Citrix SD-WAN

Mode PBR (virtuel en ligne)

En mode virtuel en ligne, le routeur utilise des règles de routage basées sur des stratégies pour rediriger le trafic WAN entrant et sortant vers l’appliance, et l’appliance transfère les paquets traités au routeur.

L’article suivant décrit la procédure étape par étape pour configurer deux appliances SD-WAN (SD-WAN SE) :

  • Appliance de datacenter en mode PBR (mode virtuel en ligne)

  • Appliance de succursale en mode Inline

  • Le PBR doit être configuré soit au niveau du commutateur central, soit plus en amont au niveau du routeur. Le routeur doit surveiller l’état de l’appliance SD-WAN afin qu’elle puisse être contournée en cas de défaillance.

  • Le mode Virtual Inline place l’appliance SD-WAN physiquement hors du chemin (déploiement à un bras), c’est-à-dire une seule interface Ethernet à utiliser (exemple : Interface 1/1) avec le mode de contournement défini sur FTB (failto-block).

L’appliance Citrix SD-WAN doit être configurée pour transmettre le trafic à la passerelle appropriée. Le trafic destiné au chemin virtuel est dirigé vers l’appliance SD-WAN, puis encapsulé et dirigé vers la liaison WAN appropriée.

Recueillir des informations pour la configuration

  • Diagramme réseau précis (exemple de diagramme ci-dessous) de vos sites locaux et distants, y compris :

    • Liens WAN locaux et distants et leurs largeurs de bande passante dans les deux sens, leurs sous-réseaux, adresses IP virtuelles et passerelles à partir de chaque lien, itinéraires et VLAN.
  • Tableau de déploiement (exemple de diagramme illustré ci-dessous)

Topologie du datacenter — mode PBR (mode virtuel en ligne)

image localisée

Topologie de succursale — mode en ligne

image localisée

Nom de site Site DataCenter Site de la succursale
Nom de l’appliance SJC-DC SJC-BR
Gestion IP 172.30.2.10/24 172.30.2.20/24
Clé de sécurité Le cas échéant Le cas échéant
Modèle/Edition 4000 2 000
Mode Mode PBR (mode virtuel en ligne) Inline
Topologie 2 x Chemin WAN 2 x Chemin WAN
Adresse VIP 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, IP publique w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24 – Internet, IP publique a.b.c.d
Passerelle MPLS 10.20.0.1 10.17.0.1
Passerelle Internet 10.19.0.1 10.18.0.1
Vitesse de liaison MPLS — 100 Mbps, Internet — 20 Mbps MPLS — 10 Mbps, Internet — 2 Mbps
Itinéraire Besoin d’ajouter un itinéraire sur l’appliance SD-WAN SE sur la façon d’atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques : Gi0/1 - 192.168.1.1, Configuration > Virtual WAN > Éditeur de configuration > SJC_DC > Routes. Dans cet exemple, l’interface 192.168.1.1 a été utilisée : - Adresse n/w : 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Type de service : local, - Adresse IP de passerelle : 192.168.1.1 Aucun itinéraire supplémentaire n’a été ajouté
VLAN Aucun (0 par défaut) Aucun (0 par défaut)

Étapes pour configurer un site en mode Virtual Inline :

  • Activez la fonctionnalité MCN.

  • Créez un nouveau site.

  • Créez un groupe d’interfaces et des interfaces virtuelles.

  • Attribuez une adresse IP virtuelle aux interfaces virtuelles.

  • Créez des liens WAN et attribuez une adresse IP.

  • Ajoutez des itinéraires.

  • Dépannage.

  • Configuration de routage basée sur la stratégie sur le routeur PBR.

Prérequis pour la configuration

  • Activez l’appliance SD-WAN en tant que nœud de contrôle maître.

  • La configuration est effectuée uniquement sur le nœud de contrôle maître (MCN) de l’appliance SD-WAN.

Pour activer une appliance en tant que nœud de contrôle maître :

  1. Dans l’interface de gestion Web SD-WAN, accédez à Configuration > Paramètres de l’appliance > Interface administrateur > onglet Divers > Switch Console.

    Remarque

    Si « Passer à la console client » s’affiche, l’appliance est déjà en mode MCN. Il ne doit y avoir qu’un seul MCN actif dans un réseau SD-WAN.

  2. Activez le service WAN virtuel. Accédez à Configuration > Réseau étendu virtuel > Activer/Désactiver/Purger les flux.

  3. Démarrez Configuration en accédant à Configuration > Réseau étendu virtuel > Éditeur de configuration. Cliquez sur Nouveau pour commencer la configuration.

