Citrix SD-WAN Orchestrator pour les locaux 14.4

Routage

La section Routage propose les options suivantes :

  • Règles de routage
  • Récapitulatif des itinéraires
  • Domaines de routage
  • Importer des profils d’itinéraire
  • Exporter les profils d’itinéraire
  • nœuds de transit

Règles de routage

Les stratégies de routage aident à activer la direction du trafic. En fonction de la sélection (Itinéraires d’application et routes IP), vous pouvez utiliser différentes façons de diriger le trafic.

Stratégie de routage

Itinéraires d’application

Cliquez sur + Route de l’application pour créer un itinéraire d’application.

  • Critères de correspondance des applications personnalisés :

    • Type de correspondance : Sélectionnez le type de correspondance Application/Application personnalisée/Groupe d’applications dans la liste déroulante.
    • Application : Choisissez une application dans la liste.
    • Domaine de routage : sélectionnez un domaine de routage.
  • Champ d’application : Vous pouvez définir la portée de l’application au niveau global ou au niveau spécifique du site et du groupe.

  • Pilotage du trafic ;
    • Service de livraison : Choisissez un service de livraison dans la liste.
    • Coût : reflète la priorité relative de chaque itinéraire. Réduisez le coût, plus la priorité est élevée.
  • Éligibilité basée sur le parcours :
    • Ajouter un chemin : choisissez un site et des liens WAN. Si le chemin choisi descend, la route de l’application ne reçoit aucun trafic.

Route de l'application

Si une nouvelle route d’application est ajoutée, le coût de l’itinéraire doit se situer dans la plage suivante :

  • Application personnalisée : 1 à 20
  • Nombre dedemandes : 21 à 40
  • Groupe d’applications : 41—60

Routes IP

Accédez à l’onglet Routes IP et cliquez sur + Politique d’itinéraire IP vers IP pour orienter le trafic.

Route IP

  • Critères de correspondance du protocole IP :

    • Réseau de destination : Ajoutez le réseau de destination qui permet de transférer les paquets.
    • Utiliser un groupe IP : vous pouvez ajouter un réseau de destination ou activer la case à cocher Utiliser un groupe IP pour sélectionner n’importe quel groupe IP dans la liste déroulante.
    • Domaine de routage : sélectionnez un domaine de routage dans la liste déroulante.
  • Étendue : Vous pouvez définir le périmètre de la route IP au niveau global ou au niveau spécifique du site et du groupe.

  • Pilotage du trafic :
    • Service de livraison : Choisissez un service de livraison dans la liste déroulante.
    • Coût : reflète la priorité relative de chaque itinéraire. Réduisez le coût, plus la priorité est élevée.

    Si une nouvelle route IP est ajoutée, le coût de l’itinéraire doit être compris entre 1 et 20.

  • Critères d’éligibilité :
    • Exporter l’itinéraire : si la case Exporter l’itinéraire est cochée et si l’itinéraire est un itinéraire local, l’itinéraire peut être exporté par défaut. Si l’itinéraire est un itinéraire basé sur INTRANET/INTERNET, alors pour que l’exportation fonctionne, le transfert WAN vers WAN doit être activé. Si la case Exporter l’itinéraire est décochée, l’itinéraire local ne peut pas être exporté vers un autre SD-WAN et a une importance locale.
  • Éligibilité basée sur le parcours :
    • Ajouter un chemin : choisissez un site et des liens WAN. Si le chemin ajouté tombe en panne, la route IP ne reçoit aucun trafic.

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Récapitulatif des itinéraires

La synthèse des itinéraires réduit le nombre de routes qu’un routeur doit maintenir. Un itinéraire récapitulatif est un itinéraire unique qui est utilisé pour représenter plusieurs itinéraires. Il permet d’économiser la bande passante en envoyant une annonce de route unique, réduisant ainsi le nombre de liens entre les routeurs. Il économise de la mémoire car une seule adresse de route est conservée. Les ressources CPU sont utilisées plus efficacement en évitant les recherches récursives. Vous pouvez ajouter des itinéraires récapitulatifs sans spécifier l’adresse IP de la passerelle.

Domaine de routage

Lesdomaines de routage sont utilisés pour séparer le trafic via le VLAN. Une fois les domaines de routage créés, vous pouvez les référencer au niveau global (pour les services Intranet) ou au niveau de l’interface.

