Citrix SD-WAN Orchestrator pour site 14.3

Gestion intrabande

Le service Citrix SD-WAN Orchestrator vous permet de gérer l’appliance SD-WAN de deux manières : gestion hors bande et gestion intrabande. La gestion hors bande vous permet de créer une adresse IP de gestion à l’aide d’un port réservé à la gestion, qui transporte uniquement le trafic de gestion. La gestion in-band vous permet d’utiliser les ports de données SD-WAN pour la gestion. Il transporte à la fois le trafic de données et de gestion, sans avoir à configurer un chemin de gestion supplémentaire.

La gestion in-band permet aux adresses IP virtuelles de se connecter à des services de gestion tels que l’interface utilisateur Web et SSH. Vous pouvez activer la gestion in-band sur une interface approuvée qui est activée pour être utilisée pour les services IP. Vous pouvez accéder à l’interface utilisateur Web et SSH à l’aide de l’adresse IP de gestion et des adresses IP virtuelles in-band.

Remarque

La gestion intrabande dans le service Citrix SD-WAN Orchestrator est prise en charge pour Citrix SD-WAN 11.1.1 et versions ultérieures.

Pour activer la gestion intrabande sur une adresse IP virtuelle, au niveau du site, accédez à Configuration > Configurationdu site>Interfaces. Sélectionnez l’adresse IP virtuelle à utiliser comme port de gestion in-band. Vous pouvez utiliser l’adresse IP de gestion InBandou lagestion InBand IPv6 pour accéder à l’interface utilisateur Web et à SSH.

Remarque

La gestion in-band est prise en charge uniquement sur les ports LAN.

Gestion intrabande

Pour une procédure détaillée sur la configuration d’une adresse IP virtuelle, voir Interfaces.

L’IP de gestion in-band agit également comme IP de gestion de sauvegarde. Il est utilisé comme adresse IP de gestion si le port de gestion n’est pas configuré avec une Gateway par défaut. Sélectionnez le proxy DNS vers lequel toutes les requêtes DNS sur le plan de gestion intrabande sont transférées. Pour plus d’informations sur la configuration du proxy DNS, voir Proxy DNS.

Pour les cas d’utilisation où la connectivité de l’appliance au service Citrix SD-WAN Orchestrator bascule entre les ports de gestion et les ports intrabande, configurez le DNS de gestion intrabande ou le DNS de gestion intrabande V6 pour garantir une connectivité ininterrompue du service Citrix SD-WAN Orchestrator.

Provisioning intrabande

La nécessité de déployer des appliances SD-WAN dans des environnements plus simples, comme la maison ou les petites succursales, a considérablement augmenté. La configuration d’un accès de gestion distinct pour des déploiements plus simples est une surcharge supplémentaire. Le déploiement sans contact et la fonction de gestion in-band permettent le Provisioning et la gestion de la configuration via des ports de données désignés. Le déploiement sans contact est pris en charge sur les ports de données désignés et il n’est pas nécessaire d’utiliser un port de gestion distinct pour le déploiement sans contact.

Vous pouvez provisionner une appliance à l’état expédié en usine, qui prend en charge le Provisioning in-band en connectant le port de données ou de gestion à Internet. Les appliances prenant en charge le Provisioning in-band disposent de ports spécifiques pour le réseau local et le réseau étendu. L’appliance en état de réinitialisation d’usine dispose d’une configuration par défaut qui permet d’établir une connexion avec le service de déploiement zéro contact. Le port LAN agit en tant que serveur DHCP et attribue une IP dynamique au port WAN qui agit en tant que client DHCP. Les liaisons WAN surveillent le service DNS Quad 9 pour déterminer la connectivité WAN.

Une fois l’adresse IP obtenue et une connexion établie avec le service de déploiement zéro contact, les packages de configuration sont téléchargés et installés sur l’appliance. Pour plus d’informations sur le déploiement sans contact via le service Citrix SD-WAN Orchestrator, consultez Zero Touch Deployment.

Remarque

  • Le Provisioning in-band est applicable à toutes les plates-formes. Toutefois, la configuration par défaut n’est activée que sur les plates-formes Citrix SD-WAN 110 et VPX car les autres plates-formes sont livrées avec une version logicielle plus ancienne.
  • Pour le Provisioning jour 0 des appliances SD-WAN via les ports de données, la version logicielle de l’appliance doit être Citrix SD-WAN 11.1.1 ou supérieure.