    Cette opération crée un fichier de configuration initial Untitled_1 qui peut être renommé [facultatif] ultérieurement à l’aide du bouton Enregistrer sous.

Voici les étapes de configuration de haut niveau pour configurer le site de centre de données en mode de déploiement PBR :

  1. Créez un site DC.

  2. Configurez les groupes d’interface en fonction des interfaces Ethernet connectées.

  3. Configurez l’adresse IP virtuelle pour chaque interface virtuelle.

  4. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

  5. Remplissez les itinéraires s’il y a plus de sous-réseaux dans l’infrastructure du réseau local.

Configuration du mode PBR du site de datacenter

Créer un site DC

  1. Accédez à l’Éditeur de configuration > Sites, puis cliquez sur le bouton + Site.

  2. Remplissez les champs comme indiqué ci-dessous.

  3. Conservez les paramètres par défaut sauf instructions contraires.

    image localisée

Configurer des groupes d’interfaces en fonction des interfaces Ethernet connectées

  1. Dans l’Éditeur de configuration, accédez à Sites > [Nom du site] > Groupes d’interface. Cliquez sur + pour ajouter des interfaces destinées à être utilisées. En mode PBR, la configuration sur une seule interface Ethernet est utilisée, c’est-à-dire une interface connectant le routeur en amont fournissant des implications de politique PBR (Exemple- Interface 1/1). Configurez les interfaces virtuelles MPLS et Internet avec les ID VLAN 10 et 20 respectivement.

  2. Le mode de contournement est défini sur fail-to-block car une seule interface Ethernet/physique est utilisée par interface virtuelle. Il n’y a pas non plus de paires de ponts.

  3. Dans cet exemple, développez l’option Interfaces virtuelles + et configurez les Interfaces virtuelles.

    image localisée

Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

image localisée

Créer un lien Internet WAN

Pour remplir les liaisons WAN en fonction du débit physique et non de la vitesse de rafale à l’aide d’Internet et de la liaison MPLS :

  1. Accédez à Liens WAN, cliquez sur le bouton+pour ajouter un lien WAN pour le lien Internet.

  2. Remplissez les détails du lien Internet, y compris l’adresse IP publique fournie, comme indiqué ci-dessous. Notez que l’IP publique de détection automatique ne peut pas être sélectionnée pour l’appliance SD-WAN configurée en tant que MCN.

  3. Accédez à Interfaces d’accès, cliquez sur le bouton + pour ajouter des détails d’interface spécifiques au lien Internet.

  4. Remplissez l’interface d’accès pour les adresses IP et de Gateway comme indiqué ci-dessous. L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

    image localisée

    image localisée

Créer un lien MPLS

  1. Accédez à Liens WAN, cliquez sur le bouton+ pour ajouter un lien WAN pour le lien MPLS.

  2. Remplissez les détails du lien MPLS comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez sur le bouton+pour ajouter des détails d’interface spécifiques au lien MPLS.

  4. Remplissez l’interface d’accès pour MPLS Virtual IP et les adresses de Gateway comme indiqué ci-dessous.

    image localisée

    Remarque

    L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

Remplir les itinéraires

Sur le site du centre de données, ajoutez un itinéraire sur l’appliance SD-WAN SEE pour atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques :

0/1/0.1 — 192.168.1.1 sur VLAN 10

0/1/0.2 — 192.168.2.1 sur VLAN 20

image localisée

image localisée

Configuration du déploiement en ligne du site de succursale

Voici les étapes de configuration de haut niveau pour configurer le site Branch pour le déploiement en ligne :

  1. Créer un site Branch.

  2. Remplissez les groupes d’interface en fonction des interfaces Ethernet connectées.

  3. Créez une adresse IP virtuelle pour chaque interface virtuelle.

  4. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

    • Interface virtuelle « INTERNET » configurée sur pont paire 1/3 et 1/4

    • Interface Virtuelle « MPLS » configurée avec Pont Paire 1/1 et 1/2

  5. Remplissez les itinéraires s’il y a plus de sous-réseaux dans l’infrastructure du réseau local.

Créer un site de succursale

image localisée

Configurer des groupes d’interfaces en fonction des interfaces Ethernet connectées

  1. Dans l’Éditeur de configuration, accédez à Sites> [Nom du site client]> Groupes d’interface. Cliquez sur « +« pour ajouter des interfaces destinées à être utilisées. Pour la configuration en mode Inline, quatre interfaces Ethernet sont utilisées : paire d’interface 1/3, 1/4 et paire d’interface 1/1 et 1/2.

