Arquitectura de referencia: SD-WAN multirregión

Destinatarios

Este documento describe el marco, el diseño y la arquitectura de una implementación multirregión Citrix SD-WAN. Este documento también se centra en ofrecer soluciones de Citrix SD-WAN mediante SD-WAN Orchestrator.

El documento está destinado a los responsables de la toma de decisiones de TI, los administradores de redes, los integradores de soluciones, los socios, los proveedores de servicios en la nube y los proveedores de servicios administrados.

Consulte laArquitectura de referencia de región única de Citrix SD-WANpara obtener los conocimientos adecuados sobre los conceptos y la terminología de Citrix SD-WAN.

Arquitectura de varias regiones Citrix SD-WAN

La arquitectura multirregión Citrix SD-WAN es adecuada para organizaciones que tienen varias sucursales con una red de malla grande en varias regiones. Estas grandes organizaciones pueden implementar una arquitectura de varias regiones de Citrix SD-WAN, con la compatibilidad máxima de nodo cliente de cada región limitada por el modelo de dispositivo seleccionado. El número de regiones admitidas se basa en el diseño y la implementación de la red, que se distribuyen en 6000 sitios. El número de sitios admitidos era 2500 en la versión anterior a 11.

La red SD-WAN de varias regiones admite una arquitectura de red distribuida con un nodo de control maestro (MCN) que controla varios nodos de control regional (RCN). Cada RCN, a su vez, controla varios sitios cliente dentro de su propia región. El MCN también se puede usar opcionalmente para controlar algunos de los sitios cliente directamente, denotados como la Región predeterminada. Esta arquitectura jerárquica y distribuida permite una mayor escala y una delegación efectiva de la administración regional. Al operar en arquitectura de varias regiones, el MCN ya no necesita tener conectividad directa de ruta virtual estática a cada nodo de cliente en la superposición. Habilitar la superposición para escalar más allá de las limitaciones de las rutas virtuales estáticas máximas admitidas para el modelo de dispositivo seleccionado como MCN.

Las rutas virtuales estáticas máximas admitidas se basan en cada plataforma, consulte la Hoja de datos de Citrix SD-WAN. Las capacidades de escala para la implementación de varias regiones están limitadas por la plataforma seleccionada que opera como MCN y RCNs en la superposición. Puede haber numerosas variaciones en el diseño inicial, pero cada implementación necesita tener en cuenta el objetivo final de admitir el número total deseado de sitios, además de espacio para crecer. La implementación en varias regiones admite hasta 128 regiones. El número de regiones admitidas era 64 en versiones anteriores.

Arquitectura conceptual de varias regiones Citrix SD-WAN

La arquitectura de alto nivel de una implementación de varias regiones SD-WAN para un gran cliente es la siguiente:

Nodo de control maestro (MCN)

El nodo校长德控制(m cn) es El dispositivo central SD-WAN que es responsable de la sincronización de tiempo, las actualizaciones de enrutamiento y el concentrador para los dispositivos de sucursal. La implementación de MCN se puede lograr a través de SD-WAN Orchestrator. Una implementación puede tener MCN primario y MCN secundario que proporcionan redundancia. Además, MCN se puede configurar en una configuración de alta disponibilidad con dos dispositivos SD-WAN en un sitio. El MCN sirve como Controller de la red, por lo tanto, solo un dispositivo activo está designado como MCN, todos los demás deben ser denotados como RCN o nodos de cliente.

Nodo de control regional (RCN)

El nodo de control regional (RCN) admite la arquitectura de red jerárquica, lo que permite la implementación de red en varias regiones. MCN conecta y controla directamente varios RCN. Cada RCN conecta y controla directamente varios nodos de cliente. El nodo de control de región también se considera el MCN de una región, ya que la funcionalidad y la responsabilidad son similares.

Nodo de cliente

Dispositivos en los sitios de sucursales que reciben configuración del MCN o RCN o SD-WAN Orchestrator y participan en el establecimiento de funcionalidades de superposición para las demás sucursales. Puede haber varios sitios de sucursal para una región, el número máximo de nodos de cliente en la red está limitado por la plataforma de dispositivo seleccionada como RCN o MCN.

