Guide de PDC Citrix SD-WAN pour les bureaux à domicile

Aperçu

Ce guide de validation de concept (PoC) est conçu pour vous aider à déployer rapidement un environnement Citrix SD-WAN Home Office à l’aide du service Citrix SD-WAN Orchestrator comme outil de gestion. Le Citrix SD-WAN Home Office Design Decisions Guide détaille les décisions de topologie WAN pour intégrer Citrix SD-WAN dans un bureau à domicile.

Examiner le cas d’utilisation suivant pour l’option FAI + LTE, qui inclut une liaison WAN principale fournie par un FAI. Il est complété par un service LTE, pour examiner les considérations relatives à la mise en œuvre.

Topologie du bureau à domicile FAI + LTE

Dans ce cas d’utilisation (ISP+LTE), un administrateur doit d’abord vérifier que le réseau Home Office cible répond aux conditions préalables suivantes :

  • Avoir mis en place et exécuter une connexion Internet existante fournie par leur fournisseur de services Internet local.
  • Le fournisseur de services Internet a fourni un routeur géré qui dessert le « réseau domestique » existant. Le routeur ISP doit disposer d’un port Ethernet disponible. Il fonctionne également en tant que serveur DHCP pour allouer des informations d’adresse IP et DNS à l’hôte client qui le demande via Ethernet. L’interface 1/2 sur le périphérique SD-WAN est activée en tant que client DHCP.
  • Une carte SIM LTE activée (achetée directement par l’utilisateur final ou fournie par l’administrateur ou un fournisseur tiers).

La confirmation que les conditions préalables sont disponibles, avant d’engager l’utilisateur dans toute activité sur site, permet d’assurer un déploiement rapide et rationalisé qui peut s’étendre à des milliers de terminaux.

Il est essentiel de sélectionner la plate-forme SD-WAN appropriée qui prend en charge la conception souhaitée pour le bureau à domicile. Par exemple, si la conception indique qu’un service LTE est utilisé comme liaison WAN, la sélection d’une plate-forme SD-WAN dotée d’un modem LTE intégré (par exemple 110-LTE-SE, 210-LTE-SE) permettrait de réduire les composants sur site et d’atténuer la complexité du programme d’installation.

Les options de conception (Single ISP, Dual ISP, ISP+LTE, ISP+LTE en veille, Dual LTE) détaillées plus haut dans cette documentation sont entièrement prises en charge avec les plates-formes Citrix 110-LTE-SE et 210-LTE-SE. Chaque plate-forme SD-WAN a des spécifications matérielles légèrement différentes, ce qui permet des variations dans la conception prise en charge.

Par exemple, lorsque vous utilisez une plate-forme 210 Standard Edition, le système est équipé d’un matériel de contournement intégré qui permet de déployer le SD-WAN en mode Inline. En cas de panne matérielle SD-WAN, le travailleur à domicile peut avoir une connectivité Internet continue avec le SD-WAN échouant à la sous-couche, ou le réseau domestique via les interfaces de contournement.

Toutes les éditions de Citrix SD-WAN interagissent avec Citrix Secure Internet Access pour fournir aux employés à domicile un accès sécurisé au Web et aux applications SaaS. Alternativement, en sélectionnant Advanced Edition (prise en charge sur les plates-formes 210, 410 et 1100), le système est équipé de fonctionnalités de sécurité de périphérie (telles que IDS/IPS, filtrage Web, protection contre les logiciels malveillants). Ces fonctionnalités peuvent aider à sécuriser le « Réseau de travail à distance » et activer la répartition locale pour certains trafic Internet.

Une autre option consisterait à utiliser une plate-forme 1100-SE avec des interfaces PoE+ disponibles, permettant l’utilisation d’appareils alimentés par Ethernet, comme un téléphone VoIP Desk. Toutefois, l’utilisation d’un injecteur PoE peut permettre l’utilisation de périphériques SD-WAN inférieurs, comme un 110-SE, pour les cas d’utilisation de Home Office nécessitant PoE. Outre les interfaces de contournement, les plates-formes 1100 peuvent héberger un VNF tiers tel qu’un pare-feu Palo Alto ou Checkpoint.

