Architecture de référence de Citrix SD-WAN

Public

Ce document traite de la structure, de la conception et de l’architecture de Citrix SD-WAN dans un environnement de région unique. Ce document se concentre également sur la solution Citrix SD-WAN en tirant parti de SD-WAN Orchestrator et des considérations de sécurité réseau qui pourraient être impliquées.

Ce document est destiné aux décideurs informatiques, aux administrateurs réseau, aux intégrateurs de solutions, aux partenaires, aux fournisseurs de services cloud et aux fournisseurs de services gérés.

Les rubriques abordées dans cet article sont applicables à la fois Standard et Premium Edition de Citrix SD-WAN. Les sujets abordés ne sont pas applicables à WANOP Edition, qui a des fonctionnalités et des capacités différentes.

Architecture Citrix SD-WAN

Citrix SD-WAN peut être déployé dans plusieurs modes de déploiement et offre la flexibilité nécessaire pour intégrer les appliances, physiques et virtuelles, dans la conception réseau existante du client. Reportez-vous au lien Citrix Tech Zone pour obtenir une vue d’ensemble du SD-WAN. Voici quelques-uns des scénarios de cas d’utilisation implémentés à l’aide d’appliances SD-WAN.

  • SD-WAN en mode Edge
  • SD-WAN en mode Virtual-Inline
  • SD-WAN en mode Inline
  • Déploiement d’une région unique
  • Déploiement multi-régions
  • Haute disponibilité

SD-WAN en mode Edge

Le mode Edge (également appelé mode passerelle) place physiquement l’appliance SD-WAN dans le chemin d’accès (déploiement à deux bras) et nécessite des modifications dans l’infrastructure réseau existante pour insérer le ou les appliances SD-WAN comme passerelle par défaut pour l’ensemble du réseau LAN de cette branche. Un SD-WAN déployé en mode Edge agit comme un périphérique de couche 3 et ne peut pas effectuer de fail-to-wire, toutes les interfaces impliquées seront configurées pour « Fail-to-Block ». En cas de défaillance de l’appliance si elle n’est pas déployée dans High Availability (HA), la passerelle par défaut du site échouera également, provoquant une panne sur ce site jusqu’à ce que la solution matérielle-logicielle soit restaurée.

SDWAN-RA-Image-1

SD-WAN en mode Inline

Mode en ligne, dans ce mode, la solution matérielle-logicielle semble être un pont Ethernet. La plupart des modèles d’appliance incluent une fonction « fail-to-wire » (bypass Ethernet) pour le mode en ligne. En cas de panne d’alimentation, un relais se ferme et les ports d’entrée et de sortie sont connectés électriquement, ce qui permet au signal Ethernet de passer d’un port à l’autre comme si l’appliance n’était pas là. En mode fail-to-wire, la solution matérielle-logicielle ressemble à un câble croisé reliant les deux ports.

Dans le diagramme ci-dessous, les interfaces 1/1 et 1/2 sont des paires de dérivation matérielle et ne parviendront pas à connecter le noyau au routeur MPLS bord. Les interfaces 1/3 et 1/4 sont également des paires de dérivation matérielle et ne parviendront pas à connecter le noyau au pare-feu de bord.

SDWAN-RA-Image-2

SD-WAN en mode virtuel en ligne

Mode virtuel en ligne, dans lequel un routeur transfère le trafic WAN à l’appliance Citrix SD-WAN et le renvoie au routeur. Ce mode est le moins perturbateur et est généralement utilisé pour les datacenters.

SDWAN-RA-Image-3

Exemple d’architecture Citrix SD-WAN

SDWAN-RA-Image-4

Cas d’utilisation de Citrix SD-WAN en focus

Dans ce document, nous nous concentrerons sur un déploiement à Région unique avec 30 succursales afin de démontrer l’architecture dans laquelle le SD-WAN s’intègre le mieux au réseau existant d’un client et offre les avantages. Le contexte d’une seule région fait référence au fait que tous les nœuds de branche terminent leurs chemins virtuels directement sur le nœud de contrôle maître (MCN) plutôt que d’avoir plusieurs régions, ce qui est une exigence lorsque le nombre de nœuds dans le réseau est supérieur au nombre maximal de chemins virtuels pris en charge par une solution matérielle-logicielle unique. Citrix SD-WAN Orchestrator

Citrix SD-WAN Orchestrator est une offre SaaS de gestion multilocataires hébergée dans le cloud, que les partenaires Citrix, les fournisseurs de services partagés et les fournisseurs de services MSP peuvent exploiter pour offrir des services SD-WAN gérés à leurs clients. Le SD-WAN Orchestrator fournit un panneau unique d’interface de gestion de verre pour gérer plusieurs clients de manière centralisée, avec des contrôles d’accès adaptés basés sur les rôles.

Voici quelques-unes des fonctionnalités clés :

  • Multi-location et RBAC — Le service permet aux partenaires Citrix d’intégrer et de gérer plusieurs clients SD-WAN, avec un seul panneau de vitrage et des contrôles d’accès adaptés basés sur les rôles.
  • Configuration centralisée : configuration centralisée des réseaux SD-WAN, avec des workflows guidés, des aides visuelles et des profils.
  • Licences centralisées - Licences pour tous les périphériques SD-WAN connectés.
  • Provisioning zéro contact : intégration transparente du réseau et connexions pour les appliances physiques et virtuelles.
  • Stratégies orientées applications : gestion du trafic basé sur les applications, qualité de service (QoS) et stratégies de pare-feu, configurables globalement ou par site.
  • Synthèse hiérarchique de l’état de santé — Capacité à surveiller de manière centralisée l’état, l’utilisation, la qualité et les performances d’un réseau, avec la possibilité d’effectuer une analyse vers le bas des sites individuels et des connexions associées.
  • Dépannage : journaux de périphériques et d’audit, utilitaires de diagnostic tels que Ping, Traceroute, Capture de paquets pour résoudre les problèmes de connectivité réseau.

