参考架构:SD-WAN 多区域
读者
本文档讨论 Citrix SD-WAN 多区域部署的框架、设计和体系结构。此文档还侧重于使用 SD-WAN Orchestrator 交付 Citrix SD-WAN 解决方案。
本文档面向 IT 决策者、网络管理员、解决方案集成商、合作伙伴、云服务提供商和托管服务提供商。
要充分了解Citrix SD-WAN 概念和术语,请参阅 Citrix SD-WAN 单区域参考体系结构。
Citrix SD-WAN 多区域体系结构
Citrix SD-WAN 多区域体系结构非常适合在多个区域中拥有多个分支机构和大型网状网络的组织。这些大型组织可以部署 Citrix SD-WAN 多区域架构,每个区域的最大客户端节点支持受所选设备模型的限制。支持的区域数量基于分布在 6000 个站点的网络设计和部署。在早期版本中,支持的站点数量为 2500 个,到 11 个。
多区域 SD-WAN 网络支持具有控制多个区域控制节点 (RCN) 的分布式网络体系结构。反过来,每个 RCN 控制各自区域内的多个客户端站点。也可以选择使用 MCN 直接控制某些客户端站点,表示为默认区域。这种分层和分布式结构可以实现更大规模的区域行政管理和有效的权力下放。在多区域体系结构中运行时,MCN 不再需要具有直接静态虚拟路径连接到叠加中的每个客户端节点。对于选择作为 MCN 的设备型号,使覆盖能够超出支持的最大静态虚拟路径的限制。
支持的最大静态虚拟路径基于每个平台,请参阅 Citrix SD-WAN 数据手册。多区域部署的扩展功能受覆盖层中作为 MCN 和 RCN 运行的选定平台的限制。初始设计可能有许多变化,但每个部署都需要考虑到支持所需站点总数以及增长空间的最终目标。多区域部署支持多达 128 个区域。在早期版本中,支持的区域数量为 64 个。
Citrix SD-WAN 多区域概念体系结构
面向大型客户的 SD-WAN 多区域部署的高级体系结构如下:
主控制节点 (MCN)
主控制节点 (MCN) 是中央 SD-WAN 设备,负责分支设备的时间同步、路由更新和集线器。MCN 部署可以通过 SD-WAN Orchestrator 实现。部署可以具有提供冗余的主 MCN 和辅助 MCN。此外,可以在一个站点上使用两个 SD-WAN 设备在 HA 配置中配置 MCN。MCN 充当网络的 Controller,因此只有一个活动设备被指定为 MCN,所有其他设备必须表示为 RCN 或客户端节点。
区域控制节点 (RCN)
区域控制节点 (RCN) 支持分层网络体系结构,实现多区域网络部署。MCN 直接连接和控制多个 RCN。每个 RCN 直接连接和控制多个客户端节点。区域控制节点也被视为区域的 MCN,因为功能和责任相似。
客户端节点
从 MCN 或 RCN 或 SD-WAN Orchestrator 接收配置并参与建立其他分支机构的覆盖功能的分支站点中的设备。一个区域可以有多个分支站点,网络中客户端节点的最大数量受选择为 RCN 或 MCN 的设备平台的限制。
SD-WAN Orchestrator
MCN、RCN 和客户端节点设备配置为使用设备的管理接口通过 Internet 连接基于云的 SD-WAN Orchestrator。SD-WAN Orchestrator 用于并行将配置和软件分发到每个 SD-WAN 设备,它还轮询来自每个 SD-WAN 设备的数据以进行监视和报告。
让我们来看看 SD-WAN 多区域架构的示例使用案例:
示例使用案例:金融客户网络设计
