Citrix SD-WAN WANOP

Mode WCCP (non clusterisé)

Le mode WCCP n’autorise qu’une seule appliance dans un groupe de services WCCP. Si une nouvelle appliance tente de contacter le routeur, elle découvre que l’autre appliance gère le groupe de services, et la nouvelle appliance définit une alerte. Il vérifie périodiquement si le groupe de services est toujours actif avec l’autre appliance et que la nouvelle appliance gère le groupe de services lorsque l’autre appliance devient inactive.

Remarque : Lamise en cluster WCCP permet de multiplier les appliances par groupe de services.

Limites et pratiques exemplaires

Voici les limitations et les meilleures pratiques pour le mode WCCP (non clusterisé) :

  • Sur les appliances avec plus d’une paire accélérée, tout le trafic d’un groupe de services WCCP donné doit arriver sur la même paire accélérée.
  • Ne mélangez pas le trafic en ligne et le trafic WCCP sur la même appliance. L’appliance n’applique pas cette directive, mais sa violation peut entraîner des difficultés d’accélération. (Les modes WCCP et virtuel en ligne peuvent être mélangés, mais seulement si le WCCP et le trafic virtuel en ligne proviennent de différents routeurs.)
  • Pour les sites avec un routeur WAN unique, utilisez WCCP chaque fois que le mode en ligne n’est pas pratique.
  • Une seule appliance est prise en charge par groupe de services. Si plusieurs solutions matérielles tentent de se connecter au même routeur avec le même groupe de services, la négociation ne réussira que pour la première appliance.
  • Pour les sites avec plusieurs routeurs WAN gérés par la même appliance, WCCP peut être utilisé pour prendre en charge un, certains ou tous vos routeurs WAN. D’autres routeurs peuvent utiliser le mode virtuel en ligne.

Prise en charge du routeur pour WCCP

La configuration du routeur pour WCCP est très simple. La prise en charge de WCCP version 2 est incluse dans tous les routeurs modernes. Elle été ajoutée à Cisco IOS à la version 12.0(11)S et 12.1(3)T. La meilleure stratégie de configuration du routeur est déterminée par les caractéristiques de votre routeur et de vos commutateurs. Le traffic shaping nécessite deux groupes de services.

Si votre routeur prend en charge la retransmission par le chemin inverse (RPF), vous devez la désactiver sur tous les ports, car elle peut confondre le trafic WCCP avec le trafic usurpé. Cette fonctionnalité se trouve dans les routeurs Cisco plus récents tels que le Cisco 7600.

Stratégies de configuration du routeur

Il existe deux approches de base pour rediriger le trafic du routeur vers l’appliance :

Sur le port WAN uniquement, ajoutez une instruction « WCCP redirection in » et une instruction « WCCP redirection out ». Sur chaque port du routeur, à l’exception du port attaché à l’appliance, ajoutez une instruction « WCCP redirection in ».

La première méthode redirige uniquement le trafic WAN vers l’appliance, tandis que la seconde redirige tout le trafic routeur vers l’appliance, qu’il soit lié ou non au réseau étendu. Sur un routeur doté de plusieurs ports LAN et d’un trafic LAN à LAN important, l’envoi de tout le trafic vers l’appliance peut surcharger son segment LAN et surcharger l’appliance de cette charge inutile. Si GRE est utilisé, le trafic inutile peut également surcharger le routeur.

Sur certains routeurs, le chemin de « redirection » est plus rapide et met moins de charge sur le processeur du routeur que le chemin de « redirection ». Si nécessaire, cela peut être déterminé par expérimentation directe sur votre routeur : Essayez les deux méthodes de redirection sous pleine charge réseau pour voir lequel offre les taux de transfert les plus élevés.

Certains routeurs et commutateurs compatibles WCCP ne prennent pas en charge la « redirection WCCP », donc la deuxième méthode doit être utilisée. Pour éviter de surcharger le routeur, il est recommandé d’éviter de rediriger un grand nombre de ports du routeur via l’appliance, peut-être en utilisant deux routeurs, l’un pour le routage WAN et l’autre pour le routage LAN vers LAN.

