Azure Virtual WAN

Microsoft Azure Virtual WAN et Citrix SD-WAN fournissent une connectivité réseau simplifiée et une gestion centralisée des charges de travail du cloud hybride. Vous pouvez automatiser la configuration des appliances de succursale pour se connecter aux concentrateurs Azure Virtual WAN et configurer des stratégies de gestion du trafic de succursale en fonction des besoins de votre entreprise. L’interface intégrée du tableau de bord fournit des informations de dépannage instantanées qui peuvent gagner du temps et fournir une visibilité pour une connectivité site à site à grande échelle.

Microsoft Azure Virtual WAN vous permet d’activer une connectivité simplifiée aux charges de travail Azure Cloud et d’acheminer le trafic sur le réseau de base Azure et au-delà. Azure fournit plus de 54 régions et plusieurs points de présence à travers le monde. Les régions Azure servent de concentrateurs que vous pouvez choisir de vous connecter aux succursales. Une fois les succursales connectées, utilisez le service cloud Azure via la connectivité Hub-to-Hub. Vous pouvez simplifier la connectivité en appliquant plusieurs services Azure, y compris l’appairage de hub avec les réseaux virtuels Azure. Les hubs servent de passerelles de circulation pour les succursales.

Microsoft Azure Virtual WAN offre les avantages suivants :

  • Solutions de connectivité intégrées dans le hub et le rayon : automatisez la connectivité et la configuration de site à site entre le hub local et Azure à partir de diverses sources, y compris des solutions partenaires connectés.

  • Configuration et configuration automatisées  : connectez vos réseaux virtuels au Hub Azure en toute transparence.

  • Dépannage intuitif  : vous pouvez voir le flux de bout en bout dans Azure et utiliser ces informations pour effectuer les actions requises.

Communication Hub-to-Hub

À partir de la version 11.1.0, Azure Virtual WAN prend en charge la communication hub-to-hub à l’aide de la méthode de type standard.

Les clients Azure Virtual WAN peuvent désormais utiliser le réseau central mondial de Microsoft pour la communication entre les régions Hub-to-Hub (architecture de réseau de transit mondial). Cela permet la communication de succursale vers Azure, de succursale à succursale sur l’épine dorsale Azure et de communication de succursale à hub (dans toutes les régions Azure).

Vous ne pouvez utiliser l’épine dorsale d’Azure pour la communication interrégionale que lorsque vous achetez le SKU standard pour Azure Virtual WAN. Pour plus d’informations sur les tarifs, consultez la tarification du réseau virtuel. Avec le SKU de base, vous ne pouvez pas utiliser l’épine dorsale d’Azure pour la communication entre les régions Hub-to-Hub. Pour plus d’informations, consultez Architecture de réseau de transit global et Virtual WAN.

Les concentrateurs sont tous connectés les uns aux autres dans un WAN virtuel. Cela implique qu’une succursale, un utilisateur ou un réseau virtuel connecté à un concentrateur local peut communiquer avec une autre succursale ou un réseau virtuel en utilisant l’architecture maillée complète des concentrateurs connectés.

Vous pouvez également connecter des réseaux virtuels au sein d’un concentrateur passant par le hub virtuel, et des réseaux virtuels à travers le concentrateur, à l’aide de la structure connectée hub-to-hub.

Il existe deux types de réseau étendu virtuel :

  • De base : à l’aide de la méthode Basic, les communications Hub-to-Hub se produisent dans une région. Le type WAN de base permet de créer un concentrateur de base (SKU = Basic). Les concentrateurs de base sont limités à la fonctionnalité VPN de site à site.

  • Standard : à l’aide de la méthode Standard, les communications Hub-to-Hub se produisent entre différentes régions. Un WAN standard permet de créer un concentrateur standard (SKU = Standard). Un concentrateur standard contient ExpressRoute, User VPN (P2S), hub maillé complet et VNet vers VNet transitent par les concentrateurs.