Chacun des sites de succursale et DC doit avoir une connectivité Internet via son interface de gestion pour accéder à SD-WAN Orchestrator. Le logiciel Citrix SD-WAN version 10.1.1 est le logiciel minimum pris en charge par SD-WAN Orchestrator.

Déploiement d’une région unique

Un client de détail bien établi XYZ a approché Citrix avec une exigence de conception en vertu de laquelle ils ont 30 succursales de vente au détail, ces succursales transportent actuellement toutes leurs données via leurs circuits MPLS vers le siège social — l’expansion de ces circuits a été considérée comme n’étant pas une solution évolutive et coûteuse prohibitif. Au cours des discussions, il a été décidé qu’une grande partie du trafic généré par les succursales peut être ventilée localement, ce qui inclut les SaaS basés sur le cloud ainsi que le trafic non lié à l’entreprise comme les médias sociaux.

Le client recherchait des conseils et a décidé que le trafic des médias sociaux/non critiques serait complètement bloqué à certains endroits en raison de la disponibilité limitée de la bande passante et de l’absence de plans actuels visant à accroître la capacité du site dans un proche avenir.

En conjonction avec les exigences ci-dessus, le client a l’obligation de séparer en toute sécurité le trafic réseau tout en fournissant le Wi-Fi invité tout en gardant cela isolé du trafic d’entreprise. De plus, le trafic généré en interne sera divisé via des domaines de routage pour fournir une couche supplémentaire de façon à ce que le point de vente soit séparé des terminaux de l’atelier.

Le client a également indiqué qu’il n’est pas actuellement en mesure de déployer une solution SD-WAN sur tous les sites en raison de son budget et de ses ressources, de sorte que la connectivité devra être établie à l’aide des circuits MPLS existants et donc des services intranet.

Client de détail - Architecture réseau existante

Avant de procéder à une configuration SD-WAN, l’administrateur réseau doit toujours comprendre correctement le réseau existant (sous-couche) et comprendre pleinement les limites de celui-ci qui nécessitent la nécessité d’une solution SD-WAN.

Le client dispose actuellement d’un réseau résilient grâce à un datacenter principal et secondaire pour les applications professionnelles. Le centre de données principal dispose de deux circuits MPLS (10 et 20 Mbps) terminés sur le routeur CE, et le centre de données secondaire dispose d’un circuit MPLS (20 Mbps) terminé pour la connectivité WAN. Le centre de données principal basculera vers le centre de données secondaire en cas de sinistre sur le centre de données principal.

Le point de vente (POS) et d’autres applications critiques sont hébergés dans le centre de données. Tous les emplacements des succursales sont configurés pour accéder au point de vente et aux autres applications métier via le lien MPLS vers le centre de données. Actuellement, quelques-uns des emplacements de succursales ont deux liens MPLS pour la redondance, mais ils sont configurés comme Actif / Passif et donc ils n’utilisent pas entièrement la bande passante pour laquelle ils paient. Tous les utilisateurs de succursales accèdent à l’internet via la rupture du datacenter donc tout le trafic doit traverser les circuits MPLS surchargés, pour y remédier, le client envisage d’introduire l’évasion Internet locale dans quelques branches pour fournir une connectivité directe à Internet et SaaS hébergé dans le cloud applications.

SDWAN-RA-Image-5

Avantages de la mise en œuvre de Citrix SD-WAN

  1. Citrix SD-WAN permet l’agrégation de liens WAN, ce qui élimine les temps d’arrêt en cas d’échec de l’un des liens ou de perte de paquets importants.
  2. Amélioration des performances des applications et de la qualité de service (QoS) pour tous les utilisateurs de la branche tout en accédant aux applications métier
  3. Réduit les coûts du réseau étendu en permettant au client d’augmenter ses circuits MPLS avec une connectivité LTE et large bande à bas prix dans les succursales
  4. Amélioration de la connectivité de l’entreprise et des capacités de reprise après sinistre qui maintiennent la connectivité même en cas de panne de liaisons multiples
  5. Mise en réseau simplifiée des succursales en consolidant les fonctions réseau dans une appliance périphérique WAN intégrée et en centralisant la gestion et la définition des stratégies

Client de détail — Conception de réseau Citrix SD-WAN

SDWAN-RA-Image-6

Le diagramme ci-dessus représente la conception de réseau de superposition proposée intégrant Citrix SD-WAN, dans les sections suivantes, nous allons explorer chaque centre de données et les branches pour comprendre la configuration SD-WAN et comment elle forme la connectivité WAN virtuelle en utilisant différents types d’accès - MPLS, Internet et 4 Liens G/LTE.

SD-WAN Orchestrator

Les appliances SD-WAN sont configurées pour se connecter avec SD-WAN Orchestrator basé sur le cloud via Internet à l’aide des interfaces de gestion des périphériques. SD-WAN Orchestrator distribuera la configuration et le logiciel à chaque périphérique SD-WAN en parallèle, il interroge également les données de chaque périphérique SD-WAN à des fins de surveillance et de reporting. Il était nécessaire d’appliquer des règles de pare-feu pour permettre l’accès Internet aux appliances SD-WAN afin qu’elles puissent communiquer avec le service Citrix Cloud SD-WAN Orchestrator.

SDWAN-RA-Image-7

Configuration du centre de données principal

L’appliance SD-WAN du centre de données principal est déployée en utilisant le mode Virtual Inline, parfois appelé le mode PBR (Policy-Based Routing). Il existe deux méthodes permettant de acheminer le trafic vers l’appliance SDWAN

  • Routage basé sur des stratégies
  • Protocole de routage dynamique

La solution Citrix SD-WAN prend en charge les protocoles de routage statique et de routage dynamique.

