Prise en charge de Citrix ADC pour le déploiement de Microsoft Direct Access

Microsoft Direct Access est une technologie qui permet aux utilisateurs distants de se connecter de manière transparente et sécurisée aux réseaux internes de l’entreprise, sans avoir à établir une connexion VPN distincte. Contrairement aux connexions VPN, qui nécessitent une intervention de l’utilisateur pour ouvrir et fermer des connexions, un client compatible Accès direct se connecte automatiquement aux réseaux internes de l’entreprise chaque fois que le client se connecte à Internet.

Manage-Out est une fonctionnalité Microsoft Direct Access qui permet aux administrateurs du réseau d’entreprise de se connecter aux clients Direct Access en dehors du réseau et de les gérer (par exemple, effectuer des tâches d’administration, telles que la planification des mises à jour de service et la prise en charge à distance.

Dans un déploiement Direct Access, les appliances Citrix ADC offrent une haute disponibilité, une évolutivité, des performances élevées et une sécurité. La fonctionnalité d’équilibrage de charge Citrix ADC envoie le trafic client via le serveur le plus approprié. Les appliances peuvent également transférer le trafic Manage-Out via le bon chemin pour atteindre le client.

Architecture

L’architecture d’un déploiement Microsoft Direct Access comprend des clients compatibles Direct Access, des serveurs Direct Access, des serveurs d’applications et des appliances Citrix ADC internes et externes. Les clients se connectent à un serveur d’applications via un serveur d’accès direct. Une appliance Citrix ADC externe équilibre la charge du trafic client vers un serveur Direct Access, et une appliance Citrix ADC interne transfère le trafic client depuis le serveur Direct Access vers le serveur d’applications de destination. L’accès direct est utilisé pour tunneliser le trafic IPv6 du client sur le réseau IPv4. Un serveur virtuel d’équilibrage de charge IPv4 sur l’appliance Citrix ADC externe équilibre le trafic tunnel du client vers l’un des serveurs d’accès direct. Le serveur Direct Access extrait les paquets IPv6 des paquets IPv4 du client reçu et les envoie au serveur d’applications de destination via l’appliance Citrix ADC interne. L’appliance interne Citrix ADC dispose de règles de session de transfert avec l’option de cache de routage source activée pour stocker les informations de connexion de couche 2 et de couche 3 sur le trafic du client à partir du serveur Direct Access. L’appliance Citrix ADC stocke les informations de couche 2 et de couche 3 suivantes dans une table appelée table de cache de routage source :

  • Adresse IP source du paquet reçu
  • Adresse MAC du serveur d’accès direct qui a envoyé le paquet
  • ID VLAN de l’appliance Citrix ADC qui a reçu le paquet
  • ID d’interface de l’appliance Citrix ADC qui a reçu le paquet

L’appliance Citrix ADC utilise les informations de la table de cache de routage source pour transférer une réponse au même serveur Direct Access car elle dispose des informations de tunnel pour atteindre le client. En outre, l’appliance interne utilise la table de cache de routage source pour transférer le trafic de sortie du serveur d’applications vers le serveur d’accès direct approprié pour atteindre un client particulier.

image localisée

Configuration de l’appliance Citrix ADC interne dans un déploiement Microsoft Direct Access

Pour configurer l’appliance Citrix ADC interne pour transférer la réponse d’un serveur d’applications et le trafic de gestion vers la passerelle d’accès direct appropriée, configurez les règles de session de transfert. Dans chaque règle, définissez le paramètre sourceroutecache sur Enabled.

Pour créer une règle de session de transfert à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • add forwardingSession <name> ((<network> [<netmask>]) | -acl6name <string> | -aclname <string>) -sourceroutecache ( ENABLED | DISABLED ]
  • show forwardingsession <name>

Exemple de configuration :

Dans l’exemple suivant, la règle de session de transfert MS-DA-FW-1 est créée sur l’appliance Citrix ADC interne. La session de transfert stocke les informations de couche 2 et de couche 3 pour tous les paquets IPv6 entrants à partir d’un serveur d’accès direct qui correspond au préfixe IPv6 source 2001:DB8 : :/96.

> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED
 Done

Affichage de la table du cache de routage source

Vous pouvez afficher la table de cache de routage source pour surveiller ou détecter toute connexion indésirable entre les serveurs d’accès direct et les serveurs d’applications.

Pour afficher la table de cache de routage source à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • show sourceroutecachetable

Exemple :

    > show sourceroutecachetable
    SOURCEIP            MAC                 VLAN    INTERFACE
    2001:DB8:5001:10    56:53:24:3d:02:eb    30        1/2
    2001:DB8:5003:30    60:54:35:3e:04:bd    60        1/3
    Done

Effacement de la table du cache de routage source

Vous pouvez effacer toutes les entrées de la table de cache de routage source sur une appliance Citrix ADC.

Pour effacer la table de cache de routage source à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • flush ns sourceroutecachetable