Citrix SD-WAN Orchestrator

Configuration du site

Configuration du site

Vous pouvez ajouter de nouveaux sites depuis la page d’ accueil du réseau ou depuis la section Profils et modèles pour configurer votre réseau SD-WAN.

Pour créer un site, cliquez sur + Nouveau site dans le tableau de bord du réseau. Indiquez un nom et un emplacement pour le site.

Configuration au niveau du site nouveau site

Vous pouvez créer un site à partir de zéro ou utiliser un profil de site pour configurer rapidement un site.

Un affichage graphique à droite de l’écran fournit un diagramme de topologie dynamique au fur et à mesure de la configuration.

Pour afficher la configuration du site, sélectionnez le site et accédez à Configuration > Configuration du site.

Configuration du site

Détails du site

La première étape consiste à entrer le site, l’appareil, les paramètres avancés et les coordonnées du site.

Détails du site

Lorsque vous configurez des sites à l’aide d’un modèle de site, l’écran suivant s’affiche.

Informations sur les modèles de

Informations sur le site/le modèle

  • Le choix d’un profil de site renseigne automatiquement les paramètres du site, de l’interface et des liens WAN en fonction de la configuration du profil de site.
  • L’adresse et le nom du site sont renseignés automatiquement en fonction des informations fournies à l’étape précédente.
  • Cochez la case Lat/Lng pour obtenir la latitude et la longitude d’un site.
  • Sélectionnez la région dans la liste déroulante.
  • Le modèle et lesous-modèlede l’appareil peuvent être sélectionnés en fonction du modèle matériel ou de l’appliance virtuelle utilisé sur un site donné.
  • L’édition de l’appareil se reflète automatiquement en fonction du modèle d’appareil sélectionné. Actuellement, l’édition Premium (PE), l’édition avancée (AE) et l’édition standard (SE) sont prises en charge. Le modèle PE est uniquement pris en charge sur les plateformes 1100, 2100, 5100 et 6100. Le modèle AE est pris en charge sur les plateformes 210 et 1100.

    Remarque

    Le service Citrix SD-WAN Orchestrator ne prend pas en charge les plateformes Advanced Edition et Premium Edition.

  • Le rôle du site définit le rôle de l’appareil. Vous pouvez attribuer l’un des rôles suivants à un site :

    • MCN : le nœud de contrôle principal (MCN) sert de contrôleur du réseau, et seul un périphérique actif d’un réseau peut être désigné comme MCN.
    • Succursale : Appliances installées sur les sites des succursales qui reçoivent la configuration du MCN et participent à la mise en place de fonctionnalités WAN virtuelles pour les succursales. Il peut y avoir plusieurs sites de succursales.
    • RCN : le nœud de contrôle régional (RCN) prend en charge l’architecture réseau hiérarchique, permettant ainsi le déploiement de réseaux multirégionaux. MCN contrôle plusieurs RCN et chaque RCN, à son tour, contrôle plusieurs sites de succursales.
    • MCN géo-redondant : site situé à un autre emplacement, qui prend en charge les fonctions de gestion du MCN, s’il n’est pas disponible, garantissant ainsi la reprise après sinistre. Le MCN géo-redondant ne fournit pas de fonctionnalités de haute disponibilité ou de basculement pour le MCN.
    • RCN géo-redondant : site situé à un autre endroit, qui prend en charge les fonctions de gestion du RCN, s’il n’est pas disponible, garantissant ainsi la reprise après sinistre. Le RCN géo-redondant ne fournit pas de fonctionnalités de haute disponibilité ou de basculement pour le RCN.
  • Leniveau de bande passante est la capacité de bande passante facturable que vous pouvez configurer sur n’importe quel appareil, en fonction du modèle de l’appareil. Par exemple, l’appliance SD-WAN 410 Standard Edition (SE) prend en charge les niveaux de bande passante de 20, 50, 100, 150 et 200 Mbit/s. En fonction de vos besoins en bande passante pour un site donné, vous pouvez sélectionner le niveau souhaité. Chaque site est facturé pour le niveau de bande passante configuré.

Domaine de routage

La section Domaine de routage vous permet de sélectionner le domaine de routage par défaut pour le site. Les paramètres dudomaine de routage peuvent être globaux ou spécifiques au site. Si vous sélectionnez Global Defaults, le domaine de routage par défaut applicable à l’échelle mondiale est automatiquement sélectionné. Si vous sélectionnez Spécifique au site, vous pouvez sélectionner le domaine de routage par défaut dans la liste déroulante Domaine de routage .

Prise en charge du routage pour la segmentation LAN

Les appliances SD-WAN Standard et Enterprise Edition (SE/PE) implémentent la segmentation du réseau local sur des sites distincts sur lesquels l’une ou l’autre appliance est déployée. Les appliances reconnaissent et conservent un enregistrement des VLAN côté LAN disponibles, et configurent des règles concernant les autres segments de réseau local (VLAN) auxquels les autres segments de réseau local (VLAN) peuvent se connecter sur un site distant avec une autre appliance SD-WAN SE/PE.

La fonctionnalité ci-dessus est mise en œuvre à l’aide d’une table de routage et de transfert virtuels (VRF) gérée dans l’appliance SD-WAN SE/PE, qui assure le suivi des plages d’adresses IP distantes accessibles à un segment de réseau local. Ce trafic VLAN vers VLAN traverserait toujours le WAN via le même chemin virtuel préétabli entre les deux appliances (aucun nouveau chemin n’a besoin d’être créé).

Un exemple d’utilisation de cette fonctionnalité est qu’un administrateur WAN peut segmenter l’environnement réseau des succursales locales via un VLAN et fournir à certains de ces segments (VLAN) un accès à des segments de réseau local côté DC ayant accès à Internet, tandis que d’autres peuvent ne pas obtenir un tel accès. La configuration des associations VLAN-VLAN est réalisée via l’interface Web du service Citrix SD-WAN Orchestrator.

Paramètres avancés

  • Activer l’apprentissage du MAC source : enregistre l’adresse MAC source des paquets reçus afin que les paquets sortants vers la même destination puissent être envoyés vers le même port.

  • Préserver l’itinéraire vers Internet à partir du lien même si tous les chemins associés sont inactifs : lorsque cette option est activée, les paquets destinés au service Internet continuent de choisir le service Internet même si toutes les liaisons WAN du service Internet ne sont pas disponibles.

  • Préserver la route vers l’intranet à partir du lien même si tous les chemins associés sont inactifs : lorsque cette option est activée, les paquets destinés au service intranet continuent de choisir le service intranet même si tous les liens WAN du service intranet ne sont pas disponibles.

  • Coordonnées de l’administrateur disponible sur le site.

Un diagramme de réseau dynamique à droite du panneau de configuration fournit une rétroaction visuelle continue, au fur et à mesure que vous passez par le processus de configuration.

