Citrix SD-WAN

Bereitstellen von Appliances zur Verwendung mit Plug-Ins

Die Clientbeschleunigung erfordert eine spezielle Konfiguration auf der WANOP Client-Plug-in-Appliance. Weitere Überlegungen sind die Platzierung der Appliance. Plug-Ins werden normalerweise für VPN-Verbindungen bereitgestellt.

Verwenden Sie nach Möglichkeit eine dedizierte Appliance

Der Versuch, dieselbe Appliance sowohl für die Plug-in-Beschleunigung als auch für die Verbindungsbeschleunigung zu verwenden, ist oft schwierig, da die beiden Anwendungen manchmal dazu führen, dass sich die Appliance an verschiedenen Stellen im Rechenzentrum befindet, und die beiden Anwendungen können unterschiedliche Regeln der Service-Klasse aufrufen.

Darüber hinaus kann eine einzelne Appliance als Endpunkt für die Plug-in-Beschleunigung oder als Endpunkt für die Standort-zu-Standort-Beschleunigung dienen, kann aber nicht beide Zwecke gleichzeitig für dieselbe Verbindung dienen. Wenn Sie eine Appliance sowohl für die Plug-in-Beschleunigung für Ihr VPN als auch für die Standort-zu-Standort-Beschleunigung auf ein Remote-Rechenzentrum verwenden, erhalten Plug-in-Benutzer daher keine Standort-zu-Standort-Beschleunigung. Die Schwere dieses Problems hängt davon ab, wie viele der von Plug-in-Benutzern verwendeten Daten von Remote-Sites stammen.

Da die Ressourcen einer dedizierten Appliance nicht zwischen Plug-in- und Standort-zu-Site-Anforderungen aufgeteilt sind, bieten sie jedem Plug-in-Benutzer mehr Ressourcen und damit eine höhere Leistung.

Inline-Modus verwenden, wenn möglich

Eine Appliance sollte am selben Standort wie die von ihr unterstützte VPN-Einheit bereitgestellt werden. Typischerweise sind die beiden Einheiten in Einklang miteinander. Eine Inline-Bereitstellung bietet die einfachste Konfiguration, die meisten Funktionen und die höchste Leistung. Für beste Ergebnisse sollte die Appliance direkt mit der VPN-Einheit in Einklang stehen.

Appliances können jedoch einen beliebigen Bereitstellungsmodus verwenden, ausgenommen den Gruppenmodus oder den Hochverfügbarkeitsmodus. Diese Modi eignen sich sowohl für Appliance-zu-Appliance-Beschleunigung als auch für Client-zu-Appliance-Beschleunigung. Sie können allein (transparenter Modus) oder in Kombination mit dem Redirector-Modus verwendet werden.

Platzieren Sie die Appliances in einem sicheren Teil Ihres Netzwerks

Eine Appliance hängt genauso von Ihrer vorhandenen Sicherheitsinfrastruktur ab wie Ihre Server. Es sollte auf der gleichen Seite der Firewall (und VPN-Einheit, falls verwendet) wie die Server platziert werden.

NAT-Probleme vermeiden

Network Address Translation (NAT) auf der Plug-in-Seite wird transparent behandelt und ist kein Problem. Auf der Appliance-Seite kann NAT lästig sein. Wenden Sie die folgenden Richtlinien an, um eine reibungslose Bereitstellung sicherzustellen:

  • Stellen Sie die Appliance in denselben Adressraum wie die Server ein, sodass alle Adressänderungen, die zum Erreichen der Server verwendet werden, auch auf die Appliance angewendet werden.

  • Greifen Sie niemals auf die Appliance zu, indem Sie eine Adresse verwenden, die die Appliance nicht mit sich selbst verknüpft.

  • Die Appliance muss auf die Server zugreifen können, indem sie dieselben IP-Adressen verwenden, unter denen Plug-in-Benutzer auf dieselben Server zugreifen.

  • Kurz gesagt, wenden Sie NAT nicht auf die Adressen von Servern oder Appliances an.

Softboost Modus auswählen

Wählen Sie auf der Seite Einstellungen konfigurieren: Bandbreitenverwaltung die Option Softboost. Softboost ist die einzige Art der Beschleunigung, die mit dem WANOP Client Plug-in Plug-in unterstützt wird.

Definieren von Plug-in-Beschleunigungsregeln

Die Appliance verwaltet eine Liste von Beschleunigungsregeln, die den Clients mitteilen, welcher Datenverkehr beschleunigt werden soll. Jede Regel gibt eine Adresse oder ein Subnetz sowie einen Portbereich an, den die Appliance beschleunigen kann.

Was beschleunigt werden soll:Die Wahl des Datenverkehrs, der beschleunigt werden soll, hängt von der Verwendung der Appliance ab:

  • VPN-Beschleuniger - Wenn die Appliance als VPN-Beschleuniger verwendet wird und der gesamte VPN-Datenverkehr durch die Appliance fließt, sollte der gesamte TCP-Datenverkehr unabhängig vom Ziel beschleunigt werden.

