Citrix SD-WAN Orchestrator

Règles IP

Les règles IP vous aident à créer des règles pour votre réseau et à prendre certaines décisions en matière de qualité de service (QoS) en fonction de ces règles. Vous pouvez créer des règles personnalisées pour votre réseau. Par exemple, vous pouvez créer une règle comme suit : Si l’adresse IP source est 172.186.30.74 et l’adresse IP de destination est 172.186.10.89, définissez la politique de trafic sur Chemin persistant et letype de traficsurTemps réel.

Vous pouvez créer des règles pour les flux de trafic et les associer à des applications et à des classes. Vous pouvez spécifier des critères pour filtrer le trafic d’un flux et appliquer un comportement général, un comportement LAN vers WAN, un comportement WAN vers LAN et des règles d’inspection de paquets.

Vous pouvez créer des règles IP globales et spécifiques au site au niveau du réseau. Si un site est associé à la règle créée globalement, vous pouvez créer des règles spécifiques au site. Dans de tels cas, les règles spécifiques au site prévalent et remplacent la règle créée globalement.

Les règles de protocole IP par défaut HTTP, HTTPS et ALTHTTPS apparaissent toujours en haut de la liste dans le tableau des règles. Toutefois, les règles IP spécifiques au site (une fois créées) apparaissent au-dessus des règles HTTP, HTTPS, ALTHTTPS et des règles IP globales dans le tableau des règles.

Création de règles IP

Pour créer des règles IP, accédez à Configuration > QoS > Politiques de QoS > Règles IP. Sélectionnez l’onglet Règles globales pour créer des règles IP au niveau global ou Règles spécifiques au site/au groupe pour créer des règles au niveau du site.

Cliquez sur Nouvelle règle IP dans la section Règles IP .

Règles IP

  • Critères de correspondance du protocole IP

    • Ajouter/supprimer des sites : (disponible uniquement lors de la création d’une règle IP spécifique au site) Sélectionnez les sites, cliquez sur Vérifier, puis sur Terminé.
    • Réseau source : adresse IP source et masque de sous-réseau auxquels la règle correspond.
    • Réseau de destination : adresse IP de destination et masque de sous-réseau auxquels la règle correspond.
    • Utiliser un groupe IP : cochez la case Utiliser un groupe IP pour sélectionner un groupe IP existant dans la liste déroulante.
    • Src = Dst : si cette option est sélectionnée, l’adresse IP source est également utilisée comme adresse IP de destination.
    • Port source : portsource (ou plage de ports source) auquel la règle correspond.
    • Port de destination : port de destination (ou plage de ports de destination) auquel la règle correspond.
    • Src = Dst : si cette option est sélectionnée, le port source est également utilisé pour le port de destination.
    • Protocole : protocole auquel la règle correspond. Vous pouvez sélectionner l’un des protocoles prédéfinis, ou sélectionner N’importe lequelou Numéro.
    • Numéro de protocole : Ce champ s’affiche uniquement lorsque vous sélectionnez Numéro dans la liste déroulante des protocoles . Lorsque vous sélectionnez un numéro de protocole, l’entier associé au protocole est utilisé pour les configurations principales.
    • DSCP : la balise DSCP dans l’en-tête IP à laquelle la règle correspond.
    • Domaine de routage : domaine de routage auquel la règle correspond.
    • ID du VLAN : Entrez l’ID du VLAN pour la règle. L’ID du VLAN identifie le trafic à destination et en provenance de l’interface virtuelle. Utilisez l’ID du VLAN comme 0 pour désigner le trafic natif ou non balisé.
    • Relier le flux lors d’une modification DSCP : lorsque cette option est sélectionnée, les flux qui sont par ailleurs identiques en termes de critères de correspondance sont traités séparément si leurs champs DSCP diffèrent.
  • Politique de trafic sur Virtual Path

    Cochez la case Activer la politique de trafic sur les chemins virtuels .

