Citrix SD-WAN

Déployer des appliances à utiliser avec des plug-ins

L’accélération du client nécessite une configuration spéciale sur l’appliance WANOP Client Plug-in. Parmi les autres considérations, mentionnons le placement de l’appliance. Les plug-ins sont généralement déployés pour les connexions VPN.

Utiliser une appliance dédiée si possible

Il est souvent difficile d’utiliser la même appliance pour l’accélération de plug-in et l’accélération de liaison, car les deux utilisations exigent parfois que l’appliance se trouve à des points différents du centre de données, et les deux utilisations peuvent appeler à des règles de classe de service différentes.

En outre, une appliance peut servir de point de terminaison pour l’accélération de plug-in ou de point de terminaison pour l’accélération de site à site, mais elle ne peut pas servir les deux objectifs pour la même connexion en même temps. Par conséquent, lorsque vous utilisez une appliance pour l’accélération de plug-in pour votre VPN et pour l’accélération de site à site vers un datacenter distant, les utilisateurs de plug-in ne reçoivent pas d’accélération de site à site. La gravité de ce problème dépend de la quantité de données utilisées par les utilisateurs de plug-in provient de sites distants.

Enfin, étant donné que les ressources d’une appliance dédiée ne sont pas réparties entre les demandes de plug-in et de site à site, elles fournissent davantage de ressources et donc des performances supérieures à chaque utilisateur de plug-in.

Utiliser le mode en ligne lorsque cela est possible

Une appliance doit être déployée sur le même site que l’unité VPN qu’elle prend en charge. Typiquement, les deux unités sont alignées les unes avec les autres. Un déploiement en ligne offre la configuration la plus simple, le plus grand nombre de fonctionnalités et les performances les plus élevées. Pour de meilleurs résultats, l’appliance doit être directement en ligne avec l’unité VPN.

Toutefois, les appliances peuvent utiliser n’importe quel mode de déploiement, à l’exception du mode groupe ou du mode haute disponibilité. Ces modes conviennent à l’accélération appliance-appliance et client-à-matériel. Ils peuvent être utilisés seuls (mode transparent) ou en combinaison avec le mode redirecteur.

Placez les appliances dans une partie sécurisée de votre réseau

Une appliance dépend de votre infrastructure de sécurité existante de la même manière que vos serveurs. Il doit être placé du même côté du pare-feu (et de l’unité VPN, le cas échéant) que les serveurs.

Éviter les problèmes NAT

La traduction d’adresses réseau (NAT) côté plug-in est gérée de manière transparente et n’est pas un problème. Du côté de l’appliance, la NAT peut être gênante. Appliquez les instructions suivantes pour assurer un déploiement sans heurts :

  • Placez l’appliance dans le même espace d’adressage que les serveurs, de sorte que les modifications d’adresse utilisées pour atteindre les serveurs soient également appliquées à l’appliance.

  • N’accédez jamais à l’appliance à l’aide d’une adresse qu’elle n’associe pas elle-même.

  • L’appliance doit pouvoir accéder aux serveurs à l’aide des mêmes adresses IP auxquelles les utilisateurs du plug-in accèdent aux mêmes serveurs.

  • En résumé, n’appliquez pas NAT aux adresses des serveurs ou des appliances.

Sélectionner le mode softboost

Sur la page Configurer les paramètres : Gestion de la bande passante, sélectionnez Mode Softboost. Softboost est le seul type d’accélération pris en charge avec le plug-in client WANOP.

Définir les règles d’accélération du plug-in

L’appliance gère une liste de règles d’accélération indiquant aux clients le trafic à accélérer. Chaque règle spécifie une adresse ou un sous-réseau et une plage de ports que l’appliance peut accélérer.

Ce qu’il faut accélérer -Le choix du trafic à accélérer dépend de l’utilisation de l’appliance :

  • Accélérateur VPN : si l’appliance est utilisée comme accélérateur VPN, avec tout le trafic VPN passant par l’appliance, tout le trafic TCP doit être accéléré, quelle que soit la destination.

  • Mode redirecteur : contrairement au mode transparent, une appliance en mode redirecteur est un proxy explicite, ce qui fait que le plug-in transfère son trafic à l’appliance en mode redirecteur même si cela n’est pas souhaitable. L’accélération peut être contre-productive si le client transfère le trafic vers une appliance éloignée du serveur, en particulier si cette « route triangulaire » introduit une liaison lente ou peu fiable. Par conséquent, Citrix recommande que les règles d’accélération soient configurées pour permettre à une appliance donnée d’accélérer son propre site uniquement.

