Citrix SD-WAN

Configuration SD-WAN Orchestrator sur site sur l’appliance SD-WAN (ciblée pour le futur)

Citrix On-Prem SD-WAN Orchestrator est la version logicielle locale du service Citrix SD-WAN Orchestrator. Citrix On-Prem SD-WAN Orchestrator fournit un panneau unique de plate-forme de gestion du verre permettant aux partenaires Citrix de gérer plusieurs clients de manière centralisée, avec des contrôles d’accès basés sur les rôles appropriés.

Vous pouvez établir une connexion entre votre appliance Citrix SD-WAN et Citrix On-Prem SD-WAN Orchestrator en activant la connectivité Orchestrator et en spécifiant l’identité SD-WAN Orchestrator sur site.

Remarque

  • La configuration sur site SD-WAN Orchestrator sur l’appliance SD-WAN est un activateur pour Citrix On-Prem SD-WAN Orchestrator. La configuration de Citrix On-Prem SD-WAN Orchestrator sur l’appliance SD-WAN n’est actuellement pas disponible, elle est ciblée pour une version ultérieure.
  • Le déploiement Zero-Touch ne fonctionnera pas si la configuration sur site SD-WAN Orchestrator sur la fonctionnalité de l’appliance SD-WAN est configurée sur les appliances SD-WAN.
  • La configuration SD-WAN Orchestrator sur site de l’appliance SD-WAN est perdue si la configuration SD-WAN Orchestrator sur une appliance SD-WAN configurée dans Citrix SD-WAN version 11.2 et rétrogradée vers la version 10.2.7. La rétrogradation de la version 11.2 à la version 10.2.7 n’est pas prise en charge. La solution consiste à reconfigurer l’identité On-Prem Orchestrator après la rétrogradation.

Pour activer la connectivité SD-WAN Orchestrator sur site :

  1. Dans l’interface utilisateur de l’appliance, accédez à Configuration > WAN virtuel > SD-WAN Orchestrator sur site.

  2. Activez la case à cocher Activer la connectivité SD-WAN Orchestrator sur site.

Remarque

À partir de la version 11.2.1 de Citrix SD-WAN, l’appliance SD-WAN et les certificats SD-WAN Orchestrator sur site, le domaine SD-WAN Orchestrator sur site, le type d’authentification et les options de configuration avancée sont introduites.

Configuration avancée SD-WAN Orchestrator sur site

  1. Entrez soit l’adresse IP SD-WAN Orchestrator sur site, soit le domaine, soit les deux (adresse IP et domaine) pour la configuration.

Si le client configure uniquement le domaine, il doit s’assurer d’ajouter l’enregistrement DNS dans son serveur DNS local et configurer l’adresse IP du serveur DNS sur les appliances SD-WAN. Pour configurer, accédez à Configuration > Cartes réseau > Adresse IP.

Par exemple, si le domaine SD-WAN Orchestrator sur site est configuré en tant que citrix.com, vous devez créer un enregistrement DNS dans le serveur DNS pour le nom de domaine complet et l’adresse IP SD-WAN Orchestrator ci-dessous :

  • download.citrix.com
  • sdwanzt.citrix.com
  • sdwan-home.citrix.com

    En cas de configuration avancée :

    Par exemple : si le domaine On-Prem Orchestrator est configuré comme citrix.com, le domaine de service de gestion des téléchargements est configuré comme download.citrix.comet le domaine de service de gestion des statistiques est configuré comme statistics.citrix.com. Ensuite, vous devez créer l’enregistrement DNS dans le serveur DNS pour le nom de domaine complet ci-dessous et l’adresse IP correspondante :

  • download.citrix.com
  • sdwanzt.citrix.com
  • statistics.citrix.com

    Détails de configuration avancée SD-WAN Orchestrator sur site

    On-Prem Orchestrator peut prendre en charge des services en cours d’exécution tels que le téléchargement, les statistiques sur les instances de serveur indépendantes, afin d’améliorer l’évolutivité pour les grands réseaux. Vous pouvez sélectionner la Configuration avancée et configurer le Service de gestion des téléchargements et le service de gestion des statistiques.

    Activez la case àcocher Configurationavancée et fournissez les détails suivants :

  • Service de gestion de téléchargement IP/domaine : fournissez l’adresse IP /domaine qui aide à décharger les aspects de téléchargement du logiciel SD-WAN et de la configuration, vers une instance de serveur indépendante, afin de permettre une meilleure évolutivité pour les grands réseaux.

