Citrix SD-WAN

Prácticas recomendadas

En este artículo se describen las prácticas recomendadas de implementación para la solución Citrix SD-WAN. Proporciona orientación general, ventajas y casos de uso para el siguiente modo de implementación de Citrix SD-WAN.

Modo de borde/puerta de enlace

Recomendaciones

Las siguientes son las recomendaciones para la implementación del modo de puerta de enlace:

  1. El modo de puerta de enlace se utiliza mejor para sucursales SD-WAN donde se realiza la consolidación de enrutadores y los clientes están listos para permitir que SD-WAN sea el dispositivo perimetral que termina las conexiones.

  2. Una gran arquitectura de red se puede renderizar con un diseño escrupuloso cuando un proyecto se construye desde cero.

Nota

El modo Gateway se puede utilizar en el lado del centro de datos para los proyectos existentes con alguna interrupción de la infraestructura.

Ventajas/Casos de uso

Los siguientes son las ventajas/casos de uso para la implementación del modo de puerta de enlace:

  1. El mejor caso de uso para la consolidación de elementos de enrutador, firewall y red en la sucursal del cliente.

  2. Administración de host LAN sencilla y sencilla a través de DHCP.

    • Permite que SD-WAN se convierta en el salto siguiente y ofrezca direccionamiento IP basado en DHCP a todos los hosts LAN para puertos de datos.
  3. Todas las conexiones terminan en el borde o puerta de enlace SD-WAN y la administración se hace fácil.

  4. SD-WAN es el punto focal del enrutamiento perimetral y se dirige a todo el tráfico. Las decisiones se toman en el perímetro de ruptura, backhaul o superposición, incluida la contabilidad de ancho de banda y capacidad.

  5. Todos los hosts de subredes LAN como hosts LAN pueden tener SD-WAN LAN VIP como salto siguiente. Si la LAN SD-WAN se conecta a un conmutador central, puede ejecutar enrutamiento dinámico para obtener visibilidad de todas las subredes LAN.

  6. Gran flexibilidad para alta disponibilidad (HA): recomendación estricta para el modo de Gateway para que el sitio funcione con un modo activo/en espera. Además, ayuda a prevenir el agujero negro del tráfico si el dispositivo SD-WAN se apaga.

    • Conmutadores disponibles en la sucursal: la alta disponibilidad paralela puede funcionar en modo de Gateway.

    • Conmutadores no disponibles en la sucursal: SD-WAN también puede operar en el modo de alta disponibilidad de borde SD-WAN (modo de alta disponibilidad de error a cable) donde las dos cajas SD-WAN están conectadas en cadena para hacer uso de puertos de error a cable para actuar como un par convergente de alta disponibilidad.

  7. Permita que Internet se defina como interfaces NO CONFIABLES que crean automáticamente un NAT dinámico para la ruptura y origen de NAT la conexión para que la respuesta vuelva a SD-WAN.

  8. Las consideraciones de seguridad para las interfaces NO CONFIABLES están implícitas de forma natural, ya que sólo se permiten los paquetes de control ICMP/ARP/UDP en 4980.

Precauciones

La siguiente es la información que debe tener cuidado en el modo de puerta de enlace:

  • Diseño cuidadoso y arquitectura de red : el modo de puerta de enlace puede necesitar consideraciones de diseño y redes cuidadosas, ya que toda la red de rama o perímetro está en SD-WAN. Qué bloquear, qué enrutar, cómo red LAN, cómo terminar WAN, etc.

  • Fallo del dispositivo: el modo Edge no puede tener la capacidad de error a cable. Toda la rama se desactiva cuando el dispositivo está apagado.

  • Postura de seguridad : a medida que el enrutamiento se gestiona en el perímetro, las posturas de seguridad como el cortafuegos, las consideraciones de ruptura/backhaul son cruciales y deben ser concebidas con el cliente.

  • Alta disponibilidad : la alta disponibilidad de fallos a cables debe tener algunas consideraciones sobre la disponibilidad de puertos y, dependiendo de las implementaciones, puede resultar complicado diseñar.

    • SD-WAN 110 NO es una opción, ya que no tiene puertos de error al cable.

Por ejemplo, si necesita 2 enlaces WAN para operar, necesita 5 puertos, incluido un puerto dedicado para la interfaz de alta disponibilidad, incluida la interfaz LAN.

Modo en línea: Fail-to-cable/Fail-to-block

Recomendaciones

Las siguientes son las recomendaciones para la implementación en modo en línea :

  1. El modo en línea es el mejor para las sucursales donde no se debe cambiar la infraestructura existente y SD-WAN se encuentra de forma transparente en línea con el segmento LAN.

  2. Los centros de datos también pueden emplear fallas en línea o alta disponibilidad paralela en línea, ya que es inmensamente importante asegurarse de que las cargas de trabajo del centro de datos no estén encerradas debido a la caída o caída del dispositivo.