Vous pouvez également sélectionner le domaine de routage par défaut qui s’applique à tous les sites.

Domaine de routage par défaut

Pour faire correspondre les itinéraires d’un domaine de routage spécifique, cliquez sur + Domaine de routage et choisissez l’un des domaines de routage configurés dans la liste déroulante. Cliquez sur Enregistrer.

Domaines de routage de segmentation réseau

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Pour plus d’informations, consultez la section Domaine de routage.

Service de domaine d’interroutage

Citrix SD-WAN Orchestrator pour locaux fournit un service de domaine d’interroutage statique, permettant la fuite d’itinéraires entre les domaines de routage au sein d’un site ou entre différents sites. Cela élimine le besoin d’un routeur de bord pour gérer les fuites de route. Le service de routage inter-VRF peut également être utilisé pour configurer des routes, des stratégies de pare-feu et des règles NAT.

Pour plus d’informations, voir Service d’interroutage de domaines.

Pour configurer le service Inter-Routing Domain via Citrix SD-WAN Orchestrator pour locaux, procédez comme suit :

  1. Au niveau du réseau, accédez à Configuration > Routage > Domaines de routage > Service d’inter-domainesde routage.

  2. Cliquez sur + Domaine d’interroutage et entrez des valeurs pour les paramètres suivants :

  • Nom : Nom du service de domaine inter-routage.
  • Domaine de routage 1 : premier domaine de routage de la paire.
  • Domaine de routage 2 : deuxième domaine de routage de la paire.
  • Zone de pare-feu : Zone de pare-feu du service.
    • Par défaut : La zone de pare-feu Inter_Routing_Domain_Zone est attribuée.
    • Aucune : Le service se comporte comme un conduit, qui n’a pas de zone et conserve la zone d’origine du paquet.
    • Toutes les zones configurées dans le réseau peuvent être sélectionnées.

    Service de domaine d'interroutage

Pour créer des itinéraires à l’aide du service de domaine inter-routage, créez un itinéraire avec le type de service en tant que service de domaine inter-routage et sélectionnez le service de domaine inter-routage. Pour plus d’informations sur la configuration des itinéraires, consultez la section Politiques de routage.

Règles de routage

Ajoutez également une route à partir de l’autre paire de domaines de routage, pour établir une connexion entre les deux domaines de routage.

Vous pouvez également configurer des stratégies de pare-feu pour contrôler le flux de trafic entre les domaines de routage. Dans les stratégies de pare-feu, sélectionnez Service de domaine Inter-routage pour les services source et de destination et sélectionnez l’action de pare-feu requise. Pour plus d’informations sur la configuration des politiques de pare-feu, voir Politiques de pare-feu.

Stratégies pare-feu

Vous pouvez également choisir le type de service Intranet pour configurer les stratégies NAT statiques et dynamiques. Pour plus d’informations sur la configuration des politiques NAT, voir Traduction d’adresses réseau.

Importer des profils d’itinéraire

Vous pouvez configurer des filtres pour affiner la manière dont se déroule l’apprentissage par route.

Les règles de filtre d’importation sont des règles qui doivent être respectées avant d’importer des itinéraires dynamiques dans la base de données de routage SD-WAN. Par défaut, aucun itinéraire n’est importé.

Importer des profils d'itinéraire

Ajoutez un profil de filtre d’importation avec le nom du profil d’importation, la disponibilité du profil et les filtres d’importation, ainsi que les champs suivants :

  • Protocole  : sélectionnez le protocole dans la liste.
  • Domaine de routage : pour faire correspondre les itinéraires d’un domaine de routage spécifique, choisissez l’un des domaines de routage configurés dans la liste.
  • Routeur source  : entrez l’adresse IP et le masque de réseau de l’objet réseau configuré qui décrit le réseau de l’itinéraire.
  • IP de destination  : entrez l’adresse IP de destination.
  • Préfixe  : pour faire correspondre les itinéraires par préfixe, choisissez un prédicat de correspondance dans la liste et entrez un préfixe d’itinéraire dans le champ adjacent.
  • Saut suivant  : entrez la destination du saut suivant.
  • Tag d’itinéraire  : renseignez le tag d’itinéraire.
  • Coût  : méthode (prédicat) et coût d’itinéraire SD-WAN utilisés pour affiner la sélection des itinéraires exportés.

