Utilisation de Citrix SD-WAN™ pour se connecter à Microsoft Azure Virtual WAN

Pour que les appareils sur site se connectent à Azure, un contrôleur est nécessaire. Un contrôleur ingère les API Azure pour établir une connectivité site à site avec le WAN Azure et un Hub.

Microsoft Azure Virtual WAN comprend les composants et ressources suivants :

• WAN : Représente l’ensemble du réseau dans Microsoft Azure. Il contient des liens vers tous les Hubs que vous souhaitez avoir au sein de ce WAN. Les WAN sont isolés les uns des autres et ne peuvent pas contenir un hub commun, ni de connexions entre deux hubs dans des WAN différents.

• Site : Représente votre appareil VPN sur site et ses paramètres. Un Site peut se connecter à plusieurs hubs. En utilisant Citrix SD-WAN, vous pouvez disposer d’une solution intégrée pour exporter automatiquement ces informations vers Azure.

• Hub : Représente le cœur de votre réseau dans une région spécifique. Le Hub contient divers points de terminaison de service pour permettre la connectivité et d’autres solutions à votre réseau sur site. Les connexions site à site sont établies entre les Sites et un point de terminaison VPN de Hub.

• Connexion de réseau virtuel de Hub : Le réseau de Hub connecte le Hub Azure Virtual WAN de manière transparente à votre réseau virtuel. Actuellement, la connectivité aux réseaux virtuels qui se trouvent dans la même région de Hub virtuel est disponible.

• Branche : Les branches sont les appliances Citrix SD-WAN sur site, qui se trouvent dans les bureaux des clients. Un contrôleur SD-WAN gère les branches de manière centralisée. La connexion provient de derrière ces branches et se termine dans Azure. Le contrôleur SD-WAN est responsable de l’application de la configuration requise à ces branches et aux Hubs Azure.

L’illustration suivante décrit les composants Virtual WAN :

Comment fonctionne Microsoft Azure Virtual WAN

1. Le SD-WAN Center est authentifié à l’aide de la fonctionnalité de principal de service, de principal ou d’accès basé sur les rôles, qui est activée dans l’interface graphique d’Azure.

2. Le SD-WAN Center obtient la configuration de connectivité Azure et met à jour l’appareil local. Cela automatise le téléchargement, l’édition et la mise à jour de la configuration de l’appareil sur site.

3. Une fois que l’appareil dispose de la configuration Azure correcte, une connexion site à site (deux tunnels IPsec actifs) est établie avec le WAN Azure. Azure exige que le connecteur de l’appareil de branche prenne en charge les paramètres IKEv2. La configuration BGP est facultative.

   Remarque : Les paramètres IPsec pour l’établissement des tunnels IPsec sont standardisés.

   Propriété IPsec	Paramètre
   Algorithme de chiffrement Ike	AES 256
   Algorithme d’intégrité Ike	SHA 256
   Groupe Dh	DH2
   Algorithme de chiffrement IPsec	GCM AES 256
   Algorithme d’intégrité IPsec	GCM AES 256
   Groupe PFS	Aucun

Azure Virtual WAN automatise la connectivité entre le réseau virtuel de charge de travail et le hub. Lorsque vous créez une connexion de réseau virtuel de Hub, elle définit la configuration appropriée entre le hub provisionné et le réseau virtuel (VNET) des charges de travail.

Prérequis et exigences

Lisez les exigences suivantes avant de procéder à la configuration d’Azure et de SD-WAN pour gérer les sites de branche se connectant aux hubs Azure.

1. Avoir un abonnement Azure en liste blanche pour Virtual WAN.
2. Disposer d’une appliance sur site, telle qu’une appliance SD-WAN, pour établir une connexion IPsec aux ressources Azure.
3. Disposer de liens Internet avec des adresses IP publiques. Bien qu’un seul lien Internet soit suffisant pour établir la connectivité à Azure, vous avez besoin de deux tunnels IPsec pour utiliser le même lien WAN.
4. Contrôleur SD-WAN – un contrôleur est l’interface responsable de la configuration des appliances SD-WAN pour la connexion à Azure.
5. Un VNET dans Azure qui a au moins une charge de travail. Par exemple, une VM qui héberge un service. Considérez les points suivants :
   1. Le réseau virtuel ne doit pas avoir de passerelle Azure VPN ou Express Route, ni d’appliance virtuelle de réseau.
   2. Le réseau virtuel ne doit pas avoir de route définie par l’utilisateur, qui achemine le trafic vers un réseau virtuel non Virtual WAN pour la charge de travail accédée depuis la branche sur site.
   3. Des autorisations appropriées pour accéder à la charge de travail doivent être configurées. Par exemple, l’accès SSH via le port 22 pour une VM Ubuntu.

