Citrix SD-WAN

Configurer le nœud de succursale

Pour ajouter un nouveau site de succursale à la table Sites et commencer à configurer le site, procédez comme suit :

Remarque

Si vous vous êtes déconnecté du MCN après avoir créé et enregistré le nouveau package de configuration, vous devrez vous reconnecter et rouvrir la configuration avant de pouvoir continuer. Pour ce faire, cliquez sur Ouvrir dans la barre de menus de l’Éditeur de configuration (haut de la zone de page). Une boîte de dialogue vous permet de sélectionner la configuration à modifier.

  1. En continuant dans l’Éditeur de configuration, cliquez sur Ajouterdans la barre Sitespour commencer l’ajout et la configuration du nouveau site de succursale. La boîte de dialogue Ajouter un site s’affiche.

    image localisée

  2. Tapez les informations de site suivantes.

    Remarque

    Les entrées ne peuvent pas contenir d’espaces et doivent être au format Linux.

    • Nom du site : saisissez un nom pour le site.
    • Nom de l’appliance : saisissez le nom que vous souhaitez attribuer à l’appliance.
    • Clé sécurisée — Il s’agit d’une clé hexadécimale de 8 à 32 chiffres utilisée pour le chiffrement et la vérification de l’appartenance dans l’appliance SD-WAN. Par défaut, ce champ est prérempli avec une clé de sécurité générée automatiquement. Acceptez la valeur par défaut ou tapez un format hexadécimal personnalisé.
    • Modèle : sélectionnez le modèle d’appliance dans le menu déroulant.
    • Mode — Sélectionnez le client comme mode.
  3. Cliquez sur Ajouter pour ajouter le site. Le nouveau site est ajouté à l’arborescence Sites et ouvre l’écran de configuration des paramètres de base pour le site.

    image localisée

  4. Tapez les paramètres de base du site, puis cliquez sur Appliquer.

    L’étape suivante consiste à ajouter et configurer les groupes d’interface pour le nouveau site de succursale.

Comment configurer des groupes d’interface pour la branche

Pour ajouter un groupe d’interface au nouveau site de succursale, procédez comme suit :

  1. En continuant dans la vue Sites de l’Éditeur de configuration, sélectionnez le site de succursale dans le menu déroulant Afficher le site . Cela ouvre la vue de configuration pour le site que vous avez sélectionné.

    image localisée

  2. Cliquez sur + pour ajouter le groupe d’interface virtuelle. Une nouvelle entrée de groupe d’ interface virtuelle vide est ajoutée au tableau et s’ouvre pour modification.

  3. Cliquez sur + à droite de Virtual Interfaces. Une nouvelle entrée de groupe vide est ajoutée à la table et s’ouvre pour modification.

    image localisée

  4. Sélectionnez les interfaces Ethernet à inclure dans le groupe.

    Sous Interfaces Ethernet, cliquez sur une interface pour inclure/exclure cette interface. Vous pouvez sélectionner n’importe quel nombre d’interfaces à inclure dans le groupe.

    image localisée

  5. Sélectionnez le mode de contournement dans le menu déroulant (pas par défaut).

    Le mode de contournement spécifie le comportement des interfaces jumelées par pont dans le groupe d’interfaces virtuelles, en cas de défaillance ou de redémarrage d’une appliance ou d’un service. Les options sont : Fail-to-Wire ou Fail-to-Block.

  6. Sélectionnez le niveau de sécurité dans le menu déroulant.

    Indique le niveau de sécurité du segment réseau du groupe d’interface virtuelle. Les options sont les suivantes : Approuvé ou Non approuvé. Les segments approuvés sont protégés par un pare-feu (par défaut est approuvé).

  7. Cliquez sur + dans le bord gauche de l’interface virtuelle que vous avez ajoutée. Le tableau Interfaces virtuelles s’affiche.

    image localisée

  8. Cliquez sur + à droite de Virtual Interfaces. Les ID Nom, Zone de pare-feu et ID VLAN apparaissent.

  9. Tapez le nom et l’ID VLAN de ce groupe d’interface virtuelle.

    • Nom : nom par lequel ces interfaces virtuelles sont référencées.

