Citrix SD-WAN

Mode virtuel en ligne

En mode virtuel en ligne, le routeur utilise un protocole de routage tel que PBR, OSPF ou BGP pour rediriger le trafic WAN entrant et sortant vers l’appliance, et l’appliance transfère les paquets traités au routeur.

L’article suivant décrit la procédure pas à pas pour configurer deux appliances SD-WAN (SD-WAN SE) :

  • Appliance de centre de données en mode virtuel en ligne
  • Appliance Branch en mode Inline
  • Le protocole de routage doit être configuré au niveau du commutateur principal ou plus en amont au niveau du routeur. Le routeur doit surveiller l’intégrité de l’appliance SD-WAN afin que l’appliance puisse être contournée en cas de défaillance.
  • Le mode virtuel en ligne place l’appliance SD-WAN physiquement hors du chemin (déploiement à un bras), c’est-à-dire qu’une seule interface Ethernet doit être utilisée (exemple : interface 1/5) avec le mode de contournement défini sur Fail-to-Block (FTB). L’appliance Citrix SD-WAN doit être configurée pour transmettre le trafic à la Gateway appropriée. Le trafic destiné au chemin virtuel est dirigé vers l’appliance SD-WAN, puis encapsulé et dirigé vers la liaison WAN appropriée.

Recueillir

Recueillez les informations suivantes nécessaires à la configuration du mode virtuel en ligne :

  • Diagramme de réseau précis de vos sites locaux et distants, y compris :
    • Les liaisons WAN locales et distantes et leurs largeurs de bande passante dans les deux sens, leurs sous-réseaux, les adresses IP virtuelles et les passerelles de chaque lien, les routes et les réseaux locaux virtuels.
  • Tableau de déploiement

Voici un exemple de diagramme de réseau et de table de déploiement :

Topologie du centre de données — Mode virtuel en ligne

Mode virtuel en ligne

Topologie de succursale — mode en ligne

Branche de déploiement en mode PBR

Nom du site Site du centre de données Site de succursale
Nom de l’appliance SJC-DC SJC-BR
Gestion IP 172.30.2.10/24 172.30.2.20/24
Clé de sécurité Le cas échéant Le cas échéant
Modèle/Édition 4000 2 000
Mode Mode Virtual Inline Inline
Topologie 2 x Chemin WAN 2 x Chemin WAN
Adresse VIP 192.168.1.10/24 — MPLS, 192.168.2.10/24 — Internet, IP publique w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24 - Internet, IP publique a.b.c.d
MPLS de passerelle 10.20.0.1 10.17.0.1
Passerelle Internet 10.19.0.1 10.18.0.1
Vitesse de liaison MPLS — 100 Mbps, Internet — 20 Mbps MPLS — 10 Mbps, Internet — 2 Mbps
Itinéraire Vous devez ajouter un itinéraire sur l’appliance SD-WAN SE sur la façon d’atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques : Gi0/1 - 192.168.1.1, Configuration > Virtual WAN > Éditeur de configuration > SJC_DC \ > Routes. Dans cet exemple, l’interface 192.168.1.1 a été utilisée፦ n/w adresse : 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Type de service : local, - Adresse IP de passerelle : 192.168.1.1 Aucune route supplémentaire n’a été ajoutée
VLAN MPLS - VLAN 10, Internet - VLAN 20 Aucun (valeur par défaut 0)

Conditions préalables

  1. Dans l’interface de gestion Web de l’appliance SD-WAN, accédez à Configuration > Paramètres de l’appliance > Interface administrateur > Onglet Divers, puis cliquez sur Switch Console.

    Remarque

    Si Basculer vers la console client s’affiche, cela signifie que l’appliance est déjà en mode MCN. Vous ne devez disposer que d’un seul MCN actif dans un réseau SD-WAN.

  2. Accédez à Configuration > Virtual WAN > Activer/Désactiver/Purger les flux, puis cliquez sur Activer dans la section Activer Citrix Virtual WAN Service .

    Activer le service WAN virtuel

  3. Démarrez la configuration en accédant à Configuration > Virtual WAN > Configuration Editor. Cliquez sur Nouveau pour commencer la configuration. Le fait de cliquer sur Nouveau crée un fichier de configuration initial dont le nom de fichier est Untitled_1 . Vous pouvez renommer le fichier [ultérieurement] en utilisant le bouton Enregistrer sous .

    Démarrer une nouvelle configuration

Site du centre de données - configuration en mode virtuel en ligne

Créer un site de centre de données

  1. Accédez à Configuration > Virtual WAN > Configuration Editor > Sites, puis cliquez sur + Site.

  2. Entrez le nom et l’emplacement du site. Choisissez le modèle d’appliance dans la liste déroulante Modèle et le MCN principal dans la liste déroulante Mode .

