Citrix SD-WAN多区域部署的参考体系结构
读者
本文档讨论Citrix SD-WAN多区域部署的框架,设计和体系结构。此文档还侧重于使用SD-WAN协调器交付Citrix SD-WAN解决方案。
本文档面向它决策者,网络管理员,解决方案集成商,合作伙伴,云服务提供商和托管服务提供商。
请参阅以获Citrix SD-WAN单区域参考体系结构取有关Citrix SD-WAN概念和术语的充分知识。
Citrix SD-WAN多区域体系结构
Citrix SD-WAN多区域体系结构非常适合在多个区域中拥有多个分支机构和大型网状网络的组织。这些大型组织可以部署Citrix SD-WAN多区域架构,每个区域的最大客户端节点支持受所选设备模型的限制。支持的区域数量基于分布在 6000 个站点的网络设计和部署。在早期版本中,支持的站点数量为 2500 个,到 11 个。
多区域SD-WAN网络支持具有控制多个区域控制节点(RCN)的分布式网络体系结构。反过来,每个RCN控制各自区域内的多个客户端站点。也可以选择使用m cn直接控制某些客户端站点,表示为默认区域。这种分层和分布式结构可以实现更大规模的区域行政管理和有效的权力下放。在多区域体系结构中运行时,m cn不再需要具有直接静态虚拟路径连接到叠加中的每个客户端节点。对于选择作为m cn的设备型号,使覆盖能够超出支持的最大静态虚拟路径的限制。
支持的最大静态虚拟路径基于每个平台,请参阅Citrix SD-WAN数据手册。多区域部署的扩展功能受覆盖层中作为m cn和RCN运行的选定平台的限制。初始设计可能有许多变化,但每个部署都需要考虑到支持所需站点总数以及增长空间的最终目标。多区域部署支持多达 128 个区域。在早期版本中,支持的区域数量为 64 个。
Citrix SD-WAN多区域概念体系结构
面向大型客户的SD-WAN多区域部署的高级体系结构如下:
主控制节点(m cn)
主控制节点(m cn)是中央SD-WAN设备,负责分支设备的时间同步,路由更新和集线器。m cn部署可以通过SD-WAN协调器实现。部署可以具有提供冗余的主m cn和辅助m cn。此外,可以在一个站点上使用两个SD-WAN设备在HA配置中配置m cn。m cn充当网络的控制器,因此只有一个活动设备被指定为m cn,所有其他设备必须表示为RCN或客户端节点。
区域控制节点(RCN)
区域控制节点(RCN)支持分层网络体系结构,实现多区域网络部署。m cn直接连接和控制多个普查。每个RCN直接连接和控制多个客户端节点。区域控制节点也被视为区域的 MCN,因为功能和责任相似。
客户端节点
从m cn或RCN或SD-WAN协调器接收配置并参与建立其他分支机构的覆盖功能的分支站点中的设备。一个区域可以有多个分支站点,网络中客户端节点的最大数量受选择为RCN或m cn的设备平台的限制。
SD-WAN协调器
m cn, RCN和客户端节点设备配置为使用设备的管理接口通过互联网连接基于云的SD-WAN协调器。SD-WAN协调器用于并行将配置和软件分发到每个 SD-WAN 设备,它还轮询来自每个 SD-WAN 设备的数据以进行监视和报告。
让我们来看看SD-WAN多区域架构的示例使用案例:
示例使用案例:金融客户网络设计
一家大型金融机构,在不同国家和地区设有多个分支机构。每个分支机构的网络设计取决于分支机构的大小以及广域网和互联网链接的要求。每个区域分支机构根据用户数量、广域网或互联网链接以及带宽要求分为小型、中型和大型。
该组织在美洲地区有400个站的点,在欧洲,中东和非洲地区有300个站点,已在《地区有500个站点。所有这些区域网站都通过可用的私有和公共广域网链接连接。该组织需要SD-WAN技术的站点总数为1200个。每个区域都有一个站点,表示为数据中心,该站点支持该区域的本地分支站点集。
疼痛点(不含SD-WAN)
管理这个大型网络并确保稳定性和可扩展性是组织的一个难点。网络分布在不同区域,每个站点对这些网络设备进行单独监视和管理。
发生在多个区域的主要中断时,在其中一个区域分支机构出现网络故障,导致大量停机时间和生产力损失。它经理热衷于将分支机构网络分为全区域网络,以便在区域一级轻松管理和监测网络。这种隔离有助于避免多个区域的停机时间。