    • Zone de pare-feu : sélectionnez une zone de pare-feu dans le menu déroulant.

    • IDVLAN : ID permettant d’identifier et de marquer le trafic à destination et en provenance de l’interface virtuelle. Utilisez un ID de 0 (zéro) pour le trafic natif/non marqué.

  10. Cliquez sur + à droite de Bridge Pairs. Une nouvelle entrée Bridge Pairs est ajoutée et s’ouvre pour modification.

  11. Sélectionnez les interfaces Ethernet à associer dans les menus déroulants. Pour ajouter d’autres paires, cliquez à nouveau sur + en regard de Paires de pont.

  12. Cliquez sur Appliquer. Vos paramètres sont appliqués et ajoutés au nouveau groupe d’interface virtuelle de la table.

    Remarque

    À ce stade, une icône d’alerte d’audit delta jaune s’affiche à droite de la nouvelle entrée de groupe d’interface virtuelle. En effet, vous n’avez pas encore configuré d’adresses IP virtuelles (VIP) pour le site. Pour l’instant, vous pouvez ignorer cette alerte, car elle est résolue automatiquement lorsque vous avez correctement configuré les adresses IP virtuelles pour le site.

  13. Pour ajouter d’autres groupes d’interface virtuelle, cliquez sur + à droite de la succursale Groupes d’interface, puis procédez comme ci-dessus.

Comment configurer l’adresse IP virtuelle pour le site de la succursale

L’étape suivante consiste à configurer les adresses IP virtuelles pour le site et à les affecter au groupe approprié.

  1. En continuant dans l’affichage Sites du nouveau site Branch, cliquez sur + à gauche des Adresses IP virtuelles . Le tableau Adresses IP virtuelles du nouveau site s’affiche.

  2. Cliquez sur + à droite de Virtual IP Adresses pour ajouter une adresse. Le formulaire permettant d’ajouter et de configurer une nouvelle adresse IP virtuelle s’affiche.

    image localisée

    image localisée

  3. Tapez les informations Adresse IP / Préfixe, puis sélectionnez l’interface virtuelle à laquelle l’adresse est associée. L’adresse IP virtuelle doit inclure l’adresse hôte complète et le masque réseau.

  4. Sélectionnez les paramètres souhaités pour l’adresse IP virtuelle, tels que la zone de pare-feu, l’identité, la zone privée et la sécurité.

  5. Cliquez sur Appliquer. Les informations d’adresse au site sont ajoutées et les incluent dans le tableau Adresses IP virtuelles du site.

  6. Pour ajouter d’autres adresses IP virtuelles, cliquez sur + à droite des adresses IP virtuelles, puis procédez comme ci-dessus.

Comment configurer les liens WAN pour la branche

L’étape suivante consiste à configurer les liens WAN pour le site.

  1. En poursuivant l’affichage Sites du nouveau site Branch, cliquez sur l’étiquette Liens WAN .

  2. Cliquez sur Ajouter un lien à droite des liens WAN pour ajouter un nouveau lien WAN. La boîte de dialogue Ajouter s’affiche.

    image localisée

  3. (Facultatif) Tapez un nom pour la liaison WAN si vous ne souhaitez pas utiliser la valeur par défaut.

    La valeur par défaut est le nom du site, ajouté avec le suffixe suivant :

    <number>-WL-

    Où <number> est le nombre de liens WAN pour ce site, incrémenté d’un.

  4. Sélectionnez le Type d’accès dans le menu déroulant.

    Les options sont Internet public, Intranet privé ou Changement d’étiquette ​​multiprotocole privé.

  5. Cliquez sur Ajouter. La page de configuration des paramètres de base des liens WAN apparaît et ajoute le nouveau lien WAN non configuré à la page.

    image localisée

  6. Tapez les détails du lien pour la nouvelle liaison WAN. Configurez les paramètres LAN vers WAN, WAN vers LAN.

    Voici quelques lignes directrices :

    • Certains liens Internet peuvent être asymétriques. Une mauvaise configuration de la vitesse autorisée peut nuire aux performances de cette liaison.

