Citrix SD-WAN

WANOP プラグインの仕組み

WANOPクライアントプラグイン製品は既存のものを使用します WAN/VPN インフラ。プラグインがインストールされているコンピューターは、プラグインのインストール前と同じように、LAN、WAN、およびインターネットに引き続きアクセスします。ルーティングテーブル、ネットワーク設定、クライアントアプリケーション、またはサーバーアプリケーションを変更する必要はありません。

Citrix Access Gateway VPNには、少量のWANOPクライアントプラグイン固有の構成が必要です。

プラグインとアプライアンスによる接続の処理方法には、 トランスペアレントモードリダイレクタモードの 2 つのバリエーションがあります。 リダイレクタはレガシーモードであり、新しい展開には推奨されません。

  • プラグインからアプライアンスへのアクセラレーション のトランスペアレントモードは、アプライアンスからアプライアンスへのアクセラレーションと非常によく似ています。WANOPクライアントプラグインアプライアンスは、プラグインとサーバー間を移動するときにパケットがたどるパス内にある必要があります。アプライアンス間のアクセラレーションと同様に、透過モードは透過プロキシとして動作し、接続の一方の端からもう一方の端までの送信元と宛先のIPアドレスとポート番号を保持します。

  • リダイレクタモード (推奨しません) は、明示的なプロキシを使用します。プラグインは、発信パケットをアプライアンスのリダイレクタIPアドレスに再アドレス指定します。次に、アプライアンスはパケットをサーバーに再アドレス指定し、リターンアドレスをプラグインではなく自身を指すように変更します。このモードでは、アプライアンスはWANインターフェースとサーバー間のパスと物理的にインラインである必要はありません(これは理想的な展開ですが)。

    ベストプラクティス:可能な場合は透過モードを使用し、必要な場合はリダイレクタモードを使用します。

透過モード

透過モードでは、高速化された接続のパケットは、アプライアンス間の高速化の場合と同様に、ターゲットアプライアンスを通過する必要があります。

プラグインは、アクセラレーションに使用できるアプライアンスのリストで構成されます。各アプライアンスへの接続を試み、シグナリング接続を開きます。シグナリング接続が成功すると、プラグインはアプライアンスからアクセラレーションルールをダウンロードし、アプライアンスがアクセラレーションできる接続の宛先アドレスを送信します。

図1:透過モード、3つの加速パスを強調表示

ローカライズされた画像

  • トラフィックフロー:トランスペアレントモードは、WANOP クライアントプラグインとプラグイン対応アプライアンスの間の接続を高速化します。
  • ライセンス-アプライアンスには、必要な数のプラグインをサポートするためのライセンスが必要です。この図では、Repeater A1 はサイト A のプラグインアクセラレーションを提供するため、Repeater A2 にプラグインアクセラレーションのライセンスを付与する必要はありません。
  • デイジーチェーン-接続がターゲットアプライアンスに向かう途中で複数のアプライアンスを通過する場合、中央のアプライアンスで「デイジーチェーン」を有効にする必要があります。そうしないと、アクセラレーションがブロックされます。この図では、大規模ブランチオフィス B を宛先とするホームオフィスおよびモバイル VPN ユーザからのトラフィックが、Repeater B によって加速されます。これを機能させるには、Repeater A1 および A2 でデイジーチェーンが有効になっている必要があります。

プラグインが新しい接続を開くたびに、加速ルールを参照します。宛先アドレスがいずれかのルールに一致する場合、プラグインは、接続の最初のパケット(SYNパケット)にアクセラレーションオプションを付加することにより、接続をアクセラレーションしようとします。プラグインに認識されているアプライアンスがSYN-ACK応答パケットにアクセラレーションオプションを接続すると、そのアプライアンスとのアクセラレーション接続が確立されます。

アプリケーションとサーバーは、高速接続が確立されたことを認識していません。プラグインソフトウェアとアプライアンスだけが、加速が行われていることを認識しています。

透過モードは、アプライアンス間のアクセラレーションに似ていますが、同じではありません。違いは次のとおりです。

  • クライアントが開始する接続のみ-透過モードは、プラグインを備えたシステムによって開始される接続のみを受け入れます。プラグインを搭載したシステムをサーバーとして使用する場合、サーバー接続は高速化されません。一方、アプライアンス間のアクセラレーションは、どちらの側がクライアントでどちらがサーバーであるかに関係なく機能します。(アクティブモードFTPは、プラグインによって要求されたデータ転送を開始する接続がサーバーによって開かれるため、特殊なケースとして扱われます。)