En général, la méthode 1 est plus simple, tandis que la méthode 2 peut fournir une plus grande performance.

Traffic shaping et WCCP

Un groupe de services peut être TCP ou UDP, mais pas les deux. Pour que le régulateur du trafic soit efficace, les deux types de trafic WAN doivent passer par l’appliance. Par conséquent :

L’accélération nécessite un groupe de services, pour le trafic TCP. Le Traffic shaping nécessite deux groupes de services, l’un pour le trafic TCP et l’autre pour le trafic UDP. La différence entre les deux est configurée sur l’appliance et le routeur accepte cette configuration.

Configurer le routeur

L’appliance négocie automatiquement WCCP-GRE ou WCCP-L2. Le choix principal est entre une opération de monodiffusion (dans laquelle l’appliance est configurée avec l’adresse IP de chaque routeur) ou une opération de multidiffusion (dans laquelle l’appliance et les routeurs sont configurés avec l’adresse de multidiffusion).

Opération normale (Unicast) : pour un fonctionnement normal, la procédure consiste à déclarer WCCP version 2 et l’ID de groupe WCCP pour le routeur dans son ensemble, puis à activer la redirection sur chaque interface WAN. Voici un exemple Cisco IOS :

config term
ip wccp version 2
! We will configure the appliance to use group 51 for TCP and 52 for UDP.
ip wccp 51
ip wccp 52

! Repeat the following three lines for each WAN interface
! you wish to accelerate:
interface your_wan_interface
! If Reverse Path Forwarding is enabled (with an ip verify unicast
! source reachable” statement), delete or comment out the statement:
! ip verify unicast source reachable-via any
! Repeat on all ports.

ip wccp 51 redirect out
ip wccp 51 redirect in
ip wccp 52 redirect out
ip wccp 52 redirect in

! If the appliance is inline with one of the router interfaces
! (NOT SUPPORTED), add the following line for that interface
! to prevent loops:
ip wccp redirect exclude in
^Z
<!--NeedCopy-->

Si plusieurs routeurs doivent utiliser la même appliance, chacun est configuré comme indiqué ci-dessus, en utilisant les mêmes groupes de services ou différents.

Opération de multidiffusion : lorsque vous attribuez à l’appliance et à chaque routeur une adresse de multidiffusion, la configuration est légèrement différente de celle du fonctionnement normal. Voici un exemple Cisco IOS :

config term
ip wccp version 2
ip wccp 51 group-address 225.0.0.1

! Repeat the following three lines for each WAN interface
! you wish to accelerate:
interface your_wan_interface
! If Reverse Path Forwarding is enabled (with an ip verify unicast
! source reachable” statement), delete or comment out the statement:
! ip verify unicast source reachable-via any

ip wccp 51 redirect out
ip wccp 51 redirect in
!
! The following line is needed only on the interface facing the other router,
! if there is another router participating in this service group.
ip wccp 51 group-listen

!If the appliance is inline with one of the router interfaces,
!(which is supported but not recommended), add
!the following line for that interface to prevent loops:
ip wccp redirect exclude in
^Z
<!--NeedCopy-->

Procédure de configuration de base du mode WCCP sur l’appliance SD-WAN

Pour la plupart des sites, vous pouvez utiliser la procédure suivante pour configurer le mode WCCP sur l’appliance. La procédure vous permet de définir plusieurs paramètres sur des valeurs par défaut sensibles. Les déploiements avancés peuvent nécessiter que vous définissez ces paramètres sur d’autres valeurs. Par exemple, si le groupe de services WCCP 51 est déjà utilisé par votre routeur, vous devez utiliser une valeur différente pour l’appliance.