    • Évitez d’utiliser des vitesses de rafale supérieures au taux engagé.

    • Pour les liaisons WAN Internet, assurez-vous d’ajouter l’adresse IP publique.

  7. Cliquez sur la barre de section Paramètres avancés grise. Cela ouvre l’écran Paramètres avancés du lien.

    image localisée

  8. Tapez les paramètres avancés du lien.

    • ID du fournisseur — (Facultatif) saisissez un numéro d’identification unique 1—100 pour désigner les liaisons WAN connectées au même fournisseur de services. Virtual WAN utilise l’ID du fournisseur pour différencier les chemins lors de l’envoi de paquets en double.

    • Coût de trame (octets) : saisissez la taille (en octets) de l’en-tête/remorque ajouté à chaque paquet. Par exemple, la taille en octets des remorques Ethernet IPG ou AAL5 ajoutées.

    • Seuil de congestion : saisissez le seuil de congestion (en microsecondes) après quoi la liaison WAN limite la transmission des paquets pour éviter toute congestion supplémentaire.

    • Taille MTU (octets) : saisissez la plus grande taille de paquet brut (en octets), sans inclure le coût de trame.

  9. Cliquez sur la barre de section grise Éligibilité. Cela ouvre l’écran Paramètres d’éligibilité du lien.

  10. Sélectionnez les paramètres d’éligibilité pour le lien.

    image localisée

  11. Cliquez sur la barre de section Lien mesuré grise. Cela ouvre l’écran Paramètres du lien mesuré pour le lien.

  12. (Facultatif) Sélectionnez Activer la mesure pour activer la mesure pour ce lien. Les champs Activer les paramètres de mesure s’affichent.

    image localisée

    image localisée

  13. Configurez les paramètres de mesure pour le lien. Tapez ce qui suit :

    • Data Cap (Mo) : saisissez l’allocation de plafond de données pour le lien, en Mo.
    • Cycle de facturation  : sélectionnez Mensuel ou Hebdomadaire dans le menu déroulant.
    • À partir de : saisissez la date de début du cycle de facturation.
    • Définir le dernier recours — Sélectionnez cette option pour activer ce lien en tant que lien de dernier recours en cas d’échec de tous les autres liens disponibles. Dans des conditions WAN normales, Virtual WAN envoie uniquement un trafic minimal sur les liaisons mesurées, pour vérifier l’état de la liaison. Toutefois, en cas de panne, le SD-WAN peut utiliser des liaisons compteurs actives en dernier recours pour acheminer le trafic de production.
  14. Cliquez sur Appliquer. Cela applique vos paramètres spécifiés à la nouvelle liaison WAN.

    L’étape suivante consiste à configurer les interfaces d’accès pour la nouvelle liaison WAN. Une interface d’accès se compose d’une interface virtuelle, d’une adresse IP du point de terminaison WAN, d’une adresse IP de passerelle et d’un mode chemin virtuel défini collectivement comme une interface pour une liaison WAN spécifique. Chaque liaison WAN doit avoir au moins une interface d’accès.

    Remarque

    Une option de provisionnement automatique des partages en tenant compte de la bande passante distante est ajoutée pour configurer les liaisons WAN. L’option Définir le provisioning à l’aide de la bande passante distante permet aux utilisateurs disposant de grands réseaux et de diverses configurations de bande passante de gérer le Provisioning de bande passante pour les sites de centres de données de manière dynamique.

  15. Sélectionnez Interfaces d’accès dans la page de configuration du lien WAN pour le lien. Cela ouvre la vue Interfaces d’accès pour le site.

    image localisée

    image localisée

  16. Cliquez sur + pour ajouter une interface. Une entrée vide dans le tableau est ajoutée et s’ouvre pour modification. Tapez les paramètres des interfaces d’accès pour le lien.

