Utilisation de Citrix SD-WAN™ pour se connecter à Microsoft Azure Virtual WAN

Pour que les appareils sur site se connectent à Azure, un contrôleur est nécessaire. Un contrôleur ingère les API Azure pour établir une connectivité site à site avec le WAN Azure et un hub.

Microsoft Azure Virtual WAN comprend les composants et ressources suivants :

• WAN : Représente l’ensemble du réseau dans Microsoft Azure. Il contient des liens vers tous les hubs que vous souhaitez avoir au sein de ce WAN. Les WAN sont isolés les uns des autres et ne peuvent pas contenir de hub commun, ni de connexions entre deux hubs dans des WAN différents.

• Site : Représente votre appareil VPN sur site et ses paramètres. Un site peut se connecter à plusieurs hubs. En utilisant Citrix SD-WAN, vous pouvez disposer d’une solution intégrée pour exporter automatiquement ces informations vers Azure.

• Hub : Représente le cœur de votre réseau dans une région spécifique. Le hub contient divers points de terminaison de service pour permettre la connectivité et d’autres solutions à votre réseau sur site. Les connexions site à site sont établies entre les sites et un point de terminaison VPN de hub.

• Connexion de réseau virtuel de hub : Le réseau de hub connecte le hub WAN virtuel Azure de manière transparente à votre réseau virtuel. Actuellement, la connectivité aux réseaux virtuels qui se trouvent dans la même région de hub virtuel est disponible.

• Branche : Les branches sont les appliances Citrix SD-WAN sur site, qui se trouvent dans les bureaux des clients. Un contrôleur SD-WAN gère les branches de manière centralisée. La connexion provient de derrière ces branches et se termine dans Azure. Le contrôleur SD-WAN est responsable de l’application de la configuration requise à ces branches et aux hubs Azure.

L’illustration suivante décrit les composants du WAN virtuel :

Fonctionnement de Microsoft Azure Virtual WAN

1. Le SD-WAN Center est authentifié à l’aide de la fonctionnalité de principal de service, de principal ou d’accès basé sur les rôles, qui est activée dans l’interface graphique d’Azure.

2. Le SD-WAN Center obtient la configuration de connectivité Azure et met à jour l’appareil local. Cela automatise le téléchargement, la modification et la mise à jour de la configuration de l’appareil sur site.

3. Une fois que l’appareil dispose de la configuration Azure correcte, une connexion site à site (deux tunnels IPsec actifs) est établie avec le WAN Azure. Azure exige que le connecteur de l’appareil de branche prenne en charge les paramètres IKEv2. La configuration BGP est facultative.

   Remarque : Les paramètres IPsec pour l’établissement des tunnels IPsec sont standardisés.

   Propriété IPsec	Paramètre
   Algorithme de chiffrement Ike	AES 256
   Algorithme d’intégrité Ike	SHA 256
   Groupe Dh	DH2
   Algorithme de chiffrement IPsec	GCM AES 256
   Algorithme d’intégrité IPsec	GCM AES 256
   Groupe PFS	Aucun

Azure Virtual WAN automatise la connectivité entre le réseau virtuel de la charge de travail et le hub. Lorsque vous créez une connexion de réseau virtuel de hub, elle définit la configuration appropriée entre le hub provisionné et le réseau virtuel (VNET) des charges de travail.

Prérequis et exigences

Lisez les exigences suivantes avant de procéder à la configuration d’Azure et de SD-WAN pour gérer les sites de branche se connectant aux hubs Azure.

1. Disposez d’un abonnement Azure en liste blanche pour Virtual WAN.
2. Disposez d’une appliance sur site, telle qu’une appliance SD-WAN, pour établir une connexion IPsec aux ressources Azure.
3. Disposez de liens Internet avec des adresses IP publiques. Bien qu’un seul lien Internet soit suffisant pour établir la connectivité à Azure, vous avez besoin de deux tunnels IPsec pour utiliser le même lien WAN.
4. Contrôleur SD-WAN – un contrôleur est l’interface responsable de la configuration des appliances SD-WAN pour la connexion à Azure.
5. Un VNET dans Azure qui contient au moins une charge de travail. Par exemple, une machine virtuelle qui héberge un service. Tenez compte des points suivants :
   1. Le réseau virtuel ne doit pas avoir de passerelle VPN Azure ou Express Route, ni d’appliance virtuelle de réseau.
   2. Le réseau virtuel ne doit pas avoir de route définie par l’utilisateur, qui achemine le trafic vers un réseau virtuel non-Virtual WAN pour la charge de travail accédée depuis la branche sur site.
   3. Des autorisations appropriées pour accéder à la charge de travail doivent être configurées. Par exemple, l’accès SSH via le port 22 pour une machine virtuelle Ubuntu.