SD-WAN Orchestrator

Los dispositivos MCN, RCN y Nodo de cliente están configurados para conectarse con SD-WAN Orchestrator basado en la nube a través de Internet mediante las interfaces de administración de los dispositivos. SD-WAN Orchestrator se utiliza para distribuir la configuración y el software a todos los dispositivos SD-WAN en paralelo, también sondea los datos de cada dispositivo SD-WAN para fines de supervisión y generación de informes.

Repasemos un ejemplo de caso de uso para la arquitectura multiregión SD-WAN:

Ejemplo de caso de uso: diseño de red de clientes financieros

Una格兰organizacion financiera这种瓦利亚斯sucursales repartidas en diferentes países y regiones. El diseño de red para cada sucursal varía según el tamaño de la sucursal y los requisitos de los vínculos WAN e Internet. Cada rama regional se clasifica como pequeña, mediana y grande, según el número de usuarios, enlaces WAN o Internet, y el requisito de ancho de banda.

Esta organización tiene 400 sitios en la región América, 300 sitios en la región EMEA y 500 sitios en la región APJ. Todos estos sitios regionales están conectados a través de los enlaces WAN privados y públicos disponibles. El número total de sitios para esta organización que requieren tecnología SD-WAN es de 1200. Cada región tiene un sitio indicado como centro de datos que admite el conjunto local de sitios de sucursales de la región.

Puntos problemáticos (sin SD-WAN)

Administrar esta gran red y garantizar la estabilidad y la escalabilidad es un punto crítico para la organización. La red se distribuye en diferentes regiones y esos dispositivos de red se supervisan y administran individualmente en cada sitio.

Las principales interrupciones que se produjeron en varias regiones cuando hay un fallo de red en una de las sucursales regionales que causa un gran tiempo de inactividad y pérdida de productividad. El Administrador de TI quiere segregar las redes de sucursales en redes de toda la región para facilitar la gestión y supervisar la red a nivel regional. Esta segregación puede ayudar a evitar el tiempo de inactividad en varias regiones.

Con nuevas aplicaciones que se agregan con frecuencia, el requisito de ancho de banda crece rápidamente. Se vuelve difícil para el equipo de TI actualizar los enlaces WAN o el ancho de banda, ya que requiere un presupuesto adicional. Estos problemas se manifiestan en una entrega y un rendimiento incoherentes de las aplicaciones que se asignan a los objetivos empresariales.

La falta de visibilidad de la cantidad de ancho de banda que consume una aplicación específica y de su rendimiento es otro punto crítico importante.

Por último, la arquitectura de red existente no puede enrutar el tráfico entre enlaces de manera eficiente para optimizar el ancho de banda, el coste y el rendimiento de la empresa.

El diseño de red existente de alto nivel del cliente es el siguiente:

Para superar los puntos problemáticos, simplificar la manejabilidad y aumentar la escalabilidad, el CTO de esta empresa está buscando una solución WAN definida por software, con funcionalidad para:

• Conecte todas las redes de sucursales dentro y entre las regiones con una herramienta de administración centralizada basada en la nube para controlar y supervisar toda la red
• Ofrecer la gestión del plano de control y el estado de los dispositivos de red de sucursales y el estado de los enlaces a nivel regional y global
• Permitir crear una red de superposición con selección dinámica de rutas
• Equilibrio de carga y utilización efectiva de enlaces para agregar el ancho de banda disponible
• Ayude a evitar el tiempo de inactividad durante una falla o un rendimiento degradado en uno o varios enlaces en una sucursal regional
• Permita que TI consolide la huella de red en los sitios de sucursales mediante la eliminación de enrutadores y firewalls a lo largo de una actualización de tecnología
• Mejore la calidad de servicio y la aceleración de aplicaciones para protocolos de aplicación específicos de la sucursal a la sucursal o del centro de datos.
• Reduzca el coste del enlace WAN recurrente y utilice todos los enlaces de manera eficaz
• Utilice los enlaces WAN de conectividad 4G LTE y banda ancha de bajo coste para aumentar el MPLS de bajo ancho de banda
• Habilite la ruptura local de Internet en el nivel de sucursal para proporcionar acceso a aplicaciones basadas en la nube y redes sociales directamente desde la sucursal
• Segregue el tráfico de red Wi-Fi y corporativa para reforzar la seguridad en la red
• Habilite la conectividad de las sucursales SD-WAN con las sucursales que no son SD-WAN sin problemas
• Admite la migración a la nube con seguridad de varios niveles y permite conexiones directas de sucursales a la nube de Internet
• Proteja los datos en la WAN y en la nube con cifrado sólido, directivas de seguridad a nivel de aplicación y segmentación de datos
• Compatibilidad con optimización WAN y conectividad en la nube

