Connectivité avec les appliances Citrix SD-WAN
Après avoir configuré les sites sur Citrix SD-WAN Orchestrator pour locaux, établissez la connectivité entre les appliances Citrix SD-WAN sur les sites à l’aide de Citrix SD-WAN Orchestrator pour locaux. Vous pouvez établir la connectivité de l’une des manières suivantes :
-
Authentification unidirectionnelle : l’appliance SD-WAN authentifie Citrix SD-WAN Orchestrator pour les applications locales. Lorsque vous activez l’authentification unidirectionnelle, vous devez télécharger le certificat Citrix SD-WAN Orchestrator for On-premises et le télécharger sur l’appliance SD-WAN.
-
Authentification bidirectionnelle : Le SD-WAN s’authentifie mutuellement à l’aide des certificats échangés. Lors de l’activation de l’authentification bidirectionnelle, vous devez télécharger le certificat de l’appliance SD-WAN sur Citrix SD-WAN Orchestrator pour site et également le certificat Citrix SD-WAN Orchestrator pour site sur l’appliance SD-WAN.
-
Aucune authentification : La connectivité est établie entre le Citrix SD-WAN Orchestrator pour locaux et les appliances SD-WAN sans authentification. Vous n’avez pas besoin d’utiliser l’appliance SD-WAN ou Citrix SD-WAN Orchestrator pour le certificat sur site. Vous pouvez utiliser l’option Aucune authentification lorsque vous disposez d’un réseau sécurisé tel que MPLS.
Remarque
Il est recommandé de n’utiliser que l’authentification unidirectionnelle ou l’ authentification bidirectionnelle. En l’absence d’authentification, vous devez choisir le serveur DNS sécurisé.
Vous pouvez configurer la connectivité avec chaque site manuellement ou utiliser le déploiement automatique sans intervention.
Remarque
Citrix SD-WAN 11.3.0 est la version logicielle minimale requise pour qu’une appliance se connecte à Citrix SD-WAN Orchestrator pour les applications locales.
Déploiement sans contact
Le déploiement sans intervention est un processus automatisé qui permet de configurer la connectivité entre les appliances et Citrix SD-WAN Orchestrator pour les applications sur site. Vous pouvez établir la connectivité automatiquement à l’aide de paramètres de déploiement Zero Touch non cloud ou de déploiements Zero Touch négociés dans le cloud.
Déploiement sans intervention sur le cloud
Les paramètres de déploiement sans intervention sur le cloud vous permettent de configurer Citrix SD-WAN Orchestrator pour obtenir des informations sur site sur les appliances SD-WAN. L’API NITRO exécutée dans le back-end gère le téléchargement et le chargement des certificats. Il télécharge le certificat depuis Citrix SD-WAN Orchestrator pour locaux, se connecte à l’appliance SD-WAN et télécharge le certificat. Il télécharge également le certificat de l’appliance SD-WAN et le télécharge sur Citrix SD-WAN Orchestrator pour les applications locales.
Remarque
Le déploiement sans intervention sur le cloud est pris en charge sur les appliances SD-WAN fonctionnant avec la version 11.3.0 ou ultérieure.
Le déploiement sans contact prend uniquement en charge l’authentification unidirectionnelle et l’authentification bidirectionnelle.Aucune authentification n’est prise en charge. Si letype d’authentificationest activé sur la pageAdministration > Authentification par certificat, l’authentification bidirectionnelle est établie. Si letype d’authentification est désactivé, l’authentification unidirectionnelle est établie.
Vous pouvez ajouter des sites manuellement ou importer un fichier CSV pour ajouter plusieurs sites simultanément.
Pour configurer les paramètres de déploiement sans contact sur le cloud, accédez à Administration > Paramètres ZTD > ZTD non cloud, puis cliquez sur + Site.
Remarque
Vous pouvez également accéder aux paramètres de déploiement sans intervention sur le cloud pour chaque site à partir de la page d’ accueil de la configuration réseau . Cliquez sur l’icône d’action du site et sélectionnez ZTD non cloud.
Sélectionnez un site dans la liste déroulante Nom du site et entrez l’adresse IP de gestion de l’appliance Citrix SD-WAN.
L’activation de l’option Utiliser l’interface ZTD garantit que l’interface ZTD est utilisée pour les ZTD non cloud, si l’interface ZTD est activée sur SD-WAN Orchestrator for On-premises.