Ventajas y casos de uso

Los siguientes son las ventajas/casos de uso para la implementación en modo en línea:

  1. Mantener el router MPLS, por lo tanto, fallar al cable es una función encantadora. Los dispositivos con capacidad de error a cable permiten la conmutación por error sin problemas para la infraestructura subyacente si la caja se apagó.

    • Si sus dispositivos admiten fallas a través del cable (SD-WAN 210 y superior), esto permite colocar una sola SD-WAN en línea para evitar el tráfico de LAN al enrutador perimetral del cliente cuando el SD-WAN se bloquea o se desactiva.

    • Si los vínculos MPLS están presentes que producen una extensión natural a la LAN/Intranet del cliente, el puerto de par de puente de error a cable es la mejor opción (pares con capacidad de error a cable) de tal manera que, cuando el dispositivo se bloquea o baja, el tráfico LAN se omite el hardware al enrutador perimetral del cliente (se mantiene el siguiente salto).

  2. La creación de redes es simple.

  3. SD-WAN ve todo el tráfico a través del modo en línea, por lo que es el mejor caso para la contabilidad adecuada del ancho de banda y la capacidad.

  4. Pocos requisitos de integración ya que solo necesita una IP del segmento L2. Los segmentos de LAN son bien conocidos por tener un brazo a la interfaz LAN. Si se conecta a un conmutador central, también puede ejecutar enrutamiento dinámico para obtener visibilidad de todas las subredes LAN.

  5. Las expectativas del cliente son que SD-WAN debe integrarse en la infraestructura existente como un nuevo nodo de red (nada más cambia).

  6. ARP proxy : en modo en línea, es una bendición para SD-WAN proxy solicitudes ARP a la LAN siguiente salto si la puerta de enlace se ha caído o la interfaz SD-WAN hacia el salto siguiente se ha caído.

    • Generalmente, en el modo en línea con el par de puente (error a bloqueo o error a cable) con múltiples conexiones WAN (MPLS/Internet), se recomienda habilitar el ARP de proxy para la interfaz de par de puente que conecta los hosts LAN a su Gateway de salto siguiente.

    • Por cualquier motivo, cuando el salto siguiente está inactivo o la interfaz SD-WAN al salto siguiente está inactiva haciendo que la Gateway sea inaccesible, SD-WAN actúa como un proxy para las solicitudes ARP permitiendo a los hosts LAN enviar paquetes sin problemas y utilizar las conexiones WAN restantes que mantienen el path virtual activo.

  7. Alta disponibilidad : si no es una opción, los dispositivos se pueden colocar en dispositivos paralelos de alta disponibilidad (interfaces LAN y WAN comunes para los activos/en espera) para lograr redundancia.

    • Si sus dispositivos no son compatibles con fallas al cable, como el SD-WAN 110, debe utilizar una alta disponibilidad paralela en línea que permita que un dispositivo de espera se conecte si el primario se apagó.

Precauciones

La siguiente es la información que debe tener cuidado en el modo Inline :

  • La red de fontanería con dos brazos a la SD-WAN (LAN y WAN lado), necesita algo de tiempo de inactividad ya que la red debe ser plomada en dos brazos.

  • Debe asegurarse de que si se utiliza un error a cable, está detrás de un enrutador/firewall perimetral del cliente en una zona de CONFIANZA para que la seguridad no se vea comprometida.

  • MPLS QoS cambia un poco en esto ya que las directivas de QoS anteriores podrían haber dependido de las direcciones IP de origen o basadas en DSCP que ahora se enmascararán debido a una superposición.

  • Se debe tener cuidado de reutilizar el enrutador MPLS con un ancho de banda reservado específico SD-WAN bien diseñado con una etiqueta DSCP específica, de modo que la QoS de SD-WAN se encargue de priorizar el tráfico y envíe aplicaciones de alta prioridad inmediatamente seguidas de otras clases (pero puede tener en cuenta el ancho de banda reservado para SD-WAN en el router MPLS). Las colas MPLS son una alternativa o MPLS con un único DSCP establecido en el grupo de rutas automáticas que puede encargarse de esto.

  • Si las interfaces de Internet son de CONFIANZA ya que los vínculos terminan en el enrutador perimetral del cliente, para utilizar el servicio Internet, debe escribir una regla NAT dinámica exclusiva para habilitar la interrupción de Internet desde el dispositivo.

  • Si los vínculos de Internet son las únicas conexiones WAN y aún terminan en el enrutador perimetral del cliente, sigue siendo correcto omitir las conexiones si el enrutador perimetral del cliente toma precauciones para dirigir los paquetes a través de su infraestructura de calco subyacente existente.