Détails de l’appareil

La section Détails de l’appareil vous permet de configurer et d’activer la haute disponibilité (HA) sur un site. Avec HA, deux appliances peuvent être déployées sur un site en tant que principal actif et secondaire passif. L’appliance secondaire prend le relais en cas de défaillance du principal. Pour plus d’informations, consultez la section Haute disponibilité.

Détails du périphérique de configuration au niveau du site

Remarque

Les numéros de série ne sont pas configurables à l’aide des modèles de sites

Informations sur l’appareil

Activez HA et entrez le numéro de série et un nom abrégé pour les appliances principales et secondaires. Cliquez sur Ajouter et saisissez le numéro de série ainsi que le nom abrégé du site.

Ajouter un numéro de série

Cliquez sur Ajouter.

Numéro de série ajouté

  • Numéro de série : Le numéro de série d’une instance SD-WAN virtuelle (VPX) est accessible depuis la console Web VPX, comme indiqué dans la capture d’écran suivante. Un numéro de série d’une appliance matérielle se trouve également sur l’étiquette du périphérique.

    Numéro de série

  • Nom abrégé : Le champ Nom abrégé est utilisé pour spécifier un nom court facilement identifiable pour un site ou pour baliser un site si vous le souhaitez.

Cliquez sur l’option Supprimer si vous souhaitez supprimer le numéro de série.

Remarque La mise à jour du numéro de série nécessite la suppression du numéro de série existant et la lecture d’un nouveau numéro.

Supprimer le numéro de série

Lorsque vous cliquez sur l’option Supprimer, une fenêtre contextuelle apparaît pour confirmer si vous souhaitez supprimer le numéro de série ou non.

confirmation de suppression du numéro de série

Paramètres haute disponibilité avancés

  • Temps de basculement (ms) : temps d’attente après la perte du contact avec l’appliance principale, avant que l’appliance de secours ne devienne active.
  • MAC de base partagé : adresse MAC partagée pour les deux appliances à haute disponibilité. Lorsqu’un basculement se produit, le matériel secondaire possède les mêmes adresses MAC virtuelles que le matériel principal défaillant.
  • Désactiver Shared Base MAC : Cette option n’est disponible que sur les hyperviseurs et les plateformes basées sur le cloud. Choisissez cette option pour désactiver l’adresse MAC virtuelle partagée.
  • Reprise principale : L’appliance principale désignée reprend le contrôle lors du redémarrage après un événement de basculement.
  • ModeHA Fail-to-Wire : Le modeHA Fail-to-Wire est activé. Pour plus de détails, consultez la section Modes de déploiement HA.
  • Activer la prise en charge du câble Y : Les ports SFP (Small Form-Factor Pluggable) peuvent être utilisés avec un câble Y à fibre optique pour activer la fonctionnalité de haute disponibilité pour le déploiement en mode Edge. Cette option est disponible uniquement sur les appliances Citrix SD-WAN 1100 SE/PE. Pour plus d’informations, consultez Activer la haute disponibilité en mode Edge à l’aide d’un câble Y à fibre optique.

Informations sur le Wi-Fi

Vous pouvez configurer une appliance Citrix SD-WAN qui prend en charge le Wi-Fi en tant que point d’accès Wi-Fi.

Les deux variantes suivantes de la plate-forme Citrix SD-WAN 110 prennent en charge le Wi-Fi et peuvent être configurées en tant que point d’accès Wi-Fi :

  • Citrix SD-WAN 110-WiFi-SE
  • Citrix SD-WAN 110-LTE-WiFi

Pour plus de détails sur la configuration Wi-Fi, voir Point d’accès Wi-Fi

Interfaces

L’étape suivante consiste à ajouter et configurer les interfaces. Cliquez sur + Interface pour commencer à configurer l’interface. Cliquez sur + Interface HA pour commencer à configurer l’interface HA. L’option + HA Interface n’est disponible que si vous avez configuré un dispositif secondaire pour une haute disponibilité.

La configuration de l’interface implique la sélection du mode de déploiement et la définition des attributs de niveau d’interface. Cette configuration est applicable aux liaisons LAN et WAN.

Interface de configuration au niveau du site

Gestion intrabande

La gestion in-band vous permet d’utiliser les ports de données SD-WAN pour la gestion. Il transporte à la fois les données et le trafic de gestion, sans avoir à configurer un chemin de gestion supplémentaire. La gestion in-band permet aux adresses IP virtuelles de se connecter à des services de gestion tels que l’interface utilisateur Web et SSH. Vous pouvez accéder à l’interface utilisateur Web et SSH à l’aide de l’adresse IP de gestion et des adresses IP virtuelles in-band.

Pour activer la gestion intrabande, choisissez une adresse IPv4 dans la liste déroulante IP de gestion intrabande ou une adresse IPv6 dans la liste déroulante IPv6 de gestion intrabande . Sélectionnez le proxy DNS vers lequel toutes les requêtes DNS sur le plan de gestion intrabande et de sauvegarde sont transférées dans la liste déroulante InBand Management DNS ou InBand Management DNS V6 .

Pour plus d’informations sur la gestion intrabande, voir Gestion intrabande.

Les adresses IP configurées pour les interfaces sont répertoriées dans la liste déroulante InBand Management IP . Les services proxy DNS configurés sous Paramètres avancés > DNS sont répertoriés dans la liste déroulante InBand Management DNS .

Attributs interface

Les modes de déploiement suivants sont pris en charge :

  1. Edge (passerelle)
  2. Inline — Fail-to-Wire, Fail-to-Block et Virtual Inline.
  • Mode de déploiement : sélectionnez l’un des modes de déploiement suivants.

    • Edge (passerelle) :

      Bord

      Le mode passerelle implique que le SD-WAN sert de « passerelle » vers le WAN pour tout le trafic LAN. Le mode Gateway est le mode par défaut. Vous pouvez déployer l’appliance en tant que Gateway côté LAN ou WAN.

    • En ligne :

      Lorsque le SD-WAN est déployé en ligne entre un commutateur LAN et un routeur WAN, le SD-WAN est censé « relier » le LAN et le WAN.

      Toutes les appliances Citrix SD-WAN disposent d’interfaces appariées par pont prédéfinies. Lorsque l’option Bridge est activée, la sélection de n’importe quelle interface du côté LAN met automatiquement en évidence l’interface jumelée réservée à l’extrémité WAN du pont. Par exemple, les interfaces physiques 1 et 2 sont une paire pontée.

      • Fail-To-Wire : permet une connexion physique entre la paire d’interfaces pontée, permettant au trafic de contourner le SD-WAN et de traverser directement le pont en cas de redémarrage ou de panne de l’appliance.

