Citrix SD-WAN

Mode virtuel en ligne

En mode virtuel en ligne, le routeur utilise un protocole de routage tel que PBR, OSPF ou BGP pour rediriger le trafic WAN entrant et sortant vers l’appliance, et l’appliance transfère les paquets traités au routeur.

L’article suivant décrit la procédure étape par étape pour configurer deux appliances SD-WAN (SD-WAN SE) :

  • Appliance de datacenter en mode virtuel Inline

  • Appliance de succursale en mode Inline

  • Le protocole de routage doit être configuré au niveau du commutateur principal ou plus en amont au niveau du routeur. Le routeur doit surveiller l’intégrité de l’appliance SD-WAN afin que l’appliance puisse être contournée en cas de défaillance.

  • Le mode Virtual Inline place l’appliance SD-WAN physiquement hors du chemin (déploiement à un bras), c’est-à-dire une seule interface Ethernet à utiliser (exemple : Interface 1/1) avec le mode de contournement défini sur FTB (failto-block).

L’appliance Citrix SD-WAN doit être configurée pour transmettre le trafic à la passerelle appropriée. Le trafic destiné au chemin virtuel est dirigé vers l’appliance SD-WAN, puis encapsulé et dirigé vers la liaison WAN appropriée.

Recueillir des informations pour la configuration

  • Diagramme réseau précis (exemple de diagramme ci-dessous) de vos sites locaux et distants, y compris :

    • Liens WAN locaux et distants et leurs largeurs de bande passante dans les deux sens, leurs sous-réseaux, adresses IP virtuelles et passerelles à partir de chaque lien, itinéraires et VLAN.
  • Tableau de déploiement (exemple de diagramme illustré ci-dessous)

Topologie du centre de données — Mode virtuel en ligne

Mode virtuel en ligne

Topologie de succursale — mode en ligne

Branche de déploiement en mode PBR

Nom de site Site du centre de données Site de succursale
Nom de l’appliance SJC-DC SJC-BR
Gestion IP 172.30.2.10/24 172.30.2.20/24
Clé de sécurité Le cas échéant Le cas échéant
Modèle/Edition 4000 2 000
Mode Mode Virtual Inline Inline
Topologie 2 x Chemin WAN 2 x Chemin WAN
Adresse VIP 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, IP publique w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24 – Internet, IP publique a.b.c.d
Passerelle MPLS 10.20.0.1 10.17.0.1
Passerelle Internet 10.19.0.1 10.18.0.1
Vitesse de liaison MPLS — 100 Mbps, Internet — 20 Mbps MPLS — 10 Mbps, Internet — 2 Mbps
Itinéraire Vous devez ajouter un itinéraire sur l’appliance SD-WAN SE sur la façon d’atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques : Gi0/1 - 192.168.1.1, Configuration > Virtual WAN > Éditeur de configuration > SJC_DC \ > Routes. Dans cet exemple, l’interface 192.168.1.1 a été utilisée፦ adresse n/w : 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Type de service : local, - Adresse IP de la passerelle : 192.168.1.1 Aucun itinéraire supplémentaire n’a été ajouté
VLAN Aucun (0 par défaut) Aucun (0 par défaut)

Étapes pour configurer un site en mode Virtual Inline :

  • Activez la fonctionnalité MCN.

  • Créez un nouveau site.

  • Créez un groupe d’interfaces et des interfaces virtuelles.

  • Attribuez une adresse IP virtuelle aux interfaces virtuelles.

  • Créez des liens WAN et attribuez une adresse IP.

  • Ajoutez des itinéraires.

  • Dépannage.

  • Configuration de la stratégie de routage sur le routeur.

Prérequis pour la configuration

  • Activez l’appliance SD-WAN en tant que nœud de contrôle maître.

  • La configuration est effectuée uniquement sur le nœud de contrôle maître (MCN) de l’appliance SD-WAN.

Pour activer une appliance en tant que nœud de contrôle maître :

  1. Dans l’interface de gestion Web SD-WAN, accédez à Configuration > Paramètres de l’appliance > Interface administrateur > onglet Divers > Switch Console.

    Remarque

    Si « Basculer vers la console client » s’affiche, l’appliance est déjà en mode MCN. Il ne doit y avoir qu’un seul MCN actif dans un réseau SD-WAN.

  2. Activez le service WAN virtuel. Accédez à Configuration > Réseau étendu virtuel > Activer/Désactiver/Purger les flux.

  3. Démarrez Configuration en accédant à Configuration > Réseau étendu virtuel > Éditeur de configuration. Cliquez sur Nouveau pour commencer la configuration.

    Cette opération crée un fichier de configuration initial Untitled_1 qui peut être renommé [facultatif] ultérieurement à l’aide du bouton Enregistrer sous.

