sucursales minoristas, estas sucursales actualmente están haciendo copias de seguridad de todos sus datos a través de sus circuitos MPLS a la oficina central. La ampliación de estos circuitos se ha considerado como una solución escalable y es de coste. prohibitivo. Durante las discusiones se ha decidido que una gran cantidad del tráfico generado por la sucursal se puede dividir localmente, esto incluye SaaS basado en la nube, así como tráfico no relacionado con el negocio, como las redes sociales.

El cliente estaba buscando orientación y ha decidido que el tráfico crítico de medios sociales/ no empresariales quedará completamente bloqueado en algunas ubicaciones debido a la disponibilidad limitada del ancho de banda y a la falta de planes actuales para ampliar la capacidad del sitio en un futuro próximo.

En conjunción con los requisitos anteriores, el cliente tiene el requisito de segregar de forma segura el tráfico de red mientras proporciona Wi-Fi invitado mientras mantiene esto aislado del tráfico corporativo, además, el tráfico generado internamente se dividirá a través de dominios de enrutamiento para proporcionar una capa adicional de seguridad de tal manera que el TPV está separado de las terminales del taller.

El cliente también ha advertido que actualmente no están en condiciones de implementar una solución SD-WAN en todos los sitios debido al presupuesto y la asignación de recursos, por lo que la conectividad deberá establecerse con el uso de los circuitos MPLS existentes y, por lo tanto, los servicios de Intranet.

Cliente minorista: Arquitectura de red existente

Antes de continuar con cualquier configuración SD-WAN, el administrador de red siempre necesita comprender correctamente la red existente (subyacente) y comprender completamente las limitaciones de esta que requieren la necesidad de una solución SD-WAN.

Actualmente, el cliente tiene una red resistente al tener un centro de datos primario y secundario para aplicaciones empresariales. El centro de datos primario tiene dos circuitos MPLS (10 y 20 Mbps) terminados en el router CE, y el centro de datos secundario tiene un circuito MPLS (20 Mbps) terminado para la conectividad WAN. El centro de datos primario conmutará por error al centro de datos secundario en caso de desastre en el centro de datos primario.

El punto de venta (POS) y otras aplicaciones críticas para el negocio se alojan en el centro de datos. Todas las ubicaciones de sucursales están configuradas para acceder al TPV y otras aplicaciones empresariales a través del enlace MPLS al centro de datos. Actualmente algunas de las ubicaciones de sucursales tienen dos enlaces MPLS para redundancia, pero están configuradas como Activo/Pasivo y, por lo tanto, no están utilizando completamente el ancho de banda que están pagando. Todos los usuarios de la sucursal acceden a Internet a través de la ruptura del centro de datos, por lo que todo el tráfico debe atravesar los circuitos MPLS sobresuscritos, para hacer frente a esto el cliente está planeando introducir la ruptura de Internet local en algunas de las sucursales para proporcionar conectividad directa a Internet y SaaS alojado en la nube aplicaciones.

SDWAN-RA-Image-5

Ventajas de la implementación de Citrix SD-WAN

  1. Citrix SD-WAN permite la agregación de enlaces WAN, lo que elimina el tiempo de inactividad si uno de los enlaces falla o se produce una gran pérdida de paquetes
  2. Mejora del rendimiento de las aplicaciones y la calidad de servicio (QoS) para todos los usuarios de la sucursal mientras acceden a las aplicaciones empresariales
  3. Reduce los costes de WAN al permitir que el cliente aumente sus circuitos MPLS con conectividad LTE y banda ancha de bajo precio en ubicaciones de sucursales
  4. Mejora de la conectividad empresarial y las capacidades de recuperación ante desastres que mantienen la conectividad incluso durante fallas de múltiples enlaces
  5. Simplificación de las redes de sucursales mediante la consolidación de las funciones de red en un dispositivo perimetral WAN integrado y la centralización de la administración y la definición de directivas

Cliente minorista: Diseño de red para Citrix SD-WAN

SDWAN-RA-Image-6

El diagrama anterior representa el diseño de red de superposición propuesto que incorpora Citrix SD-WAN, en las siguientes secciones profundizaremos en cada centro de datos y las sucursales para comprender la configuración de SD-WAN y cómo forma la conectividad WAN virtual mediante diferentes tipos de acceso: MPLS, Internet y enlaces 4G/LTE.

SD-WAN Orchestrator

Los dispositivos SD-WAN están configurados para conectarse con SD-WAN Orchestrator basado en la nube a través de Internet mediante las interfaces de administración de los dispositivos. SD-WAN Orchestrator distribuirá la configuración y el software a cada dispositivo SD-WAN en paralelo, también sondea los datos de cada dispositivo SD-WAN para la supervisión y la generación de informes. Era necesario aplicar reglas de firewall para permitir el acceso a Internet de los dispositivos SD-WAN para que pudieran comunicarse con Citrix Cloud SD-WAN Orchestrator Service.

