Paramètres de l’appliance

Le service Citrix SD-WAN Orchestrator vous permet de configurer les paramètres de l’appliance au niveau du site et de les transmettre aux appliances distantes.

Vous pouvez configurer les paramètres utilisateur, les adaptateurs réseau, NetFlow, AppFlow, SNMP, la configuration Fallback et les paramètres du flux de purge.

Remarque

L’option de configuration des paramètres de l’appliance n’est pas disponible lors de la création ou de la modification d’un modèle de site.

Si HA est configuré, sélectionnez l’appliance principale ou secondaire pour laquelle vous souhaitez modifier les paramètres de l’appliance.

Interface administrative

L’interface d’administration vous permet d’ajouter et de gérer les comptes d’utilisateurs locaux et distants. Les comptes d’utilisateur distant sont authentifiés via les serveurs d’authentification RADIUS ou TACACS+.

Gérer les utilisateurs

Vous pouvez ajouter de nouveaux comptes d’utilisateur pour le site. Pour ajouter un nouvel utilisateur, accédez à Configuration > Paramètres de l’appliance > Interface administrateur > Gérer les utilisateurs, puis cliquez sur +Utilisateur.

Fournissez les détails suivants :

• Nom d’utilisateur : nom d’utilisateur du compte utilisateur.
• Nouveau mot de passe : mot de passe du compte utilisateur.
• Confirmer le mot de passe : Entrez à nouveau le mot de passe pour le confirmer
• Niveau utilisateur : sélectionnez l’un des privilèges de compte suivants :
  • Administrateur : Un compte administrateur dispose d’un accès en lecture-écriture à tous les paramètres. Un administrateur peut effectuer la configuration et la mise à jour logicielle du réseau.
  • Afficheur : un compte Viewer est un compte en lecture seule qui permet d’accéder aux sections Tableau de bord, Rapports et Surveillance.
  • Administrateurréseau : un administrateur réseau dispose d’un accès en lecture-écriture aux paramètres réseau et d’un accès en lecture seule pour les autres paramètres.

  • Administrateurde sécurité : un administrateur de sécurité dispose d’un accès en lecture-écriture pour les paramètres liés au pare-feu/à la sécurité, d’un accès en lecture seule pour les autres paramètres.

    Remarque

    L’administrateur de sécurité a le pouvoir de désactiver l’accès en écriture au pare-feu pour les autres utilisateurs (Administrateur/Viewer).

Pour supprimer un utilisateur, sélectionnez un nom d’utilisateur et cliquez sur Supprimer l’utilisateur sélectionné. Le compte d’utilisateur et les fichiers locaux sont supprimés.

Modifier le mot de passe utilisateur local

Pour modifier le mot de passe utilisateur local, accédez à Configuration > Paramètres de l’appliance > Interface administrative > Comptes utilisateurs > Modifier le mot de passe utilisateur local et entrez les valeurs suivantes :

• Nom d’utilisateur : sélectionnez un nom d’utilisateur pour lequel vous souhaitez modifier le mot de passe dans la liste des utilisateurs configurés sur le site.
• Mot de passe actuel : Entrez le mot de passe actuel. Ce champ est facultatif pour les utilisateurs administrateurs.
• Nouveau mot de passe : Entrez le nouveau mot de passe de votre choix.
• Confirmer le mot de passe : Entrez à nouveau le mot de passe pour le confirmer

Serveur d’authentification RADIUS

RADIUS active l’authentification des utilisateurs distants sur l’appliance. Pour utiliser l’authentification RADIUS, vous devez spécifier et configurer au moins un serveur RADIUS. Vous pouvez également configurer des serveurs RADIUS de sauvegarde redondants, jusqu’à un maximum de trois. Les serveurs sont vérifiés séquentiellement. Assurez-vous que les comptes d’utilisateur requis sont créés sur le serveur d’authentification RADIUS.

Pour configurer l’authentification RADIUS, accédez à Configuration > Paramètres du dispositif > Interface administrative > RADIUS, puis cliquez sur Activer RADIUS.

Remarque

Vous pouvez activer l’authentification RADIUS ou TACACS+ sur un site. Vous ne pouvez pas activer les deux en même temps.

Indiquez l’adresse IP de l’hôte du serveur RADIUS et le numéro de port d’authentification. Le numéro de port par défaut est 1812. Entrez une clé Serveur et confirmez-la, il s’agit d’une clé secrète utilisée pour se connecter au serveur RADIUS. Spécifiez l’intervalle de temps d’attente pour une réponse d’authentification du serveur RADIUS. La valeur du délai d’attente doit être inférieure ou égale à 60 secondes.

