Architecture

En interne, l’appliance SD-WAN 4000/5000 contient plusieurs machines virtuelles :

  • Un Hypervisor Xen
  • Une instance NetScaler
  • Au moins deux instances d’accélérateur
  • Instance de serveur de gestion qui gère l’interface graphique et d’autres tâches
  • Mise en réseau interne

Figure 2. Machines virtuelles SD-WAN 4100/5100, réseaux internes et utilisation des ports externes (déploiement en ligne illustré)

image localisée

Aucun trafic WAN entre ou quitte les accélérateurs sauf dans les cas configurés dans l’instance NetScaler. Lorsque l’appliance est utilisée pour la première fois, l’Assistant Provisioning configure une configuration initiale qui assure la communication et l’équilibrage de charge entre l’instance NetScaler et les accélérateurs.

Le service de gestion est l’interface de configuration de gestion de l’appliance et donne accès aux principaux éléments d’exploitation et de surveillance de l’appliance. Le service de gestion affiche les paramètres SD-WAN comme s’ils provenaient d’un accélérateur unique, et toutes les modifications apportées via cette interface sont appliquées à toutes les instances de l’accélérateur.

L’Hypervisor Xen héberge toutes les machines virtuelles. L’Hypervisor n’est pas configurable par l’utilisateur et ne doit pas être accessible sauf à la demande de Citrix.

Réseaux internes et externes

Les interfaces réseau externes sont divisées en deux catégories : les interfaces de trafic et les interfaces de gestion.

Interfaces de trafic : les interfaces de trafic incluent toutes les interfaces réseau, à l’exception des ports 0/1 et 0/2, qui sont utilisés uniquement pour la gestion. L’accélération n’a lieu que sur les interfaces de trafic.

Remarque : Vous devez garder les interfaces de trafic isolées de l’interface de gestion pour éviter les battements ARP et autres problèmes. Cet isolement peut être réalisé physiquement ou en étiquetant des paquets d’interface de gestion et d’interface de trafic avec différents VLAN.

Sous-réseau de gestion : les machines virtuelles se connectent directement au sous-réseau de gestion externe, avec différentes adresses IP pour le service de gestion, l’instance NetScaler et XenServer.

Remarque : Vous devez garder les interfaces de trafic isolées de l’interface de gestion pour éviter les battements ARP et autres problèmes. Cet isolement peut être réalisé physiquement ou en étiquetant des paquets d’interface de gestion et d’interface de trafic avec différents VLAN.

Sous-réseau de trafic interne privé : les ports accélérés des accélérateurs sont connectés à l’instance NetScaler en interne en mode à un bras, à l’aide d’un sous-réseau de trafic interne. Il n’y a pas de connexion directe entre les ports accélérés des instances et les ports externes de l’appliance. Tout le trafic accéléré vers les accélérateurs est contrôlé par l’instance NetScaler.

Comme ce sous-réseau interne n’est pas accessible depuis l’extérieur de l’appliance, il utilise des sous-réseaux non routables dans la plage 169.254.0.0/16. L’instance NetScaler fournit NAT pour les fonctionnalités qui nécessitent un accès routable à l’accélérateur. Seules les deux caractéristiques suivantes des accélérateurs nécessitent des adresses IP accessibles depuis le monde extérieur :

  • L’adresse IP de signalisation, utilisée pour l’appairage sécurisé et le Plugin SD-WAN.
  • Adresses IP, utilisées pour la communication avec le routeur lorsque le protocole WCCP est utilisé.

Dans les deux cas, le nombre d’adresses IP visibles en externe est indépendant du nombre d’accélérateurs dont dispose l’appliance.

Le sous-réseau de trafic interne nécessite deux adresses IP par accélérateur, plus une adresse pour NetScaler, plus une ou deux adresses VIP WCCP si WCCP est utilisé. Puisque le réseau interne est privé, il dispose d’une abondance d’espace d’adressage pour ces tâches.

Flux de données sur le sous-réseau de trafic privé—La connexion à un bras entre l’instance NetScaler et les accélérateurs utilise le mode virtuel en ligne SD-WAN, dans lequel l’instance NetScaler achemine les paquets vers les accélérateurs et les accélérateurs les achemine vers l’instance NetScaler. Le flux de trafic sur ce sous-réseau de trafic interne est identique, que le mode visible par le monde extérieur (sur les interfaces externes) soit en ligne, virtuel en ligne ou WCCP.

Ce trafic nécessite l’option SD-WAN « Retour à l’expéditeur Ethernet » et les options NetScaler MAC Redirection et Utiliser l’adresse IP du sous-réseau, qui sont activées par l’Assistant Provisioning.

