Citrix SD-WAN Orchestrator

Routage

La section Routage propose les options suivantes :

  • Règles de routage
  • Domaines de routage
  • Importer des profils d’itinéraire
  • Exporter les profils d’itinéraire
  • nœuds de transit

Règles de routage

Les stratégies de routage aident à activer la direction du trafic. En fonction de la sélection (Itinéraires d’application et routes IP), vous pouvez utiliser différentes façons de diriger le trafic.

Stratégie de routage

Itinéraires d’application

Cliquez sur + Application Route pour créer un itinéraire d’application.

  • Critères de correspondance des applications personnalisés :

    • Type de correspondance : Sélectionnez le type de correspondance Application/Application personnalisée/Groupe d’applications dans la liste déroulante.
    • Application : Choisissez une application dans la liste.
    • Domaine de routage : sélectionnez un domaine de routage.
  • Champ d’application : Vous pouvez définir la portée de l’application au niveau global ou au niveau spécifique du site et du groupe.

  • Pilotage du trafic ;
    • Service de livraison : Choisissez un service de livraison dans la liste.
    • Coût : reflète la priorité relative de chaque itinéraire. Réduisez le coût, plus la priorité.
  • Éligibilité basée sur le parcours :
    • Ajouter un chemin : choisissez un site et des liens WAN. Si le chemin choisi descend, la route de l’application ne reçoit aucun trafic.

Route de l'application

Si une nouvelle route d’application est ajoutée, le coût de l’itinéraire doit se situer dans la plage suivante :

  • Application personnalisée : 1 à 20
  • Nombre dedemandes : 21 à 40
  • Groupe d’applications : 41—60

Optimisation d’Office 365

Les fonctionnalités d’optimisation d’Office 365 respectent les principes de connectivité réseau de Microsoft Office 365, afin d’optimiser Office 365. Office 365 est fourni en tant que service via plusieurs points de terminaison de service (portes d’entrée) situés dans le monde entier.

Pour obtenir une expérience utilisateur optimale pour le trafic Office 365, Microsoft recommande de rediriger le trafic Office365 directement vers Internet à partir d’environnements de succursales et d’éviter des pratiques telles que le backhauling vers un proxy central. Cela est dû au fait que le trafic Office 365, tel qu’Outlook, Word, sont sensibles à la latence et le trafic de retour introduit plus de latence, ce qui entraîne une mauvaise expérience utilisateur. Citrix SD-WAN vous permet de configurer des stratégies pour ventiler le trafic Office 365 vers Internet. Pour plus d’informations, consultez la section Optimisation d’Office 365.

Dans le service Citrix SD-WAN Orchestrator, chaque réseau possède par défaut la règle Office 365 sous Groupe d’applications. Pour naviguer, accédez à Configuration réseau > Routage > Politiques de routage > Routes d’application.

O365

Vous ne pouvez pas supprimer la règle, mais vous pouvez configurer les paramètres selon vos besoins.

Détail de l'O365

Cliquez sur la règle Office 365 pour afficher les paramètres par défaut Type de correspondance, Groupe d’applications, Service de mise à disposition, etc. Vous ne pouvez pas modifier ces paramètres par défaut.

Les points de terminaison Office 365 sont un ensemble d’adresses réseau et de sous-réseaux. Les points de terminaison sont répartis dans les trois catégories suivantes :

  • Optimisation  : ces terminaux fournissent une connectivité à tous les services et fonctionnalités Office 365 et sont sensibles à la disponibilité, aux performances et à la latence. Il représente plus de 75 % de la bande passante, des connexions et du volume de données Office 365. Tous les points de terminaison Optimize sont hébergés dans les centres de données Microsoft. Les demandes de service à ces terminaux doivent être envoyées de la succursale vers Internet et ne doivent pas passer par le centre de données.

