Services de mise à disposition

Les services de livraison vous permettent de configurer des services de livraison tels que Internet, Intranet, IPSec et LAN GRE. Les services de livraison sont définis globalement et appliqués aux liaisons WAN sur des sites individuels, le cas échéant.

Chaque liaison WAN peut appliquer la totalité ou un sous-ensemble des services concernés et configurer des parts relatives de bande passante ( %) entre tous les services de distribution.

Le service Virtual Path est disponible sur tous les liens par défaut. Les autres services peuvent être ajoutés au besoin.

Les services de livraison sont des mécanismes de livraison disponibles sur Citrix SD-WAN pour diriger différentes applications ou profils de trafic à l’aide des bonnes méthodes de livraison basées sur l’intention de l’entreprise.

Les services de prestation peuvent être classés de façon générale comme suit :

  • Service de chemin virtuel : tunnel SD-WAN superposé à double extrémité qui offre une connectivité sécurisée, fiable et de haute qualité entre deux sites hébergeant des appliances SD-WAN ou des instances virtuelles.

  • Service Internet : Canal direct entre un site SD-WAN et Internet public, sans encapsulation SD-WAN. Citrix SD-WAN prend en charge la fonction d’équilibrage de charge de session pour le trafic relié à Internet sur plusieurs liens Internet.

  • Service Cloud Direct : service cloud qui fournit des fonctionnalités SD-WAN pour tout le trafic relié à Internet, quel que soit l’environnement hôte.

  • Service Intranet : Connectivité basée sur une liaison sous-couche à partir d’un site SD-WAN à n’importe quel site non-SD-WAN.

    Le trafic est non encapsulé ou peut utiliser n’importe quelle encapsulation de chemin non virtuel telle que IPSec, GRE. Vous pouvez configurer plusieurs services Intranet.

Service et bande passante

Sous l’onglet Service et bande passante, vous pouvez afficher un service Internet est créé par défaut. Le trafic des succursales utilise les sites de transport en commun pour accéder à Internet. Cette section vous permet de définir de nouveaux services de distribution et la proportion d’allocation de bande passante par défaut ( %) pour tous les services de livraison. Les besoins en matière d’allocation de bande passante entre les services de prestation peuvent varier en fonction du type de liaison concerné.

Par exemple, si vous utilisez plusieurs applications SaaS, allouez une grande partie de la bande passante sur vos liens Internet pour le service Internet pour le service Internet direct. Sur vos liens MPLS, allouez plus de bande passante au service de chemin virtuel ou au service Intranet selon que vos sites SD-WAN contiennent la majeure partie du trafic vers d’autres sites SD-WAN ou non SD-WAN.

En fonction de vos besoins, vous pouvez définir les valeurs par défaut globales de partage de bande passante entre les services de distribution pour chaque type de liaison : liens Internet, liens MPLS et liens Intranet privé.

Détails de la bande passante de configuration de service

Les valeurs par défaut peuvent être remplacées sur des liens individuels. Lors de la configuration des liaisons WAN, vous pouvez choisir d’utiliser ces paramètres globaux par défaut ou de configurer des paramètres de bande passante de service spécifiques à la liaison. La configuration d’un partage de bande passante non nulle est requise pour que tout service de livraison soit activé et actif sur une liaison.

Service direct dans le cloud

Le service Cloud Direct fournit des fonctionnalités SD-WAN en tant que service cloud grâce à une livraison fiable et sécurisée pour tout le trafic relié à Internet, quel que soit l’environnement hôte (datacenter, cloud et Internet).

Service Cloud Direct :

  • Améliore la visibilité et la gestion du réseau.
  • Permet aux partenaires d’offrir à leurs clients finaux des services SD-WAN gérés pour les applications SaaS stratégiques.

