Routage

La section Routage propose les options suivantes :

  • Règles de routage
  • Domaines de routage
  • Importer des profils d’itinéraire
  • Exporter les profils d’itinéraire
  • nœuds de transit

Règles de routage

Les stratégies de routage aident à activer la direction du trafic. En fonction de la sélection (Itinéraires d’application et routes IP), vous pouvez utiliser différentes façons de diriger le trafic.

Stratégie de routage

Itinéraires d’application

Cliquez sur + Route d’application pour créer un itinéraire d’application.

  • Critères de correspondance d’applications personnalisées :

    • Type de correspondance : sélectionnez le type de correspondance en tant qu’ application/application personnalisée/groupe d’applications dans la liste déroulante.
    • Application : Choisissez une application dans la liste.
    • Domaine de routage : sélectionnez un domaine de routage.
  • Étendue : Vous pouvez étendre la route de l’application au niveau global ou au niveau spécifique du site et du groupe.

  • Direction de la circulation ;
    • Service de livraison : Choisissez un service de livraison dans la liste.
    • Coût : reflète la priorité relative de chaque itinéraire. Réduisez le coût, plus la priorité.
  • Admissibilité en fonction du chemin :
    • Ajouter un chemin : Choisissez un site et des liens WAN. Si le chemin choisi descend, la route de l’application ne reçoit aucun trafic.

Route de l'application

Si une nouvelle route d’application est ajoutée, le coût de l’itinéraire doit se situer dans la plage suivante :

  • Application personnalisée : 1—20
  • Application : 21—40
  • Groupe d’application : 41—60

Optimisation Office 365

Les fonctionnalités d’optimisation Office 365 respectent les principes de connectivité réseau Microsoft Office 365, afin d’optimiser Office 365. Office 365 est fourni en tant que service via plusieurs points de terminaison de service (portes d’entrée) situés dans le monde entier.

Pour obtenir une expérience utilisateur optimale pour le trafic Office 365, Microsoft recommande de rediriger le trafic Office365 directement vers Internet à partir d’environnements de succursales et d’éviter des pratiques telles que le backhauling vers un proxy central. Cela est dû au fait que le trafic Office 365, tel qu’Outlook, Word, sont sensibles à la latence et le trafic de retour introduit plus de latence, ce qui entraîne une mauvaise expérience utilisateur. Citrix SD-WAN vous permet de configurer des stratégies pour ventiler le trafic Office 365 vers Internet. Pour plus d’informations, consultez Optimisation Office 365.

Dans SD-WAN Orchestrator, par défaut, chaque réseau possède la règle Office 365 sous Groupe d’applications. Pour naviguer, accédez à Configuration réseau > Routage > Stratégies de routage > Itinéraires des applications.

O365

Vous ne pouvez pas supprimer la règle, mais vous pouvez configurer les paramètres selon vos besoins.

Détail de l'O365

Cliquez sur la règle Office 365 pour afficher les paramètres par défaut Type de correspondance, Groupe d’applications, Service de mise à disposition, etc. Vous ne pouvez pas modifier ces paramètres par défaut.

Les points de terminaison Office 365 sont un ensemble d’adresses réseau et de sous-réseaux. Les points de terminaison sont répartis dans les trois catégories suivantes :

  • Optimisation : ces points de terminaison fournissent une connectivité à tous les services et fonctionnalités Office 365, et sont sensibles à la disponibilité, aux performances et à la latence. Il représente plus de 75 % de la bande passante, des connexions et du volume de données Office 365. Tous les points de terminaison Optimize sont hébergés dans les centres de données Microsoft. Les demandes de service à ces terminaux doivent être envoyées de la succursale vers Internet et ne doivent pas passer par le centre de données.

  • Autoriser - Ces points de terminaison fournissent une connectivité à des services et fonctionnalités Office 365 spécifiques uniquement, et ne sont pas aussi sensibles aux performances et à la latence du réseau. La représentation de la bande passante et du nombre de connexions Office 365 est également plus faible. Ces points de terminaison sont hébergés dans les centres de données Microsoft. Les demandes de service à ces terminaux peuvent être extraites de la succursale vers Internet ou passer par le centre de données.