SDWAN-RA-Image-7

Configuración del centro de datos principal

El dispositivo SD-WAN en el centro de datos principal se implementa mediante el modo Virtual Inline, que a veces también se denomina modo de enrutamiento basado en directivas (PBR). Existen dos métodos mediante los cuales el tráfico se puede redirigir al dispositivo SD-WAN

  • Enrutamiento basado en directivas
  • Protocolo de enrutamiento dinámico

La solución Citrix SD-WAN admite tanto el enrutamiento estático como los protocolos de enrutamiento dinámico.

Los dispositivos SD-WAN pueden realizar el descubrimiento de rutas de anuncios de enrutamiento de capa 3 dentro de la red del cliente existente para cada uno de los protocolos de enrutamiento dinámico deseados (OSPF y BGP), lo que elimina el requisito de que los administradores de SD-WAN definan estáticamente las redes LAN y WAN para cada dispositivo que forme parte de la red SD-WAN.

Para redes con Route Learning habilitado, Citrix SD-WAN proporciona más control sobre qué rutas SD-WAN se anuncian a los vecinos de enrutamiento en lugar de publicidad de todas o ninguna de las rutas. Los filtros de exportación se utilizan para incluir o excluir rutas para anuncios mediante protocolos OSPF y BGP basados en coincidencias específicas criterios. El filtrado de rutas se implementa en rutas LAN en una red SD-WAN (Datacenter/Branch) y se anuncia a una red que no sea SD-WAN a través de eBGP. El administrador de SD-WAN puede configurar 32 filtros de exportación en función de sus requisitos. Los filtros de exportación son los filtros utilizados para priorizar el dominio de enrutamiento específico o el dominio de enrutamiento predeterminado según el orden específico.

  • Importar filtros: (Valor predeterminado: no importar ninguno)
  • Exportar filtros: (Valor predeterminado: exportar todas las rutas estáticas y de túnel)

El tipo de ruta OSPF de exportación es de tipo 5 externo de forma predeterminada, por lo que la tabla de enrutamiento SD-WAN se considera externa al protocolo OSPF y, por lo tanto, OSPF preferirá una ruta aprendida interna (dentro de área), por lo tanto, las rutas anunciadas por SD-WAN pueden no tener prioridad. Cuando OSPF se utiliza a través de la WAN (es decir, redes MPLS), esto se puede cambiar a Tipo 1 dentro del área. SD-WAN ahora puede anunciar rutas como rutas dentro de área (LSA Type 1) para obtener preferencia según su coste de ruta mediante el algoritmo de selección de rutas OSPF.

Nodo de control maestro

En el contexto de una implementación de región única, los dispositivos del centro de datos son los dispositivos de cabecera que están configurados para ser el MCN (nodo principal de control). MCN requiere configurar una dirección IP estática. El nodo de control maestro (MCN) es el dispositivo WAN virtual central responsable de la sincronización de la hora, las actualizaciones de enrutamiento y el concentrador de los dispositivos de sucursal. Normalmente, los dispositivos de cabecera se implementan en Alta disponibilidad. Dado que el cliente tiene dos centros de datos para la recuperación ante desastres, el centro de datos principal se configura como MCN primario (esto puede ser un par de HA) y el centro de datos secundario se configura como MCN secundario (que también puede ser un par de HA).

Modo de alta disponibilidad

La configuración de alta disponibilidad (HA) de Citrix SD-WAN tiene dos dispositivos SD-WAN en el centro de datos principal que funcionan en una asociación activa/en espera, con fines de redundancia: ambos dispositivos en un par de alta disponibilidad deben ser del mismo modelo de dispositivo.

Para definir la configuración de alta disponibilidad, el administrador de SD-WAN ha configurado el nombre del dispositivo de alta disponibilidad con el modo como MCN principal. Es posible establecer un tiempo de conmutación por error, en milisegundos, que especifica el tiempo de espera en caso de fallo de latidos antes de invocar el dispositivo MCN en espera como nodo activo; el valor predeterminado para el tiempo de conmutación por error es de 1000 ms. Además de esta configuración, el administrador ha seleccionado la opción Primary Reclaim para que el MCN principal recupere el control al reiniciar después de un evento de conmutación por error. High Availability tiene una configuración adicional para la dirección MAC de base compartida que se puede configurar para compartir las direcciones MAC de interfaz entre los dispositivos en un par de alta disponibilidad. Si se produce una conmutación por error, el dispositivo secundario tiene las mismas direcciones MAC virtuales que el dispositivo principal con error. Para plataformas basadas en la nube, existe una opción adicional para inhabilitar la dirección MAC de base compartida.

En la configuración de interfaces IP de alta disponibilidad, el administrador ha seleccionado la interfaz virtual para la comunicación de latidos entre los dispositivos del par HA con direcciones IP primarias y secundarias. Es importante tener en cuenta que la conmutación por error se produce durante la falla de latido de primaria a secundaria solo para las interfaces que se supervisan, si hay interfaces que no se supervisan para errores de latido en el dispositivo SD-WAN y hay una interrupción en esas interfaces que los dispositivos no conmutarán por error.

La dirección IP del rastreador externo se configuró para que ARPs el enrutador ascendente y actualiza el estado con respecto al estado del dispositivo principal; si hay un error en la respuesta, el SD-WAN inicia la conmutación por error.