  • シグナリング接続-透過モードは、ステータス情報の送信にプラグインとアプライアンス間のシグナリング接続を使用します。アプライアンス間のアクセラレーションは、デフォルトで無効になっているセキュアなピア関係を除いて、シグナリング接続を必要としません。プラグインがシグナリング接続を開くことができない場合、アプライアンスを介した接続を高速化しようとはしません。

  • デイジー・チェーン接続:プラグインと選択したターゲット・アプライアンスの間のパスにあるアプライアンスの場合、[ 構成:チューニング ]メニューでデイジー・チェーン接続を有効にする必要があります。

透過モードは、VPNでよく使用されます。WANOPクライアントプラグインプラグインは、ほとんどのIPSecおよびPPTP VPN、およびCitrix Access GatewayVPNと互換性があります。

次の図は、透過モードでのパケットフローを示しています。このパケットフローは、接続の高速化を試みるかどうかの決定がシグナリング接続を介してダウンロードされた高速化ルールに基づくことを除いて、アプライアンス間の高速化とほぼ同じです。

図2:透過モードでのパケットフロー

ローカライズされた画像

リダイレクタモード

リダイレクタモードは、次の点で透過モードとは動作が異なります。

  • WANOPクライアントプラグインプラグインソフトウェアは、パケットをアプライアンスに明示的にアドレス指定することにより、パケットをリダイレクトします。

  • したがって、リダイレクタモードアプライアンスは、すべてのWANリンクトラフィックを傍受する必要はありません。アクセラレーションされた接続は直接アドレス指定されるため、プラグインとサーバーの両方から到達できる限り、どこにでも配置できます。

  • アプライアンスは最適化を実行してから、出力パケットをサーバーにリダイレクトし、パケット内の送信元IPアドレスを独自のアドレスに置き換えます。サーバーの観点からは、接続はアプライアンスで開始されます。

  • サーバーからのリターントラフィックはアプライアンスにアドレス指定されます。アプライアンスはリターン方向で最適化を実行し、出力パケットをプラグインに転送します。

  • 宛先ポート番号は変更されないため、ネットワーク監視アプリケーションは引き続きトラフィックを分類できます。

次の図は、リダイレクタモードがどのように機能するかを示しています。

図1:リダイレクタモード

ローカライズされた画像

以下の図は、 リダイレクタモードでのパケットフローとアドレスマッピングを示しています

図2:リダイレクタモードでのパケットフロー

ローカライズされた画像

プラグインがアプライアンスを選択する方法

各プラグインは、高速接続を要求するために接続できるアプライアンスのリストで構成されています。

アプライアンスにはそれぞれアクセラレーション規則のリストがあります。 アクセラレーション規則は、アプライアンスがアクセラレーション接続を確立できるターゲット・アドレスまたはポートのリストです。プラグインはこれらのルールをアプライアンスからダウンロードし、各接続の宛先アドレスとポートを各アプライアンスのルールセットと照合します。特定の接続を高速化するアプライアンスが1つしかない場合、選択は簡単です。複数のアプライアンスが接続を高速化することを提案している場合、プラグインはアプライアンスの1つを選択する必要があります。

アプライアンスの選択のルールは次のとおりです。

  • 接続を高速化するために提供しているすべてのアプライアンスがリダイレクタモードアプライアンスである場合、プラグインのアプライアンスリストの左端のアプライアンスが選択されます。(アプライアンスがDNSアドレスとして指定されていて、DNSレコードに複数のIPアドレスがある場合、これらも左から右にスキャンされます。)

  • 接続を高速化するために提供しているアプライアンスの一部がリダイレクタモードを使用し、一部が透過モードを使用している場合、透過モードアプライアンスは無視され、リダイレクタモードアプライアンスから選択が行われます。

  • 接続を高速化するために提供しているすべてのアプライアンスが透過モードを使用している場合、プラグインは特定のモードを選択しません appliance. WANOPクライアントプラグインSYNオプションを使用して接続を開始し、返されるSYN-ACKパケットに適切なオプションをアタッチする候補アプライアンスが使用されます。これにより、実際にトラフィックと一致しているアプライアンスがプラグインに対して自身を識別できるようになります。ただし、プラグインは応答するアプライアンスとのオープンなシグナリング接続を備えている必要があります。そうでない場合、アクセラレーションは行われません。

  • 一部の構成情報はグローバルと見なされます。この構成情報は、シグナリング接続を開くことができるリストの左端のアプライアンスから取得されます。

WANOP プラグインの仕組み