Citrix SD-WAN

Service de domaine d’interroutage

Citrix SD-WAN vous permet de segmenter le réseau à l’aide des domaines de routage, assurant ainsi une sécurité élevée et une gestion facile. Avec l’utilisation du domaine de routage, le trafic est isolé l’un de l’autre dans le réseau de superposition. Chaque domaine de routage conserve sa propre table de routage. Pour plus d’informations sur le domaine de routage, voir Domaine de routage.

Cependant, nous avons parfois besoin d’acheminer le trafic entre les domaines de routage. Par exemple, si des services partagés tels que l’imprimante, l’analyseur et le serveur de messagerie sont provisionnés en tant que domaine de routage distinct. Le domaine d’interroutage est requis pour permettre aux utilisateurs de différents domaines de routage d’accéder aux services partagés.

Citrix SD-WAN fournit le service de domaine inter-routage statique, ce qui permet la fuite d’itinéraire entre les domaines de routage au sein d’un site ou entre différents sites. Cela élimine le besoin d’un routeur de bord pour gérer les fuites de route. Le service de domaine d’interroutage peut également être utilisé pour configurer des itinéraires, des stratégies de pare-feu et des règles NAT.

Une nouvelle zone de pare-feu, Inter_Routing_Domain_Zone, est créée par défaut et sert de zone de pare-feu pour les services de domaine inter-routage pour le routage et le filtrage.

Remarque

Les appliances Citrix SD-WAN PE n’effectuent pas de fonctionnalité d’optimisation WAN sur les paquets de domaine inter-routage.

Pour configurer le service de domaine d’interroutage entre deux domaines de routage.

Considérez un réseau SD-WAN avec un MCN et 2 branches ou plus avec au moins deux domaines de routage configurés globalement. Par défaut, tous les domaines de routage sont activés sur le MCN. Activez sélectivement les domaines de routage requis sur les autres sites. Pour plus d’informations sur la configuration du domaine de routage, voir Configurer le domaine de routage.

  1. Dans l’Éditeur de configuration SD-WAN, accédez à Connexions > Sélectionner le site > Service de domaine inter-routage.

  2. Cliquez sur + et entrez des valeurs pour les paramètres suivants :

  • Nom : Nom du service de domaine inter-routage.
  • Domaine de routage 1 : premier domaine de routage de la paire.
  • Domaine de routage 2 : deuxième domaine de routage de la paire.
  • Zone de pare-feu : Zone de pare-feu du service.
    • Valeur par défaut : la zone de pare-feu Inter_Routing_Domain_Zone est affectée.
    • Aucun : Aucune zone n’est sélectionnée et la zone d’origine du paquet est conservée.
    • Toutes les zones configurées dans le réseau peuvent être sélectionnées.

    Configuration du service de domaine d'interacheminement

  1. Cliquez sur Appliquer pour créer le service de domaine Inter-routage. Le service créé peut être utilisé pour créer des itinéraires, des stratégies de pare-feu et des stratégies NAT.

Remarque

Vous ne pouvez pas configurer un service de domaine inter-routage à l’aide de domaines de routage qui ne sont pas activés sur un site.

Pour créer des itinéraires à l’aide du service de domaine inter-routage, créez un itinéraire avec le type de service en tant que service de domaine inter-routage et sélectionnez le service de domaine interroutage. Pour plus d’informations sur la configuration des itinéraires, voir How to Configurer des itinéraires.

Configurer l'itinéraire à l'aide d'un service de domaine

Ajoutez également une route à partir de l’autre paire de domaines de routage, pour établir une connexion entre les deux domaines de routage.

Vous pouvez également configurer des stratégies de pare-feu pour contrôler le flux de trafic entre les domaines de routage. Dans les stratégies de pare-feu, sélectionnez Service de domaine Inter-routage pour les services source et de destination et sélectionnez l’action de pare-feu requise. Pour plus d’informations sur la configuration des stratégies de pare-feu, consultez Stratégies.

Configurer des stratégies à l'aide d'un service de domaine

Vous pouvez également choisir le type de service Intranet pour configurer les stratégies NAT statiques et dynamiques. Pour plus d’informations sur la configuration des stratégies NAT, consultez Traduction d’adresses réseau.

Configurer NAT à l'aide du service de domaine inter-routage

Surveillance

Vous pouvez afficher les statistiques de surveillance des connexions qui utilisent des services de domaine inter-routage sous Surveillance > Statistiques de pare-feu > Connexions.

Surveillance du domaine d'interacheminement

Cas d’utilisation : Partage de ressources entre domaines de routage

Considérons un scénario, dans lequel les utilisateurs dans différents domaines de routage ont besoin d’accéder à des actifs communs, tels qu’une imprimante ou un stockage réseau. Il existe 3 domaines de routage dans une branche RD1, RD2 et Bureau à distance partagé, comme illustré dans la figure.

Ressources partagées entre les domaines de routage

Pour permettre aux utilisateurs dans RD1 et RD2 d’accéder aux ressources dans le Bureau à distance partagé :

  1. Créez un service de domaine d’interroutage entre RD1 et Bureau à distance partagé, par exemple Inter RD1.
  2. Créez un service de domaine d’interacheminement entre RD2 et Bureau à distance partagé, par exemple Inter RD2.

Bureau à distance partagé

  1. Configurez une route statique vers le Bureau à distance partagé à partir de RD1 et RD2. Dans RD1, ajoutez une route 172.168.2.0/24 à InterRD1.

Ajouter un itinéraire dans RD1

  1. Dans RD2, ajoutez une route 172.168.2.0/24 à InterRD2.

Ajouter un itinéraire dans RD2

  1. Ajoutez une règle NAT dynamique à InterRD1 à l’aide d’un VIP dans les services Bureau à distance partagés. Activez l’itinéraire du répondeur de liaison pour vous assurer que l’itinéraire inverse utilise le même type de service.

NAT dynamique pour RD1

  1. Ajoutez une règle NAT dynamique à InterRD2 à l’aide d’un VIP dans les services Bureau à distance partagés, par exemple 10.0.0.11. Activez l’itinéraire du répondeur de liaison pour vous assurer que l’itinéraire inverse utilise le même type de service.

NAT dynamique pour RD2

  1. Utilisez des filtres pour limiter les ressources du Bureau à distance partagé qui sont autorisées à accéder par les utilisateurs dans RD1/RD2.
Service de domaine d’interroutage