Remarque

• À partir de Citrix SD-WAN 11.1.0, la création automatique de services intranet est utilisée pour la configuration d’Azure Virtual WAN. Si vous effectuez une mise à niveau de 10.x vers 11.1.x, supprimez la configuration Azure Virtual WAN précédente.
• Lorsque plusieurs liens WAN sont configurés pour le site SD-WAN, dans le cadre de l’association du Hub de site VPN, utilisez une clé prépartagée prédéfinie (uniquement des chiffres et des lettres) sur le portail Azure. La même clé prépartagée doit être utilisée sur tous les hubs connectés à ce site VPN.

Le diagramme suivant illustre un réseau avec deux sites et deux réseaux virtuels dans Microsoft Azure.

Configurer Microsoft Azure Virtual WAN

Pour que les branches SD-WAN sur site se connectent à Azure et accèdent aux ressources via des tunnels IPsec, les étapes suivantes doivent être complétées.

1. Configuration des ressources WAN.
2. Activation des branches SD-WAN pour se connecter à Azure à l’aide de tunnels IPsec.

Configurez le réseau Azure avant de configurer le réseau SD-WAN, car les ressources Azure nécessaires pour se connecter aux appliances SD-WAN doivent être disponibles au préalable. Cependant, vous pouvez configurer le SD-WAN avant de configurer les ressources Azure, si vous préférez. Ce sujet traite de la configuration du réseau Azure Virtual WAN avant de configurer les appliances SD-WAN. https://microsoft.com Azure virtual-wan.

Créer une ressource WAN

Pour utiliser les fonctionnalités Virtual WAN et connecter l’appliance de branche sur site à Azure :

1. Connectez-vous à Azure Marketplace, accédez à l’application Virtual WAN et sélectionnez Créer un WAN.

   

2. Saisissez un nom pour le WAN et sélectionnez l’abonnement que vous souhaitez utiliser pour le WAN.

3. Sélectionnez un groupe de ressources existant ou créez un nouveau groupe de ressources. Les groupes de ressources sont des constructions logiques et l’échange de données entre les groupes de ressources est toujours possible.

4. Sélectionnez l’emplacement où vous souhaitez que votre groupe de ressources réside. Le WAN est une ressource globale qui n’a pas d’emplacement. Cependant, vous devez saisir un emplacement pour le groupe de ressources qui contient les métadonnées de la ressource WAN.

5. Cliquez sur Créer. Cela lance le processus de validation et de déploiement de vos paramètres.

Créer un site

Vous pouvez créer un site en utilisant un fournisseur préféré. Le fournisseur préféré envoie les informations sur votre appareil et votre site à Azure ou vous pouvez décider de gérer l’appareil vous-même. Si vous souhaitez gérer l’appareil, vous devez créer le site dans le portail Azure.

Flux de travail du réseau SD-WAN et de Microsoft Azure Virtual WAN

Configurer l’appliance SD-WAN :

1. Provisionner une appliance Citrix SD-WAN
   • Connecter l’appliance de branche SD-WAN à l’appliance MCN.
2. Configurer l’appliance SD-WAN
   • Configurer les services Intranet pour une connexion Active-Active.

Configurer SD-WAN Center :

• Configurer SD-WAN Center pour se connecter à Microsoft Azure.

Configurer les paramètres Azure :

• Fournir l’ID de locataire, l’ID client, la clé sécurisée, l’ID d’abonné et le groupe de ressources.

Configurer l’association du site de branche au WAN :

1. Associer une ressource WAN à une branche. Le même site ne peut pas être connecté à plusieurs WAN.
2. Cliquez sur Nouveau pour configurer l’association Site-WAN.
3. Sélectionnez Ressources WAN Azure.
4. Sélectionnez les Services (Intranet) pour le site. Sélectionnez deux services pour la prise en charge Active-Standby.
5. Sélectionnez les Noms de site à associer aux ressources WAN.
6. Cliquez sur Déployer pour confirmer l’association.
7. Attendez que le statut passe à Tunnels déployés pour afficher les paramètres du tunnel IPsec.
8. Utilisez la vue Rapports de SD-WAN Center pour vérifier le statut des tunnels IPsec respectifs.

