Citrix SD-WAN

Recommandations

Cet article décrit les meilleures pratiques de déploiement pour la solution Citrix SD-WAN. Il fournit des conseils généraux, des avantages et des cas d’utilisation pour le mode de déploiement Citrix SD-WAN suivant.

Mode Bord/Passerelle

Recommandations

Voici les recommandations pour le déploiementen modepasserelle :

  1. Le mode passerelle est mieux utilisé pour les succursales SD-WAN où la consolidation du routeur se produit et les clients sont prêts à autoriser le SD-WAN à être le périphérique périphérique périphérique qui termine les connexions.

  2. Une excellente architecture réseau peut être rendue avec une conception scrupuleuse lorsqu’un projet est construit à partir de zéro.

Remarque

Le mode passerelle peut être utilisé du côté du centre de données pour les projets existants avec des perturbations d’infrastructure.

Avantages/Cas d’utilisation

Voici les avantages/cas d’utilisation pour le déploiement en mode passerelle :

  1. Meilleur cas d’utilisation pour la consolidation des éléments routeur/pare-feu/réseau dans la branche client.

  2. Gestion simple et facile des hôtes LAN via DHCP.

  • Permet au SD-WAN de devenir le prochain saut et d’offrir l’adressage IP basé sur DHCP à tous les hôtes LAN pour les ports de données.
  1. Toutes les connexions se terminent à la bordure SD-WAN et la gestion devient facile.

  2. Le SD-WAN est le point focal du routage périphérique et est dirigé de tout le trafic. Les décisions sont prises sur la périphérie de la rupture, du back-haul ou de la superposition, y compris la comptabilisation de la bande passante et de la capacité.

  3. Tous les hôtes de sous-réseaux LAN comme hôtes LAN sont autorisés à avoir le protocole VIP SD-WAN LAN comme saut suivant. Si SD-WAN LAN se connecte à un commutateur central, vous pouvez exécuter un routage dynamique pour obtenir une visibilité sur tous les sous-réseaux LAN.

  4. Grande flexibilité pour la haute disponibilité (HA) - recommandation stricte pour le mode Gateway afin que le site fonctionne avec un mode actif/veille. En outre, il aide à prévenir le trou noir de trafic si le périphérique SD-WAN tombe en panne.

  • Commutateurs disponibles dans la branche - La haute disponibilité parallèle peut fonctionner en mode Gateway.

  • Commutateurs non disponibles dans la succursale - Le SD-WAN peut également fonctionner en mode haute disponibilité de périphérie SD-WAN (mode haute disponibilité via fil) où les deux boîtiers SD-WAN sont enchaînés pour utiliser les ports Fail-to-WAN pour agir comme une paire convergente haute disponibilité.

  1. Autoriser l’Internet à être défini comme des interfaces UNTRUSTED qui créent automatiquement un NAT dynamique pour la rupture et source NAT la connexion afin que la réponse revienne au SD-WAN.

  2. Les considérations de sécurité des interfaces UNTRUSTED sont implicites naturellement, dans la mesure où seuls les paquets de contrôle ICMP/ARP/UDP sur 4980 sont autorisés.

Précautions

Voici les informations dont vous devez faire attention en mode Passerelle :

  • Conception soignée et architecture réseau - Le mode passerelle peut nécessiter des considérations de conception et de mise en réseau minutieuses, car l’ensemble du réseau de la branche ou de la périphérie est dans SD-WAN. Que bloquer, ce qu’il faut acheminer, comment mettre en réseau LAN, comment mettre fin aux réseaux WAN, et ainsi de suite.

  • Défaillance du périphérique - Le mode Edge ne peut pas avoir la capacité de connexion à fil. Toute la branche tombe en panne lorsque l’appareil est en panne.

  • Posture de sécurité - Comme le routage est géré à la périphérie, les postures de sécurité telles que le pare-feu, les considérations de breakout/backhaul sont cruciales et doivent être conçues avec le client.

  • Haute disponibilité  : la haute disponibilité via le fil doit tenir compte de la disponibilité des ports et, en fonction des déploiements, peut devenir difficile à concevoir.

    • Le SD-WAN 110 n’est PAS une option car il n’a pas de ports de connexion à fil.

Par exemple, si vous avez besoin de 2 liaisons WAN pour fonctionner, vous avez besoin de 5 ports, dont un port dédié pour l’interface haute disponibilité, y compris l’interface LAN.

Mode Inline — Fail-to-fil/Fail-to-Block

Recommandations

Voici les recommandations pour le déploiementen modeInline :

  1. Le mode en ligne est idéal pour les branches où l’infrastructure existante ne doit pas être modifiée et où le SD-WAN est intégré de manière transparente au segment LAN.

  2. Les datacenters peuvent également utiliser une haute disponibilité en ligne ou parallèle en ligne, car il est extrêmement important de s’assurer que les charges de travail du datacenter ne sont pas noircies en raison de l’arrêt ou du plantage de l’appareil.

