Citrix SD-WAN Orchestrator

Azure Virtual WAN

Azure Virtual WAN

Microsoft Azure Virtual WAN et Citrix SD-WAN fournissent une connectivité réseau simplifiée et une gestion centralisée des charges de travail du cloud hybride. Vous pouvez automatiser la configuration des appliances de succursale pour se connecter aux concentrateurs Azure Virtual WAN et configurer des stratégies de gestion du trafic de succursale en fonction des besoins de votre entreprise. L’interface intégrée du tableau de bord fournit des informations de dépannage instantanées qui peuvent gagner du temps et fournir une visibilité pour une connectivité site à site à grande échelle.

Microsoft Azure Virtual WAN vous permet d’activer une connectivité simplifiée aux charges de travail Azure Cloud et d’acheminer le trafic sur le réseau de base Azure et au-delà. Azure fournit plus de 54 régions et plusieurs points de présence à travers le monde. Les régions Azure servent de concentrateurs que vous pouvez choisir de vous connecter aux succursales. Une fois les succursales connectées, utilisez le service cloud Azure via la connectivité Hub-to-Hub. Vous pouvez simplifier la connectivité en appliquant plusieurs services Azure, y compris l’appairage de hub avec les réseaux virtuels Azure. Les hubs servent de passerelles de circulation pour les succursales.

Microsoft Azure Virtual WAN offre les avantages suivants :

  • Solutions de connectivité intégrées dans un hub et en étoile - Automatisez la connectivité et la configuration site à site entre les sites locaux et le hub Azure à partir de diverses sources, y compris des solutions de partenaires connectés.

  • Configuration et configuration automatisées  : connectez facilement vos réseaux virtuels au hub Azure.

  • Résolution des problèmes intuitive  : vous pouvez voir le flux de bout en bout au sein d’Azure et utiliser ces informations pour prendre les mesures nécessaires.

Communication Hub-to-Hub

À partir de la version 11.1.0, Azure Virtual WAN prend en charge la communication entre hubs à l’aide de la méthode de type standard .

Les clients Azure Virtual WAN peuvent désormais utiliser le réseau dorsal mondial de Microsoft pour la communication interrégionale entre hubs (architecture de réseau de transit mondial). Cela permet la communication de succursale vers Azure, de succursale à succursale sur l’épine dorsale Azure et de communication de succursale à hub (dans toutes les régions Azure).

Vous pouvez utiliser le backbone d’Azure pour les communications interrégionales uniquement lorsque vous achetez le SKU standard pour Azure Virtual WAN. Pour plus de détails sur la tarification, consultez la section Tarification Vir Avec le SKU de base, vous ne pouvez pas utiliser le backbone d’Azure pour la communication entre les régions entre les hubs. Pour plus de détails, consultez Architecture du réseau de transit mondial et Virtual WAN.

Les concentrateurs sont tous connectés les uns aux autres dans un WAN virtuel. Cela implique qu’une succursale, un utilisateur ou un réseau virtuel connecté à un concentrateur local peut communiquer avec une autre succursale ou un réseau virtuel en utilisant l’architecture maillée complète des concentrateurs connectés.

Vous pouvez également connecter des réseaux virtuels au sein d’un concentrateur passant par le hub virtuel, et des réseaux virtuels à travers le concentrateur, à l’aide de la structure connectée hub-to-hub.

Il existe deux types de réseau étendu virtuel :

  • Basique : En utilisant la méthode Basic, les communications entre hubs s’effectuent au sein d’une même région. Le type de WAN de base permet de créer un hub de base (SKU = Basic). Les concentrateurs de base sont limités à la fonctionnalité VPN de site à site.

  • Standard : En utilisant la méthode standard, les communications entre hubs s’effectuent entre différentes régions. Un WAN standard permet de créer un hub standard (SKU = Standard). Un hub standard contient ExpressRoute, un VPN utilisateur (P2S), un hub à maillage complet et un transit entre réseaux virtuels via les hubs.

