Citrix SD-WAN

Sessions PPPoE

Le protocole PPPoE (Point-to-Point Protocol over Ethernet) connecte plusieurs utilisateurs d’ordinateurs sur un réseau local Ethernet à un site distant via des appliances locales communes, par exemple ; Citrix SD-WAN. PPPoE permet aux utilisateurs de partager une ligne d’abonné numérique (DSL), un modem câble ou une connexion sans fil commune à Internet. PPPoE combine le protocole PPP (Point-to-Point Protocol), couramment utilisé dans les connexions commutées, avec le protocole Ethernet, qui prend en charge plusieurs utilisateurs dans un réseau local. Les informations de protocole PPP sont encapsulées dans une trame Ethernet.

Les appliances Citrix SD-WAN utilisent PPPoE pour permettre aux fournisseurs de services Internet (FAI) d’avoir des connexions DSL continues et continues et par modem câble contrairement aux connexions commutées. PPPoE fournit à chaque session de site utilisateur distant pour apprendre les adresses réseau de l’autre par le biais d’un échange initial appelé « découverte ». Une fois qu’une session est établie entre un utilisateur individuel et le site distant, par exemple un fournisseur d’accès Internet, la session peut être surveillée. Les entreprises utilisent un accès Internet partagé sur des lignes DSL à l’aide d’Ethernet et de PPPoE.

Citrix SD-WAN agit en tant que client PPPoE. Il s’authentifie avec le serveur PPPoE et obtient l’adresse IP dynamique, ou utilise l’adresse IP statique pour établir des connexions PPPoE.

Les éléments suivants sont requis pour que les sessions PPPoE réussissent :

  • Configurer l’interface réseau virtuel (VNI).
  • Informations d’identification uniques pour créer une session PPPoE.
  • Configurer le lien WAN. Chaque VNI ne peut avoir qu’un seul lien WAN configuré.
  • Configurez l’adresse IP virtuelle. Chaque session obtient une adresse IP unique, dynamique ou statique en fonction de la configuration fournie.
  • Déployez l’appliance en mode pont pour utiliser PPPoE avec une adresse IP statique et configurez l’interface comme étant « approuvée ».
  • L’IP statique est préférable d’avoir une configuration pour forcer l’IP proposée par le serveur ; si elle est différente de l’IP statique configurée, sinon une erreur peut se produire.
  • Déployez l’appliance en tant que périphérique Edge pour utiliser PPPoE avec IP dynamique et configurez l’interface comme « non fiable ».
  • Les protocoles d’authentification pris en charge sont PAP, CHAP, EAP-MD5, EAP-SRP.
  • Le nombre maximal de sessions multiples dépend du nombre de VNI configurés.
  • Créez plusieurs VNI pour prendre en charge plusieurs sessions PPPoE par groupe d’interface.

    Note :

    Plusieurs VNI sont autorisés à créer avec la même balise VLAN 802.1Q.

Limitations pour la configuration PPPoE :

  • Le balisage VLAN 802.1q n’est pas pris en charge.
  • L’authentification EAP-TLS n’est pas prise en charge.
  • Compression d’adresse/de contrôle.
  • Dégonfler la compression.
  • Négociation de compression de champ de protocole
  • Protocole de contrôle de compression.
  • Compression BSD Compresser.
  • Protocoles IPv6 et IPX.
  • PPP Multi-Link.
  • Compression d’en-tête TCP/IP de style Van Jacobson.
  • Option de compression d’ID de connexion dans la compression d’en-tête TCP/IP de style Van Jacobson.
  • PPPoE n’est pas pris en charge sur les interfaces LTE

Pour faciliter la configuration PPPoE, l’option Client DHCP est remplacée par une nouvelle option appelée Mode client dans l’interface de gestion Web SD-WAN sous la configuration Sites.

image localisée

Le tableau suivant décrit les options de configuration PPPoE en mode client disponibles sur une appliance MCN et SD-WAN de succursale, respectivement.

