Citrix SD-WAN

Recommandations

Cet article décrit les meilleures pratiques de déploiement pour la solution Citrix SD-WAN. Il fournit des conseils généraux, des avantages et des cas d’utilisation pour le mode de déploiement Citrix SD-WAN suivant.

Mode Bord/Passerelle

Recommandations

Voici les recommandations pour le déploiement en mode passerelle  :

  1. Le mode passerelle est mieux utilisé pour les succursales SD-WAN où la consolidation du routeur se produit et les clients sont prêts à autoriser le SD-WAN à être le périphérique périphérique périphérique qui termine les connexions.

  2. Une excellente architecture réseau peut être rendue avec une conception scrupuleuse lorsqu’un projet est construit à partir de zéro.

Remarque

Le mode Passerelle peut être utilisé du côté du centre de données pour les projets existants avec une certaine perturbation de l’infrastructure.

Avantages/Cas d’utilisation

Voici les avantages/cas d’utilisation pour le déploiement en mode passerelle :

  1. Meilleur cas d’utilisation pour la consolidation des éléments routeur/pare-feu/réseau dans la branche client.

  2. Gestion simple et facile des hôtes LAN via DHCP.

    • Permet au SD-WAN de devenir le prochain saut et d’offrir l’adressage IP basé sur DHCP à tous les hôtes LAN pour les ports de données.
  3. Toutes les connexions se terminent à la bordure SD-WAN et la gestion devient facile.

  4. Le SD-WAN est le point focal du routage périphérique et est dirigé de tout le trafic. Les décisions sont prises sur la périphérie de la rupture, du back-haul ou de la superposition, y compris la comptabilisation de la bande passante et de la capacité.

  5. Tous les hôtes de sous-réseaux LAN comme hôtes LAN sont autorisés à avoir le protocole VIP SD-WAN LAN comme saut suivant. Si SD-WAN LAN se connecte à un commutateur central, vous pouvez exécuter un routage dynamique pour obtenir une visibilité sur tous les sous-réseaux LAN.

  6. Grande flexibilité pour la haute disponibilité (HA) - recommandation stricte pour le mode Gateway afin que le site fonctionne avec un mode actif/veille. En outre, il aide à prévenir le trou noir de trafic si le périphérique SD-WAN tombe en panne.

    • Commutateurs disponibles dans la branche - La haute disponibilité parallèle peut fonctionner en mode Gateway.

    • Commutateurs non disponibles dans la succursale - Le SD-WAN peut également fonctionner en mode haute disponibilité de périphérie SD-WAN (mode haute disponibilité via fil) où les deux boîtiers SD-WAN sont enchaînés pour utiliser les ports Fail-to-WAN pour agir comme une paire convergente haute disponibilité.

  7. Autoriser l’Internet à être défini comme des interfaces UNTRUSTED qui créent automatiquement un NAT dynamique pour la connexion NAT breakout et source NAT afin que la réponse revienne au SD-WAN.

  8. Les considérations de sécurité pour les interfaces UNTRUSTED sont naturellement implicites, en ce sens que seuls les paquets de contrôle ICMP/ARP/UDP sur 4980 sont autorisés.

Précautions

Voici les informations dont vous devez faire attention en mode Passerelle :

  • Conception soignée et architecture réseau - Le mode Passerelle peut nécessiter des considérations de conception et de mise en réseau minutieuses, car l’ensemble du réseau branche/périphérie est en SD-WAN. Que bloquer, ce qu’il faut acheminer, comment mettre en réseau LAN, comment mettre fin aux réseaux WAN, et ainsi de suite.

  • Défaillance du périphérique - Le mode Edge ne peut pas avoir la fonction de défaillance au fil. Toute la branche tombe en panne lorsque l’appareil est en panne.

  • Posture de sécurité - Comme le routage est géré à la périphérie, les postures de sécurité telles que le pare-feu, les considérations d’effacement/backhaul sont cruciales et doivent être conçues avec le client.

  • Haute disponibilité — La haute disponibilité Fail-to-Wire doit tenir compte de certaines considérations de disponibilité des ports et, en fonction des déploiements, peut devenir difficile à concevoir.

    • Le SD-WAN 110 n’est PAS une option car il n’a pas de ports de connexion à fil.

Par exemple, si vous avez besoin de 2 liaisons WAN pour fonctionner, vous avez besoin de 5 ports, dont un port dédié pour l’interface haute disponibilité, y compris l’interface LAN.

Mode Inline — Fail-to-fil/Fail-to-Block

Recommandations

Voici les recommandations pour le déploiement en mode Inline  :

  1. Le mode en ligne est idéal pour les branches où l’infrastructure existante ne doit pas être modifiée et où le SD-WAN est intégré de manière transparente au segment LAN.

  2. Les datacenters peuvent également utiliser une haute disponibilité en ligne ou parallèle en ligne, car il est extrêmement important de s’assurer que les charges de travail du datacenter ne sont pas noircies en raison de l’arrêt ou du plantage de l’appareil.