Créer un service WAN virtuel Azure dans Microsoft Azure

Pour créer la ressource WAN virtuel Azure, effectuez les opérations suivantes :

  1. Connectez-vous au portail Azure et cliquez sur Créer une ressource.

Créer une ressource

  1. Recherchez Virtual WAN et cliquez sur Créer.

  2. Sous Base, indiquez les valeurs pour les champs suivants :

  • Abonnement : sélectionnez et fournissez les détails de l’abonnement dans la liste déroulante.

  • Groupe de ressources : sélectionnez un groupe de ressources existant ou créez-en un nouveau.

    Remarque

    Lors de la création du principal de service pour autoriser la communication API Azure, assurez-vous d’utiliser le même groupe de ressources qui contient le WAN virtuel. Sinon, le SD-WAN Orchestrator ne dispose pas des autorisations suffisantes pour s’authentifier auprès des API WAN virtuelles Azure qui activent la connectivité automatisée.

  • Emplacement du groupe de ressources : sélectionnez la région Azure dans la liste déroulante.

  • Nom : Indiquez le nom du nouveau réseau étendu virtuel.
  • Type : sélectionnez le type standard si vous souhaitez utiliser la communication Hub-to-Hub entre différentes régions, sinon sélectionnez Basic.

    Type Azure

  1. Cliquez sur Review+create.
  2. Vérifiez les détails que vous avez saisis pour créer le WAN virtuel et cliquez sur Créer pour terminer la création du réseau étendu virtuel.

Le déploiement de la ressource prend moins d’une minute.

Remarque

Vous pouvez effectuer une mise à niveau de base vers Standard, mais vous ne pouvez pas revenir de Standard à Basic. Pour connaître les étapes de mise à niveau d’un WAN virtuel, consultez Mise à niveau d’un WAN virtuel de base à standard.

Créer un concentrateur dans le WAN virtuel Azure

Procédez comme suit pour créer un concentrateur afin d’activer la connectivité à partir de différents points de terminaison (par exemple, des périphériques VPN locaux ou des périphériques SD-WAN) :

  1. Sélectionnez le WAN virtuel Azure créé précédemment.
  2. Sélectionnez Hubs sous la section Connectivité , puis cliquez sur + Nouveau Hub.

Créer HUB

  1. Sous Base, indiquez les valeurs pour les champs suivants :
  • Région  : sélectionnez la région Azure dans la liste déroulante.
  • Nom — Entrez le nom du nouveau Hub.
  • Espace d’adressage privé Hub — Entrez la plage d’adresses dans CIDR. Sélectionnez un réseau unique dédié au concentrateur uniquement.
  1. Cliquez sur Suivant : Site à Site > et indiquez les valeurs pour les champs suivants :
  • Voulez-vous créer un site à site (Gateway VPN) ? — Sélectionnez Oui.
  • Unités d’échelle de passerelle  : sélectionnez les unités d’échelle dans la liste déroulante selon les besoins.

    Unité d'échelle de passerelle

  1. Cliquez sur Review+create.
  2. Vérifiez les paramètres et cliquez sur Créer pour démarrer la création du hub virtuel.

Le déploiement de la ressource peut prendre jusqu’à 30 minutes.

Créer un principal de service pour Azure Virtual WAN et identifier les ID

Pour que SD-WAN Orchestrator puisse s’authentifier via des API WAN virtuelles Azure et activer la connectivité automatisée, une application enregistrée doit être créée et identifiée avec les informations d’authentification suivantes :

  • ID d’abonnement
  • ID client
  • Clé secrète client
  • ID de locataire

Remarque

Lors de la création du principal de service pour autoriser la communication API Azure, assurez-vous d’utiliser le même groupe de ressources qui contient le WAN virtuel. Sinon, le SD-WAN Orchestrator ne dispose pas des autorisations suffisantes pour s’authentifier auprès des API WAN virtuelles Azure qui activent la connectivité automatisée.