Configurer le réseau Citrix SD-WAN

MCN :

Le MCN sert de point de distribution pour la configuration initiale du système et les modifications de configuration ultérieures. Il ne peut y avoir qu’un seul MCN actif dans un Virtual WAN. Par défaut, les appliances ont le rôle de client pré-attribué. Pour établir une appliance en tant que MCN, vous devez d’abord ajouter et configurer le site en tant que MCN. L’interface graphique de configuration réseau devient disponible après qu’un site est configuré en tant que MCN. Les mises à niveau et les modifications de configuration doivent être effectuées uniquement à partir du MCN ou du SD-WAN Center.

Rôle du MCN :

Le MCN est le nœud central qui agit en tant que contrôleur d’un réseau SD-WAN et point d’administration central pour les nœuds clients. Toutes les activités de configuration, en plus de la préparation des packages de firmware et de leur distribution aux clients, sont configurées sur le MCN. De plus, les informations de surveillance ne sont disponibles que sur le MCN. Le MCN peut surveiller l’ensemble du réseau SD-WAN, tandis que les nœuds clients ne peuvent surveiller que les Intranets locaux et certaines informations pour les clients auxquels ils sont connectés. L’objectif principal du MCN est d’établir des connexions de superposition (chemins virtuels) avec un ou plusieurs nœuds clients situés à travers le réseau SD-WAN pour la communication Site à Site d’entreprise. Un MCN peut administrer et avoir des chemins virtuels vers plusieurs nœuds clients. Il peut y avoir plus d’un MCN, mais un seul peut être actif à un moment donné. La figure ci-dessous illustre le diagramme de base des appliances MCN et client (nœud de branche) pour un petit réseau à deux sites.

Configurer l’appliance SD-WAN en tant que MCN

Pour ajouter et configurer le MCN, vous devez d’abord vous connecter à l’interface Web de gestion sur l’appliance que vous désignez comme MCN, et basculer l’interface Web de gestion en mode Console MCN. Le mode Console MCN permet d’accéder à l’Éditeur de configuration dans l’interface Web de gestion à laquelle vous êtes actuellement connecté. Vous pouvez ensuite utiliser l’Éditeur de configuration pour ajouter et configurer le site MCN.

Pour basculer l’interface Web de gestion en mode Console MCN, procédez comme suit :

1. Connectez-vous à l’interface Web de gestion SD-WAN sur l’appliance que vous souhaitez configurer comme MCN.
2. Cliquez sur Configuration dans la barre de menu principale de l’écran principal de l’interface Web de gestion (barre bleue en haut de la page).
3. Dans l’arborescence de navigation (volet gauche), ouvrez la branche Paramètres de l’appliance et cliquez sur Interface administrateur.

4. Sélectionnez l’onglet Divers. La page des paramètres administratifs divers s’ouvre.

   

   En bas de la page de l’onglet Divers se trouve la section Basculer vers la console [Client, MCN]. Cette section contient le bouton Basculer la console pour basculer entre les modes de console de l’appliance.

L’en-tête de section indique le mode console actuel, comme suit :

• En mode Console client (par défaut), l’en-tête de section est Basculer vers la console MCN.
• En mode Console MCN, l’en-tête de section est Basculer vers la console client.

Par défaut, une nouvelle appliance est en mode Console client. Le mode Console MCN active la vue de l’Éditeur de configuration dans l’arborescence de navigation. L’Éditeur de configuration est disponible uniquement sur l’appliance MCN.

Configurer le MCN

Pour ajouter et commencer à configurer le site de l’appliance MCN, procédez comme suit :

1. Dans l’interface graphique de l’appliance SD-WAN, accédez à Virtual WAN > Éditeur de configuration.

   

2. Cliquez sur + Sites dans la barre Sites pour commencer à ajouter et configurer le site MCN. La boîte de dialogue Ajouter un site s’affiche.

   

3. Saisissez un nom de site qui vous permet de déterminer l’emplacement géographique et le rôle de l’appliance (DC/DC secondaire). Sélectionnez le modèle d’appliance correct. La sélection de l’appliance correcte est cruciale car les plateformes matérielles diffèrent les unes des autres en termes de puissance de traitement et de licences. Puisque nous configurons cette appliance comme appliance de tête de réseau principale, choisissez le mode MCN principal et cliquez sur Ajouter.

4. Cela ajoute le nouveau site à l’arborescence des sites et la vue par défaut affiche la page de configuration des paramètres de base, comme illustré ci-dessous :

   

5. Saisissez les paramètres de base tels que l’emplacement, le nom du site.

6. Configurez l’appliance afin qu’elle puisse accepter le trafic provenant d’Internet/MPLS/Haut débit. Définissez les interfaces où les liens sont terminés. Cela dépend si l’appliance est en mode superposition (overlay) ou sous-couche (underlay).

