Citrix SD-WAN Platforms

Architecture

En interne, l’appliance SD-WAN 4000/5000 contient plusieurs machines virtuelles :

  • Un hyperviseur Xen
  • Une instance NetScaler
  • Au moins deux instances d’accélérateur
  • Une instance de serveur de gestion qui gère l’interface graphique et d’autres tâches
  • Mise en réseau interne

Figure 2. Machines virtuelles SD-WAN 4100/5100, réseaux internes et utilisation des ports externes (déploiement en ligne illustré)

image localisée

Aucun trafic WAN entre ou quitte les accélérateurs, sauf comme configuré dans l’instance NetScaler. Lorsque l’appliance est utilisée pour la première fois, l’Assistant Provisioning configure une configuration initiale qui assure la communication et l’équilibrage de charge entre l’instance NetScaler et les accélérateurs.

Le service de gestion est l’interface de configuration de gestion de l’appliance et permet d’accéder aux principaux éléments d’exploitation et de surveillance de l’appliance. Le service de gestion affiche les paramètres SD-WAN comme s’ils provenaient d’un seul accélérateur, et toutes les modifications effectuées via cette interface sont appliquées à toutes les instances d’accélérateur.

L’hyperviseur Xen héberge toutes les machines virtuelles. L’hyperviseur n’est pas configurable par l’utilisateur et ne doit pas être accessible, sauf à la demande de Citrix.

Réseaux internes et externes

Les interfaces réseau externes sont divisées en deux catégories : les interfaces de trafic et les interfaces de gestion.

Traffic Interfaces—Les interfaces de trafic incluent toutes les interfaces réseau, à l’exception des ports 0/1 et 0/2, qui sont utilisés uniquement pour la gestion. L’accélération a lieu uniquement sur les interfaces de trafic.

Remarque : Vous devez garder les interfaces de trafic isolées de l’interface de gestion pour éviter les battements ARP et d’autres problèmes. Cette isolation peut être réalisée physiquement ou en balisant l’interface de gestion et les paquets d’interface de trafic avec différents VLAN.

Sous-réseau de gestion : les machines virtuelles se connectent directement au sous-réseau de gestion externe, avec différentes adresses IP pour le service de gestion, l’instance NetScaler et XenServer.

Remarque : Vous devez garder les interfaces de trafic isolées de l’interface de gestion pour éviter les battements ARP et d’autres problèmes. Cette isolation peut être réalisée physiquement ou en balisant l’interface de gestion et les paquets d’interface de trafic avec différents VLAN.

Sous-réseau de trafic interne privé : les ports accélérés des accélérateurs sont connectés à l’instance NetScaler en interne en mode monobras, à l’aide d’un sous-réseau de trafic interne. Il n’y a pas de connexion directe entre les ports accélérés des instances et les ports externes de l’appliance. Tout le trafic accéléré vers les accélérateurs est contrôlé par l’instance NetScaler.

Comme ce sous-réseau interne n’est pas accessible depuis l’extérieur de la solution matérielle-logicielle, il utilise des sous-réseaux non routables dans la plage 169.254.0.0/16. L’instance NetScaler fournit NAT pour les fonctionnalités nécessitant un accès routable à l’accélérateur. Seules les deux fonctionnalités suivantes des accélérateurs nécessitent des adresses IP accessibles depuis le monde extérieur :

  • L’adresse IP de signalisation, utilisée pour l’appairage sécurisé et le plugin SD-WAN.
  • Adresses IP, utilisées pour la communication avec le routeur lorsque le protocole WCCP est utilisé.

Dans les deux cas, le nombre d’adresses IP visibles en externe est indépendant du nombre d’accélérateurs dont dispose l’appliance.

Le sous-réseau de trafic interne nécessite deux adresses IP par accélérateur, plus une adresse pour NetScaler, plus une ou deux adresses VIP WCCP si WCCP est utilisé. Puisque le réseau interne est privé, il dispose d’une abondance d’espace d’adressage pour ces tâches.

Flux de données sur le sous-réseau de trafic privé : la connexion à un bras entre l’instance NetScaler et les accélérateurs utilise le mode virtuel en ligne SD-WAN, dans lequel l’instance NetScaler achemine les paquets vers les accélérateurs et les accélérateurs les acheminent vers l’instance NetScaler. Le flux de trafic sur ce sous-réseau de trafic interne est identique que le mode visible pour le monde extérieur (sur les interfaces externes) soit en ligne, virtuel en ligne ou WCCP.

Ce trafic nécessite l’option SD-WAN « Retour à l’expéditeur Ethernet » et les options NetScaler MAC Address Forwarding et Utiliser l’IP du sous-réseau, qui sont activées par l’Assistant Provisioning.

