Citrix SD-WAN WANOP

Funktionsweise des WANOP-Plug-ins

WANOP Client Plug-in-Produkte verwenden Ihre bestehende WAN/VPN-Infrastruktur. Ein Computer, auf dem das Plug-In installiert ist, greift weiterhin wie vor der Installation des Plug-Ins auf LAN, WAN und Internet zu. Es sind keine Änderungen an Routingtabellen, Netzwerkeinstellungen, Clientanwendungen oder Serveranwendungen erforderlich.

Citrix Access Gateway-VPNs erfordern eine geringe Menge an WANOP Client-Plug-In-spezifischen Konfigurationen.

Es gibt zwei Varianten hinsichtlich der Handhabung von Verbindungen durch das Plug-In und die Appliance: Transparenter Modus und Redirector-Modus. Redirector ist ein Legacy-Modus, der für neue Bereitstellungen nicht empfohlen wird.

  • Der transparente Modus für die Beschleunigung von Plug-in-zu-Appliance ist der Beschleunigung von Appliance-zu-Appliance sehr ähnlich. Die WANOP Client-Plug-In-Appliance muss sich im Pfad befinden, der von den Paketen übernommen wird, wenn sie zwischen dem Plug-In und dem Server unterwegs sind. Wie bei der Appliance-zu-Appliance-Beschleunigung arbeitet der transparente Modus als transparenter Proxy, wobei die Quell- und Ziel-IP-Adresse sowie die Portnummern von einem Ende der Verbindung zum anderen beibehalten werden.

  • Der Umleitungsmodus (nicht empfohlen) verwendet einen expliziten Proxy. Das Plug-In setzt ausgehende Pakete an die Redirector-IP-Adresse der Appliance um. Die Appliance wiederum liest die Pakete an den Server, während die Rücksendeadresse so geändert wird, dass sie auf sich selbst anstatt auf das Plug-In verweist. In diesem Modus muss die Appliance nicht physisch mit dem Pfad zwischen der WAN-Schnittstelle und dem Server verbunden sein (dies ist die ideale Bereitstellung).

    Best Practice: Verwenden Sie den transparenten Modus, wenn Sie können, und den Umleitungsmodus, wenn Sie müssen.

Transparenter Modus

Im transparenten Modus müssen die Pakete für beschleunigte Verbindungen die Ziel-Appliance passieren, genau wie bei der Beschleunigung von Appliance zu Appliance.

Das Plug-In ist mit einer Liste der Appliances konfiguriert, die für die Beschleunigung verfügbar sind. Es versucht, jede Appliance zu kontaktieren und eine Signalverbindung zu öffnen. Wenn die Signalverbindung erfolgreich ist, lädt das Plug-In die Beschleunigungsregeln von der Appliance herunter, die die Zieladressen für Verbindungen sendet, die die Appliance beschleunigen kann.

Abbildung 1. Transparenter Modus, Hervorhebung von drei Beschleunigungspfaden

Transparenter Modus

Hinweis

  • Verkehrsfluss: Der transparente Modus beschleunigt die Verbindungen zwischen einem Citrix WANOP Client-Plug-in und einer Plug-in-fähigen Appliance.
  • Lizenzierung — Appliances benötigen eine Lizenz, um die gewünschte Anzahl von Plug-Ins zu unterstützen. Im Diagramm muss Citrix SD-WAN WANOP A2 nicht für die Plug-in-Beschleunigung lizenziert werden, da Citrix SD-WAN WANOP A1 bietet die Plug-in-Beschleunigung für Standort A
  • Daisy-Chaining: Wenn die Verbindung auf dem Weg zur Ziel-Appliance mehrere Appliances durchläuft, muss für die Appliances in der Mitte Daisy-Chaining aktiviert sein, oder die Beschleunigung wird blockiert. Im Diagramm wird der Datenverkehr von Home-Office- und mobilen VPN-Benutzern, der für große Zweigstellen B bestimmt ist, durch Citrix SD-WAN WANOP B beschleunigt. Damit dies funktioniert, muss Citrix SD-WAN WANOP A1 und A2 die Daisy-Chaining-Funktion aktiviert haben.

Wenn das Plug-In eine neue Verbindung öffnet, werden die Beschleunigungsregeln konsultiert. Wenn die Zieladresse einer der Regeln entspricht, versucht das Plug-In, die Verbindung zu beschleunigen, indem Beschleunigungsoptionen an das anfängliche Paket in der Verbindung (das SYN-Paket) angefügt werden. Wenn eine dem Plug-In bekannte Appliance Beschleunigungsoptionen an das SYN-ACK-Antwortpaket anfügt, wird eine beschleunigte Verbindung mit dieser Appliance hergestellt.

Die Anwendung und der Server wissen nicht, dass die beschleunigte Verbindung hergestellt wurde. Nur die Plug-In-Software und die Appliance wissen, dass eine Beschleunigung stattfindet.

