Citrix SD-WAN

Mode virtuel en ligne

En mode virtuel en ligne, le routeur utilise un protocole de routage tel que PBR, OSPF ou BGP pour rediriger le trafic WAN entrant et sortant vers l’appliance, et l’appliance transfère les paquets traités au routeur.

L’article suivant décrit la procédure pas à pas pour configurer deux appliances SD-WAN (SD-WAN SE) :

  • Appliance de datacenter en mode virtuel en ligne

  • Appliance de succursale en mode Inline

  • Le protocole de routage doit être configuré au niveau du commutateur principal ou plus en amont au niveau du routeur. Le routeur doit surveiller l’intégrité de l’appliance SD-WAN afin que l’appliance puisse être contournée en cas de défaillance.

  • Le mode Virtual Inline place l’appliance SD-WAN physiquement hors du chemin (déploiement à un bras), c’est-à-dire une seule interface Ethernet à utiliser (exemple : Interface 1/1) avec le mode de contournement défini sur FTB (failto-block).

L’appliance Citrix SD-WAN doit être configurée pour transmettre le trafic à la Gateway appropriée. Le trafic destiné au chemin virtuel est dirigé vers l’appliance SD-WAN, puis encapsulé et dirigé vers la liaison WAN appropriée.

Recueillir des informations pour

  • Diagramme de réseau précis (exemple de diagramme ci-dessous) de vos sites locaux et distants, y compris :

    • Les liaisons WAN locales et distantes et leurs largeurs de bande passante dans les deux sens, leurs sous-réseaux, les adresses IP virtuelles et les passerelles de chaque lien, les routes et les réseaux locaux virtuels.
  • Tableau de déploiement (exemple de diagramme illustré ci-dessous)

Topologie du centre de données — Mode virtuel en ligne

Mode virtuel en ligne

Topologie de succursale — mode en ligne

Branche de déploiement en mode PBR

Nom de site Site du centre de données Site de succursale
Nom de l’appliance SJC-DC SJC-BR
Gestion IP 172.30.2.10/24 172.30.2.20/24
Clé de sécurité Le cas échéant Le cas échéant
Modèle/Édition 4000 2 000
Mode Mode Virtual Inline Inline
Topologie 2 x Chemin WAN 2 x Chemin WAN
Adresse VIP 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, IP publique w.x.y.z 10.17.0.9/24 - MPLS, 10.18.0.9/24 – Internet, IP publique a.b.c.d
MPLS de passerelle 10.20.0.1 10.17.0.1
Passerelle Internet 10.19.0.1 10.18.0.1
Vitesse de liaison MPLS — 100 Mbps, Internet — 20 Mbps MPLS — 10 Mbps, Internet — 2 Mbps
Itinéraire Besoin d’ajouter un itinéraire sur l’appliance SD-WAN SE sur la façon d’atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques : Gi0/1 - 192.168.1.1, Configuration > Virtual WAN > Configuration Editor > SJC \ _DC > Routes. Dans cet exemple, l’interface 192.168.1.1 a été utilisée፦ adresse n/w : 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Type de service : local, - Adresse IP de la passerelle : 192.168.1.1 Aucune route supplémentaire n’a été ajoutée
VLAN Aucun (valeur par défaut 0) Aucun (valeur par défaut 0)

Étapes pour configurer un site en mode Virtual Inline :

  • Activez la fonctionnalité MCN.

  • Créez un nouveau site.

  • Créez un groupe d’interfaces et des interfaces virtuelles.

  • Affectez une adresse IP virtuelle aux interfaces virtuelles.

  • Créer des liens WAN et attribuer une adresse IP.

  • Ajoutez des itinéraires.

  • Dépannage.

  • Configuration de la stratégie de routage sur le routeur.

Prérequis de configuration

  • Activez l’appliance SD-WAN en tant que nœud de contrôle maître.

  • La configuration est effectuée uniquement sur le nœud de contrôle maître (MCN) de l’appliance SD-WAN.

