Citrix SD-WAN WANOP

部署模式

在典型的 Citrix SD-WAN WANOP 部署中,Citrix SD-WANOP 设备在分支机构和数据中心之间进行配对。您可以在数据中心中安装共享资源(如 VDA)。来自各分支机构的客户端使用 Citrix Receiver 访问数据中心资源,如下图所示。

典型的 Citrix SD-WAN WANOP 部署拓扑

本地化后的图片

客户端在其本地计算机上安装 Citrix Receiver 软件产品,如 Citrix Receiver for HTML5,并使用该产品访问数据中心中的资源。通过 Citrix SD-WAN WANOP 设备对连接进行了优化。

了解客户端和服务器之间交换的消息

与任何类型的网络连接一样,使用 Citrix Receiver for HTML5 的客户端与服务器交换各种消息。下图显示了在客户端和服务器之间建立连接时,客户端和服务器之间的典型消息流。

本地化后的图片

如上图所示,当分支机构的客户端想要访问数据中心服务器资源时,客户端和服务器之间交换以下消息序列:

  1. 客户端使用 Citrix Receiver for HTML5 向端口 8008 上的 VDA 发送 TCP 连接请求。

  2. 建立 TCP 连接后,客户端会向 VDA 发送 WebSocket 升级请求。

  3. VDA 响应升级请求并切换到 WebSocket 协议。

  4. 客户端和 VDA 协商 WebSocket 授权。

  5. 客户端向 VDA 发送 WebSocket 连接请求。

  6. VDA 响应 WebSocket 连接请求。

  7. VDA 启动与客户端的 ICA 协商。

  8. ICA 协商后,VDA 开始传输 ICA 数据。

  9. VDA 发送数据包终止消息。

  10. 客户端使用数据包终止消息进行响应。

    注意

    上面的示例列出了通过 WebSocket 为 ICA 交换的示例消息。如果您通过公共网关协议 (CGP) 使用 ICA,则客户端和服务器协商 CGP 而不是 WebSocket。但是,对于 ICA 通过 TCP,客户端和服务器协商 ICA。

根据您在网络上部署的组件,连接将在不同的点终止。上图表示的是在网络上没有部署任何其他组件的拓扑。因此,客户端在端口 8008 上直接与 VDA 通信。但是,如果您已在数据中心安装 Gateway 关(如 Citrix Gateway),则与网关建立连接,并代理 VDA。在 Gateway 关协商 WebSocket 授权之前,不会与 VDA 进行通信。Gateway 关协商 WebSocket 授权后,它将打开与 VDA 的连接。此后,Gateway 关充当中间人,并将消息从客户端传递到 VDA,反之亦然。

同样,如果在客户端上安装的 Citrix Gateway 插件与数据中心安装的 Citrix 网关之间创建 VPN 隧道,则网关在建立 TCP 连接后立即透明地将所有客户端消息转发到 VDA,反之亦然。

注意

要优化需要端到端 SSL 加密的连接,需要在 VDA 上的端口 443 上建立 TCP 连接。

支持的部署模式

配置 Citrix SD-WAN WANOP 设备以优化 Citrix Receiver for HTML5 时,您可以根据您的网络要求考虑以下任何部署模式。要优化 Citrix Receiver for HTML5,Citrix SD-WAN WANOP 设备支持以下部署模式:

  • 直接访问

  • 通过端到端 SSL 加密直接访问

  • ICA 代理模式

  • 采用端到端 SSL 加密的 ICA 代理模式

  • 完整的虚拟专用网络 (VPN) 模式

  • 具有端到端 SSL 加密功能的完整虚拟专用网络 (VPN) 模式

直接访问

下图显示了在直接访问模式下安装在客户端上的 Citrix Receiver for HTML5 的部署拓扑。

在直接访问模式下部署的 Citrix SD-WAN WANOP 设备

本地化后的图片

在直接访问模式下,在分支机构和数据中心以内联模式安装了一对 Citrix SD-WAN WANOP 设备。客户端通过专用 WAN 通过 Citrix Receiver for HTML5 访问 VDA 资源。通过在 ICA 级别使用加密来保护从客户端到 VDA 资源的连接。在 “了解客户端与服务器之间交换的消息” 中解释了客户端与 VDA 之间交换的消息。

安装在客户端与 VDA 数据中心之间的 Citrix SD-WAN WANOP 设备可优化在它们之间建立的 Citrix Receiver for HTML5 连接。

直接访问部署适用于客户端在无需使用 Citrix Gateway 或任何其他防火墙的情况下连接的企业 Intranet。在内联模式下部署Citrix SD-WAN WANOP 设备并且专用 WAN 中的客户端连接到 VDA 资源时,您可以通过直接访问部署设置。

通过端到端 SSL 加密直接访问

下图显示了以端到端 SSL 加密保护的直接访问模式安装在客户端上的 Citrix Receiver for HTML5 的部署拓扑。

以直接访问模式部署的 Citrix SD-WAN WANOP 设备,采用端到端 SSL 加密保护

本地化后的图片

使用端到端 SSL 加密模式的直接访问与直接访问模式类似,不同之处在于客户端与 VDA 资源之间的连接受 SSL 加密保护,并使用端口 443 而不是端口 8008 进行连接。