Der transparente Modus ähnelt der Beschleunigung von Appliance-zu-Appliance, ist jedoch nicht identisch mit dieser. Die Unterschiede sind:

  • Nur Clientinitiierte Verbindungen: Der transparente Modus akzeptiert nur Verbindungen, die vom Plug-In-ausgestatteten System initiiert werden. Wenn Sie ein Plug-In-ausgestattetes System als Server verwenden, werden Serververbindungen nicht beschleunigt. Die Appliance-to-Appliance-Beschleunigung hingegen funktioniert unabhängig davon, welche Seite der Client ist und welche der Server ist. (Active-Mode FTP wird als Sonderfall behandelt, da die Verbindung, die die vom Plug-In angeforderte Datenübertragung initiiert, vom Server geöffnet wird.)

  • Signalverbindung — Der transparente Modus verwendet eine Signalverbindung zwischen Plug-In und Appliance für die Übertragung von Statusinformationen. Die Beschleunigung von Appliance-zu-Appliance erfordert keine Signalverbindung, außer für sichere Peer-Beziehungen, die standardmäßig deaktiviert sind. Wenn das Plug-In eine Signalverbindung nicht öffnen kann, versucht es nicht, Verbindungen über die Appliance zu beschleunigen.

  • Daisy-Chaining — Für eine Appliance, die sich im Pfad zwischen einem Plug-In und der ausgewählten Ziel-Appliance befindet, müssen Sie im Menü Konfiguration: Tuning die Daisy-Chaining-Funktion aktivieren.

Der transparente Modus wird häufig mit VPNs verwendet. Das WANOP Client-Plug-In ist mit den meisten IPSec- und PPTP-VPNs sowie mit Citrix Access Gateway VPNs kompatibel.

Die folgende Abbildung zeigt den Paketfluss im transparenten Modus. Dieser Paketfluss ist fast identisch mit der Beschleunigung von Appliance-zu-Appliance, mit der Ausnahme, dass die Entscheidung, ob versucht wird, die Verbindung zu beschleunigen, auf Beschleunigungsregeln basiert, die über die Signalverbindung heruntergeladen werden.

Abbildung 2. Paketfluss im transparenten Modus

Durchfluss im transparenten Modus

  1. Die Anwendung des Benutzers öffnet eine TCP-Verbindung zum Server und sendet ein TCP SYN-Paket.

    SRC: 10.0.0.50, Dst: 10.200.0.10

  2. Das WANOP-Plug-In sucht die Zieladresse und sieht, dass es mit einem Subnetz übereinstimmt, das von der Appliance beschleunigt wird. Es fügt WANOP-Optionen an den TCP-Header des SYN-Pakets. Es werden keine Adressen geändert.

    SRC: 10.0.0.50, Dst: 10.200.0.10

  3. Die Appliance notiert die SYN-Optionen und erkennt, dass es sich um eine beschleunigbare Verbindung handelt. Es entfernt die Optionen aus dem Paket und ermöglicht es, an den Server zu übergeben. Es werden keine Adressen geändert.

    SRC: 10.0.0.50, Dst: 10.200.0.10

  4. Der Server akzeptiert die Verbindung und antwortet mit einem TCP SYN-ACK-Paket.

    SRC: 10.200.0.10, Dst: 10.0.0.50

  5. Die Appliance kennzeichnet das SYN-ACK-Paket mit einer TCP-Header-Option, die anzeigt, dass die Beschleunigung stattfindet.

    SRC: 10.200.0.10, Dst: 10.0.0.50

  6. Das WANOP Plug-in empfängt das SYN-ACK-Paket. Die Optionen in den Paketheadern zeigen an, dass die Verbindung beschleunigt wird. Das Plug-in entfernt die Optionen und übergibt das SYN-ACK-Paket an die Anwendung. Die Verbindung ist nun vollständig geöffnet und beschleunigt.

Umleitungsmodus

Der Umleitungsmodus funktioniert auf folgende Weise anders als der transparente Modus:

  • Die WANOP Client-Plug-In-Software leitet die Pakete um, indem sie explizit an die Appliance adressieren.

  • Daher muss die Umleitungsmodus-Appliance nicht den gesamten WAN-Link-Datenverkehr abfangen. Da beschleunigte Verbindungen direkt an sie adressiert werden, können sie überall platziert werden, solange sie sowohl vom Plug-In als auch vom Server erreicht werden können.

  • Die Appliance führt ihre Optimierungen durch und leitet dann die Ausgabepakete an den Server um, wobei die Quell-IP-Adresse in den Paketen durch eine eigene Adresse ersetzt wird. Aus Sicht des Servers stammt die Verbindung von der Appliance.

  • Der Rückkehrverkehr vom Server wird an die Appliance adressiert, die Optimierungen in Rückwärtsrichtung durchführt und die Ausgabepakete an das Plug-In weiterleitet.

  • Die Zielportnummern werden nicht geändert, sodass Netzwerküberwachungsanwendungen den Datenverkehr weiterhin klassifizieren können.

Die folgende Abbildung zeigt, wie der Redirector-Modus funktioniert.