Implementación de Citrix SD-WAN

El escalado más allá del soporte del sitio de un único nodo de control maestro (MCN) se realiza mediante la arquitectura de varias regiones. En una implementación de varias regiones, la red se segmenta en regiones, cada una administrada por un nodo de control regional (RCN). El MCN puede administrar varios nodos RCN para escalar la red según sea necesario. Citrix SD-WAN resuelve todos los problemas y puntos problemáticos anteriores para este cliente, y la arquitectura multirregión aborda directamente la necesidad de admitir 1200 sitios. Vamos a discutir más en detalle:

SD-WAN Orchestrator ayuda a administrar la gran red de manera más eficiente y a escalar el entorno de forma inteligente. Los nodos de control regional (RCN) se introducen para descargar las limitaciones de ruta virtual estática de MCN y administrar las redes con estructura de agrupación regional.

SD-WAN协调器西文el punto de distribución, para la configuración posterior y la distribución de software. Sin SD-WAN Orchestrator (es decir, mediante SD-WAN Center en su lugar), esa responsabilidad se proporciona a los dispositivos indicados por MCN y RCN. Con el SD-WAN Orchestrator, la supervisión y administración de las grandes redes se hace más simple y los recursos de esos dispositivos se utilizan para la entrega de superposiciones en lugar de la administración de redes.

El concepto de Geo MCN y RCN secundarios para recuperación ante desastres se puede implementar con implementaciones de varias regiones. El concepto de reenvío de WAN a WAN y nodos intermedios agrega valor a las implementaciones de varias regiones.

El diseño de alto nivel para el cliente financiero, con la arquitectura multirregión integrada de Citrix SD-WAN es el siguiente:

Regiones

Una región en la arquitectura SD-WAN es un dominio de administración geográfica o administrativa definido por el cliente, normalmente para dividir una red grande en dos o más segmentos lógicos. Se recomienda que los nodos MCN, RCN y Cliente dentro de una región estén en proximidad de latencia cercana debido a los requisitos potenciales de backhaul del tráfico de Internet y proxy a través del MCN o RCN para comunicaciones de sucursales.

Para una implementación de varias regiones, la región predeterminada está asociada al nodo de control maestro (MCN). El MCN administra varios nodos de control regional (RCN) y algunos de los sitios cliente directamente. Cada RCN, a su vez, administra varios sitios cliente.

Redundancia de MCN y RCN

El nodo校长德控制(m cn) es El dispositivo de cabecera de la red superpuesta. Actúa como Controller maestro de la superposición y el punto de administración central para los nodos cliente, por lo que la disponibilidad del MCN es crucial. Para garantizar la máxima disponibilidad de MCN, la recomendación es implementar en un par de alta disponibilidad y agregar otro como MCN geográfico secundario para aumentar los niveles de redundancia.

Para la configuración de Geo MCN o RCN secundario, se configura un sitio en una ubicación geográfica diferente del sitio principal (por ejemplo, Centro de datos primario) para habilitar la recuperación ante desastres. Esto es para garantizar la máxima disponibilidad de MCN y se llama MCN Geo Secundario.

El MCN Geo Secundario monitorea continuamente el estado del MCN primario. Si el MCN primario falla, el MCN geográfico secundario asume el rol del MCN activo. Es posible que el dispositivo Geo MCN secundario no sea el mismo modelo de plataforma que el MCN principal. El modelo de dispositivo se puede seleccionar en función del uso, los requisitos de ancho de banda y el número de sitios que se admiten. También se requiere el número de sitios que están estableciendo una ruta virtual al MCN primario para tener una segunda ruta virtual estática al sitio de MCN geográfico secundario. Por esta razón, los modelos seleccionados para ser utilizados tanto para la responsabilidad MCN principal como para la de MCN secundario deben admitir el número requerido de rutas virtuales estáticas.

