Citrix SD-WAN

Mode passerelle

Le mode Gateway place l’appliance SD-WAN physiquement dans le chemin (déploiement à deux bras) et nécessite des modifications dans l’infrastructure réseau existante pour faire de l’appliance SD-WAN la passerelle par défaut de l’ensemble du réseau LAN de ce site. Mode passerelle utilisé pour les nouveaux réseaux et le remplacement du routeur. Le mode passerelle permet aux appliances SD-WAN :

  • Pour afficher tout le trafic à destination et en provenance du WAN
  • Pour effectuer un routage local

Mode passerelle

Remarque

Un SD-WAN déployé en mode Passerelle agit comme un périphérique de couche 3 et ne peut pas effectuer de fail-to-wire. Toutes les interfaces impliquées seront configurées pour Fail-to-Block.En cas de défaillance de l’appliance, la Gateway par défaut du site échoue également, provoquant une panne jusqu’à ce que l’appliance et la Gateway par défaut soient restaurées.  

EnmodeInline, l’appliance SD-WAN semble être un pont Ethernet. La plupart des modèles d’appliances SD-WAN incluent une fonction de contournement Ethernet pour le mode intégré. En cas de panne de courant, un relais se ferme et les ports d’entrée et de sortie sont connectés électriquement, ce qui permet au signal Ethernet de passer d’un port à un autre. En mode Fail-to-wire, l’appliance SD-WAN ressemble à un câble croisé reliant les deux ports. Mode Inline utilisé pour s’intégrer dans des réseaux déjà bien définis.

Workflow en mode Inline

Cet article fournit une procédure étape par étape pour configurer un dispositif SD-WAN en mode passerelle dans un exemple de configuration réseau. Le déploiement en ligne est également décrit pour le côté de la branche pour terminer la configuration. Un réseau peut continuer à fonctionner si un périphérique Inline est supprimé, mais perd tout accès si le périphérique Gateway est supprimé.

Topologie

Les illustrations suivantes décrivent les topologies prises en charge dans un réseau SD-WAN.

Data Center dans le déploiement de la Gateway

Mode Gateway de centre de données

Succursale en déploiement en ligne

Déploiement en ligne de branche

Exigences de déploiement

Les exigences de déploiement et les informations connexes sont décrites ci-dessous pour vous aider à créer la configuration.

Nom de site Site DataCenter Site de succursale
Nom de l’appliance A_DC1 A_BR1
Gestion IP 172.30.2.10/24 172.30.2.20/24
Clé de sécurité Le cas échéant Le cas échéant
Modèle/Édition 4000 2 000
Mode Gateway Inline
Topologie 2 x Chemin WAN 2 x Chemin WAN
Adresse VIP 192.168.10.9/24 – MPLS, 10.0.10.9/24 – Internet (IP publique – A.B.C.D), 192.168.30.1/24 - LAN 192.168.20.9/24 - MPLS, 10.0.20.9/24 – Internet (IP publique – W.X.Y.Z)
MPLS de passerelle 192.168.10.1 192.168.20.1
Passerelle Internet 10.0.10.1 10.0.20.1
Vitesse de liaison MPLS — 100 Mbps, Internet — 20 Mbps MPLS — 10 Mbps, Internet — 2 Mbps
Itinéraire Adresse IP du réseau - 192.168.31.0/24, Type de service - Local, Adresse IP de la passerelle - 192.168.30.2 Le cas échéant
VLAN Le cas échéant Le cas échéant

Prérequis de configuration

  • Activez l’appliance SD-WAN en tant que nœud de contrôle maître.

  • La configuration est effectuée uniquement sur le nœud de contrôle maître (MCN) de l’appliance SD-WAN.

Pour activer une appliance en tant que nœud de contrôle maître :

  1. Dans l’interface de gestion Web SD-WAN, accédez à Configuration > Paramètres de l’appliance > Interface administrateur > onglet Divers > Commutateur de console.