Procédez comme suit pour créer une nouvelle inscription d’application :

  1. Dans le portail Azure, accédez à Azure Active Directory.
  2. Sous Gérer, sélectionnez Enregistrement de l’application.
  3. Cliquez sur + Nouvelle inscription.

Nouvel enregistrement Azure

  1. Fournissez des valeurs pour les champs suivants pour enregistrer une application :
  • Nom — Indiquez le nom de l’enregistrement de la demande.
  • Types de compte pris en charge : sélectionnez Comptes dans ce répertoire organisationnel uniquement (* - locataire unique) option.
  • URI de redirection (facultatif) : sélectionnez Web dans la liste déroulante et entrez une URL unique et aléatoire (par exemple, https://localhost:4980)
  • Cliquez sur Enregistrer.

    Enregistrer une demande

    Vous pouvez copier et stocker l’ID d’application (client) et l’ID d’ annuaire (locataire) qui peuvent être utilisés dans le SD-WAN Orchestrator pour l’authentification à l’abonnement Azure pour l’utilisation de l’API.

    ID client et locataire

    L’étape suivante pour l’enregistrement de l’application, créez une clé principale de service à des fins d’authentification.

    Pour créer la clé principale de service, effectuez les opérations suivantes :

    1. Dans le portail Azure, accédez à Azure Active Directory.
    2. Sous Gérer, accédez à Enregistrement des applications.
    3. Sélectionnez l’application enregistrée (créée précédemment).
    4. Sous Gérer, sélectionnez Certificats et secrets.
    5. Sous Secrets client, cliquez sur + Nouveau secret client.

    Nouveau secret client

    1. Pour ajouter un secret client, fournissez des valeurs pour les champs suivants :
      • Description : Indiquez un nom pour la clé principale de service.
      • Expiration : sélectionnez la durée d’expiration selon les besoins.

    Ajouter un secret client

    1. Cliquez sur Ajouter.
    2. La clé secrète client est désactivée dans la colonne Valeur. Copiez la clé dans votre presse-papiers. Il s’agit du secret client que vous devez entrer dans le SD-WAN Orchestrator.

    Clé secrète client

    Remarque

    Copiez et stockez la valeur de clé secrète avant de recharger la page car elle ne sera plus affichée par la suite.

Procédez comme suit pour attribuer les rôles appropriés à des fins d’authentification :

  1. Dans le portail Azure, accédez au groupe de ressources où le WAN virtuel a été créé.
  2. Accédez à Contrôle d’accès (IAM).
  3. Cliquez sur + Ajouter et sélectionnez Ajouter une affectation de rôle.

Ajouter une attribution de rôle

  1. Pour ajouter une attribution de rôle, fournissez des valeurs pour les champs suivants :
  • Rôle — Sélectionnez Propriétaire dans la liste déroulante. Ce rôle permet de gérer tout, y compris l’accès aux ressources.
  • Attribuer l’accès à : sélectionnez l’utilisateur, le groupe ou le principal de service Azure AD.
  • Sélectionner — Indiquez le nom de l’application enregistrée créée précédemment et sélectionnez l’entrée correspondante lorsqu’elle apparaît.
  1. Cliquez sur Enregistrer.

Ajouter l'attribution de rôles 2

Enfin, vous devez obtenir l’ID d’abonnement pour le compte Azure. Vous pouvez identifier votre ID d’abonnement en recherchant des abonnements dans le portail Azure.

ID d'abonnement

Configurer Azure Virtual WAN Delivery Service dans SD-WAN Orchestrator

Microsoft Azure Virtual WAN et Citrix SD-WAN fournissent une connectivité réseau simplifiée et une gestion centralisée de l’ensemble des charges de travail dans le cloud. Ce service fournit la configuration automatique des appliances de succursale pour se connecter au WAN virtuel Azure et configurer les stratégies de gestion du trafic de succursale en fonction des besoins de votre entreprise.

