Citrix SD-WAN

Sessions PPPoE

Le protocole PPPoE (Point-to-Point Protocol over Ethernet) connecte plusieurs utilisateurs d’ordinateurs sur un réseau local Ethernet à un site distant par l’intermédiaire d’appliances locales communes, par exemple, Citrix SD-WAN. PPPoE permet aux utilisateurs de partager une ligne d’abonné numérique (DSL), un modem câble ou une connexion sans fil commune à Internet. PPPoE combine le protocole PPP (Point-to-Point Protocol), couramment utilisé dans les connexions commutées, avec le protocole Ethernet, qui prend en charge plusieurs utilisateurs dans un réseau local. Les informations de protocole PPP sont encapsulées dans une trame Ethernet.

Les appliances Citrix SD-WAN utilisent PPPoE pour fournir un support aux fournisseurs de services Internet (FAI) pour avoir des connexions continues et continues DSL et modem câble, contrairement aux connexions à distance. PPPoE fournit à chaque session de site utilisateur distant pour apprendre les adresses réseau de l’autre via un échange initial appelé « découverte ». Une fois qu’une session est établie entre un utilisateur individuel et le site distant, par exemple un fournisseur d’accès Internet, la session peut être surveillée. Les entreprises utilisent un accès Internet partagé via des lignes DSL via Ethernet et PPPoE.

Citrix SD-WAN agissent en tant que client PPPoE. Il s’authentifie auprès du serveur PPPoE et obtient une adresse IP dynamique, ou utilise une adresse IP statique pour établir des connexions PPPoE.

Les éléments suivants sont nécessaires pour établir des sessions PPPoE réussies :

  • Configurez l’interface réseau virtuelle (VNI).
  • Informations d’identification uniques pour créer une session PPPoE.
  • Configurer la liaison WAN. Chaque VNI ne peut avoir qu’une seule liaison WAN configurée.
  • Configurez l’adresse IP virtuelle. Chaque session obtient une adresse IP unique, dynamique ou statique en fonction de la configuration fournie.
  • Déployez l’appliance en mode pont pour utiliser PPPoE avec une adresse IP statique et configurez l’interface comme étant « approuvée ».
  • L’IP statique est préférable pour avoir une configuration pour forcer l’IP proposée par le serveur ; si elle est différente de l’IP statique configurée, sinon une erreur peut se produire.
  • Déployez l’appliance en tant que périphérique Edge pour utiliser PPPoE avec IP dynamique et configurez l’interface comme « non fiable ».
  • Les protocoles d’authentification pris en charge sont, PAP, CHAP, EAP-MD5, EAP-SRP.
  • Le nombre maximal de sessions multiples dépend du nombre de VNI configurés.
  • Créez plusieurs VNI pour prendre en charge plusieurs sessions PPPoE par groupe d’interface.

    Note :

    Plusieurs VNI sont autorisés à créer avec la même balise VLAN 802.1Q.

Limites pour la configuration PPPoE :

  • Le balisage VLAN 802.1q n’est pas pris en charge.
  • L’authentification EAP-TLS n’est pas prise en charge.
  • Compression d’adresse/de contrôle.
  • Compression dégonflée.
  • Négociation de compression de champ de protocole.
  • Protocole de contrôle de compression.
  • Compresser BSD Compresser.
  • Protocoles IPv6 et IPX.
  • PPP Multi Link.
  • Compression d’en-tête TCP/IP de style Van Jacobson.
  • Option de compression d’ID de connexion dans la compression d’en-tête TCP/IP de style Van Jacobson.
  • PPPoE n’est pas pris en charge sur les interfaces LTE

Dans la version 11.3.1 de Citrix SD-WAN, un en-tête PPPoE supplémentaire de 8 octets est envisagé pour ajuster la taille maximale du segment (MSS) de TCP. L’en-tête PPPoE supplémentaire de 8 octets ajuste le MSS dans les paquets de synchronisation en fonction du MTU.

Pour faciliter la configuration PPPoE, l’option Client DHCP est remplacée par une nouvelle option appelée le Mode Client dans l’interface de gestion Web SD-WAN sous Configuration des sites .

Options PPPoE

Le tableau suivant décrit les options de configuration PPPoE en mode client disponibles sur une appliance MCN et SD-WAN de succursale, respectivement.

