Citrix SD-WAN WANOP 11.3

Fonctionnement du plug-in WANOP

Les produits WANOP Client Plug-in utilisent votre infrastructure WAN/VPN existante. Un ordinateur sur lequel le plug-in est installé continue d’accéder au LAN, au WAN et à Internet comme il l’a fait avant l’installation du plug-in. Aucune modification n’est requise pour vos tables de routage, paramètres réseau, applications clientes ou applications serveur.

Les VPN Citrix Access Gateway nécessitent une petite quantité de configuration spécifique au plug-in client WANOP.

Il existe deux variations dans la façon dont les connexions sont gérées par le plug-in et l’appliance : le mode transparent et le mode redirecteur. Le redirecteur est un mode hérité qui n’est pas recommandé pour les nouveaux déploiements.

  • Le mode transparent pour l’accélération plug-in-appliance est très similaire à l’accélération appliance-appliance. L’appliance WANOP Client Plug-in doit se trouver dans le chemin emprunté par les paquets lorsqu’ils se déplacent entre le plug-in et le serveur. Comme pour l’accélération appliance-appliance, le mode transparent fonctionne comme un proxy transparent, préservant l’adresse IP source et de destination et les numéros de port d’une extrémité de la connexion à l’autre.

  • Le mode redirecteur (non recommandé) utilise un proxy explicite. Le plug-in adresse à nouveau les paquets sortants à l’adresse IP du redirecteur de l’appliance. L’appliance réachemine les paquets au serveur, tout en changeant l’adresse de retour pour qu’elle pointe vers elle-même au lieu du plug-in. Dans ce mode, l’appliance n’a pas besoin d’être physiquement intégrée au chemin entre l’interface WAN et le serveur (bien qu’il s’agisse du déploiement idéal).

    Meilleure pratique : utilisez le mode transparent lorsque vous le pouvez, et le mode redirecteur lorsque vous le devez.

Mode transparent

En mode transparent, les paquets pour les connexions accélérées doivent passer par l’appliance cible, tout comme ils le font pour l’accélération appliance-appliance.

Le plug-in est configuré avec une liste des appliances disponibles pour l’accélération. Il tente de contacter chaque appliance, ouvrant une connexion de signalisation. Si la connexion de signalisation réussit, le plug-in télécharge les règles d’accélération à partir de l’appliance, qui envoie les adresses de destination pour les connexions que l’appliance peut accélérer.

Figure 1. Mode transparent, mise en évidence de trois trajectoires d’accélération

Mode transparent

Remarque

  • Flux de trafic : le mode transparent accélère les connexions entre un plug-in client Citrix WANOP et une appliance compatible plug-in.
  • Licence : les appliances ont besoin d’une licence pour prendre en charge le nombre de plug-ins souhaité. Dans le diagramme, Citrix SD-WAN WANOP A2 n’a pas besoin d’être sous licence pour l’accélération du plug-in, car Citrix SD-WAN WANOP A1 fournit l’accélération du plug-in pour le site A.
  • daisy-chaining : si la connexion passe par plusieurs appliances en cours de route vers l’appliance cible, l’option « daisy-chaining » doit être activée pour les appliances du milieu, sinon l’accélération est bloquée. Dans le diagramme, le trafic provenant des utilisateurs VPN de bureau à domicile et mobiles destinés aux grandes succursales B est accéléré par Citrix SD-WAN WANOP B. Pour que cela fonctionne, Citrix SD-WAN WANOP A1 et A2 doit avoir activé le chaînage en marguerite.

Chaque fois que le plug-in ouvre une nouvelle connexion, il consulte les règles d’accélération. Si l’adresse de destination correspond à l’une des règles, le plug-in tente d’accélérer la connexion en attachant des options d’accélération au paquet initial de la connexion (le paquet SYN). Si une appliance connue du plug-in attache des options d’accélération au paquet de réponse SYN-ACK, une connexion accélérée est établie avec cette appliance.

L’application et le serveur ne savent pas que la connexion accélérée a été établie. Seuls le logiciel plug-in et l’appliance savent que l’accélération est en cours.

