Citrix SD-WAN WANOP

WANOP 插件的工作原理

WANOP 客户端插件产品使用您现有的 WAN/VPN 基础设施。安装插件的计算机将继续访问 LAN、WAN 和 Internet,就像安装插件之前一样。无需更改路由表、网络设置、客户端应用程序或服务器应用程序。

Citrix 接入网关 VPN 需要少量的 WANOP 客户端插件特定配置。

插件和设备处理连接的方式有两种变化: 透明模式重定向模式。重定向器是新部署不推荐使用的旧模式。

  • 插件到设备加速的透明模式 与设备到设备加速非常相似。WANOP 客户端插件设备在插件和服务器之间传输时必须位于数据包所采用的路径中。与设备到设备的加速一样,透明模式可作为透明代理工作,从连接的一端保留源和目标 IP 地址以及端口号。

  • 重定向器模式 (不推荐)使用显式代理。插件将传出的数据包重新定向器 IP 地址。设备将数据包重新地址到服务器,同时将返回地址更改为指向自身而不是插件。在此模式下,设备不必物理上与 WAN 接口和服务器之间的路径内联(尽管这是理想的部署)。

    最佳实践:当你可以使用透明模式,当你必须使用重定向模式。

透明模式

在透明模式下,用于加速连接的数据包必须通过目标设备,就像在设备到设备的加速中一样。

插件配置为可用于加速的设备列表。它尝试联系每个设备,打开信号连接。如果信令连接成功,插件会从设备下载加速规则,从而发送设备可加速的连接的目标地址。

图 1. 透明模式,突出显示三个加速路径

透明模式

注意

  • 流量流-透明模式可加速 Citrix WANOP 客户端插件与启用了插件的设备之间的连接。
  • 许可-设备需要许可证才能支持所需数量的插件。在图中,Citrix SD-WAN WANOP A2 不需要为插件加速许可,因为 Citrix SD-WAN WANOP A1 为站点 A 提供插件加速。
  • 菊花链-如果连接在通往目标设备的路上通过多个设备,则中间的设备必须启用 “菊花链”,否则加速被阻止。在图中,来自大型分支机构 B 的家庭办公室和移动 VPN 用户的流量由 Citrix SD-WAN WANOP B 加速。为此,Citrix SD-WAN WANOP A1 和 A2 必须启用菊花链。

每当插件打开新连接时,它都会查看加速规则。如果目标地址与任何规则匹配,插件会尝试通过将加速选项附加到连接中的初始数据包(SYN 数据包)来加速连接。如果插件已知的任何设备将加速选项附加到 SYN-ACK 响应数据包,则会与该设备建立加速连接。

应用程序和服务器不知道已建立加速连接。只有插件软件和设备知道正在发生加速。

透明模式类似于设备到设备的加速,但与其不完全相同。不同之处是:

  • 仅客户端启动的连接 — 透明模式仅接受由配备插件的系统启动的连接。如果将配备插件的系统用作服务器,则不会加速服务器连接。另一方面,无论哪一端是客户端,哪一端是服务器,设备到设备的加速都会起作用。(主动模式 FTP 被视为特殊情况,因为启动插件请求的数据传输的连接是由服务器打开的。)

  • 信令连接-透明模式使用插件和设备之间的信令连接传输状态信息。设备到设备加速不需要信令连接,但安全对等关系除外,默认情况下处于禁用状态。如果插件无法打开信令连接,则不会尝试通过设备加速连接。

  • 菊花链-对于位于插件与其所选目标设备之间路径中的设备,必须在 配置:调整 菜单上启用菊花链。

透明模式通常与 VPN 一起使用。WANOP 客户端插件与大多数 IPsec 和 PPTP VPN 以及 Citrix Access Gateway VPN 兼容。

下图显示了透明模式下的数据包流。此数据包流几乎与设备到设备的加速相同,只是决定是否尝试加速连接是基于通过信令连接下载的加速规则。

图 2. 透明模式下的数据包流

透明模式流程

  1. 用户的应用程序打开到服务器的 TCP 连接,发送 TCP SYN 数据包。

    Src: 10.0.0.50, Dst: 10.200.0.10

  2. WANOP 插件会查找目标地址,并发现它与设备加速的子网匹配。它将 WANOP 选项附加到 SYN 数据包的 TCP 标头。没有更改地址。

    Src: 10.0.0.50, Dst: 10.200.0.10

  3. 设备记录 SYN 选项并识别这是可加速连接。它从数据包中剥离选项,并允许它传递给服务器。没有更改地址。

    Src: 10.0.0.50, Dst: 10.200.0.10

  4. 服务器接受连接并使用 TCP SYN-ACK 数据包进行响应。

    Src: 10.200.0.10, Dst: 10.0.0.50

  5. 设备使用 TCP 标头选项标记 SYN-ACK 数据包,该选项显示将发生加速。

    Src: 10.200.0.10, Dst: 10.0.0.50

  6. WANOP 插件接收 SYN-ACK 数据包。数据包标头中的选项指示连接已加速。插件会剥离这些选项并将 SYN-ACK 数据包传递给应用程序。连接现已完全打开并加速。

重定向器模式

重定向器模式的工作方式与透明模式有所不同:

