体系结构

在内部，SD-WAN 4000/5000设备包含几个虚拟机:

• Xen hypervisor
• NetScaler实例
• 至少两个加速器实例
• 管理GUI和其他任务的管理服务器实例
• 内部网络

图2。SD-WAN 4100/5100虚拟机、内部网络和外部端口使用情况(所示为内联部署)

除了NetScaler实例中配置的情况外，没有WAN流量进入或离开加速器。当设备首次使用时，Provisioning Wizard设置一个初始配置，该配置在NetScaler实例和加速器之间提供通信和负载平衡。

管理服务是设备的管理配置接口，并提供对设备的关键操作和监视元素的访问。管理服务显示SD-WAN参数，就好像它们来自单个加速器一样，并且通过此接口进行的所有更改都应用于所有加速器实例。

Xen管理程序托管所有虚拟机。该管理程序不是用户可配置的，除非在Citrix的请求下，否则不应该访问它。

内部网络和外部网络

外部网络接口分为两类:流量接口和管理接口。

通信接口—流量接口包括除管理接口0/1和0/2外的所有网口。加速只发生在交通接口上。

请注意:流量接口与管理接口必须隔离，避免出现ARP振荡等问题。这种隔离可以通过物理方式实现，也可以通过标记不同vlan的管理接口和流量接口数据包来实现。

管理子网—虚拟机直接连接外部管理子网，管理服务、NetScaler实例和XenServer使用不同的IP地址。

请注意:流量接口与管理接口必须隔离，避免出现ARP振荡等问题。这种隔离可以通过物理方式实现，也可以通过标记不同vlan的管理接口和流量接口数据包来实现。

私有内部流量子网—加速器的加速端口通过内部流量子网以单臂方式连接到NetScaler实例。实例的加速端口和设备的外部端口之间没有直接连接。所有到加速器的加速流量都由NetScaler实例控制。

由于这个内部子网不能从设备外部访问，所以它使用169.254.0.0/16范围内的不可路由子网。NetScaler实例为需要路由访问加速器的特性提供NAT。加速器只有以下两个功能需要外部世界可以访问的IP地址:

• 用于安全对等和SD-WAN插件的信令IP地址。
• IP地址，当使用WCCP协议时，用于与路由器通信。

在这两种情况下，外部可见IP地址的数量与设备拥有的加速器数量无关。

内部流量子网需要每个加速器两个IP地址，再加上NetScaler的地址，如果使用WCCP，再加上一个或两个WCCP VIP地址。由于内部网络是私有的，因此它为这些任务提供了充足的地址空间。

私有流量子网的数据流—NetScaler实例与加速器之间的单臂连接采用SD-WAN虚拟内联方式，即NetScaler实例将报文路由到加速器，加速器将报文路由回NetScaler实例。无论对外可见的模式(在外部接口上)是inline、virtual inline还是WCCP，通过该内部流量子网的流量都是相同的。

此流量需要SD-WAN“返回到以太网发送者”选项，以及NetScaler MAC地址转发和使用子网IP选项，这是由配置向导启用的。

部署方式概述: WCCP模式、内联模式和虚拟内联模式的区别概括如下:

• WCCP模式是单臂配置。加速器与路由器建立WCCP控制通道。在WCCP模式下，只有一个或两个加速器代表所有加速器管理WCCP控制通道。数据流量在所有加速器之间实现负载均衡。当使用GRE封装时，NetScaler实例对自身和路由器之间的数据流进行GRE封装/解封装，从而允许NetScaler和加速器之间的数据使用解封装后的Level-2配置。
• 内联模式的内部操作与WCCP模式非常相似，但外部设备模拟网桥，并且不建立WCCP控制通道。从一个网桥端口进入设备的数据包从另一个网桥端口退出。SD-WAN 4000和5000设备有多个桥接器来支持多个内联链接。
• 在虚拟内联模式下(在WCCP和内联模式不可行的情况下使用)，设备以单臂配置部署，很像WCCP，但没有WCCP控制通道。使用基于策略的路由(PBR)规则将流量从路由器发送到设备。设备处理流量并将其返回给路由器。

图3。WCCP和虚拟内嵌布线

请参见SD-WAN 4100/5100虚拟机、内部网络和外部端口使用情况，了解SD-WAN 4100/5100设备的端口使用情况。业务口布置为一组加速桥，管理口独立。一般情况下，只使用一个管理接口。

图4。内联布线

加速的桥梁

SD-WAN 4100/5100设备有多个加速桥。不同的型号有不同的桥接端口数量和类型。构成这样一座桥的两个端口被称为“加速对”。目前所有型号都包括内置网络旁路功能。(一些旧的SD-WAN 4100-500和4100-1000单元不包括网络旁路)。如果设备由于断电或软件故障(由内部看门狗定时器确定)而发生故障，网络旁路功能(也称为“失败接线”)将成对的端口连接在一起。

内联部署。旁路功能允许SD-WAN 4100/5100与WAN一致部署，通常在LAN和WAN路由器之间，而不会引入网络故障点。

加速桥支持1gbps或10gbps的数据速率。根据型号不同，支持以太网接口和SFP+接口。

单臂部署。还支持单臂部署，使用WCCP或虚拟内联模式。在这种情况下，SD-WAN的4000/5000流量端口直接与WAN路由器的端口相连。网桥对上的另一个端口未连接。

性能考虑。内联部署提供比单臂部署更高的性能，因为使用两个端口而不是一个端口会使接口的峰值吞吐量增加一倍。

峰值吞吐量对于SD-WAN 4100/5100设备非常重要，因为压缩机提供的加速度与压缩比成正比。也就是说，只要网络路径的其余部分能够跟上，实现100:1压缩的连接传输数据的速度比未压缩的连接快100倍。

例如，以具有500 Mbps WAN链路和1 Gbps LAN的数据中心为例。广域网和局域网之间2:1的小速度比允许压缩在全链路的基础上只提供2倍的加速，因为没有办法以超过1gbps的速度进入或退出局域网。推荐使用10 Gbps LAN，可将峰值数据速率提高10倍，用于SD-WAN 4100/5100部署。

当SD-WAN 4100/5100设备以单臂模式部署时，峰值传输速率将降低一半。单臂模式的SD-WAN 4100/5100，通过1gbps的LAN接口连接到路由器，当WAN在两个方向上全速运行时，该接口饱和。为了获得良好的性能，SD-WAN 4100/5100必须具有比WAN快得多的LAN接口。当设备以单臂模式直接连接到路由器时，请使用10 Gbps的路由器端口。

请注意

10gbps端口只支持10gbps。他们不协商较低的速度。1gbps网络使用1gbps端口。

其他港口

SD-WAN 4100/5100设备至少有两个非加速端口。端口0/1通常用于管理，端口0/2存在，但通常不使用。同时提供板载灯(Light Out Management)接口。RS-232端口可用于管理。