D’autres fonctionnalités méritent d’être mentionnées pour aider à restreindre l’accent sur la bonne plate-forme à sélectionner dans la conception du réseau des travailleurs à domicile, notamment la plate-forme 110 qui est livrée Wi-Fi-Ready. Après une mise à niveau logicielle vers R11.3.x, il peut fonctionner comme un point d’accès sans fil pour le « Réseau de travail à distance ». (Cette fonctionnalité n’est disponible que pour la plate-forme 110-LTE-Wi-Fi-SE). La plate-forme 110 prend également en charge un modem USB LTE externe (disponible également pour les plates-formes 210 et 1100). Il peut être utilisé pour prendre en charge le cas d’utilisation Dual LTE, ou ajouter une troisième option WAN pour le cas d’utilisation ISP+LTE.

Utilisation du service Citrix SD-WAN Orchestrator

Les administrateurs SD-WAN gèrent de manière centralisée et limitent leur cas d’utilisation de déploiement pris en charge via les profils et modèles de site de service Citrix SD-WAN Orchestrator. En limitant les scénarios de déploiement Home Office, il est facile de gérer les déploiements à grande échelle et de modifier rapidement plusieurs sites afin de les adapter aux modifications futures. Il existe d’autres considérations administratives à prendre en compte lors de la création du site Home Office dans le service Citrix SD-WAN Orchestrator, par exemple :

  • Quelle méthode de déploiement Zero Touch est utilisée pour provisionner les périphériques distants ?
  • Une fois la solution matérielle-logicielle provisionnée, comment le périphérique poursuit-il la communication avec le service Citrix SD-WAN Orchestrator pour d’autres mises à jour de configuration et collecte de données ?
  • Comment pouvons-nous tenir compte de la connectivité continue aux services cloud dans différents scénarios de défaillance ?
  • Si le déploiement Home Office utilise des services de livraison WAN, par exemple Citrix Secure Internet Access ou Citrix Cloud Direct, un domaine de routage unique doit être utilisé. Plusieurs domaines de routage n’est actuellement pas pris en charge pour une utilisation en tandem avec les services de livraison WAN.

Nous mettons en évidence certains d’entre eux au fur et à mesure de la construction de la configuration.

Créer un profil de site

Pour configurer les profils de site dans Orchestrator, un administrateur peut effectuer les opérations suivantes : (Pour plus d’informations, reportez-vous à Profils Citrix Orchestrator).