  • Autoriser : ces points de terminaison fournissent uniquement la connectivité aux services et fonctionnalités Office 365 spécifiques, et ne sont pas sensibles aux performances du réseau et à la latence. La représentation de la bande passante et du nombre de connexions Office 365 est également plus faible. Ces points de terminaison sont hébergés dans les centres de données Microsoft. Les demandes de service à ces terminaux peuvent être extraites de la succursale vers Internet ou passer par le centre de données.

  • Par défaut : ces points de terminaison fournissent des services Office 365 qui ne nécessitent aucune optimisation et peuvent être traités comme du trafic Internet normal. Certains de ces points de terminaison peuvent ne pas être hébergés dans les centres de données Microsoft. Le trafic de cette catégorie n’est pas sensible aux variations de latence. Par conséquent, la rupture directe de ce type de trafic ne provoque aucune amélioration des performances par rapport à la panne Internet. En outre, le trafic dans cette catégorie peut ne pas toujours être du trafic Office 365, il est donc recommandé de désactiver cette option lors de l’activation de la répartition Office 365 dans votre réseau.

    REMARQUE

    Par défaut, les options Optimiser, Autoriser et Default sont désactivées. Vous ne pouvez pas supprimer ces paramètres, mais vous pouvez les activer si nécessaire.

  • Activer le service de balises  : Citrix SD-WAN vous permet d’effectuer une analyse des balises et de déterminer la latence nécessaire pour atteindre les points de terminaison Office 365 via chaque liaison WAN. Les services Office 365 Beacon sont activés par défaut. Vous pouvez le désactiver en désactivant cette option. Pour plus d’informations, consultez le service Office 365 Beacon.

    Vous pouvez consulter les rapports de disponibilité et de latence des balises au niveau du réseau et au niveau du site.

Routes IP

Accédez à l’onglet Routes IPet cliquez sur + Politique d’itinéraire IP vers IP pour orienter le trafic.

Route IP

  • Critères de correspondance du protocole IP :

    • Réseau de destination : Ajoutez le réseau de destination qui permet de transférer les paquets.
    • Utiliser un groupe IP : vous pouvez ajouter un réseau de destination ou activer la case à cocher Utiliser un groupe IP pour sélectionner n’importe quel groupe IP dans la liste déroulante.
    • Domaine de routage : sélectionnez un domaine de routage dans la liste déroulante.
  • Étendue : Vous pouvez définir le périmètre de la route IP au niveau global ou au niveau spécifique du site et du groupe.

  • Pilotage du trafic :
    • Service de livraison : Choisissez un service de livraison dans la liste déroulante.
    • Coût : Le champ de coût reflète la priorité relative de chaque itinéraire. Réduisez le coût, plus la priorité.

    Si une nouvelle route IP est ajoutée, le coût de l’itinéraire doit être compris entre 1 et 20.

  • Critères d’éligibilité :
    • Exporter l’itinéraire : si la case Exporter l’itinéraire est cochée et si l’itinéraire est un itinéraire local, l’itinéraire peut être exporté par défaut. Si l’itinéraire est un itinéraire basé sur INTRANET/INTERNET, alors pour que l’exportation fonctionne, le transfert WAN vers WAN doit être activé. Si la case Exporter l’itinéraire est décochée, l’itinéraire local ne peut pas être exporté vers un autre SD-WAN et a une importance locale.
  • Éligibilité basée sur le parcours :
    • Ajouter un chemin : choisissez un site et des liens WAN. Si le chemin ajouté tombe en panne, la route IP ne reçoit aucun trafic.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Récapitulatif des itinéraires

La synthèse des itinéraires réduit le nombre de routes qu’un routeur doit maintenir. Un itinéraire récapitulatif est un itinéraire unique qui est utilisé pour représenter plusieurs itinéraires. La synthèse des itinéraires permet d’économiser de la bande passante en envoyant une seule annonce d’itinéraire, réduisant ainsi le nombre de liens entre les routeurs. La synthèse des itinéraires permet d’économiser de la mémoire car une seule adresse de route est conservée. Les ressources CPU sont utilisées plus efficacement en évitant les recherches récursives. Vous avez la possibilité d’ajouter des itinéraires récapitulatifs sans spécifier l’adresse IP de la passerelle.