Voici les étapes de configuration de haut niveau pour configurer le site de centre de données en mode de déploiement virtuel en ligne :

  1. Créez un site DC.

  2. Configurez les groupes d’interface en fonction des interfaces Ethernet connectées.

  3. Configurez l’adresse IP virtuelle pour chaque interface virtuelle.

  4. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

  5. Remplissez Routes s’il y a plus de sous-réseaux dans l’infrastructure LAN.

Configuration du mode virtuel en ligne du site du centre de données

Créer un site de contrôleur de domaine

  1. Accédez à l’Éditeur de configuration > Sites, puis cliquez sur le bouton + Site.

  2. Remplissez les champs comme indiqué ci-dessous.

  3. Conservez les paramètres par défaut sauf instructions contraires.

    PBR crée un site DC

Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées

  1. Dans l’Éditeur de configuration, accédez à Sites[Nom du site]Groupes d’interface . Cliquez sur « + » pour ajouter des interfaces destinées à être utilisées. En mode virtuel en ligne, la configuration sur une seule interface Ethernet est utilisée, c’est-à-dire une interface reliant le routeur en amont fournissant des implications sur la stratégie de routage (Exemple- Interface 1/1). Configurez les interfaces virtuelles MPLS et Internet avec les ID VLAN 10 et 20 respectivement.

  2. Le mode de contournement est défini sur fail-to-block car une seule interface Ethernet/physique est utilisée par interface virtuelle. Il n’y a pas non plus de paires de ponts.

  3. Dans cet exemple, développez l’option Interfaces virtuelles + et configurez les Interfaces virtuelles.

    PBR DC 2 configure l'interface virtuelle

Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

PBR DC 1 configure assigner une adresse IP virtuelle

Créer un lien Internet WAN

Pour remplir les liaisons WAN en fonction du débit physique et non de la vitesse de rafale à l’aide d’Internet et de la liaison MPLS :

  1. Accédez à Liens WAN, cliquez sur le bouton+pour ajouter un lien WAN pour le lien Internet.

  2. Remplissez les détails du lien Internet, y compris l’adresse IP publique fournie, comme indiqué ci-dessous. Notez que l’IP publique de détection automatique ne peut pas être sélectionnée pour l’appliance SD-WAN configurée en tant que MCN.

  3. Accédez à Interfaces d’accès, cliquez sur le bouton + pour ajouter des détails d’interface spécifiques au lien Internet.

  4. Remplissez l’interface d’accès pour les adresses IP et de Gateway comme indiqué ci-dessous. L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

    PBR DC 3 configure le lien WAN Internet

    PBR DC 4 configure l'interface d'accès Internet

Créer un lien MPLS

  1. Accédez à Liens WAN, cliquez sur le bouton+ pour ajouter un lien WAN pour le lien MPLS.

  2. Remplissez les détails du lien MPLS comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez sur le bouton+pour ajouter des détails d’interface spécifiques au lien MPLS.

  4. Remplissez l’interface d’accès pour MPLS Virtual IP et les adresses de Gateway, comme indiqué ci-dessous.

    Paramètres de base MPLS

    Remarque

    L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

Remplissez les itinéraires

Sur le site du centre de données, ajoutez une route sur l’appliance SD-WAN SEE pour atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques :

0/1/0.1 — 192.168.1.1 sur VLAN 10

0/1/0.2 — 192.168.2.1 sur VLAN 20

Router MPLS

Modifier MPLS d'itinéraire

Configuration du déploiement en ligne du site de succursale

Voici les étapes de configuration de haut niveau pour configurer le site Branch pour le déploiement en ligne :

  1. Créer un site Branch.

  2. Remplissez les groupes d’interface en fonction des interfaces Ethernet connectées.

  3. Créez une adresse IP virtuelle pour chaque interface virtuelle.

  4. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

    • Interface virtuelle « INTERNET » configurée sur pont paire 1/3 et 1/4

    • Interface Virtuelle « MPLS » configurée avec Pont Paire 1/1 et 1/2

  5. Remplissez les itinéraires s’il y a plus de sous-réseaux dans l’infrastructure du réseau local.

Créer un site de succursale

PBR crée un site de succursale

Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées

  1. Dans l’Éditeur de configuration, accédez à Sites> [Nom du site client]> Groupes d’interface. Cliquez sur +pour ajouter des interfaces destinées à être utilisées. Pour la configuration en mode Inline, quatre interfaces Ethernet sont utilisées ; les paires d’interfaces 1/3, 1/4 et les paires d’interfaces 1/1 et 1/2.

  2. Le mode de contournement est défini sur Fail-to-wire puisque deux interfaces Ethernet/physiques sont utilisées par interface virtuelle. Il y a deux paires de pont.