Pour activer une appliance en tant que nœud de contrôle maître :

  1. Dans l’interface de gestion Web SD-WAN, accédez à Configuration > Paramètres de l’appliance > Interface administrateur > onglet Divers > Commutateur de console.

Remarque

Si Basculer vers la console client s’affiche, l’appliance est déjà en mode MCN. Il ne doit y avoir qu’un seul MCN actif dans un réseau SD-WAN.

  1. Activez le service WAN virtuel. Accédez à Configuration > Virtual WAN > Activer/Désactiver/Purger les flux.

  2. Démarrez Configuration en accédant à Configuration > Virtual WAN > Configuration Editor. Cliquez sur Nouveau pour commencer la configuration.

Cette opération crée un fichier de configuration initiale Untitled_1 qui peut être renommé [optional] ultérieurement à l’aide du bouton Enregistrer sous.

Voici les étapes de configuration de haut niveau pour configurer le site de centre de données en mode de déploiement virtuel en ligne :

  1. Créez un site DC.

  2. Configurez les groupes d’interfaces en fonction des interfaces Ethernet connectées.

  3. Configurez l’adresse IP virtuelle pour chaque interface virtuelle.

  4. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

  5. Remplissez Routes s’il y a plus de sous-réseaux dans l’infrastructure LAN.

Configuration du mode virtuel en ligne du site du centre de données

Créer un site de contrôleur de domaine

  1. Accédez à l’Éditeur de configuration > Sites, puis cliquez sur l bouton + Site.

  2. Remplissez les champs comme indiqué ci-dessous.

  3. Conservez les paramètres par défaut sauf instructions contraires.

Créer un site DC

Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées

  1. Dans l’Éditeur de configuration, accédez à Sites[Site Name]Groupes d’interfaces. Cliquez sur « + » pour ajouter des interfaces destinées à être utilisées. En mode virtuel en ligne, la configuration sur une seule interface Ethernet est utilisée, c’est-à-dire l’interface connectant le routeur en amont fournissant des implications sur la politique de routage (Example- Interface 1/1). Configurez les interfaces virtuelles MPLS et Internet avec les ID VLAN 10 et 20 respectivement.

  2. Le mode Bypass est défini sur Fail-to-Block car une seule interface EtherNet/Physical est utilisée par interface virtuelle. Il n’y a pas non plus de paires de ponts.

  3. Dans cet exemple, développez l’option Interfaces virtuelles + et configurez les Interfaces virtuelles.

Configurer l'interface virtuelle

Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

Configurer l'attribution d'une adresse IP virtuelle

Créer un lien Internet WAN

Pour remplir les liaisons WAN en fonction de la vitesse physique et non de la vitesse de rafale à l’aide de la liaison Internet et MPLS :

  1. Accédez à Liens WAN, cliquez sur lebouton+ pour ajouter un lien WAN pour le lien Internet.

  2. Remplissez les détails du lien Internet, y compris l’adresse IP publique fournie, comme indiqué ci-dessous. Notez que la détection automatique de l’IP publique ne peut pas être sélectionnée pour l’appliance SD-WAN configurée en tant que MCN.

  3. Accédez à Interfaces d’accès, cliquez sur lebouton+ pour ajouter les détails de l’interface spécifique au lien Internet.

  4. Remplissez l’interface d’accès pour les adresses IP et de Gateway comme indiqué ci-dessous. L’ARP proxy n’ est pas vérifié pour moins de deux interfaces Ethernet.

Configurer le lien WAN Internet

Configurer l'interface d'accès Internet

Créer un lien MPLS

  1. Accédez à Liens WAN, cliquez sur lebouton+ pour ajouter un lien WAN pour le lien MPLS.

  2. Remplissez les détails du lien MPLS comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez sur lebouton+ pour ajouter les détails d’interface spécifiques au lien MPLS.