Le diagramme suivant illustre un réseau avec deux sites et deux réseaux virtuels dans Microsoft Azure.

Configurer Microsoft Azure Virtual WAN

Pour que les branches SD-WAN sur site se connectent à Azure et accèdent aux ressources via des tunnels IPsec, les étapes suivantes doivent être effectuées.

1. Configuration des ressources WAN.
2. Activation des branches SD-WAN pour se connecter à Azure à l’aide de tunnels IPsec.

Configurez le réseau Azure avant de configurer le réseau SD-WAN, car les ressources Azure requises pour se connecter aux appliances SD-WAN doivent être disponibles au préalable. Cependant, vous pouvez configurer la configuration SD-WAN avant de configurer les ressources Azure, si vous préférez. Cette rubrique explique comment configurer le réseau WAN virtuel Azure avant de configurer les appliances SD-WAN. https://microsoft.com azure virtual-wan.

Créer une ressource WAN

Pour utiliser les fonctionnalités de Virtual WAN et connecter l’appliance de branche sur site à Azure :

1. Connectez-vous à Azure Marketplace, accédez à l’application Virtual WAN et sélectionnez Créer un WAN.

   

2. Saisissez un nom pour le WAN et sélectionnez l’abonnement que vous souhaitez utiliser pour le WAN.

3. Sélectionnez un groupe de ressources existant ou créez un nouveau groupe de ressources. Les groupes de ressources sont des constructions logiques et l’échange de données entre les groupes de ressources est toujours possible.

4. Sélectionnez l’emplacement où vous souhaitez que votre groupe de ressources réside. Le WAN est une ressource globale qui n’a pas d’emplacement. Cependant, vous devez saisir un emplacement pour le groupe de ressources qui contient les métadonnées de la ressource WAN.

5. Cliquez sur Créer. Cela lance le processus de validation et de déploiement de vos paramètres.

Créer un site

Vous pouvez créer un site en utilisant un fournisseur préféré. Le fournisseur préféré envoie les informations sur votre appareil et votre site à Azure, ou vous pouvez décider de gérer l’appareil vous-même. Si vous souhaitez gérer l’appareil, vous devez créer le site dans le portail Azure.

Flux de travail du réseau SD-WAN et de Microsoft Azure Virtual WAN

Configurer l’appliance SD-WAN :

• Provisionner une appliance Citrix SD-WAN
  • Connectez l’appliance de branche SD-WAN à l’appliance MCN.
• Configurer l’appliance SD-WAN
  • Configurez les services Intranet pour une connexion Active-Active.

Configurer le SD-WAN Center :

• Configurez le SD-WAN Center pour qu’il se connecte à Microsoft Azure.

Configurer les paramètres Azure :

• Fournissez l’ID de locataire, l’ID client, la clé sécurisée, l’ID d’abonné et le groupe de ressources.

Configurer l’association du site de branche au WAN :

1. Associez une ressource WAN à une branche. Le même site ne peut pas être connecté à plusieurs WAN.
2. Cliquez sur Nouveau pour configurer l’association Site-WAN.
3. Sélectionnez Ressources WAN Azure.
4. Sélectionnez Services (Intranet) pour le site. Sélectionnez deux services pour la prise en charge Active-Standby.
5. Sélectionnez les Noms de site à associer aux ressources WAN.
6. Cliquez sur Déployer pour confirmer l’association.
7. Attendez que le statut passe à Tunnels déployés pour afficher les paramètres du tunnel IPsec.
8. Utilisez la vue Rapports du SD-WAN Center pour vérifier l’état des tunnels IPsec respectifs.

Configurer le réseau Citrix SD-WAN

MCN :

Le MCN sert de point de distribution pour la configuration initiale du système et les modifications de configuration ultérieures. Il ne peut y avoir qu’un seul MCN actif dans un WAN virtuel. Par défaut, les appliances ont le rôle de client pré-attribué. Pour établir une appliance en tant que MCN, vous devez d’abord ajouter et configurer le site en tant que MCN. L’interface graphique de configuration réseau devient disponible après qu’un site a été configuré en tant que MCN. Les mises à niveau et les modifications de configuration doivent être effectuées uniquement à partir du MCN ou du SD-WAN Center.