Remarque

Les paramètres de clé de serveur et de délai d’expiration sont appliqués à tous les serveurs configurés.

Serveur d’authentification TACACS+

TACACS+ permet l’authentification des utilisateurs distants sur l’appliance. Pour utiliser l’authentification TACACS+, vous devez spécifier et configurer au moins un serveur TACACS+. Vous pouvez également configurer des serveurs TACACS+ de sauvegarde redondants, jusqu’à trois au maximum. Les serveurs sont vérifiés séquentiellement. Assurez-vous que les comptes utilisateur requis sont créés sur le serveur d’authentification TACACS+.

Pour configurer l’authentification TACACS+, accédez à Configuration > Paramètres de l’appliance > Interface administrative > TACACS+ et cliquez sur Activer TACACS+.

Remarque

Vous pouvez activer l’authentification RADIUS ou TACACS+ sur un site. Vous ne pouvez pas activer les deux en même temps.

1. Sélectionnez la méthode de chiffrement pour envoyer le nom d’utilisateur et le mot de passe au serveur TACACS+.
2. Indiquez l’adresse IP de l’hôte du serveur TACACS+ et le numéro de port d’authentification. Le numéro de port par défaut est 49.
3. Entrez une clé de serveur et confirmez-la. Il s’agit d’une clé secrète utilisée pour se connecter au serveur TACACS+.
4. Spécifiez l’intervalle de temps d’attente pour une réponse d’authentification du serveur TACACS+. La valeur du délai d’attente doit être inférieure ou égale à 60 secondes.

Remarque

Les paramètres dutype d’authentification, de laclé du serveuret du délai d’expiration sont appliqués à tous les serveurs configurés.

Paramètres de l’hôte NetFlow

Les collecteurs NetFlow collectent le trafic réseau IP lorsqu’il entre ou quitte une interface SD-WAN. Vous pouvez déterminer la source et la destination du trafic, la classe de service et les causes de la congestion du trafic à l’aide des données NetFlow. Pour plus d’informations, consultez Multiple NetFlow Collector.

Vous pouvez configurer jusqu’à trois hôtes NetFlow. Pour configurer les paramètres d’hôte NetFlow, accédez à Configuration > Paramètres de l’appliance > Paramètres de l’ hôte NetFlow. Sélectionnez Activer NetFlow et fournissez l’adresse IP et le numéro de port de l’hôte NetFlow.

Cartes réseau

Pour les appliances Citrix SD-WAN, vous pouvez modifier manuellement les préférences du réseau de gestion, l’adresse IP de gestion et d’autres paramètres réseau. Vous pouvez modifier l’adresse IPv4, le masque de sous-réseau, l’adresse IP de la passerelle, l’adresse IPv6 et le préfixe de l’appliance ou obtenir l’adresse IP automatiquement en activant DHCP ou SLAAC (uniquement pour les adresses IPv6). Pour plus d’informations, consultez la section Protocole de configuration dynamique de l’hôte.

Remarque

• Vous ne pouvez pas modifier l’adresse IP si l’interface est utilisée pour la gestion intrabande. Pour plus d’informations sur la gestion intrabande, voir Gestion intrabande.
• L’option In-band ne fonctionne que si vous avez configuré un port de données en tant que port de gestion intrabande et si le service Internet est configuré. Assurez-vous que vous disposez de la configuration nécessaire pour prendre en charge la gestion intrabande pour l’appliance SD-WAN, avant de définir les préférences de gestion.
• La section Préférences du réseau de gestion (intrabande et hors bande) est visible si l’appliance exécute une version logicielle de la version 11.4.2 ou ultérieure.

Pour configurer les paramètres de l’adaptateur réseau, accédez à Configuration > Paramètres de l’appliance > Adaptateur réseau.

Paramètres de l’hôte AppFlow

AppFlow et IPFIX sont des normes d’exportation de flux utilisées pour identifier et collecter des données d’application et de transaction dans l’infrastructure réseau. Ces données offrent une meilleure visibilité sur l’utilisation et les performances du trafic des applications.

Les données collectées, appelées enregistrements de flux, sont transmises à un ou plusieurs collecteurs IPv4. Les collecteurs regroupent les enregistrements de flux et génèrent des rapports en temps réel ou historiques. Pour plus d’informations, consultez AppFlow et IPFIX.