Les appliances SD-WAN peuvent effectuer la découverte de routage des publicités de routage de couche 3 au sein du réseau client existant pour chacun des protocoles de routage dynamique souhaités (OSPF et BGP), ce qui élimine la nécessité pour les administrateurs SD-WAN de définir statiquement le réseau côté LAN et le réseau côté WAN pour chaque appliance faisant partie du réseau SD-WAN.

Pour les réseaux avec routage Learning activé, Citrix SD-WAN offre plus de contrôle sur les routes SD-WAN qui sont annoncées aux voisins de routage plutôt que de faire la publicité de tous les itinéraires ou non. Les filtres d’exportation sont utilisés pour inclure ou exclure des itinéraires pour la publicité à l’aide des protocoles OSPF et BGP basés sur des critères de correspondance spécifiques. Le filtrage des routes est implémenté sur les routes LAN dans un réseau SD-WAN (Datacenter/Branch) et est annoncé à un réseau non SD-WAN via eBGP. L’administrateur SD-WAN peut configurer 32 filtres d’exportation en fonction de leurs besoins. Les filtres d’exportation sont les filtres utilisés pour hiérarchiser le domaine de routage spécifique ou le domaine de routage par défaut en fonction de l’ordre spécifique.

  • Importer des filtres — (Par défaut : importer aucun)
  • Exporter les filtres — (Par défaut : exporter tous les itinéraires statiques et tunnels)

Le type de route OSPF Export est Type 5 External par défaut, la raison étant que la table de routage SD-WAN est considérée comme externe au protocole OSPF et donc OSPF préférera une route apprise interne (intra-zone), donc les routes annoncées par SD-WAN peuvent ne pas avoir priorité. Lorsque OSPF est utilisé sur le réseau WAN (réseaux MPLS), cela peut être modifié en Type 1 intra-zone. SD-WAN peut désormais annoncer des routes en tant que routes intra-zone (LSA Type 1) pour obtenir la préférence en fonction de son coût d’itinéraire à l’aide de l’algorithme de sélection des chemins OSPF.

Nœud de contrôle maître

Dans le contexte d’un déploiement à une seule région, les appliances du datacenter sont les appliances tête de ligne qui sont définies comme étant le MCN (Master Control Node). MCN nécessite la configuration d’une adresse IP statique. Le nœud de contrôle maître (MCN) est l’appliance virtuelle WAN centrale qui est responsable de la synchronisation de l’heure, des mises à jour de routage et du concentrateur des périphériques de branche. Les périphériques tête de ligne sont généralement déployés dans High Available. Étant donné que le client dispose de deux centres de données pour la reprise après sinistre, le centre de données principal est configuré comme MCN principal (il peut s’agir d’une paire HA) et le centre de données secondaire est configuré comme MCN secondaire (qui peut également être une paire HA).

Mode haute disponibilité

La configuration Citrix SD-WAN High Availability (HA) comporte deux appliances SD-WAN dans le centre de données principal qui servent dans un partenariat actif/de secours, à des fins de redondance. Les deux appliances d’une paire HA doivent être le même modèle d’appliance.

Pour définir la configuration haute disponibilité, l’administrateur SD-WAN a configuré le nom de l’appliance HA avec le mode MCN principal. Il est possible de définir un temps de basculement, en millisecondes, qui spécifie le temps d’attente en cas de défaillance du rythme cardiaque avant d’appeler l’appliance MCN de secours en tant que nœud actif - la valeur par défaut pour le temps de basculement est de 1000ms. En plus de ces paramètres, l’administrateur a sélectionné l’option Réclamation principale pour que le MCN principal réclame le contrôle lors du redémarrage après un événement de basculement. La haute disponibilité dispose d’une configuration supplémentaire pour l’adresse MAC de base partagée qui peut être configurée pour partager les adresses MAC de l’interface entre les appliances d’une paire HA. En cas de basculement, la solution matérielle-logicielle secondaire possède les mêmes adresses MAC virtuelles que la solution matérielle-logicielle principale défaillante. Pour les plates-formes basées sur le cloud, il existe une option supplémentaire pour désactiver l’adresse MAC de base partagée.

Dans la configuration des interfaces IP haute disponibilité, l’administrateur a sélectionné l’interface virtuelle pour la communication par pulsation entre les appliances de la paire HA avec les adresses IP principale et secondaire. Il est important de noter que le basculement se produit lors d’une défaillance de pulsation du principal au secondaire uniquement pour les interfaces surveillées. S’il existe des interfaces qui ne sont pas surveillées pour les défaillances de pulsation sur le dispositif SD-WAN et qu’il y a une panne sur ces interfaces, les solutions matérielles-logicielles ne basculent pas sur incident.

L’adresse IP du tracker externe a été configurée pour que les ARP le routeur amont et qu’il met à jour l’état de l’appliance principale, en cas d’échec de la réponse, le SD-WAN lance le basculement.

SDWAN-RA-Image-8

Chemin virtuel

L’administrateur SD-WAN a créé un tunnel de chemin WAN à travers chaque liaison WAN entre les appliances SD-WAN du centre de données et des succursales en configurant l’IP virtuelle pour représenter le point de terminaison de chaque liaison WAN. Cette configuration permet d’agréger plusieurs liaisons WAN (liens physiques) en un seul chemin virtuel permettant aux paquets de traverser le WAN en utilisant le réseau de superposition SD-WAN au lieu de la sous-couche existante, le chemin virtuel est un tunnel basé sur UDP utilisant le port UDP 4980. L’administrateur réseau veille à ce que les pare-feu en amont, les routeurs, les périphériques IPS et IDS disposent des règles nécessaires pour permettre aux paquets UDP 4980 sur les liaisons WAN d’établir le chemin virtuel entre les périphériques SD-WAN.

