Architecture

En interne, l’appliance SD-WAN 4000/5000 contient plusieurs machines virtuelles :

  • Un hyperviseur Xen
  • Une instance NetScaler
  • Au moins deux instances d’accélérateur
  • Instance de serveur de gestion qui gère l’interface graphique et d’autres tâches
  • Mise en réseau interne

Figure 2. Utilisation des machines virtuelles SD-WAN 4100/5100, des réseaux internes et des ports externes (déploiement en ligne illustré)

image localisée

Aucun trafic WAN n’entre ou ne quitte les accélérateurs, sauf comme configuré dans l’instance NetScaler. Lorsque l’appliance est utilisée pour la première fois, l’Assistant Provisioning configure une configuration initiale qui assure la communication et l’équilibrage de charge entre l’instance NetScaler et les accélérateurs.

Le service de gestion est l’interface de configuration de gestion de l’appliance et permet d’accéder aux principaux éléments d’exploitation et de surveillance de l’appliance. Le service de gestion affiche les paramètres SD-WAN comme s’ils provenaient d’un seul accélérateur, et toutes les modifications effectuées via cette interface sont appliquées à toutes les instances de l’accélérateur.

L’hyperviseur Xen héberge toutes les machines virtuelles. L’hyperviseur n’est pas configurable par l’utilisateur et ne doit pas être accessible, sauf à la demande de Citrix.

Réseaux internes et externes

Les interfaces réseau externes sont divisées en deux catégories : les interfaces de trafic et les interfaces de gestion.

Interfacesde trafic : les interfaces de trafic incluent toutes les interfaces réseau, à l’exception des ports 0/1 et 0/2, qui sont utilisés uniquement pour la gestion. L’accélération n’a lieu que sur les interfaces de trafic.

Remarque : Vous devez garder les interfaces de trafic isolées de l’interface de gestion pour éviter les battements ARP et autres problèmes. Cet isolement peut être réalisé physiquement ou en étiquetant les paquets d’interface de gestion et d’interface de trafic avec différents VLAN.

Sous-réseau de gestion : les machines virtuelles se connectent directement au sous-réseau de gestion externe, avec différentes adresses IP pour le service de gestion, l’instance NetScaler et XenServer.

Remarque : Vous devez garder les interfaces de trafic isolées de l’interface de gestion pour éviter les battements ARP et autres problèmes. Cet isolement peut être réalisé physiquement ou en étiquetant les paquets d’interface de gestion et d’interface de trafic avec différents VLAN.

Sous-réseau de trafic interne privé : les ports accélérés des accélérateurs sont connectés à l’instance NetScaler en interne en mode à un bras, à l’aide d’un sous-réseau de trafic interne. Il n’y a pas de connexion directe entre les ports accélérés des instances et les ports externes de l’appliance. Tout le trafic accéléré vers les accélérateurs est contrôlé par l’instance NetScaler.

Étant donné que ce sous-réseau interne n’est pas accessible depuis l’extérieur de l’appliance, il utilise des sous-réseaux non routables dans la plage 169.254.0.0/16. L’instance NetScaler fournit NAT pour les fonctionnalités qui nécessitent un accès routable à l’accélérateur. Seules les deux fonctionnalités suivantes des accélérateurs nécessitent des adresses IP accessibles depuis le monde extérieur :

  • L’adresse IP de signalisation, utilisée pour l’appairage sécurisé et le plug-in SD-WAN.
  • Adresses IP, utilisées pour la communication avec le routeur lorsque le protocole WCCP est utilisé.

Dans les deux cas, le nombre d’adresses IP visibles en externe est indépendant du nombre d’accélérateurs dont dispose l’appliance.

Le sous-réseau de trafic interne nécessite deux adresses IP par accélérateur, plus une adresse pour NetScaler, plus une ou deux adresses VIP WCCP si WCCP est utilisé. Étant donné que le réseau interne est privé, il dispose d’une abondance d’espace d’adressage pour ces tâches.

Flux de données sur le sous-réseau de trafic privé : la connexion à un bras entre l’instance NetScaler et les accélérateurs utilise le mode virtuel en ligne SD-WAN, dans lequel l’instance NetScaler achemine les paquets vers les accélérateurs et les accélérateurs les achemine vers l’instance NetScaler. Le flux de trafic sur ce sous-réseau de trafic interne est identique, que le mode visible par le monde extérieur (sur les interfaces externes) soit en ligne, virtuel en ligne ou WCCP.

Ce trafic nécessite l’option SD-WAN « Return to Ethernet Sender » et les options NetScaler MAC Address Forwarding and Use Subnet IP, activées par l’Assistant Provisioning.