Créer un service WAN virtuel Azure dans Microsoft Azure

Pour créer la ressource WAN virtuel Azure, effectuez les opérations suivantes :

  1. Connectez-vous au portail Azure et cliquez sur Créer une ressource.

    Créer une ressource

  2. Recherchez Virtual WAN et cliquez sur Créer.

  3. Sous Basic, entrez les valeurs des champs suivants :

    • Abonnement : sélectionnez et fournissez les détails de l’abonnement dans la liste déroulante.

    • Groupe de ressources : sélectionnez un groupe de ressources existant ou créez-en un nouveau.

      Remarque

      Lorsque vous créez le principal de service pour autoriser la communication via l’API Azure, veillez à utiliser le même groupe de ressources que celui qui contient le réseau étendu virtuel. Sinon, le service Citrix SD-WAN Orchestrator ne disposera pas d’autorisations suffisantes pour s’authentifier auprès des API Azure Virtual WAN qui permettent une connectivité automatisée.

    • Emplacement du groupe de ressources : sélectionnez la région Azure dans la liste déroulante.

    • Nom : Entrez le nom du nouveau réseau étendu virtuel.
    • Type : sélectionnez Type standard si vous souhaitez utiliser la communication hub à hub entre différentes régions, sinon sélectionnez Basic.

    Type Azure

  4. Cliquez sur Réviser + Créer.
  5. Passez en revue les informations que vous avez saisies pour créer le réseau étendu virtuel et cliquez sur Créer pour terminer la création du réseau étendu virtuel.

Le déploiement de la ressource prend moins d’une minute.

Remarque

Vous pouvez effectuer une mise à niveau de base vers Standard, mais vous ne pouvez pas revenir de Standard à Basic. Pour connaître les étapes à suivre pour mettre à niveau un réseau étendu virtuel, reportez-vous à la section Mettre à niveau un réseau étendu virtuel de base

Créer un concentrateur dans le WAN virtuel Azure

Procédez comme suit pour créer un concentrateur afin d’activer la connectivité à partir de différents points de terminaison (par exemple, des périphériques VPN locaux ou des périphériques SD-WAN) :

  1. Sélectionnez le WAN virtuel Azure créé précédemment.
  2. Sélectionnez Hubs dans la section Connectivité et cliquez sur + Nouveau hub.

    Créer HUB

  3. Sous Basic, entrez les valeurs des champs suivants :

    • Région  : sélectionnez la région Azure dans la liste déroulante.
    • Nom — Entrez le nom du nouveau Hub.
    • Espace d’adressage privé du hub — Entrez la plage d’adresses dans le CIDR. Sélectionnez un réseau unique dédié au concentrateur uniquement.
  4. Cliquez sur Suivant : Site à site et entrez les valeurs des champs suivants :

    • Voulez-vous créer un site à site (passerelle VPN) ? — Sélectionnez Oui.
    • Unités d’échelle Gateway — Sélectionnez les unités d’échelle dans la liste déroulante selon vos besoins.

      Unité d'échelle de passerelle

  5. Cliquez sur Réviser + Créer.
  6. Vérifiez les paramètres et cliquez sur Créer pour démarrer la création du hub virtuel.

Le déploiement de la ressource peut prendre jusqu’à 30 minutes.

Créer un principal de service pour Azure Virtual WAN et identifier les ID

Pour que le service Citrix SD-WAN Orchestrator s’authentifie via les API Azure Virtual WAN et permette une connectivité automatisée, une application enregistrée doit être créée et identifiée avec les informations d’authentification suivantes :

  • ID d’abonnement
  • ID client
  • Clé secrète client
  • ID de locataire

Remarque

Lorsque vous créez le principal de service pour autoriser la communication via l’API Azure, veillez à utiliser le même groupe de ressources que celui qui contient le réseau étendu virtuel. Sinon, le service Citrix SD-WAN Orchestrator ne disposera pas d’autorisations suffisantes pour s’authentifier auprès des API Azure Virtual WAN qui permettent une connectivité automatisée.

Procédez comme suit pour créer l’enregistrement d’une application :

  1. Dans le portail Azure, accédez à Azure Active Directory.
  2. Sous Gérer, sélectionnez Enregistrement de l’application.
  3. Cliquez sur + Nouvelle inscription.