Le service Chemin virtuel SD-WAN gère le trafic sur les chemins virtuels. Un chemin virtuel est un lien logique entre deux ou plusieurs liens WAN reliant les sites SD-WAN. Il s’agit du regroupement de différents types d’accès WAN pour fournir des niveaux de service élevés et une communication fiable entre les nœuds SD-WAN. Ceci est accompli en mesurant constamment les conditions du chemin WAN de sous-couche. L’appliance source (envoi) ajoute un en-tête à chaque paquet contenant des informations sur les caractéristiques de liaison actuelles. L’appliance de destination (destinataire) lit ces en-têtes et utilise les données pour comprendre le temps de transit, la congestion, la gigue, la perte de paquets et d’autres informations sur les performances et la santé du chemin.

Les appliances SD-WAN mesurent le chemin de manière unidirectionnelle et sélectionnent le meilleur chemin par paquet. Citrix SD-WAN offre une sélection de chemin basé sur des paquets pour une adaptation rapide à toute modification du réseau. Les appliances SD-WAN peuvent détecter les pannes de chemin après seulement deux ou trois paquets manquants, ce qui permet un basculement sans faille en moins de secondes du trafic applicatif vers le chemin WAN suivant le meilleur chemin. Les appliances SD-WAN recalculent chaque état de liaison WAN en 50 ms environ.

Un chemin virtuel peut être statique ou dynamique entre les branches, mais toutes les branches doivent avoir un chemin statique vers le MCN. Les chemins virtuels dynamiques sont établis directement entre les sites en fonction d’un seuil configuré. Le seuil est basé sur la quantité de trafic qui se produit entre ces sites, les chemins virtuels dynamiques ne sont créés qu’une fois le seuil spécifié atteint. Le chemin virtuel dynamique a le coût de route par défaut de 5 et il y a des limites et des temporisations par défaut :

  • Suppression du chemin virtuel du temps d’attente vers le bas — 1 minute
  • Recréer le temps de maintien du chemin virtuel (m) — 10 minutes
  • Limites de création
    • Temps de l’échantillon — 1 seconde
    • Débit : 600 Kbits/s
    • Débit — 45 pps
  • Limites de retrait
    • Temps de l’échantillon — 2 secondes
    • Débit : 45 kbps
    • Débit — 35 pps

Sécurisation du chemin virtuel

Le chiffrement AES-128 bits est activé pour les chemins virtuels par défaut avec AES-256 et IPSec également disponibles, ceci est pour le chemin virtuel. L’option « activer la rotation des clés de chiffrement » activée par défaut est définie pour garantir la régénération de clé pour chaque chemin virtuel avec le chiffrement activé à l’aide d’une courbe elliptique Diffie -échange de clés Hellman à intervalles de 10-15 minutes et ceci est configurable.

Il existe une clé secrète pour chaque site ; pour chaque chemin virtuel, la configuration réseau génère une clé en combinant les clés secrètes des sites à chaque extrémité du chemin virtuel. L’échange de clés initial qui se produit après la première configuration d’un chemin virtuel dépend de la capacité de chiffrer et de déchiffrer les paquets avec cette clé combinée.

Citrix SD-WAN prend en charge IPsec permettant aux périphériques tiers de terminer les tunnels VPN IPsec du côté LAN ou WAN d’un dispositif Citrix SD-WAN. L’administrateur peut sécuriser les tunnels IPsec de site à site qui se terminent sur une appliance SD-WAN à l’aide d’un binaire cryptographique IPsec certifié FIPS 140-2 de niveau 1. SD-WAN prend également en charge le tunneling IPSec résilient à l’aide d’un mécanisme de tunneling de chemin virtuel différencié.

Configuration du datacenter secondaire

Les appliances SD-WAN du datacenter secondaire sont également déployées en mode PBR (Virtual Inline), les appliances SD-WAN du datacenter secondaire sont configurées en tant que MNC secondaire dans une configuration parallèle HA.

SDWAN-RA-Image-9

Basculement MCN principal vers secondaire

SDWAN-RA-Image-10

Le MCN secondaire surveille en permanence l’intégrité du MCN principal et, si le MCN principal échoue, le MCN secondaire assume le rôle du MCN, le MCN principal à MCN secondaire basculera après 15 secondes après que le MCN principal est inactif. L’option de reprise principale n’est pas disponible pour le MCN secondaire, car la reprise principale se produit automatiquement après la réactivation de la solution matérielle-logicielle principale et à l’expiration du minuteur de seuil.

Backhaul Internet vers le centre de données MCN

Le terme « backhaul » indique le trafic destiné à Internet qui doit être renvoyé à un autre site prédéfini qui a accès à Internet via une liaison WAN. Cela peut être le cas pour les réseaux qui ne permettent pas l’accès à Internet directement dans une succursale en raison de problèmes de sécurité ou en raison des limites du réseau sous-jacent. L’administrateur réseau peut configurer que tout le trafic est réacheminé vers le MCN, qu’il s’agisse de ressources de contrôleur de domaine ou d’accès Internet. Toutefois, d’autres sites de nœuds de branche Citrix SD-WAN peuvent être exploités pour accéder à Internet.

Dans certains environnements, le réacheminement de tout le trafic Internet des sites distants via la zone démilitarisée durcie du centre de données peut être l’approche la plus souhaitée pour fournir un accès Internet aux utilisateurs des succursales. Toutefois, cette approche a ses limites à connaître et la taille appropriée des liaisons WAN sous-couche.

  • Le réacheminement du trafic Internet ajoute une latence à la connectivité Internet et est variable en fonction de la distance du site de succursale pour le datacenter
  • Le réacheminement du trafic Internet consomme de la bande passante sur le chemin virtuel et doit être pris en compte dans le dimensionnement des liaisons WAN
  • Le réacheminement du trafic Internet peut surallouer la liaison WAN Internet au centre de données, en particulier lorsque le mode virtuel en ligne est exploité.