Résumé du mode de déploiement : Les différences entre le mode WCCP, le mode en ligne et le mode virtuel en ligne peuvent être résumées comme suit :

  • Le mode WCCP est une configuration à un bras. Les accélérateurs établissent des canaux de contrôle WCCP avec le routeur. En mode WCCP, seulement un ou deux accélérateurs gèrent le canal de contrôle WCCP pour le compte de tous les accélérateurs. Le trafic de données est équilibré sur tous les accélérateurs. Lorsque l’encapsulation GRE est utilisée, l’instance NetScaler effectue l’encapsulation/décapsulation GRE sur le flux de données entre elle-même et le routeur, permettant aux données entre NetScaler et les accélérateurs d’utiliser une configuration décapsulée de niveau 2.
  • Le mode en ligne fonctionne à peu près le même que le mode WCCP en interne, mais à l’extérieur, l’appliance émule un pont et aucun canal de contrôle WCCP n’est établi. Un paquet qui entre dans l’appliance sur un port de pont se termine par l’autre port de pont. Les appliances SD-WAN 4000 et 5000 disposent de plusieurs ponts pour prendre en charge plusieurs liaisons en ligne.
  • En mode virtuel en ligne (utilisé lorsque les modes WCCP et en ligne ne sont pas réalisables), l’appliance est déployée dans une configuration à un bras, un peu comme WCCP, mais sans le canal de contrôle WCCP. Le trafic est envoyé à l’appliance à partir du routeur, à l’aide de règles de routage basées sur des règles (PBR). L’appliance traite le trafic et le renvoie au routeur.

Figure 3. WCCP et câblage virtuel en ligne

image localisée

Voir les machines virtuelles SD-WAN 4100/5100, les réseaux internes et l’utilisation des ports externes pour obtenir un diagramme de l’utilisation des ports sur les appliances SD-WAN 4100/5100. Les ports de trafic sont organisés comme un ensemble de ponts accélérés, tandis que les ports de gestion sont indépendants. Généralement, un seul port de gestion est utilisé.

Figure 4. Câblage en ligne

image localisée

Ponts accélérés

Les appliances SD-WAN 4100/5100 ont plusieurs ponts accélérés. Différents modèles ont différents numéros et types de ports de pont. Les deux ports qui composent un tel pont sont appelés une “paire accélérée.” Tous les modèles actuels incluent une fonction de contournement réseau intégrée. (Certaines anciennes unités SD-WAN 4100-500 et 4100—1000 ne comprennent pas de contournement réseau). La fonction de contournement réseau (également appelée « échec du câblage ») relie des paires de ports en cas de défaillance de l’appliance à la suite d’une perte de courant ou d’une panne logicielle (déterminée par une minuterie interne de surveillance).

Déploiement en ligne. La fonction de contournement permet au SD-WAN 4100/5100 d’être déployé en ligne avec votre WAN, généralement entre votre LAN et votre routeur WAN, sans introduire de point de défaillance réseau.

Les ponts accélérés prennent en charge des débits de données de 1 Gbit/s ou de 10 Gbit/s. Les interfaces Ethernet et SFP+ sont prises en charge, selon le modèle.

Déploiement à un bras. Les déploiements à un bras sont également pris en charge, à l’aide de modes WCCP ou virtuels en ligne. Avec de tels déploiements, un port de trafic SD-WAN 4000/5000 est connecté directement à un port du routeur WAN. L’autre port de la paire pontée n’est pas connecté.

Considérations de performance. Les déploiements en ligne offrent des performances supérieures à celles des déploiements à un bras, car l’utilisation de deux ports au lieu d’un double le débit maximal des interfaces.

Le débit maximal est important avec les appareils SD-WAN 4100/5100, car le compresseur fournit une accélération proportionnelle au taux de compression. C’est-à-dire qu’une connexion qui atteint la compression 100:1 transfère des données 100 fois plus vite qu’une connexion non compressée, tant que le reste du chemin réseau peut rester en place.

Par exemple, prenez un centre de données avec une liaison WAN de 500 Mbit/s et un LAN de 1 Gbit/s. Le faible rapport de vitesse de 2:1 entre le WAN et le LAN permet à la compression de ne fournir qu’une vitesse de 2x sur une base de liaison entière, car il n’y a aucun moyen d’obtenir des données sur le réseau local ou hors de celui-ci à des vitesses supérieures à 1 Gbit/s. Un LAN 10 Gbit/s, qui permet une augmentation décuplée des débits de données de pointe, est recommandé pour une utilisation avec les déploiements SD-WAN 4100/5100.

Lorsqu’une appliance SD-WAN 4100/5100 est déployée en mode monobras, le taux de transfert maximal est réduit de moitié. Un SD-WAN 4100/5100 en mode mono-bras, connecté au routeur avec une interface LAN de 1 Gbit/s, sature cette interface lorsque le WAN fonctionne à pleine vitesse dans les deux sens. Pour de bonnes performances, le SD-WAN 4100/5100 doit avoir une interface LAN beaucoup plus rapide que le WAN. Lorsque l’appliance est connectée directement au routeur en mode à un bras, utilisez un port de routeur de 10 Gbit/s.

Remarque

Les ports 10 Gbit/s ne prennent en charge que 10 Gbit/s. Ils ne négocient pas des vitesses plus basses. Utilisez les ports 1 Gbit/s pour les réseaux 1 Gbit/s.

Autres ports

Une appliance SD-WAN 4100/5100 possède au moins deux ports non accélérés. Le port 0/1 est généralement utilisé pour la gestion, le port 0/2 est présent mais généralement pas utilisé. Un port Light Out Management (LOM) est également fourni. Un port RS-232 peut être utilisé pour la gestion.

Architecture