在此部署中,一对 Citrix SD-WAN WANOP 设备之间的通信是通过使两个设备受保护的伙伴来保护的。此部署适用于通过 SSL 加密保护客户端和 VDA 资源之间的连接的企业网络。

注意

您必须在设备上配置适当的证书才能创建安全合作伙伴。有关安全合作伙伴关系的更多信息,请参阅安全对等

ICA 代理模式

下图显示了在 ICA 代理模式下安装在客户端上的 Citrix Receiver for HTML5 的部署拓扑。

在 ICA 代理模式下部署的 Citrix SD-WAN WANOP 设备

本地化后的图片

在 ICA 代理模式下,在分支机构和数据中心以内联模式安装了一对 Citrix SD-WAN WANOP 设备。此外,您还可以在数据中心安装代理 VDA 的 Citrix Gateway。客户端通过公用 WAN 通过 Citrix Receiver for HTML5 访问 VDA 资源。由于 Gateway 代理 VDA,因此建立了两个连接:客户端与 Citrix 网关之间的 SSL 连接以及 Citrix Gateway 和 VDA 之间的 ICA 安全连接。Citrix Gateway 代表客户端建立与 VDA 资源的连接。通过 ICA 级别的加密来保护从 Gateway 到 VDA 资源的连接。

在 “了解客户端与服务器之间交换的消息” 中解释了客户端与 VDA 之间交换的消息。但是,在这种情况下,连接将在 Citrix Gateway 终止。只有在 Gateway 协商 WebSocket 授权后,网关才会代理 VDA 并打开与 VDA 的连接。然后,Gateway 透明地将消息从客户端传递到 VDA,反之亦然。

如果希望用户从公用 WAN 访问 VDA 资源,可以考虑部署 ICA 代理模式设置。

注意

您必须在设备上配置适当的证书才能创建安全合作伙伴。有关安全合作伙伴关系的更多信息,请参阅安全对等

使用端到端 SSL 加密的 ICA 代理模式

下图显示了在使用端到端 SSL 加密保护的 ICA 代理模式下安装在客户端上的 Citrix Receiver for HTML5 的部署拓扑。

以 ICA 代理模式部署的 Citrix SD-WAN WANOP 设备,采用端到端 SSL 加密保护

本地化后的图片

具有端到端 SSL 加密模式的 ICA 代理模式与普通 ICA 代理模式类似,区别在于 Citrix Gateway 和 VDA 之间的连接通过 SSL 加密而不是使用 ICA 安全连接来保护。在这种情况下,必须在 Citrix SD-WAN WANOP 设备和 VDA 上安装适当的证书。Citrix Gateway 和 VDA 之间的连接使用端口 443 而不是端口 8008,就像普通 ICA 代理模式一样。

此部署适用于必须保护客户端与 VDA 之间的端到端通信的网络,包括 Citrix Gateway 和 VDA 之间的连接。

完整的虚拟专用网络 (VPN) 模式

下图显示了在完整虚拟专用网络 (VPN) 模式下安装在客户端上的 Citrix Receiver for HTML5 的部署拓扑。

在 VPN 模式下部署的 Citrix SD-WAN WANOP 设备

本地化后的图片

在完整 VPN 模式下,一对 Citrix SD-WAN WANOP 设备以内联模式跨分支机构和数据中心安装。除了 Citrix receiver for HTML5 之外,还可以在客户端上安装 Citrix Gateway 插件,并在数据中心安装与外部网络接口的 Citrix Gateway。客户端上的 Citrix Gateway 关插件和数据中心上的 Citrix 网关在建立连接时通过网络创建 SSL 隧道或 VPN。因此,客户端可以直接安全访问 VDA 资源,并通过 Citrix SD-WAN WANOP 设备进行透明连接。当客户端连接在 Citrix Gateway 终止时,网关将打开与 VDA 上端口 8008 的透明连接。

客户端与 VDA 之间交换的邮件将在 “了解客户端与服务器之间交换的邮件” 部分中进行说明。但是,在这种情况下,连接将在 Citrix Gateway 终止。Gateway 关代理 VDA 并在端口 8008 打开与 VDA 的透明连接,并以透明方式将所有消息从客户端传递到 VDA,反之亦然。

Citrix SD-WAN WANOP 插件使客户端能够访问资源,而不考虑客户端的位置。如果希望客户端需要从其桌面以外的位置访问 VDA 资源,则可以在完全虚拟专用网络 (VPN) 模式下部署安装程序。

此部署适用于期望员工在旅行时访问资源的组织。

具有端到端 SSL 加密功能的完整虚拟专用网络 (VPN) 模式

下图显示了以端到端 SSL 加密保护的完整 VPN 模式安装在客户端上的 Citrix Receiver for HTML5 的部署拓扑。

以 VPN 模式部署的 Citrix SD-WAN WANOP 设备,采用端到端 SSL 加密保护

本地化后的图片

具有端到端 SSL 加密部署的完整虚拟专用网络 (VPN) 模式类似于普通的完整 VPN 模式,不同之处在于 Citrix Gateway 和 VDA 之间的通信通过 SSL 加密保护,并使用端口 443 而不是端口 8008。

此部署适用于需要对正在旅行的员工访问的资源进行端到端 SSL 加密的组织。

部署模式