  • Par défaut - Ces points de terminaison fournissent des services Office 365 qui ne nécessitent aucune optimisation et peuvent être traités comme du trafic Internet normal. Certains de ces points de terminaison peuvent ne pas être hébergés dans les centres de données Microsoft. Le trafic de cette catégorie n’est pas sensible aux variations de latence. Par conséquent, la rupture directe de ce type de trafic ne provoque aucune amélioration des performances par rapport à la panne Internet. En outre, le trafic dans cette catégorie peut ne pas toujours être du trafic Office 365, il est donc recommandé de désactiver cette option lors de l’activation de la répartition Office 365 dans votre réseau.

    REMARQUE

    Par défaut, les options Optimiser, Autoriser et Par défaut sont désactivées. Vous ne pouvez pas supprimer ces paramètres, mais vous pouvez les activer si nécessaire.

  • Activer le service Beacon - Citrix SD-WAN vous permet d’effectuer une sonde de balise et détermine la latence pour atteindre les points de terminaison Office 365 via chaque liaison WAN. Les services Office 365 Beacon sont activés par défaut. Vous pouvez le désactiver en désactivant cette option. Pour plus d’informations, consultez le service Office 365 Beacon.

    Vous pouvez afficher les rapports de disponibilité et de latence de sonde de balise au niveau du réseau et du site.

Routes IP

Accédez à l’onglet Itinéraires IP et cliquez sur + IP Route to IP Route policy pour diriger le trafic.

Route IP

  • Critères de correspondance du protocole IP :

    • Réseau de destination : ajoutez le réseau de destination qui aide à transférer les paquets.
    • Utiliser un groupe IP : Vous pouvez ajouter un réseau de destination ou activer la case à cocher Utiliser le groupe IP pour sélectionner n’importe quel groupe IP dans la liste déroulante.
    • Domaine de routage : sélectionnez un domaine de routage dans la liste déroulante.
  • Portée : Vous pouvez étendre la route IP au niveau global ou au niveau spécifique du site et du groupe.

  • Direction de la circulation :
    • Service de livraison : Choisissez un service de livraison dans la liste déroulante.
    • Coût : reflète la priorité relative de chaque itinéraire. Réduisez le coût, plus la priorité.

    Si une nouvelle route IP est ajoutée, le coût de l’itinéraire doit être compris entre 1 et 20.

  • Critères d’admissibilité :
    • Exporter l’itinéraire : si la case à cocher Exporter l’itinéraire est activée et si l’itinéraire est un itinéraire local, l’itinéraire peut être exporté par défaut. Si l’itinéraire est un itinéraire basé sur INTRANET/INTERNET, alors pour que l’exportation fonctionne, le transfert WAN vers WAN doit être activé. Si la case à cocher Exporter l’itinéraire est désactivée, l’itinéraire local ne peut pas être exporté vers un autre SD-WAN et a une signification locale.
  • Admissibilité basée sur le chemin :
    • Ajouter un chemin : Choisissez un site et des liens WAN. Si le chemin ajouté tombe en panne, la route IP ne reçoit aucun trafic.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Domaine de routage

Les domaines de routage sont utilisés pour séparer le trafic via VLAN. Une fois les domaines de routage créés, vous pouvez les référencer au niveau global (pour les services Intranet) ou au niveau de l’interface.

Pour faire correspondre les routes d’un domaine de routage spécifique, choisissez l’un des domaines de routage configurés dans la liste.

Domaines de routage de segmentation réseau

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Pour plus d’informations, consultez Domaine de routage.

Service de domaine d’interroutage

Citrix SD-WAN Orchestrator fournit un service de domaine inter-routage statique, permettant la fuite d’itinéraires entre des domaines de routage au sein d’un site ou entre différents sites. Cela élimine le besoin d’un routeur de bord pour gérer les fuites de route. Le service de routage inter-VRF peut également être utilisé pour configurer des routes, des stratégies de pare-feu et des règles NAT.

Pour plus d’informations, voir Service de domaine inter-routage.

Pour configurer le service de domaine inter-routage via SD-WAN Orchestrator :

  1. Au niveau du réseau, accédez à Configuration > Routage > Domaines de routage > Service de domaine inter-routage.

  2. Cliquez sur + Domaine inter-routage et entrez des valeurs pour les paramètres suivants :

  • Nom : Nom du service de domaine inter-routage.
  • Domaine de routage 1 : premier domaine de routage de la paire.
  • Domaine de routage 2 : deuxième domaine de routage de la paire.
  • Zone de pare-feu : Zone de pare-feu du service.
    • Par défaut : la zone de pare-feu Inter_Routing_Domain_Zone est affectée.
    • Aucun : Le service se comporte comme un conduit, qui n’a pas de Zone et maintient la zone d’origine du paquet.
    • Toutes les zones configurées dans le réseau peuvent être sélectionnées.

