Citrix SD-WAN 平台

体系结构

在内部,SD-WAN 4000/5000 设备包含多个虚拟机:

  • Xen 虚拟机管理程序
  • NetScaler 实例
  • 至少两个加速器实例
  • 管理 GUI 和其他任务的管理服务器实例
  • 内部网络

图 2. SD-WAN 4100/5100 虚拟机、内部网络和外部端口使用情况(显示内联部署)

本地化后的图片

除了在 NetScaler 实例中配置的情况外,没有 WAN 流量进入或离开加速器。首次使用设备时,预配向导会设置一个初始配置,以在 NetScaler 实例和加速器之间提供通信和负载平衡。

管理服务是设备的管理配置接口,用于访问设备的关键操作和监视元素。管理服务将 SD-WAN 参数显示,就好像它们来自单个加速器一样,通过此界面进行的所有更改都将应用于所有加速器实例。

Xen 虚拟机管理程序托管所有虚拟机。虚拟机管理程序不是用户可配置的,除非 Citrix 的请求,否则不应访问。

内部和外部网络

外部网络接口分为两类:流量接口和管理接口。

流量接口— 流量接口包括除端口 0/1 和 0/2 之外的所有网络接口,这些接口仅用于管理。加速仅在交通接口上进行。

注意:必须将流量接口与管理接口隔离,以防止 ARP 跳动和其他问题。这种隔离可以通过物理方式实现,也可以通过标记具有不同 VLAN 的管理接口和流量接口数据包

管理子网— 虚拟机直接连接到外部管理子网,管理服务、NetScaler 实例和 XenServer 的 IP 地址不同。

注意:必须将流量接口与管理接口隔离,以防止 ARP 跳动和其他问题。这种隔离可以通过物理方式实现,也可以通过标记具有不同 VLAN 的管理接口和流量接口数据包

私有内部流量子网— 加速器的加速端口以单臂模式在内部使用内部流量子网连接到 NetScaler 实例。实例的加速端口和设备的外部端口之间没有直接连接。加速器的所有加速流量都由 NetScaler 实例控制。

由于无法从设备外部访问此内部子网,因此它使用 169.254.0.0/16 范围内的不可路由子网。NetScaler 实例为需要可路由访问加速器的功能提供 NAT。只有以下两个加速器功能需要可以从外部访问的 IP 地址:

  • 用于安全对等互连的信令 IP 地址和 SD-WAN 插件。
  • IP 地址,用于在使用 WCCP 协议时与路由器进行通信。

在这两种情况下,外部可见 IP 地址的数量与设备的加速器数量无关。

内部流量子网需要每个加速器两个 IP 地址,加上 NetScaler 的地址,如果使用 WCCP,则需要一个或两个 WCCP VIP 地址。由于内部网络是私有的,因此它有足够的地址空间来执行这些任务。

私有流量子网上的数据流— NetScaler 实例与加速器之间的单臂连接使用 SD-WAN 虚拟内联模式,NetScaler 实例将数据包路由到加速器,加速器将数据包路由回 NetScaler 实例。无论外部(在外部接口上)可见的模式是内联模式、虚拟内联模式还是 WCCP,通过此内部流量子网的流量都是相同的。

此流量需要使用 SD-WAN“返回到以太网发件人”选项,以及“NetScaler MAC 地址转发”和“使用子网 IP”选项,这些选项由预配向导启用。

部署模式摘要:WCCP 模式、内联模式和虚拟内联模式之间的区别可总结如下:

  • WCCP 模式是一种单臂配置。加速器与路由器建立 WCCP 控制通道。在 WCCP 模式下,只有一两个加速器代表所有加速器管理 WCCP 控制通道。所有加速器的数据流量都是负载平衡的。使用 GRE 封装时,NetScaler 实例会对自身和路由器之间的数据流执行 GRE 封装/解封,从而允许 NetScaler 和加速器之间的数据使用解封的 Level 2 配置。
  • 内联模式与 WCCP 模式内部的运行方式大致相同,但在外部,设备模拟网桥,并且没有建立 WCCP 控制通道。在一个网桥端口上进入设备的数据包通过另一个网桥端口退出。SD-WAN 4000 和 5000 台设备具有多个桥接,以支持多个内联链路。
  • 在虚拟内联模式下(当 WCCP 和内联模式不可行时使用),设备以单臂配置部署,类似于 WCCP,但没有 WCCP 控制通道。使用基于策略的路由 (PBR) 规则将流量从路由器发送到设备。设备处理流量并将其返回到路由器。

图 3. WCCP 和虚拟内联布线

本地化后的图片

有关 SD-WAN 4100/5100 设备上端口使用情况的图表,请参阅 SD-WAN 4100/5100 虚拟机、内部网络和外部端口使用情况。交通端口被安排为一组加速桥梁,而管理端口是独立的。通常只使用一个管理端口。

图 4. 内联布线

本地化后的图片

加速桥

SD-WAN 4100/5100 设备具有多个加速桥梁。不同型号的桥接端口的数量和类型不同。构成这样一座桥的两个端口被称为 “加速对”。“ 当前所有型号都包含内置的网络旁路功能。(一些较旧的 SD-WAN 4100-500 和 4100—1000 个单元不包括网络旁路)。如果设备由于断电或软件故障(由内部看门狗计时器决定)而出现故障,则网络旁路功能(也称为 “无法连线”)将两对端口连接在一起。

内联部署。旁路功能允许根据您的 WAN 来部署 SD-WAN 4100/5100,通常部署在 LAN 和 WAN 路由器之间,而不会导致网络故障点。

加速桥接支持 1 Gbps 或 10 Gbps 的数据速率。支持以太网和 SFP+ 接口,具体取决于型号。

单臂部署。还支持使用 WCCP 或虚拟内联模式的单臂部署。在这种部署中,SD-WAN 4000/5000 流量端口直接连接到 WAN 路由器上的端口。桥接对上的另一个端口处于未连接状态。

性能方面的考虑因素。内联部署提供的性能比单臂部署更高,因为使用两个端口而不是一个端口将使接口的峰值吞吐量增加一倍。

峰值吞吐量对于 SD-WAN 4100/5100 设备来说非常重要,因为压缩机提供了与压缩比成比例的加速度。也就是说,实现 100:1 压缩的连接传输数据的速度比未压缩连接快 100 倍,只要网络路径的其余部分能够保持上升速度。

例如,以具有 500 Mbps WAN 链路和 1 Gbps 局域网的数据中心为例。在 WAN 和 LAN 之间采用较小的 2:1 速率比可以执行压缩操作,以在整个链路中仅提供 2 倍加速,因为在速度高于 1 Gbps 时,无法在 LAN 中上载或下载数据。10 Gbps LAN 可以将峰值数据速率提高十倍,建议将其与 SD-WAN 4100/5100 部署结合使用。

当 SD-WAN 4100/5100 装置以单臂模式部署时,峰值传输速率将减半。当 WAN 在双向全速运行时,在单臂模式下连接到具有 1 Gbps LAN 接口的路由器的 SD-WAN 4100/5100 将使该接口达到饱和状态。为了获得良好的性能,SD-WAN 4100/5100 的 LAN 接口必须比 WAN 快得多。当设备以单臂模式直接连接到路由器时,请使用 10 Gbps 路由器端口。

注意

10 Gbps 端口仅支持 10 Gbps。他们不会谈判降低速度。对 1 Gbps 网络使用 1 Gbps 端口。

其他端口

SD-WAN 4100/5100 设备至少有两个非加速端口。端口 0/1 通常用于管理,端口 0/2 存在但通常不使用。还提供了一个灯光管理 (LOM) 端口。RS-232 端口可用于管理。

体系结构