Domaine de routage

Le domaine de routage permet d’améliorer la sécurité/les fonctionnalités du réseau et de fonctionner avec les routeurs de réseau IP, ce qui permet à plusieurs instances de table de routage d’exister dans un routeur virtuel et de fonctionner simultanément. Grâce à cette fonctionnalité, la connectivité augmente en permettant de segmenter les chemins réseau sans utiliser plusieurs appareils, car le trafic est automatiquement séparé. Le VRF augmente également la sécurité du réseau et peut éliminer le besoin de cryptage et d’authentification.

Le domaine de routage se concentre sur le trafic de couche 3 via MPLS. La commutation d’étiquettes multiprotocole ou cloud MPLS dans l’environnement cloud du fournisseur de services utilise le protocole de passerelle frontalière multiprotocole ou BGP multiprotocole. Le domaine de routage isole le trafic de la source à la destination via ce cloud MPLS. Pour séparer les itinéraires qui se chevauchent et utiliser des services communs, le domaine de routage intègre des dispositifs de distinction d’itinéraires (RD) et des cibles d’itinéraires (RT).

La topologie suivante décrit le fonctionnement des domaines de routage :

Domaine de routage

Une fois les domaines de routage créés, vous pouvez les référencer au niveau global (pour les services Intranet) ou au niveau de l’interface.

Vous pouvez également sélectionner le domaine de routage par défaut qui s’applique à tous les sites.

Domaine de routage par défaut

Pour faire correspondre les itinéraires d’un domaine de routage spécifique, cliquez sur + Domaine de routage et choisissez l’un des domaines de routage configurés dans la liste déroulante. Cliquez sur Enregistrer.

Domaines de routage de segmentation réseau

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Pour plus d’informations, consultez la section Domaine de routage.

Service de domaine d’interroutage

Le service Citrix SD-WAN Orchestrator fournit un service de domaine d’interroutage statique, permettant la fuite d’itinéraires entre des domaines de routage au sein d’un site ou entre différents sites. Cela élimine le besoin d’un routeur de bord pour gérer les fuites de route. Le service de routage inter-VRF peut également être utilisé pour configurer des routes, des stratégies de pare-feu et des règles NAT.

Pour plus d’informations, voir Service d’interroutage de domaines.

Pour configurer le service Inter-Routing Domain via le service Citrix SD-WAN Orchestrator, procédez comme suit :

  1. Au niveau du réseau, accédez à Configuration > Routage > Domaines de routage > Service d’inter-domainesde routage.

  2. Cliquez sur + Domaine d’interroutage et entrez des valeurs pour les paramètres suivants :

  • Nom : Nom du service de domaine inter-routage.
  • Domaine de routage 1 : premier domaine de routage de la paire.
  • Domaine de routage 2 : deuxième domaine de routage de la paire.
  • Zone de pare-feu : Zone de pare-feu du service.
    • Par défaut : La zone de pare-feu Inter_Routing_Domain_Zone est attribuée.
    • Aucune : Le service se comporte comme un conduit, qui n’a pas de zone et conserve la zone d’origine du paquet.
    • Toutes les zones configurées dans le réseau peuvent être sélectionnées.

    Service de domaine d'interroutage

Pour créer des itinéraires à l’aide du service de domaine inter-routage, créez un itinéraire avec le type de service en tant que service de domaine inter-routage et sélectionnez le service de domaine inter-routage. Pour plus d’informations sur la configuration des itinéraires, consultez la section Politiques de routage.

Règles de routage

Ajoutez également une route à partir de l’autre paire de domaines de routage, pour établir une connexion entre les deux domaines de routage.

Vous pouvez également configurer des stratégies de pare-feu pour contrôler le flux de trafic entre les domaines de routage. Dans les stratégies de pare-feu, sélectionnez Service de domaine Inter-routage pour les services source et de destination et sélectionnez l’action de pare-feu requise. Pour plus d’informations sur la configuration des politiques de pare-feu, voir Politiques de pare-feu.