  1. Créer un nouveau profil de site (en sélectionnant Tous les sites, puis en accédant à Configuration > Profils et modèles > Profils)
  2. Remplir les détails du site :
    • Nom du profil du site : HomeOffice (110_ISP+LTE)
    • Modèle de l’appareil : 110
    • Édition de l’appareil : SE
    • Sous-modèle : LTE-WiFi
    • Rôle du site : Branche Détails du site
  3. Ensuite, configurez l’utilisation des Interfaces pour qu’elle corresponde à la conception souhaitée, ajoutez chaque interface requise : ISP + LTE
  • Ajouter une interface 1/1 pour LAN :
    • Mode de déploiement : Edge (passerelle)
    • Type d’interface : LAN
    • Sécurité : approuvée
    • Sélectionnez Interface : 1/1 et SSID1 (cette interface LAN définit les paramètres de connexion physique des périphériques d’hôte final en plus des périphériques connectés via le SSID Wi-Fi)
    • ID DE VLAN : 0
    • Domaine de routage : HomeOffice (Le domaine de routage unique (Default_routingDomain) peut être utilisé pour les déploiements SD-WAN qui connectent uniquement les bureaux à domicile et ne se connectent pas à un déploiement de site SD-WAN existant. Toutefois, dans le scénario décrit précédemment dans la documentation, pour ajouter des bureaux à domicile à un déploiement existant, un nouveau domaine de routage peut être introduit pour séparer et limiter l’accès à la connectivité de Home Office dans le réseau du centre de données.) * Zone de pare-feu : default_lan_zone Interfaces LAN
  • Ajouter une interface 1/2 pour WAN :
    • Mode de déploiement : Edge (passerelle)
    • Type d’interface : WAN
    • Sécurité : Non approuvé
    • Sélectionner l’interface : 1/2
    • Client DHCP : activé (On s’attend à ce que cette interface SD-WAN soit câblée au réseau domestique existant des bureaux à domicile, où un routeur domestique est configuré en tant que serveur DHCP, et qu’il attribue une adresse IP à l’interface 1/2 fonctionnant en tant que client DHCP.) * ID VLAN : 0 * Domaine de routage :Default_routingDomain * Zone de pare-feu : Zone Internet_Zone non approuvée Interfaces WAN]
  • Ajouter l’interface LTE-1 pour WAN :
    • Mode de déploiement : Edge (passerelle)
    • Type d’interface : WAN
    • Sécurité : Non approuvé
    • Sélectionner l’interface : LTE-1
    • ID DE VLAN : 0
    • Client DHCP : activé
    • Domaine de routage : Default_RoutingDomain
    • Zone de pare-feu : Internet_Zone non fiable Interface LTE
  • Ajouter Interface 1/4-MGMT à des fins d’administration des périphériques :
    • Mode de déploiement : Edge (passerelle)
    • Type d’interface : LAN
    • Sécurité : approuvée
    • Sélectionner l’interface : 1/4-MGMT
    • ID DE VLAN : 0
    • Domaine de routage : Default_RoutingDomain (La configuration de cette interface de gestion est requise et a deux objectifs :
      1. Permet une connectivité continue aux services cloud une fois que l’appareil a été provisionné via un déploiement zéro contact.
      2. Sert de méthode permettant à un administrateur d’accéder à distance à l’interface Web locale du périphérique à des fins de dépannage/surveillance.

      En supposant que l’administrateur se trouve dans le réseau du centre de données qui se connecte au SD-WAN sur le Default_RoutingDomain, l’interface Web du périphérique SD-WAN distant est accessible avec la fonctionnalité de gestion in-band activée sur cette interface. La connectivité à l’interface Mgmt. par l’administrateur distant s’effectue via le chemin virtuel. En outre, la connectivité aux services cloud, comme le service Citrix SD-WAN Orchestrator, s’effectue par le biais d’une mise en service Internet locale (Service Internet) activée pour le Default_RoutingDomain. Si vous le souhaitez, la connectivité Internet peut également être réacheminée par le centre de données, et découpée là pour l’accès à Internet. Le port de gestion (1/4) n’a pas besoin d’être câblé pour l’interface Web, et les fonctions d’interrogation des données pour fonctionner sur n’importe quelle interface de gestion in-band activée.) Gestion * Zone de pare-feu : default_lan_zone Gestion de l'interface

Les interfaces répondant aux exigences de configuration suivantes peuvent être utilisées pour la gestion in-band :

  • La sécurité doit être définie sur Approuvé
  • Le type d’interface doit être LAN
  • IP sélectionnée non définie sur Private
  • Identité de l’adresse IP définie sur true