Accès à Citrix Virtual Apps and Desktops pour les utilisateurs de succursales

L’environnement Citrix Virtual Apps and Desktops est hébergé dans les centres de données pour tous les utilisateurs de succursales qui ont besoin d’accéder à l’environnement CVAD via le réseau MPLS qui inclut toutes les fonctionnalités d’expérience utilisateur Citrix HDX telles que l’impression, le multimédia, etc. Citrix SD-WAN permet au client de fournir la meilleure expérience utilisateur aux utilisateurs de succursales tout en accédant à l’environnement Citrix Virtual Apps and Desktops.

Configuration Branch-1

La procédure d’ajout d’un site de branche est la même que la création et la configuration du site MCN à l’aide de SD-WAN Orchestrator. Cependant, certaines étapes de configuration et certains paramètres varient légèrement pour les sites de branche. En outre, une fois que nous avons ajouté un site de succursale initial, pour les sites qui ont le même modèle d’appliance, nous pouvons utiliser la fonctionnalité de clone (duplication) pour rationaliser le processus d’ajout et de configuration de ces sites.

Le dispositif SD-WAN de Branch-1 est déployé en mode en ligne. La configuration fail-to-wire a été appliquée pour relier les liens en cas de panne matérielle ou logicielle, ce qui permettra aux utilisateurs d’accéder toujours aux applications critiques et POS via MPLS.

Comme branch-1 n’a qu’une seule liaison MPLS et qu’il n’y a pas de liaison Internet, tout le trafic Internet doit être réacheminé vers le centre de données, le client a décidé d’utiliser la liaison Internet qui est disponible dans la branch-2 avec une bande passante suffisante pour l’accès Internet branche-1. L’administrateur SD-WAN a vérifié que la latence pour atteindre branch-2 est inférieure à la comparaison avec les datacenters. L’utilisation d’Internet à branch-2 offrirait des performances optimales pour les utilisateurs de branch-1. Cette exigence est réalisée via le déploiement de l’épingle à cheveux. Notez que l’administrateur SD-WAN a activé le transfert WAN vers WAN pour permettre à ce site de servir de proxy pour les sites à sauts multiples.

Déploiement de l’épingle à cheveux

Le déploiement de Hairpin aide un client à implémenter une configuration qui permet à un site d’utiliser la liaison WAN d’un site concentrateur distant pour accéder à Internet, car les services Internet locaux ne sont pas disponibles.

Le but d’un déploiement en épingle à cheveux est de permettre un accès direct aux applications via un lien Internet qui n’est pas local à la succursale ou au site. Les clients auront la possibilité d’utiliser un site distant pour accéder à Internet lorsque des besoins se présentent et peuvent acheminer les flux par le chemin virtuel.

Pour répondre à la demande souhaitée, le client a créé et appliqué la configuration de déploiement en épingle à cheveux pour l’appliance SD-WAN branch-1 afin que les utilisateurs de branch-1 puissent accéder à Internet via la branche 2 et que les mêmes règles et configuration ont été propagées aux succursales à l’aide de l’orchestrateur SD-WAN. Le client s’est également assuré que la succursale 2 dispose de la largeur de bande requise sur la liaison Internet pour accueillir le trafic additionnel de la succursale -1.

Visibilité des applications à l’aide de l’inspection approfondie des paquets (DPI)

Citrix SD-WAN dispose d’une bibliothèque DPI (Deep Packet Inspection) intégrée qui permet la détection et la classification en temps réel des applications. À l’aide du moteur DPI intégré, l’appliance SD-WAN analyse le paquet entrant et le classe comme appartenant à une application ou une famille d’applications.

Grâce à la visibilité des applications basée sur DPI, Citrix SD-WAN peut détecter plus de 4 500 applications et sous-applications. Cette fonctionnalité utilise une variété de méthodes de correspondance de modèles, de comportement de session, de mise en cache DNS et de techniques de classification basées sur les ports pour fournir une visibilité en temps réel de couche 7 dans toutes les applications traversant le réseau étendu, y compris le trafic crypté SSL tel que HTTPS, IMAPS, etc. Citrix SD-WAN offre non seulement une visibilité sur les applications telles que les médias sociaux (Facebook, YouTube et Twitter), O365, Oracle, etc., mais fournit également une visibilité sur la consommation de bande passante des applications, afin de garantir que les applications critiques ne sont pas privées de bande passante.

Étant donné que les utilisateurs de la succursale 1 sont réacheminés vers la succursale 2 pour accéder aux applications via la liaison Internet, le client a décidé de surveiller l’accès au niveau de l’application et son utilisation de la bande passante afin de comprendre le modèle d’accès et de contrôler l’accès uniquement pour les applications ayant besoin de l’entreprise. Le client a créé des politiques d’application qui bloquent un groupe d’applications nouvellement créé appelé « Social Media » qui inclut des groupes comme Facebook, YouTube, Twitter, etc.

Avec cette configuration, les utilisateurs de branch-1 ne pouvaient accéder à Internet que pour les applications critiques et les accès non liés à l’entreprise ont été bloqués sur le SD-WAN de branche -1 lui-même, économisant ainsi une bande passante précieuse.

SDWAN-RA-Image-11

Domaines de routage

Citrix SD-WAN offre la possibilité de segmenter les réseaux pour plus de sécurité et de facilité de gestion à l’aide de Virtual Routing and Forwarding (VRF-Lite). Le client peut séparer le trafic réseau invité du trafic de production des employés, créer des domaines de routage distincts pour segmenter les grands réseaux d’entreprise et segmenter le trafic pour prendre en charge plusieurs réseaux clients. Chaque domaine de routage possède sa propre table de routage et permet la prise en charge des sous-réseaux IP superposés.

Les appliances Citrix SD-WAN implémentent les protocoles de routage OSPF et BGP pour que les domaines de routage contrôlent et segmentent le trafic réseau. Un chemin virtuel peut communiquer à l’aide de tous les domaines de routage, quelle que soit la définition du point d’accès. Ceci est possible parce que l’encapsulation SD-WAN inclut les informations de domaine de routage pour chaque paquet, donc les deux périphériques finaux savent où le paquet appartient en ce qui concerne le domaine de routage. Les domaines de routage sont séparés par une barrière telle que VLAN, il est possible de configurer jusqu’à 255 domaines de routage.

