Citrix SD-WAN

Route de l’application

Dans un réseau d’entreprise typique, les succursales accèdent aux applications sur le datacenter local, le datacenter cloud ou les applications SaaS. La fonctionnalité de routage des applications vous permet de diriger les applications à travers votre réseau facilement et à moindre coût. Par exemple, lorsqu’un utilisateur sur le site de la succursale tente d’accéder à une application SaaS, le trafic peut être acheminé de telle sorte que les succursales puissent accéder directement aux applications SaaS sur Internet, sans avoir à passer par le centre de données en premier.

Citrix SD-WAN vous permet de définir les itinéraires d’application pour les services suivants :

  • Chemin d’accès virtuel : ce service gère le trafic sur les chemins d’accès virtuels. Un chemin virtuel est un lien logique entre deux liaisons WAN. Il comprend une collection de chemins WAN combinés pour fournir une communication de niveau de service élevé entre deux nœuds SD-WAN. L’appliance SD-WAN mesure le réseau sur une base par chemin et s’adapte à l’évolution de la demande et des conditions WAN des applications. Un chemin virtuel peut être statique (existe toujours) ou dynamique (n’existe que lorsque le trafic entre deux appliances SD-WAN atteint un seuil configuré).

  • Internet : ce service gère le trafic entre un site Enterprise et des sites sur Internet public. Le trafic Internet n’est pas encapsulé. En cas de congestion, le SD-WAN gère activement la bande passante en limitant le trafic Internet par rapport au chemin virtuel et au trafic Intranet.

  • Intranet : ce service gère le trafic Intranet d’entreprise qui n’a pas été défini pour la transmission sur un chemin virtuel. Le trafic intranet n’est pas encapsulé. Le SD-WAN gère la bande passante en limitant ce trafic par rapport aux autres types de service en période de congestion. Dans certaines conditions, et si l’Intranet Fallback est configuré sur le chemin virtuel, le trafic qui circule habituellement via le chemin virtuel peut être traité comme du trafic intranet.

  • Local : ce service gère le trafic local vers le site qui ne correspond à aucun autre service. Le SD-WAN ignore le trafic provenant et destiné à une route locale.

  • Tunnel GRE : Ce service gère le trafic IP destiné à un tunnel GRE et correspond au tunnel LAN GRE configuré sur le site. La fonction Tunnel GRE vous permet de configurer les appliances SD-WAN pour qu’elles terminent les tunnels GRE sur le réseau local. Pour un itinéraire avec le type de service GRE Tunnel, la Gateway doit résider dans l’un des sous-réseaux de tunnel du tunnel GRE local.

  • Tunnel LAN IPsec : Ce service gère le trafic IP destiné à un tunnel LAN IPsec et correspond au tunnel LAN IPsec configuré sur le site. La fonction LAN IPSec Tunnel vous permet de configurer les appliances SD-WAN pour qu’elles terminent les tunnels IPSec côté LAN ou WAN.

Pour effectuer une direction de service pour les applications, il est important d’identifier une application sur le premier paquet lui-même. Initialement, les paquets traversent la route IP une fois que le trafic est classé et que l’application est connue, la route de l’application correspondante est utilisée. La première classification des paquets est obtenue en apprenant les sous-réseaux IP et les ports associés aux objets d’application. Ils sont obtenus à l’aide des résultats de classification historiques du classificateur DPI et des types de correspondance de port IP configurés par l’utilisateur.

Pour configurer le routage des applications :

  1. Dans l’Éditeur de configuration, accédez à Connexions > Itinéraires des applications, puis cliquez sur +.

    Utilisation de l'application1

  2. Dans la page Ajouter, définissez les paramètres suivants :

    • Objet d’application : Objet d’application que vous souhaitez diriger. Les objets d’application créés par vous sont répertoriés ici. Pour plus d’informations, consultez la section Objets d’application dans la Classification des applications rubrique.

      Direction d'application SD-WAN

    • Domaine de routage : Domaine de routage à utiliser par l’itinéraire d’application. Choisissez l’un des domaines de routage configurés.

    • Coût : Poids pour déterminer la priorité de l’itinéraire pour cet itinéraire. Les itinéraires à moindre coût ont priorité sur les itinéraires à coût élevé. La plage est de 1 à 65534. La valeur par défaut est 5.

    • Type de service : Sélectionnez l’un des services suivants. Cela mappe l’application à un service.

    • Chemin virtuel : identifie le trafic d’application comme trafic de chemin virtuel et correspond à un chemin virtuel basé sur les règles de chemin virtuel. Dans le champ Site de saut suivant, entrez le site distant de saut suivant vers lequel les paquets de chemin virtuel sont dirigés.