Pour configurer le mode WCCP sur l’appliance :

  1. Sur la page Configuration : Paramètres de l’appliance : WCCP.
  2. Si aucun groupe de services n’a été défini, la page Sélectionner le mode apparaît. Les options sont Single SD-WAN et Cluster (Multiple SD-WAN). Sélectionnez Single SD-WAN. Vous êtes dirigé vers la page WCCP. Remarque : Les étiquettes de mode sont trompeuses. Le mode « Single SD-WAN » est également utilisé pour les paires SD-WAN haute disponibilité.
  3. Si le mode WCCP n’est pas activé, cliquez sur Activer.
  4. Cliquez sur Ajouter un groupe de services.
  5. Les valeurs par défaut de l’interface (apA), du protocole (TCP), de la priorité WCCP (0), de la communication du routeur (monodiffusion), (mot de passe vide) et de la durée de vie (1) n’ont généralement pas à être modifiées pour le premier groupe de services que vous créez, mais si c’est le cas, tapez de nouvelles valeurs dans les champs fournis.
  6. Dans le champ Adresse du routeur (si vous utilisez la monodiffusion) ou le champ Adresse de multidiffusion (si vous utilisez la multidiffusion), tapez l’adresse IP du routeur. Utilisez l’adresse IP du port du routeur utilisé pour la communication WCCP avec l’appliance.
  7. Si plusieurs routeurs utilisent WCCP pour communiquer avec cette appliance, ajoutez d’autres routeurs maintenant.
  8. Si vos routeurs ont des exigences particulières, définissez les champs Redirection du routeur (Auto/GRE/Level-2), Retour du paquet du routeur (Auto/GRE/Level-2) et Affectation du routeur (Masque/Hash) en conséquence. Les valeurs par défaut produisent des résultats optimaux avec la plupart des routeurs.
  9. Cliquez sur Ajouter.
  10. Répétez les étapes précédentes pour créer un autre groupe de services, pour le trafic UDP (par exemple, ID 52 du groupe de services et protocole UDP).
  11. Accédez à la page Surveillance : Performances de l’appliance : WCCP. Le champ Statut doit passer à Connecté dans les 60 secondes.
  12. Envoyez du trafic sur le lien et, sur la page Connexions, vérifiez que les connexions arrivent et sont en cours d’accélération.

Détails de configuration du groupe de services WCCP

Dans un groupe de services, un routeur WCCP et un dispositif SD-WAN (« cache WCCP » dans la terminologie WCCP) négocient les attributs de communication (capacités). Le routeur annonce ses capacités dans le message « I See You ». Les attributs de communication sont les suivants :

  • Méthode de transfert : GRE ou niveau 2
  • Méthode de retour de paquets (multidiffusion uniquement) : GRE ou niveau 2
  • Méthode d’affectation : hachage ou masque
  • Mot de passe (aucune valeur par défaut)

L’appliance déclenche une alerte si elle détecte une incompatibilité entre ses attributs et ceux du routeur. L’appliance peut être incompatible en raison d’un attribut spécifique d’un groupe de services (tel que GRE ou Level-2). Plus rarement, dans un groupe de services de multidiffusion, une alerte peut être déclenchée lorsque la sélection « Auto » choisit un attribut particulier avec un routeur particulier connecté, mais l’attribut est incompatible avec un routeur ultérieur.

Voici les règles de base pour les attributs de communication au sein d’une appliance SD-WAN.

Pour le transfert de routeur :

  • Lorsque « Auto » est sélectionné, la préférence est pour le niveau 2, car il est plus efficace pour le routeur et l’appliance. Le niveau 2 est négocié si le routeur le prend en charge et que le routeur se trouve sur le même sous-réseau que l’appliance.
  • Les routeurs d’un groupe de services monodiffusion peuvent négocier différentes méthodes si « Auto » est sélectionné.
  • Les routeurs d’un groupe de services multidiffusion doivent tous utiliser la même méthode, qu’ils soient forcés avec « GRE » ou « Niveau 2 » ou, avec « Auto », comme déterminé par le premier routeur du groupe de services à se connecter.
  • Pour une incompatibilité, une alerte annonce que le routeur « a un transfert de routeur incompatible ».

Pour l’affectation du routeur :

  • La valeur par défaut est Hash.

  • Lorsque « Auto » est sélectionné, le mode est négocié avec le routeur.

  • Tous les routeurs d’un groupe de services doivent prendre en charge la même méthode d’affectation (Hash ou Masque).

