Citrix SD-WAN

Gestion entrante et des sauvegardes

Gestion intrabande

Citrix SD-WAN vous permet de gérer l’appliance SD-WAN de deux façons : la gestion out-of-band et la gestion in-band. La gestion hors bande vous permet de créer une adresse IP de gestion à l’aide d’un port réservé à la gestion, qui transporte uniquement le trafic de gestion. La gestion in-band vous permet d’utiliser les ports de données SD-WAN pour la gestion. Il transporte à la fois le trafic de données et de gestion, sans avoir à configurer un chemin de gestion supplémentaire.

La gestion in-band permet aux adresses IP virtuelles de se connecter à des services de gestion tels que l’interface utilisateur Web et SSH. Vous pouvez activer la gestion In-band sur plusieurs interfaces de confiance qui sont activées pour être utilisées pour les services IP. Vous pouvez accéder à l’interface utilisateur Web et SSH à l’aide de l’adresse IP de gestion et des adresses IP virtuelles in-band.

Pour activer la gestion in-band sur une adresse IP virtuelle :

  1. Dans l’éditeur de configuration, accédez à Sites > Adresses IP virtuelles.
  2. Sélectionnez Gestion Inband pour les adresses IP virtuelles pour lesquelles vous souhaitez activer la gestion in-band.

Remarque :

Assurez-vous que le type de sécurité de l’interface est approuvé et que l’identité est activée.

Gestion intrabande

  1. Cliquez sur Appliquer

Pour obtenir une procédure détaillée sur la configuration de l’adresse IP virtuelle, reportez-vous à la section Comment configurer l’adresse IP virtuelle.

Surveillance de la gestion intrabande

Dans l’exemple précédent, nous avons activé la gestion in-band sur l’IP virtuelle 172.170.10.78. Vous pouvez utiliser cette adresse IP pour accéder à l’interface utilisateur Web et SSH.

Dans l’interface utilisateur Web, accédez à Surveillance > Pare-feu. Vous pouvez voir SSH et l’interface utilisateur Web accessibles à l’aide de l’IP virtuelle sur les ports 22 et 443 respectivement dans lacolonne Adresse IP dedestination.

Surveillance de la gestion intrabande

Provisioning dans la bande

La nécessité de déployer des appliances SD-WAN dans des environnements plus simples, comme la maison ou les petites succursales, a considérablement augmenté. La configuration d’un accès de gestion distinct pour des déploiements plus simples est une surcharge supplémentaire. Le déploiement ZTD (Zero Touch Deployment) ainsi que la fonction de gestion in-band permettent le Provisioning et la gestion de la configuration via des ports de données désignés. ZTD est désormais pris en charge sur les ports de données désignés et il n’est pas nécessaire d’utiliser un port de gestion distinct pour ZTD. Citrix SD-WAN permet également de basculer le trafic de gestion en toute transparence vers le port de gestion lorsque le port de données tombe en panne et vice versa.

Une appliance expédiée en usine, qui prend en charge le Provisioning in-band, peut être provisionnée en connectant simplement le port de données ou de gestion à Internet. Les appliances prenant en charge le Provisioning in-band disposent de ports spécifiques pour le réseau local et le réseau étendu. L’appliance en état de réinitialisation d’usine a une configuration par défaut qui permet d’établir une connexion avec le service de déploiement zéro contact. Le port LAN agit en tant que serveur DHCP et attribue une IP dynamique au port WAN qui agit en tant que client DHCP. Les liaisons WAN surveillent le service DNS Quad 9 pour déterminer la connectivité WAN.

Remarque

Le Provisioning en bande s’applique uniquement aux plates-formes SD-WAN 110 SE et SD-WAN VPX.

Une fois l’adresse IP obtenue et une connexion établie avec le service de déploiement zéro contact, les packages de configuration sont téléchargés et installés sur l’appliance. Pour plus d’informations sur le déploiement sans contact via SD-WAN Center, voir Déploiement Zero Touch. Pour plus d’informations sur le déploiement sans contact via SD-WAN Orchestrator, consultez Déploiement Zero Touch.

Remarque : pour le Provisioning jour-0 des appliances SD-WAN via les ports de données, la version logicielle doit être SD-WAN 11.1.0 ou supérieure.

La configuration par défaut d’une appliance en état de réinitialisation d’usine comprend les configurations suivantes :

  • Serveur DHCP sur port LAN
  • Client DHCP sur port WAN
  • Configuration QUAD9 pour DNS
  • L’IP LAN par défaut est 192.168.0.1
  • Licence Grace de 35 jours.

Une fois l’appliance provisionnée, la configuration par défaut est désactivée et remplacée par la configuration reçue du service de déploiement zéro touche. Si une licence d’appliance ou une licence de grâce expire, la configuration par défaut est activée afin de garantir que l’appliance reste connectée au service de déploiement zéro touche et qu’elle reçoit les licences gérées via un déploiement zéro contact.

Configuration de secours

La configuration de secours garantit que l’appliance reste connectée au service de déploiement zéro contact en cas de défaillance de liaison, de non-correspondance de configuration ou de non-correspondance logicielle. La configuration de secours est activée par défaut sur les appliances disposant d’un profil de configuration par défaut. Vous pouvez également modifier la configuration de secours en fonction de vos paramètres réseau LAN existants.

Remarque : après le Provisioning initial de l’appliance, assurez-vous que la configuration de secours est activée pour la connectivité du service de déploiement zéro touche.