MCN

  • Aucun
  • PPPoE statique

Succursale

  • Aucun
  • PPPoE statique
  • PPPoE dynamique
  • DHCP

Configurer l’appliance MCN

  1. Dans l’interface graphique de l’appliance MCN SD-WAN, accédez à Configuration > Virtual WAN > Configuration Editor. Ajouter un site sous l’onglet Basic. Pour plus d’informations, reportez-vous à la configuration du nœud de branche à l’adresse, configure mcn.

image localisée

  1. Une fois le nouveau site créé, ouvrez l’onglet Sites. Sélectionnez le site nouvellement créé dans la liste déroulante Voir le site.

image localisée

  1. Sélectionnez Groupes d’interface pour le site MCN. Procédez comme suit :
  • Ajouter des interfaces virtuelles.
  • Configurez les interfaces Ethernet.
  • Configurer le mode de contournement
  • Choisissez WCCP, si nécessaire.
  • Choisissez Sécurité — Approuvé/Non approuvé.

    Pour l’interface virtuelle :

  • Configurez le nom, la zone de pare-feu, l’ID VALN et le mode client.
  • Un VNI configuré avec plusieurs interfaces ne peut avoir qu’une seule interface utilisée pour la connectivité PPPoE.
  • Si un VNI configuré avec plusieurs interfaces et une connectivité PPPoE est remplacé par une interface différente, la page du moniteur peut être utilisée pour arrêter la session existante et démarrer une nouvelle session, puis une nouvelle session peut être établie sur la nouvelle interface.

    image localisée

  1. Sélectionnez PPPoE Static or None en fonction de votre configuration réseau requise pour l’option Mode client de l’appliance MCN. Les autres options suivantes s’affichent.

image localisée

Configurez les paramètres PPPoE suivants et cliquez sur Appliquer.

  • Champ Nom du concentrateur d’accès (AC).
  • Nom du service.
  • Temps de reconnexion de l’arrêt (la valeur par défaut est de se reconnecter immédiatement, ‘0’)
  • Type d’authentification - (AUTO/PAP/CHAP/EAP).
    • Lorsque l’option Auth est définie sur Auto, l’appliance SD-WAN respecte la demande de protocole d’authentification prise en charge reçue du serveur.
    • Lorsque l’option Auth est définie sur PAP/CHAP/EAP, seuls les protocoles d’authentification spécifiques sont respectés. Si PAP est dans la configuration et que le serveur envoie une demande d’authentification avec CHAP, la demande de connexion est rejetée. Si le serveur ne négocie pas avec PAP, un échec d’authentification se produit.
  • CHAP comprend — CHAP, Microsoft CHAP et Microsoft CHAPv2.
  • EAP prend en charge EAP-MD5.
  • Nom d’utilisateur et mot de passe

    image localisée

La figure suivante affiche les options de mode client PPPoE pour une appliance SD-WAN de succursale. Si PPPoE Dynamic est sélectionné, le VNI doit être « Non approuvé. »

image localisée

Configurer les liens WAN

  1. Dans l’interface graphique SD-WAN, accédez à Sites > Liens WAN. Une seule création de lien WAN est autorisée par VNI statique ou dynamique PPPoE. La configuration de liaison WAN varie en fonction de la sélection VNI du mode client.

  2. Si le VNI est configuré avec le mode client dynamique PPPoE :

  • Les champs d’adresse IP et d’adresse IP de passerelle deviennent inactifs.
  • Le mode chemin virtuel est défini sur « Principal. »
  • L’ARP proxy ne peut pas être configuré.

    Par défaut, la liaison d’adresses MAC de passerelle est sélectionnée.

    image localisée

  1. Si le VNI est configuré avec le mode client statique PPPoE, configurez l’adresse IP.

image localisée

Note :

Si le serveur n’honore pas l’adresse IP statique configurée et offre une adresse IP différente, une erreur se produit. La session PPPoE tente de rétablir la connexion périodiquement, jusqu’à ce que le serveur accepte l’adresse IP configurée.

Surveiller les sessions PPPoE

Vous pouvez surveiller les sessions PPPoE en accédant à la page Surveillance > PPPoE dans l’interface graphique SD-WAN.

La page PPPoE fournit des informations d’état des VNI configurés avec le mode client statique ou dynamique PPPoE. Il vous permet de démarrer ou d’arrêter manuellement les sessions à des fins de dépannage.