Fournissez les informations Azure Service Principal pour mapper tous les sites Citrix SD-WAN vers Azure Virtual WAN. Avant de configurer les sites sur un service WAN virtuel Azure, vous devez créer Azure Virtual WAN Hubs avec une ressource Gateway de connectivité site à site dans votre région Azure respective. Les connexions site à site sont établies entre les appliances Citrix SD-WAN et Azure.

Remarque

Seuls les concentrateurs WAN virtuels créés dans le portail Azure pour votre abonnement sont répertoriés pour le mappage.

Dans le cadre du mappage de succursales Citrix SD-WAN vers des réseaux virtuels Azure, un site de succursale doit être associé à des ressources WAN Azure pour établir des tunnels IPSec avec les Hubs virtuels Azure à l’aide des paramètres IKE/IPsec présélectionnés. Les Sites et les routes de base Azure sont apprises via BGP par défaut. Lorsque des sites de succursales Citrix SD-WAN ont plusieurs liaisons WAN Internet configurées, deux liaisons WAN sont automatiquement choisies pour fournir une redondance. Le logiciel Citrix SD-WAN choisi doit être pris en charge pour basculer entre les tunnels IPSec principal et secondaire, qui sont pris en charge à partir de la version 11.1.

Remarque

Un site Citrix SD-WAN peut se connecter à plusieurs Hubs virtuels Azure dans les mêmes régions Azure ou différentes régions Azure.

Certaines appliances Citrix SD-WAN ont une limitation des ressources sur le nombre de tunnels IPSec pouvant être pris en charge. Par conséquent, le mappage de configuration peut échouer si les restrictions de nombre de tunnels de l’appliance Citrix SD-WAN ne sont pas respectées.

Voici la limite de tunnel IPsec par plate-forme SD-WAN :

Appliances SD-WAN Tunnels IPsec pris en charge
4100, 5100, 6100 256
1100, 2100 128
110, 210, 410, 1000, 2000 8

Conditions préalables

Effectuez les conditions préalables suivantes avant de commencer la configuration dans SD-WAN Orchestrator :

  • Configuration complète de l’infrastructure Azure (vNet homologue avec Hub, application enregistrée pour l’automatisation, etc.)
  • Accédez à SD-WAN Orchestrator en tant que service hébergé dans le cloud. Assurez-vous d’utiliser un compte Citrix Cloud qui a subi le processus d’intégration approprié, sinon l’authentification échoue.
  • Assurez-vous que l’abonnement Azure n’est déjà utilisé avec aucune autre configuration Orchestrator.
  • Vous avez déjà déployé des nœuds MCN et SD-WAN de succursale et confirmez Virtual Path sur les types de liaison WAN Internet. Orchestrator active automatiquement le service Intranet via le processus de configuration.
  • Assurez-vous que les nœuds SD-WAN de la succursale sont configurés pour apprendre automatiquement l’adresse IP publique de la liaison WAN Internet.

Effectuez les opérations suivantes pour terminer la configuration d’Azure Virtual WAN et établir les tunnels IPSec avec des périphériques SD-WAN :

  1. Dans Citrix SD-WAN Orchestrator, sélectionnez Tous les sites, puis accédez à Services de distribution > Service et bande passante. Allouez un pourcentage de bande passante pour le service de distribution WAN virtuel Azure (par exemple, 20%). Vous devrez peut-être soustraire le pourcentage alloué de l’un des autres services de mise à disposition (par exemple, Chemin virtuel), de sorte que le total des pourcentages alloués soit égal à 100.

Service WAN virtuel Azure

Remarque

Fournissez la bande passante d’abonnement (en%) pour le service WAN virtuel Azure. Vous pouvez réserver la bande passante d’abonnement à la fois au niveau global (Tous les sites > Configuration > Services de mise à disposition > Services et bande passante) et site (Site > Paramètres de base > Liens WAN > Services).