      Auparavant, le client DHCP n’était pris en charge que sur le port Fail-to-Block. Avec la version 11.2.0 de Citrix SD-WAN, la capacité du client DHCP est étendue sur le port Fail-to-Wire pour le site de la succursale avec des déploiements en série à haute disponibilité (HA). Cette amélioration :

      • Autorise la configuration du client DHCP sur un groupe d’interface non approuvé qui a des déploiements de paire de pont à fil et d’HA série.
      • Permet de sélectionner les interfaces DHCP dans le cadre des liaisons WAN Intranet privé.

      Remarques

      • L’option Inline (Fail-to-Wire) est disponible uniquement sur les appliances matérielles et non sur les appliances virtuelles (VPX/VPXL).
      • Le client DHCP est désormais pris en charge sur le lien intranet privé.
      • Une interface LAN ne doit pas être connectée à la paire Fail-to-Wire car les paquets peuvent être pontés entre les interfaces.

      Échec du câblage en ligne

      • Fail-to-block : cette option désactive la connexion physique entre la paire d’interfaces pontée sur les appliances matérielles, empêchant ainsi le trafic de traverser le pont en cas de redémarrage ou de panne de l’appliance.

      Remarque

      Inline (Fail-to-Block) est la seule option de mode pont disponible sur les appliances virtuelles (VPX/VPXL).

      Échec de blocage en ligne

      • Virtuel en ligne (One-Arm) :

      Virtuel en ligne

      Lorsque le SD-WAN est déployé dans ce mode, il dispose d’un bras unique le connectant au routeur WAN, au réseau local et au WAN partageant la même interface sur le SD-WAN. Par conséquent, les paramètres d’interface sont partagés entre les liaisons LAN et WAN.

  • Type d’interface : sélectionnez le type d’interface dans la liste déroulante.
  • Sécurité (fiable/Non fiable) : Spécifie le niveau de sécurité de l’interface. Les segments approuvés sont protégés par un pare-feu.
  • Nom de l’interface : en fonction du mode de déploiement sélectionné, le champ Nom de l’interface est rempli automatiquement.

Interface physique

  • Sélectionnez l’interface : sélectionnez le port Ethernet configurable disponible sur l’appliance.

Interface virtuelle

  • ID duVLAN : IDpermettant d’identifier et de marquer le trafic à destination et en provenance de l’interface.
  • Nom de l’interface virtuelle : en fonction du mode de déploiement sélectionné, le champ Nom de l’interface virtuelle est rempli automatiquement.
  • Activer HA Heartbeat : Activez la synchronisation des pulsations HA via cette interface. Cette option est activée si vous avez configuré une appliance secondaire pour HA. Sélectionnez cette option pour permettre aux appliances principales et secondaires de synchroniser les battements de cœur HA sur cette interface. Spécifiez l’adresse IP de l’appliance principale et secondaire.
  • Domaine de routage : domaine de routage qui fournit un point d’administration unique du réseau de succursales ou d’un réseau de centre de données.
  • Zones de pare-feu : zone de pare-feu à laquelle appartient l’interface. Les zones de pare-feu sécurisent et contrôlent les interfaces dans la zone logique.
  • Mode client : sélectionnez Mode client dans la liste déroulante. Sur la sélection de PPPoE Static affiche plus de paramètres.

    Remarque

    Lorsque le mode Site (sous l’onglet Détails du site) est sélectionné comme Branche et que le champ Sécurité (sous l’onglet Interface ) est sélectionné comme Non fiable, l’option dynamique PPPoE est disponible sous Mode client.

    Citrix SD-WAN agit en tant que client PPPoE. Pour IPv4, le SD-WAN obtient l’adresse IPv4 dynamique ou utilise l’adresse IPv4 statique. Pour IPv6, il obtient l’adresse locale du lien auprès du serveur PPPoE. Pour l’adresse de monodiffusion IPv6, vous pouvez utiliser une adresse IP statique, DHCP ou SLAAC.

  • Client DHCP : lorsqu’il est activé sur les interfaces virtuelles, le serveur DHCP attribue dynamiquement des adresses IPv4 au client connecté.
  • Client IPv6 DHCP : lorsqu’il est activé sur les interfaces virtuelles, le serveur DHCP attribue dynamiquement des adresses IPv6 au client connecté.
  • SLAAC : cette option n’est disponible que pour les adresses IPv6. Lorsque cette option est sélectionnée, l’interface obtient des adresses IPv6 via la configuration automatique des adresses sans état (SLAAC).
  • Diffusion dirigée : lorsque la case Diffusion dirigée est cochée, les diffusions dirigées sont envoyées aux sous-réseaux IP virtuels de l’interface virtuelle.
  • Activé : par défaut, la case Activé est cochée pour toutes les interfaces virtuelles. Si vous souhaitez désactiver l’interface virtuelle, désactivez la case à cocher Activé .

    Remarque

    • La case à cocher Activé n’est disponible qu’à partir de Citrix SD-WAN version 11.3.1.
    • L’option de désactivation d’une interface virtuelle n’est disponible que si elle n’est pas utilisée par une interface d’accès de liaison WAN. Si l’interface virtuelle est utilisée par une interface d’accès WAN, la case à cocher est en lecture seule et sélectionnée par défaut.
    • Lors de la configuration d’autres fonctionnalités, ainsi que des interfaces virtuelles activées, les interfaces virtuelles désactivées sont également répertoriées, sauf sous Interfaces d’accès pour un lien WAN. Même si vous sélectionnez une interface virtuelle désactivée, l’interface virtuelle n’est pas prise en compte et n’a pas d’impact sur la configuration du réseau.
  • + Adresse IPv4 : adresseIPv4 virtuelle et masque réseau de l’interface.
  • + Adresse IPv6 : adresseIPv6 virtuelle et préfixe de l’interface.
  • Identité : Choisissez une identité à utiliser pour les services IP. Par exemple, l’identité est utilisée comme adresse IP source pour communiquer avec les voisins BGP.
  • Privé : lorsque cette option est activée, l’adresse IP virtuelle est uniquement routable sur l’appliance locale.

Remarque

  • Les ports LTE ne prennent pas en charge les adresses IP statiques (IPv4 et IPv6).
  • Les ports LTE prennent en charge les protocoles DHCP et SLAAC. La configuration de DHCPv4 ou DHCPv6 est obligatoire. Le SLAAC est facultatif.
  • Dans les ports LTE, les adresses Link-Local peuvent être configurées pour IPv6 ou SLAAC.

Informations d’identification PPPoE

Le protocole PPPoE (Point-to-Point Protocol over Ethernet) connecte plusieurs utilisateurs d’ordinateurs sur un réseau local Ethernet à un site distant par l’intermédiaire d’appliances locales communes, par exemple, Citrix SD-WAN. PPPoE permet aux utilisateurs de partager une ligne d’abonné numérique (DSL), un modem câble ou une connexion sans fil commune à Internet. PPPoE combine le protocole PPP (Point-to-Point Protocol), couramment utilisé dans les connexions commutées, avec le protocole Ethernet, qui prend en charge plusieurs utilisateurs dans un réseau local. Les informations de protocole PPP sont encapsulées dans une trame Ethernet.

