Arquitectura
Internamente, el dispositivo SD-WAN 4000/5000 contiene varias máquinas virtuales:
- Un hipervisor Xen
- Una instancia de NetScaler
- Al menos dos instancias del acelerador
- Una instancia del servidor de administración que administra la GUI y otras tareas
- Redes internas
Ilustración 2. Máquinas virtuales SD-WAN 4100/5100, redes internas y uso de puertos externos (se muestra la implementación en línea)
Ningún tráfico WAN entra o sale de los aceleradores, excepto según lo configurado en la instancia de NetScaler. Cuando se utiliza por primera vez el dispositivo, el Asistente para aprovisionamiento configura una configuración inicial que proporciona comunicación y equilibrio de carga entre la instancia de NetScaler y los aceleradores.
El servicio de administración es la interfaz de configuración de administración del dispositivo y proporciona acceso a los elementos clave de funcionamiento y supervisión del dispositivo. El servicio de administración muestra los parámetros SD-WAN como si fueran de un único acelerador, y todos los cambios realizados a través de esta interfaz se aplican a todas las instancias del acelerador.
El hipervisor Xen aloja todas las máquinas virtuales. El hipervisor no es configurable por el usuario y no se debe acceder a él excepto a petición de Citrix.
Redes internas y externas
Las interfaces de red externas se dividen en dos categorías: Interfaces de tráfico e interfaces de gestión.
Interfacesde tráfico: Las interfaces de tráfico incluyen todas las interfaces de red excepto los puertos 0/1 y 0/2, que solo se utilizan para la administración. La aceleración se lleva a cabo solo en las interfaces de tráfico.
Nota: Debe mantener las interfaces de tráfico aisladas de la interfaz de administración para evitar el aleteo de ARP y otros problemas. Este aislamiento se puede lograr físicamente o etiquetando la interfaz de administración y los paquetes de interfaz de tráfico con diferentes VLAN.
Subred de administración: Las máquinas virtuales se conectan directamente a la subred de administración externa, con diferentes direcciones IP para el servicio de administración, la instancia de NetScaler y XenServer.
Nota: Debe mantener las interfaces de tráfico aisladas de la interfaz de administración para evitar el aleteo de ARP y otros problemas. Este aislamiento se puede lograr físicamente o etiquetando la interfaz de administración y los paquetes de interfaz de tráfico con diferentes VLAN.
Subred de tráfico interno privado: Los puertos acelerados de los aceleradores se conectan internamente a la instancia de NetScaler en modo de un brazo, mediante una subred de tráfico interna. No hay conexión directa entre los puertos acelerados de las instancias y los puertos externos del dispositivo. Todo el tráfico acelerado hacia los aceleradores es controlado por la instancia de NetScaler.
Dado que esta subred interna no es accesible desde fuera del dispositivo, utiliza subredes no enrutables en el rango 169.254.0.0/16. La instancia de NetScaler proporciona NAT para las características que requieren acceso enrutable al acelerador. Solo las dos funciones siguientes de los aceleradores requieren direcciones IP a las que se puede llegar desde el mundo exterior:
- La dirección IP de señalización, utilizada para peering seguro y el complemento SD-WAN.
- Direcciones IP, utilizadas para la comunicación con el enrutador cuando se utiliza el protocolo WCCP.
En ambos casos, el número de direcciones IP visibles externamente es independiente del número de aceleradores que tenga el dispositivo.
La subred de tráfico interno requiere dos direcciones IP por acelerador, más una dirección para NetScaler, más una o dos direcciones VIP de WCCP si se utiliza WCCP. Dado que la red interna es privada, tiene una gran cantidad de espacio de direcciones para estas tareas.
Flujo de datos en la subred de tráfico privado: La conexión de un brazo entre la instancia de NetScaler y los aceleradores utiliza el modo virtual en línea SD-WAN, en el que la instancia de NetScaler enruta los paquetes a los aceleradores y los aceleradores los enrutan de vuelta a la instancia de NetScaler. El flujo de tráfico sobre esta subred de tráfico interno es idéntico independientemente de si el modo visible para el mundo exterior (en las interfaces externas) es en línea, virtual en línea o WCCP.
Este tráfico requiere la opción SD-WAN “Return to Ethernet Sender” y las opciones NetScaler MAC Address Forwarding and Use Subnet IP, habilitadas por el Asistente de aprovisionamiento.
Resumen del modo de implementación: Las diferencias entre el modo WCCP, el modo en línea y el modo en línea virtual se pueden resumir de la siguiente manera:
- El modo WCCP es una configuración de un brazo. Los aceleradores establecen canales de control WCCP con el router. En el modo WCCP, sólo uno o dos aceleradores administran el canal de control del WCCP en nombre de todos los aceleradores. El tráfico de datos se equilibra la carga en todos los aceleradores. Cuando se utiliza la encapsulación GRE, la instancia de NetScaler realiza la encapsulación/decapsulación GRE en el flujo de datos entre él y el enrutador, permitiendo que los datos entre NetScaler y los aceleradores utilicen una configuración decapsulada de nivel 2.