    Nouvel enregistrement Azure

  4. Fournissez des valeurs pour les champs suivants pour enregistrer une application :

    • Nom — Indiquez le nom de l’enregistrement de l’application.
    • Types de comptes pris en charge  : sélectionnez l’option Comptes dans ce répertoire organisationnel uniquement (* - Client unique).
    • URI de redirection (facultatif)  : sélectionnez Web dans la liste déroulante et entrez une URL unique et aléatoire (par exemple, https ://localhost : 4980)
    • Cliquez sur Enregistrer.

    Enregistrer une demande

    Vous pouvez copier et stocker l’ID de l’ application (client) et l’ID du répertoire (locataire) qui peuvent être utilisés dans le service Citrix SD-WAN Orchestrator pour l’authentification auprès de l’abonnement Azure pour l’utilisation de l’API.

    ID client et locataire

    L’étape suivante pour l’enregistrement de l’application, créez une clé principale de service à des fins d’authentification.

    Pour créer la clé principale de service, effectuez les opérations suivantes :

    1. Dans le portail Azure, accédez à Azure Active Directory.
    2. Sous Gérer, accédez à Enregistrement de l’application.
    3. Sélectionnez l’application enregistrée (créée précédemment).
    4. Sous Gérer, sélectionnez Certificats et secrets.
    5. Sous Secrets clients, cliquez sur + Nouveau secret client.

      Nouveau secret client

    6. Pour ajouter un secret client, fournissez des valeurs pour les champs suivants :
      • Description : Donnez un nom à la clé principale du service.
      • Expire : sélectionnez la durée d’expiration selon les besoins.

      Ajouter un secret client

    7. Cliquez sur Ajouter.
    8. Le secret du client est désactivé dans la colonne Valeur . Copiez la clé dans votre presse-papiers. Il s’agit du secret client que vous devez saisir dans le service Citrix SD-WAN Orchestrator.

      Clé secrète client

      Remarque

      Copiez et stockez la valeur de la clé secrète avant de recharger la page, car elle ne sera plus affichée par la suite.

Procédez comme suit pour attribuer les rôles appropriés à des fins d’authentification :

  1. Sur le portail Azure, accédez au groupe de ressources dans lequel le réseau étendu virtuel a été créé.
  2. Accédez au contrôle d’accès (IAM).
  3. Cliquez sur + Ajouter et sélectionnez Ajouter une attribution de rôle.

    Ajouter une attribution de rôle

  4. Pour ajouter une attribution de rôle, fournissez des valeurs pour les champs suivants :

    • Rôle  : sélectionnez Propriétaire dans la liste déroulante. Ce rôle permet de gérer tout, y compris l’accès aux ressources.
    • Attribuez l’accès à  : sélectionnez un utilisateur, un groupe ou unprincipal de serviceAzure AD.
    • Sélectionner — Indiquez le nom de l’application enregistrée créée précédemment et sélectionnez l’entrée correspondante lorsqu’elle apparaît.
  5. Cliquez sur Enregistrer.

    Ajouter l'attribution de rôles 2

Enfin, vous devez obtenir l’ID d’abonnement pour le compte Azure. Vous pouvez identifier votre ID d’abonnement en recherchant des abonnements sur le portail Azure.

ID d'abonnement

Configurer le service de livraison Azure Virtual WAN dans le service Citrix SD-WAN Orchestrator

Microsoft Azure Virtual WAN et Citrix SD-WAN fournissent une connectivité réseau simplifiée et une gestion centralisée de l’ensemble des charges de travail dans le cloud. Ce service fournit la configuration automatique des appliances de succursale pour se connecter au WAN virtuel Azure et configurer les stratégies de gestion du trafic de succursale en fonction des besoins de votre entreprise.

Fournissez les informations Azure Service Principal pour mapper tous les sites Citrix SD-WAN sur Azure Virtual WAN. Avant de configurer les sites sur un service WAN virtuel Azure, vous devez créer Azure Virtual WAN Hubs avec une ressource Gateway de connectivité site à site dans votre région Azure respective. Les connexions site à site sont établies entre les appliances Citrix SD-WAN et Azure.