Remarque

Si « Basculer vers la console client » s’affiche, l’appliance est déjà en mode MCN. Il ne doit y avoir qu’un seul MCN actif dans un réseau SD-WAN.

  1. Démarrez Configuration en accédant à Configuration > Virtual WAN > Configuration Editor. Cliquez sur Nouveau pour commencer la configuration.

Configuration du mode Gateway de site du datacenter

Voici les étapes de configuration de haut niveau pour configurer le déploiement de la passerelle de site de centre de données :

  1. Créez un site DC.

  2. Remplissez les groupes d’interfaces en fonction des interfaces Ethernet connectées.

  3. Créez une adresse IP virtuelle pour chaque interface virtuelle.

  4. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

  5. Remplissez Routes s’il y a plus de sous-réseaux dans l’infrastructure LAN.

Pour créer un site de contrôleur de domaine

  1. Accédez à l’Éditeur de configuration - > Sites, puis cliquez sur + bouton Ajouter.

  2. Remplissez les champs comme indiqué ci-dessous.

  3. Conservez les paramètres par défaut sauf instructions contraires.

Ajouter des déploiements de sites MCN

Affichage des paramètres de base MCN

Pour configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées

  1. Dans l’Éditeur de configuration, accédez à Sites > Afficher lesite[ > Nom du site] > Groupes d’interfaces. Cliquez sur « + » pour ajouter des interfaces destinées à être utilisées. Pour le mode passerelle, chaque groupe d’interfaces se voit attribuer une seule interface Ethernet.

  2. Le mode Bypass est défini sur Fail-to-Block car une seule interface EtherNet/Physical est utilisée par interface virtuelle. Il n’y a pas non plus de paires de ponts.

  3. Dans cet exemple, trois groupes d’interfaces sont créés, l’un faisant face au réseau local et deux autres faisant face à chaque liaison WAN respective. Reportez-vous à l’exemple de topologie « DC Gateway Mode » ci-dessus et remplissez les champs Groupes d’interface comme indiqué ci-dessous.

Groupes d'interface mode Gateway SD-WAN

Pour créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

  1. Créez un VIP sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

  2. Créez une adresse IP virtuelle à utiliser comme adresse de passerelle pour le réseau LAN.

Mode Gateway VIP

Pour remplir les liens WAN en fonction de la vitesse physique et non de la vitesse de rafale à l’aide de la liaison Internet :

  1. Accédez à Liens WAN, cliquez sur + bouton Ajouter un lien pour ajouter un lien WAN pour le lien Internet.

  2. Remplissez les détails du lien Internet, y compris l’adresse IP publique fournie, comme indiqué ci-dessous. AutoDetect IP publique ne peut pas être sélectionné pour l’appliance SD-WAN configurée en tant que MCN.

  3. Accédez à Interfaces d’accès, dans le menu déroulant de la section, puis cliquez surle bouton+ Ajouter pour ajouter les détails de l’interface spécifique au lien Internet.

  4. Remplissez l’interface d’accès pour les adresses IP et de Gateway comme indiqué ci-dessous.

Mode Gateway de liaison WAN

Mode Gateway d'interface d'accès

Pour créer un lien MPLS

  1. Accédez à Liens WAN, cliquez surle bouton+ pour ajouter un lien WAN pour le lien MPLS.

  2. Remplissez les détails du lien MPLS comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez surle bouton+ pour ajouter les détails de l’interface spécifique au lien MPLS.

  4. Remplissez l’interface d’accès pour les adresses IP et de Gateway comme indiqué ci-dessous.

Liaisons WAN en mode Gateway MPLS

Mode Gateway d'interface d'accès MPLS

Pour remplir les itinéraires

Les itinéraires sont créés automatiquement en fonction de la configuration ci-dessus. L’exemple de topologie de réseau local DC illustré ci-dessus a un sous-réseau LAN supplémentaire qui est 192.168.31.0/24. Une route doit être créée pour ce sous-réseau. L’adresse IP de la passerelle doit être dans le même sous-réseau que le VIP du LAN DC comme indiqué ci-dessous.