  • WANOP 客户端插件软件通过将数据包明确地寻址到设备来重定向数据包。

  • 因此,重定向器模式设备不必拦截所有 WAN-Link 流量。由于加速连接是直接给它的,因此只要插件和服务器都能到达,它就可以放置在任何地方。

  • 设备执行其优化,然后将输出数据包重定向到服务器,将数据包中的源 IP 地址替换为自己的地址。从服务器的角度来看,连接始于设备。

  • 来自服务器的返回流量会发送到设备,该设备在返回方向上执行优化,并将输出数据包转发到插件。

  • 目标端口号不会更改,因此网络监视应用程序仍然可以对流量进行分类。

下图显示了重定向器模式的工作原理。

图 1. 重定向器模式

Wanop 客户端插入加速

下图显示了 重定向器模式下的数据包流和地址映射。

图 2. 重定向器模式下的数据包流

数据包流重定向模式

  1. 用户的应用程序打开到服务器的 TCP 连接,发送 TCP SYN 数据包。

    Src: 10.0.0.50, Dst: 10.200.0.10

  2. Citrix SD-WAN WANOP 插件会查找目标地址,并决定将连接重定向到 10.200.0.201 的设备。

    Src: 10.0.0.50, Dst: 10.200.0.201

    (10.200.0.10 保留在 TCP 选项字段中。选项 24-31 用于各种参数。)

  3. 设备接受连接并将数据包转发到服务器(使用 TCP 选项字段中的目标地址),然后将自己作为源。

    Src: 10.200.0.201, Dst: 10.200.0.10

  4. 服务器接受连接并使用 TCP SYN-ACK 数据包进行响应。

    Src: 10.200.0.10, Dst: 10.200.0.201

  5. 设备重写地址并将数据包转发到插件(将服务器地址置于选项字段中)。

    Src: 10.200.0.201, Dst: 10.0.0.50

  6. 连接现已完全打开。客户端和服务器通过设备来回发送数据包。

    虽然地址在重定向器模式下分配,但去除端口号是 nit(尽管临时端口号可能是)。数据未封装。重定向器模式是一个代理,而不是一个隧道。

    数据包之间没有 1:1 关系(尽管最终,接收的数据始终与发送的数据相同)。压缩可能会将多个输入数据包减少到单个数据包中。CIFS 荣誉将执行推测性的预读和白人后备操作。还, 如果应用程序和 Replter 插件之间丢弃数据包, 重新传输由设备处理, noyt 服务器, 使用先进的恢复算法.

插件如何选择设备

每个插件都配置了它可以联系以请求加速连接的设备列表。

每个设备都有 加速规则列表,该列表是设备可以建立加速连接的目标地址或端口的列表。插件从设备下载这些规则,并将每个连接的目标地址和端口与每个设备的规则集匹配。如果只有一台设备提供加速给定连接,则选择非常简单。如果多个设备提供加速连接,则插件必须选择其中一个设备。

设备选择的规则如下所示:

  • 如果提供加速连接的所有设备都是重定向模式设备,则会选择插件的设备列表中最左侧的设备。(如果将设备指定为 DNS 地址,并且 DNS 记录具有多个 IP 地址,则这些地址也会从左到右扫描。)

  • 如果提供加速连接的某些设备使用重定向器模式,而有些设备使用透明模式,则忽略透明模式设备,并从重定向器模式设备中进行选择。

  • 如果提供加速连接的所有设备都使用透明模式,则插件不会选择特定的设备 * *。它使用 WANOP Client 插件 SYN 选项启动连接,并且使用任何候选设备向返回的 SYN-ACK 数据包附加适当的选项。这允许实际上与流量一致的设备标识到插件中的自身。但是,插件必须与响应设备具有开放的信号连接,否则不会发生加速。

  • 某些配置信息被视为全局信息。此配置信息取自可以打开信令连接的列表中最左侧的设备。

WANOP 插件的工作原理