Avantages et cas d’utilisation

Voici les avantages/cas d’utilisation pour le déploiement en mode Inline :

  1. Garder le routeur MPLS donc fail-to-wire est une belle fonctionnalité. Les périphériques compatibles Fail-to-Wire permettent un basculement sans faille pour placer l’infrastructure en sous-couche en cas de panne de la boîte.

    • Si vos périphériques prennent en charge le câblage (SD-WAN 210 et supérieur), cela permet de placer un seul SD-WAN en ligne sur le matériel contourner le trafic LAN vers le routeur périphérique du client lorsque le SD-WAN se bloque ou tombe en panne.

    • Si les liens MPLS sont présents qui donnent une extension naturelle au LAN/intranet du client, le port de paire de pont fail-à-fil est le meilleur choix (paires compatibles fail-to-wire) de telle sorte que, lorsque le périphérique se bloque ou descend le trafic LAN, le matériel est contourné vers le routeur périphérique client (toujours maintenu le prochain houblon).

  2. Le réseautage est simple.

  3. Le SD-WAN voit tout le trafic via le mode en ligne, donc c’est le meilleur scénario pour la comptabilisation de la bande passante et de la capacité appropriée.

  4. Peu d’exigences d’intégration car vous n’avez besoin que d’une adresse IP du segment L2. Les segments LAN sont bien connus car vous avez un bras à l’interface LAN. Si vous vous connectez à un commutateur central, vous pouvez également exécuter un routage dynamique pour obtenir une visibilité sur tous les sous-réseaux LAN.

  5. Les attentes du client sont que le SD-WAN doit se fondre dans l’infrastructure existante en tant que nouveau nœud réseau (rien d’autre ne change).

  6. Proxy ARP — En mode en ligne, c’est une bénédiction pour le SD-WAN de fournir par proxy des requêtes ARP au prochain saut LAN si la passerelle est tombée en panne ou si l’interface SD-WAN vers le saut suivant est tombée en panne.

    • Généralement, en mode en ligne avec paire de pont (fail-to-block ou fail-to-wire) avec plusieurs connexions WAN (MPLS/Internet), il est recommandé d’activer Proxy ARP pour l’interface de paire de ponts qui connecte les hôtes LAN à leur passerelle de saut suivant.

    • Pour quelque raison que ce soit lorsque le saut suivant est en panne ou que l’interface SD-WAN au saut suivant est en panne rendant la Gateway inaccessible, le SD-WAN agit comme un proxy pour les requêtes ARP permettant aux hôtes LAN d’envoyer des paquets de manière transparente et d’utiliser les connexions WAN restantes qui conservent le chemin virtuel vers le haut.

  7. Haute disponibilité - Si l’option Fail-to-Wire n’est pas une option, les périphériques peuvent être placés dans des périphériques parallèles à haute disponibilité (interfaces LAN et WAN communes pour les Active/Veille) pour obtenir une redondance.

    • Si vos appliances ne prennent pas en charge le câblage par défaut, comme le SD-WAN 110, vous devez opter pour une haute disponibilité parallèle en ligne qui permet de lancer un périphérique de secours en cas de panne du périphérique principal.

Précautions

Voici les informations dont vous devez faire attention dans le mode Inline  :

  • Réseau de plomberie avec deux bras au SD-WAN (côté LAN et WAN), nécessite un certain temps d’arrêt car le réseau doit être plongé dans deux bras.

  • Il faut s’assurer que si le câblage est utilisé, il se trouve derrière un routeur/pare-feu côté client dans une zone TRUSTED afin que la sécurité ne soit pas compromise.

  • MPLS QoS change un peu dans ce sens car les stratégies QoS précédentes peuvent dépendre des adresses IP source ou DSCP qui seront désormais masquées en raison d’une superposition.

  • Il faut prendre soin de réutiliser le routeur MPLS avec une bande passante réservée spécifique au SD-WAN avec une balise DSCP spécifique, de sorte que la QoS de SD-WAN s’occupe de prioriser le trafic et envoie des applications hautement prioritaires immédiatement suivies par d’autres classes (mais être en mesure de tenir compte de l’ensemble des bande passante réservée au SD-WAN sur le routeur MPLS). Les files d’attente MPLS sont une alternative ou MPLS avec un seul DSCP défini sur le groupe de chemins automatiques qui peut s’occuper de cela.

  • Si les interfaces Internet sont TRUSTED au fur et à mesure que les liens se terminent sur le routeur périphérique client, pour utiliser le service Internet, vous devez écrire une règle NAT dynamique exclusive pour activer la séparation Internet à partir de l’appliance.

  • Si les liens Internet sont les seules connexions WAN et se terminent toujours sur le routeur Edge client, il est toujours correct de contourner les connexions si le routeur Edge client prend des précautions pour diriger les paquets via son infrastructure de sous-couche existante.

