Citrix SD-WAN

Fonctionnement du plug-in WANOP

Les produits WANOP Client Plug-in utilisent votre infrastructure WAN/VPN existante. Un ordinateur sur lequel le plug-in est installé continue d’accéder au réseau local, au réseau étendu et à Internet comme il le faisait avant l’installation du plug-in. Aucune modification n’est nécessaire pour vos tables de routage, vos paramètres réseau, vos applications clientes ou vos applications serveur.

Les VPN Citrix Access Gateway nécessitent une petite quantité de configuration spécifique au plug-in client WANOP.

Il existe deux variantes dans la façon dont les connexions sont gérées par le plug-in et l’appliance : le mode transparent et le mode redirecteur. Le redirecteur est un mode hérité qui n’est pas recommandé pour les nouveaux déploiements.

  • Le mode transparent pour l’accélération plug-in-to-appliance est très similaire à l’accélération de l’appliance à l’appliance. L’appliance WANOP Client Plug-in doit se trouver dans le chemin emprunté par les paquets lorsqu’ils se déplacent entre le plug-in et le serveur. Comme pour l’accélération de l’appliance, le mode transparent fonctionne comme un proxy transparent, en préservant l’adresse IP source et de destination ainsi que les numéros de port d’un bout à l’autre de la connexion.

  • Le mode Redirecteur (non recommandé) utilise un proxy explicite. Le plug-in réadresse les paquets sortants vers l’adresse IP du redirecteur de l’appliance. L’appliance réadresse à son tour les paquets vers le serveur, tout en modifiant l’adresse de retour pour qu’elle pointe vers elle-même au lieu du plug-in. Dans ce mode, l’appliance n’a pas besoin d’être physiquement alignée sur le chemin entre l’interface WAN et le serveur (bien qu’il s’agisse du déploiement idéal).

    Meilleure pratique : utilisez le mode transparent lorsque vous le pouvez et le mode redirecteur lorsque vous le souhaitez.

Mode transparent

En mode transparent, les paquets pour les connexions accélérées doivent passer par l’appliance cible, comme ils le font dans l’accélération de l’appliance à l’appliance.

Le plug-in est configuré avec une liste des appliances disponibles pour l’accélération. Il tente de contacter chaque appliance, en ouvrant une connexion de signalisation. Si la connexion de signalisation est réussie, le plug-in télécharge les règles d’accélération à partir de l’appliance, qui envoie les adresses de destination des connexions que l’appliance peut accélérer.

Figure 1. Mode transparent, mise en évidence de trois trajectoires d’accélération

Image localisée

Remarque

  • Flux de trafic : le mode transparent accélère les connexions entre un plug-in client WANOP et une appliance à extension extension.
  • Licence : les appliances ont besoin d’une licence pour prendre en charge le nombre de plug-ins souhaité. Dans le diagramme, le répéteur A2 n’a pas besoin d’être autorisé pour l’accélération du plug-in, car le répéteur A1 fournit l’accélération du plug-in pour le site A.
  • daisy-chaining : si la connexion passe par plusieurs appliances en cours de route vers l’appliance cible, l’option « daisy-chaining » doit être activée pour les appliances du milieu, sinon l’accélération est bloquée. Dans le diagramme, le trafic des utilisateurs VPN mobiles et du bureau à domicile destiné à la grande succursale B est accéléré par le répéteur B. Pour que cela fonctionne, les répéteurs A1 et A2 doivent avoir activé le chaînage en marguerite.

Chaque fois que le plug-in ouvre une nouvelle connexion, il consulte les règles d’accélération. Si l’adresse de destination correspond à l’une des règles, le plug-in tente d’accélérer la connexion en attachant des options d’accélération au paquet initial de la connexion (le paquet SYN). Si une appliance connue du plug-in attache des options d’accélération au paquet de réponse SYN-ACK, une connexion accélérée est établie avec cette appliance.

L’application et le serveur ignorent que la connexion accélérée a été établie. Seuls le plug-in et l’appliance savent qu’une accélération est en cours.

Le mode transparent ressemble à l’accélération de l’appliance à l’appliance, mais il n’est pas identique à celui-ci. Les différences sont les suivantes :

  • Connexions initiées par le client uniquement : le mode transparent accepte uniquement les connexions initiées par le système équipé du plug-in. Si vous utilisez un système équipé d’un plug-in en tant que serveur, les connexions au serveur ne sont pas accélérées. En revanche, l’accélération de l’appliance fonctionne indépendamment du côté du client et du serveur. (Le FTP en mode actif est traité comme un cas particulier, car la connexion initiant le transfert de données demandé par le plug-in est ouverte par le serveur.)

