Citrix SD-WAN WANOP

WCCP 模式(非聚集)

WCCP 模式只允许 WCCP 服务组中的单个设备。如果新设备尝试与路由器联系,则会发现另一台设备正在处理服务组,并且新设备会设置警报。它会定期检查以确定该服务组是否与其他设备处于活动状态,并且新设备在其他设备变为非活动状态时处理该服务组。

注意: WCCP 群集允许每个服务组多个设备。

局限性和最佳做法

以下是(非群集)WCCP 模式的限制和最佳实践:

  • 在具有多个加速对的设备上,给定 WCCP 服务组的所有流量必须到达同一个加速对。
  • 请勿在同一设备上混合内联流量和 WCCP 流量。设备不强制执行此指南,但违反该指南可能会导致加速方面的困难。(WCCP 和虚拟内联模式可以混合使用,但前提是 WCCP 和虚拟内联流量来自不同的路由器。)
  • 对于具有单个 WAN 路由器的站点,在内联模式不实际时使用 WCCP。
  • 每个服务组只支持一个设备。如果多个设备尝试连接到具有相同服务组的同一路由器,协商将仅针对第一个设备成功。
  • 对于具有由同一设备提供服务的多个 WAN 路由器的站点,WCCP 可用于支持一个、部分或全部 WAN 路由器。其他路由器可以使用虚拟内联模式。

路由器支持 WCCP

为 WCCP 配置路由器非常简单。WCCP 版本 2 的支持包括在所有现代路由器, 已被添加到思科 IOS 版本 12.0 (11) S 和 12.1 (3) T. 最佳路由器配置策略取决于路由器和交换机的特性。流量成形需要两个服务组。

如果路由器支持反向路径转发,则必须在所有端口上禁用它,因为它可能会将 WCCP 流量与欺骗流量混淆。此功能可以在较新的思科路由器,如思科 7600 中找到。

路由器配置策略

有两种基本方法可以将流量从路由器重定向到设备:

仅在 WAN 端口上,添加 “WCCP 重定向到” 语句和 “WCCP 重定向出” 语句。 在路由器上的每个端口上,除了连接到设备的端口外,添加一个 “WCCP 重定向” 语句。

第一种方法仅将 WAN 流量重定向到设备,而第二种方法将所有路由器流量重定向到设备,无论是否与 WAN 相关。在具有多个 LAN 端口和大量 LAN 到 LAN 流量的路由器上,将所有流量发送到设备可能会使其 LAN 段过载,并使设备承受这种不必要的负载。如果使用 GRE, 不必要的流量也可以加载路由器.

在某些路由器上,“重定向进入” 路径更快,并且在路由器 CPU 上的负载比 “重定向出” 路径更少。如有必要,这可以通过在路由器上的直接实验来确定:尝试两种重定向方法在满网络负载下查看哪种方法提供了最高的传输速率。

某些路由器和支持 WCCP 的交换机不支持 “WCCP 重定向出”,因此必须使用第二种方法。为了避免路由器过载,最佳做法是避免通过设备重定向大量路由器端口,可能通过使用两个路由器,一个用于 WAN 路由,另一个用于 LAN 到 LAN 路由。

一般来说,方法 1 更简单,而方法 2 可能提供更高的性能。

流量成形和 WCCP

服务组可以是 TCP 或 UDP,但不能同时使用。要使流量成形程序有效,这两种 WAN 流量都必须通过设备。因此:

加速需要一个服务组,用于 TCP 流量。 流量调整需要两个服务组,一个用于 TCP 流量,另一个用于 UDP 流量。两者之间的区别是在设备上配置的,路由器接受此配置。

配置路由器

设备自动协商 WCCP-GRE 或 WCCP-L2。主要选择是 单播操作 (其中设备配置了每个路由器的 IP 地址)或 多播操作 (其中设备和路由器都配置了多播地址)。

正常(单播)操作— 对于正常操作,过程是声明 WCCP 版本 2 和路由器的 WCCP 组 ID 作为一个整体,然后在每个 WAN 接口上启用重定向。以下是思科 IOS 示例:

config term
ip wccp version 2
! We will configure the appliance to use group 51 for TCP and 52 for UDP.
ip wccp 51
ip wccp 52