    • Des précautions appropriées doivent être prises pour tenir compte du flux de contournement du trafic LAN sur une paire de ponts avec une connexion Internet et lorsque l’appliance est en panne. Étant donné qu’il s’agit d’un trafic intranet d’entreprise sensible, à la veille de l’échec, le client doit savoir comment le gérer.

Mode virtuel en ligne/à un bras

Recommandations

Voici les recommandations pour le déploiement en mode virtuel en ligne  :

  1. Le mode virtuel en ligne est idéal pour la mise en réseau du datacenter, car la plomberie réseau SD-WAN peut être travaillée en parallèle pendant que le datacenter dessert ses charges de travail existantes avec l’infrastructure existante.

  2. Le SD-WAN est dans une interface à bras unique qui est gérée avec un suivi SLA sur les VIP. Si le suivi tombe en panne, le trafic reprend le routage via l’infrastructure de sous-couche existante.

  3. Les branches peuvent également être déployées en mode virtuel en ligne, mais elles sont plus prédominantes avec les déploiements Inline/Gateway.

Avantages et cas d’utilisation

Voici les avantages/cas d’utilisation pour le déploiement en mode virtuel en ligne  :

  1. Le moyen le plus simple et recommandé de mettre en réseau le SD-WAN dans le centre de données.

    • Le mode virtuel en ligne permet la plomberie réseau parallèle du SD-WAN avec le routeur principal.

    • Le mode virtuel en ligne nous permet de définir facilement PBRS pour détourner le trafic LAN doit passer par SD-WAN et obtenir des avantages de superposition.

  2. Basculement transparent vers l’infrastructure sous-jacente en cas de défaillance du SD-WAN et transfert transparent vers SD-WAN pour des avantages de superposition dans des conditions normales.

  3. Exigences de mise en réseau et d’intégration simples L’interface à un bras unique du routeur tête de main au SD-WAN en ligne virtuelle.

  4. Routage dynamique facile à déployer en mode Importation uniquement (n’exportez rien) pour obtenir une visibilité des sous-réseaux LAN afin qu’ils puissent être envoyés aux appliances homologues SD-WAN distantes.

  5. Facile à définir PBR sur les routeurs (1 par WAN VIP) pour indiquer comment choisir le physique.

Précautions

Voici les informations dont vous devez faire attention dans le mode Virtual Inline  :

  • Des précautions appropriées doivent être prises pour MAP distinctement le VIP logique SD-WAN d’une liaison WAN définie à la bonne interface physique (sinon cela pourrait causer des problèmes indésirables dans l’évaluation des métriques WAN et le choix des chemins WAN).

  • Des considérations de conception appropriées doivent être prises en compte pour savoir si tout le trafic est détourné via le SD-WAN ou seulement un trafic spécifique.

  • Cela signifie que le SD-WAN doit être dédié une part de bande passante exclusivement pour lui-même qui doit être définie sur les interfaces de sorte que la capacité du SD-WAN n’est pas utilisée par d’autres trafic non-SD-WAN provoquant des résultats indésirables.

    • Des problèmes de comptabilisation de la bande passante et des problèmes de congestion peuvent se produire si la capacité des liaisons WAN SD-WAN est mal définie.
  • Le routage dynamique peut causer certains problèmes s’il est mal conçu, où si le SD-WAN achemine les VIP du centre de données et de la branche sont exportés vers le headend et si le routage est influencé vers SD-WAN, les paquets de superposition commencent à boucler et provoquent des résultats indésirables.

  • Le routage dynamique doit être correctement administré en tenant compte de tous les facteurs potentiels de ce qu’il faut apprendre ou de ce qu’il faut faire de la publicité.

  • L’interface physique à un bras peut parfois devenir un goulot d’étranglement. Nécessite quelques considérations de conception dans ces lignes car il s’adapte à la fois au téléchargement/téléchargement et agit également comme le trafic LAN vers LAN et LAN vers WAN/WAN vers LAN à partir du SD-WAN.

  • Un trafic LAN à LAN excessif peut être un point à noter lors de la conception.

  • Si le routage dynamique n’est pas utilisé, il faut faire attention à l’administration de tous les sous-réseaux LAN, ce qui, sinon, peut causer des problèmes de routage indésirables.

  • Il existe des problèmes potentiels de boucle de routage si vous définissez une route par défaut (0.0.0.0/0) sur le SD-WAN dans le virtuel en ligne pour pointer vers le routeur principal. Dans de telles situations, si le chemin virtuel est tombé en panne, tout trafic provenant du réseau local du centre de données (comme la surveillance du trafic) est renvoyé à la tête de ligne et de retour vers le SD-WAN causant des problèmes de routage indésirables (si le chemin virtuel est en panne, les sous-réseaux de branche distante deviennent accessibles NO provoquant le route par défaut à être HIT, ce qui provoque les problèmes de boucle).

Recommandations