7. Cliquez sur Groupes d’interfaces pour commencer à définir les interfaces.

   

8. Cliquez sur + pour ajouter des groupes d’interfaces virtuelles. Cela ajoute un nouveau groupe d’interfaces virtuelles. Le nombre d’interfaces virtuelles dépend des liens que vous souhaitez que l’appliance gère. Le nombre de liens qu’une appliance peut gérer varie d’un modèle d’appliance à l’autre et le nombre maximal de liens peut aller jusqu’à huit.

   

9. Cliquez sur + à droite des interfaces virtuelles pour afficher l’écran comme illustré ci-dessous.

   

10. Sélectionnez les interfaces Ethernet qui font partie de cette interface virtuelle. Selon le modèle de plateforme, les appliances disposent d’une paire d’interfaces fail-to-wire préconfigurées. Si vous souhaitez activer le fail-to-wire sur les appliances, assurez-vous de choisir la bonne paire d’interfaces et de sélectionner fail-to-wire sous la colonne Mode de contournement.
11. Sélectionnez le niveau de sécurité dans la liste déroulante. Le mode Fiable est choisi si l’interface dessert des liens MPLS et Non fiable est choisi lorsque des liens Internet sont utilisés sur les interfaces respectives.

12. Cliquez sur + à droite de l’étiquette nommée interfaces virtuelles. Cela affiche le Nom, la zone de pare-feu et les ID VLAN. Saisissez le Nom et l’ID VLAN pour ce groupe d’interfaces virtuelles. L’ID VLAN est utilisé pour identifier et marquer le trafic vers et depuis l’interface virtuelle ; utilisez 0 (zéro) pour le trafic natif/non étiqueté.

    

13. Pour configurer les interfaces en fail-to-wire, cliquez sur Paires de ponts. Cela ajoute une nouvelle paire de ponts et permet l’édition. Cliquez sur Appliquer pour confirmer ces paramètres.
14. Pour ajouter d’autres groupes d’interfaces virtuelles, cliquez sur + à droite de la branche des groupes d’interfaces et procédez comme ci-dessus.
15. Une fois les interfaces choisies, l’étape suivante consiste à configurer les adresses IP sur ces interfaces. Dans la terminologie Citrix SD-WAN, cela est connu sous le nom de VIP (IP virtuelle).

16. Continuez dans la vue des sites et cliquez sur l’adresse IP virtuelle pour afficher les interfaces de configuration du VIP.

    

17. Saisissez les informations d’adresse IP / de préfixe et sélectionnez l’Interface virtuelle à laquelle l’adresse est associée. L’adresse IP virtuelle doit inclure l’adresse hôte complète et le masque de sous-réseau. Sélectionnez les paramètres souhaités pour l’adresse IP virtuelle, tels que la Zone de pare-feu, l’Identité, le Privé et la Sécurité. Cliquez sur Appliquer. Cela ajoute les informations d’adresse au site et les inclut dans le tableau des adresses IP virtuelles du site. Pour ajouter d’autres adresses IP virtuelles, cliquez sur + à droite des adresses IP virtuelles et procédez comme ci-dessus.

18. Continuez dans la section des sites pour configurer les liens WAN pour le site.

    

19. Cliquez sur Ajouter un lien, en haut du panneau à droite. Cela ouvre une boîte de dialogue qui vous permet de choisir le type de lien à configurer.

    

20. L’Internet public est destiné aux liens Internet/haut débit/DSL/ADSL, tandis que le MPLS privé est destiné aux liens MPLS. L’Intranet privé est également destiné aux liens MPLS. La différence entre les liens MPLS privés et Intranet privés est que le MPLS privé permet de préserver les politiques QoS des liens MPLS.
21. Si vous choisissez l’Internet public et que les adresses IP sont attribuées via DHCP, choisissez l’option de détection automatique d’IP.

22. Sélectionnez Interfaces d’accès dans la page de configuration du lien WAN. Cela ouvre la vue Interfaces d’accès pour le site. Ajoutez et configurez le VIP et l’IP de passerelle pour chacun des liens, comme illustré ci-dessous.

    

23. Cliquez sur + pour ajouter une interface. Cela ajoute une entrée vide au tableau et l’ouvre pour édition.

24. Saisissez le nom que vous souhaitez attribuer à cette interface. Vous pouvez choisir de la nommer en fonction du type de lien et de l’emplacement. Conservez le domaine de routage par défaut si vous ne souhaitez pas segmenter les réseaux et attribuer une IP à l’interface.

25. Assurez-vous de fournir une adresse IP de passerelle accessible publiquement si le lien est un lien Internet ou une IP privée si le lien est un lien MPLS. Maintenez le mode de chemin virtuel comme principal, car vous avez besoin de ce lien pour former un chemin virtuel.