La mejor manera de configurar un MCN geográfico secundario sería clonar el MCN existente, ya que conserva la mayor parte de la configuración de MCN. Cuando se clona un sitio, todo el conjunto de valores de configuración para ese sitio se copia y, a continuación, se modifica de acuerdo con la configuración deMCN geográfica secundaria.

Al igual que MCN, el RCN tiene la misma operación. Se puede configurar un RCN primario y un Geo RCN secundario, y todas las capacidades mencionadas anteriormente también son aplicables para RCN.

Alta disponibilidad de MCN/RCN

Los dispositivos Citrix SD-WAN se pueden implementar en una configuración de alta disponibilidad como un par de dispositivos en roles de alta disponibilidad (HA) activo o en espera. En la configuración de alta disponibilidad, se configuran dos dispositivos dentro de la misma subred o sitio para garantizar la tolerancia a fallos.

La alta disponibilidad se puede configurar para MCN, RCN y Nodo de cliente en la red. No hay dependencia para HA entre sitios. En otras palabras, si el sitio de MCN primario se implementa en HA, no es necesario que el sitio de MCN de Geo Secundario también se implementación en HA.

Para obtener información sobre la configuración de la alta disponibilidad, consulte ladocumentación del productoy laspreguntas frecuentes.

Escalabilidad SD-WAN

Citrix SD-WAN permite a TI crear túneles superpuestos a través de cada ruta WAN entre los enlaces WAN disponibles en sitios del mismo nivel. Cada ruta de acceso WAN utiliza direcciones IP virtuales para representar el punto final del túnel. La agregación de todas las rutas WAN potenciales entre los agregados de sitios SD-WAN del mismo nivel para proporcionar una única ruta virtualizada se conoce como Ruta virtual estática o dinámica. La ruta virtual disponible entre los sitios SD-WAN del mismo nivel permite que los paquetes atraviesen la WAN mediante la red de superposición SD-WAN en lugar del subyacente existente, que es menos inteligente e ineficiente desde el punto de vista económico.

En la implementación de una sola región, se requiere que el MCN tenga una ruta de acceso virtual a cada nodo de la red. Sin embargo, en la implementación de varias regiones, solo se requiere que el MCN tenga ruta virtual a nodos de control regionales. Se requiere que los dispositivos indicados por RCN tengan ruta virtual a solo nodos de cliente dentro de una región, junto con el MCN y otros RCN de la red. Esta ruta virtual es necesaria para que las sucursales se comuniquen entre las regiones. MCN ya no es necesario que sea el nodo intermedio (o mediador) para la creación de rutas virtuales dinámicas para todos los nodos de la red; el rol se descarga a los RCN de cada región.

Ruta virtual

Citrix SD-WAN permite a TI crear un túnel de ruta WAN a través de cada enlace WAN con la IP virtual para representar el punto final de cada enlace WAN. SD-WAN agrega toda la ruta WAN en una única ruta virtual. Esto permite que los paquetes atraviesan la WAN mediante la red de superposición SD-WAN en lugar del subyacente existente, que es menos inteligente y rentable.

El MCN solo es necesario para tener Ruta Virtual a nodos RCN. Se requiere que los nodos de RCN tengan ruta virtual a solo nodos de cliente dentro de una región. MCN establece de forma predeterminada una ruta virtual con RCN y RCN establece una ruta virtual con sucursales conectadas. Esta ruta virtual es necesaria para que las sucursales se comuniquen entre las regiones. MCN ya no es necesario que sea el nodo intermedio (o mediador) para la creación de rutas virtuales dinámicas, el rol se descarga a los RCN.

Reenvío WAN a WAN

El grupo WAN a WAN Forwarding (W2WF) se utiliza para permitir que los sitios cliente se comuniquen a través de un sitio intermediario entre sí. Cuando se habilita, las tablas de enrutamiento se comparten entre el sitio con reenvío WAN a WAN habilitado y todo el sitio cliente del grupo WAN a WAN específico. Además, cuando se utilizan rutas virtuales dinámicas, el reenvío WAN a WAN debe estar habilitado. De forma predeterminada, todos los sitios están en un grupo de reenvío WAN a WAN predeterminado.