Rôle du MCN :

Le MCN est le nœud central qui agit en tant que contrôleur d’un réseau SD-WAN et point d’administration central pour les nœuds clients. Toutes les activités de configuration, ainsi que la préparation des packages de firmware et leur distribution aux clients, sont configurées sur le MCN. De plus, les informations de surveillance ne sont disponibles que sur le MCN. Le MCN peut surveiller l’ensemble du réseau SD-WAN, tandis que les nœuds clients ne peuvent surveiller que les Intranets locaux et certaines informations pour les clients auxquels ils sont connectés. L’objectif principal du MCN est d’établir des connexions de superposition (chemins virtuels) avec un ou plusieurs nœuds clients situés sur le réseau SD-WAN pour la communication Site à Site d’entreprise. Un MCN peut administrer et avoir des chemins virtuels vers plusieurs nœuds clients. Il peut y avoir plus d’un MCN, mais un seul peut être actif à un moment donné. La figure ci-dessous illustre le diagramme de base des appliances MCN et client (nœud de branche) pour un petit réseau à deux sites.

Configurer l’appliance SD-WAN en tant que MCN

Pour ajouter et configurer le MCN, vous devez d’abord vous connecter à l’interface Web de gestion de l’appliance que vous désignez comme MCN, puis basculer l’interface Web de gestion en mode Console MCN. Le mode Console MCN permet d’accéder à l’éditeur de configuration dans l’interface Web de gestion à laquelle vous êtes actuellement connecté. Vous pouvez ensuite utiliser l’éditeur de configuration pour ajouter et configurer le site MCN.

Pour basculer l’interface Web de gestion en mode Console MCN, procédez comme suit :

1. Connectez-vous à l’interface Web de gestion SD-WAN sur l’appliance que vous souhaitez configurer en tant que MCN.
2. Cliquez sur Configuration dans la barre de menu principale de l’écran principal de l’interface Web de gestion (barre bleue en haut de la page).
3. Dans l’arborescence de navigation (volet gauche), ouvrez la branche Paramètres de l’appliance et cliquez sur Interface d’administration.

4. Sélectionnez l’onglet Divers. La page des paramètres administratifs divers s’ouvre.

   

   Au bas de la page de l’onglet Divers se trouve la section Basculer vers la console [Client, MCN]. Cette section contient le bouton Basculer la console pour basculer entre les modes de console de l’appliance.

L’en-tête de section indique le mode console actuel, comme suit :

• En mode Console client (par défaut), l’en-tête de section est Basculer vers la console MCN.
• En mode Console MCN, l’en-tête de section est Basculer vers la console client.

Par défaut, une nouvelle appliance est en mode Console client. Le mode Console MCN active la vue de l’éditeur de configuration dans l’arborescence de navigation. L’éditeur de configuration est disponible uniquement sur l’appliance MCN.

Configurer le MCN

Pour ajouter et commencer à configurer le site de l’appliance MCN, procédez comme suit :

1. Dans l’interface graphique de l’appliance SD-WAN, accédez à Virtual WAN > Éditeur de configuration.

   

2. Cliquez sur + Sites dans la barre Sites pour commencer à ajouter et configurer le site MCN. La boîte de dialogue Ajouter un site s’affiche.

   

3. Saisissez un nom de site qui vous permet de déterminer l’emplacement géographique et le rôle de l’appliance (DC/DC secondaire). Sélectionnez le modèle d’appliance correct. La sélection de l’appliance correcte est cruciale car les plates-formes matérielles diffèrent les unes des autres en termes de puissance de traitement et de licences. Puisque nous configurons cette appliance comme appliance de tête de réseau principale, choisissez le mode MCN principal et cliquez sur Ajouter.

4. Cela ajoute le nouveau site à l’arborescence des sites et la vue par défaut affiche la page de configuration des paramètres de base, comme illustré ci-dessous :

   

5. Saisissez les paramètres de base tels que l’emplacement, le nom du site.

6. Configurez l’appliance afin qu’elle puisse accepter le trafic provenant d’Internet/MPLS/Haut débit. Définissez les interfaces où les liens sont terminés. Cela dépend si l’appliance est en mode superposition (overlay) ou sous-couche (underlay).