一家大型金融机构,在不同国家和地区设有多个分支机构。每个分支机构的网络设计取决于分支机构的大小以及广域网和互联网链接的要求。每个区域分支机构根据用户数量、广域网或互联网链接以及带宽要求分为小型、中型和大型。
该组织在美洲地区有 400 个站点,在欧洲、中东和非洲地区有 300 个站点,在 APJ 地区有 500 个站点。所有这些区域网站都通过可用的私有和公共广域网链接连接。该组织需要 SD-WAN 技术的站点总数为 1200 个。每个区域都有一个站点,表示为数据中心,该站点支持该区域的本地分支站点集。
疼痛点(不含 SD-WAN)
管理这个大型网络并确保稳定性和可扩展性是组织的一个难点。网络分布在不同区域,每个站点对这些网络设备进行单独监视和管理。
发生在多个区域的主要中断时,在其中一个区域分支机构出现网络故障,导致大量停机时间和生产力损失。IT 经理热衷于将分支机构网络分为全区域网络,以便在区域一级轻松管理和监测网络。这种隔离有助于避免多个区域的停机时间。
随着新应用的增加频繁,对带宽的需求也会迅速增长。IT 团队很难升级 WAN 链路或带宽,因为它需要额外的预算。这些问题表现为不一致的应用程序交付和性能会映射回业务目标。
另一个主要的痛点是,缺乏对具体应用程序消耗的带宽、以及它们的性能如何的可见性。
最后,现有网络体系结构无法高效地路由链路之间的流量,从而优化企业的带宽、成本和性能。
客户现有的高级网络设计如下:
为了克服痛点,简化可管理性,并增加可扩展性,该公司的首席技术人员正在寻找一个软件定义的 WAN 解决方案,具有以下功能:
- 使用基于云的集中管理工具连接区域内和区域之间的所有分支网络,以管理和监视整个网络
- 在区域和全球层面提供控制层面和分支网络设备运行状况的管理以及链路状态
- 允许创建具有动态路径选择的叠加网络
- 负载平衡和有效利用链路来聚合可用带宽
- 帮助避免在区域分支机构的一个或多个链路中出现故障或性能降低期间停机
- 通过在技术刷新过程中消除路由器和防火墙,使 IT 部门能够整合分支站点的网络占用空间
- 从分支到分支或分支到数据中心提高特定应用协议的服务质量和应用加速
- 降低重复性 WAN 链接成本并有效利用所有链接
- 利用低成本宽带和 4G LTE 连接 WAN 链路,增强低带宽 MPLS
- 在分支级别启用本地互联网突破,直接从分支机构访问基于云的应用程序和社交媒体
- 隔离来宾 Wi-Fi 和企业网络流量以加强网络安全性
- 启用 SD-WAN 分支与非 SD-WAN 分支的无缝连接
- 支持云迁移,具有多级安全性,并支持分支机构与 Internet 云的直接连接
- 通过强大的加密、应用程序级安全策略和数据分段,保护整个 WAN 和云中的数据安全
- 支持广域网优化和云连接
实施 Citrix SD-WAN
超出单个主控节点 (MCN) 站点支持的扩展是使用多区域体系结构实现的。在多区域部署中,网络被划分为区域,每个区域由区域控制节点 (RCN) 管理。然后 MCN 能够管理多个 RCN 节点,以根据需要扩展网络。Citrix SD-WAN 为此客户解决了上述所有问题和痛点,并且多区域体系结构直接满足了支持 1200 个站点的需求。让我们更详细地讨论:
SD-WAN Orchestrator 有助于更高效地管理大型网络并智能地扩展环境。引入了区域控制节点 (RCN),以卸载 MCN 静态虚拟路径的限制,并通过区域分组结构管理网络。
SD-WAN Orchestrator 是用于后续配置和软件分发的分发点。如果没有 SD-WAN Orchestrator(也就是说,使用 SD-WAN 中心,而不是),该责任提供给 MCN 和 RCN 表示的设备。使用 SD-WAN Orchestrator,监视和管理大型网络变得更加简单,这些设备上的资源将用于覆盖交付,而不是网络管理。
