Citrix SD-WAN

Déployer des appliances à utiliser avec des plug-ins

L’accélération du client nécessite une configuration spéciale sur l’appliance WANOP Client Plug-in. D’autres considérations incluent le placement de l’appliance. Les plug-ins sont généralement déployés pour les connexions VPN.

Utilisez une appliance dédiée lorsque cela est possible

Il est souvent difficile d’utiliser la même appliance pour l’accélération des plug-ins et de la liaison, car les deux utilisations nécessitent parfois que l’appliance se trouve à des points différents du centre de données, et les deux utilisations peuvent faire appel à des règles de classe de service différentes.

En outre, une seule appliance peut servir de point de terminaison pour l’accélération du plug-in ou de point de terminaison pour l’accélération de site à site, mais ne peut pas servir aux deux objectifs pour la même connexion en même temps. Par conséquent, lorsque vous utilisez une appliance à la fois pour l’accélération de plug-in pour votre VPN et pour l’accélération de site à site vers un centre de données distant, les utilisateurs de plug-in ne reçoivent pas d’accélération site à site. La gravité de ce problème dépend de la quantité de données utilisées par les utilisateurs de plug-ins provenant de sites distants.

Enfin, comme les ressources d’une appliance dédiée ne sont pas réparties entre les demandes de plug-in et de site à site, elles fournissent davantage de ressources et donc des performances supérieures à chaque utilisateur de plug-in.

Utiliser le mode en ligne lorsque c’est possible

Une appliance doit être déployée sur le même site que l’unité VPN qu’elle prend en charge. En règle générale, les deux unités sont alignées l’une par rapport à l’autre. Un déploiement en ligne offre la configuration la plus simple, le plus grand nombre de fonctionnalités et les performances les plus élevées. Pour de meilleurs résultats, l’appliance doit être directement en ligne avec l’unité VPN.

Toutefois, les appliances peuvent utiliser n’importe quel mode de déploiement, à l’exception du mode groupe ou du mode haute disponibilité. Ces modes conviennent à la fois à l’accélération de l’appliance à l’appliance et du client à l’appliance. Ils peuvent être utilisés seuls (mode transparent) ou en combinaison avec le mode redirecteur.

Placez les appliances dans une partie sécurisée de votre réseau

Une appliance dépend de votre infrastructure de sécurité existante de la même manière que vos serveurs. Il doit être placé du même côté du pare-feu (et de l’unité VPN, le cas échéant) que les serveurs.

Évitez les problèmes NAT

La traduction d’adresses réseau (NAT) côté plug-in est gérée de manière transparente et ne pose aucun problème. Du côté de l’appliance, le NAT peut être problématique. Appliquez les instructions suivantes pour garantir un déploiement sans heurts :

  • Placez l’appliance dans le même espace d’adressage que les serveurs, de sorte que les modifications d’adresse utilisées pour atteindre les serveurs soient également appliquées à l’appliance.

  • N’accédez jamais à l’appliance à l’aide d’une adresse qu’elle n’associe pas à elle-même.

  • L’appliance doit pouvoir accéder aux serveurs en utilisant les mêmes adresses IP auxquelles les utilisateurs du plug-in accèdent aux mêmes serveurs.

  • En bref, n’appliquez pas de NAT aux adresses des serveurs ou des appliances.

Sélectionnez le mode softboost

Sur la page Configurer les paramètres : Gestion de la bande passante, sélectionnez le mode Softboost. Softboost est le seul type d’accélération pris en charge par le plug-in client WANOP.

Définir les règles d’accélération du plug-in

L’appliance conserve une liste de règles d’accélération qui indiquent aux clients quel trafic accélérer. Chaque règle spécifie une adresse ou un sous-réseau et une plage de ports que l’appliance peut accélérer.

**Ce qu’il faut accélérer** - Le choix du trafic à accélérer dépend de l’utilisation de l’appliance :

  • Accélérateur VPN - Si l’appliance est utilisée comme accélérateur VPN, tout le trafic VPN passant par l’appliance, tout le trafic TCP doit être accéléré, quelle que soit la destination.

  • Mode redirecteur - Contrairement au mode transparent, une appliance en mode redirecteur est un proxy explicite, ce qui obligeant le plug-in à transférer son trafic vers l’appliance en mode redirecteur même si cela n’est pas souhaitable. L’accélération peut être contre-productive si le client transfère le trafic vers une appliance éloignée du serveur, en particulier si cette « route triangulaire » introduit une liaison lente ou peu fiable. Par conséquent, Citrix recommande que les règles d’accélération soient configurées pour permettre à une appliance donnée d’accélérer son propre site uniquement.