Le mode transparent ressemble à l’accélération appliance-appliance, mais n’est pas identique à celui-ci. Les différences sont les suivantes :

  • Connexions initiées par le client uniquement : le mode transparent accepte uniquement les connexions initiées par le système équipé d’un plug-in. Si vous utilisez un système équipé d’un plug-in en tant que serveur, les connexions au serveur ne sont pas accélérées. D’autre part, l’accélération appliance-appliance fonctionne indépendamment du côté du client et du serveur. (Le FTP en mode actif est traité comme un cas particulier, car la connexion initiant le transfert de données demandé par le plug-in est ouverte par le serveur.)

  • Connexion de signalisation : le mode transparent utilise une connexion de signalisation entre le plug-in et l’appliance pour la transmission des informations d’état. l’accélération appliance-appliance ne nécessite pas de connexion de signalisation, à l’exception des relations homologues sécurisées, qui sont désactivées par défaut. Si le plug-in ne peut pas ouvrir une connexion de signalisation, il ne tente pas d’accélérer les connexions via l’appliance.

  • Chaîne en marguerite : pour une appliance située dans le chemin d’accès entre un plug-in et son matériel cible sélectionné, vous devez activer le chaînage en marguerite dans le menu Configuration : Réglage.

Le mode transparent est souvent utilisé avec les VPN. Le plug-in client WANOP est compatible avec la plupart des VPN IPsec et PPTP, ainsi qu’avec les VPN Citrix Access Gateway.

La figure suivante montre le flux de paquets en mode transparent. Ce flux de paquets est presque identique à l’accélération appliance-appliance, sauf que la décision de tenter ou non d’accélérer la connexion repose sur des règles d’accélération téléchargées sur la connexion de signalisation.

Figure 2. Flux de paquets en mode transparent

Flux en mode transparent

  1. L’application de l’utilisateur ouvre une connexion TCP au serveur, en envoyant un paquet TCP SYN.

    Src : 10.0.0.50, heure d’été : 10.200.0.10

  2. Le plug-in WANOP recherche l’adresse de destination et voit qu’elle correspond à un sous-réseau accéléré par l’appliance. Il attache les options WANOP à l’en-tête TCP du paquet SYN. Aucune adresse n’est modifiée.

    Src : 10.0.0.50, heure d’été : 10.200.0.10

  3. L’appliance prend note des options SYN et reconnaît qu’il s’agit d’une connexion accélérée. Il supprime les options du paquet et lui permet de passer au serveur. Aucune adresse n’est modifiée.

    Src : 10.0.0.50, heure d’été : 10.200.0.10

  4. Le serveur accepte la connexion et répond avec un paquet TCP SYN-ACK.

    Src : 10.200.0.10, heure d’été : 10.0.0.50

  5. L’appliance marque le paquet SYN-ACK avec une option d’en-tête TCP qui indique que l’accélération aura lieu.

    Src : 10.200.0.10, heure d’été : 10.0.0.50

  6. Le plug-in WANOP reçoit le paquet SYN-ACK. Les options des en-têtes de paquets indiquent que la connexion est accélérée. Le plug-in supprime les options et transmet le paquet SYN-ACK à l’application. La connexion est maintenant entièrement ouverte et accélérée.

Mode redirecteur

Le mode redirecteur fonctionne différemment du mode transparent de la manière suivante :

  • Le plug-in client WANOP redirige les paquets en les adressant explicitement à l’appliance.

  • Par conséquent, l’appliance en mode redirecteur n’a pas à intercepter tout le trafic WAN Link. Comme les connexions accélérées lui sont adressées directement, il peut être placé n’importe où, tant qu’il peut être atteint à la fois par le plug-in et le serveur.

  • L’appliance effectue ses optimisations, puis redirige les paquets de sortie vers le serveur, en remplaçant l’adresse IP source des paquets par sa propre adresse. Du point de vue du serveur, la connexion provient de l’appliance.

  • Le trafic de retour du serveur est adressé à l’appliance, qui effectue des optimisations dans le sens de retour et transfère les paquets de sortie au plug-in.

  • Les numéros de port de destination ne sont pas modifiés, de sorte que les applications de surveillance réseau peuvent toujours classer le trafic.

La figure ci-dessous montre comment fonctionne le mode Redirecteur.

Figure 1. Mode redirecteur

Accélération du client Wanop

La figure ci-dessous montre le flux de paquets et le mappage d’adresses en mode redirecteur.