Avantages

Le service Cloud direct offre les avantages suivants :

  • Redondance : utilise plusieurs liens WAN Internet et offre un basculement fluide.
  • Agrégation de liens : Utilise toutes les liaisons WAN Internet en même temps.
  • Équilibrage intelligent de la charge entre les connexions WAN de différents fournisseurs :
    • Mesure de la perte de paquets, de la gigue et du débit.
    • Identification de l’application personnalisée.
    • Exigences des applications et correspondance des performances des circuits (s’adapter aux conditions du réseau en temps réel).
  • Qualité de service dynamique de qualité de service de niveau SLA Capacité au circuit Internet :
    • S’adapte dynamiquement à un débit de circuit variable.
    • Adaptation à travers un tunnel aux extrémités d’entrée et de sortie.
  • Réacheminement des appels VOIP entre les circuits sans laisser tomber l’appel.
  • Surveillance et visibilité de bout en bout.

Pour configurer des sites pour Cloud Direct Service, à partir du niveau client, accédez à Configuration > Services de distribution > Service et bande passante, puis cliquez sur l’icône de réglage en regard du service Cloud Direct.

Service direct dans le cloud

Cliquez sur + Cloud Direct Service pour ajouter des sites. Pour diriger des applications spécifiques via le cloud direct, vous pouvez ajouter les applications pertinentes à partir du lien Default Cloud Direct App Group.

Site de service direct Cloud

Vous pouvez choisir la Région et sélectionner les sites en conséquence.

Région de service direct Cloud

Cliquez sur Réviser pour afficher les sites que vous avez sélectionnés, puis cliquez sur Enregistrer.

Vous pouvez afficher que le site est créé avec les détails suivants :

  • État du site : indique si le site est déployé ou non. S’il est déployé, l’état indique si le site Cloud Direct est en ligne ou non.
  • Nom du site : affiche le nom du site pour lequel la fonctionnalité Cloud Direct est déployée.
  • Plateforme : pour le site sélectionné, le nom du modèle d’appliance correspondant est automatiquement renseigné et affiché ici, par exemple — 210-SE.
  • Statut de facturation : Affiche le statut de facturation.
  • Bande passante Cloud Direct sous licence (Mbps) : affiche les informations sur la bande passante d’abonnement Cloud Direct. La bande passante de l’abonnement est associée à la licence pour le service Cloud Direct.
  • Nombre de liens activés : affiche le nombre de liens WAN activés pour ce service.
  • Actions : Vous pouvez choisir de supprimer la configuration de site Cloud Direct créée pour cette appliance SD-WAN ou d’afficher les détails de la configuration du site Cloud Direct et de la liaison WAN en mode lecture seule.

Informations sur le site direct sur le cloud

Cliquez sur l’entrée du site et vous pouvez modifier la bande passante de l’abonnement et apporter des modifications au lien WAN sélectionné pour ce service. Vous pouvez également modifier les vitesses d’entrée (téléchargement) et de sortie (téléchargement) pour le service Cloud Direct sur chacune des liaisons WAN sélectionnées.

Remarque

  • Par défaut, il choisit les quatre premiers liens WAN Internet.
  • La vitesse d’entrée directe dans le Cloud (téléchargement) et de sortie (téléchargement) ne doit pas être supérieure à la valeur de bande passante de l’abonnement.

Mise à jour directe des sites cloud

Vous pouvez créer des objets d’application pour des itinéraires basés sur des applications. Créez la route de l’application en incluant les applications correspondantes, qui doivent être diriées via le service Cloud Direct. Pour plus d’informations, consultez Stratégies de routage.

Il existe d’autres paramètres disponibles pour les services Internet et Intranet, qui peuvent être personnalisés à l’aide de l’icône de paramètres affichée sur chaque service.

Paramètres du service de livraison

Cliquez sur + Service et sélectionnez un type de service. En fonction du service de livraison complémentaire que vous souhaitez créer, choisissez le type de service requis et procédez à la configuration.

Service Internet

Le service Internet est disponible par défaut dans le cadre des services de livraison. Vous pouvez configurer le coût de l’itinéraire du service Internet par rapport à d’autres services de livraison. Vous pouvez également conserver l’itinéraire vers Internet à partir du lien même si tous les chemins associés sont en panne.