  4. Remplissez l’interface d’accès pour MPLS Virtual IP et les adresses de Gateway, comme indiqué ci-dessous.

Paramètres de base MPLS

Remarque

L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.

Remplissez les itinéraires

Sur le site du centre de données, ajoutez une route sur l’appliance SD-WAN SEE pour atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques :

0/1/0.1 — 192.168.1.1 sur VLAN 10

0/1/0.2 — 192.168.2.1 sur VLAN 20

Router MPLS

Modifier les itinéraires MPLS

Configuration du déploiement en ligne du site de succursale

Voici les étapes de configuration de haut niveau pour configurer le site de branche pour le déploiement en ligne :

  1. Créez un site de succursale.

  2. Remplissez les groupes d’interfaces en fonction des interfaces Ethernet connectées.

  3. Créez une adresse IP virtuelle pour chaque interface virtuelle.

  4. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

  • Interface virtuelle « INTERNET » configurée sur la paire Bridge 1/3 et 1/4

  • Interface virtuelle « MPLS » configurée avec paire de ponts 1/1 et 1/2

  1. Remplissez Routes s’il y a plus de sous-réseaux dans l’infrastructure LAN.

Créer un site de succursale

PBR crée un site de succursale

Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées

  1. Dans l’Éditeur de configuration, accédez à Sites > [Client Site Name] > Groupes d’interfaces. Cliquez sur +pour ajouter des interfaces destinées à être utilisées. Pour la configuration en mode Inline, quatre interfaces Ethernet sont utilisées ; les paires d’interfaces 1/3, 1/4 et les paires d’interfaces 1/1 et 1/2.

  2. Le mode de contournement est défini sur Fail-to-Wire puisque deux interfaces Ethernet/physique sont utilisées par interface virtuelle. Il y a deux paires de ponts.

  3. Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.

  • Interface virtuelle « INTERNET » configurée sur la paire Bridge 1/3 et 1/4

  • Interface virtuelle « MPLS » configuré avec paire de pont 1/1 et 1/2.

  1. Reportez-vous à l’exemple de topologie « Mode Inline Site distant » ci-dessus et remplissez les champs Groupes d’interface comme indiqué ci-dessous.

PBR crée un groupe d'interface de site de branche 1

Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle

Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.

PBR crée une adresse IP virtuelle de site de branche 2

Créer un lien Internet WAN

Pour remplir les liens WAN en fonction du débit physique et non de la vitesse de rafale à l’aide d’un lien Internet

  1. Accédez à Liens WAN, cliquez sur lebouton+ pour ajouter un lien WAN pour le lien Internet.

  2. Remplissez les détails du lien Internet, y compris l’adresse IP publique AutoDetect, comme indiqué ci-dessous.

  3. Accédez à Interfaces d’accès, cliquez sur lebouton+ pour ajouter les détails de l’interface spécifique au lien Internet.

  4. Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.

PBR crée une branche site 3 lien WAN internet

PBR crée une interface d'accès internet site de succursale 4

Créer un lien MPLS

  1. Accédez à Liens WAN, cliquez sur lebouton+ pour ajouter un lien WAN pour le lien MPLS.

  2. Remplissez les détails du lien MPLS comme indiqué ci-dessous.

  3. Accédez aux interfaces d’accès, cliquez sur lebouton+ pour ajouter les détails de l’interface spécifiques au lien MPLS.

  4. Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.

PBR crée une liaison WAN MPLS sur le site de branche 5

PBR crée une interface d'accès MPLS sur le site de branche 6

Remplissez les itinéraires

Les itinéraires sont créés automatiquement en fonction de la configuration ci-dessus. Dans le cas où il y a plus de sous-réseaux spécifiques à cette succursale distante, alors des itinéraires spécifiques doivent être ajoutés afin d’identifier la Gateway vers le trafic direct pour atteindre ces sous-réseaux back-end.