  • Service de gestion des statistiques IP/domaine : fournir l’adresse IP/domaine qui aide à décharger la collecte et la gestion des statistiques SD-WAN des périphériques vers une instance de serveur indépendante, afin de permettre une meilleure évolutivité pour les grands réseaux.
  1. Sélectionnez le type d’authentification. Voici les types d’authentification pris en charge entre l’appliance SD-WAN et la connectivité SD-WAN Orchestrator sur site :
  • Aucune authentification  : aucune authentification entre l’appliance SD-WAN Orchestrator et l’appliance SD-WAN sur site, et il n’est pas nécessaire d’utiliser l’appliance SD-WAN ou le certificat SD-WAN Orchestrator sur site. Mais vous pouvez utiliser cette option si vous disposez d’un réseau sécurisé tel que MPLS.

  • Authentification unidirectionnelle  : lorsque vous sélectionnez letype d’authentificationunidirectionnelle, vous devez télécharger le certificat On-prem Orchestrator. Téléchargez l’Orchestrator On-Prem Orchestrator depuis On-Prem Orchestrator et cliquez sur Upload. L’appliance SD-WAN approuve l’Orchestrator On-Prem à l’aide des certificats téléchargés.

  • ** Authentification bidirectionnelle : les certificats Orchestrator et Appliance sur site doivent être échangés entre eux. Pour l’authentification **bidirectionnelle, vous devez régénérer, télécharger et télécharger le certificat de l’appliance SD-WAN sur l’Orchestrator sur site. L’appliance SD-WAN et On-Prem Orchestrator se font confiance à l’aide des certificats échangés.

    Remarque

    Il est recommandé d’utiliser uniquement l’authentification unidirectionnelle ou l’authentification bidirectionnelle. Dans le cas de No Authentication, vous devez choisir le serveur DNS sécurisé.

    Si le type d’ authentification On-Prem Orchestrator est désactivé, l’appliance peut se connecter à On-Prem Orchestrator via Aucune authentification ou Authentification **unidirectionnelle ou bidirectionnelle** mode.

    Si le type d’ authentification On-Prem Orchestrator est activé, l’appliance peut uniquement se connecter à On-Prem Orchestrator via l’authentification bidirectionnelle.

    Lors de la désactivation du type d’authentification dans On-Prem Orchestrator de l’état d’activation, les appliances existantes en mode Authentification unidirectionnelle passent à l’état déconnecté. Les clients doivent changer le type d’authentification de l’appliance en authentification bidirectionnelle et télécharger le certificat de l’appliance SD-WAN sur l’Orchestrator On-Prem Orchestrator pour le connecter.

    Remarque

    Les certificats générés sont des certificats auto-signés X509.

    Le client doit régénérer les certificats si le certificat est expiré ou compromis.

    La validité du certificat est de 10 ans.

    Vous pouvez afficher les détails du certificat tels que l’empreinte digitale, la date de début et la date de fin

    Le client doit s’assurer que les certificats sont régénérés et échangés entre On-Prem Orchestrator et l’appliance SD-WAN afin d’éviter la perte de connectivité de l’appliance avec On-Prem Orchestrator.

    Type d'authentification SD-WAN Orchestrator sur site

  1. Cliquez sur Appliquer les paramètres.

Pour désactiver la connectivité SD-WAN Orchestrator sur site, désactivez Activer la connectivité SD-WAN Orchestrator sur site et cliquez surAppliquer les paramètres. Pour convertir le réseau géré sur site Orchestrator en réseau géré Cloud Orchestrator ou MCN, vous devez désactiver la connectivité SD-WAN Orchestrator sur site et effectuer la réinitialisation de la configuration. Pour réinitialiser la configuration, accédez à Configuration > Maintenance du système > Réinitialisation de la configuration.

Mise à niveau et rétrogradation

  • Après la mise à niveau de l’appliance SD-WAN de la version 11.1.1/11.2.0/10.2.7 vers la version logicielle 11.2.1, vous devez échanger à la fois les certificats appliance et On-Prem Orchestrator.

  • Après avoir rétrogradé l’appliance SD-WAN de la version 11.2.1 à la version logicielle 11.1.1/11.2.0/10.2.7, vous devez appliquer à nouveau les paramètres d’identité sur l’interface utilisateur de l’appliance Citrix SD-WAN. En cas de problème lié à la configuration SD-WAN Orchestrator ou à la connectivité de l’appliance SD-WAN sur site, désactivez la connectivité SD-WAN Orchestrator sur site, puis réactivez la connectivité SD-WAN Orchestrator sur site.

Le type d’authentification SD-WAN Orchestrator sur site doit être désactivé pour gérer les appliances SD-WAN exécutant la version logicielle 10.2.7/11.1.1/11.2.0.

Configuration SD-WAN Orchestrator sur site sur l’appliance SD-WAN (ciblée pour le futur)