    Remarque : Activez le proxy ARP car l’appliance répond aux requêtes ARP pour l’adresse IP de la passerelle lorsque la passerelle est inaccessible.

26. Cliquez sur Appliquer pour terminer la configuration du lien WAN. Si vous souhaitez configurer d’autres liens WAN, répétez les étapes pour un autre lien.
27. Configurez les routes pour le site. Cliquez sur la vue Connexions et sélectionnez les routes.

28. Cliquez sur + pour ajouter des routes, cela ouvre une boîte de dialogue comme illustré ci-dessous.

    

29. Les informations suivantes sont disponibles pour la nouvelle route :

    • Adresse IP du réseau
    • Coût – Le coût détermine quelle route prend le pas sur l’autre. Les chemins avec des coûts inférieurs ont la priorité sur les routes avec des coûts supérieurs. La valeur par défaut est cinq.
    • Type de service – Sélectionnez le service, un service peut être l’un des suivants :
      • Chemin virtuel
      • Intranet
      • Internet
      • Passthrough
      • Local
      • Tunnel GRE
      • Tunnel IPsec LAN
30. Cliquez sur Appliquer.

Pour ajouter d’autres routes pour le site, cliquez sur + à droite de la branche des routes et procédez comme ci-dessus. Pour plus d’informations, reportez-vous à Configurer le MCN.

Configurer le chemin virtuel entre le MCN et les sites de branche

Établissez la connectivité entre le MCN et le nœud de branche. Vous pouvez le faire en configurant un chemin virtuel entre ces deux sites. Accédez à l’onglet Connexions dans l’arborescence de configuration de l’éditeur de configuration.

1. Cliquez sur l’onglet Connexions dans la section de configuration. Cela affiche la section des connexions de l’arborescence de configuration.

2. Sélectionnez le MCN dans le menu déroulant de la vue du site sur la page de la section connexions.

   

3. Sélectionnez chemin virtuel sous l’onglet connexions pour créer un chemin virtuel entre le MCN et les sites de branche.

   

4. Cliquez sur Ajouter un chemin virtuel à côté du nom du chemin virtuel statique dans la section des chemins virtuels. Cela ouvre une boîte de dialogue comme illustré ci-dessous. Choisissez la branche pour laquelle vous souhaitez configurer le chemin virtuel. Vous devez configurer cela sous l’étiquette nommée site distant. Sélectionnez le nœud de branche dans cette liste déroulante et cochez la case Inverser également.

   

   La classification et l’orientation du trafic sont mises en miroir sur les deux sites du chemin virtuel. Une fois cela terminé, sélectionnez les chemins dans le menu déroulant sous l’étiquette nommée section, comme illustré ci-dessous.

   

5. Cliquez sur + Ajouter au-dessus du tableau des chemins, ce qui affiche la boîte de dialogue d’ajout de chemin. Spécifiez les points de terminaison dans lesquels le chemin virtuel doit être configuré. Maintenant, cliquez sur Ajouter pour créer le chemin et cochez la case Inverser également.

   Remarque : Citrix SD-WAN mesure la qualité des liens dans les deux directions. Cela signifie que le point A au point B est un chemin et le point B au point A est un autre chemin. Grâce à la mesure unidirectionnelle des conditions de lien, le SD-WAN est capable de choisir la meilleure route pour acheminer le trafic. Ceci est différent des mesures telles que le RTT, qui est une métrique bidirectionnelle pour mesurer la latence. Par exemple, une connexion entre le point A et le point B est affichée comme deux chemins et pour chacun d’eux, les métriques de performance du lien sont calculées indépendamment.

Ce paramètre est suffisant pour établir les chemins virtuels entre le MCN et la branche, d’autres options de configuration sont également disponibles. Pour plus d’informations, reportez-vous à Configurer le service de chemin virtuel entre les sites MCN et client.

Déployer la configuration MCN

L’étape suivante consiste à déployer la configuration. Cela implique les deux étapes suivantes :

1. Exporter le package de configuration SD-WAN vers la gestion des changements.

   • Avant de pouvoir générer les packages d’appliance, vous devez d’abord exporter le package de configuration terminé de l’Éditeur de configuration vers la boîte de réception de staging globale de la Gestion des changements sur le MCN. Reportez-vous aux étapes fournies dans la section Effectuer la gestion des changements.