Stratégies pare-feu

Vous pouvez également choisir le type de service Intranet pour configurer les stratégies NAT statiques et dynamiques. Pour plus d’informations sur la configuration des politiques NAT, voir Traduction d’adresses réseau.

Importer des profils d’itinéraire

Vous pouvez configurer des filtres pour affiner la manière dont se déroule l’apprentissage par route.

Les règles de filtre d’importation sont des règles qui doivent être respectées avant d’importer des itinéraires dynamiques dans la base de données de routage SD-WAN. Par défaut, aucun itinéraire n’est importé.

Importer des profils d'itinéraire

Ajoutez un profil de filtre d’importation avec le nom du profil d’importation, la disponibilité du profil et les filtres d’importation, ainsi que les champs suivants :

  • Protocole  : sélectionnez le protocole dans la liste.
  • Domaine de routage : pour faire correspondre les itinéraires d’un domaine de routage spécifique, choisissez l’un des domaines de routage configurés dans la liste.
  • Routeur source  : entrez l’adresse IP et le masque de réseau de l’objet réseau configuré qui décrit le réseau de l’itinéraire.
  • IP de destination  : entrez l’adresse IP de destination.
  • Préfixe  : pour faire correspondre les itinéraires par préfixe, choisissez un prédicat de correspondance dans la liste et entrez un préfixe d’itinéraire dans le champ adjacent.
  • Saut suivant  : entrez la destination du saut suivant.
  • Tag d’itinéraire  : renseignez le tag d’itinéraire.
  • Coût  : méthode (prédicat) et coût d’itinéraire SD-WAN utilisés pour affiner la sélection des itinéraires exportés.

 Importer les détails du profil d'itinéraire

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Exporter des profils d’itinéraire

Définissez les règles à respecter lors de la publicité de routes SD-WAN via des protocoles de routage dynamiques. Par défaut, tous les itinéraires sont annoncés aux pairs.

Exporter le profil d'itinéraire

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

nœuds de transit

Nœud de transit de superposition virtuelle

Vous pouvez réduire le coût du routage en configurant un site pour acheminer les données via un nœud de transit virtuel superposé. Les nœuds de transit sont utilisés pour acheminer les données vers des nœuds non adjacents. Par exemple, si trois nœuds sont connectés dans la série A-B-C, les données de A vers C peuvent être acheminées via B. Vous pouvez spécifier le nœud de transit et les sites à acheminer via le nœud de transit dans le service Citrix SD-WAN Orchestrator. Les chemins virtuels sont choisis dans l’ordre croissant du coût. Réduisez le coût, plus la priorité.

Nœuds de transit virtuels globaux par défaut

Les nœuds de contrôle (MCN/RCN) et les nœuds de géo-contrôle (Geo-MCN/RCN) sont les nœuds de transit virtuels globaux par défaut dans un réseau. L’activation de la communication hub-and-spoke dans le cadre des paramètres globaux permet à tous les sites d’utiliser les nœuds de contrôle comme nœuds de transit, par défaut, pour la communication de site à site. Si vous désactivez la communication hub-and-spoke, assurez-vous qu’il existe des règles spécifiques au site qui permettent au nœud non de contrôle d’agir en tant que nœuds de transit.

Nœud de transit de superposition virtuelle

Ajoutez le nœud de contrôle et les nœuds de géo-contrôle que vous souhaitez utiliser comme nœuds de transit de superposition virtuels et spécifiez le coût du chemin virtuel. Les nœuds de contrôle et les nœuds de géo-contrôle ont 6 et 7 comme coûts de chemin virtuel par défaut respectifs. Vous pouvez choisir de modifier le coût du chemin virtuel en fonction de vos besoins réseau. Cliquez sur Restaurer les paramètres par défaut pour restaurer les coûts des chemins virtuels par défaut pour les nœuds de transit par défaut.

