Citrix SD-WAN

Gestion entrante et des sauvegardes

Gestion intrabande

Citrix SD-WAN vous permet de gérer l’appliance SD-WAN de deux façons : la gestion out-of-band et la gestion in-band. La gestion hors bande vous permet de créer une adresse IP de gestion à l’aide d’un port réservé à la gestion, qui transporte uniquement le trafic de gestion. La gestion in-band vous permet d’utiliser les ports de données SD-WAN pour la gestion. Il transporte à la fois le trafic de données et de gestion, sans avoir à configurer un chemin de gestion supplémentaire.

La gestion in-band permet aux adresses IP virtuelles de se connecter à des services de gestion tels que l’interface utilisateur Web et SSH. Vous pouvez activer la gestion In-band sur plusieurs interfaces de confiance qui sont activées pour être utilisées pour les services IP. Vous pouvez accéder à l’interface utilisateur Web et SSH à l’aide de l’adresse IP de gestion et des adresses IP virtuelles in-band.

À partir de la version 11.4.2 de Citrix SD-WAN, il est obligatoire de configurer la gestion in-band sur l’appliance SD-WAN, afin d’établir la connectivité au service Citrix SD-WAN Orchestrator via un port de gestion in-band. Dans le cas contraire, l’appliance perd la connectivité au service Citrix SD-WAN Orchestrator lorsque le port de gestion n’est pas connecté et que l’adresse IP intrabande n’est pas non plus configurée.

Remarque

  • Citrix SD-WAN Center ne prend pas en charge la connectivité à l’appliance haute disponibilité via la gestion in-band.
  • Vous pouvez configurer le type de service comme n’importe quel à l’aide de l’Éditeur de configuration MCN. Le service Citrix SD-WAN Orchestrator n’autorise pas la configuration du type de service comme n’importe quel pour les stratégies NAT de destination.
  • Évitez de désactiver le service lorsque la seule connectivité de gestion est HA in-band. Vous pouvez vous verrouiller de l’appliance si vous désactivez le service.

Pour activer la gestion in-band sur une adresse IP virtuelle :

  1. Dans l’éditeur de configuration, accédez à Sites > Adresses IP virtuelles.
  2. Sélectionnez Inband Mgmt pour les adresses IP virtuelles pour lesquelles vous souhaitez activer la gestion intrabande.

    Remarque :

    Assurez-vous que le type de sécurité de l’interface est approuvé et que l’identité est activée.

    Gestion intrabande

  3. Cliquez sur Appliquer

Pour obtenir une procédure détaillée sur la configuration de l’adresse IP virtuelle, consultez Comment configurer une adresse IP virtuelle.

À partir de la version 11.3.1 de Citrix SD-WAN, la gestion in-band prend en charge les paires d’appliances haute disponibilité. La communication entre les appliances principale et secondaire se fait via les interfaces virtuelles à l’aide de NAT.

Les ports suivants permettent la communication avec les services de gestion sur les appliances HA :

  • HTTPS
    • 443 - Se connecte à la HA active
    • 444 - Redirige vers la HA primaire
    • 445 - Redirige vers la HA secondaire
  • SSH
    • 22 - Se connecte à la HA active
    • 23 - Redirige vers l’HA primaire
    • 24 - Redirige vers l’AP secondaire
  • SNMP
    • 161 - Se connecte à la HA actif
    • 162 - Redirige vers la HA primaire
    • 163 - Redirige vers la HA secondaire

Utilisez les stratégies NAT de destination pour créer des adresses IP qui permettent la connectivité à HA in-band sans avoir besoin d’entrer dans un port.