Résumé du mode de déploiement : Les différences entre le mode WCCP, le mode Inline et le mode Inline virtuel peuvent être résumées comme suit :

  • Le mode WCCP est une configuration à un bras. Les accélérateurs établissent des canaux de contrôle WCCP avec le routeur. En mode WCCP, seulement un ou deux accélérateurs gèrent le canal de contrôle WCCP pour le compte de tous les accélérateurs. Le trafic de données est équilibré sur tous les accélérateurs. Lorsque l’encapsulation GRE est utilisée, l’instance NetScaler effectue l’encapsulation/décapsulation GRE sur le flux de données entre lui-même et le routeur, permettant aux données entre NetScaler et les accélérateurs d’utiliser une configuration décapsulée de niveau 2.
  • Le mode Inline fonctionne sensiblement de la même manière que le mode WCCP en interne, mais en externe, l’appliance émule un pont et aucun canal de contrôle WCCP n’est établi. Un paquet qui entre dans l’appliance sur un port de pont quitte l’autre port de pont. Les appliances SD-WAN 4000 et 5000 ont plusieurs ponts pour prendre en charge plusieurs liaisons en ligne.
  • En mode virtuel en ligne (utilisé lorsque les modes WCCP et Inline ne sont pas réalisables), l’appliance est déployée dans une configuration à un bras, tout comme WCCP, mais sans le canal de contrôle WCCP. Le trafic est envoyé à l’appliance à partir du routeur, à l’aide de règles de routage basées sur des règles (PBR). L’appliance traite le trafic et le renvoie au routeur.

Figure 3. WCCP et câblage virtuel en ligne

image localisée

Consultez les machines virtuelles SD-WAN 4100/5100, les réseaux internes et l’utilisation des ports externes pour obtenir un diagramme de l’utilisation des ports sur les appliances SD-WAN 4100/5100. Les ports de trafic sont disposés comme un ensemble de ponts accélérés, tandis que les ports de gestion sont indépendants. En général, un seul port de gestion est utilisé.

Figure 4. Câblage en ligne

image localisée

Ponts accélérés

Les appliances SD-WAN 4100/5100 ont plusieurs ponts accélérés. Différents modèles ont différents nombres et types de ports de pont. Les deux ports qui composent un tel pont sont appelés une “paire accélérée.” Tous les modèles actuels incluent une fonction de contournement réseau intégrée. (Certaines anciennes unités SD-WAN 4100-500 et 4100—1000 n’incluent pas le contournement du réseau). La fonction de contournement du réseau (également appelée « fail to wire ») relie des paires de ports en cas de défaillance de l’appliance à la suite d’une perte de puissance ou d’une panne logicielle (déterminée par un minuteur interne de surveillance).

Déploiement en ligne. La fonction de contournement permet au SD-WAN 4100/5100 d’être déployé en ligne avec votre WAN, généralement entre votre LAN et votre routeur WAN, sans introduire de point de défaillance réseau.

Les ponts accélérés prennent en charge des débits de données de 1 Gbit/s ou 10 Gbit/s. Les interfaces Ethernet et SFP+ sont prises en charge, selon le modèle.

Déploiement à un bras. Les déploiements à un bras sont également pris en charge, à l’aide de modes WCCP ou virtuels en ligne. Avec de tels déploiements, un port de trafic SD-WAN 4000/5000 est connecté directement à un port sur le routeur WAN. L’autre port de la paire pontée n’est pas connecté.

Considérations de performance. Les déploiements en ligne offrent des performances supérieures à celles des déploiements à un bras, car l’utilisation de deux ports au lieu d’un double le débit maximal des interfaces.

Le débit de pointe est important avec les appareils SD-WAN 4100/5100, car le compresseur fournit une accélération proportionnelle au taux de compression. Autrement dit, une connexion qui atteint une compression de 100:1 transfère les données 100 fois plus rapidement qu’une connexion non compressée, tant que le reste du chemin réseau peut suivre.

Par exemple, prenez un centre de données avec une liaison WAN de 500 Mbit/s et un LAN de 1 Gbit/s. Le faible rapport de vitesse de 2:1 entre le WAN et le LAN permet à la compression de ne fournir qu’une vitesse de deux fois sur une base de liaison entière, car il n’y a aucun moyen d’obtenir des données sur ou hors du LAN à des vitesses supérieures à 1 Gbit/s. Un réseau local 10 Gbit/s, qui permet une augmentation de dix fois des débits de pointe, est recommandé pour une utilisation avec les déploiements SD-WAN 4100/5100.

Lorsqu’une appliance SD-WAN 4100/5100 est déployée en mode à un bras, le taux de transfert maximal est réduit de moitié. Un SD-WAN 4100/5100 en mode à un bras, connecté au routeur avec une interface LAN de 1 Gbit/s, sature cette interface lorsque le WAN fonctionne à pleine vitesse dans les deux sens. Pour de bonnes performances, le SD-WAN 4100/5100 doit avoir une interface LAN beaucoup plus rapide que le WAN. Lorsque l’appliance est connectée directement au routeur en mode à un bras, utilisez un port de routeur de 10 Gbit/s.

Remarque

Les ports 10 Gbit/s ne prennent en charge que 10 Gbit/s. Ils ne négocient pas des vitesses plus basses. Utilisez les ports 1 Gbit/s pour les réseaux 1 Gbit/s.

Autres ports

Une appliance SD-WAN 4100/5100 possède au moins deux ports non accélérés. Le port 0/1 est généralement utilisé pour la gestion, le port 0/2 est présent mais généralement pas utilisé. Un port Light Out Management (LOM) est également fourni. Un port RS-232 peut être utilisé pour la gestion.