7. Cliquez sur Groupes d’interfaces pour commencer à définir les interfaces.

   

8. Cliquez sur + pour ajouter des groupes d’interfaces virtuelles. Cela ajoute un nouveau groupe d’interfaces virtuelles. Le nombre d’interfaces virtuelles dépend des liens que vous souhaitez que l’appliance gère. Le nombre de liens qu’une appliance peut gérer varie d’un modèle d’appliance à l’autre et le nombre maximal de liens peut aller jusqu’à huit.

   

9. Cliquez sur + à droite des interfaces virtuelles pour afficher l’écran comme illustré ci-dessous.

   

10. Sélectionnez les interfaces Ethernet qui font partie de cette interface virtuelle. Selon le modèle de plate-forme, les appliances disposent d’une paire d’interfaces fail-to-wire préconfigurées. Si vous souhaitez activer le fail-to-wire sur les appliances, assurez-vous de choisir la bonne paire d’interfaces et de sélectionner fail-to-wire sous la colonne Mode de contournement.
11. Sélectionnez le niveau de sécurité dans la liste déroulante. Le mode Fiable (Trusted) est choisi si l’interface dessert des liens MPLS et Non fiable (Untrusted) est choisi lorsque des liens Internet sont utilisés sur les interfaces respectives.

12. Cliquez sur + à droite de l’étiquette nommée interfaces virtuelles. Cela affiche le nom, la zone de pare-feu et les ID VLAN. Saisissez le Nom et l’ID VLAN pour ce groupe d’interfaces virtuelles. L’ID VLAN est utilisé pour identifier et marquer le trafic vers et depuis l’interface virtuelle ; utilisez 0 (zéro) pour le trafic natif/non étiqueté.

    

13. Pour configurer les interfaces en mode fail-to-wire, cliquez sur Paires de ponts. Cela ajoute une nouvelle paire de ponts et permet la modification. Cliquez sur Appliquer pour confirmer ces paramètres.
14. Pour ajouter d’autres groupes d’interfaces virtuelles, cliquez sur + à droite de la branche des groupes d’interfaces et procédez comme ci-dessus.
15. Une fois les interfaces choisies, l’étape suivante consiste à configurer les adresses IP sur ces interfaces. Dans la terminologie Citrix SD-WAN, cela est connu sous le nom de VIP (IP virtuelle).

16. Continuez dans la vue des sites et cliquez sur l’adresse IP virtuelle pour afficher les interfaces de configuration du VIP.

    

17. Saisissez les informations d’adresse IP / de préfixe et sélectionnez l’Interface virtuelle à laquelle l’adresse est associée. L’adresse IP virtuelle doit inclure l’adresse d’hôte complète et le masque de sous-réseau. Sélectionnez les paramètres souhaités pour l’adresse IP virtuelle, tels que la zone de pare-feu, l’identité, la confidentialité et la sécurité. Cliquez sur Appliquer. Cela ajoute les informations d’adresse au site et les inclut dans le tableau des adresses IP virtuelles du site. Pour ajouter d’autres adresses IP virtuelles, cliquez sur + à droite des adresses IP virtuelles et procédez comme ci-dessus.

18. Continuez dans la section des sites pour configurer les liens WAN pour le site.

    

19. Cliquez sur Ajouter un lien, en haut du panneau à droite. Cela ouvre une boîte de dialogue qui vous permet de choisir le type de lien à configurer.

    

20. L’Internet public est destiné aux liens Internet/haut débit/DSL/ADSL, tandis que le MPLS privé est destiné aux liens MPLS. L’Intranet privé est également destiné aux liens MPLS. La différence entre les liens MPLS privés et les liens Intranet privés est que le MPLS privé permet de préserver les politiques QoS des liens MPLS.
21. Si vous choisissez l’Internet public et que les adresses IP sont attribuées via DHCP, choisissez l’option de détection automatique d’IP.

22. Sélectionnez Interfaces d’accès dans la page de configuration du lien WAN. Cela ouvre la vue Interfaces d’accès pour le site. Ajoutez et configurez l’IP virtuelle et l’IP de passerelle pour chacun des liens, comme illustré ci-dessous.

    

23. Cliquez sur + pour ajouter une interface. Cela ajoute une entrée vide au tableau et l’ouvre pour modification.

24. Saisissez le nom que vous souhaitez attribuer à cette interface. Vous pouvez choisir de la nommer en fonction du type de lien et de l’emplacement. Conservez le domaine de routage par défaut si vous ne souhaitez pas séparer les réseaux et attribuer une adresse IP à l’interface.