SDWAN-RA-Image-8

Ruta virtual

El administrador de SD-WAN creó un túnel de ruta WAN a través de cada vínculo WAN entre los dispositivos SD-WAN de sucursales y del centro de datos configurando la IP virtual para representar el punto final de cada vínculo WAN. Esta configuración permite agregar varios enlaces WAN (vínculos físicos) en una única ruta virtual que permite a los paquetes atravesar la WAN mediante la red de superposición SD-WAN en lugar del calco subyacente existente, la ruta virtual es un túnel basado en UDP que utiliza el puerto UDP 4980. El administrador de red asegura que los firewalls, enrutadores, IPS e IDS de aguas arriba tienen las reglas necesarias para permitir que los paquetes UDP 4980 a través de los enlaces WAN establezcan la ruta virtual entre dispositivos SD-WAN.

El servicio Ruta virtual de SD-WAN administra el tráfico a través de las rutas virtuales. Una ruta virtual es un enlace lógico entre dos o más enlaces WAN que conectan los sitios SD-WAN. Es la agrupación de diferentes tipos de acceso WAN para proporcionar altos niveles de servicio y comunicación confiable entre nodos SD-WAN. Esto se logra midiendo constantemente las condiciones de ruta WAN del calco subyacente. El dispositivo de origen (envío) agrega un encabezado a cada paquete con información sobre las funciones del enlace actual. El dispositivo de destino (receptor) lee estos encabezados y utiliza los datos para comprender el tiempo de tránsito, la congestión, la fluctuación, la pérdida de paquetes y otra información sobre el rendimiento y el estado de la ruta.

Los dispositivos SD-WAN miden la ruta de acceso unidireccionalmente y seleccionan la mejor ruta de acceso por paquete. Citrix SD-WAN ofrece una selección de rutas basada en paquetes para una rápida adaptación a cualquier cambio de red. Los dispositivos SD-WAN pueden detectar interrupciones de rutas después de solo dos o tres paquetes que falten, lo que permite una conmutación por error de subsegundo sin problemas del tráfico de aplicaciones a la siguiente mejor ruta WAN. Los dispositivos SD-WAN vuelven a calcular cada estado de enlace WAN en unos 50 ms.

Una ruta virtual puede ser estática o dinámica entre sucursales, sin embargo, todas las sucursales deben tener una ruta estática al MCN. Las rutas virtuales dinámicas se establecen directamente entre sitios en función de un umbral configurado. El umbral se basa en la cantidad de tráfico que se produce entre esos sitios. Las rutas virtuales dinámicas se crean solo después de alcanzar el umbral especificado. La ruta virtual dinámica tiene el coste de ruta predeterminado de 5 y hay límites y temporizadores predeterminados:

  • Tiempo de espera de desconexión por la desconexión de la ruta virtual: 1 minuto
  • Tiempo de espera de la recreación de ruta virtual (m): 10 minutos
  • Límites de creación
    • Tiempo de muestra: 1 segundo
    • Rendimiento: 600 kbps
    • Rendimiento: 45 pps
  • Límites de eliminación
    • Tiempo de muestra: 2 segundos
    • Rendimiento: 45 kbps
    • Rendimiento: 35 pps

Proteger la ruta virtual

El cifrado AES-128 bits está habilitado para rutas virtuales de forma predeterminada con AES-256 e IPSec también disponible, esto es para la ruta virtual La opción “habilitar rotación de clave de cifrado”, que está habilitada de forma predeterminada, está configurada para garantizar la regeneración de claves para cada ruta virtual con cifrado habilitado mediante una curva elíptica Diffie -Intercambio de claves Hellman a intervalos de 10-15 minutos y esto es configurable.

Hay una clave secreta para cada sitio; para cada ruta virtual, la configuración de red genera una clave combinando las claves secretas de los sitios en cada extremo de la ruta virtual. El intercambio de claves inicial que se produce después de configurar por primera vez una ruta virtual depende de la capacidad de cifrar y descifrar paquetes con esa clave combinada.

Citrix SD-WAN admite IPSec que permite que los dispositivos de terceros terminen túneles VPN IPSec en el lado LAN o WAN de un dispositivo Citrix SD-WAN. El administrador puede proteger los túneles IPSec de sitio a sitio que terminan en un dispositivo SD-WAN mediante un binario criptográfico IPSec certificado FIPS 140-2 de nivel 1. SD-WAN también admite tunelización IPSec resistente mediante un mecanismo de túnel de ruta virtual diferenciado.

Configuración del centro de datos secundario

Los dispositivos SD-WAN del centro de datos secundario también se implementan en modo virtual en línea (PBR), los dispositivos SD-WAN del centro de datos secundario se configuran como MCN secundarios en una configuración de HA paralela.

SDWAN-RA-Image-9

Failover de MCN primario a secundario

SDWAN-RA-Image-10

El MCN secundario supervisa continuamente el estado del MCN primario y, si el MCN primario falla, el MCN secundario asume la función del MCN, el MCN primario a MCN secundario pasa después de 15 segundos de que el MCN primario esté inactivo. La opción de recuperación principal no está disponible para MCN secundario, ya que la recuperación principal se produce automáticamente después de que el dispositivo principal vuelva a estar activado y cuando caduque el temporizador de umbral.

