Citrix SD-WAN

Configurer le nœud de succursale

Pour ajouter un nouveau site de succursale à la table Sites et commencer à configurer le site, procédez comme suit :

Remarque

Si vous vous êtes déconnecté du MCN après avoir créé et enregistré le nouveau package de configuration, vous devrez vous reconnecter et rouvrir la configuration avant de pouvoir continuer. Pour ce faire, cliquez sur Ouvrir dans la barre de menus de l’Éditeur de configuration (haut de la zone de page). Cela affiche une boîte de dialogue permettant de sélectionner la configuration à modifier.

  1. En continuant dans l’Éditeur de configuration, cliquez sur Ajouter dans la barre Sites pour commencer l’ajout et la configuration du nouveau site de succursale. La boîte de dialogue Ajouter un site s’affiche.

image localisée

  1. Tapez les informations de site suivantes.

Remarque

Les entrées ne peuvent pas contenir d’espaces et doivent être au format Linux.

  • Nom du site : saisissez un nom pour le site.
  • Nom de l’appliance : saisissez le nom que vous souhaitez attribuer à l’appliance.
  • Clé sécurisée : il s’agit d’une clé hexadécimale de 8 à 32 chiffres utilisée pour le chiffrement et la vérification de l’appartenance dans l’appliance SD-WAN. Par défaut, ce champ est prérempli avec une clé de sécurité générée automatiquement. Acceptez la valeur par défaut ou tapez un format hexadécimal personnalisé.
  • Modèle : sélectionnez le modèle de l’appliance dans le menu déroulant.
  • Mode : sélectionnez le client comme mode.
  1. Cliquez sur Ajouter pour ajouter le site. Le nouveau site est ajouté à l’arborescence des sites et ouvre le formulaire de configuration des paramètres de base du site.

image localisée

  1. Tapez les paramètres de base du site, puis cliquez sur Appliquer.

L’étape suivante consiste à ajouter et configurer les groupes d’interface pour le nouveau site de succursale.

Comment configurer des groupes d’interface pour la branche

Pour ajouter un groupe d’interface au nouveau site de succursale, procédez comme suit :

  1. En continuant dans la vue Sites de l’Éditeur de configuration, sélectionnez le site de succursale dans le menu déroulant Afficher le site. Cela ouvre la vue de configuration du site que vous avez sélectionné.

image localisée

  1. Cliquez sur + pour ajouter le groupe d’interface virtuelle. Une nouvelle entrée de groupe d’interface virtuelle vide est ajoutée à la table et s’ouvre pour modification.

  2. Cliquez sur + à droite de Virtual Interfaces. Une nouvelle entrée de groupe vide est ajoutée à la table et s’ouvre pour modification.

image localisée

  1. Sélectionnez les interfaces Ethernet à inclure dans le groupe.

Sous Interfaces Ethernet, cliquez sur une interface pour inclure/exclure cette interface. Vous pouvez sélectionner n’importe quel nombre d’interfaces à inclure dans le groupe.

image localisée

  1. Sélectionnez le mode de contournement dans le menu déroulant (pas par défaut).

Le mode de contournement spécifie le comportement des interfaces couplées au pont dans le groupe d’interfaces virtuelles, en cas de panne ou de redémarrage d’une appliance ou d’un service. Les options sont : Fail-to-Wire ou Fail-to-Block.

  1. Sélectionnez le niveau de sécurité dans le menu déroulant.

Spécifie le niveau de sécurité du segment réseau du groupe d’interfaces virtuelles. Les options sont : Approuvé ou Non approuvé. Les segments approuvés sont protégés par un pare-feu (la valeur par défaut est approuvée).

  1. Cliquez sur + sur le bord gauche de l’interface virtuelle que vous avez ajoutée. La table Interfaces virtuelles s’affiche.

image localisée

  1. Cliquez sur + à droite de Virtual Interfaces. Les identifiants Nom, Zone de pare-feu et ID de VLAN s’affichent.

  2. Tapez le nom et l’ID VLAN de ce groupe d’interface virtuelle.

  • Nom : nom par lequel ces interfaces virtuelles sont référencées.