Service Internet

Service Intranet

Vous pouvez créer plusieurs services intranet. Une fois le service intranet créé au niveau global, vous pouvez le référencer au niveau WAN Link. Fournissez un nom de service, sélectionnez le domaine de routage et la zone de pare-feu souhaités. Ajoutez toutes les adresses IP intranet sur le réseau, que d’autres sites du réseau peuvent interagir. Vous pouvez également conserver l’itinéraire vers l’intranet à partir du lien même si tous les chemins associés sont en panne.

Configurer le service intranet

Service GRE

Vous pouvez configurer les appliances SD-WAN pour mettre fin aux tunnels GRE sur le réseau local.

GRE

Détails du GRE

  • Type de service : sélectionnez le service utilisé par le tunnel GRE.
  • Nom : Nom du service LAN GRE.
  • Domaine de routage : domaine de routage pour le tunnel GRE.
  • Zone de pare-feu : zone de pare-feu choisie pour le tunnel. Par défaut, le tunnel est placé dans Default_LAN_Zone.
  • MTU : Unité de transmission maximale — taille du plus grand datagramme IP pouvant être transféré via un lien spécifique. La gamme est de 576 à 1500. La valeur par défaut est 1500.
  • Keep alive : la période entre l’envoi de messages « Keep alive ». S’il est configuré sur 0, aucun paquet « keep alive » n’est envoyé, mais le tunnel reste en place.
  • Retentatives Keep alive : nombre de fois que l’appliance Citrix SD-WAN envoie des paquets de conservation de connexion active sans réponse avant qu’il ne désactive le tunnel.
  • Somme de contrôle : activez ou désactivez la somme de contrôle pour l’en-tête GRE du tunnel.

Liaisons de site

  • Nom du site : Site pour cartographier le tunnel GRE.
  • IP source : adresse IP source du tunnel. Il s’agit de l’une des interfaces virtuelles configurées sur ce site. Le domaine de routage sélectionné détermine les adresses IP source disponibles.
  • IP Source publique : IP source si le trafic tunnel passe par NAT.
  • IP de destination : adresse IP de destination du tunnel.
  • IP/préfixe du tunnel : l’adresse IP et le préfixe du tunnel GRE.
  • IP de passerelle de tunnel : Adresse IP de saut suivante pour acheminer le trafic du tunnel.
  • IP de passerelle LAN : Adresse IP de saut suivante pour acheminer le trafic LAN.

Service Zscaler

Zscaler Cloud Security Platform fournit une série de publications de vérification de sécurité dans plus de 100 centres de données à travers le monde. En redirigeant simplement le trafic Internet vers le service Zscaler, vous pouvez immédiatement sécuriser vos magasins, succursales et emplacements distants.

Citrix SD-WAN Orchestrator fournit l’authentification des partenaires à Zscaler Cloud. Pour vous authentifier, cliquez sur l’icône Paramètres en regard de Zscaler répertoriée sous la colonne Services de livraison.

Paramètres de Zscaler

  • Entrez votre nom d’utilisateur et votre mot de passe.

  • Nom du cloud : nom de cloud disponible dans l’URL utilisée par les administrateurs pour se connecter au service Zscaler. Dans l’exemple suivant, help.zscaler.com est l’URL et ZScaler.com est le nom Cloud.

    Nom du cloud

    Pour optimiser l’efficacité opérationnelle, Zscaler a construit une infrastructure multi-cloud mondiale avec une grande évolutivité. Une organisation a accès à un cloud Zscaler particulier pour se connecter à son portail d’administration. Et le même cloud Zscaler est responsable du traitement du trafic initié à partir de cette organisation.

  • Clé API : clé d’intégration de partenaire Citrix SD-WAN.

Zscaler

Cliquez sur +Site pour ajouter un site pour le service Zscaler. Un tunnel IPSec est établi entre le site SD-WAN et les nœuds Zscaler Enforcement (ZenS) dans le réseau cloud de Zscaler. Les ZENs inspectent le trafic de manière bidirectionnelle et appliquent des stratégies de sécurité et de conformité.

