Citrix SD-WAN WANOP

Mode WCCP

Le protocole WCCP (Web Cache Communication Protocol) est un protocole de routage dynamique introduit par Cisco. Initialement destiné uniquement à la mise en cache web, WCCP version 2 est devenu un protocole plus général, adapté à une utilisation par des accélérateurs tels que les appliances Citrix SD-WAN.

Le mode WCCP est le moyen le plus simple d’installer une appliance SD-WAN lorsque le fonctionnement en ligne n’est pas pratique. Il est également utile lorsque le routage asymétrique se produit, c’est-à-dire lorsque des paquets de la même connexion arrivent sur différentes liaisons WAN. En mode WCCP, les routeurs utilisent le protocole WCCP 2.0 pour détourner le trafic via l’appliance. Une fois reçu par l’appliance, le trafic est traité par le moteur d’accélération et le régulateur du trafic comme s’il était reçu en mode Inline.

Remarque

  • Aux fins de la présente discussion, la version 1 du WCCP est considérée comme obsolète et seule la version 2 du WCCP est présentée.

  • La documentation WCCP standard appelle les clients WCCP « caches ». Pour éviter toute confusion avec les caches réels, Citrix évite généralement d’appeler un client WCCP un « cache ». Au lieu de cela, les clients WCCP sont généralement appelés « appliances ».

  • Cette discussion utilise le terme « routeur » pour indiquer les routeurs compatibles WCCP et les commutateurs compatibles WCCP. Bien que le terme « routeur » soit utilisé ici, certains commutateurs haut de gamme prennent également en charge WCCP et peuvent être utilisés avec des appareils SD-WAN.

Les appliances SD-WAN prennent en charge deux modes WCCP :

  • WCCP est l’offre WCCP SD-WAN originale prise en charge depuis la version 3.x. Il prend en charge un seul groupe de services d’appliance (pas de mise en cluster).

  • La mise en cluster WCCP, introduite dans la version 7.2, permet à votre routeur d’équilibrer le trafic entre plusieurs appliances.

Fonctionnement du mode WCCP

Le mode physique pour le déploiement WCCP d’une appliance SD-WAN est le mode à un bras dans lequel l’appliance est connectée directement à un port dédié sur le routeur WAN. La norme WCCP inclut une négociation de protocole dans laquelle l’appliance s’enregistre auprès du routeur, et les deux négocient l’utilisation des fonctionnalités qu’ils prennent en charge en commun. Une fois cette négociation réussie, le trafic est routé entre le routeur et l’appliance selon les règles de routeur WCCP et de redirection définies sur le routeur.

Une appliance en mode WCCP ne requiert qu’un seul port Ethernet. L’appliance doit être déployée sur un port de routeur dédié (ou port de commutateur compatible WCC) ou isolée d’un autre trafic via un VLAN. Ne mélangez pas les modes en ligne et WCCP.

La figure suivante montre comment un routeur est configuré pour intercepter le trafic sur les interfaces sélectionnées et le transférer à l’appliance compatible WCCP. Chaque fois que l’appliance compatible WCCP n’est pas disponible, le trafic n’est pas intercepté et est transféré normalement.

Figure 1. Flux de trafic WCCP

Flux de trafic WCCP

Encapsulation du trafic

WCCP permet de transférer le trafic entre le routeur et l’appliance dans l’un des modes suivants :

  • Mode L2 : nécessite que le routeur et l’appliance soient sur le même segment L2 (généralement un segment Ethernet). Le paquet IP n’est pas modifié, et seule l’adressage L2 est modifié pour transférer le paquet. Dans de nombreux périphériques, le transfert L2 est effectué sur la couche matérielle, ce qui lui donne les performances maximales. En raison de son avantage de performances, le transfert L2 est le mode préféré, mais tous les périphériques compatibles WCCP ne le prennent pas en charge.
  • Mode GRE : l’encapsulation de routage générique (GRE) est un protocole routé et l’appliance peut en théorie être placée n’importe où, mais pour des performances, elle doit être placée près du routeur, sur un chemin rapide et non congestionné qui traverse le plus petit nombre possible de commutateurs et de routeurs. GRE est le mode WCCP d’origine. Un en-tête GRE est créé et le paquet de données y est ajouté. Le périphérique de réception supprime l’en-tête GRE. Avec l’encapsulation, l’appliance peut se trouver sur un sous-réseau qui n’est pas directement connecté au routeur. Cependant, le processus d’encapsulation et le routage ultérieur ajoutent la surcharge CPU au routeur, et l’ajout de l’en-tête GRE de 28 octets peut conduire à la fragmentation des paquets, ce qui ajoute des frais supplémentaires.

Le mode WCCP prend en charge plusieurs routeurs et GRE vs. Transfert L2. Chaque routeur peut avoir plusieurs liaisons WAN. Chaque lien peut avoir son propre groupe de services WCCP.

Le traffic shaping n’est pas efficace à moins que l’appliance ne gère le trafic UDP ainsi que le trafic TCP. Un deuxième groupe de services, avec un groupe de services UDP pour chaque liaison WAN, est recommandé si le traffic shaping est souhaité.