En option, on peut également allouer une bande passante différente pour différents sites. Pour cela, effectuez une configuration spécifique au lien pour le site sélectionné. Pour ce faire, sélectionnez la section Site > Liens WAN > Services appropriée. Vous pouvez remplacer l’allocation globale de bande passante en sélectionnant Lien spécifique pour les paramètres de bande passante du service et en allouant la bande passante souhaitée.

Paramètres de bande passante du service

  1. Cliquez sur l’option de réglage en regard de Azure Virtual WAN pour associer à un abonnement Azure.

Paramètres du service WAN virtuel Azure

  1. Fournissez l’ID d’abonnement Azure, l’ID client, le secret client et l’ID de locataire capturés précédemment lors de la création du principal de service Azure. Si les informations d’identification ne sont pas correctes, l’authentification échoue et aucune action supplémentaire n’est autorisée. Cliquez sur Enregistrer.

Service WAN virtuel Azure

Une fois l’authentification réussie, vous devez associer un site de succursale aux ressources Azure Virtual WAN pour établir des tunnels IPSec. Une succursale peut être connectée à plusieurs Hubs au sein d’une ressource Azure Virtual WAN et une ressource Azure Virtual WAN peut être connectée à plusieurs sites de succursales.

  1. Une fois l’authentification Azure réussie, cliquez sur + Site pour ajouter un site.

Azure WAN virtuel ajoute un site

Remarque

L’option + Site sera désactivée si vous n’avez pas réservé la bande passante de l’abonnement.

  1. Fournissez les détails suivants :
  • Azure Virtual WAN - Sélectionnez Azure Virtual WAN dans la liste déroulante associée à l’abonnement. Le même site ne peut pas être connecté à plusieurs réseaux locaux.

  • Hubs Azure - Sélectionnez les concentrateurs Azure. Seuls les réseaux locaux virtuels Azure avec des concentrateurs virtuels Azure sont répertoriés pour le mappage. Vous pouvez ajouter plusieurs concentrateurs connectés au même site.

    Remarque

    Le champ Azure Virtual WAN répertorie uniquement les WAN virtuels dont un hub correspondant a déjà été créé.

  • Sélectionner Région/Groupes — Vous pouvez sélectionner toutes les régions ou groupes sélectifs.

  • Sélectionner des sites  : vous pouvez sélectionner tous les sites ou les sites sélectifs que vous souhaitez mapper.

    Azure WAN virtuel ajoute un site

  1. Cliquez sur Review.

Azure WAN virtuel ajoute un site

IP interne ALB  : l’entrée IP Azure Load Balancer (ALB) est requise si le site particulier est un VPX Azure et déployé en mode haute disponibilité (HA). Sinon, ce champ est facultatif.

  1. Cliquez sur Enregistrer

  2. Une fois le site déployé, vous pouvez voir les informations suivantes :

Détails du site WAN virtuel Azure

Le diagramme suivant décrit le flux de travail de haut niveau d’Orchestrator et de la connexion WAN virtuel Azure.

Flux de travail WAN virtuel

  • Info - Affiche les détails de configuration et l’état du tunnel WAN virtuel Azure.
  • Nom du site  : affiche le nom du site déployé.
  • Réseau étendu virtuel — Affiche le réseau WAN virtuel Azure avec le site correspondant est mappé.
  • Hubs — Affiche le nombre de concentrateurs.
  • Statut  : affiche les différents états de déploiement avec le message d’achèvement final. Si le site est provisionné correctement, seuls les tunnels IPSec peuvent être créés.
  • Action  : vous pouvez modifier ou supprimer le site configuré.

Informations sur le site déployé virtuel Azure

Informations sur le site déployé virtuel Azure

Le mappage des sites Citrix SD-WAN vers des concentrateurs WAN virtuels Azure peut prendre un certain temps, car cela implique le téléchargement de la configuration IPSec à partir d’Azure. L’état du mappage de succursale apparaît comme Configuration Téléchargé après le téléchargement de la configuration de la succursale. Il est recommandé d’actualiser l’état du site avant d’activer la configuration pour voir l’état mis à jour.