Remarque :

seuls les hubs WAN virtuels créés sur le portail Azure pour votre abonnement sont répertoriés pour le mappage.

Dans le cadre du mappage de succursales Citrix SD-WAN vers des réseaux virtuels Azure, un site de succursale doit être associé à des ressources WAN Azure pour établir des tunnels IPSec avec les Hubs virtuels Azure à l’aide des paramètres IKE/IPsec présélectionnés. Les Sites et les routes de base Azure sont apprises via BGP par défaut. Lorsque des sites de succursales Citrix SD-WAN ont plusieurs liaisons WAN Internet configurées, deux liaisons WAN sont automatiquement choisies pour fournir une redondance. Le logiciel Citrix SD-WAN choisi doit être pris en charge pour basculer entre les tunnels IPSec principal et secondaire, qui sont pris en charge à partir de la version 11.1.

Remarque :

Un site Citrix SD-WAN peut se connecter à plusieurs hubs virtuels Azure dans la même région Azure ou dans des régions différentes.

Certaines appliances Citrix SD-WAN ont une limitation des ressources sur le nombre de tunnels IPSec pouvant être pris en charge. Par conséquent, le mappage de configuration peut échouer si les restrictions de nombre de tunnels de l’appliance Citrix SD-WAN ne sont pas respectées.

Voici la limite de tunnel IPsec par plate-forme SD-WAN :

Appliances SD-WAN Tunnels IPsec pris en charge
4100, 5100, 6100 256
1100, 2100 128
110, 210, 410, 1000, 2000 8

Conditions préalables

Respectez les conditions préalables suivantes avant de commencer la configuration dans le service Citrix SD-WAN Orchestrator :

  • Configuration complète de l’infrastructure Azure (vNet homologue avec Hub, application enregistrée pour l’automatisation, etc.)
  • Accédez au service Citrix SD-WAN Orchestrator en tant que service hébergé dans le cloud. Assurez-vous d’utiliser un compte Citrix Cloud qui a subi le processus d’intégration approprié, sinon l’authentification échoue.
  • Assurez-vous que l’abonnement Azure n’est pas déjà utilisé avec une autre configuration de service Citrix SD-WAN Orchestrator.
  • Vous avez déjà déployé des nœuds MCN et SD-WAN de succursale et confirmez Virtual Path sur les types de liaison WAN Internet. Le service Citrix SD-WAN Orchestrator active automatiquement le service Intranet tout au long du processus de configuration.
  • Assurez-vous que les nœuds SD-WAN de la succursale sont configurés pour apprendre automatiquement l’adresse IP publique de la liaison Internet WAN.

Effectuez les opérations suivantes pour terminer la configuration d’Azure Virtual WAN et établir les tunnels IPSec avec des périphériques SD-WAN :

  1. Sur le service Citrix SD-WAN Orchestrator, au niveau du client, accédez à Delivery Channels > Bandwidth Allocation. Allouez un pourcentage de bande passante pour le service de distribution WAN virtuel Azure (par exemple, 20%). Vous devrez peut-être soustraire le pourcentage alloué de l’un des autres services de mise à disposition (par exemple, Chemin virtuel), de sorte que le total des pourcentages alloués soit égal à 100.

    Service WAN virtuel Azure

    Remarque

    Fournissez la bande passante d’abonnement (en %) pour le service Azure Virtual WAN. Vous pouvez réserver la bande passante de l’abonnement à la fois au niveau global (Tous les sites > Configuration > Canaux de distribution > Allocation de bande passante) et au niveaudu site (Site > Configuration du site > Liens WAN > Services).

    En option, on peut également allouer une bande passante différente pour différents sites. Pour cela, effectuez une configuration spécifique au lien pour le site sélectionné. Pour ce faire, sélectionnez le site approprié > onglet Liens WAN > section Services . Vous pouvez remplacer l’allocation globale de bande passante en sélectionnant Lien spécifique pour les paramètres de bande passante du service et en allouant la bande passante souhaitée.