  • Zone de pare-feu : sélectionnez une zone de pare-feu dans le menu déroulant.

  • ID VLAN : ID permettant d’identifier et de marquer le trafic à destination et en provenance de l’interface virtuelle. Utilisez un ID de 0 (zéro) pour le trafic natif/non étiqueté.

  1. Cliquez sur + à droite de Bridge Pairs. Une nouvelle entrée de paires de ponts est ajoutée et s’ouvre pour modification.

  2. Sélectionnez les interfaces Ethernet à coupler dans les menus déroulants. Pour ajouter d’autres paires, cliquez à nouveau sur + en regard de Paires de pont.

  3. Cliquez sur Appliquer. Vos paramètres sont appliqués et ajoutés au nouveau groupe d’interface virtuelle de la table.

Remarque

À ce stade, vous voyez une icône d’alerte d’audit delta jaune, à droite de la nouvelle entrée Groupe d’interfaces virtuelles. Cela est dû au fait que vous n’avez pas encore configuré d’adresses IP virtuelles (VIP) pour le site. Pour l’instant, vous pouvez ignorer cette alerte, car elle est résolue automatiquement lorsque vous avez correctement configuré les adresses IP virtuelles pour le site.

  1. Pour ajouter d’autres groupes d’interface virtuelle, cliquez sur + à droite de la succursale Groupes d’interface, puis procédez comme ci-dessus.

Comment configurer l’adresse IP virtuelle pour le site de la succursale

L’étape suivante consiste à configurer les adresses IP virtuelles pour le site et à les affecter au groupe approprié.

  1. En continuant dans la vue Sites du nouveau site Branche, cliquez sur + à gauche des Adresses IP virtuelles. Ceci affiche la table Adresses IP virtuelles du nouveau site.

  2. Cliquez sur + à droite de Adresses IP virtuelles pour ajouter une adresse. Le formulaire permettant d’ajouter et de configurer une nouvelle adresse IP virtuelle s’affiche.

  3. Tapez les informations Adresse IP / Préfixe, puis sélectionnez l’interface virtuelle à laquelle l’adresse est associée. L’adresse IP virtuelle doit inclure l’adresse hôte complète et le masque réseau.

  4. Sélectionnez les paramètres souhaités pour l’adresse IP virtuelle, tels que la zone de pare-feu, l’identité, la zone privée et la sécurité.

  5. Sélectionnez Gestion entrante pour permettre à l’adresse IP virtuelle de se connecter à des services de gestion tels que l’interface utilisateur Web et SSH.

Remarque :

L’interface doit être de type de sécurité Trusted et Identity activé.

  1. Sélectionnez une adresse IP virtuelle en tant que réseau de gestion de sauvegarde. Cela vous permet d’utiliser l’adresse IP virtuelle pour la gestion si le port de gestion n’est pas configuré avec une Gateway par défaut.

image localisée

  1. Cliquez sur Appliquer. Les informations d’adresse sur le site sont ajoutées et les incluent dans la table Adresses IP virtuelles du site.

  2. Pour ajouter d’autres adresses IP virtuelles, cliquez sur + à droite des adresses IP virtuelles, puis procédez comme ci-dessus.

Comment configurer les liens WAN pour la branche

L’étape suivante consiste à configurer les liens WAN pour le site.

  1. En continuant dans la vue Sites du nouveau site Branche, cliquez sur l’étiquette Liens WAN.

  2. Cliquez sur Ajouter un lien à droite des liens WAN pour ajouter un nouveau lien WAN. La boîte de dialogue Ajouter s’affiche.

image localisée

  1. (Facultatif) saisissez un nom pour le lien WAN si vous ne souhaitez pas utiliser la valeur par défaut.

La valeur par défaut est le nom du site, ajouté par le suffixe suivant :

-WL-<number>

Où <number> est le nombre de liens WAN pour ce site, incrémenté d’un.