Figure 2. Flux de paquets en mode redirecteur

Mode de redirection de flux de paquets

  1. L’application de l’utilisateur ouvre une connexion TCP au serveur, en envoyant un paquet TCP SYN.

    Src : 10.0.0.50, heure d’été : 10.200.0.10

  2. Le plug-in WANOP SD-WAN Citrix recherche l’adresse de destination et décide de rediriger la connexion vers l’appliance à l’adresse 10.200.0.201.

    Src : 10.0.0.50, heure d’été : 10.200.0.201

    (10.200.0.10 est conservé dans un champ d’option TCP. Les options 24-31 sont utilisées pour divers paramètres.)

  3. L’appliance accepte la connexion et transmet le paquet au serveur (en utilisant l’adresse de destination du champ d’options TCP), et se donne comme source.

    Src : 10.200.0.201, heure d’été : 10.200.0.10

  4. Le serveur accepte la connexion et répond avec un paquet TCP SYN-ACK.

    Src : 10.200.0.10, heure d’été : 10.200.0.201

  5. L’appliance réécrit les adresses et transfère le paquet au plug-in (Placement de l’adresse du serveur dans un champ d’option).

    Src : 10.200.0.201, heure d’été : 10.0.0.50

  6. La connexion est maintenant entièrement ouverte. Le client et le serveur envoient des paquets par l’intermédiaire de l’appliance.

    Alors que les adresses sont modifiées en mode Redirecteur, les numéros de port de destination ne le sont pas (bien que le numéro de port éphémère puisse être). Les données ne sont pas encapsulées. Le mode redirecteur est un proxy, pas un tunnel.

    Il n’y a pas de relation 1:1 entre les paquets (bien qu’à la fin, les données reçues soient toujours identiques aux données envoyées). La compression peut réduire de nombreux paquets d’entrée en un seul paquet. L’accéralation CIFS effectuera des opérations de lecture anticipée et de blanchiment d’or spéculatives. En outre, si des paquets sont déposés entre l’appliance et le plug-in Reperter, la retransmission est gérée par l’appliance, et non le serveur, à l’aide d’algorithmes de récupération avancés.

Mode de sélection d’une appliance par le plug-in

Chaque plug-in est configuré avec une liste des appliances qu’il peut contacter pour demander une connexion accélérée.

Les appliances disposent chacune d’une liste de règles d’accélération, qui est une liste d’adresses ou de ports cibles auxquels l’appliance peut établir des connexions accélérées.** Le plug-in télécharge ces règles à partir des appliances et correspond à l’adresse et au port de destination de chaque connexion avec l’ensemble de règles de chaque appliance. Si un seul appareil propose d’accélérer une connexion donnée, la sélection est facile. Si plusieurs appliances proposent d’accélérer la connexion, le plug-in doit choisir l’une des appliances.

Les règles de sélection de l’appliance sont les suivantes :

  • Si toutes les appliances proposant d’accélérer la connexion sont des appliances en mode redirecteur, l’appliance la plus à gauche dans la liste des appliances du plug-in est sélectionnée. (Si les appliances ont été spécifiées en tant qu’adresses DNS et que l’enregistrement DNS comporte plusieurs adresses IP, celles-ci sont également analysées de gauche à droite.)

  • Si certaines des appliances proposant d’accélérer la connexion utilisent le mode redirecteur et d’autres le mode transparent, les appliances en mode transparent sont ignorées et la sélection est effectuée à partir des appliances en mode redirecteur.

  • Si toutes les appliances proposant d’accélérer la connexion utilisent le mode transparent, le plug-in ne sélectionne pas un appareil spécifique. Il initie la connexion avec les options SYN du plug-in client WANOP, et quelle que soit l’appliance candidate attache les options appropriées au paquet SYN-ACK de retour utilisé. Cela permet à l’appliance qui est en ligne avec le trafic de s’identifier au plug-in. Toutefois, le plug-in doit avoir une connexion de signalisation ouverte avec l’appliance répondant, sinon l’accélération n’a pas lieu.

  • Certaines informations de configuration sont considérées comme globales. Ces informations de configuration proviennent de l’appliance la plus à gauche de la liste pour laquelle une connexion de signalisation peut être ouverte.

Fonctionnement du plug-in WANOP