随着新应用的增加频繁,对带宽的需求也会迅速增长。这团队很难升级广域网链路或带宽,因为它需要额外的预算。这些问题表现为不一致的应用程序交付和性能会映射回业务目标。
另一个主要的痛点是,缺乏对具体应用程序消耗的带宽、以及它们的性能如何的可见性。
最后,现有网络体系结构无法高效地路由链路之间的流量,从而优化企业的带宽、成本和性能。
客户现有的高级网络设计如下:
为了克服痛点,简化可管理性,并增加可扩展性,该公司的首席技术人员正在寻找一个软件定义的万解决方案,具有以下功能:
- 使用基于云的集中管理工具连接区域内和区域之间的所有分支网络,以管理和监视整个网络
- 在区域和全球层面提供控制层面和分支网络设备运行状况的管理以及链路状态
- 允许创建具有动态路径选择的叠加网络
- 负载平衡和有效利用链路来聚合可用带宽
- 帮助避免在区域分支机构的一个或多个链路中出现故障或性能降低期间停机
- 通过在技术刷新过程中消除路由器和防火墙,使它部门能够整合分支站点的网络占用空间
- 从分支到分支或分支到数据中心提高特定应用协议的服务质量和应用加速
- 降低重复性WAN链接成本并有效利用所有链接
- 利用低成本宽带和4 g LTE连接WAN链路,增强低带宽MPLS
- 在分支级别启用本地互联网突破,直接从分支机构访问基于云的应用程序和社交媒体
- 隔离来宾wi - fi和企业网络流量以加强网络安全性
- 启用SD-WAN分支与非SD-WAN分支的无缝连接
- 支持云迁移,具有多级安全性,并支持分支机构与互联网云的直接连接
- 通过强大的加密,应用程序级安全策略和数据分段,保护整个广域网和云中的数据安全
- 支持广域网优化和云连接
实施Citrix SD-WAN
超出单个主控节点(m cn)站点支持的扩展是使用多区域体系结构实现的。在多区域部署中,网络被划分为区域,每个区域由区域控制节点(RCN)管理。然后m cn能够管理多个RCN节点,以根据需要扩展网络。Citrix SD-WAN为此客户解决了上述所有问题和痛点,并且多区域体系结构直接满足了支持1200个站点的需求。让我们更详细地讨论:
SD-WAN协调器有助于更高效地管理大型网络并智能地扩展环境。引入了区域控制节点(RCN),以卸载m cn静态虚拟路径的限制,并通过区域分组结构管理网络。
SD-WAN协调器是用于后续配置和软件分发的分发点。如果没有SD-WAN协调器(也就是说,使用SD-WAN中心,而不是),该责任提供给m cn和RCN表示的设备。使用SD-WAN协调器,监视和管理大型网络变得更加简单,这些设备上的资源将用于覆盖交付,而不是网络管理。
用于灾难恢复的辅助地理m cn和RCN的概念可以通过多区域部署进行部署。湾到广域网转发和中间节点的概念为多区域部署增加了价值。
针对金融客户的高级别设计,集成了Citrix SD-WAN多区域体系结构如下:
区域
SD-WAN体系结构中的区域是由客户定义的地理或管理管理域,通常用于将大型网络划分为两个或更多逻辑区段。由于互联网流量和通过m cn或RCN进行分支通信的代理,因此建议区域内的m cn,普查和客户端节点接近延迟。
对于多区域部署,默认区域与主控制节点(m cn)相关联。m cn直接管理多个区域控制节点(RCN)和一些客户端站点。反过来,每个RCN管理多个客户端站点。
m cn和RCN冗余
主控制节点(m cn)是覆盖网络中的头端设备。它充当覆盖层和客户端节点的中央管理点的主控制器,因此m cn的可用性至关重要。为确保m cn的最大可用性,建议在高可用性对中部署,然后添加另一个作为辅助地理m cn,以提高冗余级别。
对于辅助地理m cn或RCN配置,将与主站点(例如,主数据中心)不同地理位置的站点配置为启用灾难恢复。这是为了确保m cn的最大可用性,它被称为辅助地理m cn。
辅助地理m cn持续监视主m cn的运行状况。如果主m cn发生故障,则辅助地理m cn接管活动m cn的角色。辅助地理m cn设备可能与主m cn不同的平台型号。可以根据使用情况、带宽要求和要支持的站点数来选择设备型号。要具有辅助地理m cn站点的第二个静态虚拟路径,还需要为主m cn建立虚拟路径的站点数。因此,选择用于主m cn和辅助地理m cn责任的模型必须同时支持所需数量的静态虚拟路径。