4. Ensuite, créez de nouvelles liaisons WAN pour correspondre à la conception souhaitée :

  • Ajouter WAN Link #1 à l’aide de l’interface 1/2 :
    • Type d’accès : Internet public
    • Nom du fournisseur de services Internet (personnalisé) : FAI
    • Catégorie Internet : Internet
    • Nom du lien : Internet-ISP-1
    • Apprentissage automatique de l’adresse IP publique : ACTIVÉ (Les sites notés MCN/RCN apprennent dynamiquement l’adresse IP publique annoncée de chaque site de succursale en utilisant cette fonctionnalité, car les nœuds de branche tentent l’établissement du chemin avec leur MCN/RCN. Lors de l’utilisation des transports Internet publics, seules les adresses IP publiques statiques sont requises pour les sites notés MCN/RCN.) * Vitesse de sortie : 50 Mbps * Vitesse d’entrée : 50 Mbps (La vitesse de téléchargement et de téléchargement définie sur la liaison WAN #1 dépend de la disponibilité de la bande passante de chaque réseau domestique. Il est recommandé de rester sous ces limites de bande passante et de permettre à d’autres membres du ménage partageant ce lien d’utiliser une certaine bande passante. La priorisation du trafic de tunnel SD-WAN (UDP 4980) sur le routeur ISP permet de s’assurer que le SD-WAN ne supporte pas l’utilisation de cette liaison en cas de contention pour la liaison. Si nécessaire, plusieurs profils de site, à des vitesses différentes de liaisons WAN, peuvent être configurés pour tenir compte de certaines variations dans les conditions Internet locales du bureau à domicile.) * Interface virtuelle : VIF-2-WAN-1 * Mode Chemin virtuel : primaire Link Wan 1
  • Ajouter un lien WAN #2 à l’aide de l’interface LTE-1 :
    • Type d’accès : Internet public
    • Nom du fournisseur de services Internet (personnalisé) : LTESP
    • Catégorie Internet : LTE
    • Nom du lien : LTE-LTE-SP-2
    • Apprentissage automatique de l’adresse IP publique : ACTIVÉ
    • Vitesse de sortie : 20 Mbps
    • Vitesse d’entrée : 20 Mbps (La vitesse de téléchargement et de téléchargement définie sur la liaison WAN #2 dépend du fournisseur LTE, mais un administrateur peut limiter l’utilisation en définissant des vitesses de bande passante plus faibles. Vous pouvez également définir les taux prévus et configurer des fonctionnalités telles que la détection de bande passante adaptative.) * Interface virtuelle : VIF-3-WAN-2 * Mode chemin virtuel : Primaire * Active MTU détecte : désactivé * Activer la mesure : désactivé * Mode veille : Last-Resort (liens WAN activés pour Veille ont deux modes de fonctionnement : Last-Resort ou À la demande. Les liens de secours de dernière station ne deviennent actifs que lorsque toutes les liaisons non de secours ne sont pas disponibles ou désactivées. Les liaisons de secours à la demande deviennent actives dans des circonstances similaires, mais peuvent également le devenir lorsque la bande passante disponible du chemin virtuel est supérieure à la limite de bande passante à la demande configurée. Dans les deux modes de veille, il y a toujours une utilisation des données sur la liaison lorsqu’elle n’est pas active. La quantité d’utilisation des données peut être contrôlée avec la fréquence des intervalles de pulsation cardiaque. À titre d’exemple, dans un état de liaison inactif, une liaison WAN de secours peut consommer 150 Mo à 270 Mo de données avec un intervalle de pulsation de 1 seconde configuré uniquement pour le trafic de la sonde.) * Intervalle Heartbeat actif : 1 * Intervalle des battements cardiaques en veille : 1 Wan Link 2

Création de sites par lots

Une fois le profil de site créé, il peut être utilisé pour créer plusieurs sites de bureau à domicile par lot. Pour ajouter de nouveaux sites dans Batch à l’aide du service Citrix SD-WAN Orchestrator, un administrateur peut effectuer les opérations suivantes : (Pour plus d’informations, reportez-vous à Configuration réseau d’Orchestrator)

  1. Ajouter des sites par lots (en sélectionnant Tous les sites, puis en accédant à Configuration > Accueil Configuration réseau, puis en cliquant sur le bouton Ajouter des sites par lots)
  2. Saisissez le nombre de sites à créer par lot et cliquez sur Suivant
  3. Sélectionnez le profil de site à associer globalement aux nouveaux sites et saisissez les attributs uniques pour identifier chaque site (par exemple Nom du site, Adresse du site) Site de création par lots

Paramètres de base pour la configuration du site

Avec les sites créés et chaque référence au profil de site souhaité, le fait de cliquer sur chaque site créé permet une configuration supplémentaire permettant d’entrer des attributs uniques spécifiques à chaque site.

