Citrix SD-WAN

Route de l’application

Dans un réseau d’entreprise typique, les succursales accèdent aux applications du datacenter local, du datacenter cloud ou des applications SaaS. La fonction de routage des applications vous permet de diriger les applications à travers votre réseau facilement et à moindre coût. Par exemple, lorsqu’un utilisateur sur le site de la succursale essaie d’accéder à une application SaaS, le trafic peut être acheminé de telle sorte que les succursales puissent accéder directement aux applications SaaS sur Internet, sans avoir à passer par le centre de données d’abord.

Citrix SD-WAN vous permet de définir les itinéraires d’application pour les services suivants :

  • Chemin virtuel : ce service gère le trafic sur les chemins virtuels. Un chemin virtuel est un lien logique entre deux liens WAN. Il comprend un ensemble de chemins WAN combinés pour fournir une communication de niveau de service élevé entre deux nœuds SD-WAN. L’appliance SD-WAN mesure le réseau par chemin d’accès et s’adapte à l’évolution de la demande des applications et des conditions WAN. Un chemin virtuel peut être statique (existe toujours) ou dynamique (existe uniquement lorsque le trafic entre deux appliances SD-WAN atteint un seuil configuré).
  • Internet : ce service gère le trafic entre un site d’entreprise et des sites sur l’Internet public. Le trafic Internet n’est pas encapsulé. En cas de congestion, le SD-WAN gère activement la bande passante en limitant le trafic Internet par rapport au chemin virtuel et au trafic intranet.
  • Intranet : ce service gère le trafic intranet d’entreprise qui n’a pas été défini pour la transmission via un chemin virtuel. Le trafic intranet n’est pas encapsulé. Le SD-WAN gère la bande passante en limitant le débit de ce trafic par rapport aux autres types de service en période de congestion. Dans certaines conditions, et si Intranet Fallback est configuré sur le chemin virtuel, le trafic qui circule habituellement via le chemin virtuel peut plutôt être traité comme du trafic Intranet.
  • Local : ce service gère le trafic local vers le site qui ne correspond à aucun autre service. Le SD-WAN ignore le trafic provenant et destiné à une route locale.
  • Tunnel GRE : Ce service gère le trafic IP destiné à un tunnel GRE et correspond au tunnel LAN GRE configuré sur le site. La fonction de tunnel GRE vous permet de configurer des appliances SD-WAN pour qu’elles terminent les tunnels GRE sur le réseau local. Pour une route avec un tunnel GRE de type service, la Gateway doit résider dans l’un des sous-réseaux de tunnel du tunnel GRE local.
  • Tunnel IPSec LAN : ce service gère le trafic IP destiné à un tunnel IPSec LAN et correspond au tunnel IPSec LAN configuré sur le site. La fonctionnalité Tunnel IPSec LAN vous permet de configurer des appliances SD-WAN pour mettre fin aux tunnels IPSec du côté LAN ou WAN.

Pour effectuer une direction de service pour les applications, il est important d’identifier une application sur le premier paquet lui-même. Initialement, les paquets traversent la route IP une fois que le trafic est classé et que l’application est connue, la route de l’application correspondante est utilisée. La première classification des paquets est obtenue en apprenant les sous-réseaux IP et les ports associés aux objets d’application. Ces résultats sont obtenus à l’aide des résultats de classification historiques du classificateur DPI et des types de correspondance de port IP configurés par l’utilisateur.

Pour configurer le routage des applications :

  1. Dans l’Éditeur de configuration, accédez à Connexions > Routes d’application, puis cliquez sur +.

Utilisation de l'application1

  1. Dans lapageAjouter, définissez les paramètres suivants :
  • Objet d’application : objet d’application que vous souhaitez diriger. Les objets d’application créés par vous sont répertoriés ici. Pour plus d’informations, consultez lasection Objets d’application de larubrique Classificationd’application.

    Direction d'application SD-WAN

  • Domaine de routage : domaine de routage à utiliser par l’itinéraire d’application. Choisissez l’un des domaines de routage configurés.
  • Coût : Pondération permettant de déterminer la priorité d’itinéraire pour cette route. Les routes moins coûteuses ont priorité sur les routes plus coûteuses. La plage est 1—65534. La valeur par défaut est 5.
  • Type de service : sélectionnez l’un des services suivants. Cela mappe l’application à un service.

  • Chemin virtuel : identifie le trafic d’application en tant que trafic de chemin virtuel et correspond à un chemin virtuel basé sur des règles de chemin virtuel. Dans lechamp Site de sautsuivant, entrez le site distant de saut suivant vers lequel les paquets de chemin virtuel sont dirigés.