MCN

  • Aucune
  • PPPoE statique

Branch

  • Aucune
  • PPPoE statique
  • PPPoE Dynamique
  • DHCP

Configurer l’appliance MCN

  1. Dans l’interface graphique de l’appliance SD-WAN MCN, accédez à Configuration > Réseau étendu virtuel > Éditeur de configuration . Ajouter un site sous l’onglet Basic . Pour plus d’informations, reportez-vous à la configuration du nœud de branche à,configurer MCN.

    Ajouter des sites MCN

  2. Une fois le nouveau site créé, ouvrez l’onglet Sites. Sélectionnez le site nouvellement créé dans la liste déroulante Voir le site.

    Ajouter des sites PPPoE

  3. Sélectionnez Groupes d’interface pour le site MCN. Procédez comme suit :

    • Ajouter des interfaces virtuelles.
    • Configurer les interfaces Ethernet.
    • Configurez le mode de contournement.
    • Choisissez WCCP, si nécessaire.
    • Choisissez Sécurité — Approuvé/Non approuvé.

    Pour l’interface virtuelle :

    • Configurez le nom, la zone de pare-feu, l’ID VALN et le mode client.
    • Un VNI configuré avec plusieurs interfaces ne peut avoir qu’une seule interface utilisée pour la connectivité PPPoE.
    • Si un VNI configuré avec plusieurs interfaces et une connectivité PPPoE est remplacé par une interface différente, la page du moniteur peut être utilisée pour arrêter la session existante et démarrer une nouvelle session, puis une nouvelle session peut être établie sur la nouvelle interface.

    Interface virtuelle PPPoE

  4. Sélectionnez PPPoE Static ou Aucun en fonction de votre configuration réseau requise pour l’option Mode client sur l’appliance MCN. Les autres options suivantes s’affichent.

    Paramètres du MCN PPPoE

Configurez les paramètres PPPoE suivants et cliquez sur Appliquer.

  • Accès au champ Nom du concentrateur (AC).
  • Nom du service.
  • Temps de reconnexion de retenue (la valeur par défaut est de se reconnecter immédiatement, « 0 »)
  • Type d’authentification - (AUTO/PAP/CHAP/EAP).
    • Lorsque l’option Auth est définie sur Auto, l’appliance SD-WAN respecte la demande de protocole d’authentification prise en charge reçue du serveur.
    • Lorsque l’option Auth est définie sur PAP/CHAP/EAP, seuls les protocoles d’authentification spécifiques sont respectés. Si PAP est dans la configuration et que le serveur envoie une demande d’authentification avec CHAP, la demande de connexion est rejetée. Si le serveur ne négocie pas avec PAP, un échec d’authentification se produit.
  • CHAP inclut : CHAP, Microsoft CHAP et Microsoft CHAPV2.
  • EAP prend en charge EAP-MD5.
  • Nom d’utilisateur et mot de passe

    Options de MCN PPPoE

La figure suivante affiche les options de mode client PPPoE pour une appliance SD-WAN de succursale. Si PPPoE Dynamic est sélectionné, le VNI doit être « Non approuvé. »

Options du mode client

Configurer les liens WAN

  1. Dans l’interface graphique SD-WAN, accédez à Sites > Liens WAN. Une seule création de liaison WAN est autorisée par VNI statique ou dynamique PPPoE. La configuration de la liaison WAN varie en fonction de la sélection VNI du Mode Client.

  2. Si le VNI est configuré avec le mode client dynamique PPPoE :

    • Les champs Adresse IP et Adresse IP de la passerelle deviennent inactifs.
    • Le mode chemin virtuel est défini sur « Principal. »
    • L’ARP proxy ne peut pas être configuré.

    Par défaut, la liaison d’adresses MAC de passerelle est sélectionnée.

    Lien WAN PPPoE

  3. Si le VNI est configuré avec le mode client statique PPPoE, configurez l’adresse IP.

    Configuration IP PPPoE

Note :

Si le serveur n’honore pas l’adresse IP statique configurée et offre une adresse IP différente, une erreur se produit. La session PPPoE tente de rétablir la connexion périodiquement, jusqu’à ce que le serveur accepte l’adresse IP configurée.

Surveiller les sessions PPPoE

Vous pouvez surveiller les sessions PPPoE en accédant à la page Surveillance > PPPoE dans l’interface graphique SD-WAN.

La page PPPoE fournit des informations d’état des VNI configurés avec le mode client statique ou dynamique PPPoE. Il vous permet de démarrer ou d’arrêter manuellement les sessions à des fins de dépannage.