! Repeat the following three lines for each WAN interface
! you wish to accelerate:
interface your_wan_interface
! If Reverse Path Forwarding is enabled (with an ip verify unicast
! source reachable” statement), delete or comment out the statement:
! ip verify unicast source reachable-via any
! Repeat on all ports.

ip wccp 51 redirect out
ip wccp 51 redirect in
ip wccp 52 redirect out
ip wccp 52 redirect in

! If the appliance is inline with one of the router interfaces
! (NOT SUPPORTED), add the following line for that interface
! to prevent loops:
ip wccp redirect exclude in
^Z
<!--NeedCopy-->

如果多个路由器要使用同一个设备,则每个路由器的配置如上所示,使用相同的服务组或不同的服务组。

多播操作— 为设备和每个路由器提供多播地址时,配置与正常操作略有不同。以下是思科 IOS 示例:

config term
ip wccp version 2
ip wccp 51 group-address 225.0.0.1

! Repeat the following three lines for each WAN interface
! you wish to accelerate:
interface your_wan_interface
! If Reverse Path Forwarding is enabled (with an ip verify unicast
! source reachable” statement), delete or comment out the statement:
! ip verify unicast source reachable-via any

ip wccp 51 redirect out
ip wccp 51 redirect in
!
! The following line is needed only on the interface facing the other router,
! if there is another router participating in this service group.
ip wccp 51 group-listen

!If the appliance is inline with one of the router interfaces,
!(which is supported but not recommended), add
!the following line for that interface to prevent loops:
ip wccp redirect exclude in
^Z
<!--NeedCopy-->

SD-WAN 设备上 WCCP 模式的基本配置过程

对于大多数站点,您可以使用以下过程在设备上配置 WCCP 模式。该过程将多个参数设置为合理的默认值。高级部署可能需要将这些参数设置为其他值。例如,如果路由器已使用 WCCP 服务组 51,则需要为设备使用不同的值。

要在设备上配置 WCCP 模式,请执行以下操作:

  1. 在配置:设备设置:WCCP 页面上。
  2. 如果尚未定义服务组,则会显示 “选择模式” 页面。选项是单 SD-WAN 和群集(多 SD-WAN)。选择单个 SD-WAN。你被带到 WCCP 页面。 注意:模式标签具有误导性。“单 SD-WAN” 模式也用于 SD-WAN 高可用性对。
  3. 如果未启用 WCCP 模式,请单击 用。
  4. 单击 添加服务组
  5. 默认接口 (apA)、协议 (TCP)、WCCP 优先级 (0)、路由器通信 (单播)、(密码空白) 和生存时间 (1) 值通常不必更改您创建的第一个服务组,但如果这样做,请在提供的字段中键入新值。
  6. 路由器寻址 字段(如果您使用的是单播)或 多播地址 字段(如果您使用的是多播)中,键入路由器的 IP 地址。将 IP 用于 WCCP 与设备进行通信的路由器端口。
  7. 如果多个路由器正在使用 WCCP 与此设备进行通信,请立即添加更多路由器。
  8. 如果您的路由器有特殊要求,请相应地设置路由器转发(自动/GRE/Level-2)、路由器数据包返回(自动/GRE/Level-2)和路由器分配(掩码/哈希)字段。对于大多数路由器,默认值会产生最佳结果。
  9. 单击添加
  10. 重复上述步骤为 UDP 流量创建另一个服务组(例如,服务组 ID 52 和协议 UDP)。
  11. 转到监视:设备性能:WCCP 页面。状态 字段应在 60 秒内更改为 “已连接”。
  12. 通过链接发送流量,并在 “连接” 页面上验证连接是否已到达并正在加速。

WCCP 服务组配置详细信息

在服务组中,WCCP 路由器和 SD-WAN 设备(WCCP 术语中的 “WCCP Cache”)协商通信属性(功能)。路由器在 “我看到你” 消息中宣传其功能。通信属性是:

  • 转发方法:GRE 或 Level-2
  • 数据包返回方法(仅限多播):GRE 或 2 级
  • 赋值方法:散列或掩码
  • 密码(默认为无)

如果设备检测到其属性与路由器属性之间的不兼容,则会触发警报。由于服务组的特定属性(如 GRE 或级别 2),设备可能不兼容。在多播服务组中,当 “自动” 选择选择连接了特定路由器的特定属性时,可以触发警报,但该属性与后续路由器不兼容。