Avantages et cas d’utilisation

Voici les avantages/cas d’utilisation pour le déploiement en mode Inline :

  1. Garder le routeur MPLS donc fail-to-wire est une belle fonctionnalité. Les périphériques compatibles Fail-to-Wire permettent un basculement sans faille pour subposer l’infrastructure en cas de panne de la boîte.
  • Si vos périphériques prennent en charge le câblage (SD-WAN 210 et supérieur), cela permet de placer un seul SD-WAN en ligne sur le matériel contourner le trafic LAN vers le routeur périphérique du client lorsque le SD-WAN se bloque ou tombe en panne.

  • Si les liens MPLS sont présents qui donnent une extension naturelle au LAN/intranet du client, le port de paire de pont fail-à-fil est le meilleur choix (paires compatibles fail-to-wire) de telle sorte que, lorsque le périphérique se bloque ou descend le trafic LAN, le matériel est contourné vers le routeur périphérique client (toujours maintenu le prochain houblon).

  1. Le réseautage est simple.

  2. Le SD-WAN voit tout le trafic via le mode en ligne, donc c’est le meilleur scénario pour la comptabilisation de la bande passante et de la capacité appropriée.

  3. Peu d’exigences d’intégration car vous n’avez besoin que d’une adresse IP du segment L2. Les segments LAN sont bien connus car vous avez un bras à l’interface LAN. Si vous vous connectez à un commutateur central, vous pouvez également exécuter un routage dynamique pour obtenir une visibilité sur tous les sous-réseaux LAN.

  4. Les attentes du client sont que le SD-WAN doit se fondre dans l’infrastructure existante en tant que nouveau nœud réseau (rien d’autre ne change).

  5. ARP proxy — En mode en ligne, il est bénédiction pour SD-WAN de fournir des requêtes ARP au LAN suivant saut si la Gateway est tombée en panne ou si l’interface SD-WAN vers le saut suivant est tombée en panne.

  • Généralement, en mode en ligne avec paire de pont (fail-to-block ou fail-to-wire) avec plusieurs connexions WAN (MPLS/Internet), il est recommandé d’activer Proxy ARP pour l’interface de paire de ponts qui connecte les hôtes LAN à leur Gateway de saut suivant.

  • Pour quelque raison que ce soit lorsque le saut suivant est en panne ou que l’interface SD-WAN au saut suivant est en panne rendant la Gateway inaccessible, le SD-WAN agit comme un proxy pour les requêtes ARP permettant aux hôtes LAN d’envoyer des paquets de manière transparente et d’utiliser les connexions WAN restantes qui conservent le chemin virtuel vers le haut.

  1. Haute disponibilité - Si le câblage n’est pas une option, les périphériques peuvent être placés en parallèle haute disponibilité (interfaces LAN et WAN communes pour les périphériques actif/veille) pour obtenir une redondance.
  • Si vos appliances ne prennent pas en charge le câblage par défaut, comme le SD-WAN 110, vous devez opter pour une haute disponibilité parallèle en ligne qui permet de lancer un périphérique de secours en cas de panne du périphérique principal.

Précautions

Voici les informations dont vous devez faire attention enmodeInline :

  • Réseau de plomberie avec deux bras au SD-WAN (côté LAN et WAN), nécessite un certain temps d’arrêt car le réseau doit être plongé dans deux bras.

  • Doit s’assurer que si le câblage est utilisé, il se trouve derrière un routeur/pare-feu périphérique client dans une zone TRUSTED afin que la sécurité ne soit pas compromise.

  • MPLS QoS change un peu dans ce sens car les stratégies QoS précédentes peuvent dépendre des adresses IP source ou DSCP qui seront désormais masquées en raison d’une superposition.

  • Il faut prendre soin de réutiliser le routeur MPLS avec une bande passante réservée spécifique au SD-WAN avec une balise DSCP spécifique, de sorte que la QoS de SD-WAN s’occupe de prioriser le trafic et envoie des applications hautement prioritaires immédiatement suivies par d’autres classes (mais être en mesure de tenir compte de l’ensemble des bande passante réservée au SD-WAN sur le routeur MPLS). Les files d’attente MPLS sont une alternative ou MPLS avec un seul DSCP défini sur le groupe de chemins automatiques qui peut s’occuper de cela.

  • Si les interfaces Internet sont TRUSTED lorsque les liens se terminent sur le routeur de périphérie du client, pour utiliser le service Internet, vous devez écrire une règle NAT dynamique exclusive pour activer la sortie Internet de l’appliance.

  • Si les liens Internet sont les seules connexions WAN et se terminent toujours sur le routeur Edge client, il est toujours correct de contourner les connexions si le routeur Edge client prend des précautions pour diriger les paquets via son infrastructure de sous-couche existante.