      Remarque

      Tout flux qui touche les Routes d’application de chemin virtuel ne passe pas sur le chemin virtuel dynamique.

    • Internet : identifie le trafic d’application comme trafic Internet et correspond au service Internet.

    • Intranet : identifie le trafic d’application comme trafic Intranet et correspond à un service Intranet basé sur les règles Intranet. Dans le champ Service intranet, sélectionnez un service intranet à utiliser pour l’itinéraire.

    • Local : identifie le trafic d’application comme local vers le site et ne correspond pas à aucun service. Le trafic provenant et destiné à une route locale est ignoré.

      Remarque

      Pour le type de service local, une fois la classification PPP terminée, les routes IP configurées prennent la décision de routage.

    • Tunnel GRE : Identifié le trafic de l’application comme étant destiné à un tunnel GRE et correspond au tunnel GRE LAN configuré sur le site. Dans le champ Adresse IP de la Gateway, entrez l’adresse IP de la passerelle qui doit se trouver dans le sous-réseau du LAN GRE Tunnel. Sélectionnez Éligibilité basée sur la passerelle pour permettre à l’itinéraire de ne pas recevoir de trafic lorsque la passerelle n’est pas accessible.

    • Tunnel IPSec LAN : Identifié le trafic d’application comme étant destiné à un tunnel IPSec LAN et correspond au tunnel IPSec LAN configuré sur le site. Dans le champ Tunnel IPSec, sélectionnez l’un des tunnels IPSec configurés. Sélectionnez Éligibilité basée sur le tunnel pour permettre à l’itinéraire de ne pas recevoir de trafic lorsque le tunnel n’est pas accessible.

      Remarque

      Une fois que vous avez sélectionné un service pour une application personnalisée, ne le modifiez pas.

    • Éligibilité basée sur le chemin d’accès : sélectionnez cette option pour permettre à l’itinéraire de ne pas recevoir de trafic lorsque le chemin d’accès spécifié est en panne. Dans le champ Chemin d’accès, spécifiez le chemin à utiliser pour déterminer l’éligibilité de l’itinéraire.

  3. Cliquez sur Apply.

Pour afficher les itinéraires d’application configurés sur votre appliance SD-WAN. Dans l’interface graphique SD-WAN, accédez à Configuration > Réseau étendu virtuel > Afficher la configuration . Sélectionnez Itinéraires d’application dans le menu déroulant Affichage .

Gérer les applications SD-WAN1

Pour afficher les données de statistiques pour les itinéraires d’application :

  1. Dans l’interface graphique SD-WAN, accédez à Surveillance > Statistiques .

  2. Dans la liste déroulante Afficher, sélectionnez Itinéraires d’application .

    Gérer les applications SD-WAN2

Vous pouvez afficher les statistiques suivantes :

  • Application Object : Nom de l’objet application.
  • Adresse IP de la Gateway : adresse IP de la passerelle utilisée par les objets d’application avec le type de service de tunnel GRE.
  • Service : type de service mappé à l’objet d’application.
  • Zone de pare-feu : zone de pare-feu dans laquelle se trouve cet itinéraire.
  • Accessible : Statut de l’itinéraire de l’application.
  • Site : Nom du site.
  • Type : Indique si l’itinéraire est statique ou dynamique.
  • Coût : La priorité de l’itinéraire.
  • Nombre decoups : nombre de fois où l’itinéraire de l’application est utilisé pour diriger le trafic.
  • Admissible : L’itinéraire de l’application est-il éligible pour envoyer le trafic.
  • Type d’éligibilité : Type de condition d’éligibilité d’itinéraire appliquée à cet itinéraire. Le type d’éligibilité peut être Chemin d’accès, Passerelle ou Tunnel.
  • Valeur d’éligibilité : valeur spécifiée pour la condition d’éligibilité de l’itinéraire.

Remarque

Dans la version actuelle, les applications appartenant à la famille d’applications, le type de correspondance défini dans l’objet d’application, ne peuvent pas être orientées.

Résolution des problèmes

Après avoir créé la route d’application, vous pouvez confirmer que l’application est correctement routée vers le service prévu à l’aide de la section Monitoring.

Pour voir si l’application est correctement routée vers le service prévu, accédez aux pages suivantes :

  • Surveillance > Statistiques > Routes d’applications
  • Surveillance > Flux
  • Surveillance > Pare-feu

S’il y a un comportement de routage inattendu, collectez le bundle de diagnostics STS pendant que le problème est observé et partagez-le avec l’équipe de support Citrix.

Le pack STS peut être créé et téléchargé à l’aide de Configuration > Maintenance du système > Diagnostics > Informations de diagnostic.

Route de l’application