  1. Sélectionnez le Type d’accès dans le menu déroulant.

Les options sont Internet public, Intranet privé ou Changement d’étiquette multiprotocole privé.

  1. Cliquez sur Ajouter. La page Configuration des paramètres de base des liens WAN s’affiche et ajoute le nouveau lien WAN non configuré à la page.

image localisée

  1. Tapez les détails du lien pour le nouveau lien WAN. Configurez les paramètres LAN vers WAN, WAN vers LAN.

Voici quelques lignes directrices :

  • Certains liens Internet peuvent être asymétriques. Une mauvaise configuration de la vitesse autorisée peut nuire aux performances de cette liaison.

  • Évitez d’utiliser des vitesses de rafale qui dépassent le taux validé.

  • Pour les liens WAN Internet, veillez à ajouter l’adresse IP publique.

  1. Cliquez sur la barre de section Paramètres avancés grise. Cela ouvre l’écran Paramètres avancés du lien.

image localisée

  1. Tapez les paramètres avancés du lien.
  • ID du fournisseur : (Facultatif) saisissez un numéro d’identification unique 1—100 pour désigner les liaisons WAN connectées au même fournisseur de services. Virtual WAN utilise l’ID du fournisseur pour différencier les chemins lors de l’envoi de paquets en double.

  • Coût d’image (octets) : saisissez la taille (en octets) de l’en-tête ou de la remorque ajoutée à chaque paquet. Par exemple, la taille en octets des remorques Ethernet IPG ou AAL5 ajoutées.

  • Seuil de congestion : tapez le seuil de congestion (en microsecondes) après lequel le lien WAN limite la transmission des paquets pour éviter d’autres encombrements.

  • Taille MTU (octets) : saisissez la plus grande taille de paquet brut (en octets), sans inclure le coût de trame.

  1. Cliquez sur la barre de section grise Éligibilité. Cela ouvre l’écran Paramètres d’éligibilité pour le lien.

  2. Sélectionnez les paramètres d’éligibilité pour le lien.

image localisée

  1. Cliquez sur la barre de section Lien mesuré grise. Cela ouvre l’écran Paramètres du lien mesuré pour le lien.

  2. (Facultatif) Sélectionnez Activer la mesure pour activer la mesure pour ce lien. Les champs Activer les paramètres de mesure s’affichent.

image localisée

image localisée

  1. Configurez les paramètres de mesure pour le lien. Tapez ce qui suit :
  • Capuchon de données (Mo) : tapez l’allocation de limite de données pour le lien, en Mo.
  • Cycle de facturation : sélectionnez Mensuel ou Hebdomadaire dans le menu déroulant.
  • À partir de : saisissez la date de début du cycle de facturation.
  • Définir le dernier recours : sélectionnez cette option pour activer ce lien en tant que lien de dernier recours en cas d’échec de tous les autres liens disponibles. Dans des conditions WAN normales, Virtual WAN envoie uniquement un trafic minimal sur des liens mesurés, pour vérifier l’état de la liaison. Toutefois, en cas de défaillance, le SD-WAN peut utiliser des liaisons mesurées actives en dernier recours pour transférer le trafic de production.
  1. Cliquez sur Appliquer. Cela applique les paramètres spécifiés au nouveau lien WAN.

L’étape suivante consiste à configurer les interfaces d’accès pour le nouveau lien WAN. Une interface d’accès se compose d’une interface virtuelle, d’une adresse IP de point de terminaison WAN, d’une adresse IP de passerelle et d’un mode de chemin virtuel défini collectivement comme une interface pour une liaison WAN spécifique. Chaque liaison WAN doit avoir au moins une interface d’accès.

Remarque

Une option permettant de provisionner automatiquement les partages en tenant compte de la bande passante distante est ajoutée pour configurer les liaisons WAN. L’option Définir le provisioning à l’aide de la bande passante distante permet aux utilisateurs disposant de grands réseaux et de différentes configurations de bande passante de gérer le Provisioning de la bande passante pour les sites de centres de données de manière dynamique.