La configuration par défaut d’une appliance en état de réinitialisation d’usine comprend les configurations suivantes :

  • Serveur DHCP sur port LAN
  • Client DHCP sur port WAN
  • Configuration QUAD9 pour DNS
  • L’adresse IP LAN par défaut est 192.168.101.1/24 pour les appliances Citrix SD-WAN avec l’image d’usine 11.1.1.39.
  • L’adresse IP LAN par défaut est 192.168.0.1/24 pour l’appliance Citrix SD-WAN 110 avec image d’usine 11.0.4.
  • Licence Grace de 35 jours.

Une fois l’appliance provisionnée, la configuration par défaut est désactivée et remplacée par la configuration reçue du service de déploiement zéro contact. Si une licence d’appliance ou une licence de grâce expire, la configuration par défaut est activée, ce qui garantit que l’appliance reste connectée au service de déploiement zéro contact et reçoit le service géré par licence.

Configuration de secours

La configuration de secours garantit que l’appliance reste connectée au service de déploiement zéro contact en cas de panne de liaison, d’incompatibilité de configuration ou d’incompatibilité logicielle. La configuration de secours est activée par défaut sur les appliances disposant d’un profil de configuration par défaut. Vous pouvez également modifier la configuration de secours en fonction de vos paramètres réseau LAN existants.

La configuration de secours conserve la connectivité à l’appliance via l’adresse IP de gestion intrabande de l’appliance et le service Citrix SD-WAN Orchestrator dans les scénarios suivants :

  • Où le t2_app se bloque
  • vous essayez d’effectuer la réinitialisation de la configuration

Dans un scénario où la gestion intrabande d’une appliance est configurée et que vous effectuez une réinitialisation manuelle de la configuration ou que le t2_app se bloque plus de quatre fois en 120 secondes en raison de la configuration utilisateur. Dans ce cadre, le service est désactivé et vous perdez donc la connectivité au service Citrix SD-WAN Orchestrator et à l’appliance.

Mais si la configuration de secours était activée, vous obtiendrez les fonctionnalités ci-dessous :

  • Accès intrabande de base aux fonctionnalités de gestion (interface utilisateur Web, SSH/SNMP)
  • Possibilité pour l’appliance de se connecter à des services externes via un port intrabande (Citrix SD-WAN Orchestrator Service/ZTD)

Dans de tels scénarios, au lieu de désactiver, l’appliance de service revient avec une configuration de secours avec le service activé. La connectivité au service Citrix SD-WAN Orchestrator et à l’appliance via l’adresse IP de gestion intrabande reste intacte tant que la liaison est connectée à Internet.

Remarque

Après le provisionnement initial de l’appliance, assurez-vous que la configuration de secours est activée pour une connectivité du service de déploiement sans intervention.

Si la configuration de secours est désactivée, vous pouvez l’activer via le service Citrix SD-WAN Orchestrator au niveau du site en accédant à Configuration > Paramètres de l’appliance > Fallback et en cliquant sur Activer la configuration de secours .

Activer la configuration de secours

Pour personnaliser la configuration de secours en fonction de votre réseau local, modifiez les valeurs des paramètres LAN suivants conformément aux exigences de votre réseau. Il s’agit de la configuration minimale requise pour établir une connexion avec le service de déploiement zéro touche.

  • ID du VLAN : ID du VLAN auquel le port LAN doit être groupé.
  • Adresse IP : AdresseIP virtuelle affectée au port LAN.
  • Activer le serveur DHCP : active le port LAN en tant que serveur DHCP. Le serveur DHCP attribue des adresses IP dynamiques au port WAN.
  • Début DHCP et fin DHCP : plage d’adresses IP que DHCP utilise pour attribuer dynamiquement une adresse IP au port WAN.
  • Serveur DNS dynamique : active le port LAN en tant que serveur de noms de domaine.
  • Serveur DNS : adresse IP du serveur DNS principal.
  • Serveur DNS Alt : Adresse IP du serveur DNS secondaire.
  • Accès Internet : Autoriser l’accès Internet à tous les clients LAN sans autre filtrage.

Paramètres de configuration de secours

Configurez le mode pour chaque port. Le port peut être un port LAN ou un port WAN ou peut être désactivé. Les ports affichés dépendent du modèle de l’appliance. En outre, définissez le mode de contournement de port sur Fail-to-block ou Fail-to-Wire.

Le tableau suivant fournit les détails des ports WAN et LAN prédésignés pour la configuration de secours sur différentes plates-formes :

Plateforme Ports WAN Ports LAN
110 1/2 1/1
110-LTE 1/2, LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

Paramètres du port

Les ports WAN peuvent être configurés en tant que liens WAN indépendants à l’aide du client DHCP et surveillent le service DNS Quad9 pour déterminer la connectivité WAN. Vous pouvez configurer les IP WAN ou IP statiques pour les ports WAN en l’absence de DHCP pour utiliser la gestion in-band pour le provisionnement initial.