Remarque

Vous pouvez ajouter au maximum 3 nœuds de contrôle et 3 nœuds de géo-contrôle en tant que nœuds de transit.

Par défaut, le transfert WAN vers WAN est activé sur tous les chemins associés aux nœuds de contrôle et de géo-contrôle sélectionnés. Le transfert Wan-WAN permet à un site d’agir comme un saut intermédiaire entre deux sites adjacents pour n’importe quel trafic de site à site, Internet ou intranet et d’agir comme médiateur pour les chemins virtuels dynamiques.

Préférences spécifiques au site pour les nœuds de transit de superposition virtuelle

Les préférences spécifiques au site pour les nœuds de transit de superposition virtuels vous permettent de remplacer les paramètres globaux des nœuds de transit virtuels de superposition pour tous les sites de votre réseau. Vous pouvez également choisir un nœud autre que le contrôle comme nœud de transit principal d’un site. Choisissez un nœud de contrôle ou un nœud de contrôle géo-contrôle comme nœuds de transit secondaire et tertiaire. Si le nœud de transit principal est en panne, les sites utilisent le nœud de transit secondaire. Si les nœuds de transit primaires et secondaires sont en panne, les sites utilisent le nœud de transit tertiaire. Spécifiez le coût des nœuds de transit et sélectionnez les sites auxquels les paramètres de nœud de transit virtuel de superposition spécifique au site sont appliqués.

Nœud de transit spécifique au site

Nœud de transit Internet

Vous pouvez ajouter des sites en tant que sites de transit Internet pour permettre l’accès Internet aux sites. Les sites qui ont besoin d’une connexion Internet directe doivent avoir au moins un lien avec le service Internet activé. Cela signifie qu’au moins une liaison est définie sur un partage de bande passante non nul.

Un coût de trajet peut être attribué à chaque site de transit. Les sites dont le service Internet est disponible accèdent directement à Internet puisque l’itinéraire direct serait le chemin de routage le moins coûteux. Les sites sans service Internet peuvent acheminer vers Internet via les sites de transit configurés. Lorsque les sites de transit Internet sont configurés, les routes vers Internet via ces sites de transit sont automatiquement transmises à tous les sites. Les sites de transit Internet sont les sites dont le service Internet est activé.

Par exemple, si San Francisco et New York sont configurés en tant que sites de transit Internet. Les itinéraires vers Internet via San Francisco et New York sont automatiquement poussés vers tous les sites.

Le nœud de transit virtuel superposé avec le service Internet activé agit comme le nœud de transit Internet principal. Si le service Internet n’est pas activé sur le nœud de transit virtuel de superposition, le nœud de transit Internet secondaire/de sauvegarde fournit un itinéraire vers Internet.

Nœud de transit Internet

Nœud de transit intranet

Le nœud de transit intranet permet à tous les sites non intranet d’accéder aux réseaux intranet configurés. Un coût de trajet peut être attribué à chaque site de transit. Les sites disponibles avec le service intranet accèdent directement aux réseaux intranet puisque l’itinéraire direct serait le chemin de routage le plus bas coût. Les sites sans service intranet peuvent acheminer vers les réseaux intranet via les sites de transit configurés. Lorsque les sites de transit sont configurés, les itinéraires vers les réseaux intranet via ces sites de transit sont automatiquement acheminés vers tous les sites.

Par exemple, si 10.2.1.0/24 est un réseau intranet et qu’Austin et Dallas sont les sites de transit configurés. Les itinéraires vers cette adresse réseau via Austin et Dallas sont automatiquement poussés vers tous les sites. Le nœud de transit virtuel superposé avec le service Intranet activé agit comme le nœud de transit intranet principal. Si le service intranet n’est pas activé sur le nœud de transit virtuel de superposition, le nœud de transit intranet secondaire de sauvegarde fournit un itinéraire vers l’intranet.

Nœud de transit intranet

Routage