Par exemple, les adresses IP in-band suivantes sont utilisées pour accéder aux appliances :

  • Appareil actif - 1.0.1.2
  • Appareil principal - 1.0.1.10
  • Appareil secondaire - 1.0.1.11

Créez deux nouvelles adresses IP virtuelles qui se trouvent dans le même réseau que celui de l’adresse IP virtuelle de gestion in-band. Dans cet exemple, 1.0.1.2/24 correspond aux adresses IP virtuelles de gestion in-band et 1.0.1.2/24 est sélectionné comme réseau de sauvegarde. 1.0.1.10 et 1.0.1.11 sont les nouvelles adresses IP virtuelles créées. 1.0.1.10 est utilisé pour accéder au matériel principal et 1.0.1.11 est utilisé pour accéder à l’appliance secondaire.

IP virtuelle HA intrabande

Créez des stratégies NAT de destination. Les six stratégies DNAT redirigent les ports de base pour les services vers le port HA intrabande approprié. Après avoir appliqué la configuration, vous pouvez accéder directement aux appliances principales et secondaires à l’aide des adresses IP internes.

Stratégies NAT de destination HA intrabande

Surveillance de la gestion intrabande

Dans l’exemple précédent, nous avons activé la gestion in-band sur l’IP virtuelle 172.170.10.78. Vous pouvez utiliser cette adresse IP pour accéder à l’interface utilisateur Web et SSH.

Dans l’interface utilisateur Web, accédez à Surveillance > Pare-feu. Vous pouvez voir SSH et l’interface utilisateur Web accessibles à l’aide de l’IP virtuelle sur les ports 22 et 443 respectivement dans la colonne Adresse IP de destination .

Surveillance de la gestion intrabande

Remarque

La gestion intrabande n’est pas prise en charge sur les appliances SD-WAN suivantes :

  • Citrix SD-WAN 1000 SE/PE
  • Citrix SD-WAN 2000 SE/PE
  • Citrix SD-WAN 4000 SE

Provisioning intrabande

La nécessité de déployer des appliances SD-WAN dans des environnements plus simples, comme la maison ou les petites succursales, a considérablement augmenté. La configuration d’un accès de gestion distinct pour des déploiements plus simples est une surcharge supplémentaire. Le déploiement sans contact et la fonction de gestion in-band permettent le provisionnement et la gestion de la configuration via des ports de données désignés. Le déploiement sans contact est désormais pris en charge sur les ports de données désignés et il n’est pas nécessaire d’utiliser un port de gestion distinct pour le déploiement zéro contact. Citrix SD-WAN permet également de basculer le trafic de gestion en toute transparence vers le port de gestion lorsque le port de données tombe en panne et vice versa.

Une appliance expédiée en usine, qui prend en charge le Provisioning in-band, peut être provisionnée en connectant simplement le port de données ou de gestion à Internet. Les appliances prenant en charge le Provisioning in-band disposent de ports spécifiques pour le réseau local et le réseau étendu. L’appliance en état de réinitialisation d’usine a une configuration par défaut qui permet d’établir une connexion avec le service de déploiement zéro contact. Le port LAN agit en tant que serveur DHCP et attribue une IP dynamique au port WAN qui agit en tant que client DHCP. Les liaisons WAN surveillent le service DNS Quad 9 pour déterminer la connectivité WAN.

Remarque

Le Provisioning en bande s’applique uniquement aux plates-formes SD-WAN 110 SE et SD-WAN VPX.

Une fois l’adresse IP obtenue et une connexion établie avec le service de déploiement zéro contact, les packages de configuration sont téléchargés et installés sur l’appliance. Pour plus d’informations sur le déploiement sans intervention via SD-WAN Center, consultez la section Déploiement Zero Touch. Pour plus d’informations sur le déploiement sans intervention via SD-WAN Orchestrator, reportez-vous à la section Déploiement sans intervention.

Remarque : pour le provisionnement jour 0 des appliances SD-WAN via les ports de données, la version logicielle de l’appliance doit être SD-WAN 11.1.0 ou supérieure.

La configuration par défaut d’une appliance en état de réinitialisation d’usine comprend les configurations suivantes :

  • Serveur DHCP sur port LAN
  • Client DHCP sur port WAN
  • Configuration QUAD9 pour DNS
  • L’IP LAN par défaut est 192.168.0.1
  • Licence Grace de 35 jours.