    Remarque

    Tout flux qui touche les Routes d’application de chemin virtuel ne dépasse pas le chemin virtuel dynamique.

  • Internet : identifie le trafic des applications en tant que trafic Internet et correspond au service Internet.

  • Intranet : identifie le trafic d’application en tant que trafic intranet et correspond à un service intranet basé sur les règles de l’intranet. Dans lechamp Serviceintranet, sélectionnez un service intranet à utiliser pour l’itinéraire.

  • Local : identifie le trafic de l’application comme étant local vers le site et ne correspond pas à aucun service. Le trafic d’origine et destiné à une route locale est ignoré.

    Remarque

    Pour le type de service local, une fois la classification PPP terminée, les routes IP configurées prennent la décision de routage.

  • Tunnel GRE : Identifié le trafic de l’application comme étant destiné à un tunnel GRE et correspond au tunnel LAN GRE configuré sur le site. Dans le champ Adresse IP de la Gateway, entrez l’adresse IP de la passerelle qui doit se trouver dans le sous-réseau du tunnel GRE LAN. Sélectionnez Admissibilité basée sur la passerelle pour permettre à l’itinéraire de ne recevoir aucun trafic lorsque la passerelle n’est pas accessible.

  • Tunnel IPSec LAN : identifié le trafic d’application comme destiné à un tunnel IPSec LAN et correspond au tunnel IPSec LAN configuré sur le site. Dans lechamp TunnelIPsec, sélectionnez l’un des tunnels IPsec configurés. Sélectionnez Admissibilité basée sur le tunnel pour permettre à l’itinéraire de ne recevoir aucun trafic lorsque le tunnel n’est pas accessible.

    Remarque

    Une fois que vous avez sélectionné un service pour une application personnalisée, ne le modifiez pas.

  • Admissibilité basée sur le chemin : sélectionnez cette option pour permettre à l’itinéraire de ne pas recevoir de trafic lorsque le chemin spécifié est en panne. Dans lechampChemin, spécifiez le chemin à utiliser pour déterminer l’éligibilité de l’itinéraire.
  1. Cliquez sur Appliquer.

Pour afficher les itinéraires d’application configurés sur votre appliance SD-WAN. Dans l’interface graphique SD-WAN, accédez à Configuration > Virtual WAN > Afficher la configuration. Sélectionnez Routesd’application dans le menudéroulantAffichage.

SD-WAN steering1

Pour afficher les données de statistiques pour les itinéraires d’application :

  1. Dans l’interface graphique SD-WAN, accédez à Surveillance > Statistiques.

  2. Dans la listedéroulanteAfficher, sélectionnez Routes d’application.

SD-WAN steering2

Vous pouvez afficher les statistiques suivantes :

  • Objet Application : Nom de l’objet application.
  • Adresse IP de la Gateway : Adresse IP de la passerelle utilisée par les objets d’application avec le type de service de tunnel GRE.
  • Service : type de service mappé à l’objet d’application.
  • Zone de pare-feu : zone de pare-feu dans laquelle cette route se trouve.
  • Rejoignable : état de la route de l’application.
  • Site : Nom du site.
  • Type : Indique si l’itinéraire est statique ou dynamique.
  • Coût : Priorité de l’itinéraire.
  • Nombre de coups : nombre de fois où l’itinéraire de l’application est utilisé pour diriger le trafic.
  • Admissibilité : La route de l’application est-elle éligible pour envoyer le trafic.
  • Type d’admissibilité : Type de condition d’admissibilité d’itinéraire appliquée à cette route. Le type d’éligibilité peut être Chemin, Passerelle ou Tunnel.
  • Valeur d’éligibilité : Valeur spécifiée pour la condition d’éligibilité d’itinéraire.

Remarque

Dans la version actuelle, les applications appartenant à une famille d’applications, type de correspondance défini dans un objet d’application, ne peuvent pas être orientées.

Résolution des problèmes

Après avoir créé la route de l’application, vous pouvez confirmer que l’application est correctement routée vers le service prévu à l’aide de lasectionSurveillance.

Pour voir si l’application est correctement routée vers le service prévu, accédez aux pages suivantes :

  • Surveillance > Statistiques > Routes d’applications
  • Surveillance > Flux
  • Surveillance > Pare-feu

S’il y a un comportement de routage inattendu, collectez le bundle de diagnostics STS pendant que le problème est observé et partagez-le avec l’équipe de support Citrix.

Le pack STS peut être créé et téléchargé à l’aide de Configuration > Maintenance du système > Diagnostics > Informations de diagnostic.

Route de l’application