Inscription et mises à jour de statut

Un client WCCP (une appliance) utilise le port UDP 2048 pour s’enregistrer auprès du routeur et négocier quel trafic doit lui être envoyé, ainsi que quelles fonctionnalités WCCP doivent être utilisées pour ce trafic. L’appliance opère sur ce trafic et transfère le trafic résultant au point de terminaison d’origine. L’état d’une appliance est suivi via le processus d’enregistrement WCCP et un protocole de pulsation cardiaque. L’appliance contacte d’abord le routeur via le canal de contrôle WCCP (port UDP 2048), et l’appliance et le routeur échangent des informations avec des paquets nommés respectivement « Here_I_Am » et « I_See_You ». Par défaut, ce processus est répété toutes les 10 secondes. Si le routeur ne reçoit pas de message de la part de l’appliance pendant trois de ces intervalles, il considère que l’appliance a échoué et arrête de lui transférer le trafic jusqu’à ce que le contact soit rétabli.

Services et groupes de services

Différents appareils utilisant le même routeur peuvent fournir différents services. Pour suivre les services affectés aux appliances, le protocole WCCP utilise un identificateur de groupe de services, un entier d’un octet. Lorsqu’une appliance s’enregistre auprès d’un routeur, elle inclut également des numéros de groupe de services.

  • Une seule appliance peut prendre en charge plusieurs groupes de services.
  • Un seul routeur peut prendre en charge plusieurs groupes de services.
  • Une seule appliance peut utiliser le même groupe de services avec plusieurs routeurs.
  • Un seul routeur peut utiliser le même groupe de services avec plusieurs appliances. Pour les appliances SD-WAN, plusieurs appliances sont prises en charge en mode cluster WCCP et une seule appliance est prise en charge en mode WCCP.
  • Chaque appliance spécifie un « type de retour » (L2 ou GRE) indépendamment pour chaque direction et chaque groupe de services. Les appliances SD-WAN 4000/5000 spécifient toujours le même type de retour pour les deux directions. D’autres appliances SD-WAN permettent au type de retour d’être différent.

Figure 2. Utilisation de différents groupes de services WCCP pour différents services

Différents groupes de services WCCP

Plusieurs groupes de services peuvent être utilisés avec WCCP sur la même appliance. Par exemple, l’appliance peut recevoir du trafic du groupe de services 51 à partir d’une liaison WAN et du trafic du groupe de services 62 à partir d’une autre liaison WAN. L’appliance prend également en charge plusieurs routeurs. Il est indifférent de savoir si tous les routeurs utilisent le même groupe de services ou si différents routeurs utilisent différents groupes de services.

Suivi des groupes de services. Si un paquet arrive sur un groupe de services, les paquets de sortie pour la même connexion sont envoyés sur le même groupe de services. Si des paquets arrivent pour la même connexion sur plusieurs groupes de services, les paquets de sortie suivent le groupe de services le plus récemment vu pour cette connexion.

Comportement de haute disponibilité

Lorsque WCCP est utilisé avec le mode haute disponibilité, l’appliance principale envoie sa propre adresse IP de gestion apA ou apB, et non l’adresse virtuelle de la paire haute disponibilité, lorsqu’elle contacte le routeur. En cas de basculement sur incident, le nouveau dispositif principal contacte automatiquement le routeur, rétablissant le canal WCCP. Dans la plupart des cas, le délai d’expiration WCCP et le temps de basculement haute disponibilité se chevauchent. Par conséquent, la panne du réseau est inférieure à la somme des deux retards.

Le WCCP standard n’autorise qu’une seule appliance dans un groupe de services WCCP. Si une nouvelle appliance tente de contacter le routeur, elle découvre que l’autre appliance gère le groupe de services, et la nouvelle appliance définit une alerte. Il vérifie périodiquement si le groupe de services est toujours actif avec l’autre appliance et que la nouvelle appliance gère le groupe de services lorsque l’autre appliance devient inactive. La mise en cluster WCCP permet plusieurs appliances par groupe de services.

Topologie de déploiement

La figure suivante montre un déploiement WCCP simple, adapté pour L2 ou GRE. Le port de trafic (1/1) est connecté directement à un port de routeur dédié (Gig 4/12).

Figure 3. Déploiement WCCP simple

Déploiement WCCP simple

Dans cet exemple, le SD-WAN 4000/5000 est déployé en mode à un bras, le port de trafic (1/1) et le port de gestion (0/1) se connectant chacun à son propre port de routeur dédié.

Sur le routeur, WCCP est configuré avec la redirection ip wccp identique dans les instructions sur les ports WAN et LAN. Deux groupes de services sont utilisés, 71 et 72. Le groupe de services 71 est utilisé pour le trafic TCP et le groupe de services 72 est utilisé pour le trafic UDP. L’appliance n’accélère pas le trafic UDP, mais peut lui appliquer des stratégies de traffic shaping.

Remarque : la spécification WCCP ne permet pas de transférer des protocoles autres que TCP et UDP, de sorte que des protocoles tels que ICMP et GRE contournent toujours l’appliance.

Clustering WCCP

Les appliances SD-WAN prennent en charge la mise en cluster WCCP, ce qui permet à votre routeur d’équilibrer votre trafic entre plusieurs appliances. Pour plus d’informations sur le déploiement d’appliances SD-WAN en tant que cluster, reportez-vous à la section Clustering WCCP.

Spécifications WCCP

Pour plus d’informations sur WCCP, voir Web Cache Communication Protocol V2, révision 1, http://tools.ietf.org/html/draft-mclaggan-wccp-v2rev1-00.

Remarque

Lors du déploiement de SD-WAN dans WCCP pour la redondance des commutateurs, nous pouvons connecter le commutateur 2 à apB. Créez un SG différent pour apB, donnez-lui une priorité inférieure à celle du SG pour Apa. Si Apa SG plus élevé est en place, cela sera utilisé pour la redirection. Si ce n’est pas le cas, apB SG sera utilisé. Notez que ApA et apB doivent être sur un sous-réseau différent.

Mode WCCP