Citrix SD-WAN

Route de l’application

Dans un réseau d’entreprise typique, les succursales accèdent aux applications du datacenter local, du datacenter cloud ou des applications SaaS. La fonction de routage des applications vous permet de diriger les applications à travers votre réseau facilement et à moindre coût. Par exemple, lorsqu’un utilisateur sur le site de la succursale essaie d’accéder à une application SaaS, le trafic peut être acheminé de telle sorte que les succursales puissent accéder directement aux applications SaaS sur Internet, sans avoir à passer par le centre de données d’abord.

Citrix SD-WAN vous permet de définir les itinéraires d’application pour les services suivants :

  • Chemin virtuel : ce service gère le trafic sur les chemins virtuels. Un chemin virtuel est un lien logique entre deux liens WAN. Il comprend un ensemble de chemins WAN combinés pour fournir une communication de niveau de service élevé entre deux nœuds SD-WAN. L’appliance SD-WAN mesure le réseau par chemin d’accès et s’adapte à l’évolution de la demande des applications et des conditions WAN. Un chemin virtuel peut être statique (existe toujours) ou dynamique (existe uniquement lorsque le trafic entre deux appliances SD-WAN atteint un seuil configuré).

  • Internet : ce service gère le trafic entre un site Enterprise et des sites sur l’Internet public. Le trafic Internet n’est pas encapsulé. En cas de congestion, le SD-WAN gère activement la bande passante en limitant le trafic Internet par rapport au chemin virtuel et au trafic intranet.

  • Intranet : ce service gère le trafic Intranet d’entreprise qui n’a pas été défini pour la transmission via un chemin virtuel. Le trafic intranet n’est pas encapsulé. Le SD-WAN gère la bande passante en limitant le débit de ce trafic par rapport aux autres types de service en période de congestion. Dans certaines conditions, et si Intranet Fallback est configuré sur le chemin virtuel, le trafic qui circule habituellement via le chemin virtuel peut plutôt être traité comme du trafic Intranet.

  • Local : ce service gère le trafic local vers le site qui ne correspond à aucun autre service. Le SD-WAN ignore le trafic provenant et destiné à une route locale.

  • Tunnel GRE : Ce service gère le trafic IP destiné à un tunnel GRE et correspond au tunnel LAN GRE configuré sur le site. La fonction de tunnel GRE vous permet de configurer des appliances SD-WAN pour qu’elles terminent les tunnels GRE sur le réseau local. Pour une route avec un tunnel GRE de type service, la Gateway doit résider dans l’un des sous-réseaux de tunnel du tunnel GRE local.

  • Tunnel LAN IPsec : Ce service gère le trafic IP destiné à un tunnel LAN IPsec et correspond au tunnel LAN IPsec configuré sur le site. La fonctionnalité Tunnel IPSec LAN vous permet de configurer des appliances SD-WAN pour mettre fin aux tunnels IPSec du côté LAN ou WAN.

Pour effectuer une direction de service pour les applications, il est important d’identifier une application sur le premier paquet lui-même. Au départ, les paquets passent par la route IP une fois que le trafic est classé et que l’application est connue, la route d’application correspondante est utilisée. La première classification des paquets est obtenue en apprenant les sous-réseaux IP et les ports associés aux objets d’application. Ils sont obtenus à l’aide des résultats de classification historiques du classificateur DPI et des types de correspondance de port IP configurés par l’utilisateur.

Pour configurer le routage des applications :

  1. Dans l’Éditeur de configuration, accédez à Connexions > Itinéraires des applications, puis cliquez sur +.

    Utilisation de l'application1

  2. Dans la page Ajouter, définissez les paramètres suivants :

    • Objet Application : objet d’application que vous souhaitez diriger. Les objets d’application créés par vous sont répertoriés ici. Pour plus d’informations, consultez la section Objets d’applicationdans la rubrique Classification des applications .

      Direction d'application SD-WAN

    • Domaine de routage : Domaine de routage à utiliser par l’itinéraire d’application. Choisissez l’un des domaines de routage configurés.

    • Coût : pondération permettant de déterminer la priorité de l’itinéraire pour cet itinéraire. Les routes moins coûteuses ont priorité sur les routes plus coûteuses. La plage est 1—65534. La valeur par défaut est 5.

    • Type de service : sélectionnez l’un des services suivants. Cela mappe l’application à un service.

    • Chemin d’accès virtuel : identifie le trafic des applications en tant que trafic de chemin virtuel et correspond à un chemin virtuel basé sur les règles de chemin d’accès virtuel. Dans le champ Site de saut suivant, entrez le site distant de saut suivant vers lequel les paquets de chemin virtuel sont dirigés.