  3. Cliquez sur Ajouter.

    PBR crée un site DC

Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées

Dans la configuration en mode virtuel en ligne, une seule interface Ethernet est utilisée, c’est-à-dire l’interface connectant le routeur en amont, ce qui implique la stratégie de routage (Example-Interface 1/5). Le mode de contournement est défini sur Fail-to-Block (FTB) car une seule interface Ethernet/physique est utilisée par interface virtuelle. De plus, il n’y a pas de paires de ponts.

  1. Dans l’ éditeur de configuration, accédez à Sites > [Nom du site] > Groupes d’interface. Cliquez sur + pour ajouter des interfaces destinées à être utilisées.

  2. Sélectionnez l’interface Ethernet qui est connectée au routeur en amont et cliquez sur + en regard de Interfaces virtuelles. Ajoutez les interfaces virtuelles pour les liens MPLS et INTERNET. Selon l’exemple de topologie, ajoutez les éléments suivants :
    • Interface virtuelle MPLS configurée sur VLAN 10
    • Interface virtuelle INTERNET configurée sur VLAN 20
  3. Sélectionnez Échec du blocage dans la liste déroulante Mode de contournement . Cliquez sur Apply.

    PBR DC 2 configure l'interface virtuelle

Créer une adresse IP virtuelle pour chaque interface virtuelle

Créez une adresse IP virtuelle (VIP) sur le sous-réseau approprié pour chaque lien WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

  1. Dans l’ éditeur de configuration, accédez à Sites >[Nom du site] > Adresses IP virtuelles. Cliquez sur + pour créer des VIP.

  2. Entrez l’adresse IP/le préfixe et sélectionnez l’interface virtuelle correspondante pour MPLS et Internet.

  3. Cliquez sur Apply.

    PBR DC 1 configure assigner une adresse IP virtuelle

Créer un lien Internet WAN

Créez une liaison WAN Internet basée sur le débit physique et non sur la vitesse de rafale.

  1. Dans l’ éditeur de configuration, accédez à Sites >[Nom du site] > Liens WAN, puis cliquez sur + Lien. Entrez un nom et sélectionnez Type d’accès comme Internet public. Cliquez sur Ajouter.

  2. Saisissez le tarif physique. Ne cochez pas la case Détection automatique des adresses IP publiques . Pour l’appliance SD-WAN configurée en tant que MCN, la case à cocher Détection automatique des adresses IP publiques ne peut pas être activée.

    PBR DC 3 configure le lien WAN Internet

  3. Sélectionnez Interfaces d’accès dans la liste déroulante Section et cliquez sur le bouton + pour ajouter des détails d’interface spécifiques au lien Internet.

  4. Entrez l’adresse IP virtuelle et l’adresse de la passerelle Internet WAN. L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

  5. Cliquez sur Apply.

    PBR DC 4 configure l'interface d'accès Internet

Créer un lien MPLS

  1. Dans la page Sites [Nom du site] > > Liens WAN, sélectionnez Paramètres dans la liste déroulante Section . Cliquez sur le bouton+Lien pour ajouter une liaison WAN pour MPLS.
  2. Entrez le nom de la liaison WAN MPLS et sélectionnez Type d’accès en tant qu’ intranet privé. Cliquez sur Ajouter.

  3. Saisissez le tarif physique et d’autres détails. Cliquez sur Apply.

    Paramètres de base MPLS

  4. Sélectionnez Interfaces d’accès dans la liste déroulante Section et cliquez sur le bouton + pour ajouter des détails d’interface spécifiques au lien MPLS.

  5. Entrez l’adresse IP virtuelle MPLS et l’adresse de la passerelle. L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

  6. Cliquez sur Apply.

    Interfaces d'accès MPLS

Remplissez les itinéraires

Du côté du centre de données, ajoutez une route sur l’appliance SD-WAN sur la façon d’atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques.

0/1/0.1 — 192.168.1.1 sur VLAN 10

0/1/0.2 — 192.168.2.1 sur VLAN 20

Dans cet exemple, l’interface 192.168.1.1 est utilisée.

Dans l’ éditeur de configuration, accédez à Connexions > Routes, puis cliquez sur + pour ajouter les itinéraires.

Entrez l’ adresse IP réseau, le coûtet l’ adresse de la passerelle. Cliquez sur Ajouter.

Ajouter un itinéraire

Liste des itinéraires ajoutés

Configuration du déploiement en ligne du site de succursale

Créer un site de succursale

  1. Accédez à Configuration Editor > Sites, puis cliquez sur + Site.

  2. Entrez le nom et l’emplacement du site. Choisissez le modèle d’appliance dans la liste déroulante Modèle et Client dans la liste déroulante Mode .

  3. Cliquez sur Ajouter.

    PBR crée un site DC

Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées

  1. Dans l’ éditeur de configuration, accédez à Sites > [Nom du site client] > Groupes d’interface. Cliquez sur + pour ajouter des interfaces destinées à être utilisées. Pour la configuration en mode Inline, quatre interfaces Ethernet sont utilisées ; les paires d’interfaces 1/3, 1/4 et les paires d’interfaces 1/1 et 1/2.