Une fois l’appliance provisionnée, la configuration par défaut est désactivée et remplacée par la configuration reçue du service de déploiement zéro touche. Si une licence d’appliance ou une licence de grâce expire, la configuration par défaut est activée afin de garantir que l’appliance reste connectée au service de déploiement zéro touche et qu’elle reçoit les licences gérées via un déploiement zéro contact.

Configuration par défaut/de secours

La configuration de secours garantit que l’appliance reste connectée au service de déploiement zéro contact en cas de défaillance de liaison, de non-correspondance de configuration ou de non-correspondance logicielle. La configuration de secours est activée par défaut sur les appliances disposant d’un profil de configuration par défaut. Vous pouvez également modifier la configuration de secours en fonction de vos paramètres réseau LAN existants.

Remarque : Après le provisionnement initial de l’appliance, vérifiez que la configuration de secours est activée pour la connectivité du service de déploiement zéro contact.

Si la configuration de retour arrière est désactivée, vous pouvez l’activer en accédant à Configuration > Paramètres de l’appliance > Config par défaut/de secours > cliquez sur Activer.

Activer la configuration de secours

Le tableau suivant fournit les détails des ports WAN et LAN prédésignés pour la configuration de secours sur différentes plates-formes :

Plateforme Ports WAN Ports LAN
110 12 1/1
110-LTE 1/2, LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

À partir de Citrix SD-WAN version 11.3.1, les paramètres du port WAN sont configurables. Les ports WAN peuvent être configurés en tant que liens WAN indépendants à l’aide du client DHCP et surveiller le service DNS Quad9 pour déterminer la connectivité WAN. Vous pouvez configurer les IP WAN ou IP statiques pour les ports WAN en l’absence de DHCP pour utiliser la gestion in-band pour le provisionnement initial.

Remarque

Vous pouvez uniquement configurer les ports Ethernet avec les IP statiques. Les IP statiques ne sont pas configurables avec les ports LTE-1 et LTE-E1. Bien que vous puissiez ajouter les ports LTE-1 et LTE-E1 en tant que WAN, les champs de configuration restent non modifiables.

Lorsque vous ajoutez un port WAN, il est ajouté dans la section Paramètres WAN (Port : 2) avec la case Mode DHCP activée par défaut. Si la case à cocher Mode DHCP est activée, les champs de texte Adresse IP, Adresse IP de passerelle et ID VLAN sont grisés. Désactivez la case à cocher Mode DHCP si vous souhaitez configurer l’adresse IP statique.

Mode DHCP

Par défaut, le champ Adresse IP de suivi WAN est automatiquement rempli avec le 9.9.9.9. Vous pouvez modifier l’adresse au besoin.

Remarque

Si vous activez la case à cocher Serveurs DNS dynamiques, assurez-vous d’ajouter/configurer au moins un port WAN avec le mode DHCP sélectionné.

Pour personnaliser la configuration de secours selon votre réseau LAN :

  1. Accédez à Configuration > Paramètres de l’appliance > Config par défaut/secours.
  2. Modifiez les valeurs des paramètres LAN suivants en fonction des exigences de votre réseau. Il s’agit de la configuration minimale requise pour établir une connexion avec le service de déploiement zéro touche.

    • ID VLAN : ID VLAN auquel le port LAN doit être groupé.
    • Adresse IP : AdresseIP virtuelle affectée au port LAN.
    • DHCP activé : active le port LAN en tant que serveur DHCP. Le serveur DHCP attribue des adresses IP dynamiques aux clients sur le port LAN.
    • Début DHCP et finDHCP : Plage d’adresses IP que DHCP utilise pour attribuer dynamiquement une adresse IP aux clients sur le port LAN.
    • Serveur DNS : adresse IP du serveur DNS principal.
    • Serveur DNS Alt : Adresse IP du serveur DNS secondaire.
    • Accès Internet : Autoriser l’accès Internet à tous les clients LAN sans autre filtrage.