Abbildung 1. Umleitungsmodus

Wanop-Client-Plug-in-Beschleunigung

Die folgende Abbildung zeigt den Paketfluss und die Adressenzuordnung im Redirector-Modus.

Abbildung 2. Paketfluss im Umleitungsmodus

Paketflussumleitungsmodus

  1. Die Anwendung des Benutzers öffnet eine TCP-Verbindung zum Server und sendet ein TCP SYN-Paket.

    SRC: 10.0.0.50, Dst: 10.200.0.10

  2. Citrix SD-WAN WANOP Plug-In sucht die Zieladresse und entscheidet, die Verbindung mit der Appliance unter 10.200.0.201 umzuleiten.

    SRC: 10.0.0.50, dst: 10.200.0.201

    (10.200.0.10 wird in einem TCP-Optionsfeld beibehalten. Optionen 24-31 werden für verschiedene Parameter verwendet.)

  3. Die Appliance akzeptiert die Verbindung und leitet das Paket an den Server weiter (unter Verwendung der Zieladresse aus dem TCP-Optionsfeld) und gibt sich selbst als Quelle an.

    SRC: 10.200.0.201, DST: 10.200.0.10

  4. Der Server akzeptiert die Verbindung und antwortet mit einem TCP SYN-ACK-Paket.

    SRC: 10.200.0.10, DST: 10.200.0.201

  5. Die Appliance schreibt die Adressen neu und leitet das Paket an das Plug-in weiter (Platzieren der Serveradresse in ein Optionsfeld).

    SRC: 10.200.0.201, Dst: 10.0.0.50

  6. Die Verbindung ist nun vollständig geöffnet. Der Client und der Server senden Pakete über die Appliance hin und her.

    Während die Adressen im Redirector-Modus alyert werden, sind die Desitnationsportnummern nit (obwohl die kurzlebige Portnummer sein kann). Die Daten sind nicht gekapselt. Der Umleitungsmodus ist ein Proxy, kein Tunnel.

    Es gibt keine 1:1 -Beziehung zwischen Paketen (obwohl am Ende die empfangenen Daten immer identisch sind mit den gesendeten Daten). Durch die Komprimierung können viele Eingabepakete in ein einzelnes Paket reduziert werden. CIFS-Acceralation führt spekulative Read-Ahead- und White-Behind Operationen durch. Auch, wenn Pakete zwischen appliace und dem Reperter-Plug-in gelöscht werden, wird die erneute Übertragung von der Appliance, noyt dem Server, mit erweiterten Wiederherstellungsalgorithmen behandelt.

So wählt das Plug-In eine Appliance aus

Jedes Plug-In ist mit einer Liste der Appliances konfiguriert, die es kontaktieren kann, um eine beschleunigte Verbindung anzufordern.

Die Appliances verfügen jeweils über eine Liste von Beschleunigungsregeln, d. h. eine Liste von Zieladressen oder Ports, zu denen die Appliance beschleunigte Verbindungen herstellen kann. Das Plug-In lädt diese Regeln von den Appliances herunter und gleicht die Zieladresse und den Port jeder Verbindung mit dem Regelsatz der einzelnen Appliance ab. Wenn nur eine Appliance eine bestimmte Verbindung beschleunigen kann, ist die Auswahl einfach. Wenn mehr als eine Appliance die Verbindung beschleunigen kann, muss das Plug-In eine der Appliances auswählen.

Die Regeln für die Geräteauswahl lauten wie folgt:

  • Wenn alle Appliances, die zur Beschleunigung der Verbindung anbieten, Umleiter-Modus-Appliances sind, wird die ganz links in der Appliance-Liste des Plug-Ins ausgewählt. (Wenn die Appliances als DNS-Adressen angegeben wurden und der DNS-Eintrag mehrere IP-Adressen aufweist, werden auch diese von links nach rechts gescannt.)

  • Wenn einige Appliances, die zur Beschleunigung der Verbindung anbieten, den Redirector-Modus verwenden und einige den transparenten Modus verwenden, werden die Appliances im transparenten Modus ignoriert, und die Auswahl erfolgt über die Appliances im Umleitungsmodus.

  • Wenn alle Appliances, die zur Beschleunigung der Verbindung anbieten, den transparenten Modus verwenden, wählt das Plug-In keine bestimmte Appliance. Es initiiert die Verbindung mit den SYN-Optionen des WANOP Client-Plug-Ins, und je nachdem, welche Kandidateneinheit dem zurückgebenden SYN-ACK-Paket entsprechende Optionen anfügt, wird verwendet. Dadurch kann sich die Appliance, die tatsächlich dem Datenverkehr entspricht, mit dem Plug-In identifizieren. Das Plug-In muss jedoch über eine offene Signalverbindung mit der antwortenden Appliance verfügen, da sonst keine Beschleunigung stattfindet.

  • Einige Konfigurationsinformationen gelten als global. Diese Konfigurationsinformationen stammen von der ganz links angezeigten Appliance in der Liste, für die eine Signalverbindung geöffnet werden kann.

Funktionsweise des WANOP-Plug-ins