Conformément à l’exigence, l’administrateur a créé deux domaines de routage pour branch-1 qui seront utilisés respectivement pour le trafic d’entreprise et l’accès Wi-Fi invité, Citrix Virtual Apps and Desktops sont acheminés vers le datacenter en utilisant le chemin virtuel et l’accès Wi-Fi invité est routé vers branch-2 en utilisant l’épingle à cheveux configuration.

Outre le domaine de routage, le client souhaitait appliquer une priorité plus élevée aux applications stratégiques sur le chemin virtuel. Dans la section suivante, nous allons discuter de la qualité de service des applications et de la façon dont elle aide à satisfaire les exigences du client.

QOS de l’application

La solution Citrix SD-WAN possède l’un des moteurs QoS les plus sophistiqués du marché. Il dispose de l’ensemble le plus large de capacités pour évaluer non seulement le trafic des applications et le hiérarchiser par rapport à d’autres applications, mais aussi pour comprendre ses besoins en ce qui concerne la qualité du réseau WAN, et pour choisir un chemin réseau basé sur les caractéristiques de qualité du réseau en temps réel.

La fonction de classification des applications permet à l’appliance Citrix SD-WAN d’analyser le trafic entrant et de les classer comme appartenant à une application ou à une famille d’applications. Cette classification nous permet d’améliorer la qualité de service des applications individuelles ou des familles d’applications en créant et en appliquant des règles d’application.

L’administrateur réseau peut filtrer les flux de trafic en fonction des types de correspondance d’application, de famille d’applications ou d’objet d’application et leur appliquer des règles d’application. Les règles d’application sont comme les règles IP (Internet Protocol).

La solution Citrix SD-WAN fournit un ensemble par défaut de classifications d’applications prêtes à l’emploi, de filtrage des règles et de paramètres d’attribution de classe. En utilisant des classes, l’administrateur peut classer un type spécifique de trafic sur le chemin virtuel, puis appliquer des règles pour gérer ce trafic. Le trafic est affecté à une classe spécifique, telle que définie dans la règle.

Le système SD-WAN fournit 17 classes (0-16). Les classes 0-3 sont prédéfinies pour la priorisation QoS Citrix HDX, ces classes sont utilisées pour classer le trafic HDX avec différentes balises de priorité ICA. L’administrateur SD-WAN peut modifier les types de classe et leur partage de bande passante assignée pour obtenir la qualité de service optimale, mais ne peut pas modifier les noms des classes.

Les classes 10-16 sont prédéfinies et sont associées aux types de classes RealTime, Interactive et Bulk. Chaque type peut être configuré pour optimiser la qualité de service pour son type de trafic. Les classes 4-9 peuvent être utilisées pour spécifier des classes définies par l’utilisateur. Les classes sont de l’un des trois types suivants :

Temps réel : applications VoIP ou VoIP, telles que Skype Entreprise ou ICA audio. En général, il fait référence aux applications vocales uniquement qui utilisent de petits paquets UDP, qui sont critiques pour l’entreprise.

Interactive — Il s’agit de la catégorie la plus large et fait référence à toute application ayant un degré élevé d’interaction de l’utilisateur. Certaines de ces applications, par exemple, la vidéoconférence, sont sensibles à la latence et nécessitent une bande passante élevée. D’autres applications comme HTTPS peuvent nécessiter moins de bande passante, mais sont essentielles pour l’entreprise. Les applications interactives sont généralement de nature transactionnelle.

Bulk — Il s’agit de toute application qui n’a pas besoin d’une expérience utilisateur riche, mais plutôt de déplacer des données (par exemple FTP ou sauvegarde/réplication)

Pour répondre à l’exigence réelle du client de hiérarchiser l’accès HDX de la succursale au datacenter, l’administrateur SD-WAN a créé les règles QoS pour l’accès Citrix HDX pour toutes les branches et appliqué la stratégie aux succursales via SD-WAN Orchestrator. Le client a appliqué les paramètres de provisioning qui permettent la distribution bidirectionnelle (LAN vers WAN / WAN vers LAN) de la bande passante pour une liaison WAN entre les différents services associés à cette liaison WAN.

Configuration de la branche 2

L’appliance SD-WAN de la Branch-2 est déployée sur les circuits MPLS et Internet, elle est déployée dans ce qu’on appelle un mode en ligne à haute disponibilité, ce qui signifie que les périphériques de routage et pare-feu existants restent in situ.

Le client a installé 210 appareils LTE qui ont introduit la liaison Internet 4G / LTE pour fournir une sauvegarde de la liaison Internet existante de cette succursale. Grâce à la fonction Deep Packet Inspection, les applications professionnelles et les applications SaaS nécessitant un accès Internet doivent être réparties localement à la succursale et le trafic doit être acheminé via la liaison Internet dédiée ou la liaison 4G/LTE. Tous les accès aux médias sociaux doivent être répartis à la succursale et acheminés via le lien Internet.

À l’aide du service Local Internet Breakout, l’administrateur SD-WAN a configuré les stratégies d’application pour détourner le trafic via la liaison Internet locale de la succursale. Lors de l’utilisation de ce service Internet Breakout, le trafic Internet est directement envoyé à l’Internet public à partir de la branche 2 au lieu d’être redirigé vers le datacenter.

Service de discussion Internet local

Le service Internet est utilisé pour le trafic entre les sites et l’Internet public, le trafic du service Internet n’est pas encapsulé par Citrix SD-WAN et n’a pas les mêmes fonctionnalités que le trafic fourni sur le service de chemin virtuel, y compris QoS.