    • Site distant par chemin virtuel : sélectionnez le chemin virtuel du site distant.
    • Politique de trafic : Choisissez l’une des politiques de trafic suivantes selon vos besoins.
      • Chemins d’équilibragede charge : le trafic d’applications pour le flux est équilibré sur plusieurs chemins. Le trafic est envoyé par le meilleur chemin jusqu’à ce que ce chemin soit utilisé. Les paquets restants sont envoyés par le meilleur chemin suivant.
      • Chemin persistant : le trafic de l’application reste sur le même chemin jusqu’à ce que le chemin d’accès ne soit plus disponible. Sélectionnez l’une des politiques de persistancesuivantes :
        • Persister sur le lien d’origine : le trafic de l’application reste sur le lien d’origine jusqu’à ce que le chemin ne soit plus disponible.
        • Persister sur le lien MPLS si disponible, sinon sur le lien d’origine : le trafic de l’application reste sur le lien MPLS. Si la liaison MPLS n’est pas disponible, le trafic reste sur la liaison d’origine.
        • Persister sur le lien Internet si disponible, sinon sur le lien d’origine : le trafic de l’application reste sur le lien Internet. Si le lien Internet n’est pas disponible, le trafic reste sur le lien d’origine.
        • Poursuivre sur le lien intranet privé si disponible, sinon sur le lien d’origine : le trafic de l’application reste sur le lien intranet privé. Si le lien intranet privé n’est pas disponible, le trafic reste sur le lien d’origine.

        L’impédance de persistance est le temps (en ms) pendant lequel le trafic de l’application reste sur le lien.

      • Chemins dupliqués : le trafic des applications est dupliqué sur plusieurs chemins, ce qui augmente la fiabilité
      • Override Service : Le trafic du flux est prioritaire vers un autre service. Sélectionnez le type de service Intranet, Internet, relais ou Discard auquel le service de chemin virtuel remplace.

      Règles IP

  • Paramètres QoS (classe QoS)

    • Type de transfert : Choisissez l’un des types de transfert suivants :
      • Temps réel : utilisé pour le trafic à faible latence, à faible bande passante et sensible au temps. Les applications en temps réel sont urgentes mais n’ont pas vraiment besoin d’une bande passante élevée (par exemple, la voix sur IP). Les applications en temps réel sont sensibles à la latence et à l’instabilité, mais peuvent tolérer certaines pertes.
      • Interactif : Utilisé pour le trafic interactif avec des exigences de latence faible à moyenne et des exigences de bande passante faible à moyenne. L’interaction se fait généralement entre un client et un serveur. La communication peut ne pas nécessiter de bande passante élevée, mais elle est sensible à la perte et à la latence.
      • Vrac : Utilisé pour le trafic à bande passante élevée et les applications pouvant tolérer une latence élevée. Les applications qui gèrent le transfert de fichiers et nécessitent une bande passante élevée sont classées dans la catégorie des applications groupées. Ces applications impliquent peu d’interférence humaine et sont principalement traitées par les systèmes eux-mêmes.
    • Priorité : Choisissez une priorité pour le type de transfert sélectionné.
  • Politique de trafic Internet

    • Cochez la case Activer la politique Internet pour configurer la politique de trafic Internet.
    • Mode : méthode de transmission et de réception de paquets pour les flux qui répondent à la règle. Vous pouvez choisir le service de remplacement ou le lien WAN selon vos besoins.
    • Liaison WAN : liaison WAN à utiliser par les flux correspondant à la règle lorsque l’équilibrage de charge Internet est activé.
    • Override Service : service de destination des flux correspondant à la règle.

    Remarque

    Un service de chemin virtuel ne peut pas remplacer un autre service de chemin virtuel.

Règles IP, politique Internet

Paramètres avancés

Paramètres avancés des règles IP

  • WAN en général

    • Retransmettre les paquets perdus : envoie le trafic correspondant à cette règle à l’appliance distante via un service fiable et retransmet les paquets perdus.
    • Activer l’agrégation de paquets : regroupe les petits paquets en paquets plus volumineux.
    • Activer la terminaison TCP : Active la terminaison TCP du trafic pour ce flux. Le temps aller-retour pour l’accusé de réception des paquets est réduit, ce qui améliore le débit.
    • Activer GRE : compresse les en-têtes dans les paquets GRE.
    • Activer IP, TCP et UDP : compresse les en-têtes dans les paquets IP, TCP et UDP.

      Remarque :

      les paquets IPv6 ne supportent pas la compression d’en-tête.