Backhaul de Internet al centro de datos MCN

El término “backhaul” indica el tráfico destinado a que Internet se envíe de vuelta a otro sitio predefinido que tiene acceso a Internet a través de un enlace WAN. Este puede ser el caso de las redes que no permiten el acceso a Internet directamente en una sucursal debido a problemas de seguridad o a las limitaciones de la red subyacente. El administrador de red puede configurar que todo el tráfico se realice de nuevo en el MCN, ya sea para recursos de DC o acceso a Internet; sin embargo, se pueden aprovechar otros sitios de nodo de sucursal de Citrix SD-WAN para acceder a Internet.

Para algunos entornos, el backhaul de todo el tráfico de Internet del sitio remoto a través de la DMZ reforzada en el centro de datos puede ser el enfoque más deseado para proporcionar acceso a Internet a los usuarios de las sucursales. Sin embargo, este enfoque tiene sus limitaciones para tener en cuenta y el tamaño adecuado de los enlaces WAN subyacentes.

  • El backhaul del tráfico de Internet agrega latencia a la conectividad de Internet y es variable en función de la distancia del sitio de sucursal para el centro de datos
  • El backhaul del tráfico de Internet consume ancho de banda en la ruta virtual y debe tenerse en cuenta en el tamaño de los enlaces WAN
  • El backhaul del tráfico de Internet puede sobresuscribirse al vínculo WAN de Internet en el centro de datos, especialmente cuando se aprovecha el modo virtual en línea.

Acceso a Citrix Virtual Apps and Desktops para usuarios de sucursales

El entorno Citrix Virtual Apps and Desktops está alojado en las ubicaciones del centro de datos para todos los usuarios de sucursales que necesitan acceder al entorno CVAD a través de la red MPLS, que incluye todas las capacidades de experiencia de usuario de Citrix HDX, como impresión, multimedia, etc. Citrix SD-WAN permite al cliente ofrecer la mejor experiencia de usuario para los usuarios de la sucursal mientras acceden al entorno Citrix Virtual Apps and Desktops.

Configuración de la sucursal 1

El procedimiento para agregar un sitio de sucursal es el mismo que crear y configurar el sitio de MCN mediante SD-WAN Orchestrator. Sin embargo, algunos de los pasos y parámetros de configuración varían ligeramente para los sitios de sucursal. Además, una vez que hayamos agregado un sitio de sucursal inicial, para los sitios que tienen el mismo modelo de dispositivo podemos usar la función de clon (duplicado) para agilizar el proceso de adición y configuración de dichos sitios.

El dispositivo SD-WAN en la sucursal 1 se implementa mediante el modo en línea. La configuración de conmutación por error se ha aplicado para conectar los enlaces en caso de falla de hardware o software, lo que permitirá a los usuarios acceder aún a las aplicaciones críticas para el negocio y POS a través de MPLS.

Dado que la rama-1 solo tiene un único enlace MPLS y no hay un enlace a Internet todo el tráfico de Internet debe volver al centro de datos, el cliente decidió utilizar el enlace de Internet que está disponible en la rama-2 con ancho de banda adecuado para el acceso a Internet de la rama-1. El administrador de SD-WAN ha verificado que la latencia para llegar a la bifurca-2 es menor que la comparación con los centros de datos, por lo que utilizar Internet en la bifurca-2 proporcionaría un rendimiento óptimo para los usuarios de la bifurca-1. Este requisito se logra a través de la implementación de horquilla. Tenga en cuenta que el administrador de SD-WAN habilitó el reenvío de WAN a WAN para permitir que este sitio sirva como proxy para sitios de salto múltiple.

Implementación de horquilla

La implementación de Hairpin ayuda a un cliente a implementar una configuración que permite a un sitio utilizar el enlace WAN de un sitio de concentrador remoto para el acceso a Internet, ya que los servicios locales de Internet no están disponibles.

El propósito de una implementación de horquilla es permitir el acceso directo a la aplicación a través de un enlace de Internet que no es local a la sucursal o al sitio. Los clientes tendrán la capacidad de utilizar un sitio remoto para acceder a Internet cuando surjan necesidades y pueden redirigir flujos a través de la ruta virtual.

Para lograr el requisito deseado, el cliente creó y aplicó la configuración de implementación de horquilla para el dispositivo SD-WAN de la sucursal 1 para que los usuarios de la sucursal 1 puedan acceder a Internet a través de la sucursal 2 y las mismas directivas y configuración se propagaron a las sucursales mediante el orquestador SD-WAN. El cliente también se aseguró de que la bifurca-2 tiene la cantidad necesaria de ancho de banda a través del enlace de Internet para acomodar el tráfico adicional de la bifurca-1.

Visibilidad de aplicaciones mediante Inspección profunda de paquetes (DPI)

Citrix SD-WAN cuenta con una biblioteca integrada de Inspección profunda de paquetes (DPI) que permite el descubrimiento y la clasificación de aplicaciones en tiempo real. Mediante el motor DPI integrado, el dispositivo SD-WAN analiza el paquete entrante y lo clasifica como perteneciente a una aplicación o familia de aplicaciones.