以下是 SD-WAN 设备中的通信属性的基本规则。

对于路由器转发:

  • 选择 “自动” 时,首选项为级别 2,因为它对路由器和设备都更有效。如果路由器支持,并且路由器与设备位于同一子网上,则协商级别 2。
  • 如果选择了 “自动”,则单播服务组中的路由器可以协商不同的方法。
  • 多播服务组中的路由器必须使用相同的方法,无论是强制使用 “GRE” 或 “级别 2”,还是使用 “Auto”(由服务组中的第一个路由器确定)进行连接。
  • 对于不兼容,警报宣布路由器 “具有不兼容的路由器转发。”

对于路由器分配:

  • 默认值为哈希值。

  • 当选择 “自动” 时,将与路由器协商模式。

  • 服务组中的所有路由器必须支持相同的分配方法(哈希或掩码)。

  • 对于任何服务组,如果此属性配置为 “Auto”,设备会在连接第一个路由器时选择 “哈希” 或 “掩码”。如果路由器支持,则选择 “哈希”。否则,“蒙版” 被选中。通过手动选择服务组中所有路由器通用的方法,可以最大限度地减少后续路由器与自动选择的方法不兼容的问题。

  • 对于不兼容,警报宣布路由器 “具有不兼容的路由器分配方法”。

  • 使用任何一种方法,服务组中的单个设备都会指示服务组中的所有路由器将所有 TCP 或 UDP 数据包引导到设备。路由器可以通过访问列表或选择要重定向到服务组的接口来修改此行为。

    对于掩码方法,设备协商 “源 IP 地址” 掩码。设备不提供选择 “目标 IP 地址” 或源或目标端口的机制。“源 IP 地址” 掩码不具体标识任何特定的 IP 地址或范围。该协议不提供指定特定 IP 地址的方法。默认情况下,由于服务组中只有一个设备,因此使用一位掩码来节省路由器资源。(版本 6.0 使用了更大的掩模。)

对于密码:

  • 如果路由器需要密码,则设备上定义的密码必须匹配。如果路由器不需要密码,则设备上的密码字段必须为空。

WCCP 测试和故障排除

使用 WCCP 时,设备提供不同的监视 WCCP 接口状态的方法,您的路由器也应该提供信息。

监视:设备性能:WCCP 页面— WCCP 页面报告 WCCP 链接的当前状态,并报告大多数问题。

日志条目— 监视:设备性能:日志记录页面在每次建立或丢失 WCCP 模式时显示一个新条目。

图 1. WCCP 日志条目(格式随发布而有所不同)

本地化后的图片

路由器状态— 在路由器上,“show ip WCCP”命令显示 WCCP 链接的状态:

Router>enable
Password:
Router#show ip wccp
Global WCCP information:
    Router information:
        Router Identifier:                   172.16.2.4
        Protocol Version:                    2.0

    Service Identifier: 51
        Number of Cache Engines:             0
        Number of routers:                   0
        Total Packets Redirected:            19951
        Redirect access-list:                -none-
        Total Packets Denied Redirect:       0
        Total Packets Unassigned:            0
        Group access-list:                   -none-
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
<!--NeedCopy-->

验证 WCCP 模式

您可以从 SD-WAN GUI 监视 WCCP 配置。

监视 WCCP 配置

  1. 导航到 “监视” > “设备性能” > “WCCP 页面。
  2. 选择一个缓存,然后单击 获取信息。缓存状态页面显示 WCCP 配置,如下图所示。

    本地化后的图片

  3. 启动应通过 SD-WAN 设备转发的流量,并在 “监视> “优化” > “连接” 页面上监视连接
    • 如果连接显示在 加速连接 选项卡上,则表示一切正常工作的指示器。
    • 如果连接位于 未加速连接 选项卡上,请查看 详细信息 列。检测到的路由不对称消息意味着路由器上的 IP WCCP 重定向线之一丢失或出现错误,或者客户端-服务器和服务器-客户端流量采用不同的路径。
    • 如果没有显示连接,但设备报告已连接到路由器,并且 WCCP 监视页面没有显示任何错误,则问题可能与路由器配置有关。
WCCP 模式(非聚集)