用于灾难恢复的辅助 Geo MCN 和 RCN 的概念可以通过多区域部署进行部署。WAN 到 WAN 转发和中间节点的概念为多区域部署增加了价值。
针对金融客户的高级别设计,集成了 Citrix SD-WAN 多区域体系结构如下:
区域
SD-WAN 体系结构中的区域是由客户定义的地理或管理管理域,通常用于将大型网络划分为两个或更多逻辑区段。由于互联网流量和通过 MCN 或 RCN 进行分支通信的代理,因此建议区域内的 MCN、RCN 和客户端节点接近延迟。
对于多区域部署,默认区域与主控制节点 (MCN) 相关联。MCN 直接管理多个区域控制节点 (RCN) 和一些客户端站点。反过来,每个 RCN 管理多个客户端站点。
MCN 和 RCN 冗余
主控制节点 (MCN) 是覆盖网络中的头端设备。它充当覆盖层和客户端节点的中央管理点的主 Controller,因此 MCN 的可用性至关重要。为确保 MCN 的最大可用性,建议在高可用性对中部署,然后添加另一个作为辅助 Geo MCN,以提高冗余级别。
对于辅助 Geo MCN 或 RCN 配置,将与主站点(例如,主数据中心)不同地理位置的站点配置为启用灾难恢复。这是为了确保 MCN 的最大可用性,它被称为辅助 Geo MCN。
辅助 Geo MCN 持续监视主 MCN 的运行状况。如果主 MCN 发生故障,则辅助 Geo MCN 接管活动 MCN 的角色。辅助 Geo MCN 设备可能与主 MCN 不同的平台型号。可以根据使用情况、带宽要求和要支持的站点数来选择设备型号。要具有辅助 Geo MCN 站点的第二个静态虚拟路径,还需要为主 MCN 建立虚拟路径的站点数。因此,选择用于主 MCN 和辅助 Geo MCN 责任的模型必须同时支持所需数量的静态虚拟路径。
配置辅助 Geo MCN 的最佳方法是克隆现有 MCN,因为它保留了大部分 MCN 配置。克隆站点后,将复制该站点的整套配置设置,然后根据辅助 Geo MCN设置进行修改。
与 MCN 类似,RCN 具有相同的操作。可以配置主 RCN 和辅助地理 RCN,上述所有功能也适用于 RCN。
MCN /RCN 高可用性
Citrix SD-WAN 设备可以作为活动或备用高可用性 (HA) 角色中的一对设备部署在高可用性配置中。在 HA 配置中,两个设备在同一子网或同一站点内配置,以确保容错。
可为网络中的 MCN、RCN 和客户端节点配置高可用性。站点之间没有 HA 的依赖关系。换句话说,如果主 MCN 站点部署在 HA 中,则不需要在 HA 中也部署辅助 Geo MCN 站点。
SD-WAN 可扩展性
Citrix SD-WAN 允许 IT 部门在对等站点的可用 WAN 链接之间跨每个 WAN 路径创建叠加隧道。每个 WAN 路径都使用虚拟 IP 地址来表示隧道的终端节点。对等 SD-WAN 站点之间的所有潜在 WAN 路径聚合以提供单个虚拟化路径称为静态或动态虚拟路径。对等 SD-WAN 站点之间可用的虚拟路径允许数据包使用 SD-WAN 覆盖网络而不是现有底层遍历 WAN,后者智能性较低且成本低效。
在单区域部署中,MCN 需要具有网络中每个节点的虚拟路径。但是,在多区域部署中,MCN 只需要具有到区域控制节点的虚拟路径。RCN 表示设备必须具有到区域内仅客户端节点的虚拟路径,以及网络中的 MCN 和其他 RCN。分支机构需要此虚拟路径才能跨区域进行通信。MCN 不再需要作为网络中所有节点的动态虚拟路径创建的中间节点(或中介),角色将卸载到每个区域的 RCN。
虚拟路径