  1. Sélectionnez Interfaces d’accès dans la page de configuration du lien WAN pour le lien. Cela ouvre la vue Interfaces d’accès du site.

image localisée

image localisée

  1. Cliquez sur + pour ajouter une interface. Une entrée vide de la table est ajoutée et s’ouvre pour modification. Tapez les paramètres des interfaces d’accès pour le lien.

Remarque

Chaque liaison WAN doit avoir au moins une interface d’accès.

image localisée

  1. Tapez ce qui suit :
  • Nom : Il s’agit du nom par lequel cette interface d’accès est référencée. Tapez un nom pour la nouvelle interface d’accès ou acceptez la valeur par défaut. La valeur par défaut utilise la convention de dénomination suivante :

    WAN_link_name-AI-number

    WAN_LINK_Name est le nom du lien WAN que vous associez à cette interface, et numéro est le nombre d’interfaces d’accès actuellement configurées pour ce lien, incrémenté de 1.

    Remarque

    Si le nom apparaît tronqué, vous pouvez placer le curseur dans le champ, puis cliquer longuement et rouler la souris vers la droite ou vers la gauche pour voir la partie tronquée.

  • Interface virtuelle — Interface virtuelle utilisée par cette interface d’accès. Sélectionnez une entrée dans le menu déroulant des interfaces virtuelles configurées pour ce site de succursale.
  • Adresse IP : adresse IP du point de terminaison de l’interface d’accès de l’appliance au WAN.
  • Adresse IP de la Gateway - Il s’agit de l’adresse IP du routeur de passerelle.
  • Mode chemin virtuel : priorité pour le trafic de chemin virtuel sur ce lien WAN. Les options sont : Principal, Secondaire ou Exclure. Si elle est définie sur Exclure, cette interface d’accès est utilisée uniquement pour le trafic Internet et Intranet.
  • ARP proxy — Cochez la case à cocher à activer. Si cette option est activée, Virtual WAN Appliance répond aux demandes ARP pour l’adresse IP de la Gateway, lorsque la passerelle est inaccessible.
  1. Cliquez sur Appliquer.

Vous avez maintenant terminé la configuration du nouveau lien WAN. Répétez ces étapes pour ajouter et configurer des liens WAN supplémentaires pour le site.

L’étape suivante consiste à ajouter et à configurer les itinéraires pour le site.

Comment configurer des itinéraires pour la branche

Pour ajouter et configurer les itinéraires pour le site, procédez comme suit :

  1. Cliquez sur l’affichage Connexions du nouveau site Branche et sélectionnez Routes. Cela affiche la vue Routes du site.

  2. Cliquez sur + à droite de Routes pour ajouter un itinéraire. Cela ouvre la boîte de dialogue Routes pour modification.

image localisée

  1. Tapez les informations de configuration d’itinéraire pour la nouvelle route.
  • Adresse IP du réseau : tapez l’adresse IP du réseau.

  • Coût : saisissez une pondération de 1 à 15 pour déterminer la priorité d’itinéraire de cette route. Les routes moins coûteuses ont priorité sur les routes plus coûteuses. La valeur par défaut est 5.

  • Type de service : sélectionnez le type de service pour l’itinéraire dans le menu déroulant de ce champ. Les options sont les suivantes :

  • Chemin virtuel : ce service gère le trafic sur les chemins virtuels. Un chemin virtuel est un lien logique entre deux liens WAN. Il comprend un ensemble de chemins WAN combinés pour fournir une communication de niveau de service élevé entre deux nœuds SD-WAN. Cela se fait en mesurant et en s’adaptant constamment à l’évolution de la demande des applications et des conditions WAN. Les appliances SD-WAN mesurent le réseau par chemin. Un chemin virtuel peut être statique (existe toujours) ou dynamique (existe uniquement lorsque le trafic entre deux appliances SD-WAN atteint un seuil configuré).

  • Internet : ce service gère le trafic entre un site d’entreprise et des sites sur l’Internet public. Le trafic de ce type n’est pas encapsulé. En période de congestion, le SD-WAN gère activement la bande passante en limitant le trafic Internet par rapport au chemin virtuel, et le trafic intranet selon la configuration SD-WAN établie par l’administrateur.