MPLS route mode Gateway

Configuration du déploiement en ligne du site de succursale

Voici les étapes de configuration de haut niveau pour configurer le site de branche pour le déploiement en ligne :

  1. Créez un site de succursale.

  2. Remplissez les groupes d’interfaces en fonction des interfaces Ethernet connectées.

  3. Créez une adresse IP virtuelle pour chaque interface virtuelle.

  4. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

  5. Remplissez Routes s’il y a plus de sous-réseaux dans l’infrastructure LAN.

Pour créer un site de branche

  1. Accédez à Éditeur de configuration > Sites, puis cliquez sur + bouton Ajouter.

  2. Remplissez les champs comme indiqué ci-dessous.

  3. Conservez les paramètres par défaut sauf instructions contraires.

Ajouter le mode Gateway de site de succursale

Mode Gateway des paramètres du site de succursale

Pour remplir des groupes d’interfaces basés sur des interfaces Ethernet connectées

  1. Dans l’Éditeur de configuration, accédez à Sites > Afficher le site > Nom du site [client] > Groupes d’interfaces. Cliquez sur + pour ajouter des interfaces destinées à être utilisées. Pour le mode Inline, chaque groupe d’interfaces se voit attribuer deux interfaces Ethernet.

  2. Le mode Bypass est défini sur Fail-to-Wire et Bridge Pair est créé à l’aide des deux interfaces Ethernet.

  3. Reportez-vous à l’exemple de topologie « Mode Inline Site distant » ci-dessus et remplissez les champs Groupes d’interface comme indiqué ci-dessous.

Groupe d'interface de site de succursale mode Gateway

Pour créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

  1. Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

Branche en mode Gateway d'adresses IP virtuelles

Pour remplir les liens WAN en fonction de la vitesse physique et non de la vitesse de rafale à l’aide de la liaison Internet :

  1. Accédez à Liens WAN, cliquez surle bouton+ pour ajouter un lien WAN pour le lien Internet.

  2. Remplissez les détails du lien Internet, y compris l’adresse IP publique Détecter automatiquement, comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez surle bouton+ pour ajouter les détails de l’interface spécifique au lien Internet.

  4. Remplissez l’interface d’accès pour l’adresse IP et la passerelle comme indiqué ci-dessous.

Mode Gateway de liaison WAN

Branche du mode Gateway d'interface d'accès

Pour créer un lien MPLS

  1. Accédez à Liens WAN, cliquez surle bouton+ pour ajouter un lien WAN pour le lien MPLS.

  2. Remplissez les détails du lien MPLS comme indiqué ci-dessous.

  3. Accédez aux interfaces d’accès, cliquez surle bouton+ pour ajouter les détails de l’interface spécifiques au lien MPLS.

  4. Remplissez l’interface d’accès pour l’adresse IP et la passerelle comme indiqué ci-dessous.

Mode Gateway MPLS branche de liens WAN

Branche d'interface d'accès MPLS

Pour remplir les itinéraires

Les itinéraires sont créés automatiquement en fonction de la configuration ci-dessus. Dans le cas où il y a plus de sous-réseaux spécifiques à cette succursale distante, des itinéraires spécifiques doivent être ajoutés afin d’identifier la Gateway vers le trafic direct pour atteindre ces sous-réseaux back-end.

MPLS route la branche en mode Gateway

Résoudre les erreurs d’audit

Une fois la configuration terminée pour les sites DC et Branch, vous serez invité à résoudre les erreurs d’audit sur les sites DC et BR.

Par défaut, le système génère des chemins d’accès pour les liaisons WAN définies comme le type d’accès Internet public. Vous devez utiliser la fonction de groupe de chemins automatiques ou activer manuellement les chemins pour les liaisons WAN avec un type d’accès Internet privé. Les chemins des liens MPLS peuvent être activés en cliquant sur Ajouter un opérateur (dans le rectangle vert).

Liens WAN par défaut

Après avoir terminé toutes les étapes ci-dessus, passez à Préparation des packages de matériel SD-WAN.