Branche MPLS Route

Résolution des erreurs d’audit

Une fois la configuration terminée pour les sites DC et Branch, vous serez invité à résoudre les erreurs d’audit sur les sites DC et BR. Dans cet exemple, nous allons résoudre l’erreur d’audit liée à Private Intranet WAN Link [SJC_DC-MPLS].

Remarque

Par défaut, le système génère des chemins pour les liaisons WAN définies comme type d’accès Internet public (mis en surbrillance).

Erreur d'audit mode PBR

Mode PBR de l'interface d'accès

Erreur d'audit PBR

Vous devez utiliser la fonction de groupe de chemins automatiques ou activer manuellement les chemins pour les liaisons WAN avec un type d’accès Internet privé. Les chemins des liens MPLS peuvent être activés en cliquant sur l’opérateur Ajouter (dans le rectangle vert).

PBR de chemin par défaut

Créer un groupe de chemin automatique :

  1. Accédez à l’onglet Global. Cliquez sur le[ signe ]+ en regard de Groupes de chemin automatique.

  2. Configurez le groupe de chemin automatique créé conformément aux exigences et cliquez sur Appliquer.

Mode PBR groupes de chemin automatique

  1. Renommez le groupe de chemin automatique [Optional].

  2. Mappez le groupe Autopath aux chemins virtuels des liens WAN Intranet sur les sites respectifs.

Aucun groupe de chemin automatique ne peut être marqué par défaut. Si elle est marquée, une erreur d’audit s’affiche.

Après avoir mappé le groupe Autopath sur les chemins virtuels du WAN Intranet, les chemins doivent être automatiquement renseignés (mis en surbrillance).

Mappage des groupes de chemin automatique en mode PBR

Ajouter manuellement des liens WAN avec le type d’accès Intranet privé

  1. Sélectionnez les chemins virtuels sous Liens WAN pour les sites respectifs et aucun groupe de chemins automatiques ne sera mappé.

  2. Cliquez sur le signe [+] en regard de Chemins d’accès pour ajouter manuellement des chemins virtuels.

Mappage manuel des groupes de chemin automatique en mode PBR

  1. Sélectionnez les liens WAN de chemins virtuels pour chaque site.

Ajouter des liens WAN

Après avoir ajouté manuellement les chemins virtuels pour les liens WAN avec le type d’accès Intranet privé, il est rempli sous Paths (mis en surbrillance).

Après avoir terminé toutes les étapes ci-dessus, passez à Préparation des packages de matériel SD-WAN sur la rubrique MCN.

Configuration de routage basée sur des règles sur le routeur PBR :

Interface connectée au réseau local

  • Router# configure terminal

  • Router(config)# interface FastEthernet0/1

  • Router(config-if)# description ToLAN

  • Router(config-if)# IP address 10.10.11.1 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Interface se connecte à la liaison WAN MPLS

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/0

  • Router(config-if)# description To-MPLS-WAN

  • Router(config-if)# IP address 10.20.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

Interface connectée à l’INET WAN Link

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/2/0

  • Router(config-if)# description To-INET-WAN

  • Router(config-if)# IP address 10.19.0.2 255.255.255.0

  • Router(config-if)# duplex auto

  • Router(config-if)# speed auto

L’interface GigabitEthernet0/1 sur le routeur PBR est connecté au port SD-WAN 1/1, il est en mode 1 bras et ce port servira le trafic pour les liaisons MPLS et INET.

  • Router# configure terminal

  • Router(config)# interface GigabitEthernet0/1

  • Router(config-if)# description To-SDWAN-link

  • Router(config-if)# IP address 192.168.1.1 255.255.255.0

Configuration d’itinéraire statique (Route vers le client/sous-réseaux distants) :

  • MPLS 10.17.0.0/24 via le routeur WAN hop suivant MPLS 10.20.0.1

  • INET 10.18.0.0/24 via le routeur WAN hop suivant/FW INET 10.19.0.1

  • Router# configure terminal

  • Router(config)# IP route 10.17.0.0 255.255.255.0 10.20.0.1

  • Router(config)# IP route 10.18.0.0 255.255.255.0 10.19.0.1

Définition de la carte d’itinéraire :

Configuration de la liste de contrôle d’accès :

Configurez les ACL pour définir le trafic à envoyer vers et en provenance de l’appliance SD-WAN.