Remarque

Vous ne pouvez configurer les ports Ethernet qu’avec les adresses IP statiques. Les IP statiques ne sont pas configurables avec les ports LTE-1 et LTE-E1. Bien que vous puissiez ajouter les ports LTE-1 et LTE-E1 en tant que WAN, les champs de configuration restent non modifiables.

Lorsque vous ajoutez un port WAN, il est ajouté dans la section Paramètres WAN (Port : 2) avec la case à cocher Activer DHCP sélectionnée par défaut. Si la case Mode DHCP est cochée, les champs de texte Adresse IP, Adresse IP de passerelleetID du VLANsont grisés. Décochez la caseActiver le DHCP si vous souhaitez configurer une adresse IP statique.

Paramètres du port WAN

Par défaut, le champ Adresse IP de suivi du WAN est automatiquement rempli avec le 9.9.9.9. Vous pouvez modifier l’adresse au besoin.

Remarque

Si vous cochez la case Serveurs DNS dynamiques, veillez à ajouter/configurer au moins un port WAN avec le mode DHCP sélectionné.

Pour réinitialiser la configuration de secours à la configuration par défaut à tout moment, cliquez sur Réinitialiser.

Remarque

Il est recommandé d’activer la configuration de secours sur toutes les appliances connectées à Orchestrator via le port intraband/de gestion connecté au sous-réseau LAN. Assurez-vous que la configuration de secours par défaut est configurée conformément aux exigences de votre sous-réseau.

Basculement de port

Le service Citrix SD-WAN Orchestrator permet également de transférer le trafic de gestion de manière fluide vers le port de gestion lorsque le port de données tombe en panne et inversement. Si une appliance peut se connecter à Internet via les ports de gestion et in-band, le port de gestion est choisi pour un déploiement sans contact.

Au redémarrage de l’appliance, si Internet est disponible via le port intrabande et non le port de gestion, l’appliance est immédiatement connectée au service Citrix SD-WAN Orchestrator.

Une fois la connexion établie, un agent de service s’exécutant sur l’appliance envoie les informations de pulsation au service Citrix SD-WAN Orchestrator toutes les 10 secondes. Si le service Citrix SD-WAN Orchestrator ne reçoit pas le rythme cardiaque pendant 5 minutes, le basculement du port intrabande est activé. Le service Citrix SD-WAN Orchestrator indique que l’appliance est hors ligne pendant cette période.

Au redémarrage de l’appliance, si Internet n’est pas disponible sur le port de gestion et dans la bande et une fois la connexion Internet rétablie, l’agent de service prend environ 5 minutes pour redémarrer et établir une connexion.

Assurez-vous que l’option Préserver l’itinéraire vers Internet à partir du lien même si tous les chemins associés sont inactifs est activée au niveau du réseau, Configuration > Delivery Services > Internet. S’assurer que la connectivité au service Citrix SD-WAN Orchestrator est maintenue même si le chemin virtuel est en panne.

Conserver la route vers Internet

Port de gestion ou de données configurable

La gestion in-band permet aux ports de données de transporter à la fois les données et le trafic de gestion, éliminant ainsi le besoin d’un port de gestion dédié. Il laisse le port de gestion inutilisé sur les appliances bas de gamme, qui ont déjà une faible densité de port. Citrix SD-WAN vous permet de configurer le port de gestion pour qu’il fonctionne en tant que port de données ou port de gestion.

Remarque

Vous pouvez convertir le port de gestion en port de données uniquement sur les plates-formes suivantes.

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

Lors de la configuration d’un site, utilisez le port de gestion dans votre configuration. Une fois la configuration activée, le port de gestion est converti en port de données.

Remarque

Vous pouvez configurer un port de gestion uniquement lorsque la gestion intrabande est activée sur d’autres interfaces approuvées de l’appliance.

Pour configurer une interface de gestion, au niveau du site, accédez à Configuration > Configurationdu site>Interfaces et sélectionnez l’interface MGMT. Pour plus d’informations sur la configuration des groupes d’interfaces, voir Interfaces.

Port de gestion configurable

Pour reconfigurer le port de gestion afin d’exécuter la fonctionnalité de gestion, supprimez la configuration. Créez une configuration sans utiliser le port de gestion et activez-la.

Gestion intrabande