  1. Détails du site : Les sites ici peuvent être associés à une région spécifique lorsqu’ils sont déployés dans une architecture multi-région, ou les laisser dans la région par défaut s’ils sont déployés dans le déploiement par défaut d’une seule région. Détails du site par lots
  2. Détails de l’appareil : ici, un numéro de série unique, en particulier le numéro de série de l’appareil expédié sur le site Office, est renseigné. Le numéro de série permet d’authentifier la solution matérielle-logicielle lorsqu’elle appelle le domicile et récupère cette configuration de site spécifique au cours du processus de déploiement zéro contact. Détails du périphérique par lots
  3. Détails sur le Wi-Fi
    • i. Activer le Wi-Fi. Configurez les paramètres Radio et SSID souhaités pour ce site de bureau à domicile. Détails sur le Wi-Fi
  4. Interfaces :
    • i. Modifier l’interface 1/1 LAN. Chaque site doit être défini de manière unique avec un « Réseau de travail à distance ». Sélectionnez l’interface LAN et entrez le sous-réseau à allouer pour ce site distant spécifique. L’adresse IP principale saisie sert de passerelle LAN VIP (par exemple 172.17.35.1/29) pour ce réseau de travail distant. Interfaces par lots * ii. Modifier l’interface 1/2 WAN. Vérifiez que l’interface WAN est activée pour le client DHCP, afin d’obtenir automatiquement une adresse IP à partir du « Réseau domestique existant ». L’avantage de l’utilisation de cette fonctionnalité est que vous n’avez pas besoin de connaître spécifiquement les sous-réseaux existants des réseaux domestiques, mais il existe des dépendances sur la sous-couche pour avoir un port Ethernet 10/100/1000 disponible sur votre routeur/modem domestique existant et vous assurer que tout périphérique connecté à celui-ci est émis une adresse IP, un DNS et Connectivité Internet. Lot WAN 12 * iii. Modifier l’interface LTE-1 WAN. Vérifiez que l’interface WAN LTE est activée pour le client DHCP, afin d’obtenir automatiquement une adresse IP du réseau du fournisseur LTE. Batch LTE * iv. Modifier l’interface 1/4 -MGMT LAN. Chaque site doit être défini de manière unique avec une adresse IP de gestion, qui sert à assurer la connectivité continue aux services cloud et l’accès à l’interface Web par l’administrateur distant via le chemin virtuel. Entrez le sous-réseau à allouer pour ce site distant spécifique. L’adresse IP principale saisie sert d’ IP de gestion (par exemple 172.17.36.1/32) pour ce réseau de travail distant. Gestion des interfaces par lots Sélectionnez InBand Management IP (par exemple 172.17.36.1) dans le menu déroulant. Pour plus d’informations, consultez gestion in-band. IP de gestion
  5. Liens WAN :
    • i. Modifier le lien WAN #1, par exemple Internet-ISP-1, qui utilise l’interface 1/2 : Dans cet exemple de scénario, WAN Link #1 utilise un « Réseau domestique existant » qui peut être une ressource partagée avec d’autres utilisateurs de la maison (qui sont considérés comme des non-travailleurs). Dans ce cas, il n’y a aucun moyen de garantir au SD-WAN les vitesses configurées pour les tarifs d’évacuation et d’entrée à moins qu’un service Internet dédié ne soit utilisé pour le travailleur à domicile. Sur une ligne partagée, vous pouvez activer la fonction de détection de bande passante adaptative sur cette liaison WAN, qui est une fonctionnalité conçue pour les liaisons WAN qui fournissent une bande passante variable. Lorsque le périphérique détecte une perte sur ce chemin disponible, en raison du trafic en cours, le périphérique utilise la liaison WAN à un débit de bande passante réduit d’abord, et seulement lorsque la bande passante disponible est inférieure au pourcentage de bande passante minimale acceptable configuré que le périphérique marque le chemin comme BAD et essaie de éviter de l’utiliser (c’est-à-dire utiliser tout autre lien disponible en bon état). Vous ne serez pas tenu d’activer la détection de bande passante adaptative si la source Internet n’est pas partagée et peut fonctionner aux vitesses configurées. Liaison WAN par lot 1 Batch WAN Link 1 Avancé * ii. Modifier le lien WAN #2 (par exemple LTE-ATT-2) qui utilise l’interface LTE-1 : WAN Link #2 utilise un réseau LTE, qui est variable dans le débit de bande passante. Activez la fonction de détection de bande passante adaptative sur cette liaison WAN, conçue pour les liaisons WAN offrant une bande passante variable. Lorsque le périphérique détecte une perte sur ce chemin disponible, ce qui est typique pour les transports sans fil, le périphérique utilise la liaison WAN à un débit de bande passante réduit d’abord, et seulement lorsque la bande passante disponible est inférieure au pourcentage de bande passante minimale acceptableconfiguré, le périphérique marque le chemin comme BAD et essaie d’éviter de l’utiliser (c’est-à-dire utiliser tout autre lien disponible en bon état). Liaison WAN par lot 2 Batch WAN Link 2 Avancé
  6. Itinéraires : Généralement, la définition d’itinéraires statiques n’est pas nécessaire pour les bureaux à domicile. Si nécessaire, vous configurez ici tous les sous-réseaux définis statiquement et les faites pointer sur une IP de passerelle LAN, de sorte que le sous-réseau défini soit annoncé sur les périphériques SD-WAN homologues.
  7. Résumé : Le détail récapitulatif du site peut être examiné et sauvegardé. Si la configuration du site n’est pas enregistrée, les entrées sont perdues si vous naviguez loin des paramètres de base du site.