Gracias a la visibilidad de aplicaciones basada en DPI, Citrix SD-WAN puede detectar más de 4.500 aplicaciones y subaplicaciones. Esta función emplea una variedad de coincidencia de patrones, comportamiento de sesión, almacenamiento en caché DNS y técnicas de clasificación basadas en puertos para proporcionar visibilidad de capa 7 en tiempo real en todas las aplicaciones que atraviesan la WAN, incluido el tráfico cifrado SSL como HTTPS, IMAPS, etc. Citrix SD-WAN no solo proporciona visibilidad en aplicaciones como redes sociales (Facebook, YouTube y Twitter), O365, Oracle, etc., sino que también proporciona visibilidad sobre el consumo de ancho de banda de las aplicaciones, para garantizar que las aplicaciones críticas para la empresa no tengan hambre de ancho de banda.

Dado que los usuarios de la bifurca-1 son retrotransportados a la bifurca-2 para acceder a las aplicaciones a través del enlace de Internet, el cliente decidió supervisar el acceso a nivel de aplicación y su utilización del ancho de banda para comprender el patrón de acceso y controlar el acceso solo para las aplicaciones que necesitan el negocio. El cliente ha creado directivas de aplicación que bloquean un grupo de aplicaciones recién creado llamado “Social Media” que incluye los gustos de Facebook, YouTube, Twitter, etc.

Con esta configuración, los usuarios de la sucursal 1 solo podían acceder a Internet para aplicaciones críticas para el negocio y el acceso no relacionado con el negocio se ha bloqueado en la propia sucursal 1 SD-WAN, ahorrando así un valioso ancho de banda.

SDWAN-RA-Image-11

Dominios de redirección

Citrix SD-WAN proporciona la capacidad de segmentar redes para obtener más seguridad y capacidad de administración mediante el enrutamiento y reenvío virtuales (VRF-Lite). El cliente puede separar el tráfico de red invitado del tráfico de producción de empleados, crear dominios de enrutamiento distintos para segmentar grandes redes corporativas y segmentar el tráfico para admitir varias redes de clientes. Cada dominio de enrutamiento tiene su propia tabla de enrutamiento y habilita la compatibilidad con subredes IP superpuestas.

Los dispositivos Citrix SD-WAN implementan protocolos de redirección OSPF y BGP para los dominios de redirección para controlar y segmentar el tráfico de red. Una ruta virtual puede comunicarse mediante todos los dominios de enrutamiento independientemente de la definición del punto de acceso. Esto es posible porque la encapsulación SD-WAN incluye la información del dominio de enrutamiento para cada paquete, por lo tanto, ambos dispositivos finales saben dónde pertenece el paquete con respecto al dominio de enrutamiento. El dominio de enrutamiento están separados por una barrera como VLAN, es posible configurar hasta 255 dominios de enrutamiento.

De acuerdo con el requisito, el administrador ha creado dos dominios de enrutamiento para la ramifica-1 que se utilizarán para el tráfico corporativo y el acceso Wi-Fi invitado respectivamente, el tráfico de Citrix Virtual Apps and Desktops se enrutan al centro de datos mediante la ruta virtual y el acceso Wi-Fi invitado se enruta a la ramifica-2 mediante la horquilla configuración.

Además del dominio de enrutamiento, el cliente quería aplicar mayor prioridad a las aplicaciones críticas para el negocio sobre la ruta virtual. En la siguiente sección, discutiremos acerca de QoS de las aplicaciones y cómo ayuda a alcanzar los requisitos del cliente.

QOS de la aplicación

La solución Citrix SD-WAN tiene uno de los motores QoS de aplicaciones más sofisticados del mercado. Tiene el conjunto más amplio de capacidades para evaluar no solo el tráfico de aplicaciones y priorizarlo frente a otras aplicaciones, sino también para comprender sus necesidades con respecto a la calidad de la red WAN, y para elegir una ruta de red basada en las funciones de calidad de red en tiempo real.

La función de clasificación de aplicaciones permite al dispositivo Citrix SD-WAN analizar el tráfico entrante y clasificarlo como pertenecientes a una aplicación o familia de aplicaciones. Esta clasificación nos permite mejorar la calidad de servicio de aplicaciones individuales o familias de aplicaciones mediante la creación y aplicación de reglas de aplicación.

El administrador de red puede filtrar los flujos de tráfico en función de los tipos de coincidencias de aplicaciones, familias de aplicaciones u objetos de aplicación y aplicarles reglas de aplicación. Las reglas de la aplicación son como reglas de Protocolo de Internet (IP).

La solución Citrix SD-WAN proporciona un conjunto predeterminado de configuraciones de clasificaciones de aplicaciones listas para usar, filtrado de reglas y asignación de clases. Mediante las clases, el administrador puede clasificar un tipo específico de tráfico en la ruta de acceso virtual y, a continuación, aplicar reglas para controlar este tráfico. El tráfico se asigna a una clase específica, tal como se define en la regla.

El sistema SD-WAN proporciona 17 clases (0-16). Las clases 0-3 están predefinidas para la priorización de QoS de Citrix HDX, estas clases se utilizan para clasificar el tráfico HDX con diferentes etiquetas de prioridad ICA. El administrador de SD-WAN puede modificar los tipos de clases y su uso compartido de ancho de banda asignado para obtener la calidad de servicio óptima, pero no puede modificar los nombres de las clases.