  • Connexion de signalisation : le mode transparent utilise une connexion de signalisation entre le plug-in et l’appliance pour la transmission des informations d’état. L’accélération de l’appliance à l’appliance ne nécessite pas de connexion de signalisation, à l’exception des relations homologues sécurisées, qui sont désactivées par défaut. Si le plug-in ne parvient pas à ouvrir une connexion de signalisation, il ne tente pas d’accélérer les connexions via l’appliance.

  • Chaîne en série : pour une appliance qui se trouve dans le chemin entre un plug-in et son matériel cible sélectionné, vous devez activer la connexion en série dans le menu Configuration : Réglage .

Le mode transparent est souvent utilisé avec les VPN. Le plug-in client WANOP est compatible avec la plupart des VPN IPsec et PPTP, ainsi qu’avec les VPN Citrix Access Gateway.

La figure suivante montre le flux de paquets en mode transparent. Ce flux de paquets est presque identique à l’accélération de l’appliance à l’appliance, sauf que la décision de tenter ou non d’accélérer la connexion est basée sur les règles d’accélération téléchargées via la connexion de signalisation.

Figure 2. Flux de paquets en mode transparent

Image localisée

Mode redirecteur

Le mode Redirecteur fonctionne différemment du mode transparent de la manière suivante :

  • Le plug-in client WANOP redirige les paquets en les adressant explicitement à l’appliance.

  • Par conséquent, l’appliance en mode redirecteur n’a pas besoin d’intercepter tout le trafic de liaison WAN. Comme les connexions accélérées lui sont adressées directement, il peut être placé n’importe où, à condition qu’il soit accessible à la fois par le plug-in et le serveur.

  • L’appliance effectue ses optimisations, puis redirige les paquets de sortie vers le serveur, en remplaçant l’adresse IP source dans les paquets par sa propre adresse. Du point de vue du serveur, la connexion provient de l’appliance.

  • Le trafic de retour du serveur est adressé à l’appliance, qui effectue des optimisations dans le sens du retour et transfère les paquets de sortie au plug-in.

  • Les numéros de port de destination ne sont pas modifiés, de sorte que les applications de surveillance du réseau peuvent toujours classer le trafic.

La figure ci-dessous montre le fonctionnement du mode Redirecteur.

Figure 1. Mode redirecteur

Image localisée

La figure ci-dessous montre le flux de paquets et le mappage d’adresses en mode redirecteur.

Figure 2. Flux de paquets en mode redirecteur

Image localisée

Comment le plug-in sélectionne une appliance

Chaque plug-in est configuré avec une liste d’appliances qu’il peut contacter pour demander une connexion accélérée.

Les appliances disposent chacune d’une liste de règles d’accélération, qui est une liste d’adresses cibles ou de ports auxquels l’appliance peut établir des connexions accélérées. Le plug-in télécharge ces règles à partir des appliances et fait correspondre l’adresse de destination et le port de chaque connexion à l’ensemble de règles de chaque solution matérielle-logicielle. Si un seul appareil propose d’accélérer une connexion donnée, la sélection est facile. Si plusieurs solutions matérielles-logicielles proposent d’accélérer la connexion, le plug-in doit choisir l’une des solutions matérielles-logicielles.

Les règles de sélection des appliances sont les suivantes :

  • Si toutes les solutions matérielles-logicielles qui proposent d’accélérer la connexion sont en mode redirecteur, l’appliance la plus à gauche de la liste des appliances du plug-in est sélectionnée. (Si les solutions matérielles-logicielles ont été spécifiées en tant qu’adresses DNS et que l’enregistrement DNS comporte plusieurs adresses IP, celles-ci sont également analysées de gauche à droite.)

  • Si certaines des appliances proposant d’accélérer la connexion utilisent le mode redirecteur et d’autres utilisent le mode transparent, les appliances en mode transparent sont ignorées et la sélection est effectuée à partir des appliances en mode redirecteur.

  • Si toutes les appliances proposant d’accélérer la connexion utilisent le mode transparent, le plug-in ne sélectionne pas d’appliance. Il initie la connexion avec les options SYN du plug-in client WANOP, et l’appliance candidate qui attache les options appropriées au paquet SYN-ACK renvoyé est utilisée. Cela permet à l’appliance qui est réellement en ligne avec le trafic de s’identifier auprès du plug-in. Toutefois, le plug-in doit avoir une connexion de signalisation ouverte avec l’appliance répondante, sinon l’accélération n’a pas lieu.

  • Certaines informations de configuration sont considérées comme globales. Ces informations de configuration proviennent de l’appliance la plus à gauche de la liste pour laquelle une connexion de signalisation peut être ouverte.

Fonctionnement du plug-in WANOP