  • Sélection automatique de pop : Lorsque cette option est sélectionnée, le SD-Orchestrator sélectionne automatiquement le ZEN principal et secondaire le plus proche de votre site en fonction de la recherche géographique des adresses IP des liens WAN. Lorsque cette option est désactivée, sélectionnez les ZENs manuellement.

  • Région Zscaler primaire : Région à laquelle appartient le ZEN primaire.

  • Primaire Zscaler Pop : Le ZEN primaire.

  • Région Zscaler secondaire : Région à laquelle appartient le ZEN secondaire.

  • Zscaler secondaire Pop : Le ZEN secondaire.

  • Sélectionnez les régions et les sites.

Zscaler

Vérifiez et enregistrez la configuration. Après avoir ajouté le site avec succès, vérifiez, préparez et activez la configuration. Les tunnels IPSec sont déployés après l’activation réussie de la configuration. L’icône info fournit les détails de la configuration et de l’état du tunnel Zscaler. En cas d’échec de connexion au réseau Zscaler/ajout d’un site, cliquez sur Actualiser pour réessayer la connectivité.

Allouez la bande passante pour le service Zscaler. La configuration Wan-Link spécifique au lien pour le service Zscaler vous permet de spécifier une allocation de bande passante différente de l’allocation globale.

Vous pouvez modifier ou supprimer une configuration Zscaler spécifique à un site à l’aide de la colonne Actions. Pour supprimer tous les sites configurés par Zscaler simultanément, cliquez sur Supprimer tout.

Zscaler

Service IPSec

Les appliances Citrix SD-WAN peuvent négocier des tunnels IPsec fixes avec des homologues tiers du côté LAN ou WAN. Vous pouvez définir les points d’extrémité du tunnel et mapper les sites aux points d’extrémité du tunnel.

Vous pouvez également sélectionner et appliquer un profil de sécurité IPSec qui définit le protocole de sécurité et les paramètres IPSec.

Pour configurer un tunnel IPSec :

  1. Spécifiez les détails du service.
  • Nom du service : nom du service IPSec.
  • Type de service : Sélectionnez le service utilisé par le tunnel IPSec.
  • Domaine de routage : pour les tunnels IPSec sur LAN, sélectionnez un domaine de routage. Si le tunnel IPsec utilise un service intranet, le service intranet détermine le domaine de routage.
  • Zone de pare-feu : Zone de pare-feu pour le tunnel. Par défaut, le tunnel est placé dans Default_LAN_Zone.
  1. Ajoutez le point de terminaison du tunnel.
  • Nom : lorsque le type de service est Intranet, choisissez un service Intranet protégé par le tunnel. Sinon, entrez un nom pour le service.
  • IP homologue : adresse IP de l’homologue distant.
  • Profil IPsec : profil de sécurité IPsec qui définit le protocole de sécurité et les paramètres IPsec.
  • Clé pré-partagée : clé pré-partagée utilisée pour l’authentification IKE.
  • Clé pré-partagée homologue : clé pré-partagée utilisée pour l’authentification IKEV2.
  • Données d’identité : Données à utiliser en tant qu’identité locale, lors de l’utilisation de l’identité manuelle ou du nom de domaine complet de l’utilisateur.
  • Données d’identité homologue : Données à utiliser comme identité homologue, lors de l’utilisation de l’identité manuelle ou du type de nom de domaine complet utilisateur.
  • Certificat : Si vous choisissez Certificat comme authentification IKE, choisissez parmi les certificats configurés.
  1. Mapper les sites aux points d’extrémité du tunnel.
  • Choisissez Endpoint : Point de terminaison à mapper sur un site.
  • Nom du site : Site à mapper au point de terminaison.
  • Nom de l’interface virtuelle : interface virtuelle sur le site à utiliser comme point de terminaison.
  • IP locale : adresse IP virtuelle locale à utiliser comme point de terminaison du tunnel local.
  • IP de passerelle : Adresse IP de saut suivant.
  1. Créez le réseau protégé.
  • IP/préfixe du réseau source : adresse IP source et préfixe du trafic réseau que le tunnel IPsec protège.
  • IP/préfixe réseau de destination : adresse IP de destination et préfixe du trafic réseau que le tunnel IPsec protège.
  1. Assurez-vous que les configurations IPSec sont mises en miroir sur l’appliance homologue.