Remarque
- Ignorez l’option Utiliser l’interface ZTD, si l’interface ZTD n’est pas activée sur SD-WAN Orchestrator for On-premises.
- Activez l’option Utiliser l’interface ZTD lorsque l’appliance SD-WAN peut accéder à l’adresse IP de l’interface ZTD mais ne peut pas accéder à l’adresse IP de gestion.
- Ne pas sélectionner l’option Utiliser l’interface ZTD après avoir activé l’interface ZTD ne signifie pas que l’adresse IP de l’interface de gestion est utilisée pour la communication entre l’appliance SD-WAN et le SD-WAN Orchestrator for On-premises. L’option Utiliser l’interface ZTD est utilisée uniquement pour la configuration initiale de l’appliance à l’aide de ZTD non cloud.
Entrez le nom d’utilisateur et le mot de passe du dispositif. Cochez la case Freshly Provisioned si vous ajoutez un site récemment approvisionné sur lequel le mot de passe par défaut n’a pas été modifié. Entrez le nouveau mot de passe. Le mot de passe par défaut est remplacé par le nouveau mot de passe au cours de ce processus de déploiement sans intervention.
Remarque
Pour un site nouvellement approvisionné, il est obligatoire de modifier le mot de passe par défaut lors de la première connexion.
Cliquez sur + pour continuer à ajouter d’autres sites.
Vous pouvez également importer un fichier CSV pour ajouter plusieurs sites simultanément. Un exemple de modèle téléchargeable est disponible dans l’interface utilisateur. Téléchargez-le et fournissez les détails du site.
- Nom de l’appliance : nom du site configuré lors de la configuration du site. Pour plus d’informations, consultez la section Configuration du site.
- Nom d’utilisateur de l’appliance : nom d’utilisateur configuré sur l’appliance du site.
- Mot de passe de l’appliance : mot de passe correspondant à l’appliance du site.
- Le mot de passe a-t-il expiré ? Détermine si l’appliance vient d’être approvisionnée. Si la valeur est True, entrezle nouveau mot de passe de l’appliance.
- Nouveau mot de passe de l’appliance : mot de passe pour les appliances fraîchement approvisionnées. Si la valeur Le mot de passe est-il expiré est True, entrez le nouveau mot de passe de l’appliance.
- Est une appliance principale : si la haute disponibilité (HA) est configurée, l’appliance active doit avoir la valeur True et l’appliance de secours doit avoir la valeur False. Si HA n’est pas configuré, la valeur doit être True.
Cliquez sur Importer, sélectionnez le fichier CSV et cliquez sur Télécharger.
L’état de configuration des sites s’affiche. Vous pouvez choisir de supprimer les sites individuellement ou de tout supprimer si les sites ne sont pas nécessaires pour un déploiement sans intervention.
Déploiement Zero Touch négocié dans le cloud
Le déploiement Zero Touch négocié dans le cloud utilise le service Citrix SD-WAN Orchestrator comme intermédiaire entre Citrix SD-WAN Orchestrator pour locaux et les appliances Citrix SD-WAN. Citrix SD-WAN Orchestrator pour locaux envoie un package de configuration de déploiement sans intervention dans le cloud au service Citrix SD-WAN Orchestrator. Le package de configuration du déploiement cloud Zero-Touch comprend les informations suivantes :
- Informations d’identité sur site
- Type d’authentification
- Certificat sur site
- Détails de l’appareil (liste des numéros de série)
Le service Citrix SD-WAN Orchestrator stocke les informations reçues de Citrix SD-WAN Orchestrator pour les applications locales. Lorsqu’une appliance contacte le service Citrix SD-WAN Orchestrator avec son numéro de série, l’intelligence acquise par le service Citrix SD-WAN Orchestrator détermine que l’appliance doit être gérée par Citrix SD-WAN Orchestrator for On-premises. Le service Citrix SD-WAN Orchestrator transmet le Citrix SD-WAN Orchestrator pour les informations sur site à l’appliance. L’appliance Citrix SD-WAN envoie son certificat au service Orchestrator. Le service Citrix SD-WAN Orchestrator reçoit et stocke le certificat de l’appliance.
Citrix SD-WAN Orchestrator pour locaux récupère régulièrement le certificat de l’appliance auprès du service Citrix SD-WAN Orchestrator. Une fois qu’une connexion sécurisée est établie entre Citrix SD-WAN Orchestrator pour locaux et l’appliance, le Citrix SD-WAN Orchestrator pour locaux transmet la configuration et les fichiers pertinents aux appliances.