Citrix SD-WAN 允许 IT 通过虚拟 IP 在每个 WAN 链接上创建 WAN 路径隧道,以表示每个 WAN 链接的终端节点。SD-WAN 将所有 WAN 路径聚合到单个虚拟路径中。这样,数据包就可以利用 SD-WAN 覆盖网络而不是现有的底层遍历 WAN,因为后者智能性最低且成本效率最低。
MCN 只需要具有 RCN 节点的虚拟路径。RCN 节点必须具有只指向区域内客户端节点的虚拟路径。默认情况下,MCN 使用 RCN 建立一个虚拟路径,RCN 建立一个带有连接分支的虚拟路径。分支机构需要此虚拟路径才能跨区域进行通信。MCN 不再需要作为动态虚拟路径创建的中间节点(或中介),角色将卸载到 RCN。
万到万转发
WAN 到 WAN 转发 (W2WF) 组用于允许客户端站点通过中间站点相互通信。启用后,路由表将在启用 WAN 到 WAN 转发的站点和特定 WAN 到 WAN 组中的所有客户端站点之间共享。此外,使用动态虚拟路径时,必须启用 WAN 转发。默认情况下,所有站点都位于默认 WAN 到 WAN 转发组中。
如果在 MCN 上启用 WAN 到 WAN,则 MCN 将通过远程站点路由作为分支网络之间的代理。在客户端模式下运行的 SD-WAN 设备不知道其他分支子网,直到 MCN 上启用 WAN 转发。启用此选项后,分支 SD-WAN 节点会意识到其他分支子网,并且所有发往其他分支的流量都会转发到 MCN。
SD-WAN Orchestrator 部署的网络默认情况下启用了 WAN 到 WAN 转发。目标路由将播发到网络中的客户端节点,并且这些节点将流量接收到到目标子网,MCN 将使用其虚拟路径将其路由到托管该子网的 SD-WAN 的正确目标。一个网络可以有多个 WAN 到 WAN 转发组。如果在 MCN 上未启用 WAN 转发,则由于客户端节点路由表中缺少路由,分支到分支的通信将失败。通常,不在本地 SD-WAN 路由表中的路由默认为直通或丢弃路由。
虚拟路径路由
不支持区域分支机构之间的动态虚拟路径。例如,来自美洲地区的 1 分支机构只能通过其各自的 RCN 与 EMEA 地区的分支机构 902 进行通信。创建 RCN 之间的静态虚拟路径,以避免通过 MCN 进行回传。与 RCN 连接的分支机构可配置为回传互联网流量。必须在两个 RCN 上启用 WAN 到 WAN 转发。有关路由的最佳实践,请参阅Citrix 文档页面。
动态虚拟路径
随着企业网络中对 VoIP、屏幕共享和视频会议应用程序的需求不断增长,办公室之间的流量越来越多。网络管理员必须配置一个网状网络拓扑,以实现所有分支之间的连接,这种连接效率低下、耗时且难以管理。
使用 Citrix SD-WAN,无需在每个办公室之间配置路径。该解决方案启用了动态虚拟路径 (DVP) 功能,只能在需要的基础上自动创建办公室之间的路径。
基于配置的阈值,在站点之间直接建立动态虚拟路径。阈值通常基于这些站点之间发生的流量。只有通过每秒数据包计数或字节计数达到指定阈值后,动态虚拟路径才能运行。
分支到分支通信最初使用通过 MCN 的现有静态虚拟路径作为代理站点。
由于创建 DVP 时达到了带宽和时间阈值,因此 MCN(即中间节点)会创建一个动态虚拟路径,以允许直接分支到分支通信而不涉及 MCN。虚拟路径仅在需要时才存在,从而减少传输到数据中心和传出数据中心的流量。此操作导致资源的有效使用,因为当注意到牧场到分支的通信消退时,分配给 DVP 的带宽会被重新分配回到数据中心的静态虚拟路径。
动态虚拟路径只能在以下之间形成:
- 同一地区的分支机构
- 在 RCN 之间
- 在 RCN 和默认区域的分支之间
多跳路由支持