    • Se debe tener cuidado para tener en cuenta el flujo de omitir el tráfico LAN a través del par de puentes con una conexión a Internet y cuando el dispositivo está inactivo. Dado que se trata de un tráfico de Intranet empresarial sensible, en vísperas de un fallo, el cliente debe saber cómo manejarlo.

Modo en línea/un brazo virtual

Recomendaciones

Las siguientes son las recomendaciones para la implementación del modo virtual en línea :

  1. El modo virtual en línea es mejor para redes de centros de datos, ya que la plomería de red SD-WAN se puede trabajar en paralelo mientras el centro de datos atiende a sus cargas de trabajo existentes con la infraestructura existente.

  2. SD-WAN se encuentra en una interfaz de un solo brazo que se administra con un seguimiento de SLA en VIP. Si el seguimiento se desactiva, el tráfico reanuda el enrutamiento a través de la infraestructura de calco subyacente existente.

  3. Las sucursales también se pueden implementar en modo virtual en línea, sin embargo, son más predominantes con las implementaciones en línea/puerta de enlace.

Ventajas y casos de uso

Las siguientes son las ventajas/casos de uso para la implementación del modo virtual en línea :

  1. La forma más sencilla y recomendada de conectar SD-WAN en el centro de datos.

    • El modo virtual en línea permite la fontanería de red paralela de SD-WAN con el enrutador de núcleo de cabecera.

    • El modo virtual en línea nos permite definir fácilmente los PBRs para desviar el tráfico LAN debe pasar por SD-WAN y obtener beneficios de superposición.

  2. Failover sin problemas a la infraestructura subyacente para que SD-WAN falle y reenvío sin problemas a SD-WAN para obtener beneficios de superposición en condiciones normales.

  3. Requisitos sencillos de redes e integración. La interfaz de un solo brazo desde el enrutador de cabecera a SD-WAN en línea virtual.

  4. Enrutamiento dinámico fácil de implementar en el modo Solo importación (no exporte nada) para obtener visibilidad de las subredes LAN para que puedan enviarse a dispositivos remotos de pares SD-WAN.

  5. Fácil de definir PBR en los routers (1 por WAN VIP) para indicar cómo elegir el físico.

Precauciones

La siguiente es la información sobre la que debe tener cuidado en el modo Virtual Inline :

  • Se debe tener el cuidado adecuado para asignar claramente el VIP lógico SD-WAN de un enlace WAN definido a la interfaz física correcta (de lo contrario, esto podría causar problemas inquierebles en la evaluación de la métrica WAN y en la elección de rutas de WAN).

  • Se deben hacer consideraciones de diseño adecuadas para saber si todo el tráfico se desvía a través de SD-WAN o solo tráfico específico.

  • Esto significa que SD-WAN debe dedicarse una parte de ancho de banda exclusivamente para sí mismo que debe establecerse en las interfaces de tal manera que la capacidad de SD-WAN no sea utilizada por otro tráfico que no sea SD-WAN, causando resultados inquierebles.

    • Pueden producirse problemas de contabilidad de ancho de banda y problemas de congestión si la capacidad de los enlaces WAN de SD-WAN se define incorrectamente.
  • La redirección dinámica puede causar algunos problemas si se diseña incorrectamente, donde si los VIPs de centro de datos y sucursales de SD-WAN se exportan a la cabecera y si el enrutamiento se ve influenciado hacia SD-WAN, los paquetes de superposición comienzan a bucle y provocan resultados no quieredos.

  • La redirección dinámica debe administrarse adecuadamente teniendo en cuenta todos los factores potenciales de qué aprender/qué anunciar.

  • La interfaz física de un solo brazo puede convertirse en un cuello de botella a veces. Necesita algunas consideraciones de diseño en esas líneas, ya que atiende tanto a la carga como a la descarga y también actúa como tráfico de LAN a LAN y LAN a WAN/WAN a LAN desde SD-WAN.

  • El tráfico excesivo de LAN a LAN puede ser un punto a tener en cuenta durante el diseño.

  • Si no se utiliza el enrutamiento dinámico, debe haber cuidado adecuadamente al administrar todas las subredes LAN, lo que de no ser así, podría causar problemas de redirección no quieredos.

  • Existen posibles problemas de bucle de redirección si define alguna ruta predeterminada (0.0.0.0/0) en el SD-WAN en la línea virtual para volver al enrutador de cabecera. En tales situaciones, si la ruta virtual se apagó, cualquier tráfico procedente de la LAN del centro de datos (como el tráfico de supervisión) se vuelve a la cabecera y de vuelta a SD-WAN causando problemas de enrutamiento no deseados (Si la ruta virtual está inactiva, las subredes de sucursales remotas se vuelven accesibles NO causando el ruta predeterminada para ser HIT, que causa problemas de bucle).

Prácticas recomendadas