 Importer les détails du profil d'itinéraire

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

Exporter des profils d’itinéraire

Définissez les règles à respecter lors de la publicité de routes SD-WAN via des protocoles de routage dynamiques. Par défaut, tous les itinéraires sont annoncés aux pairs.

Exporter le profil d'itinéraire

Cliquez sur Vérifier la configuration pour valider toute erreur d’audit.

nœuds de transit

Nœud de transit de superposition virtuelle

Les nœuds de transit sont les sites capables de transférer le trafic entre une ou plusieurs succursales au sein d’une région.

Le trafic entre deux nœuds peut être influencé pour choisir un nœud de transit comme saut intermédiaire en ajustant le coût de l’itinéraire. Les nœuds de transit sont utilisés pour acheminer les données vers des nœuds non adjacents. Par exemple, si trois nœuds sont connectés dans la série A-B-C, les données de A à C peuvent être acheminées via B. Vous pouvez spécifier le nœud de transit et les sites à acheminer via le nœud de transit dans le service Citrix SD-WAN Orchestrator. Les chemins virtuels sont choisis dans l’ordre croissant du coût. Réduisez le coût, plus la priorité.

Architecture du nœud de transit

Nœuds de transit virtuels globaux par défaut

Vous pouvez spécifier les nœuds de contrôle (MCN/RCN) et les nœuds de contrôle géographique (Geo-MCN/RCN) comme nœuds de transit par superposition virtuelle globale par défaut dans un réseau. L’activation de la communication en étoile via Hub dans le cadre des paramètres globaux permet à tous les sites d’utiliser les nœuds de contrôle configurés comme nœuds de transit, par défaut, pour la communication de site à site.

Nœud de transit de superposition virtuelle

Ajoutez le nœud de contrôle et les nœuds de géo-contrôle que vous souhaitez utiliser comme nœuds de transit de superposition virtuels et spécifiez le coût du chemin virtuel. Les nœuds de contrôle et les nœuds de géo-contrôle ont 6 et 7 comme coûts de chemin virtuel par défaut respectifs. Vous pouvez choisir de modifier le coût du chemin virtuel en fonction de vos besoins réseau. Cliquez sur Restaurer les paramètres par défaut pour restaurer les coûts des chemins virtuels par défaut pour les nœuds de transit par défaut.

Remarque

Vous pouvez ajouter au maximum 3 nœuds de contrôle et 3 nœuds de géo-contrôle en tant que nœuds de transit.

Par défaut, le transfert WAN vers WAN est activé sur tous les chemins associés aux nœuds de contrôle et de géo-contrôle sélectionnés. Le transfert Wan-WAN permet à un site d’agir comme un saut intermédiaire entre deux sites adjacents pour n’importe quel trafic de site à site, Internet ou intranet et d’agir comme médiateur pour les chemins virtuels dynamiques.

Vous pouvez annuler les paramètres du nœud de transit global et choisir d’activer ou de désactiver le transfert de point à point uniquement sur les nœuds de transit de contrôle sélectionnés. Lorsque le transfert Spoke to Spoke est activé, le nœud de contrôle de transit exporte les itinéraires sur les sites qui lui sont connectés. La communication de site à site et le chemin virtuel dynamique entre les sites connectés au nœud de transit sont seuls activés.

L’activation de l’exportation d’itinéraires permet le transfert de chemin virtuel vers un chemin virtuel et l’exportation d’itinéraires (transfert WAN vers WAN) sur tous les chemins de site. La désactivation du bouton active uniquement le transfert d’un chemin virtuel vers un chemin virtuel et désactive l’exportation d’itinéraires sur tous les chemins du site. L’exportation d’itinéraires ne peut être activée que lorsque le transfert Spoke to Spoke est activé.

Activer/désactiver l'exportation d'itinéraires

Préférences spécifiques au site pour les nœuds de transit de superposition virtuelle

Les préférences spécifiques au site pour les nœuds de transit de superposition virtuels vous permettent de remplacer les paramètres globaux des nœuds de transit virtuels de superposition pour tous les sites de votre réseau. Vous pouvez également choisir un nœud autre que le contrôle comme nœud de transit principal d’un site. Choisissez un nœud de contrôle ou un nœud de contrôle géo-contrôle comme nœuds de transit secondaire et tertiaire. Si le nœud de transit principal est en panne, les sites utilisent le nœud de transit secondaire. Si les nœuds de transit primaires et secondaires sont en panne, les sites utilisent le nœud de transit tertiaire. Spécifiez le coût des nœuds de transit et sélectionnez les sites auxquels les paramètres de nœud de transit virtuel de superposition spécifique au site sont appliqués.