Configuration avancée du site

Une fois la configuration du site de base terminée, nous devons nous assurer que certains éléments de configuration supplémentaires sont en place pour que les périphériques locaux puissent continuer à accéder à une connectivité après l’installation et l’activation de l’installation via le déploiement zéro contact. Cela peut être fait lors de la configuration globale, avec Tous les sites sélectionnés, sous Configuration > Services de livraison > Services et bande passante. Le service Internet peut être activé en allouant un pourcentage de bande passante pour un type de liaison WAN. En allouant un pourcentage (par exemple 30 %) pour les types « Lien Internet », cela configure automatiquement la répartition Internet pour tous les sites configurés avec ce type d’accès de liaison WAN. Service et bande passante En outre, lorsque la configuration du site pour ce type d’accès ( Internet public, par exemple) est configurée et que le paramètre de sécurité de l’interface associée est défini sur Non approuvé, le système crée automatiquement une stratégie NAT dynamique pour permettre le découpage Internet local pour le site.

Page d'accueil 110 LTE WAN

Page d'accueil 110 LTE WAN

Si l’interface est configurée avec le paramètre de sécurité approuvé, la stratégie NAT dynamique doit être créée manuellement à partir de la page Configuration > Paramètres avancés > NAT du site pour le domaine de routage souhaité. NAT avancé Si le périphérique local doit servir de serveur DHCP pour le sous-réseau local du personnel à domicile, la fonctionnalité peut être activée sous Configuration > Paramètres avancés > DHCP. DCHP avancé

Déployer la configuration

Les détails spécifiques au site étant complets, l’administrateur SD-WAN peut effectuer la configuration via l’outil de gestion centralisé. Le déploiement de la dernière configuration sert à deux fins : 1) les périphériques SD-WAN existants (par exemple MCN) sont préparés pour permettre la tentative de connexion Virtual Path entrante à partir du nouveau périphérique distant et 2) les packages de périphériques locaux sont mis à disposition sur le service Cloud de déploiement zéro contact pour le distribuer aux périphériques locaux qui appellent à domicile via le processus de déploiement zéro contact.

Pour déployer la configuration, assurez-vous que Tous les sites est sélectionné, puis accédez à la page d’accueil Configuration > Configuration réseau. Sélectionnez le logiciel souhaité (11.1.1.39, ou supérieur est requis si vous utilisez la plate-forme 110). Cliquez ensuite sur Déployer Config/Software pour mettre en scène la configuration et les packages logiciels.

Déployer

Le suivi de déploiement nécessite que la configuration soit Staged et Activée. L’activation se termine pour les sites déjà connectés, ce qui signifie que ces périphériques SD-WAN sont prêts et capables d’accepter les tentatives de connexion Virtual Path depuis le nouveau site. Sites qui ne sont pas connectés, attendez dans l’état En attente de transit jusqu’à ce que le programme d’installation sur site exécute le flux de travail de déploiement zéro contact.