Les paramètres de déploiement Zero Touch négociés dans le cloud ne sont disponibles que pour les clients dans une configuration gérée par le client. La configuration gérée par le fournisseur ne prend pas en charge les paramètres de déploiement Zero Touch négociés dans le cloud.
Conditions préalables
- Les appliances doivent accéder aux noms de domaine suivants pour établir une connexion avec le service Citrix SD-WAN Orchestrator :
- sdwanzt.citrixnetworkapi.net
- download.citrixnetworkapi.net
- trust.citrixnetworkapi.net
- sdwan-home.citrixnetworkapi.net
- Assurez-vous que Citrix SD-WAN Orchestrator pour locaux dispose toujours d’une connectivité au service Citrix SD-WAN Orchestrator pour les appliances SD-WAN intégrées.
- Assurez-vous que l’appliance Citrix SD-WAN est connectée au service SD-WAN Orchestrator lors du processus d’intégration initial et si la réinitialisation d’usine est effectuée sur l’appliance SD-WAN.
Pour configurer les paramètres de déploiement Zero Touch proposés par Cloud, procédez comme suit :
-
Dans Citrix SD-WAN Orchestrator pour locaux, créez et définissez des sites à l’aide du flux de travail guidé. Pour plus d’informations, voir Configuration du site.
-
Vérifiez et compilez la configuration à l’aide du suivi de déploiement. Pour plus d’informations, consultez la section Deployment Tracker dans la rubrique Configuration réseau .
-
Accédez à Administration > Paramètres ZTD > Cloud Brokered ZTD et cliquez sur + Site.
-
Dans la liste déroulante, sélectionnez un nom de site et cliquez sur Ajouter. Les sites sont répertoriés en fonction de votre configuration. Vous pouvez sélectionner un seul site ou plusieurs sites.
-
La configuration de déploiement sans contact dans le cloud est créée et envoyée au service Citrix SD-WAN Orchestrator.
-
Branchez et allumez les appliances SD-WAN du centre de données et des succursales.
-
Les appliances contactent le service Citrix SD-WAN Orchestrator avec leur numéro de série.
-
Le service Citrix SD-WAN Orchestrator agit en tant que courtier entre Citrix SD-WAN Orchestrator for On-premises et les appliances. Il permet l’échange de certificats et l’appliance Citrix SD-WAN établit une connexion sécurisée avec Citrix SD-WAN Orchestrator pour les environnements locaux. Une fois le déploiement sans intervention réussi, le site configuré est mis en ligne et s’affiche dans la colonne Orchestrator Connectivity sous Configuration > Network Config Home.
-
Activez et organisez la configuration pour transférer la configuration et le logiciel aux appliances.
-
Une fois la configuration/le logiciel appliqué, les chemins virtuels sont établis et la colonne Disponibilité sous Configuration > Network Config Home est mise à jour avec l’état du chemin virtuel approprié.
REMARQUE :
Citrix SD-WAN Orchestrator pour locaux prend environ 30 minutes pour récupérer le certificat de l’appliance et intégrer complètement les appliances. Pour extraire les certificats de l’appliance immédiatement (sans attendre 30 minutes), cliquez sur Extraire les certificats de l’appliance.
Si nécessaire, vous pouvez choisir de cliquer sur Supprimer les paramètres ZTD de Cloud Brokered. Il supprime les informations relatives à tous les sites. Si vous devez supprimer les informations d’un site en particulier, cliquez sur l’icône de suppression correspondant à ce site.
Limitations
-
Les appliances SD-WAN ne peuvent pas se connecter à plusieurs instances de Citrix SD-WAN Orchestrator pour locaux qui partagent des informations de connexion au cloud. Par exemple, une appliance SD-WAN reste connectée à Citrix SD-WAN Orchestrator for On-premises configuré pour la première fois. Le Citrix SD-WAN Orchestrator pour les détails locaux qui sont configurés ensuite ne sont pas transmis à l’appliance SD-WAN.
-
Les appliances SD-WAN connectées via LTE ne peuvent pas établir de connexion avec Citrix SD-WAN Orchestrator pour les solutions locales hébergées sur un réseau privé.
Paramètres de l’interface ZTD
Vous pouvez activer une interface Zero Touch Deployment (ZTD) sur SD-WAN Orchestrator pour les applications sur site. L’interface ZTD sécurisée par une authentification bidirectionnelle fournit une interface de communication sécurisée pour les appliances SD-WAN et l’SD-WAN Orchestrator pour les applications sur site.