Si la configuration de repli est désactivée, vous pouvez l’activer en accédant à Configuration > Virtual WAN > Activer/Désactiver/Purge Flows > Activer/Désactiver la configuration de secours et cliquez sur Activer.

Le tableau suivant fournit les détails des ports WAN et LAN prédésignés pour la configuration de secours sur différentes plates-formes :

Plateforme Ports WAN Ports LAN   - - -   110 1/2 1/1   110-LTE 1/2, LTE-1 1/1   210 1/4, 1/5 1/3     210-LTE 1/4, 1/5, LTE-1 1/3     VPX 2 1 410 1/4, 1/5, 1/6 1/3 (FTB)   1100 1/4, 1/5, 1/6 1/3 (FTB)

Activer la configuration de secours

Pour personnaliser la configuration de secours selon votre réseau LAN :

  1. Accédez à Configuration > Paramètres du matériel > Configuration de secours.
  2. Modifiez les valeurs des paramètres LAN suivants en fonction des exigences de votre réseau. Il s’agit de la configuration minimale requise pour établir une connexion avec le service de déploiement zéro touche.
  • ID du VLAN : ID du VLAN auquel le port LAN doit être groupé.
  • Adresse IP : Adresse IP virtuelle affectée au port LAN.
  • DHCP activé : active le port LAN en tant que serveur DHCP. Le serveur DHCP attribue des adresses IP dynamiques au port WAN.
  • Début DHCP et fin DHCP : Plage d’adresses IP utilisée par DHCP pour attribuer dynamiquement une IP au port WAN.
  • Serveur DNS : adresse IP du serveur DNS principal.
  • Alt DNS Server : adresse IP du serveur DNS secondaire.
  • Accès Internet : Autoriser l’accès Internet à tous les clients LAN sans autre filtrage.

    Activer la configuration de secours

  1. Configurez le mode pour chaque port. Le port peut être un port LAN ou un port WAN ou peut être désactivé. Les ports affichés dépendent du modèle de l’appliance. En outre, définissez le mode de contournement de port sur Fail-to-Block ou Fail-to-Wire.

Pour réinitialiser la configuration de secours à la configuration par défaut à tout moment, cliquez sur Réinitialiser.

Activer la configuration de secours

Port de gestion ou de données configurable

La gestion in-band permet aux ports de données de transporter à la fois les données et le trafic de gestion, éliminant ainsi le besoin d’un port de gestion dédié. Cela laisse le port de gestion inutilisé sur les appliances bas de gamme, qui ont déjà une faible densité de port. Citrix SD-WAN vous permet de configurer le port de gestion pour qu’il fonctionne en tant que port de données ou port de gestion.

Remarque

Vous pouvez convertir le port de gestion en port de données uniquement sur les plates-formes suivantes.

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

Dans l’éditeur de configuration, utilisez le port de gestion dans votre configuration. Une fois la configuration activée, le port de gestion est converti en port de données.

Remarque

Vous pouvez configurer un port de gestion uniquement lorsque la gestion intrabande est activée sur d’autres interfaces approuvées de l’appliance.

Pour configurer une interface de gestion, dans l’éditeur de configuration, accédez à Sites, sélectionnez un site et cliquez sur Groupes d’interfaces. L’interface MGMT est disponible pour être configurée. Pour plus d’informations sur la configuration des groupes d’interfaces, voir How to configure des groupes d’interfaces.

Groupes d'interface

Pour reconfigurer le port de gestion afin d’exécuter la fonctionnalité de gestion, supprimez la configuration. Créez une configuration sans utiliser le port de gestion et activez-la.

Réseau de gestion des sauvegardes

Vous pouvez configurer une adresse IP virtuelle en tant que réseau de gestion de sauvegarde. Il est utilisé comme adresse IP de gestion si le port de gestion n’est pas configuré avec une Gateway par défaut.

Remarque

Si un site dispose d’un service Internet configuré avec un seul domaine de routage, une interface approuvée dont l’identité est activée est sélectionnée comme réseau de gestion de sauvegarde par défaut.

Pour sélectionner une adresse IP virtuelle en tant que réseau de gestion de sauvegarde :

  1. Dans l’éditeur de configuration, accédez à Sites > Adresses IP virtuelles.

  2. Sélectionnez une adresse IP virtuelle en tant que réseau de gestion de sauvegarde.

Gestion des sauvegardes

  1. Sélectionnez le proxy DNS vers lequel toutes les demandes DNS sur le plan de gestion in-band et de sauvegarde sont transférées.

Remarque

Le proxy DNS peut être sélectionné uniquement lorsque la gestion In-band et Backup Management Network sont activés pour une adresse IP virtuelle.

  1. Cliquez sur Appliquer.

Pour obtenir une procédure détaillée sur la configuration de l’adresse IP virtuelle, voir Procédure de configuration de l’adresse IP virtuelle

Surveillance de la gestion de sauvegarde

Dans l’exemple précédent, nous avons sélectionné 172.170.10.78 IP virtuelle comme réseau de gestion de sauvegarde. Si l’adresse IP de gestion n’est pas configurée avec une Gateway par défaut, vous pouvez utiliser cette adresse IP pour accéder à l’interface utilisateur Web et SSH.

Dans l’interface utilisateur Web, accédez à Surveillance > Pare-feu. Vous pouvez voir cette adresse IP virtuelle comme adresse IP source pour l’accès SSH et l’accès à l’interface utilisateur Web.

Surveillance de la gestion de sauvegarde

Gestion entrante et des sauvegardes