    Remarque

    Chaque liaison WAN doit avoir au moins une interface d’accès.

    image localisée

  17. Tapez ce qui suit :

    • Nom : Il s’agit du nom par lequel cette interface d’accès est référencée. Tapez un nom pour la nouvelle interface d’accès ou acceptez la valeur par défaut. La valeur par défaut utilise la convention de dénomination suivante :

      WAN_link_name-AI-number

      WAN_Link_name est le nom de la liaison WAN que vous associez à cette interface, et numéro correspond au nombre d’interfaces d’accès actuellement configurées pour ce lien, incrémenté de 1.

    Remarque

    Si le nom apparaît tronqué, vous pouvez placer votre curseur dans le champ, puis cliquer longuement et rouler la souris vers la droite ou la gauche pour voir la partie tronquée.

    • Interface virtuelle : Interface virtuelle utilisée par cette interface d’accès. Sélectionnez une entrée dans le menu déroulant des interfaces virtuelles configurées pour ce site de succursale.
    • Adresse IP : adresse IP du point de terminaison de l’interface d’accès entre l’appliance et le réseau étendu.
    • Adresse IP de la Gateway - Il s’agit de l’adresse IP du routeur de la passerelle.
    • Mode Chemin d’accès virtuel : priorité pour le trafic Chemin d’accès virtuel sur cette liaison WAN. Les options sont : Principal, Secondaireou Exclure. Si cette option est définie sur Exclure, cette interface d’accès est utilisée uniquement pour le trafic Internet et Intranet.
    • Proxy ARP — Cochez la case à activer. Si cette option est activée, l’appliance Virtual WAN répond aux demandes ARP pour l’adresse IP de la Gateway lorsque la passerelle est inaccessible.
  18. Cliquez sur Appliquer.

    Vous avez maintenant terminé de configurer la nouvelle liaison WAN. Répétez ces étapes pour ajouter et configurer des liens WAN supplémentaires pour le site.

    L’étape suivante consiste à ajouter et configurer les itinéraires pour le site.

Comment configurer des itinéraires pour la branche

Pour ajouter et configurer les itinéraires pour le site, procédez comme suit :

  1. Cliquez sur l’affichage Connexions du nouveau site Branch et sélectionnez Itinéraires . Ceci affiche la vue Itinéraires du site.

  2. Cliquez sur + à droite de Itinéraires pour ajouter un itinéraire. La boîte de dialogue Itinéraires s’ouvre à modifier.

    image localisée

  3. Tapez les informations de configuration de l’itinéraire pour le nouvel itinéraire.

    • Adresse IP réseau : saisissez l’adresse IP réseau.

    • Coût : saisissez un poids de 1 à 15 pour déterminer la priorité de l’itinéraire pour cet itinéraire. Les itinéraires à moindre coût ont priorité sur les itinéraires à coût élevé. La valeur par défaut est 5.

    • Type de service : sélectionnez le type de service de l’itinéraire dans le menu déroulant correspondant à ce champ. Les options sont les suivantes :

    • Chemin virtuel : ce service gère le trafic sur les chemins virtuels. Un chemin virtuel est un lien logique entre deux liaisons WAN. Il comprend une collection de chemins WAN combinés pour fournir une communication de niveau de service élevé entre deux nœuds SD-WAN. Ceci est fait en mesurant constamment et en s’adaptant à l’évolution de la demande des applications et des conditions WAN. Les appliances SD-WAN mesurent le réseau par chemin d’accès. Un chemin virtuel peut être statique (existe toujours) ou dynamique (n’existe que lorsque le trafic entre deux appliances SD-WAN atteint un seuil configuré).

    • Internet — Ce service gère le trafic entre un site d’entreprise et des sites d’Internet public. Le trafic de ce type n’est pas encapsulé. Pendant les périodes de congestion, le SD-WAN gère activement la bande passante en limitant le trafic Internet par rapport au chemin virtuel et le trafic Intranet selon la configuration SD-WAN établie par l’administrateur.