  3. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

    • Interface virtuelle « INTERNET » configurée sur pont paire 1/3 et 1/4

    • Interface virtuelle « MPLS » configurée avec Bridge Pair 1/1 et 1/2.

  4. Reportez-vous à l’exemple de topologie « Mode Inline Site distant » ci-dessus et remplissez les champs Groupes d’interface comme indiqué ci-dessous.

    PBR crée un groupe d'interface de site de branche 1

Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

PBR crée une adresse IP virtuelle de site de branche 2

Créer un lien Internet WAN

Pour remplir les liaisons WAN en fonction du débit physique et non de la vitesse de rafale à l’aide de la liaison Internet

  1. Accédez à Liens WAN, cliquez sur le bouton+pour ajouter un lien WAN pour le lien Internet.

  2. Renseignez les détails du lien Internet, y compris l’adresse IP publique AutoDetect, comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez sur le bouton + pour ajouter des détails d’interface spécifiques au lien Internet.

  4. Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.

    PBR crée une branche site 3 lien WAN internet

    PBR crée une interface d'accès internet site de succursale 4

Créer un lien MPLS

  1. Accédez à Liens WAN, cliquez sur le bouton+ pour ajouter un lien WAN pour le lien MPLS.

  2. Remplissez les détails du lien MPLS comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez sur le bouton+pour ajouter des détails d’interface spécifiques au lien MPLS.

  4. Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.

    PBR crée une liaison WAN MPLS sur le site de branche 5

    PBR crée une interface d'accès MPLS sur le site de branche 6

Remplissez les itinéraires

Les itinéraires sont créés automatiquement en fonction de la configuration ci-dessus. Dans le cas où il y a plus de sous-réseaux spécifiques à cette succursale distante, des itinéraires spécifiques doivent être ajoutés pour identifier la Gateway vers le trafic direct pour atteindre ces sous-réseaux back-end.

Branche MPLS Route

Résolution des erreurs d’audit

Une fois la configuration terminée pour les sites DC et Branch, vous serez invité à résoudre les erreurs d’audit sur les sites DC et BR. Dans cet exemple, nous allons résoudre l’erreur d’audit liée à la liaison WAN intranet privé [SJC_DC-MPLS].

Remarque

Par défaut, le système génère des chemins pour les liaisons WAN définies comme type d’accès Internet public (mis en surbrillance).

Erreur d'audit mode PBR

Mode PBR de l'interface d'accès

Erreur d'audit PBR

Vous devez utiliser la fonction de groupe de chemins automatiques ou activer manuellement les chemins pour les liaisons WAN avec un type d’accès Internet privé. Les chemins des liens MPLS peuvent être activés en cliquant sur l’opérateur Ajouter (dans le rectangle vert).

PBR de chemin par défaut

Créer un groupe de ath automatique :

  1. Accédez à l’onglet Global. Cliquez sur le signe [+] en regard de Groupes de chemin automatique.

  2. Configurez le groupe de ath automatique créé selon les besoins et cliquez sur Appliquer.

    Mode PBR groupes de chemin automatique

  3. Renommez le groupe Autopath [Facultatif].

  4. Mappez le groupe Autopath aux chemins virtuels des liens WAN Intranet sur les sites respectifs.

    Aucun groupe de ath automatique ne peut être marqué par défaut. Si elle est marquée, une erreur d’audit s’affiche.

Après avoir mappé le groupe Autopath sur les chemins virtuels du WAN Intranet, les chemins doivent être automatiquement renseignés (mis en surbrillance).

Mappage des groupes de chemin automatique en mode PBR

Ajouter manuellement des liens WAN avec le type d’accès Intranet privé

  1. Sélectionnez les chemins virtuels sous Liens WAN pour les sites respectifs et aucun groupe Autopath ne sera mappé.

  2. Cliquez sur le signe [+] en regard de Chemins d’accès pour ajouter manuellement des Chemins d’accès virtuels.

    Mappage manuel des groupes de chemin automatique en mode PBR

  3. Sélectionnez les liens WAN de chemins virtuels pour chaque site.

    Ajouter des liens WAN

    Après avoir ajouté manuellement les chemins virtuels pour les liens WAN avec le type d’accès Intranet privé, il est rempli sous Paths (mis en surbrillance).

    Après avoir terminé toutes les étapes ci-dessus, passez à Préparation des packages d’appliance SD-WAN sur la rubrique MCN.