配置辅助地理m cn的最佳方法是克隆现有m cn,因为它保留了大部分m cn配置。克隆站点后,将复制该站点的整套配置设置,然后根据辅助地理m cn设置进行修改。
与m cn类似,RCN具有相同的操作。可以配置主RCN和辅助地理RCN,上述所有功能也适用于普查。
m cn / RCN高可用性
Citrix SD-WAN设备可以作为活动或备用高可用性(HA)角色中的一对设备部署在高可用性配置中。在HA配置中,两个设备在同一子网或同一站点内配置,以确保容错。
可为网络中的m cn, RCN和客户端节点配置高可用性。站点之间没有HA的依赖关系。换句话说,如果主m cn站点部署在哈中,则不需要在HA中也部署辅助地理m cn站点。
SD-WAN可扩展性
Citrix SD-WAN允许它部门在对等站点的可用WAN链接之间跨每个广域网路径创建叠加隧道。每个广域网路径都使用虚拟IP地址来表示隧道的终端节点。对等SD-WAN站点之间的所有潜在广域网路径聚合以提供单个虚拟化路径称为静态或动态虚拟路径。对等SD-WAN站点之间可用的虚拟路径允许数据包使用SD-WAN覆盖网络而不是现有底层遍历湾后者智能性较低且成本低效。
在单区域部署中,m cn需要具有网络中每个节点的虚拟路径。但是,在多区域部署中,m cn只需要具有到区域控制节点的虚拟路径。RCN表示设备必须具有到区域内仅客户端节点的虚拟路径,以及网络中的m cn和其他RCN。分支机构需要此虚拟路径才能跨区域进行通信。m cn不再需要作为网络中所有节点的动态虚拟路径创建的中间节点(或中介),角色将卸载到每个区域的普查。
虚拟路径
Citrix SD-WAN允许它通过虚拟IP在每个广域网链接上创建广域网路径隧道,以表示每个广域网链接的终端节点。SD-WAN将所有广域网路径聚合到单个虚拟路径中。这样,数据包就可以利用SD-WAN覆盖网络而不是现有的底层遍历WAN,因为后者智能性最低且成本效率最低。
m cn只需要具有RCN节点的虚拟路径。RCN节点必须具有只指向区域内客户端节点的虚拟路径。默认情况下,m cn使用RCN建立一个虚拟路径,普查建立一个带有连接分支的虚拟路径。分支机构需要此虚拟路径才能跨区域进行通信。m cn不再需要作为动态虚拟路径创建的中间节点(或中介),角色将卸载到普查。
万到万转发
湾到广域网转发(W2WF)组用于允许客户端站点通过中间站点相互通信。启用后,路由表将在启用苍白到广域网转发的站点和特定湾到湾组中的所有客户端站点之间共享。此外,使用动态虚拟路径时,必须启用WAN转发。默认情况下,所有站点都位于默认湾到广域网转发组中。
如果在m cn上启用苍白到广域网,则m cn将通过远程站点路由作为分支网络之间的代理。在客户端模式下运行的SD-WAN设备不知道其他分支子网,直到m cn上启用WAN转发。启用此选项后,分支SD-WAN节点会意识到其他分支子网,并且所有发往其他分支的流量都会转发到m cn。
SD-WAN协调器部署的网络默认情况下启用了广域网到广域网转发。目标路由将播发到网络中的客户端节点,并且这些节点将流量接收到到目标子网,m cn将使用其虚拟路径将其路由到托管该子网的SD-WAN的正确目标。一个网络可以有多个湾到广域网转发组。如果在m cn上未启用WAN转发,则由于客户端节点路由表中缺少路,由分支到分支的通信将失败。通常,不在本地SD-WAN路由表中的路由默认为直通或丢弃路由。
虚拟路径路由
不支持区域分支机构之间的动态虚拟路径。例如,来自美洲地区的1分支机构只能通过其各自的RCN与EMEA地区的分支机构902进行通信。创建RCN之间的静态虚拟路径,以避免通过m cn进行回传。与RCN连接的分支机构可配置为回传互联网流量。必须在两个RCN上启用苍白到广域网转发。有关路由Citrix文档页面的最佳实践,请参阅。
动态虚拟路径
随着企业网络中对VoIP,屏幕共享和视频会议应用程序的需求不断增长,办公室之间的流量越来越多。网络管理员必须配置一个网状网络拓扑,以实现所有分支之间的连接,这种连接效率低下、耗时且难以管理。
使用Citrix SD-WAN,无需在每个办公室之间配置路径。该解决方案启用了动态虚拟路径(DVP)功能,只能在需要的基础上自动创建办公室之间的路径。