- El modo en línea funciona muy de la misma manera que el modo WCCP internamente, pero externamente el dispositivo emula un puente y no se establece ningún canal de control WCCP. Un paquete que entra en el dispositivo en un puerto de puente sale a través del otro puerto de puente. Los dispositivos SD-WAN 4000 y 5000 tienen varios puentes para admitir múltiples enlaces en línea.
- En el modo virtual en línea (utilizado cuando los modos WCCP y en línea no son factibles), el dispositivo se implementa en una configuración de un brazo, al igual que WCCP, pero sin el canal de control WCCP. El tráfico se envía al dispositivo desde el enrutador mediante reglas de enrutamiento basado en políticas (PBR). El dispositivo procesa el tráfico y lo devuelve al enrutador.
Imagen 3. WCCP y cableado virtual en línea
Consulte máquinas virtuales SD-WAN 4100/5100, redes internas y uso de puertos externos para obtener un diagrama del uso de puertos en dispositivos SD-WAN 4100/5100. Los puertos de tráfico se organizan como un conjunto de puentes acelerados, mientras que los puertos de administración son independientes. Por lo general, solo se utiliza un puerto de administración.
Imagen 4. Cableado en línea
Puentes acelerados
Los dispositivos SD-WAN 4100/5100 tienen varios puentes acelerados. Los diferentes modelos tienen diferentes números y tipos de puertos de puente. Los dos puertos que componen dicho puente se denominan “par acelerado”. Todos los modelos actuales incluyen una función de derivación de red incorporada. (Algunas unidades SD-WAN 4100-500 y 4100—1000 antiguas no incluyen la derivación de red). La función de derivación de red (también denominada “falla al cablear”) conecta pares de puertos juntos si el dispositivo falla como resultado de una pérdida de energía o de un fallo de software (según lo determinado por un temporizador de vigilancia interno).
Implementación en línea. La función de derivación permite desplegar SD-WAN 4100/5100 en línea con su WAN, normalmente entre su LAN y su enrutador WAN, sin introducir un punto de falla en la red.
Los puentes acelerados admiten velocidades de datos de 1 Gbps o 10 Gbps. Las interfaces Ethernet y SFP+ son compatibles, dependiendo del modelo.
Implementación unidireccional. También se admiten implementaciones con un brazo, mediante WCCP o modos virtuales en línea. Con tales implementaciones, un puerto de tráfico SD-WAN 4000/5000 se conecta directamente a un puerto del enrutador WAN. El otro puerto del par puente se deja sin conexión.
Consideraciones de rendimiento. Las implementaciones en línea proporcionan un rendimiento superior al de las implementaciones de un brazo, ya que el uso de dos puertos en lugar de uno duplica el rendimiento máximo de las interfaces.
El rendimiento máximo es importante con los dispositivos SD-WAN 4100/5100, ya que el compresor proporciona aceleración en proporción a la relación de compresión. Es decir, una conexión que alcanza la compresión 100:1 transfiere datos 100 veces más rápido que una conexión sin comprimir, siempre y cuando el resto de la ruta de red pueda mantenerse al día.
Por ejemplo, tome un centro de datos con un enlace WAN de 500 Mbps y una LAN de 1 Gbps. La pequeña relación de velocidad 2:1 entre la WAN y la LAN permite que la compresión proporcione solo una velocidad 2x sobre una base de enlace completo, ya que no hay forma de obtener datos dentro o fuera de la LAN a velocidades superiores a 1 Gbps. Se recomienda utilizar una LAN de 10 Gbps, que permite un aumento diez veces en las velocidades máximas de datos, para su uso con implementaciones de SD-WAN 4100/5100.
Cuando se implementa un dispositivo SD-WAN 4100/5100 en modo de un brazo, la velocidad máxima de transferencia se reduce a la mitad. Un SD-WAN 4100/5100 en modo de un brazo, conectado al router con una interfaz LAN de 1 Gbps, satura esta interfaz cuando la WAN se ejecuta a toda velocidad en ambas direcciones. Para un buen rendimiento, SD-WAN 4100/5100 debe tener una interfaz LAN mucho más rápida que la WAN. Cuando el dispositivo esté conectado directamente al router en modo de un brazo, utilice un puerto de enrutador de 10 Gbps.
Nota
Los puertos de 10 Gbps solo admiten 10 Gbps. No negocian velocidades más bajas. Utilice los puertos de 1 Gbps para redes de 1 Gbps.
Otros puertos
Un dispositivo SD-WAN 4100/5100 tiene al menos dos puertos no acelerados. El puerto 0/1 se utiliza típicamente para la administración, el puerto 0/2 está presente pero normalmente no se usa. También se proporciona un puerto Light Out Management (LOM). Se puede utilizar un puerto RS-232 para la administración.