25. Assurez-vous de fournir une adresse IP de passerelle accessible publiquement si le lien est un lien Internet ou une IP privée si le lien est un lien MPLS. Conservez le mode de chemin virtuel comme principal, car vous avez besoin de ce lien pour former un chemin virtuel.

    Remarque : Activez le proxy ARP car l’appliance répond aux requêtes ARP pour l’adresse IP de la passerelle lorsque la passerelle est inaccessible.

26. Cliquez sur Appliquer pour terminer la configuration du lien WAN. Si vous souhaitez configurer d’autres liens WAN, répétez les étapes pour un autre lien.
27. Configurez les routes pour le site. Cliquez sur la vue Connexions et sélectionnez routes.

28. Cliquez sur + pour ajouter des routes, cela ouvre une boîte de dialogue comme illustré ci-dessous.

    

29. Les informations suivantes sont disponibles pour la nouvelle route :

    • Adresse IP du réseau
    • Coût – Le coût détermine quelle route a la priorité sur l’autre. Les chemins avec des coûts inférieurs ont la priorité sur les routes avec des coûts plus élevés. La valeur par défaut est cinq.
    • Type de service – Sélectionnez le service, un service peut être l’un des suivants :
      • Chemin virtuel
      • Intranet
      • Internet
      • Passthrough
      • Local
      • Tunnel GRE
      • Tunnel IPsec LAN
30. Cliquez sur Appliquer.

Pour ajouter d’autres routes pour le site, cliquez sur + à droite de la branche des routes et procédez comme ci-dessus. Pour plus d’informations, reportez-vous à Configurer le MCN.

Configurer le chemin virtuel entre le MCN et les sites de branche

Établissez la connectivité entre le MCN et le nœud de branche. Vous pouvez le faire en configurant un chemin virtuel entre ces deux sites. Accédez à l’onglet Connexions dans l’arborescence de configuration de l’éditeur de configuration.

1. Cliquez sur l’onglet Connexions dans la section de configuration. Cela affiche la section des connexions de l’arborescence de configuration.

2. Sélectionnez le MCN dans le menu déroulant de la vue du site sur la page de la section connexions.

   

3. Sélectionnez chemin virtuel sous l’onglet connexions pour créer un chemin virtuel entre le MCN et les sites de branche.

   

4. Cliquez sur Ajouter un chemin virtuel à côté du nom du chemin virtuel statique dans la section des chemins virtuels. Cela ouvre une boîte de dialogue comme illustré ci-dessous. Choisissez la branche pour laquelle vous souhaitez configurer le chemin virtuel. Vous devez configurer cela sous l’étiquette nommée site distant. Sélectionnez le nœud de branche dans cette liste déroulante et cochez la case Inverser également.

   

   La classification et l’orientation du trafic sont mises en miroir sur les deux sites du chemin virtuel. Une fois cette opération terminée, sélectionnez les chemins dans le menu déroulant sous l’étiquette nommée section, comme illustré ci-dessous.

   

5. Cliquez sur + Ajouter au-dessus du tableau des chemins, ce qui affiche la boîte de dialogue d’ajout de chemin. Spécifiez les points de terminaison dans lesquels le chemin virtuel doit être configuré. Maintenant, cliquez sur Ajouter pour créer le chemin et cochez la case Inverser également.

   Remarque : Citrix SD-WAN mesure la qualité du lien dans les deux directions. Cela signifie que le point A au point B est un chemin et le point B au point A est un autre chemin. Grâce à la mesure unidirectionnelle des conditions de lien, le SD-WAN est capable de choisir la meilleure route pour acheminer le trafic. Cela est différent des mesures telles que le RTT, qui est une métrique bidirectionnelle pour mesurer la latence. Par exemple, une connexion entre le point A et le point B est affichée comme deux chemins et pour chacun d’eux, les métriques de performance du lien sont calculées indépendamment.

Ce paramètre est suffisant pour établir les chemins virtuels entre le MCN et la branche ; d’autres options de configuration sont également disponibles. Pour plus d’informations, reportez-vous à Configurer le service de chemin virtuel entre les sites MCN et client.

Déployer la configuration MCN

L’étape suivante consiste à déployer la configuration. Cela implique les deux étapes suivantes :

1. Exportez le package de configuration SD-WAN vers la gestion des changements.

   • Avant de pouvoir générer les packages d’appliance, vous devez d’abord exporter le package de configuration terminé de l’Éditeur de configuration vers la boîte de réception de staging globale de la Gestion des changements sur le MCN. Reportez-vous aux étapes fournies dans la section Effectuer la gestion des changements.