Une fois le site provisionné avec succès, vous devez exécuter le processus Verify, Stage et Active pour créer les tunnels IPSec.

Le WAN virtuel Azure vérifie la configuration

Après l’activation, vous pouvez voir l’état des tunnels de chaque site en accédant à Tous les sites > Rapports > Temps réel > Statistiques > Tunnel IPsec, sélectionnez le site souhaité, puis cliquez sur Récupérer les dernières données. Si la configuration n’est pas activée, les informations sur les tunnels ne seront pas disponibles. Deux tunnels sont créés à des fins de redondance.

Récupérer les données les plus récentes

En outre, vous pouvez voir les itinéraires vers Azure Virtual WAN pour chaque site en accédant à Tous les sites > Rapports > Temps réel > Statistiques > Itinéraires, sélectionnez le site souhaité, puis cliquez sur Récupérer les dernières données.

Récupérer les dernières donnéesa1

Lors de la configuration initiale d’Azure Virtual WAN, le réseau virtuel 10.0.1.0/24 est associé, et cette route a été apprise par le SD-WAN local et entrez dans la table de routage avec azureVWANservice comme type de service de livraison. Type indiquant Dynamique et Protocole indiquant BGP peut être déterminé que l’itinéraire a été appris dynamiquement sur BGP.

Dans le portail Azure, les sites VPN déployés avec succès peuvent être surveillés dans le concentrateur WAN virtuel Azure. En outre, vous trouverez l’espace d’adressage associé au Hub qui a été appris par le périphérique SD-WAN local.

Site VPN Azure

La sélection de l’un des sites VPN connectés fournit des détails sur le SD-WAN connecté. Incluant l’adresse IP publique/FQDN qui termine le tunnel IPSec, l’espace d’adressage IP privé et l’adresse BGP qui serait l’adresse VIP de l’interface WAN du SD-WAN, et plus important encore la vitesse et l’état de connectivité au concentrateur.

État de connectivité

Dans Azure, des connexions réseau virtuelles peuvent être ajoutées pour rendre les ressources disponibles dans Azure en connectant des réseaux virtuels. Pour terminer cette configuration, effectuez les opérations suivantes :

  1. Dans le portail Azure, sélectionnez la ressource WAN virtuel.
  2. Sous Connectivité, accédez à Connexions réseau virtuelles.
  3. Cliquez sur + Ajouter une connexion.

Connexion réseau virtuel

  1. Pour ajouter une connexion, spécifiez des valeurs pour les champs suivants :
  • Nom de la connexion  : entrez le nom de la nouvelle connexion.
  • Hubs — Faites votre choix parmi les concentrateurs disponibles dans la liste déroulante.
  • Abonnement  : sélectionnez les abonnements disponibles dans la liste déroulante.
  • Groupe de ressources  : sélectionnez le groupe de ressources dans la liste déroulante où la ressource WAN virtuel est déployée.
  • Réseau virtuel  : sélectionnez les réseaux virtuels disponibles dans la liste déroulante.

    Azure ajoute une connexion

  1. Cliquez sur Créer.

La connexion réseau virtuelle crée

Avec le nouveau réseau virtuel apairé au Hub, les périphériques SD-WAN locaux apprennent dynamiquement la nouvelle route via BGP. Pour récupérer la table de routage la plus récente pour le périphérique SD-WAN dans Orchestrator, accédez à Tous les sites > Rapports > Temps réel > Statistiques > Itinéraires. Sélectionnez le site souhaité et cliquez sur Récupérer les dernières données.

Statistiques WAN virtuel Azure

Les sites VPN déployés Citrix SD-WAN peuvent accéder aux ressources déployées dans des réseaux virtuels homologués aux concentrateurs WAN virtuels Azure via les étapes de configuration mentionnées précédemment.