  • Intranet : ce service gère le trafic intranet d’entreprise qui n’a pas été défini pour la transmission via un chemin virtuel. Comme pour le trafic Internet, il n’est pas encapsulé, et le SD-WAN gère la bande passante en limitant ce trafic par rapport aux autres types de services en période de congestion. Dans certaines conditions, et s’il est configuré pour Intranet Fallback sur le chemin virtuel, le trafic qui se déplace habituellement avec un chemin virtuel peut plutôt être traité comme du trafic Intranet, afin de maintenir la fiabilité du réseau.

  • Passthrough : ce service gère le trafic qui doit être transmis via le réseau étendu virtuel. Le trafic dirigé vers le service Passthrough comprend les diffusions, les ARP et tout autre trafic non IPv4, ainsi que le trafic sur le sous-réseau local de l’appliance Virtual WAN, les sous-réseaux configurés ou les règles appliquées par l’administrateur réseau. Ce trafic n’est pas retardé, façonné ou modifié par le SD-WAN. Par conséquent, vous devez vous assurer que le trafic Passthrough ne consomme pas de ressources importantes sur les liaisons WAN que l’appliance SD-WAN est configurée pour utiliser pour d’autres services.

  • Local : ce service gère le trafic IP local vers le site qui ne correspond à aucun autre service. Le SD-WAN ignore le trafic provenant et destiné à une route locale.

  • Tunnel GRE — Ce service gère le trafic IP destiné à un tunnel GRE et correspond au tunnel LAN GRE configuré sur le site. La fonctionnalité de tunnel GRE vous permet de configurer des appliances SD-WAN pour mettre fin aux tunnels GRE sur le réseau local. Pour une route avec un tunnel GRE de type service, la Gateway doit résider dans l’un des sous-réseaux de tunnel du tunnel GRE local.

  • Tunnel IPSec LAN : ce service gère le trafic IP destiné au tunnel IPSec.

  • Adresses IP de passerelles : tapez l’adresse IP de la passerelle pour cette route.

  • Admissibilité basée sur le chemin (case à cocher) — (Facultatif) Si cette option est activée, l’itinéraire ne reçoit pas de trafic lorsque le chemin sélectionné est en panne.

  • Chemin — Spécifie le chemin à utiliser pour déterminer l’éligibilité de l’itinéraire.

  1. Cliquez sur Appliquer.

Remarque

Après avoir cliqué sur Appliquer, des avertissements d’audit peuvent apparaître indiquant que d’autres actions sont nécessaires. Un point rouge ou une icône delta de couleur jaune paille indique une erreur dans la section où il apparaît. Vous pouvez utiliser ces avertissements pour identifier les erreurs ou les informations de configuration manquantes. Faites glisser le curseur sur une icône d’avertissement d’audit pour afficher une brève description des erreurs dans cette section. Vous pouvez également cliquer sur la barre d’état Audits gris foncé (bas de la page) pour afficher la liste complète de tous les avertissements d’audit.

image localisée

Vous pouvez également modifier les itinéraires configurés comme indiqué ci-dessous.

image localisée

Vous avez maintenant terminé les étapes requises pour configurer un site client. Il existe également des étapes facultatives supplémentaires que vous pouvez choisir d’effectuer, avant de passer à la phase suivante du déploiement. Une liste de ces étapes et des liens vers les instructions sont fournis ci-dessous. Si vous ne souhaitez pas configurer ces fonctionnalités maintenant, vous pouvez passer directement à Préparation des packages de matériel SD-WAN sur le MCN.

Les étapes facultatives sont les suivantes :

  • Configurer la haute disponibilité — Haute disponibilité est une configuration dans laquelle deux appliances Virtual WAN sur un site servent dans une capacité de partenariat actif/veille à des fins de redondance. Si vous n’implémentez pas la haute disponibilité pour ce site, vous pouvez ignorer cette étape. Pour obtenir des instructions, consultez Configuration de la haute disponibilité (haute disponibilité) pour le site de succursale (facultatif).