Après avoir activé l’interface ZTD, les nouvelles appliances D-WAN déployées via la technologie ZTD non cloud et la technologie ZTD négociée dans le cloud utilisent l’adresse IP de l’interface ZTD pour communiquer avec SD-WAN Orchestrator pour les applications sur site.
Comme condition préalable, assurez-vous que SD-WAN Orchestrator pour machine virtuelle sur site dispose d’une interface supplémentaire, en plus de l’interface de gestion.
Remarque
Pour la machine virtuelle VMware ESXi, assurez-vous que la machine virtuelle est redémarrée après avoir ajouté une interface supplémentaire pour ZTD.
Activation de l’interface ZTD
Dans l’interface utilisateur graphique locale de SD-WAN Orchestrator, accédez à Administration > Paramètres ZTD et sélectionnez Activer l’interface ZTD pour activer l’interface ZTD. Fournissez l’adresse IP de l’interface ZTD, le masque de sous-réseau et l’adresse IP de la passerelle.
Sélectionnez Utiliser l’interface de gestion pour les sites existants pour vous assurer que les appliances SD-WAN déjà déployées via le ZTD non-Cloud ou le Cloud Brokered-ZTD continuent à se connecter à SD-WAN Orchestrator pour les sites locaux à l’aide de l’adresse IP de l’interface de gestion.
Avertissement
Si l’option Utiliser l’interface de gestion pour les sites existants n’est pas sélectionnée, les appliances SD-WAN déjà déployées via le ZTD non-Cloud ou le Cloud Brokered-ZTD perdent la connexion au SD-WAN Orchestrator for On-premises.
Configuration de ZTD non cloud à l’aide de l’interface ZTD
Si l’option Utiliser l’interface de gestion pour les sites existants est sélectionnée, les appliances déjà déployées à l’aide de Non-Cloud ZTD continuent d’utiliser l’adresse IP de l’interface de gestion pour se connecter à SD-WAN Orchestrator for On-premises. Initiez un ZTD non cloud sur les appliances afin d’établir une connexion avec SD-WAN Orchestrator for On-premises à l’aide de l’adresse IP de l’interface ZTD.
Remarque
Vous pouvez désactiver l’option Utiliser l’interface de gestion pour les sites existants une fois que toutes les appliances SD-WAN ont établi une connexion avec SD-WAN Orchestrator for On-premises via l’adresse IP de l’interface ZTD.
Si l’option Utiliser l’interface de gestion pour les sites existants n’est pas sélectionnée, les appliances SD-WAN déjà déployées à l’aide de Non-Cloud ZTD perdent la connexion à SD-WAN Orchestrator for On-premises. Lancez la technologie ZTD non cloud sur les appliances SD-WAN afin de rétablir la connexion avec SD-WAN Orchestrator pour les applications sur site à l’aide de l’adresse IP de l’interface ZTD.
Configuration de Cloud Brokerd ZTD à l’aide de l’interface ZTD
Si l’option Utiliser l’interface de gestion pour les sites existants est sélectionnée, les appliances déjà déployées à l’aide de Cloud Brokered ZTD continuent d’utiliser l’adresse IP de l’interface de gestion pour se connecter à SD-WAN Orchestrator pour les sites locaux. Pour établir une connexion avec SD-WAN Orchestrator for On-premises à l’aide de l’adresse IP de l’interface ZTD, effectuez l’une des opérations suivantes :
-
Sur les appliances SD-WAN, mettez à jour l’adresse IP et le certificat du SD-WAN Orchestrator for On-premises.
Remarque
Mettez à jour le certificat uniquement si les certificats sont régénérés manuellement ; vous n’avez pas besoin de mettre à jour le certificat si les appliances possèdent déjà les certificats.
-
Effectuez une réinitialisation d’usine et lancez Cloud Brokered-ZTD sur les appliances, afin d’établir une connexion avec SD-WAN Orchestrator for On-premises à l’aide de l’adresse IP de l’interface ZTD.
Remarque
Vous pouvez désactiver l’option Utiliser l’interface de gestion pour les sites existants une fois que toutes les appliances SD-WAN ont établi une connexion avec SD-WAN Orchestrator for On-premises via l’adresse IP de l’interface ZTD.