Las clases 10-16 están predefinidas y están asociadas con los tipos de clases RealTime, Interactive y Bulk. Cada tipo se puede configurar aún más para optimizar la calidad de servicio para su tipo de tráfico. Las clases 4-9 se pueden usar para especificar clases definidas por el usuario. Las clases son de uno de los tres tipos siguientes:

En tiempo real: Aplicaciones VoIP o VoIP similares, como Skype Empresarial o ICA de audio. En general, se refiere a aplicaciones de solo voz que utilizan paquetes UDP pequeños, que son críticos para el negocio.

Interactivo: Esta es la categoría más amplia y se refiere a cualquier aplicación que tenga un alto grado de interacción con el usuario. Algunas de estas aplicaciones, por ejemplo, las videoconferencias, son sensibles a la latencia y requieren un ancho de banda elevado. Otras aplicaciones, como HTTPS, pueden necesitar menos ancho de banda, pero son críticas para el negocio. Las aplicaciones interactivas suelen ser de naturaleza transaccional.

En bloque: Se trata de cualquier aplicación que no necesita una experiencia de usuario rica, pero se trata más de mover datos (es decir, FTP o copia de seguridad/replicación)

Para lograr el requisito real del cliente de priorizar el acceso HDX desde la sucursal al centro de datos, el administrador de SD-WAN ha creado las reglas de QoS para el acceso a Citrix HDX para todas las sucursales y ha aplicado la directiva a las sucursales a través de SD-WAN Orchestrator. El cliente ha aplicado la configuración de Provisioning que permite la distribución bidireccional (LAN a WAN/WAN a LAN) del ancho de banda para un enlace WAN entre los diversos servicios asociados a ese enlace WAN.

Configuración de la sucursal 2

El dispositivo SD-WAN en la Branch-2 se implementa tanto en MPLS como en circuitos de Internet, se implementa en lo que se conoce como un modo en línea con alta disponibilidad, lo que significa que los dispositivos de ruteo/firewalls existentes permanecen in situ.

El cliente ha instalado 210 dispositivos LTE que introdujeron el enlace de Internet 4G/LTE para proporcionar una copia de seguridad para el enlace de Internet existente de esta sucursal. Mediante la función de inspección profunda de paquetes, las aplicaciones empresariales y las aplicaciones SaaS que requieren acceso a Internet deben desglosarse localmente en la sucursal y el tráfico debe redirigirse a través del enlace de Internet dedicado o del enlace 4G/LTE. Todo el acceso a las redes sociales debe dividirse en la sucursal y enrutarse a través del enlace de Internet.

Mediante el servicio Local Internet Breakout, el administrador de SD-WAN configuró las directivas de la aplicación para desviar el tráfico a través del enlace de Internet local para la sucursal. Cuando se utiliza este servicio de Internet Breakout, el tráfico de Internet se envía directamente a Internet público desde la sucursal -2 en lugar de volver a enviar al centro de datos.

Servicio local de Internet para grupos de trabajo

El servicio Internet se utiliza para el tráfico entre sitios e Internet público, el tráfico del servicio Internet no está encapsulado por Citrix SD-WAN y no tiene las mismas capacidades que el tráfico que se entrega a través del servicio de rutas virtuales, incluido QoS.

Sin embargo, es importante clasificar y tener en cuenta este tráfico de Internet, el tráfico que se identifica como servicio de Internet permite la capacidad adicional de SD-WAN para administrar activamente el ancho de banda de enlace WAN limitando la velocidad del tráfico de Internet en relación con el tráfico entregado a través de la ruta virtual y la intranet por la configuración establecida por el administrador. Además de las capacidades de Provisioning de ancho de banda, SD-WAN tiene la capacidad agregada para equilibrar la carga del tráfico entregado a través del Servicio de Internet haciendo uso de varios vínculos WAN de Internet.

El control del tráfico de Internet mediante Internet Service en Citrix SD-WAN se puede configurar en los siguientes modos de implementación:

  • Breakout directo de Internet en Branch con Firewall integrado
  • Interrupción directa de Internet en el reenvío de sucursales a Secure Web Gateway

SDWAN-RA-Image-12

Zscaler Cloud Security Platform

Para proteger el tráfico y hacer cumplir las directivas, las empresas trasladan el tráfico de Internet destinado al centro de datos corporativo. El centro de datos aplica directivas de seguridad, filtra el tráfico a través de dispositivos de seguridad y enruta el tráfico a través de un ISP. Este backhauling a través de enlaces MPLS privados es costoso y consume recursos valiosos. También da como resultado una latencia significativa, lo que crea una mala experiencia de usuario en el sitio de la sucursal.

Una alternativa al backhauling es agregar dispositivos de seguridad en la sucursal. Sin embargo, el coste y la complejidad aumentan a medida que se instalan varios dispositivos. También si hay un gran número de sucursales coste y gestión se vuelve poco práctico.