  2. Le mode de contournement est défini sur Fail-to-wire puisque deux interfaces Ethernet/physiques sont utilisées par interface virtuelle. Il y a deux paires de pont.

  3. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

    • Interface virtuelle « INTERNET » configurée sur pont paire 1/3 et 1/4

    • Interface virtuelle « MPLS » configurée avec Bridge Pair 1/1 et 1/2.

  4. Reportez-vous à l’exemple de topologie « Mode en ligne de site distant » ci-dessus et remplissez les champs Groupes d’interface comme indiqué ci-dessous.

    image localisée

Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

image localisée

Créer un lien Internet WAN

Pour remplir les liaisons WAN en fonction du débit physique et non de la vitesse de rafale à l’aide de la liaison Internet

  1. Accédez à Liens WAN, cliquez sur le bouton+pour ajouter un lien WAN pour le lien Internet.

  2. Renseignez les détails du lien Internet, y compris l’adresse IP publique AutoDetect, comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez sur le bouton + pour ajouter des détails d’interface spécifiques au lien Internet.

  4. Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.

    image localisée

    image localisée

Créer un lien MPLS

  1. Accédez à Liens WAN, cliquez sur le bouton+ pour ajouter un lien WAN pour le lien MPLS.

  2. Remplissez les détails du lien MPLS comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez sur le bouton+pour ajouter des détails d’interface spécifiques au lien MPLS.

  4. Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.

    image localisée

    image localisée

Remplir les itinéraires

Les itinéraires sont créés automatiquement en fonction de la configuration ci-dessus. Dans le cas où il y a plus de sous-réseaux spécifiques à cette succursale distante, des itinéraires spécifiques doivent être ajoutés pour identifier la Gateway vers laquelle diriger le trafic pour atteindre ces sous-réseaux backend.

image localisée

Résolution des erreurs d’audit

Une fois la configuration terminée pour les sites DC et Branch, vous serez invité à résoudre les erreurs d’audit sur les sites DC et BR. Dans cet exemple, nous allons résoudre l’erreur d’audit liée à la liaison WAN intranet privé [SJC_DC-MPLS].

Remarque

Par défaut, le système génère des chemins pour les liaisons WAN définies comme type d’accès Internet public (en surbrillance).

image localisée

image localisée

image localisée

Vous devez utiliser la fonction de groupe de chemins d’accès automatiques ou activer manuellement les chemins pour les liaisons WAN avec un type d’accès Internet privé. Les chemins d’accès des liens MPLS peuvent être activés en cliquant sur l’opérateur Ajouter (dans le rectangle vert).

image localisée

Créer un groupe de ath automatique :

  1. Accédez à l’onglet Global. Cliquez sur le signe [+] en regard de Groupes Autopath.

  2. Configurez le groupe de ath automatique créé selon les besoins et cliquez sur Appliquer.

    image localisée

  3. Renommez le groupe Autopath [Facultatif].

  4. Mappez le groupe Autopath aux chemins virtuels des liens WAN Intranet sur les sites respectifs.

    Aucun groupe de ath automatique ne peut être marqué par défaut. Si cette option est cochée, cela entraînerait une erreur d’audit.

Après avoir mappé le groupe Autopath aux chemins virtuels du réseau étendu Intranet, les chemins d’accès doivent être remplis automatiquement (mis en surbrillance).

image localisée

Ajouter manuellement des liens WAN avec le type d’accès Intranet privé

  1. Sélectionnez les chemins virtuels sous Liens WAN pour les sites respectifs et aucun groupe Autopath ne sera mappé.

  2. Cliquez sur le signe [+] en regard de Chemins d’accès pour ajouter manuellement des Chemins d’accès virtuels.

    image localisée

  3. Sélectionnez les liens WAN Chemins virtuels pour chaque site.

    image localisée

    Après avoir ajouté manuellement les chemins virtuels pour les liaisons WAN avec le type d’accès Intranet privé, il est rempli sous Chemins (en surbrillance).

    Après avoir terminé toutes les étapes ci-dessus, passez à Préparation des packages d’appliance SD-WAN sur la rubrique MCN.