2. Générez et mettez en scène les packages d’appliance.

   • Après avoir ajouté le nouveau package de configuration à la boîte de réception de la gestion des changements, vous pouvez générer et mettre en scène les packages d’appliance sur les sites de branche. Pour ce faire, utilisez l’assistant de gestion des changements dans l’interface Web de gestion sur le MCN. Reportez-vous aux étapes fournies dans la section Mettre en scène les packages d’appliance.

Configurer les services intranet pour se connecter aux ressources WAN Azure

1. Dans l’interface graphique de l’appliance SD-WAN, accédez à l’Éditeur de configuration. Accédez à la vignette Connexions. Cliquez sur + Ajouter un service pour ajouter un service Intranet pour ce site.

2. Dans les Paramètres de base du service Intranet, plusieurs options vous permettent de définir le comportement du service Intranet en cas d’indisponibilité des liens WAN.

   • Activer la récupération primaire – cochez cette case si vous souhaitez que le lien primaire choisi prenne le relais lorsqu’il redevient disponible après un basculement. Si vous choisissez de ne pas cocher cette option, le lien secondaire continuera à acheminer le trafic.
   • Ignorer l’état du lien WAN – Si cette option est activée, les paquets destinés à ce service intranet continueront à utiliser ce service même si les liens WAN constitutifs sont indisponibles.

3. Après avoir configuré les paramètres de base, l’étape suivante consiste à choisir les liens WAN constitutifs pour ce service. Au maximum, deux liens sont choisis pour un service Intranet. Pour choisir les liens WAN, veuillez sélectionner l’option Liens WAN dans la liste déroulante intitulée Section. Les liens WAN fonctionnent en mode primaire et secondaire et un seul lien est choisi comme lien WAN primaire.

   Remarque : Lorsqu’un deuxième service intranet est créé, il doit avoir le mappage de lien WAN primaire et secondaire.

   

4. Des règles spécifiques au site de branche sont disponibles, permettant la personnalisation unique de chaque site de branche, annulant ainsi tout paramètre général configuré dans l’ensemble par défaut global. Les modes incluent la livraison souhaitée sur un lien WAN spécifique, ou en tant que service de remplacement permettant le passage ou le rejet du trafic filtré. Par exemple, s’il y a du trafic que vous ne souhaitez pas faire passer par le service intranet, vous pouvez écrire une règle pour rejeter ce trafic ou l’envoyer via un service différent (Internet ou pass-through).

   

5. Avec le service Intranet activé pour un site, la vignette Provisionnement est mise à disposition pour permettre la distribution bidirectionnelle (LAN vers WAN / WAN vers LAN) de la bande passante pour un lien WAN parmi les différents services utilisant le lien WAN. La section Services vous permet d’affiner davantage l’allocation de bande passante. De plus, le partage équitable peut être activé, permettant aux services de recevoir leur bande passante minimale réservée avant que la distribution équitable ne soit mise en œuvre.

   

Configurer le SD-WAN Center

Le diagramme suivant décrit le flux de travail de haut niveau de la connexion SD-WAN Center et Azure Virtual WAN, ainsi que les transitions d’état correspondantes du déploiement.

Configurer les paramètres Azure :

• Fournissez l’ID de locataire Azure, l’ID d’application, la clé secrète et l’ID d’abonnement (également appelé principal de service).

Configurer l’association du site de branche au WAN :

• Associez un site de branche à une ressource WAN. Le même site ne peut pas être connecté à plusieurs WAN.
• Cliquez sur Nouveau pour configurer l’association Site-WAN.
• Sélectionnez Ressources WAN Azure.
• Sélectionnez les Noms de site à associer aux ressources WAN.
• Cliquez sur Déployer pour confirmer l’association. Les liens WAN à utiliser pour le déploiement du tunnel sont automatiquement renseignés avec celui ayant la meilleure capacité de lien.
• Attendez que le statut passe à « Tunnels déployés » pour afficher les paramètres du tunnel IPsec.
• Utilisez la vue Rapports du SD-WAN Center pour vérifier l’état des tunnels IPsec respectifs. L’état du tunnel IPsec doit être VERT pour que le trafic de données circule, ce qui indique que la connexion est active.