La solución ideal para imponer la seguridad sin agregar costes, complejidad ni latencia es redirigir todo el tráfico de Internet de la sucursal desde el dispositivo Citrix SD-WAN a la plataforma de seguridad de Zscaler Cloud. A continuación, el cliente puede utilizar una consola central de Zscaler para crear directivas de seguridad granulares para los usuarios. Las directivas se aplican de forma coherente tanto si el usuario se encuentra en el centro de datos como en un sitio de sucursal. Debido a que la solución de seguridad de Zscaler está basada en la nube, el cliente no tiene que agregar dispositivos de seguridad adicionales a la red.

Zscaler Cloud Security Platform actúa como una serie de puestos de comprobación de seguridad en más de 100 centros de datos en todo el mundo. Simplemente redirigiendo el tráfico de Internet del cliente a Zscaler, pueden proteger inmediatamente los almacenes de datos, sucursales y ubicaciones remotas. Zscaler conecta a los usuarios e Internet, inspeccionando cada paquete de tráfico, incluso si está encriptado o comprimido. Los dispositivos Citrix SD-WAN pueden conectarse a una red en la nube de Zscaler a través de túneles GRE o túneles IPSec desde el sitio del cliente.

Para lograr la ruptura del servicio de Internet y proteger el tráfico de Internet, el administrador configuró el servicio local de conexión de Internet en el dispositivo SD-WAN de la bifurca-2 y creó un túnel IPSec a la red de nube de Zscaler. Con esta configuración, el cliente pudo desviar el tráfico de Internet de la sucursal -2 a Zscaler en un túnel seguro y luego a Internet público. Al alcanzar este objetivo, se redujo el ancho de banda del enlace MPLS y, por lo tanto, se ahorró costes.

Configuración de la sucursal 3

El dispositivo SD-WAN en Branch-3 se implementa mediante el modo en línea con configuración de conmutación por error. Esta sucursal tiene un enlace a Internet y un enlace de Internet 4G / LTE para copia de seguridad. La sucursal 3 tiene la configuración para realizar backhaul al tráfico de Internet al MCN del centro de datos. El cliente decidió desviar las pocas áreas de tráfico de Internet como noticias, SaaS y otros servicios en la nube a través del enlace de Internet local para proporcionar un acceso ininterrumpido y óptimo a los usuarios.

SDWAN-RA-Image-13

Rutas de aplicación

Los usuarios de la sucursal necesitan acceder a las aplicaciones que están alojadas en los centros de datos primarios o secundarios, las aplicaciones en la nube o las aplicaciones SaaS mediante la ruta virtual SD-WAN. La función de enrutamiento de aplicaciones permite dirigir las aplicaciones a través de la red de manera fácil y rentable. Usar esta función cuando un usuario de la sucursal 3 intenta acceder a una aplicación SaaS, el tráfico se puede redirigir directamente a Internet, sin tener que pasar primero por el centro de datos.

Citrix SD-WAN define las rutas de aplicación para Virtual Path, Internet, Intranet, Local, GRE Tunnel y LAN IPSec Tunnel. Para realizar la dirección de servicio para las aplicaciones, es importante identificar una aplicación en el primer paquete. Inicialmente, los paquetes fluyen a través de la ruta IP una vez que se haya clasificado el tráfico y se haya conocido la aplicación, se utiliza la ruta de aplicación correspondiente. La primera clasificación de paquetes se logra aprendiendo las subredes IP y los puertos asociados con objetos de aplicación. Estos se obtienen mediante los resultados de clasificación histórica del clasificador DPI y los tipos de coincidencia de puertos IP configurados por el usuario.

En Branch-3, el cliente tiene un enlace a Internet y quería utilizar el enlace para el tráfico de aplicaciones que dirige a Internet. El cliente ha configurado el enrutamiento de aplicaciones para el acceso a Azure, AWS y Google Cloud para acceder con el enlace de Internet local.

Vínculos WAN en espera y medición

Citrix SD-WAN habilita los enlaces en espera, que se pueden configurar de manera que el tráfico de usuario solo se transmita en un enlace WAN de Internet específico cuando todos los demás enlaces WAN disponibles están inhabilitados.

Los enlaces en espera conservan el ancho de banda en los enlaces que se facturan en función del uso. Con los vínculos en espera, el administrador puede configurar los vínculos como el enlace Último recurso, lo que no permite el uso del vínculo hasta que todos los demás enlaces no medidos estén invalidados o degradados.

Set Last Resort se habilita normalmente cuando hay tres enlaces WAN a un sitio (es decir, MPLS, Internet de banda ancha, 4G/LTE) y uno de los enlaces WAN es 4G/LTE y puede ser demasiado costoso para un negocio permitir su uso a menos que sea necesario. La medición no está habilitada de forma predeterminada y se puede habilitar en un enlace WAN de cualquier tipo de acceso (Internet pública/MPLS privada/Intranet privada).

El cliente también tiene el requisito de habilitar la copia de seguridad/espera para el enlace de Internet local, que es crítico para el tráfico de Internet en la nube. El administrador ha habilitado el enlace 4G-LTE como enlace de último recurso medido de modo que si el enlace de Internet local dedicado saturado o falla el tráfico de Internet también utilizará el enlace 4G-LTE.