      Remarque

      Tout flux qui touche les Routes d’application de chemin virtuel ne passe pas sur le chemin virtuel dynamique.

    • Internet : identifie le trafic d’application comme trafic Internet et correspond au service Internet.

    • Intranet : identifie le trafic des applications en tant que trafic intranet et correspond à un service intranet en fonction des règles de l’intranet. Dans le champ Intranet Service, sélectionnez un service intranet à utiliser pour l’itinéraire.

    • Local : identifie le trafic des applications comme étant local sur le site et ne correspond à aucun service. Le trafic d’origine et destiné à une route locale est ignoré.

      Remarque

      Pour le type de service local, une fois la classification PPP terminée, les routes IP configurées prennent la décision de routage.

    • Tunnel GRE : Identifié le trafic de l’application comme étant destiné à un tunnel GRE et correspond au tunnel GRE LAN configuré sur le site. Dans le champ Adresse IP de la passerelle, entrez l’adresse IP de la passerelle qui doit se trouver dans le sous-réseau du tunnel GRE LAN. Sélectionnez Éligibilité basée sur la passerelle pour permettre à l’itinéraire de ne pas recevoir de trafic lorsque la passerelle n’est pas accessible.

    • Tunnel IPSec LAN : Identifié le trafic d’application comme étant destiné à un tunnel IPSec LAN et correspond au tunnel IPSec LAN configuré sur le site. Dans le champ Tunnel IPsec, sélectionnez l’un des tunnels IPSec configurés. Sélectionnez Éligibilité basée sur le tunnel pour permettre à l’itinéraire de ne pas recevoir de trafic lorsque le tunnel n’est pas accessible.

      Remarque

      Une fois que vous avez sélectionné un service pour une application personnalisée, ne le modifiez pas.

    • Eligibility Based on Path : sélectionnez cette option pour permettre à l’itinéraire de ne pas recevoir de trafic lorsque le chemin spécifié est en panne. Dans le champ Chemin d’accès, spécifiez le chemin d’accès à utiliser pour déterminer l’éligibilité de l’itinéraire.

  3. Cliquez sur Apply.

Pour afficher les itinéraires d’application configurés sur votre appliance SD-WAN. Dans l’interface graphique SD-WAN, accédez à Configuration > Virtual WAN > Afficher la configuration. Sélectionnez Itinéraires d’application dans le menu déroulant Affichage .

Gérer les applications SD-WAN1

Pour afficher les données de statistiques pour les itinéraires d’application :

  1. Dans l’interface graphique SD-WAN, accédez à Surveillance > Statistiques.

  2. Dans la liste déroulante Afficher, sélectionnez Itinéraires d’application .

    Gérer les applications SD-WAN2

Vous pouvez afficher les statistiques suivantes :

  • Objet Application : nom de l’objet d’application.
  • Adresse IP de la passerelle : adresseIP de passerelle utilisée par les objets d’application avec le type de service Tunnel GRE.
  • Service : type de service mappé à l’objet d’application.
  • Zone de pare-feu : zonede pare-feu dans laquelle se trouve cet itinéraire.
  • Joignable : état de la route de l’application.
  • Site : Nom du site.
  • Type : indique si l’itinéraire est statique ou dynamique.
  • Coût : Priorité de l’itinéraire.
  • Nombre d’accès : nombre de fois que l’itinéraire de l’application est utilisé pour diriger le trafic.
  • Éligible : l’itinéraire de l’application est-il éligible pour envoyer le trafic.
  • Type d’éligibilité : Type de condition d’éligibilité de route appliquée à cet itinéraire. Le type d’éligibilité peut être Chemin, Passerelle ou Tunnel.
  • Valeur d’éligibilité : valeur spécifiée pour la condition d’éligibilité de l’itinéraire.

Remarque

Dans la version actuelle, les applications appartenant à la famille d’applications, le type de correspondance défini dans l’objet d’application, ne peuvent pas être orientées.

Résolution des problèmes

Après avoir créé la route d’application, vous pouvez confirmer que l’application est correctement routée vers le service prévu à l’aide de la section Monitoring.

Pour voir si l’application est correctement routée vers le service prévu, accédez aux pages suivantes :

  • Surveillance > Statistiques > Routes d’applications
  • Surveillance > Flux
  • Surveillance > Pare-feu

S’il y a un comportement de routage inattendu, collectez le bundle de diagnostics STS pendant que le problème est observé et partagez-le avec l’équipe de support Citrix.

Le pack STS peut être créé et téléchargé à l’aide de Configuration > Maintenance du système > Diagnostics > Informations de diagnostic.

Route de l’application