Les appliances Citrix SD-WAN utilisent le protocole PPPoE pour permettre aux FAI d’avoir des connexions DSL et modem câble continues et continues, contrairement aux connexions par modem câble. PPPoE fournit à chaque session de site utilisateur distant pour apprendre les adresses réseau de l’autre par le biais d’un échange initial appelé « découverte ». Une fois qu’une session est établie entre un utilisateur individuel et le site distant, par exemple un fournisseur d’accès Internet, la session peut être surveillée. Les entreprises utilisent un accès Internet partagé sur des lignes DSL à l’aide d’Ethernet et de PPPoE.

Citrix SD-WAN agit en tant que client PPPoE. Pour IPv4, le SD-WAN obtient l’adresse IPv4 dynamique ou utilise l’adresse IPv4 statique. Pour IPv6, il obtient l’adresse locale du lien auprès du serveur PPPoE. Pour l’adresse de monodiffusion IPv6, vous pouvez utiliser une adresse IP statique, DHCP ou SLAAC.

Les éléments suivants sont requis pour que les sessions PPPoE réussissent :

  • Configurer l’interface réseau virtuel (VNI).
  • Informations d’identification uniques pour créer une session PPPoE.
  • Configurer le lien WAN. Chaque VNI ne peut avoir qu’un seul lien WAN configuré.
  • Configurez l’adresse IP virtuelle. Chaque session obtient une adresse IP unique, dynamique ou statique, en fonction de la configuration fournie.
  • Déployez l’appliance en mode pont pour utiliser PPPoE avec une adresse IP statique et configurez l’interface comme « fiable ». «
  • Il est préférable que l’adresse IP statique ait une configuration pour forcer l’adresse IP proposée par le serveur ; si elle est différente de l’adresse IP statique configurée, une erreur peut se produire.
  • Déployez l’appliance en tant que périphérique Edge pour utiliser le protocole PPPoE avec une adresse IP dynamique et configurez l’interface comme « non fiable ». «
  • Les protocoles d’authentification pris en charge sont PAP, CHAP, EAP-MD5, EAP-SRP.
  • Le nombre maximal de sessions multiples dépend du nombre de VNI configurés.
  • Créez plusieurs VNI pour prendre en charge plusieurs sessions PPPoE par groupe d’interface.

Remarque

Plusieurs VNI peuvent être créés avec la même balise VLAN 802.1Q.

Limitations pour la configuration PPPoE :

  • Le balisage VLAN 802.1q n’est pas pris en charge.
  • L’authentification EAP-TLS n’est pas prise en charge.
  • Compression d’adresse/de contrôle.
  • Dégonfler la compression.
  • Négociation de compression de champ de protocole
  • Protocole de contrôle de compression.
  • Compression BSD Compresser.
  • Protocoles IPX.
  • PPP Multi-Link.
  • Compression d’en-tête TCP/IP de style Van Jacobson.
  • Option de compression de l’ID de connexion dans la compression d’en-tête TCP/IP de style Van Jacobson.
  • PPPoE n’est pas pris en charge sur les interfaces LTE.

Dans la version 11.3.1 de Citrix SD-WAN, un en-tête PPPoE supplémentaire de 8 octets est envisagé pour ajuster la taille maximale du segment (MSS) de TCP. L’en-tête PPPoE supplémentaire de 8 octets ajuste le MSS dans les paquets de synchronisation en fonction du MTU. Le MTU pris en charge est compris entre 1 280 octets et 1 492 octets.

Configuration de PPPoE

Sur un MCN, vous ne pouvez configurer que le PPPoE statique. Sur une branche, vous pouvez configurer le PPPoE statique ou le PPPoE dynamique.

Pour configurer PPPoE, au niveau du site, accédez à Configuration > Configuration du site > onglet Interfaces . Dans la section Interfaces virtuelles, sélectionnez l’option PPPoE appropriée dans la liste déroulante Mode client .

Remarque

  • Un VNI configuré avec plusieurs interfaces ne peut avoir qu’une seule interface utilisée pour la connectivité PPPoE.
  • Si un VNI configuré avec plusieurs interfaces et une connectivité PPPoE est remplacé par une autre interface, la page Rapports > Temps réel > PPPoE peut être utilisée pour arrêter la session existante et démarrer une nouvelle session. La nouvelle session peut ensuite être établie via la nouvelle interface.
  • Si PPPoE Dynamic est sélectionné, le VNI doit être « Non approuvé. »

Informations d'identification PPPoE

  • Nom AC : Fournissez le nom du concentrateur d’accès (AC) pour la configuration PPPoE.
  • Nom du service : Entrez un nom de service.
  • Suspendre (s) de reconnexion : Entrez l’heure de suspension de la tentative de reconnexion.
  • Nom d’utilisateur : Entrez le nom d’utilisateur pour la configuration PPPoE.
  • Mot de passe : Entrez le mot de passe pour la configuration PPPoE.
  • Authentification : sélectionnez le protocole d’autorisation dans la liste déroulante.
    • Lorsque l’option Auth est définie sur Auto, l’appliance SD-WAN honore la demande de protocole d’authentification prise en charge reçue du serveur.
    • Lorsque l’option Auth est définie sur PAP/CHAP/EAP, seuls les protocoles d’authentification spécifiques sont respectés. Si PAP est dans la configuration et que le serveur envoie une demande d’authentification avec CHAP, la demande de connexion est rejetée. Si le serveur ne négocie pas avec PAP, un échec d’authentification se produit.

Une seule création de lien WAN est autorisée par VNI statique ou dynamique PPPoE. La configuration de liaison WAN varie en fonction de la sélection VNI du mode client.

Si le VNI est configuré avec le mode client dynamique PPPoE :

  • Les champs d’adresse IP et d’adresse IP de passerelle deviennent inactifs.
  • Le mode de chemin virtuel est défini sur « Primaire ».
  • L’ARP proxy ne peut pas être configuré.

Par défaut, la liaison d’adresses MAC de passerelle est sélectionnée.

Si le VNI est configuré avec le mode client statique PPPoE, configurez l’adresse IP.

Remarque

Si le serveur ne respecte pas l’adresse IP statique configurée et propose une adresse IP différente, une erreur se produit. La session PPPoE tente de rétablir la connexion périodiquement, jusqu’à ce que le serveur accepte l’adresse IP configurée.

Surveillance et résolution des problèmes PPPoE

Au niveau du site, naviguez dans la section Rapports > Temps réel > PPPoE pour afficher des informations sur les VNI configurés avec le mode client statique ou dynamique PPPoE. Il vous permet de démarrer ou d’arrêter manuellement les sessions à des fins de dépannage.