  • Autres utilisations - Lorsque le plug-in n’est utilisé ni comme accélérateur VPN ni en mode redirecteur, les règles d’accélération doivent inclure des adresses distantes aux utilisateurs et locales aux centres de données.

Définissez les règles - Définissez les règles d’accélération sur l’appliance, sous l’onglet Configuration : WANOP Client Plug-in : Acceleration Rules .

Les règles sont évaluées dans l’ordre et l’action (Accélérer ou Exclure) est effectuée à partir de la première règle de correspondance. Pour qu’une connexion soit accélérée, elle doit correspondre à une règle Accélération.

L’action par défaut consiste à ne pas accélérer.

Figure 1. Définition des règles d’accélération

image localisée

  1. Dans l’onglet Configuration : WANOP Plug-in : Règles d’accélération :

    • Ajoutez une règle Accelerated pour chaque sous-réseau LAN local auquel l’appliance peut accéder. Autrement dit, cliquez sur Ajouter, sélectionnez Accéléreret tapez l’adresse IP du sous-réseau et le masque.

    • Répétez la procédure pour chaque sous-réseau local de l’appliance.

  2. Si vous devez exclure une partie de la plage incluse, ajoutez une règle Exclure et déplacez-la au-dessus de la règle plus générale. Par exemple, 10.217.1.99 ressemble à une adresse locale. S’il s’agit vraiment du point de terminaison local d’une unité VPN, créez une règle Exclure pour elle sur une ligne au-dessus de la règle Accélération pour 10.217.1.0/24.

  3. Si vous souhaitez utiliser l’accélération pour un seul port (non recommandé), tel que le port 80 pour HTTP, remplacez le caractère générique dans le champ Ports par le numéro de port spécifique. Vous pouvez prendre en charge des ports supplémentaires en ajoutant des règles supplémentaires, une par port.

  4. En général, lister les règles étroites (généralement des exceptions) avant les règles générales.

  5. Cliquez sur Appliquer. Les modifications ne sont pas enregistrées si vous quittez cette page avant de les appliquer.

Utilisation du port IP

Utilisez les instructions suivantes pour l’utilisation du port IP :

  • Ports utilisés pour la communication avec le plug-in client WANOP : le plug-in maintient une boîte de dialogue avec l’appliance via une connexion de signalisation, qui est par défaut sur le port 443 (HTTPS), qui est autorisé par la plupart des pare-feu.

  • Ports utilisés pour la communication avec les serveurs : la communication entre le plug-in client WANOP et l’appliance utilise les mêmes ports que le client utiliserait pour la communication avec le serveur si le plug-in et l’appliance n’étaient pas présents. Autrement dit, lorsqu’un client ouvre une connexion HTTP sur le port 80, il se connecte à l’appliance sur le port 80. L’appliance contacte le serveur sur le port 80.

    En mode redirecteur, seul le port connu (c’est-à-dire le port de destination sur le paquet TCP SYN) est conservé. Le port éphémère n’est pas conservé. En mode transparent, les deux ports sont conservés.

    L’appliance suppose qu’elle peut communiquer avec le serveur sur n’importe quel port demandé par le client et qu’elle peut communiquer avec l’appliance sur n’importe quel port souhaité. Cela fonctionne bien si l’appliance est soumise aux mêmes règles de pare-feu que les serveurs. Dans ce cas, toute connexion qui réussirait dans une connexion directe réussirait dans une connexion accélérée.

Utilisation de l’option TCP et pare-feu

Les paramètres du plug-in client WANOP sont envoyés dans les options TCP. Les options TCP peuvent se produire dans n’importe quel paquet et sont garanties d’être présentes dans les paquets SYN et SYN-ACK qui établissent la connexion.

Votre pare-feu ne doit pas bloquer les options TCP dans la plage de 24-31 (décimale), sinon l’accélération ne peut pas avoir lieu. La plupart des pare-feu ne bloquent pas ces options. Cependant, un pare-feu Cisco PIX ou ASA avec le firmware de la version 7.x peut le faire par défaut, et par conséquent vous devrez peut-être ajuster sa configuration.