2. Générer et stager les packages d’appliance.

   • Après avoir ajouté le nouveau package de configuration à la boîte de réception de la gestion des changements, vous pouvez générer et stager les packages d’appliance sur les sites de branche. Pour ce faire, utilisez l’assistant de gestion des changements dans l’interface Web de gestion sur le MCN. Reportez-vous aux étapes fournies dans la section Stager les packages d’appliance.

Configurer les services intranet pour se connecter aux ressources WAN Azure

1. Dans l’interface graphique de l’appliance SD-WAN, accédez à l’Éditeur de configuration. Naviguez jusqu’à la tuile Connexions. Cliquez sur + Ajouter un service pour ajouter un service Intranet pour ce site.

2. Dans les Paramètres de base du service Intranet, plusieurs options sont disponibles concernant le comportement du service Intranet en cas d’indisponibilité des liens WAN.

   • Activer la récupération primaire – cochez cette case si vous souhaitez que le lien primaire choisi prenne le relais lorsqu’il redevient disponible après un basculement. Si vous choisissez de ne pas cocher cette option, le lien secondaire continuera à acheminer le trafic.
   • Ignorer le statut du lien WAN – Si cette option est activée, les paquets destinés à ce service intranet continueront d’utiliser ce service même si les liens WAN constitutifs sont indisponibles.

3. Après avoir configuré les paramètres de base, l’étape suivante consiste à choisir les liens WAN constitutifs pour ce service. Au maximum, deux liens sont choisis pour un service Intranet. Pour choisir les liens WAN, veuillez sélectionner l’option Liens WAN dans la liste déroulante intitulée Section. Les liens WAN fonctionnent en mode primaire et secondaire et un seul lien est choisi comme lien WAN primaire.

   Remarque : Lorsqu’un deuxième service intranet est créé, il doit avoir le mappage de lien WAN primaire et secondaire.

   

4. Des règles spécifiques au site de branche sont disponibles, permettant la personnalisation unique de chaque site de branche, annulant ainsi tout paramètre général configuré dans l’ensemble par défaut global. Les modes incluent la livraison souhaitée sur un lien WAN spécifique, ou en tant que service de remplacement permettant le passage ou le rejet du trafic filtré. Par exemple, s’il y a du trafic que vous ne souhaitez pas voir passer par le service intranet, vous pouvez écrire une règle pour rejeter ce trafic ou l’envoyer via un service différent (Internet ou pass-through).

   

5. Avec le service Intranet activé pour un site, la tuile Provisionnement est rendue disponible pour permettre la distribution bidirectionnelle (LAN vers WAN / WAN vers LAN) de la bande passante pour un lien WAN parmi les différents services utilisant le lien WAN. La section Services vous permet d’affiner davantage l’allocation de bande passante. De plus, le partage équitable peut être activé, permettant aux services de recevoir leur bande passante minimale réservée avant que la distribution équitable ne soit mise en œuvre.

   

Configurer SD-WAN Center

Le diagramme suivant décrit le flux de travail de haut niveau de la connexion SD-WAN Center et Azure Virtual WAN et les transitions d’état correspondantes du déploiement.

Configurer les paramètres Azure

• Fournir l’ID de locataire Azure, l’ID d’application, la clé secrète et l’ID d’abonnement (également appelé principal de service).

Configurer l’association du site de branche au WAN

• Associer un site de branche à une ressource WAN. Le même site ne peut pas être connecté à plusieurs WAN.
• Cliquez sur Nouveau pour configurer l’association Site-WAN.
• Sélectionnez Ressources WAN Azure.
• Sélectionnez les Noms de site à associer aux ressources WAN.
• Cliquez sur Déployer pour confirmer l’association. Les liens WAN à utiliser pour le déploiement du tunnel sont automatiquement renseignés avec celui ayant la meilleure capacité de lien.
• Attendez que le statut passe à ‘Tunnels déployés’ pour afficher les paramètres du tunnel IPsec.
• Utilisez la vue Rapports de SD-WAN Center pour vérifier le statut des tunnels IPsec respectifs. Le statut du tunnel IPsec doit être VERT pour que le trafic de données circule, ce qui indique que la connexion est active.

Provisionner SD-WAN Center

SD-WAN Center est l’outil de gestion et de reporting pour Citrix SD-WAN. La configuration requise pour Virtual WAN est effectuée dans SD-WAN Center. SD-WAN Center est disponible uniquement sous forme de facteur de forme virtuel (VPX) et doit être installé sur un hyperviseur VMware ESXi ou XenServer. Les ressources minimales nécessaires pour configurer une appliance SD-WAN Center sont 8 Go de RAM et 4 cœurs de CPU. Voici les étapes pour Installer et configurer une VM SD-WAN Center.

Configurer SD-WAN Center pour la connectivité Azure

Lisez créer un principal de service pour plus d’informations.