  • Umleitungsmodus - Im Gegensatz zum transparenten Modus ist eine Appliance im Redirector-Modus ein expliziter Proxy, der dazu führt, dass das Plug-in seinen Datenverkehr an die Redirector-Modus-Appliance weiterleitet, selbst wenn dies nicht wünschenswert ist. Beschleunigung kann kontraproduktiv sein, wenn der Client Datenverkehr an eine Appliance weiterleitet, die vom Server entfernt ist, insbesondere wenn diese Dreiecksroute eine langsame oder unzuverlässige Verbindung einführt. Daher empfiehlt Citrix, Beschleunigungsregeln so zu konfigurieren, dass eine bestimmte Appliance nur ihre eigene Site beschleunigt.

  • Sonstige Verwendung - Wenn das Plug-In weder als VPN-Beschleuniger noch im Redirector-Modus verwendet wird, sollten die Beschleunigungsregeln Adressen enthalten, die remote zu den Benutzern und lokal in Rechenzentren sind.

Definieren Sie die Regeln - Definieren Sie Beschleunigungsregeln auf der Registerkarte Konfiguration: WANOP-Client-Plug-in: Beschleunigungsregeln.

Regeln werden in der Reihenfolge ausgewertet, und die Aktion (Beschleunigen oder Ausschließen) wird von der ersten Übereinstimmungsregel übernommen. Damit eine Verbindung beschleunigt werden kann, muss sie mit einer Beschleunigungsregel übereinstimmen.

Die Standardaktion besteht darin, nicht zu beschleunigen.

Abbildung 1. Beschleunigungsregeln festlegen

lokalisierte Grafik

  1. Auf der Registerkarte Konfiguration: WANOP Plug-in: Beschleunigungsregeln:

    • Fügen Sie für jedes lokale LAN-Subnetz, das von der Appliance erreicht werden kann, eine Beschleunigungsregel hinzu. Das heißt, klicken Sie auf Hinzufügen, wählen Sie Beschleunigenaus, und geben Sie die Subnetz-IP-Adresse und -Maske ein.

    • Wiederholen Sie dies für jedes Subnetz, das lokal auf der Appliance ist.

  2. Wenn Sie einen Teil des eingeschlossenen Bereichs ausschließen müssen, fügen Sie eine Ausschlussregel hinzu und verschieben Sie sie über die allgemeinere Regel. Beispielsweise sieht 10.217.1.99 wie eine lokale Adresse aus. Wenn es sich tatsächlich um den lokalen Endpunkt einer VPN-Einheit handelt, erstellen Sie eine Ausschlussregel für sie in einer Zeile oberhalb der Beschleunigungsregel für 10.217.1.0/24.

  3. Wenn Sie Beschleunigung nur für einen einzelnen Port verwenden möchten (nicht empfohlen), z. B. Port 80 für HTTP, ersetzen Sie das Platzhalterzeichen im Feld Ports durch die spezifische Portnummer. Sie können zusätzliche Ports unterstützen, indem Sie zusätzliche Regeln hinzufügen, eine pro Port.

  4. Im Allgemeinen sollten Sie enge Regeln (in der Regel Ausnahmen) vor allgemeinen Regeln auflisten.

  5. Klicken Sie auf Übernehmen. Änderungen werden nicht gespeichert, wenn Sie von dieser Seite weg navigieren, bevor Sie sie anwenden.

IP-Port-Nutzung

Verwenden Sie die folgenden Richtlinien für die Verwendung von IP-Ports:

  • Ports, die für die Kommunikation mit dem WANOP Client Plug-in Plug-in verwendet werden— Das Plug-In führt einen Dialog mit der Appliance über eine Signalverbindung, die standardmäßig auf Port 443 (HTTPS) ist, der über die meisten Firewalls erlaubt ist.

  • Ports, die für die Kommunikation mit Servern verwendet werden— Die Kommunikation zwischen dem WANOP Client-Plug-in und der Appliance verwendet dieselben Ports, die der Client für die Kommunikation mit dem Server verwenden würde, wenn das Plug-in und die Appliance nicht vorhanden wären. Das heißt, wenn ein Client eine HTTP-Verbindung an Port 80 öffnet, stellt er eine Verbindung mit der Appliance an Port 80 her. Die Appliance wiederum kontaktiert den Server an Port 80.

    Im Redirector-Modus wird nur der bekannte Port (d. h. der Zielport auf dem TCP SYN-Paket) beibehalten. Der flüchtige Port bleibt nicht erhalten. Im transparenten Modus bleiben beide Ports erhalten.

    Die Appliance geht davon aus, dass sie mit dem Server an jedem vom Client angeforderten Port kommunizieren kann, und der Client geht davon aus, dass er mit der Appliance an jedem gewünschten Port kommunizieren kann. Dies funktioniert gut, wenn die Appliance denselben Firewallregeln wie die Server unterliegt. Wenn dies der Fall ist, gelingt jede Verbindung, die in einer direkten Verbindung erfolgreich wäre, in einer beschleunigten Verbindung.

Verwendung von TCP-Optionen und Firewalls

Die Parameter des WANOP Client-Plug-ins werden in den TCP-Optionen gesendet. TCP-Optionen können in jedem Paket auftreten und sind garantiert in den SYN- und SYN-ACK-Paketen vorhanden, die die Verbindung herstellen.

Die Firewall darf TCP-Optionen im Bereich von 24-31 (Dezimalzahl) nicht blockieren, da sonst keine Beschleunigung möglich ist. Die meisten Firewalls blockieren diese Optionen nicht. Eine Cisco PIX- oder ASA-Firewall mit Version 7.x-Firmware kann dies jedoch standardmäßig tun, und daher müssen Sie die Konfiguration anpassen.