Service IPSec

Pour plus d’informations, voir Comment configurer les tunnels IPSec pour les chemins virtuels et dynamiques.

Paramètres du chemin virtuel dynamique

Les paramètres de chemin virtuel dynamique global permettent aux administrateurs de configurer les valeurs par défaut des chemins virtuels dynamiques sur l’ensemble du réseau.

Un chemin virtuel dynamique est instancié dynamiquement entre deux sites pour permettre une communication directe, sans sauts de noeuds SD-WAN intermédiaires. De même, la connexion de chemin virtuel dynamique est également supprimée dynamiquement. La création et la suppression de chemins virtuels dynamiques sont déclenchées en fonction des seuils de bande passante et des paramètres de temps.

Paramétrage du chemin virtuel dynamique

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Voici quelques-uns des paramètres pris en charge :

  • Provisionnement pour activer ou désactiver les chemins virtuels dynamiques sur le réseau
  • Le coût de l’itinéraire pour les chemins virtuels dynamiques
  • Profil QoS à utiliser — Standard par défaut.
  • Critères de création de chemins virtuels dynamiques :

    • Intervalle de mesure (secondes) : durée pendant laquelle le nombre de paquets et la bande passante sont mesurés pour déterminer si le chemin virtuel dynamique doit être créé entre deux sites — dans ce cas, entre unesuccursale donnée et le nœud de contrôle.
    • Seuil de débit (kbit/s) : seuil de débit total entre deux sites, mesuré sur l’intervalle de mesure, auquel le chemin virtuel dynamique est déclenché. Dans ce cas, le seuil s’applique au nœud de contrôle.
    • Seuil de débit (pps) : seuil de débit total entre deux sites, mesuré sur l’intervalle de mesure, auquel le chemin virtuel dynamique est déclenché.
  • Critères de suppression de chemin virtuel dynamique :

    • Intervalle de mesure (minutes) : durée pendant laquelle le nombre de paquets et la bande passante sont mesurés pour déterminer si un chemin virtuel dynamique doit être supprimé entre deux sites — dans ce cas, entre une succursale donnée et le nœud de contrôle.
    • Seuil de débit (kbit/s) - Seuil de débit total entre deux sites, mesuré sur l’intervalle de mesure, auquel le chemin virtuel dynamique est supprimé.
    • Seuil de débit (pps) : seuil de débit total entre deux sites, mesuré sur l’intervalle de mesure, auquel le chemin virtuel dynamique est supprimé.
  • Minuteries

    • Temps d’attente pour vider les chemins virtuels morts (m) : Temps après lequel un chemin virtuel dynamique DEAD est supprimé.
    • Temps d’attente avant la recréation des chemins virtuels morts (m) : Temps après lequel un chemin virtuel dynamique supprimé pour être DEAD peut être recréé.

Profils de chiffrement IPsec

Pour ajouter un profil de chiffrement IPsec, accédez à Configuration > Services de distribution > sélectionnez Profils de chiffrement IPsec.

Navigation de chiffrement IPsec

IPsec fournit des tunnels sécurisés. Citrix SD-WAN prend en charge les chemins virtuels IPsec, ce qui permet aux périphériques tiers de terminer les tunnels VPN IPsec du côté LAN ou WAN d’une appliance Citrix SD-WAN. Vous pouvez sécuriser les tunnels IPSec de site à site se terminant sur une appliance SD-WAN à l’aide d’un binaire cryptographique IPsec certifié FIPS 140-2 Niveau 1.

Citrix SD-WAN prend également en charge le tunnel IPsec résilient à l’aide d’un mécanisme de tunnel de chemin virtuel différencié.