Cependant, il est important de classer et de tenir compte de ce trafic Internet, le trafic identifié comme service Internet permet au SD-WAN de gérer activement la bande passante des liaisons WAN en limitant le débit du trafic Internet par rapport au trafic acheminé sur le chemin virtuel et l’intranet selon la configuration établie par l’administrateur. En plus des capacités de provisioning de bande passante, le SD-WAN a la capacité supplémentaire d’équilibrer la charge du trafic fourni sur le service Internet en utilisant plusieurs liaisons WAN Internet.

Le contrôle du trafic Internet à l’aide du service Internet sur Citrix SD-WAN peut être configuré dans les modes de déploiement suivants :

  • Routage d’Internet direct à la succursale avec pare-feu intégré
  • Réacheminement direct par Internet à la succursale vers Secure Web Gateway

SDWAN-RA-Image-12

Plateforme de sécurité cloud Zscaler

Pour sécuriser le trafic et appliquer les politiques, les entreprises réacheminement le trafic Internet vers le datacenter de l’entreprise. Le centre de données applique des stratégies de sécurité, filtre le trafic via les appliances de sécurité et achemine le trafic via un fournisseur de services Internet. Un tel réacheminement sur des liaisons MPLS privées est coûteux et consomme des ressources précieuses. Cela entraîne également une latence importante, ce qui crée une mauvaise expérience utilisateur sur le site de la succursale.

Une alternative au réacheminement consiste à ajouter des dispositifs de sécurité à la succursale. Toutefois, le coût et la complexité augmentent à mesure que plusieurs appliances sont installées. En outre, s’il y a un grand nombre de branches, le coût et la gestion deviennent impraticables.

La solution idéale pour appliquer la sécurité sans augmenter les coûts, la complexité ou la latence consiste à acheminer tout le trafic Internet des succursales de l’appliance Citrix SD-WAN vers la plate-forme de sécurité Zscaler Cloud. Le client peut ensuite utiliser une console Zscaler centrale pour créer des stratégies de sécurité granulaires pour les utilisateurs. Les stratégies sont appliquées de manière cohérente, que l’utilisateur se trouve dans le centre de données ou dans un site de succursale. Étant donné que la solution de sécurité Zscaler est basée sur le cloud, le client n’a pas besoin d’ajouter des appliances de sécurité supplémentaires au réseau.

Zscaler Cloud Security Platform agit comme une série de postes de contrôle de sécurité dans plus de 100 centres de données à travers le monde. En redirigeant simplement le trafic Internet du client vers Zscaler, il peut immédiatement sécuriser les banques de données, les succursales et les emplacements distants. Zscaler connecte les utilisateurs et Internet, inspectant chaque paquet de trafic, même s’il est crypté ou compressé. Les appliances Citrix SD-WAN peuvent se connecter à un réseau cloud Zscaler via des tunnels GRE ou IPsec à partir du site du client.

Pour réaliser l’évasion du service Internet et sécuriser le trafic Internet, l’administrateur a configuré le service local d’évasion Internet au niveau de la branche 2 SD-WAN et créé un tunnel IPsec vers le réseau cloud Zscaler. Avec cette configuration, le client a pu détourner le trafic Internet de la branche 2 vers Zscaler dans un tunnel sécurisé, puis vers l’internet public. En atteignant cet objectif, la bande passante de liaison MPLS a été réduite et donc économisée.

Configuration de la branche 3

Le dispositif SD-WAN de la Branch-3 est déployé en mode en ligne avec configuration fail-to-wire. Cette branche dispose d’une liaison Internet et d’une liaison Internet 4G / LTE pour la sauvegarde. Branch-3 est configuré pour réacheminé le trafic Internet vers le MCN du centre de données. Le client a décidé de détourner les quelques zones de trafic Internet comme les nouvelles, les SaaS et d’autres services cloud via la liaison Internet locale pour fournir un accès ininterrompu et optimal aux utilisateurs.

SDWAN-RA-Image-13

Itinéraires d’application

Les utilisateurs des succursales doivent accéder aux applications hébergées dans les datacenters principal ou secondaire, les applications cloud ou les applications SaaS à l’aide du chemin virtuel SD-WAN. La fonction de routage des applications permet de diriger les applications à travers le réseau facilement et à moindre coût. En utilisant cette fonctionnalité lorsqu’un utilisateur Branch-3 tente d’accéder à une application SaaS, le trafic peut être acheminé directement sur Internet, sans avoir à passer par le centre de données.

Citrix SD-WAN définit les routes d’application pour Virtual Path, Internet, Intranet, Local, GRE Tunnel et LAN IPSec Tunnel. Pour effectuer une direction de service pour les applications, il est important d’identifier une application sur le premier paquet lui-même. Initialement, les paquets traversent la route IP une fois que le trafic est classé et que l’application est connue, la route de l’application correspondante est utilisée. La première classification des paquets est obtenue en apprenant les sous-réseaux IP et les ports associés aux objets d’application. Ils sont obtenus à l’aide des résultats de classification historiques du classificateur DPI et des types de correspondance de port IP configurés par l’utilisateur.

À la Branch-3, le client dispose d’un lien Internet et voulait utiliser ce lien pour le trafic d’application qui dirige vers Internet. Le client a configuré le routage de l’application pour l’accès Azure, AWS et Google Cloud afin qu’il puisse accéder à l’aide de la liaison Internet locale.

Liens WAN de veille et de mesure

Citrix SD-WAN active les liaisons de secours, qui peuvent être configurées de telle sorte que le trafic utilisateur ne soit transmis que sur une liaison WAN Internet spécifique lorsque toutes les autres liaisons WAN disponibles sont désactivées.

Les liens de secours permettent de réduire la bande passante sur les liens facturés en fonction de leur utilisation. Avec les liens de secours, l’administrateur peut configurer les liens en tant que lien de dernier recours, ce qui n’autorise pas l’utilisation du lien jusqu’à ce que tous les autres liens non mesurés soient hors service ou dégradés.