    Service de domaine d'interroutage

Pour créer des itinéraires à l’aide du service de domaine inter-routage, créez un itinéraire avec le type de service en tant que service de domaine inter-routage et sélectionnez le service de domaine inter-routage. Pour plus d’informations sur la configuration des itinéraires, voir Stratégies de routage.

Règles de routage

Ajoutez également une route à partir de l’autre paire de domaines de routage, pour établir une connexion entre les deux domaines de routage.

Vous pouvez également configurer des stratégies de pare-feu pour contrôler le flux de trafic entre les domaines de routage. Dans les stratégies de pare-feu, sélectionnez Service de domaine Inter-routage pour les services source et de destination et sélectionnez l’action de pare-feu requise. Pour plus d’informations sur la configuration des stratégies de pare-feu, consultez Stratégies de pare-feu.

Stratégies pare-feu

Vous pouvez également choisir le type de service Intranet pour configurer les stratégies NAT statiques et dynamiques. Pour plus d’informations sur la configuration des stratégies NAT, voir Traduction d’adresses réseau.

Importer des profils d’itinéraire

Vous pouvez configurer les filtres pour affiner le mode d’acquisition d’itinéraire.

Les règles de filtre d’importation sont des règles qui doivent être respectées avant d’importer des itinéraires dynamiques dans la base de données de routage SD-WAN. Par défaut, aucun itinéraire n’est importé.

Importer des profils d'itinéraire

Ajoutez un profil de filtre d’importation avec les champs Nom du profil d’importation, Disponibilité du profil et Filtres d’importation, ainsi que les champs suivants :

  • Protocole - Sélectionnez le protocole dans la liste.
  • Domaine de routage  : pour faire correspondre les routes d’un domaine de routage spécifique, choisissez l’un des domaines de routage configurés dans la liste.
  • Routeur source  : entrez l’adresse IP et le masque réseau de l’objet réseau configuré qui décrit le réseau de la route.
  • Adresse IP de destination - Entrez l’adresse IP de destination.
  • Préfixe - Pour faire correspondre les itinéraires par préfixe, choisissez un prédicat de correspondance dans la liste et entrez un préfixe d’itinéraire dans le champ adjacent.
  • Next Hop - Entrez la prochaine destination de saut.
  • Tag d’itinéraire - Remplissez la balise d’itinéraire.
  • Coût - Méthode (prédicat) et coût d’itinéraire SD-WAN utilisés pour restreindre la sélection des itinéraires exportés.

 Importer les détails du profil d'itinéraire

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Exporter des profils d’itinéraire

Définissez les règles à respecter lors de la publication d’itinéraires SD-WAN sur des protocoles de routage dynamique. Par défaut, tous les itinéraires sont annoncés aux pairs.

Exporter le profil d'itinéraire

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

nœuds de transit

Nœud de transit de superposition virtuelle

Vous pouvez réduire le coût du routage en configurant un site pour acheminer les données via un nœud de transit virtuel superposé. Les nœuds de transit sont utilisés pour acheminer les données vers des nœuds non adjacents. Par exemple, si trois nœuds sont connectés dans la série A-B-C, les données de A à C peuvent être routées via B. Vous pouvez spécifier le nœud de transit et les sites à acheminement via le nœud de transit dans l’orchestrateur SD-WAN. Les chemins virtuels sont choisis dans l’ordre croissant du coût. Réduisez le coût, plus la priorité.

Nœuds de transit virtuels globaux par défaut

Les nœuds de contrôle (MCN/RCN) et les nœuds de géo-contrôle (Geo-MCN/RCN) sont les nœuds de transit virtuels globaux par défaut dans un réseau. L’activation de la communication hub-and-spoke dans le cadre des paramètres globaux permet à tous les sites d’utiliser les nœuds de contrôle comme nœuds de transit, par défaut, pour la communication de site à site. Si vous désactivez la communication hub-and-spoke, assurez-vous qu’il existe des règles spécifiques au site qui permettent au nœud non de contrôle d’agir en tant que nœuds de transit.