Rapport PPPoE

En cas de problème lors de l’établissement d’une session PPPoE :

  • Lorsque vous passez la souris sur l’état d’échec, vous pouvez voir la raison de l’échec récent.
  • Pour établir une nouvelle session ou pour dépanner une session PPPoE active, redémarrez la session.
  • Si une session PPPoE est arrêtée manuellement, elle ne peut pas être démarrée tant qu’elle n’a pas été démarrée manuellement et qu’un changement de configuration n’est pas activé ou que le service n’a pas redémarré.

Une session PPPoE peut échouer pour les raisons suivantes :

  • Lorsque le SD-WAN ne parvient pas à s’authentifier auprès de l’homologue en raison d’un nom d’utilisateur/mot de passe incorrect dans la configuration.
  • La négociation PPP échoue - la négociation n’atteint pas le point où au moins un protocole réseau est en cours d’exécution.
  • Problème de mémoire système ou de ressource système.
  • Configuration invalide/incorrecte (nom d’AC ou nom de service incorrect).
  • Échec de l’ouverture du port série en raison d’une erreur du système d’exploitation.
  • Aucune réponse n’a été reçue pour les paquets d’écho (la liaison est défectueuse ou le serveur ne répond pas).
  • Il y a eu plusieurs sessions de numérotation infructueuses continues avec en une minute.

Après 10 échecs consécutifs, la raison de l’échec est observée.

  • Si l’échec est normal, il redémarre immédiatement.
  • Si l’échec est une erreur, le redémarrage revient pendant 10 secondes.
  • Si l’échec est fatal, le redémarrage revient pendant 30 secondes avant le redémarrage.

Les paquets de requête LCP Echo sont générés à partir du SD-WAN toutes les 60 secondes et le défaut de recevoir 5 réponses d’écho est considéré comme un échec de liaison et il rétablit la session.

  • Si le VNI est opérationnel et prêt, les colonnes IP et IP de passerelle affichent les valeurs actuelles de la session. Il indique qu’il s’agit de valeurs récemment reçues.
  • Si le VNI est arrêté ou est en état d’échec, les valeurs sont les dernières valeurs reçues.
  • Passez la souris sur la colonne IP de la passerelle pour afficher l’adresse MAC du concentrateur d’accès PPPoE à partir duquel la session et l’adresse IP sont reçues.
  • Passez la souris sur la valeur « État » pour afficher un message, ce qui est plus utile pour un état « Échec ».
Type de session PPPoE Couleur du statut Description
Configuré Jaune Un VNI est configuré avec PPPoE. C’est un état initial.
Numérotation Jaune Une fois qu’un VNI est configuré, l’état de la session PPPoE passe à l’état de numérotation en démarrant la découverte PPPoE. Les informations sur les paquets sont capturées.
La Jaune Le VNI passe de l’état de découverte à l’état de session, en attendant de recevoir une adresse IP, s’il est dynamique, ou en attente d’un accusé de réception du serveur pour l’adresse IP annoncée, si elle est statique.
Prêt Vert Les paquets IP sont reçus et le VNI et la liaison WAN associée sont prêts à être utilisés.
Échec Rouge La session PPP/PPPoE est terminée. La raison de l’échec peut être due à une configuration non valide ou à une erreur fatale. La session tente de se reconnecter après 30 secondes.
Arrêté Jaune La session PPP/PPPoE est arrêtée manuellement.
Terminer Jaune Un état intermédiaire se terminant pour une raison. Cet état démarre automatiquement après une certaine durée (5 secondes pour une erreur normale ou 30 secondes pour une erreur fatale).
Désactivé Jaune Le service SD-WAN est désactivé.

Le fichier SDWAN_ip_learned.log contient des journaux liés à PPPoE. Accédez à Résolution des problèmes > Journaux des périphériques pour afficher ou télécharger le fichier SDWAN_ip_learned.log .

Configuration 802.1X filaire

Le 802.1X filaire est un mécanisme d’authentification qui oblige les clients à s’authentifier avant de pouvoir accéder aux ressources du réseau local. Le service Citrix SD-WAN Orchestrator prend en charge la configuration de l’authentification 802.1X filaire sur les interfaces LAN.

Dans le réseau Citrix SD-WAN, les clients envoient des demandes d’authentification à l’appliance Citrix SD-WAN pour accéder aux ressources LAN. L’appliance Citrix SD-WAN agit en tant qu’authentificateur et envoie les demandes d’authentification au serveur d’authentification. Le service Citrix SD-WAN Orchestrator prend en charge uniquement les serveurs RADIUS à configurer en tant que serveurs d’authentification.

Lors de la première authentification, seuls les paquets EAPOL peuvent être traités ou les paquets DHCP capables d’initialiser l’authentification 802.1X à partir du réseau local virtuel par défaut. Un client nouvellement connecté doit être authentifié dans les 90 secondes. Si l’authentification est réussie, elle a accès aux ressources du réseau local.

Si l’authentification échoue, le client n’a pas accès au réseau et tous les paquets sont supprimés. Les clients directement connectés à l’appliance Citrix SD-WAN peuvent réessayer l’authentification en débranchant le câble Ethernet et en le réinsérant. Vous pouvez éventuellement définir un réseau local virtuel spécifique pour accorder l’accès à des ressources LAN limitées pour les demandes d’authentification ayant échoué. Dans de tels cas, les demandes d’authentification qui ont échoué ont accès au réseau local virtuel spécifié. Vous pouvez restreindre l’accès au trafic authentifié en utilisant différents domaines de routage ou zones de pare-feu lors de la création du réseau local virtuel.

Remarque

  • La norme 802.1X doit toujours être activée sur le réseau local virtuel par défaut.
  • Les réseaux locaux virtuels dynamiques ne sont pas pris en charge.

Schéma d'architecture 802.1x

L’appliance Citrix SD-WAN s’attend à recevoir des paquets sans balise 802.1Q (paquets non balisés). Si l’appliance Citrix SD-WAN reçoit un paquet avec une balise 802.1Q définie sur le réseau local virtuel attribué, tous les paquets provenant du MAC doivent être balisés. Si un paquet est reçu sans étiquette 802.1Q dans l’en-tête ou avec une étiquette autre que le réseau local virtuel auquel appartient l’adresse MAC, le paquet est supprimé.

Lorsque plusieurs clients connectés à un commutateur tentent de s’authentifier en même temps sur un seul port, chaque client est authentifié individuellement, avant de pouvoir accéder aux ressources du réseau local. Les clients qui ne parviennent pas à s’authentifier peuvent recommencer l’authentification en débranchant le câble Ethernet, en attendant 3 minutes et en réinsérant le câble Ethernet. Les plateformes Citrix SD-WAN 110, 210 et 410 prennent en charge un maximum de 32 clients (authentifiés et non authentifiés). Toutes les autres plateformes prennent en charge un maximum de 64 clients (authentifiés et non authentifiés).

