-
Gérer et surveiller à l'aide de Citrix Application Delivery Management
-
Accélération sécurisée du trafic
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configuration d’un routeur
Pour prendre en charge le mode virtuel en ligne, un routeur doit transférer le trafic WAN entrant et sortant vers l’appliance SD-WAN. Une fois que l’appliance traite le trafic, le routeur doit transférer le trafic entrant de l’appliance au réseau local et le trafic sortant de l’appliance vers le réseau étendu. Vous devez configurer des règles basées sur des stratégies pour éviter les boucles de routage. En outre, le routeur doit surveiller l’état de l’appliance afin qu’elle puisse être contournée en cas de défaillance.
Si le routeur prend en charge la fonction Reverse Path Forwarding, vous devez la désactiver sur les interfaces avec des stratégies pour rediriger le trafic vers une appliance SD-WAN, y compris l’interface connectée à l’appliance. Sinon, le routeur abandonne par intermittence le trafic. Par défaut, la fonction Reverse Path Forwarding est activée sur le routeur.
Remarque : si le réseau dispose de deux routeurs, configurez les procédures suivantes pour chaque routeur à l’aide des adresses IP appropriées identifiées dans la feuille de calcul.
Règles basées sur des règles
En mode virtuel en ligne, les méthodes de transfert de paquets peuvent créer des boucles de routage si les règles de routage ne font pas la distinction entre un paquet qui a été transféré par l’appliance et un autre qui ne l’a pas fait. Vous pouvez utiliser n’importe quelle méthode qui fait cette distinction.
Une méthode typique consiste à consacrer l’un des ports Ethernet du routeur à l’appliance et à créer des règles de routage basées sur le port Ethernet sur lequel les paquets arrivent. Les paquets qui arrivent sur l’interface dédiée à l’appliance ne sont jamais renvoyés à l’appliance, mais les paquets arrivant sur n’importe quelle autre interface peuvent l’être.
Le traffic shaping n’est pas efficace à moins que tout le trafic WAN passe par l’appliance. Voici l’algorithme de routage de base :
- Ne pas retransférer les paquets de l’appliance vers l’appliance.
- Si le paquet arrive du WAN, transmettez le paquet à l’appliance.
- Si le paquet est destiné au WAN, transmettez le paquet à l’appliance.
- Ne pas transférer le trafic LAN vers LAN sur l’appliance.
Contrôle de l’intégrité
Si l’appliance échoue, les données ne doivent pas être acheminées vers elle. Par défaut, le routage basé sur la stratégie Cisco n’effectue pas de surveillance de l’intégrité. Pour activer la surveillance de l’intégrité, définissez une règle pour surveiller la disponibilité de l’appliance et spécifiez l’option « verify-availability » pour la commande « set ip next-hop ». Avec cette configuration, si l’appliance n’est pas disponible, la route n’est pas appliquée et l’appliance est contournée.
Remarque : Citrix recommande le mode virtuel en ligne uniquement lorsqu’il est utilisé avec la surveillance de l’intégrité. De nombreux routeurs qui prennent en charge le routage basé sur des stratégies ne prennent pas en charge la vérification de l’état. La fonction de surveillance de la santé est relativement nouvelle. Il a été d’abord disponible dans Cisco IOS version 12.3(4)T.
Voici un exemple de règle permettant de surveiller la disponibilité de l’appliance à l’aide de Cisco Router modèle 7600 avec la version du logiciel IOS :
``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is in the connected track 123 rtr 1 reachability ! rtr 1 type echo protocol IpIcmpecho 17.17.17.2 schedule 1 life forever start-time now
Cette règle envoie une commande ping régulièrement à l'appliance sur 17.17.17.2. Vous pouvez tester par rapport à 123 pour voir si l'unité est en service.
## Exemple de configuration du routeur
Voici un exemple de configuration d'un routeur Cisco pour le mode virtuel en ligne :
``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.200.51.0 255.255.255.0
ip policy route-map server_side_map
!
interface FastEthernet0/1
ip address 17.17.17.1 255.255.255.0!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
ip policy route-map wan_side_map
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended server_side
permit ip 10.100.51.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.20.20.0 0.0.0.255 10.100.51.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!- Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 17.17.17.1 20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 17.17.17.1 10 track 123
<!--NeedCopy-->
Cet exemple montre comment appliquer une liste d’accès à une carte d’itinéraire et l’attacher à une interface. Les listes d’accès identifient tout le trafic provenant d’un site accéléré et se terminant à l’autre (adresse IP source 10.100.51.0/24 et adresse IP de destination 10.20.20.0/24 ou inversement). Consultez la documentation de votre routeur pour obtenir les détails des listes d’accès et des cartes de routage.
Cette configuration redirige tout le trafic IP correspondant vers les appliances. Si vous souhaitez rediriger uniquement le trafic TCP, vous pouvez modifier la configuration de la liste d’accès comme suit (seule la configuration du côté distant est affichée ici) :
pre codeblock
!
ip access-list extended server_side
permit tcp 10.200.51.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended wan_side
permit tcp 10.20.20.0 0.0.0.255 10.200.51.0 0.0.0.255
!
<!--NeedCopy-->
Configuration des routeurs dans une configuration haute disponibilité
Pour configurer la haute disponibilité entre routeurs, consultez le manuel de configuration de haute disponibilité spécifique au routeur.
Partager
Partager
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.