Nœud de transit de superposition virtuelle

Ajoutez le nœud de contrôle et les nœuds de géo-contrôle que vous souhaitez utiliser comme nœuds de transit de superposition virtuels et spécifiez le coût du chemin virtuel. Les nœuds de contrôle et les nœuds de géo-contrôle ont 6 et 7 comme coûts de chemin virtuel par défaut respectifs. Vous pouvez choisir de modifier le coût du chemin virtuel en fonction de vos besoins réseau. Cliquez sur Restaurer la valeur par défaut pour restaurer les coûts du chemin virtuel par défaut pour les nœuds de transit par défaut.

Remarque

Vous pouvez ajouter au maximum 3 nœuds de contrôle et 3 nœuds de géo-contrôle en tant que nœuds de transit.

Par défaut, le transfert WAN vers WAN est activé sur tous les chemins associés aux nœuds de contrôle et de géo-contrôle sélectionnés. Le transfert Wan-WAN permet à un site d’agir comme un saut intermédiaire entre deux sites adjacents pour n’importe quel trafic de site à site, Internet ou intranet et d’agir comme médiateur pour les chemins virtuels dynamiques.

Préférences spécifiques au site pour les nœuds de transit de superposition virtuelle

Les préférences spécifiques au site pour les nœuds de transit de superposition virtuels vous permettent de remplacer les paramètres globaux des nœuds de transit virtuels de superposition pour tous les sites de votre réseau. Vous pouvez également choisir un nœud autre que le contrôle comme nœud de transit principal d’un site. Choisissez un nœud de contrôle ou un nœud de contrôle géo-contrôle comme nœuds de transit secondaire et tertiaire. Si le nœud de transit principal est en panne, les sites utilisent le nœud de transit secondaire. Si les nœuds de transit primaires et secondaires sont en panne, les sites utilisent le nœud de transit tertiaire. Spécifiez le coût des nœuds de transit et sélectionnez les sites auxquels les paramètres de nœud de transit virtuel de superposition spécifique au site sont appliqués.

Nœud de transit spécifique au site

Nœud de transit Internet

Vous pouvez ajouter des sites en tant que sites de transit Internet pour permettre l’accès Internet aux sites. Les sites qui ont besoin d’une connexion Internet directe doivent avoir au moins un lien avec le service Internet activé. Cela signifie qu’au moins une liaison est définie sur un partage de bande passante non nul.

Un coût d’itinéraire peut être attribué à chaque site de transit. Les sites dont le service Internet est disponible accèdent directement à Internet puisque l’itinéraire direct serait le chemin de routage le moins coûteux. Les sites sans service Internet peuvent acheminer vers Internet via les sites de transit configurés. Lorsque les sites de transit Internet sont configurés, les routes vers Internet via ces sites de transit sont automatiquement transmises à tous les sites. Les sites de transit Internet sont les sites dont le service Internet est activé.

Par exemple, si San Francisco et New York sont configurés en tant que sites de transit Internet. Les itinéraires vers Internet via San Francisco et New York sont automatiquement poussés vers tous les sites.

Le nœud de transit virtuel superposé avec le service Internet activé agit comme le nœud de transit Internet principal. Si le service Internet n’est pas activé sur le nœud de transit virtuel de superposition, le nœud de transit Internet secondaire/de sauvegarde fournit un itinéraire vers Internet.

Nœud de transit Internet

Nœud de transit intranet

Le nœud de transit intranet permet à tous les sites non intranet d’accéder aux réseaux intranet configurés. Un coût d’itinéraire peut être attribué à chaque site de transit. Les sites disponibles avec le service intranet accèdent directement aux réseaux intranet puisque l’itinéraire direct serait le chemin de routage le plus bas coût. Les sites sans service intranet peuvent acheminer vers les réseaux intranet via les sites de transit configurés. Lorsque les sites de transit sont configurés, les itinéraires vers les réseaux intranet via ces sites de transit sont automatiquement acheminés vers tous les sites. Par exemple, si 10.2.1.0/24 est un réseau intranet et qu’Austin et Dallas sont les sites de transit configurés. Les itinéraires vers cette adresse réseau via Austin et Dallas sont automatiquement poussés vers tous les sites. Le nœud de transit virtuel superposé avec le service Intranet activé agit comme le nœud de transit intranet principal. Si le service intranet n’est pas activé sur le nœud de transit virtuel de superposition, le nœud de transit intranet secondaire de sauvegarde fournit un itinéraire vers l’intranet.

Nœud de transit intranet

Routage