Provisionner le SD-WAN Center :

Le SD-WAN Center est l’outil de gestion et de reporting pour Citrix SD-WAN. La configuration requise pour Virtual WAN est effectuée dans le SD-WAN Center. Le SD-WAN Center est disponible uniquement sous forme de facteur de forme virtuel (VPX) et doit être installé sur un hyperviseur VMware ESXi ou XenServer. Les ressources minimales nécessaires pour configurer une appliance SD-WAN Center sont 8 Go de RAM et 4 cœurs de CPU. Voici les étapes pour Installer et configurer une machine virtuelle SD-WAN Center.

Configurer le SD-WAN Center pour la connectivité Azure

Lisez créer un principal de service pour plus d’informations.

Pour authentifier avec succès le SD-WAN Center auprès d’Azure, les paramètres suivants doivent être disponibles :

• Répertoire (ID de locataire)
• Application (ID client)
• Clé sécurisée (Secret client)
• ID d’abonné

Authentifier le SD-WAN Center :

Dans l’interface utilisateur du SD-WAN Center, accédez à Configuration > Connectivité cloud > Azure > Virtual WAN. Configurez les paramètres de connexion Azure. Reportez-vous au lien suivant pour plus d’informations sur la configuration de la connexion VPN Azure, Azure Resource Manager.

Saisissez l’ID d’abonnement, l’ID de locataire, l’ID d’application et la clé sécurisée. Cette étape est requise pour authentifier le SD-WAN Center auprès d’Azure. Si les informations d’identification saisies ci-dessus ne sont pas correctes, l’authentification échoue et aucune autre action n’est autorisée. Cliquez sur Appliquer.

Le champ Compte de stockage fait référence au compte de stockage que vous avez créé dans Azure. Si vous n’avez pas créé de compte de stockage, un nouveau compte de stockage est automatiquement créé dans votre abonnement lorsque vous cliquez sur Appliquer.

Obtenir les ressources Azure Virtual WAN :

Une fois l’authentification réussie, Citrix SD-WAN interroge Azure pour obtenir une liste des ressources WAN virtuelles Azure que vous avez créées à la première étape après vous être connecté au portail Azure. Les ressources WAN représentent l’ensemble de votre réseau dans Azure. Elles contiennent des liens vers tous les hubs que vous souhaitez avoir au sein de ce WAN. Les WAN sont isolés les uns des autres et ne peuvent pas contenir de hub commun ni de connexions entre deux hubs différents dans des ressources WAN différentes.

Pour associer les sites de branche et les ressources WAN Azure :

Un site de branche doit être associé aux ressources WAN Azure pour établir des tunnels IPsec. Une branche peut être connectée à plusieurs hubs au sein d’une ressource WAN virtuelle Azure et une ressource WAN virtuelle Azure peut être connectée à plusieurs sites de branche sur site. Créez des lignes uniques pour chaque déploiement de ressource WAN virtuelle Azure par branche.

Pour ajouter plusieurs sites :

Vous pouvez choisir d’ajouter tous les sites respectifs et de les associer aux ressources WAN uniques choisies.

1. Cliquez sur Ajouter plusieurs pour ajouter tous les sites qui doivent être associés aux ressources WAN choisies.

   

2. La liste déroulante des ressources WAN Azure (illustrée ci-dessous) est pré-remplie avec les ressources appartenant à votre compte Azure. Si aucune ressource WAN n’a été créée, cette liste est vide et vous devez naviguer vers le portail Azure pour créer les ressources. Si la liste est remplie de ressources WAN, choisissez la ressource WAN Azure à laquelle vous devez connecter les sites de branche.

3. Choisissez un ou tous les sites de branche pour lancer le processus d’établissement du tunnel IPsec. Les liens WAN Internet public ayant la meilleure capacité sont automatiquement choisis pour établir les tunnels IPsec vers les passerelles VPN Azure.

   

Pour ajouter un seul site :

Vous pouvez également choisir d’ajouter des sites un par un (individuellement) et, à mesure que votre réseau se développe, ou si vous effectuez un déploiement site par site, vous pouvez choisir d’ajouter plusieurs sites comme décrit ci-dessus.

1. Cliquez sur Ajouter une nouvelle entrée pour sélectionner un nom de site pour l’association Site-WAN. Ajoutez des sites dans la boîte de dialogue Configurer les sites pour le réseau Azure.