Pour configurer l’authentification 802.1X, accédez à Configuration du site > Interfaces et activez le bouton Activer le 802.1x . Sélectionnez un profil RADIUS existant ou cliquez sur Créer un profil RADIUS pour créer un profil RADIUS. Pour plus de détails sur la création d’un profil RADIUS, voir Profils de serveur RADIUS. Vous pouvez utiliser les mêmes profils RADIUS pour l’authentification filaire 802.1x et l’authentification WPA2-Enterprise sans fil, à condition que votre appliance prenne en charge le WPA2-Enterprise sans fil.

Sélectionnez une interface virtuelle dans la liste déroulante VIF authentifiée . L’interface virtuelle sélectionnée donne accès aux ressources du réseau local pour les demandes d’authentification réussies.

Vous pouvez éventuellement sélectionner une interface dans la liste déroulante VIF non authentifiée . L’interface virtuelle sélectionnée donne accès à une ressource LAN spécifique pour les demandes authentifiées ayant échoué.

Vous pouvez ajouter une liste d’adresses MAC qui contourne le processus d’authentification. Le trafic provenant de ces adresses MAC sera implicitement traité comme authentifié. Ces adresses MAC sont susceptibles de faire l’objet d’attaques malveillantes. Utilisez donc cette fonctionnalité uniquement dans des environnements physiquement sécurisés et pour le matériel existant qui ne prend pas en charge l’authentification 802.1x filaire.

Configuration 802.1x

Vous pouvez consulter les alertes associées aux demandes d’authentification 802.1x câblées sous Rapports > Alertes. Pour plus d’informations, voir Alertes.

Liens WAN

L’étape suivante consiste à configurer les liens WAN. Cliquez sur + Lien WAN pour commencer à configurer un lien WAN.

La configuration de la liaison WAN implique la configuration du type d’accès à la liaison WAN et des attributs d’interface d’accès.

Vous pouvez configurer l’attribut de lien WAN à partir de zéro ou utiliser un modèle de lien WAN pour configurer rapidement les attributs de lien WAN. Si vous avez déjà utilisé un profil de site, les attributs du lien WAN sont automatiquement renseignés.

Attributs de liaison WAN

Attributs de lien WAN

  • Nom du modèle : nom du modèle de lien WAN utilisé pour créer le lien WAN. Le nom du modèle de lien WAN ne peut pas être modifié après la création des liens WAN. Une fois les liens WAN créés à l’aide d’un modèle de lien WAN, vous ne pouvez pas modifier le type d’accès, le nom du fournisseur de services Internet ou la catégorie Internet.
  • Type d’accès : Spécifie le type de connexion WAN de la liaison.
    • Internet public : indique que le lien est connecté à Internet via un fournisseur de services Internet.
    • Intranet privé : indique que le lien est connecté à un ou plusieurs sites au sein du réseau SD-WAN et ne peut pas se connecter à des emplacements situés en dehors du réseau SD-WAN.
    • MPLS : variante spécialisée de l’intranet privé. Indique que le lien utilise une ou plusieurs balises DSCP pour contrôler la qualité de service entre deux points ou plus sur un intranet et ne peut pas se connecter à des emplacements situés en dehors du réseau SD-WAN.
  • Nom du fournisseurde services Internet : nom du fournisseur de services.
  • Catégorie Internet : type de service technologique d’accès Internet par liaison WAN (haut débit, satellite, fibre, LTE, etc.) activé sur la liaison WAN.
  • Nom du lien : renseigné automatiquement en fonction des entrées précédentes.
  • Adresse IP de suivi : adresse IP virtuelle sur le chemin virtuel qui peut être envoyée par ping pour déterminer l’état du chemin.
  • AdresseIPv4 publique et adresseIPv6 publique : adresse IP du serveur NAT ou DNS. Cette adresse est applicable et exposée, uniquement lorsque le type d’accès de liaison WAN est Public Internet ou Private Intranet dans le déploiement Serial HA. L’adresse IP publique peut être configurée manuellement ou auto-apprise à l’aide de l’option Auto Learn.
  • Détection automatique : lorsqu’elle est activée, l’appliance SD-WAN détecte automatiquement l’adresse IP publique. Cette option n’est disponible que lorsque le rôle de l’appareil est une branche et non le nœud de contrôle principal (MCN).
  • Vitesse desortie : vitessedu WAN au réseau local.
    • Vitesse : vitessedisponible ou autorisée du trafic WAN vers LAN en Kbits/s ou Mbits/s.
    • Taux autorisé : dans les cas où l’intégralité de la capacité de la liaison WAN n’est pas censée être utilisée par l’appliance SD-WAN, modifiez le débit autorisé en conséquence.
    • Apprentissage automatique : lorsque vous n’êtes pas sûr de la bande passante et que les liens ne sont pas fiables, vous pouvez activer la fonction d’apprentissage automatique. La fonction d’apprentissage automatique apprend uniquement la capacité de liaison sous-jacente et utilise la même valeur à l’avenir.
    • Débit physique : capacité de bande passante réelle de la liaison WAN.
  • Vitesse d’entrée : vitessedu réseau local au réseau étendu.
    • Vitesse : vitessedisponible ou autorisée du trafic LAN vers WAN en Kbits/s ou Mbits/s.
    • Taux autorisé : dans les cas où toute la capacité de la liaison LAN n’est pas censée être utilisée par l’appliance SD-WAN, modifiez le débit autorisé en conséquence.
    • Apprentissage automatique : lorsque vous n’êtes pas sûr de la bande passante et que les liens ne sont pas fiables, vous pouvez activer la fonction d’apprentissage automatique. La fonction d’apprentissage automatique apprend uniquement la capacité de liaison sous-jacente et utilise la même valeur à l’avenir.
    • Débit physique : capacité de bande passante réelle de la liaison LAN.

Files d’attente MPLS

Les paramètres de file d’attente MPLS sont disponibles uniquement pour les accès à une liaison WAN de type MPLS. Cette option est destinée à activer la définition des files d’attente correspondant aux files d’attente MPLS du fournisseur de services, sur la liaison WAN MPLS MPLS. Pour plus d’informations sur l’ajout de files d’attente MPLS, voir Files d’attente MPLS.