  1. Du LAN à l’appliance SD-WAN

Selon la topologie, les sous-réseaux LAN sont 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc. Pour envoyer du trafic depuis LAN vers le SD-WAN, configurez une ACL unidirectionnelle (de LAN à n’importe quel).

- Router\# configure terminal - Router(config)\# ip access-list extended server\_side - Router(config)\# permit ip 10.10.0.0 0.0.255.255 any```

1. De l'appliance SD-WAN aux liens WAN physiques

  • Router# configure terminal - Router(config)# ip access-list extended MPLS_Link - Router(config)# permit ip 192.168.1.10 0.0.0.0 any - Router# configure terminal - Router(config)# ip access-list extended INET_Link - Router(config)# permit ip 192.168.1.11 0.0.0.0 any```

Configuration de la carte d’itinéraire :

Définissez la carte de routage correspondant aux listes d’accès.

Carte d’itinéraire pour le trafic LAN :

Le prochain saut sera l’une des adresses IP virtuelles SD-WAN (VIP).

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

Dans ce cas, nous avons choisi MPLS VIP 192.168.1.10 comme saut suivant et avons également ajouté un contrôle de l’intégrité pour nous assurer que si le SD-WAN échoue, le trafic n’est pas routé vers lui.

- Router\# configure terminal - Router(config)\# route-map server\_side\_VW\_PBR permit 10 - Router(config-route-map)\# match ip address server\_side - Router(config-route-map)\# set ip next-hop verify-availability 192.168.1.10 10 track 123```

La commande ci-dessus configure la carte d'itinéraire pour vérifier l'accessibilité de l'objet suivi. Le processus de suivi offre la possibilité de suivre des objets individuels, tels que l'accessibilité au ping ICMP, la contiguïté de routage, une application exécutée sur un périphérique distant, une route dans la base d'informations de routage (RIB) ou de suivre l'état d'un protocole de ligne d'interface.

**Carte d'itinéraire pour le trafic WAN :**

Le prochain saut sera le routeur MPLS et le pare-feu pour les liens WAN respectifs.

  • Router# configure terminal - Router(config)# route-map WAN_VW_PBR permit 20 - Router(config-route-map)# match ip address MPLS_Link - Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124 - Router# configure terminal - Router(config)# route-map WAN_VW_PBR permit 30 - Router(config-route-map)# match ip address INET_Link - Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125```

Appliquez la carte d’itinéraire à l’interface :

- Router\# configure terminal - Router(config)\# interface FastEthernet0/1 - Router(config-if)\# ip policy route-map server\_side\_VW\_PBR - Router(config-if)\# duplex auto - Router(config-if)\# speed auto - Router\# configure terminal - Router(config)\# interface GigabitEthernet0/1 - Router(config-if)\# ip policy route-map WAN\_VW\_PBR - Router(config-if)\# duplex auto - Router(config-if)\# speed auto```

**Configuration du routeur MPLS (passerelle 10.20.0.1)** :

- Ajouter l'itinéraire sur le routeur MPLS pour atteindre MPLS VWAN VIP sur le centre de données.

- MPLS VIP sous-réseau 192.168.1.0/24 via le prochain saut PBR routeur MPLS link 10.20.0.2

- Router\# configure terminal

- Router(config)\# IP route 192.168.1.0 255.255.255.0 10.20.0.2

**Configuration du pare-feu (passerelle 10.19.0.1)** :

Ajoutez un itinéraire sur le pare-feu pour atteindre INET VWAN VIP sur le centre de données.

INET VIP sous-réseau 192.168.1.0/24 via le prochain routeur PBR hop INET lien 10.19.0.2

  • Router# configure terminal - Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2```