Nœud de transit spécifique au site

Nœud de transit Internet

Vous pouvez ajouter des sites en tant que sites de transit Internet pour permettre l’accès Internet aux sites. Les sites qui ont besoin d’une connexion Internet directe doivent avoir au moins un lien avec le service Internet activé. Cela signifie qu’au moins une liaison est définie sur un partage de bande passante non nul.

Un coût de trajet peut être attribué à chaque site de transit. Les sites dont le service Internet est disponible accèdent directement à Internet puisque l’itinéraire direct serait le chemin de routage le moins coûteux. Les sites sans service Internet peuvent acheminer vers Internet via les sites de transit configurés. Lorsque les sites de transit Internet sont configurés, les routes vers Internet via ces sites de transit sont automatiquement transmises à tous les sites. Les sites de transit Internet sont les sites dont le service Internet est activé.

Par exemple, si San Francisco et New York sont configurés en tant que sites de transit Internet. Les itinéraires vers Internet via San Francisco et New York sont automatiquement poussés vers tous les sites.

Le nœud de transit virtuel superposé avec le service Internet activé agit comme le nœud de transit Internet principal. Si le service Internet n’est pas activé sur le nœud de transit virtuel de superposition, le nœud de transit Internet secondaire/de sauvegarde fournit un itinéraire vers Internet.

Nœud de transit Internet

Nœud de transit intranet

Le nœud de transit intranet permet à tous les sites non intranet d’accéder aux réseaux intranet configurés. Un coût de trajet peut être attribué à chaque site de transit. Les sites disponibles avec le service intranet accèdent directement aux réseaux intranet puisque l’itinéraire direct serait le chemin de routage le plus bas coût. Les sites sans service intranet peuvent acheminer vers les réseaux intranet via les sites de transit configurés. Lorsque les sites de transit sont configurés, les itinéraires vers les réseaux intranet via ces sites de transit sont automatiquement acheminés vers tous les sites. Par exemple, si 10.2.1.0/24 est un réseau intranet et qu’Austin et Dallas sont les sites de transit configurés. Les itinéraires vers cette adresse réseau via Austin et Dallas sont automatiquement poussés vers tous les sites. Le nœud de transit virtuel superposé avec le service Intranet activé agit comme le nœud de transit intranet principal. Si le service intranet n’est pas activé sur le nœud de transit virtuel de superposition, le nœud de transit intranet secondaire de sauvegarde fournit un itinéraire vers l’intranet.

Nœud de transit intranet

BGP

Vous pouvez configurer les paramètres BGP pour un site en sélectionnant le site requis dans la liste déroulante et en cliquant sur OK. Cela vous amène à la page de configuration BGP au niveau du site. Pour des informations détaillées sur la configuration de BGP, voir BGP.

Configuration BGP au niveau du réseau

OSPF

Vous pouvez configurer les paramètres OSPF pour un site en sélectionnant le site requis dans la liste déroulante et en cliquant sur OK. Cela vous amène à la page de configuration OSPF au niveau du site. Pour des informations détaillées sur la configuration de l’OSPF, voir OSPF.

Configuration OSPF au niveau du réseau

Groupes de multidiffusion

Vous pouvez configurer le routage de multidiffusion pour un site en sélectionnant le site requis dans la liste déroulante et en cliquant sur OK. Cela vous amène à la page de configuration des groupes de multidiffusion au niveau du site. Pour des informations détaillées sur la configuration du routage de multidiffusion, consultez la section Groupes de multidiffusion.

Routage multidiffusion au niveau réseau

VRRP

Vous pouvez configurer le protocole de redondance du routeur virtuel (VRRP) pour un site en sélectionnant le site requis dans la liste déroulante et en cliquant sur OK. Cela vous amène à la page de configuration du VRRP au niveau du site. Pour des informations détaillées sur la configuration du routage de multidiffusion, voir VRRP.

Routage multidiffusion au niveau réseau

Routage