Con WAN a WAN habilitada en el MCN, MCN anuncia rutas de sitios remotos para que sirvan como proxy entre redes de sucursales. Los dispositivos SD-WAN que se ejecutan en modo cliente no son conscientes de otras subredes de ramas hasta que el reenvío WAN a WAN está habilitado en MCN. Una vez habilitada esta opción, los nodos SD-WAN de las sucursales se dan cuenta de otras subredes de sucursales y todo el tráfico destinado a otras sucursales se reenvía a MCN.

Las redes implementadas por SD-WAN Orchestrator tienen habilitado de forma predeterminada el reenvío de WAN a WAN. La ruta de destino se anuncia a los nodos de cliente de la red, y el tráfico es recibido por esos nodos a la subred de destino, el MCN lo enruta al destino correcto mediante su ruta de acceso virtual a esa SD-WAN que hospeda esa subred. Una red puede tener varios grupos de reenvío de WAN a WAN. Cuando el reenvío WAN a WAN no está habilitado en el MCN, la comunicación de rama a rama falla debido a la falta de rutas en las tablas de enrutamiento de nodos de cliente. Por lo general, las rutas que no están en la tabla de rutas SD-WAN local tienen por defecto el paso a través o descartan las rutas.

Enrutamiento de rutas virtuales

No se admiten rutas virtuales dinámicas entre la rama regional. Como ejemplo, la sucursal 1 de la Región de las Américas puede comunicarse con la sucursal 902 en la Región EMEA solo a través de sus respectivos RCN. La ruta virtual estática entre RCN se crea para evitar el backhaul a través del MCN. Las sucursales conectadas con RCN se pueden configurar para backhaul el tráfico de Internet. El reenvío WAN a WAN debe estar habilitado en ambos RCN. Consulte lapagina de documentacion de Citrixpara conocer las prácticas recomendadas sobre enrutamiento.

Ruta virtual dinámica

A medida que aumenta la demanda de aplicaciones VoIP, uso compartido de pantalla y videoconferencias en la red empresarial, el tráfico se mueve cada vez más entre las oficinas. Los administradores de red tienen que configurar una topología de red de malla que permite la conectividad entre todas las ramas, que es ineficiente, requiere mucho tiempo y difícil de administrar.

Con Citrix SD-WAN, no es necesario configurar rutas entre cada oficina. La solución habilita la función Dynamic Virtual Path (DVP) que crea automáticamente rutas entre oficinas solo según sea necesario.

Las rutas virtuales dinámicas se establecen directamente entre sitios, en función de un umbral configurado. El umbral suele basarse en la cantidad de tráfico que se produce entre esos sitios. Las rutas virtuales dinámicas solo funcionan después de alcanzar el umbral especificado, ya sea a través del recuento de paquetes por segundo o del recuento de bytes.

La comunicación de rama a rama utiliza inicialmente la ruta virtual estática existente a través del MCN como sitio proxy.

A medida que se alcanzan el ancho de banda y el umbral de tiempo para la creación de DVP, el MCN crea una ruta virtual dinámica (es decir, nodo intermedio) para permitir la comunicación de la rama directa sin involucrar al MCN. Las rutas virtuales solo existen cuando son necesarias y reducen la cantidad de tráfico que se transmite hacia y desde el centro de datos. Esta acción da como resultado un uso eficiente de los recursos, ya que el ancho de banda asignado para DVP se reasigna de nuevo a la ruta virtual estática al centro de datos cuando se observa que la comunicación entre rancho y rama disminuye.

La ruta virtual dinámica solo se puede formar entre:

• Ramas de la misma región
• Entre RCN
• Entre RCN y la rama de la región predeterminada

Soporte de enrutamiento de múltiples saltos

Citrix SD-WAN admite protocolos de enrutamiento dinámico, lo que permite una administración más sencilla de rutas entre sucursales de dos regiones, donde el tráfico debe atravesar varios túneles SD-WAN. Si Branch-401 (Región APJ) quiere comunicarse con Branch-902 (Región EMEA), el enrutamiento multirregión habilita la comunicación desde Branch-401 -> APJ RCN -> EMEA RCN a Branch-902.

Resumen de rutas

Con miles de sitios potencialmente en una arquitectura de varias regiones, la SD-WAN necesita mantener el gran número de rutas en su tabla de enrutamiento. Por lo tanto, SD-WAN requiere mayores recursos de CPU, memoria y ancho de banda para buscar las grandes tablas de enrutamiento.