Résumé du mode de déploiement : les différences entre le mode WCCP, le mode en ligne et le mode virtuel en ligne peuvent être résumées comme suit :

  • Le mode WCCP est une configuration à un bras. Les accélérateurs établissent des canaux de contrôle WCCP avec le routeur. En mode WCCP, seul un ou deux accélérateurs gèrent le canal de contrôle WCCP au nom de tous les accélérateurs. Le trafic de données est équilibré sur tous les accélérateurs. Lorsque l’encapsulation GRE est utilisée, l’instance NetScaler effectue l’encapsulation/décapsulation GRE sur le flux de données entre elle-même et le routeur, ce qui permet aux données entre NetScaler et les accélérateurs d’utiliser une configuration décapsulée de niveau 2.
  • Le mode en ligne fonctionne à peu près de la même manière que le mode WCCP en interne, mais en externe, l’appliance émule un pont et aucun canal de contrôle WCCP n’est établi. Un paquet qui entre dans l’appliance sur un port de pont se termine par l’autre port de pont. Les appliances SD-WAN 4000 et 5000 disposent de plusieurs ponts pour prendre en charge plusieurs liaisons en ligne.
  • En mode virtuel en ligne (utilisé lorsque les modes WCCP et en ligne ne sont pas réalisables), l’appliance est déployée dans une configuration à un bras, tout comme WCCP, mais sans canal de contrôle WCCP. Le trafic est envoyé à l’appliance à partir du routeur, à l’aide de règles de routage basées sur des règles (PBR). L’appliance traite le trafic et le renvoie au routeur.

Figure 3. WCCP et câblage virtuel en ligne

image localisée

Consultez les machines virtuelles SD-WAN 4100/5100, les réseaux internes et l’utilisation des ports externes pour obtenir un diagramme de l’utilisation des ports sur les appliances SD-WAN 4100/5100. Les ports de trafic sont disposés comme un ensemble de ponts accélérés, tandis que les ports de gestion sont indépendants. En règle générale, un seul port de gestion est utilisé.

Figure 4. Câblage en ligne

image localisée

Ponts accélérés

Les appliances SD-WAN 4100/5100 ont plusieurs ponts accélérés. Différents modèles ont différents nombres et types de ports de pont. Les deux ports qui composent un tel pont sont appelés une “paire accélérée.” Tous les modèles actuels incluent une fonction de contournement réseau intégrée. (Certains anciens SD-WAN 4100-500 et 4100—1000 n’incluent pas le contournement du réseau). La fonction de contournement du réseau (également appelée « échec au câblage ») relie des paires de ports ensemble si l’appliance tombe en panne à la suite d’une perte de courant ou d’une panne logicielle (déterminée par une minuterie interne de surveillance).

Déploiement en ligne. La fonction de contournement permet au SD-WAN 4100/5100 d’être déployé en ligne avec votre WAN, généralement entre votre LAN et votre routeur WAN, sans introduire de point de défaillance réseau.

Les ponts accélérés prennent en charge des débits de données de 1 Gbit/s ou de 10 Gbit/s. Les interfaces Ethernet et SFP+ sont prises en charge, selon le modèle.

Déploiement à un bras. Les déploiements à un bras sont également pris en charge, à l’aide des modes WCCP ou virtuels en ligne. Avec de tels déploiements, un port de trafic SD-WAN 4000/5000 est connecté directement à un port sur le routeur WAN. L’autre port de la paire pontée n’est pas connecté.

Considérations de performance. Les déploiements en ligne offrent des performances supérieures à celles des déploiements à un bras, car l’utilisation de deux ports au lieu d’un double le débit maximal des interfaces.

Le débit de pointe est important avec les appliances SD-WAN 4100/5100, car le compresseur fournit une accélération proportionnelle au taux de compression. Autrement dit, une connexion qui obtient une compression 100:1 transfère des données 100 fois plus rapidement qu’une connexion non compressée, tant que le reste du chemin réseau peut suivre.

Par exemple, prenez un centre de données avec une liaison WAN de 500 Mbit/s et un réseau local de 1 Gbit/s. Le faible rapport de vitesse 2:1 entre le WAN et le LAN permet à la compression de fournir seulement une vitesse de 2x sur une base de liaison entière, car il n’y a aucun moyen d’obtenir des données sur le LAN ou hors de celui-ci à des vitesses supérieures à 1 Gbit/s. Un réseau local de 10 Gbit/s, qui permet une augmentation par dix des débits de données de pointe, est recommandé pour les déploiements SD-WAN 4100/5100.

Lorsqu’une appliance SD-WAN 4100/5100 est déployée en mode à un bras, le taux de transfert de pointe est réduit de moitié. Un SD-WAN 4100/5100 en mode à un bras, connecté au routeur avec une interface LAN de 1 Gbit/s, sature cette interface lorsque le WAN fonctionne à pleine vitesse dans les deux sens. Pour de bonnes performances, le SD-WAN 4100/5100 doit avoir une interface LAN beaucoup plus rapide que le WAN. Lorsque l’appliance est connectée directement au routeur en mode à un bras, utilisez un port de routeur de 10 Gbit/s.

Remarque

Les ports 10 Gbit/s ne prennent en charge que 10 Gbit/s. Ils ne négocient pas des vitesses plus basses. Utilisez les ports 1 Gbit/s pour les réseaux 1 Gbit/s.

Autres ports

Une appliance SD-WAN 4100/5100 possède au moins deux ports non accélérés. Le port 0/1 est généralement utilisé pour la gestion, le port 0/2 est présent mais généralement pas utilisé. Un port LOM (Light Out Management) est également fourni. Un port RS-232 peut être utilisé pour la gestion.