基于配置的阈值,在站点之间直接建立动态虚拟路径。阈值通常基于这些站点之间发生的流量。只有通过每秒数据包计数或字节计数达到指定阈值后,动态虚拟路径才能运行。
分支到分支通信最初使用通过m cn的现有静态虚拟路径作为代理站点。
由于创建DVP时达到了带宽和时间阈值,因此m cn(即中间节点)会创建一个动态虚拟路径,以允许直接分支到分支通信而不涉及m cn。虚拟路径仅在需要时才存在,从而减少传输到数据中心和传出数据中心的流量。此操作导致资源的有效使用,因为当注意到牧场到分支的通信消退时,分配给DVP的带宽会被重新分配回到数据中心的静态虚拟路径。
动态虚拟路径只能在以下之间形成:
- 同一地区的分支机构
- 在RCN之间
- 在普查和默认区域的分支之间
多跳路由支持
Citrix SD-WAN支持动态路由协议,可以更轻松地管理来自两个区域的分支机构之间的路由,在这些区域,流量需要穿越多个SD-WAN隧道。如果分支机构401(已地区)想要与分支机构902 (EMEA地区)通信、多区域路由可以从分支机构-401 - >已RCN - > EMEA RCN到分支机构902进行通信。
路线汇总
由于数千个站点可能处于多区域体系结构中,SD-WAN需要在路由表中维护大量路由。因此,SD-WAN需要增加CPU、内存和带宽资源来查找大型路由表。
SD-WAN中的路径汇总功能减少了SD-WAN必须维护的路径数。汇总路径用作表示多个路径的单个路径。它通过发送单个路由播发来节省带宽,从而节省内存,因为只保留一个路由地址而不是多个路由地址。通过避免递归查找、CPU资源可以更有效地使用。
区域控制节点(RCN)能够汇总所有区域网络子网,并仅将汇总路由发送到m cn。
例如,如果我们将一个子网172.16.0.0/16定义为区域1的一部分,并且属于该区域1的所有分支都使用作为区域定义的一部分的子网内的网络(172.16.1.0/24,172.16.2.0/24等)。区域1的RCN将摘要路由(172.16.0.0/16)发送到网络中的m cn和对等普查。
本SD-WAN管理员可以使用“地”和“丢弃“服务类型配置摘要路由。此摘要路由会公布到下一个跃点设备。要了解有关汇总路径类型的详细信息,请参阅产品文档。
SD-WAN中心支持
SD-WAN中心(SDWC) 10.0支持多区域部署,具有两个功能组件-SD-WAN中心头端和SD-WAN中心收集器。在多区域部署中,每个区域都应具有SD-WAN中心收集器,该收集器与该区域的所有站点进行接口,以收集和存储该区域的统计数据。
SD-WAN中心头端与与RCN关联的所有区域收集器接口,并作为默认区域的收集器加倍。SD-WAN中心头端提供了一个单一访问点,用于在整个网络中进行监视和管理,可能跨越多个区域。
其优点是SDWC收集器仅包含其区域的数据。SDWC对于需要在区域之间划分数据可见性的多区域部署非常有用。然后SDWC头端将成为包含来自所有区域的所有数据的中心点,并能够按区域进行过滤。
SD-WAN协调器
使用SD-WAN协调器作为多区域部署的管理工具时,单个SD-WAN协调器用于集中管理所有区域,包括默认区域。其优点是更简单的网络,可根据需求扩展资源。
部分站点升级
随着大规模的部署,将数百个站点升级到匹配的软件版本可能会令人不安。这就是为多区域部署引入了“部分站点更新“功能的地方,该功能允许管理员在一小部分站点(即实验室或测试站点)上暂存一个新的软件版本,以便在整个SD-WAN环境中激活暂存的软件网络之前验证稳定性。一旦软件稳定性得到确认,即可通过完成变更管理中的激活分阶段步骤激活分阶段的软件。更新后的软件的新功能可以进行全面测试,因为新软件已被证明是稳定的。一些要求包括:
- 必须使用与活动软件相同的主要版本号(例如,R10.1.2在分阶段R10.2.0中处于活动状态,而不是R10.1.1在分阶段R11.0中处于活动状态)
- 活动站点和部分升级站点的配置版本必须与网络的其余部分相同
- 在对主HA单元进行本地更改管理之前,高可用性站点必须禁用备用HA单元服务
来源
此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们希望为您提供源图,您可以在您自己的详细设计和实施指南中进行调整:源图。