    Paramètres de bande passante du service

  2. Au niveau du client, accédez à Configuration > Canaux de livraison. Dans la section SaaS et services Cloud On-Ramp, cliquez sur la vignette Azure Virtual WAN . La page Azure Virtual WAN s’affiche.

    Vous pouvez également accéder à la page Azure Virtual WAN depuis Configuration > SaaS et Cloud On Ramp > Azure Virtual WAN.

    Paramètres du service WAN virtuel Azure

  3. Dans le coin supérieur droit de la page Azure Virtual WAN, cliquez sur le lien Authentification .

  4. Fournissez l’ ID d’abonnement Azure, l’ID client, le secret client et l’ identifiant du locataire capturés précédemment lors de la création du service principal Azure. Si les informations d’identification ne sont pas correctes, l’authentification échoue et aucune action supplémentaire n’est autorisée. Cliquez sur Enregistrer.

    Service WAN virtuel Azure

    Une fois l’authentification réussie, vous devez associer un site de succursale aux ressources Azure Virtual WAN pour établir des tunnels IPSec. Une succursale peut être connectée à plusieurs Hubs au sein d’une ressource Azure Virtual WAN et une ressource Azure Virtual WAN peut être connectée à plusieurs sites de succursales.

    Remarque

    Vous pouvez effacer les paramètres d’authentification en cliquant sur le lien Effacer l’authentification . Assurez-vous de supprimer les mappages de sites avant de supprimer l’authentification.

  5. Une fois l’authentification Azure réussie, cliquez sur Ajouter des sites pour ajouter un site.

    Azure WAN virtuel ajoute un site

    Remarque

    L’option Ajouter des sites est désactivée si vous n’avez pas réservé la bande passante de l’abonnement.

  6. Fournissez les détails suivants :

    • Filtrer par région/groupes personnalisés — Vous pouvez sélectionner toutes les régions ou certains groupes.

    • Sélectionnez les sites  : vous pouvez sélectionner tous les sites ou certains sites que vous souhaitez cartographier.

    Sélecteur de site WAN virtuel Azure

    • Azure Virtual WAN  : sélectionnez le Azure Virtual WAN dans la liste déroulante associée à l’abonnement. Le même site ne peut pas être connecté à plusieurs réseaux locaux.

    • Azure Hubs  : sélectionnez les hubs Azure. Seuls les réseaux locaux virtuels Azure avec des concentrateurs virtuels Azure sont répertoriés pour le mappage. Vous pouvez ajouter plusieurs concentrateurs connectés au même site.

      Remarque

      Le champ Azure Virtual WAN répertorie les WAN virtuels pour lesquels un hub correspondant a déjà été créé.

    IP interne ALB — L’entrée IP d’Azure Load Balancer (ALB) est requise si le site en question est un Azure VPX déployé en mode haute disponibilité (HA). Sinon, ce champ est facultatif.

  7. Cliquez sur Enregistrer

  8. Une fois le site déployé, vous pouvez voir les informations suivantes :

    Détails du site WAN virtuel Azure

Le schéma suivant décrit le flux de travail de haut niveau du service Citrix SD-WAN Orchestrator et de la connexion Azure Virtual WAN.

Flux de travail WAN virtuel

  • Info  : affiche les détails et l’état de la configuration du tunnel Azure Virtual WAN.
  • Nom du site — Affiche le nom du site déployé.
  • Réseau étendu virtuel  : affiche le Azure Virtual WAN avec lequel le site correspondant est mappé.
  • Hubs  : affiche le nombre de hubs.
  • État — Affiche les différents états de déploiement avec le message d’achèvement. Si le site est provisionné correctement, seuls les tunnels IPSec peuvent être créés.
  • Action — Vous pouvez modifier ou supprimer le site configuré.