  2. Définissez le mode de contournement sur Fail-to-Wire, car deux interfaces Ethernet/physiques sont utilisées par interface virtuelle. Il y a deux paires de ponts.

  3. Cliquez sur + en regard de Virtual Interfaces (Interfaces virtuelles) et remplissez les liens WAN en fonction du débit physique et non des vitesses de rafale à l’aide de liens Internet et MPLS.

    • Interface virtuelle INTERNET configurée sur la paire de ponts 1/3 et 1/4

    • Interface virtuelle MPLS configurée sur Bridge Pair 1/1 et 1/2.

  4. Cliquez sur + en regard de Paires de ponts et créez la paire de ponts en sélectionnant les interfaces appropriées.

    Reportez-vous au diagramme Topologie de branche — topologie en mode en ligne sous la section Prérequis et renseignez les groupes d’interface.

    Groupes d'interface de site de branche PBR

Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

  1. Dans l’ éditeur de configuration, accédez à Sites >[Nom du site] > Adresses IP virtuelles. Cliquez sur + pour créer des VIP.

  2. Entrez l’adresse IP/le préfixe et sélectionnez l’interface virtuelle correspondante pour MPLS et Internet.

  3. Cliquez sur Apply.

    Groupes d'interface de site de branche PBR

Créer un lien Internet WAN

Pour remplir les liens WAN en fonction du débit physique et non de la vitesse de rafale à l’aide d’un lien Internet

  1. Accédez à Liens WAN, cliquez sur le bouton+Lien pour ajouter un lien WAN pour le lien Internet. Entrez un nom et sélectionnez Type d’accès comme Internet public. Cliquez sur Ajouter.

  2. Renseignez les détails du lien Internet et activez la case à cocher Détection automatique de l’adresse IP publique .

  3. Sélectionnez Interfaces d’accès dans la liste déroulante Section et cliquez sur le signe + pour ajouter des détails d’interface spécifiques au lien Internet.

  4. Entrez l’adresse IP virtuelle et l’adresse de la passerelle Internet WAN. L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

    Lien Internet du site de la filiale PBR

    Adresse IP virtuelle de la succursale PBR

Créer une liaison WAN MPLS

  1. Accédez à Liens WAN et sélectionnez Paramètres dans la liste déroulante Section . Cliquez sur le bouton+Lien pour ajouter une liaison WAN pour le lien MPLS.

  2. Entrez le nom de la liaison WAN MPLS et d’autres détails. Sélectionnez Type d’accès en tant qu’ intranet privé.

    Paramètres de base MPLS

  3. Sélectionnez Interfaces d’accès dans la liste déroulante Section et cliquez sur le bouton+ pour ajouter des détails d’interface spécifiques au lien MPLS.

  4. Entrez l’adresse IP virtuelle MPLS et l’adresse de la passerelle. L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

    Interfaces d'accès MPLS

Remplissez les itinéraires

Les itinéraires sont créés automatiquement en fonction de la configuration précédente. S’il existe d’autres sous-réseaux spécifiques à cette succursale distante, des routes spécifiques doivent être ajoutées pour identifier la passerelle pour diriger le trafic vers ces sous-réseaux back-end.

Créer des groupes Autopath

  1. Dans l’ éditeur de configuration, accédez à Global > Autopath Groups. Cliquez sur +.

  2. Entrez un nom et cliquez sur Appliquer.

  3. Configurez le groupe Autopath en fonction de vos besoins, puis cliquez sur Apply.

    Mode PBR groupes de chemin automatique

  4. Accédez à Connexions > Liaisons WAN. Sélectionnez le lien Internet WAN dans la liste déroulante Liens WAN et Chemins virtuels dans la liste déroulante Section .

  5. Activez la case à cocher Utiliser et choisissez le groupe de chemins d’accès automatique nouvellement créé dans la case à cocher Groupe de chemins automatiques pour les liens WAN Intranet sur les sites respectifs (centre de données et succursale).

    Aucun groupe de chemin automatique ne peut être marqué par défaut. Si cette option est cochée, cela entraînerait une erreur d’audit.

    Mappage des groupes Autopath

Après avoir ajouté manuellement les chemins virtuels des liens WAN avec le type d’accès en tant qu’ intranet privé, les chemins virtuels sont renseignés sous Chemins.

Une fois toutes les étapes précédentes terminées, passez à la section Préparation des packages de l’appliance SD-WAN.

Résolution des erreurs d’audit

Une fois la configuration des sites de centre de données et de succursale terminée, vous serez averti pour résoudre les erreurs d’audit sur les sites DC et BR. Résolvez les erreurs d’audit (le cas échéant).

Mode virtuel en ligne