    • Des précautions appropriées doivent être prises pour tenir compte du flux de contournement du trafic LAN sur une paire de ponts avec une connexion Internet et lorsque l’appliance est en panne. Étant donné qu’il s’agit d’un trafic intranet d’entreprise sensible, à la veille de l’échec, le client doit savoir comment le gérer.

Mode virtuel en ligne/à un bras

Recommandations

Voici les recommandations pour le déploiementen modevirtuel en ligne :

  1. Le mode virtuel en ligne est idéal pour la mise en réseau du datacenter, car la plomberie réseau SD-WAN peut être travaillée en parallèle pendant que le datacenter dessert ses charges de travail existantes avec l’infrastructure existante.

  2. Le SD-WAN est dans une interface à bras unique qui est gérée avec un suivi SLA sur les VIP. Si le suivi tombe en panne, le trafic reprend le routage via l’infrastructure de sous-couche existante.

  3. Les branches peuvent également être déployées en mode virtuel en ligne, mais elles sont plus prédominantes avec les déploiements Inline/Gateway.

Avantages et cas d’utilisation

Voici les avantages/cas d’utilisation pour le déploiementen modevirtuel en ligne :

  1. Le moyen le plus simple et recommandé de mettre en réseau le SD-WAN dans le centre de données.
  • Le mode virtuel en ligne permet la plomberie réseau parallèle du SD-WAN avec le routeur principal.

  • Le mode virtuel en ligne nous permet de définir facilement PBRS pour détourner le trafic LAN doit passer par SD-WAN et obtenir des avantages de superposition.

  1. Basculement transparent vers l’infrastructure sous-jacente en cas de défaillance du SD-WAN et transfert transparent vers SD-WAN pour des avantages de superposition dans des conditions normales.

  2. Exigences demise en réseauetd’intégration simples. L’interface à un bras unique du routeur tête de main au SD-WAN en ligne virtuelle.

  3. Facile à déployer le routage dynamique en mode Importer uniquement (rien exporter) pour obtenir la visibilité des sous-réseaux LAN afin qu’ils puissent être envoyés à des appliances homologues SD-WAN distantes.

  4. Facile à définir PBR sur les routeurs (1 par WAN VIP) pour indiquer comment choisir le physique.

Précautions

Voici les informations dont vous devez faire attention enmodeVirtual Inline :

  • Des précautions appropriées doivent être prises pour MAP distinctement le VIP logique SD-WAN d’une liaison WAN définie à la bonne interface physique (sinon cela pourrait causer des problèmes indésirables dans l’évaluation des métriques WAN et le choix des chemins WAN).

  • Des considérations de conception appropriées doivent être prises en compte pour savoir si tout le trafic est détourné via le SD-WAN ou seulement un trafic spécifique.

  • Cela signifie que le SD-WAN doit être dédié une part de bande passante exclusivement pour lui-même qui doit être définie sur les interfaces de sorte que la capacité du SD-WAN n’est pas utilisée par d’autres trafic non-SD-WAN provoquant des résultats indésirables.

    • Des problèmes de comptabilisation de la bande passante et des problèmes de congestion peuvent se produire si la capacité des liaisons WAN SD-WAN est mal définie.
  • Le routage dynamique peut causer certains problèmes s’il est mal conçu, où si le SD-WAN achemine les VIP du centre de données et de la branche sont exportés vers le headend et si le routage est influencé vers SD-WAN, les paquets de superposition commencent à boucler et provoquent des résultats indésirables.

  • Le routage dynamique doit être correctement administré en tenant compte de tous les facteurs potentiels de ce qu’il faut apprendre ou de ce qu’il faut faire de la publicité.

  • L’interface physique à un bras peut parfois devenir un goulot d’étranglement. Nécessite quelques considérations de conception dans ces lignes car il s’adapte à la fois au téléchargement/téléchargement et agit également comme le trafic LAN vers LAN et LAN vers WAN/WAN vers LAN à partir du SD-WAN.

  • Un trafic LAN à LAN excessif peut être un point à noter lors de la conception.

  • Si le routage dynamique n’est pas utilisé, il faut faire attention à l’administration de tous les sous-réseaux LAN, ce qui, sinon, peut causer des problèmes de routage indésirables.

  • Il existe des problèmes potentiels de boucle de routage si vous définissez une route par défaut (0.0.0.0/0) sur le SD-WAN dans le virtuel en ligne pour pointer vers le routeur principal. Dans de telles situations, si le chemin virtuel est tombé, tout trafic provenant du LAN du centre de données (comme la surveillance du trafic) est bouclé vers le headend et retourné vers SD-WAN provoquant des problèmes de routage indésirables (Si le chemin virtuel est en panne, les sous-réseaux de branche distants deviennent accessibles NO ce qui provoque la route par défaut pour être HIT, ce qui provoque les problèmes de boucle).

Recommandations