Informations sur le site déployé virtuel Azure

Informations sur le site déployé virtuel Azure

Le mappage des sites Citrix SD-WAN vers des concentrateurs WAN virtuels Azure peut prendre un certain temps, car cela implique le téléchargement de la configuration IPSec à partir d’Azure. L’état du mappage des branches indique Configuration téléchargée après le téléchargement de la configuration de branche. Il est recommandé d’actualiser l’état du site avant d’activer la configuration pour voir l’état mis à jour.

Une fois le site approvisionné avec succès, vous devez exécuter les processus Verify, Stage et Active pour créer les tunnels IPsec.

Le WAN virtuel Azure vérifie la configuration

Après l’activation, vous pouvez voir l’état des tunnels pour chaque site en accédant à Tous les sites > Rapports > Temps réel > Statistiques > Tunnel IPsec, sélectionnez le site souhaité, puis cliquez sur Récupérer les dernières données. Si la configuration n’est pas activée, les informations sur les tunnels ne seront pas disponibles. Deux tunnels sont créés à des fins de redondance.

Récupérer les données les plus récentes

Vous pouvez également voir les itinéraires vers Azure Virtual WAN pour chaque site en accédant à Tous les sites > Rapports > Temps réel > Statistiques > Itinéraires, sélectionnez le site souhaité, puis cliquez sur Récupérer les dernières données.

Récupérer les dernières donnéesa1

Lors de la configuration initiale d’Azure Virtual WAN, le réseau virtuel 10.0.1.0/24 est associé, et cette route a été apprise par le SD-WAN local et entrée dans la table de routage avec AzureVWANService comme type de service de livraison. Le type indiquant Dynamique et le Protocole indiquant BGP peuvent être déterminés que l’itinéraire a été appris dynamiquement via BGP.

Dans le portail Azure, les sites VPN déployés avec succès peuvent être surveillés dans le concentrateur WAN virtuel Azure. En outre, vous trouverez l’espace d’adressage associé au Hub qui a été appris par le périphérique SD-WAN local.

Site VPN Azure

La sélection de l’un des sites VPN connectés fournit des détails sur le SD-WAN connecté. Y compris l’adresse IP publique/le nom de domaine complet qui met fin au tunnel IPsec, l’espace d’adressage IP privé et l’adresse BGP qui serait l’adresse VIP de l’interface WAN du SD-WAN, et plus important encore, la vitesse et l’état de connectivité au hub.

État de connectivité

Dans Azure, des connexions réseau virtuelles peuvent être ajoutées pour rendre les ressources disponibles dans Azure en connectant des réseaux virtuels. Pour terminer cette configuration, effectuez les opérations suivantes :

  1. Dans le portail Azure, sélectionnez la ressource WAN virtuel.
  2. Sous Connectivité, accédez à Connexions réseau virtuelles.
  3. Cliquez sur + Ajouter une connexion.

    Connexion réseau virtuel

  4. Pour ajouter une connexion, spécifiez des valeurs pour les champs suivants :

    • Nom de la connexion — Entrez le nom de la nouvelle connexion.
    • Hubs  : sélectionnez l’un des hubs disponibles dans la liste déroulante.
    • Abonnement  : sélectionnez l’un des abonnements disponibles dans la liste déroulante.
    • Groupe de ressources — Sélectionnez le groupe de ressources dans la liste déroulante où la ressource Virtual WAN est déployée.
    • Réseau virtuel  : sélectionnez l’un des réseaux virtuels disponibles dans la liste déroulante.

    Azure ajoute une connexion

  5. Cliquez sur Créer.

    La connexion réseau virtuelle crée

Avec le nouveau réseau virtuel apairé au Hub, les périphériques SD-WAN locaux apprennent dynamiquement la nouvelle route via BGP. Pour récupérer la dernière table de routage du périphérique SD-WAN dans le service Citrix SD-WAN Orchestrator, accédez à Tous les sites > Rapports > Temps réel > Statistiques > Routes. Sélectionnez le site souhaité et cliquez sur Récupérer les dernières données.

Statistiques WAN virtuel Azure

Les sites VPN déployés Citrix SD-WAN peuvent accéder aux ressources déployées dans des réseaux virtuels homologués aux concentrateurs WAN virtuels Azure via les étapes de configuration mentionnées précédemment.