Définir Last Resort est généralement activé lorsqu’il y a trois liens WAN vers un site (c’est-à-dire MPLS, Internet haut débit, 4G/LTE) et que l’un des liens WAN est 4G/LTE et peut être trop coûteux pour une entreprise d’autoriser l’utilisation à moins que cela ne soit nécessaire. Le comptage n’est pas activé par défaut et peut être activé sur un lien WAN de n’importe quel type d’accès (Internet public/MPLS privé/Intranet privé).

Le client doit également activer la sauvegarde/veille pour la liaison Internet locale, ce qui est essentiel pour le trafic Internet en nuage. L’administrateur a activé la liaison 4G-LTE comme lien de dernier recours mesuré de sorte que si la liaison Internet locale dédiée saturait ou échoue, le trafic Internet utilisera également la liaison 4G-LTE.

Configuration de la branche 29

L’appliance SD-WAN de la Branch-29 est déployée en mode en ligne avec configuration parallèle HA pour connecter les 2 liaisons MPLS et une liaison 4G-LTE qui est terminée au SD-WAN pour l’accès Internet. Puisque nous avons 3 liens WAN pour cette branche, le client a voulu séparer le chemin virtuel pour le trafic Internet et intranet. Le trafic Internet doit toujours utiliser l’une des liaisons MPLS et en cas de défaillance, la liaison 4G-LTE doit être utilisée et pour le trafic de succursales non SD-WAN Intranet, la deuxième liaison MPLS doit être utilisée. Le client s’est également assuré d’avoir configuré les services intranet dans toutes les succursales pour communiquer avec les succursales autres que SD-WAN.

SDWAN-RA-Image-14

Service Intranet

Le service Intranet désigne les routes accessibles via une liaison WAN privée (MPLS, P2P, VPN, etc.) vers la Branch-30 qui se trouve sur le réseau MPLS mais qui ne possède pas d’appliance SD-WAN. Il est supposé que ces routes doivent être transférées à un certain routeur WAN. Le service Intranet n’est pas activé par défaut, de sorte que l’administrateur SD-WAN a activé ce service et appliqué les routes. Tout trafic correspondant à cette route (sous-réseau) est classé comme intranet pour cette appliance pour être livré à un site qui ne dispose pas de solution SD-WAN.

Service Internet

Le service Internet est comme l’intranet, mais il est utilisé pour définir le trafic circulant vers les liaisons WAN publiques Internet plutôt que vers les liaisons WAN privées. Une différence unique est que le service Internet peut être associé à plusieurs liaisons WAN et réglé sur l’équilibre de charge (par flux) ou être actif/sauvegarde. Les routes Internet par défaut sont créées lorsque le service Internet est activé (il est désactivé par défaut). Tout trafic correspondant à cette route (sous-réseau) est classé comme l’Internet de cette appliance pour être livré aux ressources Internet publiques.

Itinéraires Intranet et Internet

Pour les types de service Intranet et Internet, l’administrateur SD-WAN doit définir un lien SD-WAN pour prendre en charge ces types de services. Ceci est une condition préalable pour toute route définie pour l’un ou l’autre de ces services. Si la liaison WAN n’est pas définie pour prendre en charge le service Intranet, elle sera considérée comme une route locale. Les itinéraires Intranet, Internet et Passthrough ne concernent que le site/appliance pour lequel ils sont configurés.

Lors de la définition d’itinéraires Intranet, Internet ou Passthrough, les considérations de conception suivantes sont les suivantes :

  • Le service doit être défini sur le lien WAN (Intranet/Internet — requis)
  • pertinent pour le périphérique SD-WAN local
  • Les routes intranet peuvent être apprises via le chemin virtuel, mais le sont à un coût plus élevé
  • Avec Internet Service, il y a automatiquement un itinéraire par défaut créé (0.0.0.0/0) attraper tous les itinéraires avec un coût 5 et il est configurable
  • Ne supposez pas que Passthrough fonctionnera, cela devrait être testé/vérifié, également tester avec Virtual Path down/désactivé pour vérifier le comportement souhaité
  • Les tables de routage sont statiques, sauf si la fonction d’apprentissage de route est activée

Conformément à cette exigence, l’administrateur SD-WAN a créé le service intranet avec l’un des liens MPLS pour établir la communication avec la succursale 30. Pour répondre à l’exigence du service Internet, l’administrateur a créé le chemin virtuel avec le deuxième lien MPLS pour communiquer avec toutes les autres succursales.

Configuration de la branche 30

Branch-30 est une nouvelle branche connectée au centre de données et à d’autres succursales via le réseau MPLS sans SD-WAN installé dans la succursale. Les services intranet configurés dans le centre de données et d’autres branches ont les itinéraires transférés à certains routeurs. Tout trafic correspondant à cette route est classé comme intranet et livré à une succursale 30 qui ne dispose pas de solution SD-WAN. De cette façon, les utilisateurs de la succursale peuvent se connecter au centre de données pour accéder aux applications métier et POS.

SDWAN-RA-Image-15

Sources

L’objectif de cette architecture de référence est de vous aider à planifier votre propre implémentation. Pour faciliter cette tâche, nous aimerions vous fournir des diagrammes source que vous pouvez adapter dans vos propres conceptions détaillées et guides de mise en œuvre : diagrammes source.

Références

Citrix SD-WAN Orchestrator

Citrix SD-WAN comment faire des articles

Meilleures pratiques pour SD-WAN

Citrix SD-WAN pour Citrix Workspace

Modes de déploiement

Tunnel GRE pour un site de succursale

Backhauling d’Internet

Mesure et liens WAN de secours

Classes et règles d’application

Files d’attente MPLS

Routage dynamique

Configurer le protocole de redondance du routeur virtuel

Tunnel IPsec entre le SD-WAN et les périphériques tiers

Intégration de Zscaler à l’aide des tunnels GRE et IPsec

Architecture de référence de Citrix SD-WAN