Les profils IPSec sont utilisés lors de la configuration des services IPSec en tant qu’ensembles de services de livraison. Dans la page Profil de sécurité IPsec, entrez les valeurs requises pour le profil de chiffrement IPSec, les paramètres IKE et les paramètres IPSec suivants.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Informations sur le profil de chiffrement IPsec

  • Nom du profil : Indiquez un nom de profil.
  • MTU : Entrez la taille maximale des paquets IKE ou IPsec en octets.
  • Keep Alive : activez la case à cocher pour maintenir le tunnel actif et activer l’éligibilité de l’itinéraire.
  • Version IKE : sélectionnez une version du protocole IKE dans la liste déroulante.

    Informations de chiffrement prof IPSec

Paramètres IKE

  • Mode : sélectionnez Mode principal ou Mode agressif dans la liste déroulante pour le mode de négociation IKE Phase 1.
    • Principal : Aucune information n’est exposée aux attaquants potentiels pendant la négociation, mais elle est plus lente que le mode agressif. Le mode principal est conforme à la norme FIPS.
    • Agressif : Certaines informations (par exemple, l’identité des pairs de négociation) sont exposées à des attaquants potentiels pendant la négociation, mais sont plus rapides que le mode principal. Le mode agressif n’est pas conforme à la norme FIPS.
  • Authentification : choisissez le type d’authentification comme Certificat ou Clé pré-partagée dans le menu déroulant.
  • Identité : sélectionnez la méthode d’identité dans la liste déroulante.
  • Identité homologue : sélectionnez la méthode d’identité homologue dans la liste déroulante.
  • Groupe DH : sélectionnez le groupe Diffie-Hellman (DH) disponible pour la génération de clés IKE.
  • Algorithme de hachage : choisissez un algorithme de hachage dans la liste déroulante pour authentifier les messages IKE.
  • Mode de chiffrement : choisissez le mode de chiffrement des messages IKE dans la liste déroulante.
  • Durée de vie (s) : Entrez la durée préférée (en secondes) pour qu’une association de sécurité IKE existe.
  • Durée de vie (s) Max : Entrez la durée maximale préférée (en secondes) pour permettre à une association de sécurité IKE d’exister.
  • Délai DPDD (s) : Entrez le délai d’expiration de détection des pairs morts (en secondes) pour les connexions VPN.

    Paramètres Ike

Paramètres IPSec

  • Type de tunnel : Choisissez ESP, ESP+Auth, ESP+NULLou AH comme type d’encapsulation de tunnel dans la liste déroulante. Celles-ci sont regroupées dans des catégories conformes à la norme FIPS et non conformes au FIPS.

    • ESP : crypte les données utilisateur uniquement
    • ESP+Auth : crypte les données utilisateur et inclut un HMAC
    • ESP+NULL : Les paquets sont authentifiés mais non chiffrés
    • AH : Comprend uniquement un HMAC
  • Groupe PFS : Choisissez le groupe Diffie-Hellman à utiliser pour une génération parfaite de clés de secret dans le menu déroulant.
  • Mode de chiffrement : choisissez le mode de chiffrement des messages IPsec dans le menu déroulant.
  • Algorithme de hachage : les algorithmes de hachage MD5, SHA1 et SHA-256 sont disponibles pour la vérification HMAC.
  • Incompatibilité réseau : choisissez une action à entreprendre si un paquet ne correspond pas aux réseaux protégés du tunnel IPSec dans le menu déroulant.
  • Durée de vie : Entrez la durée (en secondes) d’existence d’une association de sécurité IPsec.
  • Durée de vie (s) maximale (s) : Entrez la durée maximale (en secondes) pour permettre l’existence d’une association de sécurité IPsec.
  • Durée de vie (Ko) : entrez la quantité de données (en kilo-octets) pour qu’une association de sécurité IPsec existe.
  • Durée de vie (Ko) Max : Entrez la quantité maximale de données (en kilo-octets) pour permettre l’existence d’une association de sécurité IPsec.

    Paramètres IPSec

Services de mise à disposition