Interface d’accès

Une interface d’accès définit l’adresse IP et l’adresse IP de passerelle d’une liaison WAN. Au moins une interface d’accès est requise pour chaque liaison WAN. Voici les paramètres de l’interface d’accès :

  • Nom de l’interface d’accès : nom par lequel l’interface Access est référencée. La valeur par défaut utilise la convention de nommage suivante : WAN_link_name-AI-number : où WAN_LINK_Name est le nom du lien WAN que vous associez à cette interface, et le numéro est le nombre d’interfaces d’accès actuellement configurées pour ce lien, incrémenté de 1.
  • Interface virtuelle : interfacevirtuelle utilisée par l’interface d’accès. Sélectionnez une entrée dans le menu déroulant des Interfaces virtuelles configurées pour le site de succursale actuel.
  • Mode chemin virtuel : Spécifie la priorité du trafic du chemin virtuel sur la liaison WAN actuelle. Les options sont les suivantes : Primaire, Secondaireou Exclure. Si elle est définie sur Exclure, l’interface d’accès est utilisée uniquement pour le trafic Internet et Intranet.
  • Adresse IP : adresseIP du point de terminaison de l’interface d’accès entre l’appliance et le WAN. Sélectionnez V4 (IPv4) ou V6 (IPv6) selon vos besoins.
  • Adresse IP de la passerelle : adresse IP du routeur de passerelle.
  • Lier l’interface d’accès à la passerelle MAC : si cette option est activée, l’adresse MAC source des paquets reçus sur les services Internet ou Intranet doit correspondre à l’adresse MAC de la passerelle (liens Wank > Options WAN avancées).
  • Activer le proxy ARP : si cette option est activée, l’appliance Virtual WAN répond aux demandes ARP concernant l’adresse IP de la passerelle, lorsque la passerelle est inaccessible.
  • Activer l’accès à Internet sur le ou les domaines de routage : crée automatiquement une route PAR DÉFAUT (0.0.0.0/0) dans toutes les tables de routage des domaines de routage respectifs. Vous pouvez activer pour TOUS les domaines de routage ou AUCUN. Il évite la nécessité de créer une route statique exclusive sur tous les domaines de routage s’ils avaient besoin d’un accès Internet.

Interface d'accès

Services

La section Services vous permet d’ajouter des types de services et d’allouer le pourcentage de bande passante à utiliser pour chaque type de service. Vous pouvez définir les types de services et configurer leurs attributs dans la section Services de livraison . Vous pouvez choisir d’utiliser ces valeurs par défaut globales ou de configurer des paramètres de bande passante de service spécifiques à un lien dans la liste déroulante Paramètres de bande passante du service . Si vous choisissez un lien spécifique, entrez les détails suivants :

  • Nom du service : nom du service de liaison WAN.
  • % d’allocation : juste part garantie de bande passante allouée au service par rapport à la capacité totale de la liaison.
  • Mode : modede fonctionnement de la liaison WAN, en fonction du service sélectionné. Pour Internet, il y a un des services Primaire, Secondaire et Solde, et pour Intranet, il y a primaire et secondaire.
  • Taille de l’en-tête du tunnel : taille de l’en-tête du tunnel, en octets.
  • Tag LAN vers WAN : La balise DHCP à appliquer aux paquets LAN vers WAN sur le service.
  • Délai LAN vers WAN : durée maximale de mise en mémoire tampon des paquets lorsque la bande passante des liaisons WAN est dépassée.
  • Minimum Kbits/s du réseau local vers le WAN : valeur minimale de bande passante de téléchargement réservée au service. Le champ Min Kbits/s est obligatoire.
  • Kbits/s max. LAN vers WAN : valeur de bande passante de téléchargement maximale réservée au service. Le champ Max Kbits/s est facultatif et la valeur ne peut pas être inférieure à la valeur de bande passante de téléchargement minimale configurée. La valeur doit être supérieure ou égale à la valeur de bande passante de téléchargement minimale.
  • Balise WAN vers LAN : La balise DHCP à appliquer aux paquets WAN vers LAN du service.
  • Correspondance WAN vers LAN : critères de correspondance pour les paquets Internet WAN vers LAN à attribuer au service.
  • Min. Kbits/s WAN vers LAN : valeur minimale de bande passante de téléchargement réservée au service. Le champ Min Kbits/s est obligatoire.
  • Kbits/s max. du WAN au réseau local : valeur maximale de bande passante de téléchargement réservée au service. Le champ Max Kbits/s est facultatif et la valeur ne peut pas être inférieure à la valeur de bande passante de téléchargement minimale configurée. La valeur doit être supérieure ou égale à la valeur de bande passante de téléchargement minimale.
  • Grooming WAN vers LAN : si cette option est activée, les paquets sont supprimés de manière aléatoire pour éviter que le trafic WAN vers LAN ne dépasse la bande passante allouée au Service.

Remarque

Les champs minimum et maximum en Kbits/s ne sont pas disponibles pour le chemin virtuel.

Services

Paramètres du chemin virtuel pour le lien

Sélectionnez le provisionnement de bande passante relative sur les chemins virtuels comme étant global par défaut ou spécifique au lien, selon les besoins. Lorsque vous sélectionnez Link Specific, lorsque vous activez le provisionnement automatique de la bande passante, la part de bande passante du service de chemin virtuel est automatiquement calculée et appliquée en fonction de l’ampleur de la bande passante susceptible d’être consommée par les sites distants.

  • Rapport de bande passante max/minimum du chemin virtuel pour le lien : vous pouvez définir le ratio de chemin virtuel maximal et minimum qui peut être appliqué à la liaison WAN sélectionnée.

  • Bande passante réservée minimale pour chaque chemin virtuel (Kbits/s) : Vous pouvez définir la valeur minimale de bande passante réservée en Kbit/s pour chaque chemin virtuel.

Provisionnement de chemins virtuels pour la liaison

Pour personnaliser les bandes passantes des chemins virtuels associés à une liaison WAN :

  1. Décochez la case Activer le Provisioning automatique de la bande passante sur tous les chemins virtuels associés au lien .

  2. Dans la section Allocation de bande passante personnalisée pour les chemins virtuels, sélectionnez un site distant. Vous pouvez fournir des bandes passantes pour les chemins virtuels vers le site distant.

    • Bande passante minimale (Kbit/s) : bande passante minimale réservée au chemin virtuel. La bande passante minimale que vous pouvez définir pour un chemin virtuel est de 80 Kbits/s.

    • Bande passante maximale (Kbits/s) : bande passante maximale que le chemin virtuel peut utiliser à partir de la liaison WAN. Si la bande passante maximale n’est pas définie, le site utilise toute la bande passante disponible.

    • Allocation de bande passante (mesure relative) : part de bande passante allouée à un chemin virtuel en dehors de la bande passante éligible de son groupe. Par exemple, si un groupe de liaisons WAN composé de 3 chemins virtuels est éligible à une bande passante de 30 Mbits/s et que vous souhaitez allouer une bande passante égale à chaque chemin virtuel, mettez à jour 10 comme allocation de bande passante sur le site distant.

    Approvisionnement de bande

  3. Cliquez sur Terminé.

Remarque

Le service Citrix SD-WAN Orchestrator conserve les paramètres de bande passante personnalisés précédemment configurés, même après la désactivation des chemins virtuels dynamiques précédemment configurés entre deux sites. Veillez à mettre à jour les paramètres de bande passante personnalisés manuellement lorsque vous reconfigurez les chemins virtuels dynamiques.

