Citrix SD-WAN

WANOP 插件的工作原理

WANOP 客户端插件产品使用您现有的 WAN/VPN 基础设施。安装插件的计算机将继续访问 LAN、WAN 和 Internet,就像安装插件之前一样。无需更改路由表、网络设置、客户端应用程序或服务器应用程序。

Citrix 接入网关 VPN 需要少量的 WANOP 客户端插件特定配置。

插件和装置处理连接的方式有两种变化: 透明模式重定向器模式。重定向器是新部署不推荐使用的旧模式。

  • 插件到设备加速的透明模式 与设备到设备加速非常相似。WANOP 客户端插件设备在插件和服务器之间传输时必须位于数据包所采用的路径中。与设备到设备的加速一样,透明模式可作为透明代理工作,从连接的一端保留源和目标 IP 地址以及端口号。

  • 重定向器模式 (不推荐)使用显式代理。插件将传出的数据包重新定向器 IP 地址。设备将数据包重新地址到服务器,同时将返回地址更改为指向自身而不是插件。在此模式下,设备不必物理上与 WAN 接口和服务器之间的路径内联(尽管这是理想的部署)。

    最佳实践:当你可以使用透明模式,当你必须使用重定向模式。

透明模式

在透明模式下,用于加速连接的数据包必须通过目标设备,就像在设备到设备的加速中一样。

插件配置为可用于加速的设备列表。它尝试联系每个设备,打开信号连接。如果信令连接成功,插件会从设备下载加速规则,从而发送设备可加速的连接的目标地址。

图 1. 透明模式,突出显示三个加速路径

本地化后的图像

注意

  • 流量流-透明模式可加速 WANOP 客户端插件与启用插件的设备之间的连接。
  • 许可-设备需要许可证才能支持所需数量的插件。在图中,中继器 A2 不需要为插件加速许可,因为中继器 A1 提供了站点 A 的插件加速。
  • 菊花链-如果连接在通往目标设备的路上通过多个设备,则中间的设备必须启用 “菊花链”,否则加速被阻止。在图中,中继器 B 加速了来自家庭办公室和移动 VPN 用户的流量来自大型分支机构 B 的流量。为此,中继器 A1 和 A2 必须启用菊花链。

每当插件打开新连接时,它都会查看加速规则。如果目标地址与任何规则匹配,插件会尝试通过将加速选项附加到连接中的初始数据包(SYN 数据包)来加速连接。如果插件已知的任何设备将加速选项附加到 SYN-ACK 响应数据包,则会与该设备建立加速连接。

应用程序和服务器不知道已建立加速连接。只有插件软件和设备知道正在发生加速。

透明模式类似于设备到设备的加速,但与其不完全相同。不同之处是:

  • 仅客户端启动的连接 — 透明模式仅接受由配备插件的系统启动的连接。如果将配备插件的系统用作服务器,则不会加速服务器连接。另一方面,无论哪一端是客户端,哪一端是服务器,设备到设备的加速都会起作用。(主动模式 FTP 被视为特殊情况,因为启动插件请求的数据传输的连接是由服务器打开的。)

  • 信令连接-透明模式使用插件和设备之间的信令连接传输状态信息。设备到设备加速不需要信令连接,但安全对等关系除外,默认情况下处于禁用状态。如果插件无法打开信令连接,则不会尝试通过设备加速连接。

  • 菊花链-对于位于插件与其选定目标装置之间路径的设备,必须在 配置:调整 菜单上启用菊花链。

透明模式通常与 VPN 一起使用。WANOP 客户端插件与大多数 IPsec 和 PPTP VPN 以及 Citrix Access Gateway VPN 兼容。

下图显示了透明模式下的数据包流。此数据包流几乎与设备到设备的加速相同,只是决定是否尝试加速连接是基于通过信令连接下载的加速规则。

图 2. 透明模式下的数据包流

本地化后的图像

重定向器模式

重定向器模式的工作方式与透明模式有所不同:

  • WANOP 客户端插件软件通过将数据包明确地寻址到设备来重定向数据包。

  • 因此,重定向器模式设备不必拦截所有 WAN-Link 流量。由于加速连接是直接给它的,因此只要插件和服务器都能到达,它就可以放置在任何地方。

  • 设备执行其优化,然后将输出数据包重定向到服务器,将数据包中的源 IP 地址替换为自己的地址。从服务器的角度来看,连接始于设备。

  • 来自服务器的返回流量会发送到设备,该设备在返回方向上执行优化,并将输出数据包转发到插件。

  • 目标端口号不会更改,因此网络监视应用程序仍然可以对流量进行分类。

下图显示了重定向器模式的工作原理。

图 1. 重定向器模式

本地化后的图像

下图显示了 重定向器模式下的数据包流和地址映射。

图 2. 重定向器模式下的数据包流

本地化后的图像

插件如何选择设备

每个插件都配置了它可以联系以请求加速连接的设备列表。

每个设备都有一个 加速规则列表,这是设备可以建立加速连接的目标地址或端口的列表。插件从设备下载这些规则,并将每个连接的目标地址和端口与每个设备的规则集匹配。如果只有一台设备提供加速给定连接,则选择非常简单。如果多个设备提供加速连接,则插件必须选择其中一个设备。

设备选择的规则如下所示:

  • 如果提供加速连接的所有设备都是重定向模式设备,则会选择插件的设备列表中最左侧的设备。(如果将设备指定为 DNS 地址,并且 DNS 记录具有多个 IP 地址,则这些地址也会从左到右扫描。)

  • 如果提供加速连接的某些设备使用重定向器模式,而有些设备使用透明模式,则忽略透明模式设备,并从重定向器模式设备中进行选择。

  • 如果提供加速连接的所有设备都使用透明模式,则插件不会选择特定设备 *。* 它会启动使用 WANOP 客户端插件 SYN 选项的连接,并且任何候选设备都会将适当的选项附加到返回的 SYN-ACK 数据包。这允许实际上与流量一致的设备标识到插件中的自身。但是,插件必须与响应设备具有开放的信号连接,否则不会发生加速。

  • 某些配置信息被视为全局信息。此配置信息取自可以打开信令连接的列表中最左侧的设备。

WANOP 插件的工作原理