  • Si le VNI est prêt, les colonnes IP and Gateway IP affichent les valeurs actuelles dans la session. Il indique qu’il s’agit de valeurs récemment reçues.
  • Si le VNI est arrêté ou est en état d’échec, les valeurs sont les dernières valeurs reçues.
  • Le survol de la souris sur la colonne IP de la passerelle indique l’adresse MAC du concentrateur d’accès PPPoE d’où la session et l’adresse IP sont reçues.
  • Passez la souris sur la valeur « état » affiche un message, ce qui est plus utile pour un état « Échec ».

    image localisée

La colonne État affiche l’état de la session PPPoE à l’aide de trois codes de couleur : vert, rouge, jaune et valeurs. Le tableau suivant décrit les états et les descriptions. Vous pouvez survoler les états pour obtenir des descriptions.

Type de session PPPoE Couleur Description
Configuré Jaune Un VNI est configuré avec PPPoE. C’est un état initial.
Composition du numéro en cours Jaune Une fois qu’un VNI est configuré, l’état de la session PPPoE passe à l’état de numérotation en démarrant la découverte PPPoE. Les informations sur les paquets sont capturées.
La Jaune VNI est déplacé de l’état Découverte à l’état Session. En attente de réception IP, si dynamique ou en attente d’accusé de réception du serveur pour l’IP annoncée, s’il est statique.
Prêt vert Les paquets IP sont reçus et VNI et le lien WAN associé sont prêts à l’emploi.
Échec rouge La session PPP/PPPoE est terminée. La raison de l’échec peut être due à une configuration non valide ou à une erreur fatale. La session tente de se reconnecter après 30 secondes.
Arrêté jaune La session PPP/PPPoE est arrêtée manuellement.
Terminer jaune Un état intermédiaire se terminant pour une raison. Cet état démarre automatiquement après une certaine durée (5 secondes pour une erreur normale ou 30 secondes pour une erreur fatale).
Désactivé jaune Le service SD-WAN est désactivé.

Dépannage des échecs de session PPPoE

Sur la page Surveillance, lorsqu’il y a un problème lors de l’établissement d’une session PPPoE :

  • Le pointeur de la souris sur l’état Échec indique la raison de l’échec récent.
  • Pour créer une nouvelle session ou pour dépanner une session PPPoE active, utilisez la page Monitoring->PPPoE et redémarrez la session.
  • Si une session PPPoE est arrêtée manuellement, elle ne peut pas être démarrée tant qu’elle n’est pas démarrée manuellement et qu’une modification de configuration n’est pas activée, ou que le service n’est pas redémarré.

Une session PPPoE peut échouer pour les raisons suivantes :

  • Lorsque SD-WAN ne parvient pas à s’authentifier auprès de l’homologue en raison d’un nom d’utilisateur/mot de passe incorrect dans la configuration.

  • La négociation PPP échoue - la négociation n’atteint pas le point où au moins un protocole réseau est en cours d’exécution.

  • Problème de mémoire système ou de ressource système.

  • Configuration invalide/incorrecte (nom d’AC ou nom de service incorrect).

  • Échec de l’ouverture du port série en raison d’une erreur du système d’exploitation.

  • Aucune réponse reçue pour les paquets echo (le lien est mauvais ou le serveur ne répond pas).

  • Il y a eu plusieurs sessions de numérotation infructueuses continues avec en une minute.

Après 10 échecs consécutifs, la raison de l’échec est observée.

  • Si l’échec est normal, il redémarre immédiatement.
  • Si l’échec est une erreur, le redémarrage revient pendant 10 secondes.
  • Si l’échec est fatal, le redémarrage revient pendant 30 secondes avant le redémarrage.

Les paquets de requête LCP Echo sont générés à partir du SD-WAN toutes les 60 secondes et le défaut de recevoir 5 réponses d’écho est considéré comme un échec de liaison et il rétablit la session.

Fichier journal PPPoE

Le fichier SDWAN_ip_learned.log contient des journaux liés à PPPoE.

Pour afficher ou télécharger le fichier SDWAN_ip_learned.log à partir de l’interface graphique SD-WAN, accédez à Paramètres de l’appliance > Logging/Monitoring > Log Options. Affichez ou téléchargez le fichier SDWAN_ip_learned.log.

image localisée

Sessions PPPoE