Points à prendre en compte pour l’approvisionnement en bande passante

  • Par défaut, toutes les succursales et tous les services WAN (chemin virtuel/Internet/Intranet) reçoivent une pondération de 1 chacun.

  • La personnalisation de la bande passante est requise lorsqu’il existe une grande disparité en termes de besoins en bande passante.

  • Lorsque des chemins virtuels dynamiques sont activés entre les sites disponibles, la capacité du lien WAN est partagée entre le chemin virtuel statique vers le centre de données et les chemins virtuels dynamiques.

Options WAN avancées

Les paramètres avancés du lien WAN permettent de configurer les attributs spécifiques du fournisseur de services Internet.

  • Seuil de congestion : niveaude congestion au-delà duquel la liaison WAN limite la transmission des paquets afin d’éviter une congestion supplémentaire.
  • ID du fournisseur : identifiant unique permettant au fournisseur de différencier les chemins lors de l’envoi de paquets dupliqués.
  • Coût de trame (octets) : octets d’en-tête/de bande supplémentaires ajoutés à chaque paquet, par exemple pour les remorques Ethernet IPG ou AAL5.
  • MTU (octets) : la plus grande taille de paquet brute en octets, sans compter le coût de trame.
  • Mode veille : Un lien de secours n’est pas utilisé pour transporter le trafic utilisateur à moins qu’il ne devienne actif. Le mode veille d’une liaison WAN est désactivé par défaut. Pour plus d’informations sur le mode veille, voir Mode veille.

    Option WAN avancée

  • Activer le comptage : suit l’utilisation sur une liaison WAN et alerte l’utilisateur lorsque l’utilisation de la liaison dépasse le plafond de données configuré. Pour des informations détaillées sur le comptage, consultez la section Comptage et liaisons WAN de secours.

    Activer la mesure

  • Détection adaptative de la bande passante : utilise la liaison WAN à un débit de bande passante réduit lorsqu’une perte est détectée. Lorsque la bande passante disponible est inférieure à la bande passante minimale acceptableconfigurée, le chemin est marqué comme MAUVAIS. Utilisez la sensibilité aux pertes incorrecte personnalisée sous Path ou AutoPath avec Détection de bande passante adaptative.

    Remarque

    La détection de bande passante adaptative est disponible uniquement pour le client et non pour MCN.

    • Bande passante minimale acceptable : lorsque le débit de bande passante varie, pourcentage de débit autorisé entre le WAN et le réseau local en dessous duquel le chemin est marqué comme MAUVAIS. Le nombre minimum de kbps est différent de chaque côté d’un chemin virtuel. La valeur peut être comprise entre 10 et 50 % et la valeur par défaut étant de 30 %.

Pour plus d’informations, voir Détection de bande passante adaptative

Itinéraires

L’étape suivante du workflow de configuration du site consiste à créer des itinéraires. Vous pouvez créer des itinéraires applicatifs et IP en fonction des exigences de votre site.

REMARQUE

Les itinéraires qui ont été ajoutés avant d’introduire les onglets Route de l’application et Route IP sont répertoriés sous l’onglet Routes IP avec Delivery Service en tant qu’Internet.

Les itinéraires globaux et les itinéraires spécifiques au site qui sont créés au niveau du réseau sont automatiquement répertoriés sous les onglets Routes > Routes et itinéraires de l’application> Routes IP . Vous ne pouvez afficher les itinéraires globaux qu’au niveau du site. Pour modifier ou supprimer un itinéraire global, accédez aux configurations au niveau du réseau.

Vous pouvez également créer, modifier ou supprimer des itinéraires au niveau du site.

itinéraires de configuration du site

Voies d’application

Cliquez sur + Route de l’application pour créer un itinéraire d’application.

  • Critères de correspondance des applications personnalisés :
    • Type de correspondance : sélectionnez le type de correspondance comme Application/Application personnalisée/Groupe d’applications dans la liste déroulante.
    • Application : Choisissez une application dans la liste déroulante.
    • Domaine de routage : sélectionnez un domaine de routage.
  • Direction du trafic
    • Service de livraison : Choisissez un service de livraison dans la liste.
    • Coût : reflète la priorité relative de chaque itinéraire. Réduisez le coût, plus la priorité est élevée.
  • Éligibilité basée sur le parcours :
    • Ajouter un chemin : choisissez un site et des liens WAN, à la fois vers et depuis. Si le chemin ajouté tombe en panne, la route de l’application ne reçoit aucun trafic.

Si une nouvelle route d’application est ajoutée, le coût de l’itinéraire doit se situer dans la plage suivante :

  • Application personnalisée : 1—20
  • Application : 21—40
  • Groupe d’application : 41—60

Routes de l'application de configuration

Routes IP

Accédez à l’onglet Routes IP et cliquez sur + Route IP pour créer la politique d’itinéraire IP afin de piloter le trafic.

  • Critères de correspondance du protocole IP :
    • Réseau de destination : Ajoutez le réseau de destination qui permet de transférer les paquets.
    • Utiliser un groupe IP : vous pouvez ajouter un réseau de destination ou activer la case à cocher Utiliser un groupe IP pour sélectionner n’importe quel groupe IP dans la liste déroulante.
    • Domaine de routage : sélectionnez un domaine de routage dans la liste déroulante.
  • Direction du trafic
    • Service de livraison : Choisissez un service de livraison dans la liste déroulante.
    • Coût : reflète la priorité relative de chaque itinéraire. Réduisez le coût, plus la priorité est élevée.
  • Critères d’éligibilité :
    • Exporter l’itinéraire : si la case Exporter l’itinéraire est cochée et si l’itinéraire est un itinéraire local, l’itinéraire peut être exporté par défaut. Si l’itinéraire est un itinéraire basé sur INTRANET/INTERNET, alors pour que l’exportation fonctionne, le transfert WAN vers WAN doit être activé. Si la case à cocher Exporter l’itinéraire est désactivée, l’itinéraire local ne peut pas être exporté vers un autre SD-WAN et a une signification locale.
  • Éligibilité basée sur le parcours :
    • Ajouter un chemin : choisissez un site et des liens WAN, à la fois vers et depuis. Si le chemin ajouté tombe en panne, la route IP ne reçoit aucun trafic.

Si une nouvelle route IP est ajoutée, le coût de l’itinéraire doit être compris entre 1 et 20.

Configuration du site (route IP)

Résumé

Cette section fournit un résumé de la configuration du site pour permettre un examen rapide avant de soumettre la même configuration.

Résumé de configuration du site

Utilisez l’option Enregistrer en tant que modèle pour enregistrer la configuration du site en tant que modèle à réutiliser sur d’autres sites. Cliquez sur Terminer pour marquer la fin de la configuration du site et vous rediriger vers la page d’ accueil Configuration réseau pour passer en revue tous les sites configurés. Pour plus d’informations, voir Configuration réseau.

Configuration du site