Configuration de routage basée sur la stratégie sur le routeur PBR :

Interface connectée au réseau local

  • Router# configure terminal

  • Router(config)# interface FastEthernet0/1

  • Router(config-if)# description ToLAN

  • Routeur (config-if) # Adresse IP 10.10.11.1 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

L’interface se connecte à la liaison WAN MPLS

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/0

  • Router(config-if)# description To-MPLS-WAN

  • Routeur (config-if) # Adresse IP 10.20.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Interface connectée à la liaison WAN INET

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/2/0

  • Router(config-if)# description To-INET-WAN

  • Routeur (config-if) # Adresse IP 10.19.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

L’interface GigabitEthernet0/1 sur le routeur PBR est connecté au port SD-WAN 1/1, il est en mode 1 bras et ce port servira le trafic pour les liaisons MPLS et INET.

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/1

  • Router(config-if)# description To-SDWAN-link

  • Routeur (config-if) # Adresse IP 192.168.1.1 255.255.255.0

Configuration d’itinéraire statique (Route vers le client/sous-réseaux distants) :

  • MPLS 10.17.0.0/24 via le routeur WAN hop suivant MPLS 10.20.0.1

  • INET 10.18.0.0/24 via le routeur WAN hop suivant/FW INET 10.19.0.1

  • Router# configure terminal

  • Routeur (configuration) # Route IP 10.17.0.0 255.255.255.0 10.20.0.1

  • Routeur (configuration) # Route IP 10.18.0.0 255.255.255.0 10.19.0.1

Définition de la carte de route :

Configuration de la liste de contrôle d’accès :

Configurez les ACL pour définir le trafic à envoyer vers et depuis l’appliance SD-WAN.

  1. Du LAN à l’appliance SD-WAN

    Selon la topologie, les sous-réseaux LAN sont 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc. Pour envoyer du trafic depuis LAN vers le SD-WAN, configurez une ACL unidirectionnelle (de LAN à n’importe quel).

    -  Router# configure terminal

    -  Router(config)# ip access-list extended server_side

    -  Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
  1. De l’appliance SD-WAN aux liens WAN physiques
    -  Router# configure terminal

    -  Router(config)# ip access-list extended MPLS_Link

    -  Router(config)# permit ip 192.168.1.10 0.0.0.0 any

    -  Router# configure terminal

    -  Router(config)# ip access-list extended INET_Link

    -  Router(config)# permit ip 192.168.1.11 0.0.0.0 any

<!--NeedCopy-->

Configuration de la carte de route :

Définissez la carte de routage correspondant aux ACL.

Carte de route pour le trafic LAN :

Le prochain saut sera l’une des adresses IP virtuelles SD-WAN (VIP).

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

Dans ce cas, nous avons choisi MPLS VIP 192.168.1.10 comme saut suivant et avons également ajouté un contrôle de l’intégrité pour nous assurer que si le SD-WAN échoue, le trafic n’est pas routé vers lui.

-  Router# configure terminal

-  Router(config)# route-map server_side_VW_PBR permit 10

-  Router(config-route-map)# match ip address server_side

-  Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123

<!--NeedCopy-->

La commande ci-dessus configure la carte de route pour vérifier l’accessibilité de l’objet suivi. Le processus de suivi offre la possibilité de suivre des objets individuels, tels que l’accessibilité du ping ICMP, la contiguïté du routage, une application exécutée sur un périphérique distant, un itinéraire dans la base d’informations de routage (RIB) ou pour suivre l’état d’un protocole de ligne d’interface.

Carte de route pour le trafic WAN :

Le prochain saut sera MPLS Router et Firewall pour les liaisons WAN respectives.

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 20

-  Router(config-route-map)# match ip address MPLS_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 30

-  Router(config-route-map)# match ip address INET_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125

<!--NeedCopy-->

Appliquez la carte de route à l’interface :

-  Router# configure terminal

-  Router(config)# interface FastEthernet0/1

-  Router(config-if)# ip policy route-map server_side_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

-  Router# configure terminal

-  Router(config)# interface GigabitEthernet0/1

-  Router(config-if)# ip policy route-map WAN_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

<!--NeedCopy-->

Configuration du routeur MPLS (passerelle 10.20.0.1) :

  • Ajouter un itinéraire sur le routeur MPLS pour atteindre MPLS VWAN VIP sur le centre de données.

  • MPLS VIP sous-réseau 192.168.1.0/24 via le prochain saut PBR routeur MPLS lien 10.20.0.2

  • Router# configure terminal

  • Routeur (configuration) # Route IP 192.168.1.0 255.255.255.0 10.20.0.2

Configuration du pare-feu (passerelle 10.19.0.1) :

Ajouter un itinéraire sur le pare-feu pour atteindre INET VWAN VIP sur le centre de données.

INET VIP sous-réseau 192.168.1.0/24 via le prochain routeur PBR hop INET lien 10.19.0.2

-  Router# configure terminal

-  Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->