Citrix SD-WAN 支持动态路由协议,可以更轻松地管理来自两个区域的分支机构之间的路由,在这些区域,流量需要穿越多个 SD-WAN 隧道。如果分支机构 401(APJ 地区)想要与分支机构 902(EMEA 地区)通信,多区域路由可以从分支机构-401-> APJ RCN-> EMEA RCN 到分支机构 902 进行通信。
路线汇总
由于数千个站点可能处于多区域体系结构中,SD-WAN 需要在路由表中维护大量路由。因此,SD-WAN 需要增加 CPU、内存和带宽资源来查找大型路由表。
SD-WAN 中的路径汇总功能减少了 SD-WAN 必须维护的路径数。汇总路径用作表示多个路径的单个路径。它通过发送单个路由播发来节省带宽,从而节省内存,因为只保留一个路由地址而不是多个路由地址。通过避免递归查找,CPU 资源可以更有效地使用。
区域控制节点 (RCN) 能够汇总所有区域网络子网,并仅将汇总路由发送到 MCN。
例如,如果我们将一个子网 172.16.0.0/16 定义为区域 1 的一部分,并且属于该区域 1 的所有分支都使用作为区域定义的一部分的子网内的网络(172.16.1.0/24、172.16.2.0/24 等)。区域 1 的 RCN 将摘要路由 (172.16.0.0/16) 发送到网络中的 MCN 和对等 RCN。
SD-WAN 管理员可以使用“本地”和“丢弃”服务类型配置摘要路由。此摘要路由会公布到下一个跃点设备。要了解有关汇总路径类型的更多信息,请参阅产品文档。
SD-WAN 中心支持
SD-WAN 中心 (SDWC) 10.0 支持多区域部署,具有两个功能组件-SD-WAN 中心头端和 SD-WAN 中心收集器。在多区域部署中,每个区域都应具有 SD-WAN 中心收集器,该收集器与该区域的所有站点进行接口,以收集和存储该区域的统计数据。
SD-WAN 中心头端与与 RCN 关联的所有区域收集器接口,并作为默认区域的收集器加倍。SD-WAN 中心头端提供了一个单一访问点,用于在整个网络中进行监视和管理,可能跨越多个区域。
其优点是 SDWC 收集器仅包含其区域的数据。SDWC 对于需要在区域之间划分数据可见性的多区域部署非常有用。然后 SDWC 头端将成为包含来自所有区域的所有数据的中心点,并能够按区域进行过滤。
SD-WAN Orchestrator
使用 SD-WAN Orchestrator 作为多区域部署的管理工具时,单个 SD-WAN Orchestrator 用于集中管理所有区域,包括默认区域。其优点是更简单的网络,可根据需求扩展资源。
部分站点升级
随着大规模的部署,将数百个站点升级到匹配的软件版本可能会令人不安。这就是为多区域部署引入了“部分站点更新”功能的地方,该功能允许管理员在一小部分站点(即实验室或测试站点)上暂存一个新的软件版本,以便在整个 SD-WAN 环境中激活暂存的软件网络之前验证稳定性。一旦软件稳定性得到确认,即可通过完成变更管理中的激活分阶段步骤激活分阶段的软件。更新后的软件的新功能可以进行全面测试,因为新软件已被证明是稳定的。一些要求包括:
- 必须使用与活动软件相同的主要版本号(例如,R10.1.2 在分阶段 R10.2.0 中处于活动状态,而不是 R10.1.1 在分阶段 R11.0 中处于活动状态)
- 活动站点和部分升级站点的配置版本必须与网络的其余部分相同
- 在对主HA单元进行本地更改管理之前,高可用性站点必须禁用备用 HA 单元服务
来源
此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们想为您提供源图,您可以在自己的详细设计和实施指南中进行调整:源图。