    • Intranet : ce service gère le trafic Intranet d’entreprise qui n’a pas été défini pour la transmission sur un chemin virtuel. Comme pour le trafic Internet, il reste non encapsulé, et le SD-WAN gère la bande passante en limitant le débit de ce trafic par rapport aux autres types de services pendant les périodes de congestion. Dans certaines conditions, et s’il est configuré pour l’Intranet Fallback sur le chemin virtuel, le trafic qui circule habituellement avec un chemin virtuel peut être traité comme du trafic intranet, afin de maintenir la fiabilité du réseau.

    • Passthrough : ce service gère le trafic qui doit être transmis via le réseau étendu virtuel. Le trafic dirigé vers le service de transmission comprend les diffusions, les ARP et tout autre trafic non IPv4, ainsi que le trafic sur le sous-réseau local de l’appliance Virtual WAN, les sous-réseaux configurés ou les règles appliquées par l’administrateur réseau. Ce trafic n’est pas retardé, façonné ou modifié par le SD-WAN. Par conséquent, vous devez vous assurer que le trafic Passthrough ne consomme pas de ressources importantes sur les liaisons WAN que l’appliance SD-WAN est configurée pour utiliser pour d’autres services.

    • Local : ce service gère le trafic IP local vers le site qui ne correspond à aucun autre service. Le SD-WAN ignore le trafic provenant et destiné à une route locale.

    • Tunnel GRE — Ce service gère le trafic IP destiné à un tunnel GRE et correspond au tunnel GRE LAN configuré sur le site. La fonction Tunnel GRE vous permet de configurer des appliances SD-WAN pour mettre fin aux tunnels GRE sur le réseau local. Pour un itinéraire avec le type de service GRE Tunnel, la Gateway doit résider dans l’un des sous-réseaux de tunnel du tunnel GRE local.

    • Tunnel IPsec LAN — Ce service gère le trafic IP destiné au tunnel IPsec.

    • Adresses IP de la passerelles : saisissez l’adresse IP de la passerelle pour cet itinéraire.

    • Éligibilité basée sur le chemin (case à cocher) — (Facultatif) Si cette option est activée, l’itinéraire ne reçoit pas de trafic lorsque le chemin sélectionné est en panne.

    • Chemin d’accès : spécifie le chemin à utiliser pour déterminer l’éligibilité de l’itinéraire.

  4. Cliquez sur Appliquer.

    Remarque

    Après avoir cliqué sur Appliquer, des avertissements d’audit peuvent apparaître indiquant que d’autres actions sont nécessaires. Un point rouge ou une icône delta de couleur jaune paille indique une erreur dans la section où il apparaît. Vous pouvez utiliser ces avertissements pour identifier les erreurs ou les informations de configuration manquantes. Faites glisser votre curseur sur une icône d’avertissement d’audit pour afficher une brève description des erreurs dans cette section. Vous pouvez également cliquer sur la barre d’état des audits gris foncé (en bas de la page) pour afficher la liste complète de tous les avertissements d’audit.

    image localisée

    Vous pouvez également modifier les itinéraires configurés comme indiqué ci-dessous.

    image localisée

Vous avez maintenant terminé les étapes requises pour configurer un site client. Vous pouvez également choisir d’effectuer quelques étapes supplémentaires, facultatives, avant de passer à la phase suivante du déploiement. Une liste de ces étapes et des liens vers les instructions sont fournis ci-dessous. Si vous ne souhaitez pas configurer ces fonctionnalités maintenant, vous pouvez passer directement à Préparation des packages d’appliance SD-WAN sur le MCN.

Les étapes facultatives sont les suivantes :

  • Configurer la haute disponibilité : la haute disponibilité est une configuration dans laquelle deux appliances WAN virtuels d’un site servent dans une capacité de partenariat actif/de secours à des fins de redondance. Si vous n’implémentez pas la haute disponibilité pour ce site, vous pouvez ignorer cette étape. Pour obtenir des instructions, reportez-vous à la section Configuration de la haute disponibilité (haute disponibilité) pour le site de succursale (facultatif).