Si l’option Utiliser l’interface de gestion pour les sites existants n’est pas sélectionnée, les appliances SD-WAN déjà déployées à l’aide de la technologie ZTD négociée dans le cloud perdent la connexion à SD-WAN Orchestrator for On-premises. Pour rétablir la connexion avec SD-WAN Orchestrator for On-premises à l’aide de l’adresse IP de l’interface ZTD, effectuez l’une des opérations suivantes :
-
Sur les appliances SD-WAN, mettez à jour l’adresse IP et le certificat du SD-WAN Orchestrator for On-premises.
-
Effectuez une réinitialisation d’usine et lancez Cloud Brokered-ZTD sur les appliances, afin d’établir une connexion avec SD-WAN Orchestrator for On-premises à l’aide de l’adresse IP de l’interface ZTD.
Configuration manuelle de la connectivité
Lors de la configuration manuelle de la connectivité, vous devez télécharger le certificat Citrix SD-WAN Orchestrator for On-premises et le charger sur chaque appliance du réseau. Cela implique de se connecter manuellement à chaque appliance pour télécharger les certificats.
Pour configurer la connectivité manuellement :
-
Accédez à Administration > Authentification par certificat et activez le type d’authentification.
Lorsque le type d’authentification est activé, l’appliance SD-WAN peut se connecter à Citrix SD-WAN Orchestrator pour les applications locales uniquement via une authentification bidirectionnelle. Lorsque le type d’authentification est désactivé, l’appliance SD-WAN peut se connecter à Citrix SD-WAN Orchestrator pour les applications locales via une authentification sans authentification, une authentification unidirectionnelle ou une authentification bidirectionnelle.
Remarque :
Dans une configuration gérée par un fournisseur, seuls les fournisseurs peuvent activer le type d’authentification et régénérer le certificat Citrix SD-WAN Orchestrator for On-premises.
-
Cliquez sur Régénérer et téléchargez le certificat Citrix SD-WAN Orchestrator pour site.
-
Choisissez une appliance dans la section Certificat de l’appliance et téléchargez le certificat correspondant téléchargé depuis l’appliance SD-WAN. Pour des informations détaillées sur le téléchargement du certificat de l’appliance, consultez la section Configuration locale de Citrix SD-WAN Orchestrator sur l’appliance SD-WAN.
REMARQUE
- Seul le type de fichier .pem est pris en charge.
- Seuls les administrateurs du client peuvent télécharger le certificat de l’appliance.
-
Connectez-vous à l’interface utilisateur de l’appliance SD-WAN, accédez à Configuration > Réseau étendu virtuel > SD-WAN Orchestratorsur site. Téléchargez le certificat téléchargé depuis Citrix SD-WAN Orchestrator pour les applications locales. Pour des informations détaillées, consultez Citrix SD-WAN Orchestrator pour la configuration sur site sur une appliance SD-WAN.
Vérifier la connectivité
Pour vérifier l’état de connectivité de l’appliance, accédez à Configuration > Page d’accueil de la configuration réseauet vérifiez la colonne Cloud Connectivity correspondant à votre site.
Remarque
Vous pouvez publier le logiciel souhaité pour mettre à niveau les dispositifs sous Infrastructure > Administration de l’orchestrateur > Images logicielles > Appliance. Pour plus d’informations, voir Publier un logiciel.
Configuration de secours
La configuration de secours garantit que le Citrix SD-WAN Orchestrator pour la connectivité sur site que vous avez établi avec l’appliance Citrix SD-WAN est conservé via l’adresse IP de gestion intrabande de l’appliance.
Vous pouvez activer la configuration de secours sur Citrix SD-WAN Orchestrator for On-premises au niveau du site en accédant à Configuration > Paramètres de l’appliance > Fallback et en cliquant sur Activer la configuration de secours.
Pour des informations détaillées sur la configuration de secours, consultez la section Gestion intrabande.
Remarque
Si vous utilisez une appliance autre que Citrix SD-WAN 110 SE, assurez-vous d’exécuter SD-WAN 11.2 ou une version ultérieure pour activer la configuration de secours par défaut.
Le tableau suivant fournit les détails des ports WAN et LAN prédésignés pour la configuration de secours sur différentes plates-formes :
Plateforme | Ports WAN | Ports LAN |
---|---|---|
110 | 1/2 | 1/1 |
110-LTE | 1/2, LTE-1 | 1/1 |
210 | 1/4, 1/5 | 1/3 |
210-LTE | 1/4, 1/5, LTE-1 | 1/3 |
VPX | 2 | 1 |
410 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
1100 | 1/4, 1/5, 1/6 | 1/3 (FTB) |