    Activer la configuration de secours

  3. Configurez le mode pour chaque port. Le port peut être un port LAN ou un port WAN ou peut être désactivé. Les ports affichés dépendent du modèle de l’appliance. En outre, définissez le mode de contournement de port sur Fail-to-block ou Fail-to-Wire.

Pour réinitialiser la configuration de secours à la configuration par défaut à tout moment, cliquez sur Réinitialiser.

Remarque

La configuration de secours n’est pas prise en charge sur les appliances SD-WAN suivantes :

  • Citrix SD-WAN 1000 SE/PE
  • Citrix SD-WAN 2000 SE/PE
  • Citrix SD-WAN 4000 SE

Port de gestion ou de données configurable

La gestion in-band permet aux ports de données de transporter à la fois les données et le trafic de gestion, éliminant ainsi le besoin d’un port de gestion dédié. Cela laisse le port de gestion inutilisé sur les appliances bas de gamme, qui ont déjà une faible densité de port. Citrix SD-WAN vous permet de configurer le port de gestion pour qu’il fonctionne en tant que port de données ou port de gestion.

Remarque

Vous pouvez convertir le port de gestion en port de données uniquement sur les plates-formes suivantes :

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

Dans l’éditeur de configuration, utilisez le port de gestion dans votre configuration. Une fois la configuration activée, le port de gestion est converti en port de données.

Remarque

Vous pouvez configurer un port de gestion uniquement lorsque la gestion intrabande est activée sur d’autres interfaces approuvées de l’appliance.

Pour configurer une interface de gestion, dans l’éditeur de configuration, accédez à Sites, sélectionnez un site et cliquez sur Groupes d’interface. L’interface MGMT est disponible pour être configurée. Pour plus d’informations sur la configuration des groupes d’interfaces, consultez la rubrique Procédure de configuration des groupes d’interfaces.

Groupes d'interface

Pour reconfigurer le port de gestion afin d’exécuter la fonctionnalité de gestion, supprimez la configuration. Créez une configuration sans utiliser le port de gestion et activez-la.

Réseau de gestion des sauvegardes

Vous pouvez configurer une adresse IP virtuelle en tant que réseau de gestion de sauvegarde. Il est utilisé comme adresse IP de gestion si le port de gestion n’est pas configuré avec une Gateway par défaut.

Remarque

Si un site possède un service Internet configuré avec un seul domaine de routage, une interface de confiance dont l’identité est activée est sélectionnée comme réseau de gestion de sauvegarde par défaut.

Pour sélectionner une adresse IP virtuelle en tant que réseau de gestion de sauvegarde :

  1. Dans l’éditeur de configuration, accédez à Sites > Adresses IP virtuelles.

  2. Sélectionnez une adresse IP virtuelle en tant que réseau de gestion de sauvegarde.

    Gestion des sauvegardes

  3. Sélectionnez le proxy DNS vers lequel toutes les demandes DNS sur le plan de gestion in-band et de sauvegarde sont transférées.

    Remarque

    Le proxy DNS peut être sélectionné uniquement lorsque la gestion In-band et Backup Management Network sont activés pour une adresse IP virtuelle.

  4. Cliquez sur Apply.

Pour obtenir une procédure détaillée sur la configuration de l’adresse IP virtuelle, consultez Comment configurer l’adresse IP virtuelle

Surveillance de la gestion des sauvegardes

Dans l’exemple précédent, nous avons sélectionné 172.170.10.78 IP virtuelle comme réseau de gestion de sauvegarde. Si l’adresse IP de gestion n’est pas configurée avec une Gateway par défaut, vous pouvez utiliser cette adresse IP pour accéder à l’interface utilisateur Web et SSH.

Dans l’interface utilisateur Web, accédez à Surveillance > Pare-feu. Vous pouvez voir cette adresse IP virtuelle comme adresse IP source pour l’accès SSH et l’accès à l’interface utilisateur Web.

Surveillance de la gestion des sauvegardes

Gestion entrante et des sauvegardes