La función de resumen de rutas en SD-WAN reduce el número de rutas que la SD-WAN debe mantener. Una ruta de resumen se utiliza como una única ruta que representa varias rutas. Ahorra ancho de banda mediante el envío de un anuncio de ruta único, lo que ahorra memoria porque solo se mantiene una dirección de ruta en lugar de varias. Los recursos de CPU se utilizan de manera más eficiente evitando búsquedas recursivas.

El nodo de control regional (RCN) es capaz de resumir todas las subredes de red regional y enviar solo la ruta de resumen a MCN.

Por ejemplo, si definimos una subred 172.16.0.0/16 como parte de Región-1, y todas las ramas pertenecientes a esa región-1 utilizan las redes (172.16.1.0/24, 172.16.2.0/24, etc.) dentro de la subred definida como parte de la definición de región. El RCN para Región-1 envía la ruta de resumen (172.16.0.0/16) al MCN y a los RCN del mismo nivel de la red.

El administrador de SD-WAN puede configurar una ruta de resumen con los tipos de servicio Local y Descartar. Esta ruta de resumen se anuncia en los dispositivos de siguiente salto. Para obtener más información sobre los tipos de rutas resumidas, consulte ladocumentación del producto.

Soporte del centro SD-WAN

SD-WAN Center (SDWC) 10.0 admite la implementación de varias regiones con dos componentes funcionales: el SD-WAN Center Head-End y el SD-WAN Center Collector. En una implementación de varias regiones, se espera que cada región tenga un recopilador de centros SD-WAN, que interactúa con todos los sitios de esa región, para recopilar y almacenar datos estadísticos de esa región.

El extremo central de SD-WAN interactúa con todos los recopiladores regionales asociados con los RCN y se dobla como un recopilador para la región predeterminada. El cabezal de centro SD-WAN proporciona un único punto de acceso para fines de supervisión y administración en toda la red, que puede abarcar varias regiones.

La ventaja es que los colectores de SDWC solo contienen datos para su región. SDWC es útil para implementaciones en varias regiones donde la visibilidad de los datos debe segmentarse entre regiones. SDWC Headend sería entonces el punto central que contiene todos los datos de todas las regiones con la capacidad de filtrar por región.

SD-WAN Orchestrator

Cuando se utiliza SD-WAN Orchestrator como herramienta de administración para una implementación en varias regiones, se utiliza un único SD-WAN Orchestrator para administrar de forma centralizada todas las regiones, incluida la región predeterminada. La ventaja es una red más simple con elasticidad para escalar los recursos bajo demanda.

Actualización parcial del sitio

Con implementaciones a gran escala, actualizar cientos de sitios a la versión de software correspondiente puede ser inquietante. Aquí es donde se introdujo la función Actualización parcial del sitio para implementaciones de varias regiones, lo que permite al administrador organizar una nueva versión de software en un pequeño subconjunto de sitios (es decir, laboratorios o sitios de prueba) para verificar la estabilidad antes de activar el software por etapas en toda la red de todo el entorno SD-WAN. Una vez confirmada la estabilidad del software, el software en etapas se puede activar completando el paso Activar en etapas en administración de cambios. Las nuevas funciones del software actualizado se pueden probar completamente con la tranquilidad de que el nuevo software se ha demostrado estable. Algunos requisitos incluyen:

• Debe utilizar el mismo número de versión principal que el software activo (por ejemplo, R10.1.2 activo con R10.2.0 por etapas, NO R10.1.1 activo con R11.0 por etapas)
• La versión de configuración del sitio activo y parcialmente actualizado debe ser idéntica al resto de la red
• Los sitios de alta disponibilidad deben tener el servicio de unidad de alta disponibilidad en espera inhabilitado antes de que se realice la administración de cambios local en la unidad de alta disponibilidad primaria.

Fuentes

El objetivo de esta arquitectura de referencia es ayudarle a planificar su propia implementación. Para facilitar este trabajo, nos gustaría proporcionarle diagramas fuente que puede adaptar en sus propios diseños detallados y guías de implementación:diagramas fuente.

Referencias

Arquitectura de referencia de región única Citrix SD-WAN

Modos de implementación de alta disponibilidad

Preguntas frecuentes sobre la configuración de alta disponibilidad

Prácticas recomendadas de enrutamiento

Tipos de ruta de resumen