Étape

Une fois la configuration poussée vers le réseau, l’étape suivante consiste à effectuer une activité sur site pour le programme d’installation distant consiste à mettre le périphérique en place à l’aide de l’une des méthodes de déploiement zéro touch décrites précédemment (1. Déploiement sans contact via l’interface WAN (Citrix SD-WAN 110-SE), 2. Déploiement sans contact via l’interface LTE (Citrix SD-WAN 110-LTE-SE)). Avec la gestion in-band en place et la connectivité Internet appropriée configurée par le biais d’une sortie locale ou d’un backhaul via le centre de données, l’activation se termine complètement après quelques minutes à partir du moment où le programme d’installation initie le processus de déploiement zéro contact. À ce stade, le travailleur à domicile peut connecter son ordinateur portable/PC au réseau local et commencer à travailler de la maison aux ressources signalées par l’administrateur.

Activer

Endpoint Management

Pour un administrateur SD-WAN, la gestion à distance des périphériques SD-WAN répartis dans différentes régions géographiques est essentielle au succès du déploiement de Home Office. L’accès à distance aux périphériques SD-WAN via l’outil de gestion central est important pour la configuration, la surveillance et le dépannage.

Gestion in-band

Les fonctionnalités de gestion in-band permettent aux interfaces de données de transporter le trafic de données et de gestion sans avoir à configurer une interface de gestion hors bande. Les fonctionnalités de gestion in-band sont exploitées pour faciliter la procédure de déploiement Zero Touch, éliminant ainsi le besoin pour les installateurs sur site de configurer un accès de gestion distinct, voire d’avoir à accéder aux interfaces Web locales. Le provisionnement in-band a récemment été introduit sur les plates-formes SD-WAN 110-SE et VPX à partir de R11.1.1. Pour plus de détails, reportez-vous à la section Gestion in-band Orchestrator.

Configuration de secours

La configuration de secours est une autre fonctionnalité importante qui permet de maintenir la connectivité entre le périphérique SD-WAN et Citrix Cloud Services en cas de défaillances telles que la licence ou l’incompatibilité logicielle. La configuration de secours est activée par défaut sur les appliances qui ont un profil de configuration par défaut avec une image d’usine R11.1.1 ou supérieure. (Pour plus de détails, reportez-vous à Configuration de secours d’Orchestrator)

Services de livraison

Les services de livraison peuvent être définis globalement pour limiter la connectivité SD-WAN pour les tunnels Internet, Intranet, IPSec ou GRE. À titre d’exemple, il peut s’agir de définir des stratégies locales pour chaque site distant afin de tunnel du trafic lié à Internet via des solutions Secure Web Gateway, par exemple Citrix Secure Internet Access, qui peut être une fonctionnalité utile pour les cas d’utilisation de Home Office. (Pour plus de détails, reportez-vous à Services de livraison Orchestrator)

Règles de routage

Les stratégies de routage peuvent être définies globalement pour activer la direction du trafic. À titre d’exemple, cela peut inclure la répartition directe du trafic O365 pour des performances de faible latence. (Pour plus de détails, reportez-vous à Routage Orchestrator)

Stratégies de pare-feu

Les stratégies de pare-feu peuvent être définies globalement pour limiter les utilisateurs à domicile aux applications stratégiques. Par exemple, cela peut inclure la configuration des paramètres globaux du pare-feu pour supprimer tout le trafic, et configurer des stratégies pour limiter strictement certains trafic (par exemple Citrix Virtual Apps and Desktops) via le service de chemin virtuel et le trafic O365 via le service Internet. (Pour plus de détails, reportez-vous à Sécurité d’Orchestrator)

Références

Pour plus d’informations, reportez-vous à :

Productivité des employés à distance

Fiche technique Citrix SD-WAN pour le bureau à domicile

Décisions de conception du bureau à domicile Citrix SD-WAN

Guide de PDC Citrix SD-WAN pour les bureaux à domicile