  • LAN vers WAN

    Général

    • Profondeur de dépôt (octets) : seuil de profondeur de file d’attente au-delà duquel les paquets sont supprimés.
    • Limite de suppression : délaiaprès lequel les paquets en attente dans le planificateur de classes sont supprimés. Ne s’applique pas à une classe en vrac.
    • Taille de paquets volumineux : Les paquets inférieurs ou égaux à cette taille se voient attribuer les valeurs de limite de dépôt et de profondeur de dépôt spécifiées dans les champs Profondeur de chute des grands paquets (octets) et Limite de chute des grands paquets (ms) . Les paquets supérieurs à cette taille se voient attribuer les valeurs spécifiées dans les champs Drop Limit et Drop Depth par défaut.
    • Activer RED : Random Early Detection (RED) garantit un partage équitable des ressources de classe en rejetant les paquets en cas de congestion.
    • Profondeur de désactivation des paquets dupliqués (octets) : profondeur de file d’attente du planificateur de classes à laquelle les paquets dupliqués ne sont pas générés.
    • Limite de désactivation des paquets dupliqués : durée pendant laquelle la duplication peut être désactivée pour empêcher les doublons de consommer de la bande passante.
    • Profondeur de dépôt des paquets importants (octets) : si la profondeur de la file d’attente dépasse ce seuil, les paquets sont supprimés et les statistiques sont comptabilisées.
    • Limite de perte de paquets importants (ms) : durée maximale estimée pendant laquelle les paquets supérieurs ou égaux à la taille des grands paquets doivent attendre dans le planificateur de classes. Si le temps estimé dépasse ce seuil, les paquets sont supprimés et les statistiques sont comptabilisées. Non valide pour les cours groupés.

    Réaffecter

    • Priorité : Vous pouvez définir la priorité de la liaison WAN de secours selon vos besoins. La priorité de la liaison WAN de secours indique l’ordre dans lequel une liaison WAN de secours devient active. Une liaison WAN de secours de haute priorité devient active en premier. Une liaison WAN de faible priorité devient active en dernier.
    • Type de transfert : Sélectionnez un type de transfert auquel associer cette règle.
    • Profondeur de désactivation des paquets dupliqués (octets) : profondeur de file d’attente du planificateur de classes à laquelle les paquets dupliqués ne sont pas générés.
    • Limite de désactivation des paquets dupliqués : indique la durée pendant laquelle un paquet attend dans la file d’attente avant que la duplication ne soit effectuée, ce qui empêche les paquets dupliqués de consommer de la bande passante lorsque la bande passante est limitée.
    • Profondeur de dépôt des paquets importants (octets) : si la profondeur de la file d’attente dépasse ce seuil, les paquets sont supprimés et les statistiques sont comptabilisées.
    • Limite de perte de paquets volumineux (ms) : si le temps estimé dépasse ce seuil, les paquets sont supprimés et les statistiques sont comptabilisées. Non valide pour les cours groupés.
    • Profondeur de chute normale des paquets (octets) : si la profondeur de la file d’attente dépasse ce seuil, les paquets sont supprimés et les statistiques sont comptabilisées.
    • Limite normale de perte de paquets (ms) : si le temps estimé dépasse ce seuil, les paquets sont supprimés et les statistiques sont comptabilisées. Non valide pour les cours groupés.
  • WAN vers LAN

    • BaliseDSCP : étiquetteDSCP appliquée aux paquets qui répondent à cette règle sur le réseau WAN vers le réseau local, avant de les envoyer au réseau local.
    • Activer le reséquençage des paquets : Les flux de trafic qui correspondent à la règle sont balisés pour l’ordre des séquences, et les paquets sont réorganisés (si nécessaire) au niveau de l’appliance WAN vers LAN.
    • Hold Time : Intervalle de temps pendant lequel les paquets sont conservés pour le reséquencement, après quoi les paquets sont envoyés au réseau local. Lorsque le temporisateur expire, les paquets sont envoyés au réseau local sans attendre plus longtemps les numéros de séquence prédéfinis.

      Si la règle a une politique de trafic en tant que chemin dupliqué, le temps de maintien par défaut est de 80 ms. Sinon, la valeur par défaut est de 900 ms pour les règles TCP et de 250 ms pour les règles non TCP.

    • Supprimer les paquets de reséquençage en retard : élimine les paquets hors ordre arrivés après l’envoi des paquets nécessaires au reséquençage au réseau local.

Cliquez sur Enregistrer pour enregistrer les paramètres de configuration. Cliquez sur Vérifier la configuration sur la page Configuration > Politiques de QoS pour valider toute erreur d’audit.

Paramètres avancés des règles IP

Vérifier les règles IP

Pour vérifier les règles IP, accédez à Rapports > Temps réel > Flux. Sélectionnez le site pour lequel vous souhaitez consulter les informations sur les flux et le nombre de flux à afficher. Cliquez sur Personnaliser les colonnes et cochez les cases correspondant aux informations de flux que vous souhaitez afficher. Vérifiez si les informations de flux sont conformes aux règles configurées.

Accédez à Rapports > Temps réel > Statistiques et sélectionnez Règles. Choisissez le site et cliquez sur Récupérer les dernières données. Vérifiez les règles configurées. Pour plus d’informations, consultez la section Rapports du site.

Règles IP