  • Cloner le nouveau site de branche : vous avez la possibilité de cloner le site de branche que vous avez configuré et de l’utiliser comme modèle pour ajouter un autre site. Les modèles d’appliance du site d’origine et du clone doivent être identiques. Pour obtenir des instructions, voir Clonage du site de branche (facultatif).

  • Configurer l’optimisation WAN: si votre licence Citrix SD-WAN Virtual WAN inclut des fonctionnalités d’optimisation WAN, vous avez la possibilité d’activer et d’ajouter ces fonctionnalités à votre configuration. Pour ce faire, vous devez remplir la section Optimisation dans l’Éditeur de configuration et enregistrer la configuration modifiée.

Enregistrer la configuration

L’étape suivante consiste à enregistrer la configuration des sites terminée. La configuration est enregistrée dans votre Workspace sur l’appliance locale.

Avertissement

Si la session de console expire ou si vous vous déconnectez de l’interface Web de gestion avant d’enregistrer votre configuration, les modifications de configuration non enregistrées sont perdues. Vous devez ensuite vous reconnecter au système et répéter la procédure de configuration dès le début. Pour cette raison, il est recommandé d’enregistrer souvent le package de configuration ou à des points clés de la configuration. Remarque

Par précaution supplémentaire, il est recommandé d’utiliser Enregistrer sous, plutôt que Enregistrer, pour éviter d’écraser le mauvais package de configuration.

Après avoir enregistré le fichier de configuration, vous avez la possibilité de vous déconnecter de l’interface Web de gestion et de poursuivre le processus de configuration ultérieurement. Toutefois, si vous vous déconnectez, vous devez rouvrir la configuration enregistrée lorsque vous reprenez. Les instructions sont fournies dans la section Configurer le MCN ; Chargement d’un package de configuration enregistré dans l’éditeur de configuration.

Pour enregistrer le package de configuration actuel, procédez comme suit :

  1. Cliquez sur Enregistrer sous (en haut du volet central de l’Éditeur de configuration). La boîte de dialogue Enregistrer sous s’ouvre.

image localisée

  1. Tapez le nom du package de configuration. Cliquez sur Enregistrer.

Remarque

Si vous enregistrez la configuration dans un package de configuration existant, veillez à sélectionner Autoriser l’écrasement avant d’enregistrer.

L’étape suivante consiste à configurer les chemins virtuels et le service de chemin virtuel entre le MCN et les sites clients. Les instructions sont fournies dans la Configuration du service de chemin virtuel entre le MCN et les sites clients.

Renommer le site de succursale

Après avoir renommé le site de la succursale, vous devez télécharger un nouveau package de configuration sur le réseau.

  1. À partir du MCN, préparer le déploiement le réseau avec une nouvelle configuration contenant le site de succursale renommé.

  2. Téléchargez le package intermédiaire pour le site de succursale renommé.

  3. Sur le MCN, sélectionnez Activate Staged pour le réseau. Cela désactive le site renommé et le site devient indisponible.

  4. Accédez à la page Gestion des changements locaux de succursale.

  5. Téléchargez le package téléchargé plus tôt. Cliquez sur Suivant, puis sur Activer.

Renommer un site de succursale avec une haute disponibilité

Pour télécharger une nouvelle configuration après avoir renommé un site de succursale activé avec une haute disponibilité :

  1. À partir du MCN, mettre en place le réseau avec une nouvelle configuration qui contient le site de succursale renommé.

  2. Téléchargez le package intermédiaire pour l’appliance active et haute disponibilité avec un site de succursale renommé.

  3. Dans le MCN, sélectionnez Activer Staged pour le réseau. Cela désactive le site renommé et le site devient indisponible.

  4. Accédez à l’appliance active au niveau de la succursale. Accédez à la page Gestion des modifications locales.

  5. Téléchargez le package téléchargé plus tôt. Cliquez sur Suivant, puis sur Activer.

  6. Répétez les étapes 4 (a) et 4 (b) pour le dispositif de secours.