Configuración de la sucursal 29

El dispositivo SD-WAN en la sucursal 29 se implementa mediante el modo en línea con configuración Parallel HA para conectar los 2 enlaces MPLS y un enlace 4G-LTE que finaliza en SD-WAN para el acceso a Internet. Dado que tenemos 3 enlaces WAN para esta sucursal, el cliente quería segregar la ruta virtual para el tráfico de Internet y de la intranet. El tráfico de Internet siempre debe utilizar uno de los enlaces MPLS y, si falla, se debe utilizar el enlace 4G-LTE y para el tráfico de rama de Intranet que no sea SD-WAN, se debe utilizar el segundo enlace MPLS. El cliente también se aseguró de haber configurado los servicios de intranet en todas las sucursales para comunicarse con las sucursales que no son SD-WAN.

SDWAN-RA-Image-14

Servicio de Intranet

El servicio de intranet indica rutas a las que se puede acceder a través de un enlace WAN privado (MPLS, P2P, VPN, etc.) a la sucursal 30 que se encuentra en la red MPLS pero que no tiene un dispositivo SD-WAN. Se supone que estas rutas deben reenviarse a un cierto enrutador WAN. El servicio de intranet no está habilitado de forma predeterminada, por lo que el administrador de SD-WAN ha habilitado este servicio y aplicado las rutas. Cualquier tráfico que coincida con esta ruta (subred) se clasifica como intranet para este dispositivo para su entrega a un sitio que no tiene una solución SD-WAN.

Servicio de Internet

El servicio de Internet es como Intranet, pero se utiliza para definir el tráfico que fluye a enlaces WAN de Internet públicos en lugar de enlaces WAN privados. Una diferencia única es que el servicio de Internet puede asociarse con varios enlaces WAN y establecerse en equilibrio de carga (por flujo) o estar activo/copia de seguridad. Las rutas predeterminadas de Internet se crean cuando el servicio de Internet está habilitado (está desactivado de forma predeterminada). Cualquier tráfico que coincida con esta ruta (subred) se clasifica como Internet para este dispositivo para su entrega a recursos públicos de Internet.

Intranet y rutas de Internet

Para los tipos de servicio de Intranet e Internet, el administrador de SD-WAN debe definir un enlace SD-WAN para admitir esos tipos de servicios. Este es un requisito previo para cualquier ruta definida para cualquiera de estos servicios. Si el enlace WAN no está definido para admitir el Servicio de Intranet, se considerará como una ruta local. Las rutas de Intranet, Internet y PassThrough solo son relevantes para el sitio/dispositivo para el que están configurados.

Al definir rutas de Intranet, Internet o PassThrough, se incluyen las siguientes consideraciones de diseño:

  • Debe tener un servicio definido en el enlace WAN (Intranet/Internet; requerido)
  • Relevante para el dispositivo SD-WAN local
  • Las rutas de Intranet se pueden aprender a través de la Ruta Virtual, pero se hacen a un coste más alto
  • Con Internet Service, hay automáticamente una ruta predeterminada creada (0.0.0.0/0) captura toda la ruta con un coste 5 y es configurable
  • No asuma que PassThrough funcionará, ya que esto debe probarse o verificarse. Pruebe también con Virtual Path desconectado o inhabilitado para verificar el comportamiento deseado
  • Las tablas de redirección son estáticas a menos que la función de aprendizaje de rutas esté habilitada

Según el requisito, el administrador de SD-WAN ha creado el servicio de intranet con uno de los enlaces MPLS para establecer la comunicación con la sucursal 30. Para cumplir con el requisito del servicio de Internet, el administrador ha creado la ruta virtual con el segundo enlace MPLS para comunicarse con todas las demás sucursales.

Configuración de la sucursal 30

La sucursal 30 es una nueva sucursal conectada con el centro de datos y otras sucursales a través de la red MPLS sin SD-WAN instalado en la sucursal. Los servicios de intranet configurados en el centro de datos y otras ramas tienen las rutas reenviadas a determinados enrutadores. Cualquier tráfico que coincida con esta ruta se clasifica como intranet y entrega a una sucursal 30 que no tiene una solución SD-WAN. De esta forma, los usuarios de la sucursal pueden conectarse al centro de datos para acceder a las aplicaciones empresariales y POS.

SDWAN-RA-Image-15

Fuentes

El objetivo de esta arquitectura de referencia es ayudarle con la planificación de su propia implementación. Para facilitar este trabajo, nos gustaría proporcionarle diagramas de origen que puede adaptar en sus propios diseños detallados y guías de implementación: diagramas de origen.

Referencias

Citrix SD-WAN Orchestrator

Citrix SD-WAN cómo los artículos

Prácticas recomendadas para SD-WAN

Citrix SD-WAN para Citrix Workspace

Modos de implementación

Túnel GRE para una sucursal

Internet de red de retorno

Enlaces WAN de medición y espera

Clases y reglas de aplicación

Colas MPLS

Redirección dinámica

Configurar el protocolo de redundancia de enrutador virtual

Túnel IPSec entre SD-WAN y dispositivos de terceros

Integración de Zscaler mediante túneles GRE y túneles IPSec

Arquitectura de referencia Citrix SD-WAN