  • Autres utilisations - Lorsque le plug-in n’est utilisé ni comme accélérateur VPN ni en mode redirecteur, les règles d’accélération doivent inclure des adresses distantes aux utilisateurs et locales aux centres de données.

Définissez les règles - Définissez les règles d’accélération sur l’appliance, sous l’onglet Configuration : plug-in client WANOP : Règles d’accélération .

Les règles sont évaluées dans l’ordre et l’action (Accélérer ou Exclure) est effectuée à partir de la première règle de correspondance. Pour qu’une connexion soit accélérée, elle doit correspondre à une règle d’accélération.

L’action par défaut consiste à ne pas accélérer.

Figure 1. Définition des règles d’accélération

Image localisée

  1. Dans l’onglet Configuration : WANOP Plug-in : Règles d’accélération :

    • Ajoutez une règle accélérée pour chaque sous-réseau LAN local accessible par l’appliance. C’est-à-dire, cliquez sur Ajouter, sélectionnez Accélérer, puis saisissez l’adresse IP et le masque du sous-réseau.

    • Répétez la procédure pour chaque sous-réseau local de l’appliance.

  2. Si vous devez exclure une partie de la plage incluse, ajoutez une règle d’exclusion et déplacez-la au-dessus de la règle plus générale. Par exemple, 10.217.1.99 ressemble à une adresse locale. S’il s’agit vraiment du point de terminaison local d’une unité VPN, créez une règle d’exclusion pour celle-ci sur une ligne au-dessus de la règle Accélération pour 10.217.1.0/24.

  3. Si vous souhaitez utiliser l’accélération pour un seul port (non recommandé), tel que le port 80 pour HTTP, remplacez le caractère générique dans le champ Ports par le numéro de port spécifique. Vous pouvez prendre en charge des ports supplémentaires en ajoutant des règles supplémentaires, une par port.

  4. En général, lister les règles étroites (généralement des exceptions) avant les règles générales.

  5. Cliquez sur Apply. Les modifications ne sont pas enregistrées si vous quittez cette page avant de les appliquer.

Utilisation du port IP

Pour utiliser le port IP, suivez les instructions suivantes :

  • Ports utilisés pour la communication avec le plug-in client WANOP : le plug-in maintient une boîte de dialogue avec l’appliance via une connexion de signalisation, qui se trouve par défaut sur le port 443 (HTTPS), qui est autorisé par la plupart des pare-feu.

  • Ports utilisés pour la communication avec les serveurs : la communication entre le plug-in client WANOP et l’appliance utilise les mêmes ports que le client utiliserait pour communiquer avec le serveur si le plug-in et l’appliance n’étaient pas présents. C’est-à-dire que lorsqu’un client ouvre une connexion HTTP sur le port 80, il se connecte à l’appliance sur le port 80. L’appliance contacte à son tour le serveur sur le port 80.

    En mode redirecteur, seul le port connu (c’est-à-dire le port de destination sur le paquet SYN TCP) est conservé. Le port éphémère n’est pas conservé. En mode transparent, les deux ports sont conservés.

    L’appliance suppose qu’elle peut communiquer avec le serveur sur n’importe quel port demandé par le client, et le client suppose qu’elle peut communiquer avec l’appliance sur n’importe quel port souhaité. Cela fonctionne bien si l’appliance est soumise aux mêmes règles de pare-feu que les serveurs. Lorsque c’est le cas, toute connexion qui réussirait dans une connexion directe aboutit à une connexion accélérée.

Utilisation des options TCP et pare-feu

Les paramètres du plug-in client WANOP sont envoyés dans les options TCP. Les options TCP peuvent apparaître dans n’importe quel paquet et sont garanties d’être présentes dans les paquets SYN et SYN-ACK qui établissent la connexion.

Votre pare-feu ne doit pas bloquer les options TCP comprises entre 24 et 31 (décimale), sinon l’accélération ne peut pas avoir lieu. La plupart des pare-feu ne bloquent pas ces options. Cependant, un pare-feu Cisco PIX ou ASA avec le firmware de la version 7.x peut le faire par défaut, et par conséquent vous devrez peut-être ajuster sa configuration.

Déployer des appliances à utiliser avec des plug-ins