Configuration de routage basée sur la stratégie sur le routeur PBR :

Interface connectée au réseau local

  • Router# configure terminal

  • Router(config)# interface FastEthernet0/1

  • Router(config-if)# description ToLAN

  • Router(config-if)# ip address 10.10.11.1 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

L’interface se connecte à la liaison WAN MPLS

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/0

  • Router(config-if)# description To-MPLS-WAN

  • Router(config-if)# ip address 10.20.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Interface connectée à la liaison WAN INET

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/2/0

  • Router(config-if)# description To-INET-WAN

  • Router(config-if)# ip address 10.19.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

L’interface GigabitEthernet0/1 sur le routeur PBR est connecté au port SD-WAN 1/1, il est en mode 1 bras et ce port servira le trafic pour les liaisons MPLS et INET.

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/1

  • Router(config-if)# description To-SDWAN-link

  • Router(config-if)# ip address 192.168.1.1 255.255.255.0

Configuration d’itinéraire statique (Route vers les sous-réseaux client/distants) :

  • MPLS 10.17.0.0/24 via le routeur WAN hop suivant MPLS 10.20.0.1

  • INET 10.18.0.0/24 via le routeur WAN hop suivant/FW INET 10.19.0.1

  • Router# configure terminal

  • Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1

  • Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1

Définition de la carte de route :

Configuration de la liste de contrôle d’accès :

Configurez les ACL pour définir le trafic à envoyer vers et depuis l’appliance SD-WAN.

  1. Du LAN à l’appliance SD-WAN

    Selon la topologie, les sous-réseaux LAN sont 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc. Pour envoyer du trafic depuis le réseau local vers le SD-WAN, configurez une ACL unidirectionnelle (du réseau local vers n’importe quel réseau).

    -  Router# configure terminal

    -  Router(config)# ip access-list extended server_side

    -  Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
  1. De l’appliance SD-WAN aux liaisons WAN physiques
    -  Router# configure terminal

    -  Router(config)# ip access-list extended MPLS_Link

    -  Router(config)# permit ip 192.168.1.10 0.0.0.0 any

    -  Router# configure terminal

    -  Router(config)# ip access-list extended INET_Link

    -  Router(config)# permit ip 192.168.1.11 0.0.0.0 any

<!--NeedCopy-->

Configuration de la carte de route :

Définissez la carte de routage correspondant aux ACL.

Carte de route pour le trafic LAN :

Le prochain saut sera l’une des adresses IP virtuelles SD-WAN (VIP).

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

Dans ce cas, nous avons choisi MPLS VIP 192.168.1.10 comme saut suivant et avons également ajouté un contrôle de l’intégrité pour nous assurer que si le SD-WAN échoue, le trafic n’est pas routé vers lui.

-  Router# configure terminal

-  Router(config)# route-map server_side_VW_PBR permit 10

-  Router(config-route-map)# match ip address server_side

-  Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123

<!--NeedCopy-->

La commande ci-dessus configure la carte de route pour vérifier l’accessibilité de l’objet suivi. Le processus de suivi offre la possibilité de suivre des objets individuels, tels que l’accessibilité du ping ICMP, la contiguïté du routage, une application exécutée sur un périphérique distant, un itinéraire dans la base d’informations de routage (RIB) ou pour suivre l’état d’un protocole de ligne d’interface.

Carte de route pour le trafic WAN :

Le prochain saut sera MPLS Router et Firewall pour les liaisons WAN respectives.

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 20

-  Router(config-route-map)# match ip address MPLS_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 30

-  Router(config-route-map)# match ip address INET_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125

<!--NeedCopy-->

Appliquez la carte de route à l’interface :

-  Router# configure terminal

-  Router(config)# interface FastEthernet0/1

-  Router(config-if)# ip policy route-map server_side_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

-  Router# configure terminal

-  Router(config)# interface GigabitEthernet0/1

-  Router(config-if)# ip policy route-map WAN_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

<!--NeedCopy-->

Configuration du routeur MPLS (passerelle 10.20.0.1) :

  • Ajouter un itinéraire sur le routeur MPLS pour atteindre MPLS VWAN VIP sur le centre de données.

  • MPLS VIP sous-réseau 192.168.1.0/24 via le prochain saut PBR routeur MPLS lien 10.20.0.2

  • Router# configure terminal

  • Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.0.2

Configuration du pare-feu (passerelle 10.19.0.1) :

Ajouter un itinéraire sur le pare-feu pour atteindre INET VWAN VIP sur le centre de données.

INET VIP sous-réseau 192.168.1.0/24 via le prochain routeur PBR hop INET lien 10.19.0.2

-  Router# configure terminal

-  Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->