  • Si le VNI est prêt, les colonnes IP et IP de la passerelle affichent les valeurs actuelles de la session. Il indique qu’il s’agit de valeurs récemment reçues.
  • Si le VNI est arrêté ou est en état d’échec, les valeurs sont les dernières valeurs reçues.
  • Le pointeur de la souris sur la colonne IP de la passerelle affiche l’adresse MAC du concentrateur d’accès PPPoE à partir duquel la session et l’adresse IP sont reçues.
  • Passez la souris sur la valeur « état » affiche un message, ce qui est plus utile pour un état « Échec ».

    Surveiller PPPoE

La colonne État affiche l’état de la session PPPoE à l’aide de trois codes couleur : vert, rouge, jaune et valeurs. Le tableau suivant décrit les états et les descriptions. Vous pouvez survoler les états pour obtenir des descriptions.

Type de session PPPoE Couleur Description
Configuré Jaune Un VNI est configuré avec PPPoE. C’est un état initial.
Composition du numéro en cours Jaune Après avoir configuré un VNI, l’état de session PPPoE passe à l’état de numérotation en démarrant la découverte PPPoE. Les informations sur les paquets sont capturées.
La Jaune VNI est déplacé de l’état Découverte à l’état Session. En attente de réception IP, si dynamique ou en attente d’accusé de réception du serveur pour l’adresse IP annoncée, si statique.
Prêt vert Les paquets IP sont reçus et le VNI et la liaison WAN associée sont prêts à l’emploi.
Échec rouge La session PPP/PPPoE est terminée. La raison de l’échec peut être due à une configuration incorrecte ou à une erreur fatale. La session tente de se reconnecter après 30 secondes.
Arrêté jaune La session PPP/PPPoE est arrêtée manuellement.
Terminer jaune Etat intermédiaire se terminant en raison d’une raison. Cet état démarre automatiquement après une certaine durée (5 secondes pour une erreur normale ou 30 secondes pour une erreur fatale).
Désactivé jaune Le service SD-WAN est désactivé.

Dépannage des échecs de session PPPoE

Sur la page Surveillance, en cas de problème lors de l’établissement d’une session PPPoE :

  • Le fait de passer le curseur de la souris sur l’état Échec indique la raison de l’échec récent.
  • Pour établir une nouvelle session ou pour dépanner une session PPPoE active, utilisez la page Monitoring > PPPoE et redémarrez la session.
  • Si une session PPPoE est arrêtée manuellement, elle ne peut pas être démarrée tant qu’elle n’a pas été démarrée manuellement et qu’une modification de configuration n’est pas activée ou que le service ait été redémarré.

Une session PPPoE peut échouer pour les raisons suivantes :

  • Lorsque SD-WAN ne parvient pas à s’authentifier auprès de l’homologue en raison d’un nom d’utilisateur/mot de passe incorrect dans la configuration.

  • La négociation PPP échoue - la négociation n’atteint pas le point où au moins un protocole réseau est en cours d’exécution.

  • Problème de mémoire système ou de ressource système.

  • Configuration invalide/incorrecte (nom AC ou nom de service incorrect).

  • Impossible d’ouvrir le port série en raison d’une erreur du système d’exploitation.

  • Aucune réponse reçue pour les paquets d’écho (le lien est incorrect ou le serveur ne répond pas).

  • Il y avait plusieurs sessions de composition infructueuses en une minute.

Après 10 échecs consécutifs, la raison de l’échec est observée.

  • Si l’échec est normal, il redémarre immédiatement.
  • Si l’échec est une erreur, le redémarrage revient pendant 10 secondes.
  • Si l’échec est fatal, le redémarrage revient pendant 30 secondes avant de redémarrer.

Les paquets de requête d’écho LCP sont générés à partir de SD-WAN toutes les 60 secondes et l’échec de réception de 5 réponses d’écho est considéré comme un échec de liaison et il rétablit la session.

Fichier journal PPPoE

Le fichier SDWAN_IP_Learned.log contient des journaux liés à PPPoE.

Pour afficher ou télécharger le fichier SDWAN_IP_Learned.log à partir de l’interface graphique SD-WAN, accédez à Paramètres de l’appliance > Logging/Monitoring > Options du journal . Affichez ou téléchargez le fichier SDWAN_IP_Learned.log .

Journal PPPoE

Sessions PPPoE