   

   

2. Sélectionnez le site de branche à configurer pour le réseau WAN virtuel Azure.

3. Sélectionnez le lien WAN associé au site (les liens de type Internet public sont listés par ordre de meilleure capacité de lien physique).

4. Sélectionnez la ressource WAN à laquelle le site doit être associé dans le menu déroulant WAN virtuels Azure.

5. Cliquez sur Déployer pour confirmer l’association. Le statut (« Initialisation des informations de site », « Informations de site poussées » et « En attente de configuration VPN ») est mis à jour pour vous informer du processus.

Le processus de déploiement inclut les statuts suivants :

• Pousser les informations de site
• En attente de configuration VPN
• Tunnels déployés

• Connexion active (le tunnel IPsec est actif) ou Connexion inactive (le tunnel IPsec est inactif)

  

Associer les mappages de ressources WAN de site (portail Azure) :

Associez les sites déployés sur le portail Azure aux hubs virtuels créés sous la ressource WAN virtuel Azure. Un ou plusieurs hubs virtuels peuvent être associés au site de branche. Chaque hub virtuel est créé dans une région spécifique et des charges de travail spécifiques peuvent être associées aux hubs virtuels en créant des connexions de réseau virtuel. Ce n’est qu’après que l’association du site de branche au hub virtuel est réussie que les configurations VPN sont téléchargées et que les tunnels IPsec respectifs sont établis du site aux passerelles VPN.

Attendez que le statut passe à Tunnels déployés ou Connexion active pour afficher les paramètres du tunnel IPsec. Affichez les paramètres IPsec associés aux services sélectionnés.

Paramètres Azure SD-WAN :

• Désactiver la gestion des changements SD-WAN – Par défaut, le processus de gestion des changements est automatisé. Cela signifie que chaque fois qu’une nouvelle configuration est disponible dans l’infrastructure Azure Virtual WAN, le SD-WAN Center l’obtient et commence à l’appliquer automatiquement aux branches. Cependant, ce comportement est contrôlé si vous souhaitez contrôler le moment où une configuration doit être appliquée aux branches. L’un des avantages de la désactivation de la gestion automatique des changements est que la configuration de cette fonctionnalité et d’autres fonctionnalités SD-WAN est gérée indépendamment.

• Désactiver l’interrogation SD-WAN – Désactive tous les nouveaux déploiements Azure SD-WAN et l’interrogation sur les déploiements existants.

• Intervalle d’interrogation – L’option d’intervalle d’interrogation contrôle l’intervalle de recherche des mises à jour de configuration dans l’infrastructure Azure Virtual WAN. Le temps recommandé pour l’intervalle d’interrogation est de 1 heure.

• Désactiver la connexion de branche à branche – Désactive la communication de branche à branche sur l’infrastructure Azure Virtual WAN. Par défaut, cette option est désactivée. Une fois que vous l’activez, cela signifie que les branches sur site peuvent communiquer entre elles et avec les ressources derrière les branches via IPsec à travers l’infrastructure WAN virtuel d’Azure. Cela n’a aucun effet sur la communication de branche à branche via le chemin virtuel SD-WAN ; les branches peuvent communiquer entre elles et avec leurs ressources/points de terminaison respectifs via le chemin virtuel même si cette option est désactivée.

• Désactiver BGP – Cela désactive BGP sur IP ; par défaut, c’est désactivé. Une fois activé, les routes du site sont annoncées via BGP.

• Niveau de débogage – Permet de capturer les journaux pour déboguer en cas de problèmes de connectivité.

Actualiser les ressources WAN :

Cliquez sur l’icône Actualiser pour récupérer le dernier ensemble de ressources WAN que vous avez mis à jour sur le portail Azure. Un message indiquant « ressources WAN actualisées avec succès » s’affiche une fois le processus d’actualisation terminé.

Supprimer l’association de ressource WAN de site

Sélectionnez un ou plusieurs mappages pour effectuer la suppression. En interne, le processus de gestion des changements de l’appliance SD-WAN est déclenché et tant qu’il n’est pas réussi, l’option Supprimer est désactivée pour empêcher d’autres suppressions. La suppression d’un mappage vous oblige à dissocier ou à supprimer les sites correspondants dans le portail Azure. L’utilisateur doit effectuer cette opération manuellement.

Surveiller les tunnels IPsec

Dans l’interface utilisateur du SD-WAN Center, accédez à Rapports > IPsec pour vérifier l’état des tunnels IPsec. L’état du tunnel doit être VERT pour que le trafic de données circule.