Pour authentifier avec succès SD-WAN Center auprès d’Azure, les paramètres suivants doivent être disponibles :

• Répertoire (ID de locataire)
• Application (ID client)
• Clé sécurisée (Secret client)
• ID d’abonné

Authentifier SD-WAN Center

Dans l’interface utilisateur de SD-WAN Center, accédez à Configuration > Connectivité cloud > Azure > Virtual WAN. Configurez les paramètres de connexion Azure. Reportez-vous au lien suivant pour plus d’informations sur la configuration de la connexion VPN Azure, Azure Resource Manager.

Avec la version 11.1.0, la configuration des liens WAN primaire et secondaire pour l’intégration d’Azure Virtual WAN est prise en charge. La raison principale de l’ajout d’un lien WAN secondaire est d’assurer la redondance depuis le site Citrix SD-WAN.

Avec l’implémentation précédente, la défaillance du lien WAN pouvait entraîner une interruption du trafic et une perte de connectivité à Azure Virtual WAN. Avec l’implémentation actuelle, la connectivité Site vers Azure Virtual WAN est maintenue même si le lien WAN primaire est hors service.

Saisissez l’ID d’abonnement, l’ID de locataire, l’ID d’application et la clé sécurisée. Cette étape est requise pour authentifier SD-WAN Center auprès d’Azure. Si les informations d’identification saisies ci-dessus ne sont pas correctes, l’authentification échoue et aucune autre action n’est autorisée. Cliquez sur Appliquer.

Le champ Compte de stockage fait référence au compte de stockage que vous avez créé dans Azure. Si vous n’avez pas créé de compte de stockage, un nouveau compte de stockage est automatiquement créé dans votre abonnement lorsque vous cliquez sur Appliquer.

Obtenir les ressources Azure Virtual WAN

Une fois l’authentification réussie, Citrix SD-WAN interroge Azure pour obtenir une liste des ressources Azure Virtual WAN que vous avez créées lors de la première étape après vous être connecté au portail Azure. Les ressources WAN représentent l’ensemble de votre réseau dans Azure. Elles contiennent des liens vers tous les Hubs que vous souhaitez avoir au sein de ce WAN. Les WAN sont isolés les uns des autres et ne peuvent pas contenir un hub commun, ni de connexions entre deux hubs différents dans des ressources WAN différentes.

Pour associer les sites de branche et les ressources WAN Azure :

Un site de branche doit être associé aux ressources WAN Azure pour établir des tunnels IPsec. Une branche peut être connectée à plusieurs Hubs au sein d’une ressource Azure Virtual WAN et une ressource Azure Virtual WAN peut être connectée à plusieurs sites de branche sur site. Créez des lignes uniques pour chaque déploiement de ressource de branche vers Azure Virtual WAN.

Pour ajouter plusieurs sites

Vous pouvez choisir d’ajouter tous les sites respectifs et de les associer aux ressources WAN uniques choisies.

1. Cliquez sur Ajouter plusieurs pour ajouter tous les sites qui doivent être associés aux ressources WAN choisies.

   

2. La liste déroulante des ressources WAN Azure (illustrée ci-dessous) est pré-remplie avec les ressources appartenant à votre compte Azure. Si aucune ressource WAN n’a été créée, cette liste est vide et vous devez naviguer vers le portail Azure pour créer les ressources. Si la liste est remplie de ressources WAN, choisissez la ressource WAN Azure à laquelle vous devez connecter les sites de branche.

3. Choisissez un ou tous les sites de branche pour lancer le processus d’établissement du tunnel IPsec. Les liens WAN Internet public de meilleure capacité des sites sont choisis automatiquement pour établir les tunnels IPsec vers les passerelles VPN Azure.

   

Pour ajouter un seul site

Vous pouvez également choisir d’ajouter des sites un par un (individuellement) et, à mesure que votre réseau se développe, ou si vous effectuez un déploiement site par site, vous pouvez choisir d’ajouter plusieurs sites comme décrit ci-dessus.

1. Cliquez sur Ajouter une nouvelle entrée pour sélectionner un nom de site pour l’association Site-WAN. Ajoutez des sites dans la boîte de dialogue Configurer les sites vers le réseau Azure.

   

   

2. Sélectionnez le site de branche à configurer pour le réseau Azure Virtual WAN.

3. Sélectionnez le lien WAN associé au site (les liens de type Internet public sont listés par ordre de meilleure capacité de lien physique).