  • Cloner le nouveau site de succursale : vous avez la possibilité de cloner le site de succursale que vous avez configuré et de l’utiliser comme modèle pour ajouter un autre site. Les modèles d’appliance pour le site d’origine et le clone doivent être les mêmes. Pour obtenir des instructions, veuillez consulter la section Clonage du site de succursale (facultatif).

  • Configurer l’optimisation WAN : si votre licence Citrix SD-WAN Virtual WAN inclut des fonctionnalités d’optimisation WAN, vous avez la possibilité d’activer et d’ajouter ces fonctionnalités à votre configuration. Pour ce faire, vous devez remplir la section Optimisation dans l’Éditeur de configuration et enregistrer la configuration modifiée.

Enregistrer la configuration

L’étape suivante consiste à enregistrer la configuration Sites terminée. La configuration est enregistrée dans votre Workspace sur l’appliance locale.

Avertissement

Si la session de console expire ou si vous vous déconnectez de l’interface Web de gestion avant d’enregistrer votre configuration, les modifications de configuration non enregistrées sont perdues. Vous devez ensuite vous reconnecter au système et répéter la procédure de configuration dès le début. Pour cette raison, il est recommandé d’enregistrer le package de configuration souvent, ou à des points clés de la configuration. Remarque

Par mesure de précaution supplémentaire, il est recommandé d’utiliser Enregistrer sous, plutôt que Enregistrer, pour éviter d’écraser le mauvais package de configuration.

Après avoir enregistré le fichier de configuration, vous avez la possibilité de vous déconnecter de l’interface Web de gestion et de poursuivre le processus de configuration ultérieurement. Toutefois, si vous vous déconnectez, vous devez rouvrir la configuration enregistrée lorsque vous reprenez. Les instructions sont fournies dans la section Configurer MCN ; Chargement d’un package de configuration enregistré dans l’éditeur de configuration.

Pour enregistrer le package de configuration actuel, procédez comme suit :

  1. Cliquez sur Enregistrer sous (en haut du volet central de l’Éditeur de configuration). La boîte de dialogue Enregistrer sous s’ouvre.

    image localisée

  2. Tapez le nom du package de configuration. Cliquez sur Enregistrer.

    Remarque

    Si vous enregistrez la configuration dans un package de configuration existant, veillez à sélectionner Autoriser l’écrasement avant d’enregistrer.

    L’étape suivante consiste à configurer les chemins virtuels et le service de chemin virtuel entre le MCN et les sites clients. Les instructions sont fournies dans la Configuration du service de chemin virtuel entre le MCN et les sites clients.

Renommer le site de succursale

Après avoir renommé le site de la succursale, vous devez télécharger un nouveau package de configuration sur le réseau.

  1. À partir du MCN, préparer le déploiement le réseau avec une nouvelle configuration contenant le site de succursale renommé.

  2. Téléchargez le package intermédiaire pour le site de succursale renommé.

  3. Sur le MCN, sélectionnez Activer le réseau intermédiaire. Cela désactive le site renommé et le site devient indisponible.

  4. Accédez à la page Gestion des changements locaux de succursale.

  5. Téléchargez le package téléchargé plus tôt. Cliquez sur Suivant, puis sur Activer.

Renommer le site de succursale avec haute disponibilité

Pour télécharger une nouvelle configuration après avoir renommé un site de succursale activé avec une haute disponibilité :

  1. À partir du MCN, mettre en place le réseau avec une nouvelle configuration qui contient le site de succursale renommé.

  2. Téléchargez le package intermédiaire pour l’appliance active et haute disponibilité avec un site de succursale renommé.

  3. Sur le MCN, sélectionnez Activate Staged pour le réseau. Cela désactive le site renommé et le site devient indisponible.

  4. Accédez à l’appliance active au niveau de la succursale. Accédez à la page Gestion des modifications locales.

  5. Téléchargez le package téléchargé plus tôt. Cliquez sur Suivant, puis sur Activer.

  6. Répétez les étapes 4 (a) et 4 (b) pour l’appliance de secours.

Configurer le nœud de succursale