  • Pour tout groupe de services, si cet attribut est configuré comme « Auto », l’appliance sélectionne « Hash » ou « Masque » lorsque le premier routeur est connecté. « Hash » est choisi si le routeur le prend en charge. Sinon, « Masque » est sélectionné. Le problème de l’incompatibilité des routeurs suivants avec la méthode sélectionnée automatiquement peut être réduit en sélectionnant manuellement une méthode commune à tous les routeurs du groupe de services.

  • Pour une incompatibilité, une alerte annonce que le routeur « a une méthode d’attribution de routeur incompatible ».

  • Avec l’une ou l’autre des méthodes, l’appliance unique du groupe de services demande à tous les routeurs du groupe de services de diriger tous les paquets TCP ou UDP vers l’appliance. Les routeurs peuvent modifier ce comportement avec des listes d’accès ou en sélectionnant les interfaces à rediriger vers le groupe de services.

    Pour la méthode Mask, l’appliance négocie le masque « adresse IP source ». L’appliance ne fournit aucun mécanisme permettant de sélectionner « adresse IP de destination » ou les ports pour la source ou la destination. Le masque « adresse IP source » n’identifie pas spécifiquement une adresse IP ou une plage spécifique. Le protocole ne fournit pas un moyen de spécifier une adresse IP spécifique. Par défaut, étant donné qu’il n’y a qu’une seule appliance dans le groupe de services, un masque à un bit est utilisé pour conserver les ressources du routeur. (La version 6.0 utilisait un masque plus grand.)

Pour Mot de passe :

  • Si le routeur requiert un mot de passe, le mot de passe défini sur l’appliance doit correspondre. Si le routeur ne nécessite pas de mot de passe, le champ de mot de passe de l’appliance doit être vide.

Test et dépannage de WCCP

Lorsque vous travaillez avec WCCP, l’appliance fournit différentes façons de surveiller l’état de l’interface WCCP, et votre routeur doit également fournir des informations.

Surveillance : Performances de l’appliance : page WCCP : la page WCCP signale l’état actuel du lien WCCP et signale la plupart des problèmes.

Entrées de journaux : la page Surveillance : performances de l’appliance : journalisation affiche une nouvelle entrée chaque fois que le mode WCCP est défini ou perdu.

Figure 1. Entrées du journal WCCP (le format varie quelque peu en fonction de la version)

image localisée

Router Status—Sur le routeur, la commande « show ip wccp » affiche l’état du lien WCCP :

Router>enable
Password:
Router#show ip wccp
Global WCCP information:
    Router information:
        Router Identifier:                   172.16.2.4
        Protocol Version:                    2.0

    Service Identifier: 51
        Number of Cache Engines:             0
        Number of routers:                   0
        Total Packets Redirected:            19951
        Redirect access-list:                -none-
        Total Packets Denied Redirect:       0
        Total Packets Unassigned:            0
        Group access-list:                   -none-
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
<!--NeedCopy-->

Vérifier le mode WCCP

Vous pouvez surveiller la configuration WCCP à partir de l’interface graphique SD-WAN.

Pour surveiller la configuration WCCP

  1. Accédez à la page Surveillance > Performances de l’appliance > WCCP.
  2. Sélectionnez un cache et cliquez sur Obtenir des informations. Une page État du cache affiche la configuration WCCP, comme illustré dans la figure suivante.

    image localisée

  3. Démarrez le trafic qui doit être transféré via l’appliance SD-WAN et surveillez la connexion sur la page Surveillance > Optimisation > Connexions.
    • Si les connexions sont affichées sous l’onglet Connexions accélérées, cela indique que tout fonctionne.
    • Si les connexions se trouvent dans l’onglet Connexions non accélérées, consultez la colonne Détails. Un message détecté asymétrie de routage implique que l’une des lignes de redirection ip wccp sur le routeur est manquante ou comporte une erreur, ou que différents chemins sont empruntés par le trafic client-serveur et serveur-client.
    • Si aucune connexion n’est affichée, mais que l’appliance signale qu’elle est connectée au routeur et que la page de surveillance WCCP ne présente aucune erreur, le problème est probablement lié à la configuration du routeur.
Mode WCCP (non clusterisé)