4. Sélectionnez la ressource WAN à laquelle le site doit être associé dans le menu déroulant Azure Virtual WANs.

5. Cliquez sur Déployer pour confirmer l’association. Le statut (« Informations du site initialisées », « Informations du site poussées » et « En attente de configuration VPN ») est mis à jour pour vous informer du processus.

Le processus de déploiement inclut les statuts suivants :

• Pousser les informations du site
• En attente de configuration VPN
• Tunnels déployés

• Connexion active (le tunnel IPsec est actif) ou Connexion inactive (le tunnel IPsec est inactif)

  

Associer les mappages de ressources WAN de site (portail Azure)

Associez les sites déployés sur le portail Azure aux Hubs virtuels créés sous la ressource Azure Virtual WAN. Un ou plusieurs Hubs virtuels peuvent être associés au site de branche. Chaque Hub virtuel est créé dans une région spécifique et des charges de travail spécifiques peuvent être associées aux Hubs virtuels en créant des connexions de réseau virtuel. Ce n’est qu’après que l’association Site de branche au Hub virtuel est réussie que les configurations VPN sont téléchargées et que les tunnels IPsec respectifs sont établis du site vers les passerelles VPN.

Attendez que le statut passe à Tunnels déployés ou Connexion active pour afficher les paramètres du tunnel IPsec. Affichez les paramètres IPsec associés aux services sélectionnés.

Paramètres Azure SD-WAN

• Désactiver la gestion des changements SD-WAN – Par défaut, le processus de gestion des changements est automatisé. Cela signifie que chaque fois qu’une nouvelle configuration est disponible dans l’infrastructure Azure Virtual WAN, SD-WAN Center l’obtient et commence à l’appliquer automatiquement aux branches. Cependant, ce comportement est contrôlé si vous souhaitez contrôler le moment où une configuration doit être appliquée aux branches. L’un des avantages de la désactivation de la gestion automatique des changements est que la configuration de cette fonctionnalité et d’autres fonctionnalités SD-WAN est gérée indépendamment.
• Désactiver l’interrogation SDWAN – Désactive tous les nouveaux déploiements Azure SD-WAN et l’interrogation sur les déploiements existants.
• Intervalle d’interrogation - L’option d’intervalle d’interrogation contrôle l’intervalle de recherche des mises à jour de configuration dans l’infrastructure Azure Virtual WAN. Le temps recommandé pour l’intervalle d’interrogation est de 1 heure.
• Désactiver la connexion de branche à branche – Désactive la communication de branche à branche sur l’infrastructure Azure Virtual WAN. Par défaut, cette option est désactivée. Une fois que vous l’activez, cela signifie que les branches sur site peuvent communiquer entre elles et avec les ressources derrière les branches via IPsec à travers l’infrastructure Virtual WAN d’Azure. Cela n’a aucun effet sur la communication de branche à branche via le chemin virtuel SD-WAN, les branches peuvent communiquer entre elles et leurs ressources/points de terminaison respectifs via le chemin virtuel même si cette option est désactivée.
• Désactiver BGP – Cela désactive BGP sur IP, par défaut c’est désactivé. Une fois activé, les routes du site sont annoncées via BGP.
• Niveau de débogage – Permet de capturer les journaux pour déboguer en cas de problèmes de connectivité.

Actualiser les ressources WAN

Cliquez sur l’icône Actualiser pour récupérer le dernier ensemble de ressources WAN que vous avez mis à jour sur le portail Azure. Un message indiquant « ressources WAN actualisées avec succès » s’affiche une fois le processus d’actualisation terminé.

Supprimer l’association de ressource WAN de site

Sélectionnez un ou plusieurs mappages pour effectuer la suppression. En interne, le processus de gestion des changements de l’appliance SD-WAN est déclenché et tant qu’il n’est pas réussi, l’option Supprimer est désactivée pour empêcher d’autres suppressions. La suppression d’un mappage vous oblige à dissocier ou à supprimer les sites correspondants dans le portail Azure. L’utilisateur doit effectuer cette opération manuellement.

Une fois les tunnels créés, vous pouvez voir deux services intranet créés dans votre MCN.

Chaque service Intranet correspond à des tunnels IPsec créés avec des IP de pair (IP de point de terminaison Azure Virtual WAN).

Depuis les Services Intranet, si vous sélectionnez Liens WAN dans la liste déroulante Section, vous pouvez voir les liens WAN primaire et secondaire que vous avez spécifiés. Par défaut, le mode est défini sur Auto.

Surveiller les tunnels IPsec

Dans l’interface utilisateur de SD-WAN Center, accédez à Rapports > IPsec pour vérifier le statut des tunnels IPsec. Le statut du tunnel doit être VERT pour que le trafic de données circule.