SNMP

SNMP est utilisé pour échanger des informations de gestion entre les périphériques réseau. SNMPv1 est la première version du protocole SNMP. SNMPv2 est le protocole révisé, qui inclut des améliorations dans les types de paquets de protocole, les mappages de transport et les éléments de structure MIB. SNMPv3 définit la version sécurisée du SNMP. Le protocole SNMPv3 facilite également la configuration à distance des entités SNMP.

L’agent SNMP collecte localement les informations de gestion de l’appliance et les envoie au gestionnaire SNMP chaque fois qu’elles sont interrogées. Si l’agent détecte un événement d’urgence sur l’appliance, il envoie un message d’avertissement au gestionnaire sans attendre que les données soient interrogées. Ce message d’urgence s’appelle un piège. Activez les agents de version SNMP requis, les interruptions correspondantes et fournissez les informations requises. Pour plus de détails, reportez-vous à SNMP.

Pour configurer les paramètres SNMP, accédez à Configuration > Paramètres de l’appliance > SNMP

Configuration de secours

La configuration de secours garantit que l’appliance reste connectée au service de déploiement zéro contact en cas de panne de liaison, d’incompatibilité de configuration ou d’incompatibilité logicielle. La configuration de secours est activée par défaut sur les appliances disposant d’un profil de configuration par défaut. Vous pouvez également modifier la configuration de secours en fonction de vos paramètres réseau LAN existants. Pour plus d’informations, consultez la section Configuration de repli.

Flux

La section des flux vous permet d’activer ou de désactiver le service Citrix Virtual WAN sur l’appliance. L’activation du service active et démarre le démon Virtual WAN. Une option permettant d’activer le service Citrix Virtual Wan est disponible si le service est désactivé.

Désactiver le service Citrix Virtual WAN

L’option Désactiver le service Citrix Virtual WAN est disponible si le service est activé. La désactivation du service arrête le démon Virtual WAN sur l’appliance.

Vous pouvez choisir de collecter un fichier de diagnostic du réseau Virtual WAN avant de désactiver le service Citrix Virtual WAN.

Redémarrer le routage dynamique

Vous pouvez redémarrer le processus d’apprentissage dynamique des itinéraires via les protocoles de routage OSPF et BGP. L’option de redémarrage du routage dynamique est fournie à des fins de dépannage uniquement.

Avertissement

Le redémarrage du routage dynamique peut entraîner une panne du réseau.

Chemins virtuels

Vous pouvez choisir d’activer ou de désactiver le chemin virtuel entre deux sites. Vous pouvez choisir les chemins individuels sous-jacents, dans les deux sens, ou le chemin virtuel de superposition. La désactivation de chemins individuels désactive l’ensemble du chemin virtuel.

Remarque

Tous les chemins sont réactivés après le redémarrage du service Citrix Virtual WAN.

Tous les chemins sur la liaison WAN

Vous pouvez choisir d’activer ou de désactiver les liaisons WAN entre 2 sites. Désactiver toutes les liaisons WAN, désactive le chemin virtuel.

Remarque

Toutes les liaisons WAN sont réactivées après le redémarrage du service Citrix Virtual WAN.

Purger tous les flux de courant

La purge des flux met fin à tous les flux de courant, efface les tables de flux, rétablit les connexions de flux et renseigne la table de flux.

Date et heure

Vous pouvez modifier la date et l’heure de l’appliance manuellement ou à l’aide d’un serveur NTP. Pour configurer la date et l’heure manuellement, assurez-vous que l’option Utiliser un serveur NTP n’est pas sélectionnée et indiquez la date et l’heure.

Si vous sélectionnez l’option Utiliser un serveur NTP, vous ne pouvez pas saisir manuellement la date et l’heure actuelles. Vous pouvez spécifier jusqu’à 4 serveurs NTP, mais vous devez en spécifier au moins un. Ils agissent comme des serveurs NTP de sauvegarde. Si l’un des serveurs est en panne, l’appliance se synchronise automatiquement avec l’autre serveur NTP. Si vous spécifiez un nom de domaine pour un serveur NTP, vous devez également configurer un serveur DNS, sauf si vous l’avez déjà fait.

Si le fuseau horaire doit être modifié, modifiez-le avant de régler la date et l’heure, sinon vos paramètres ne seront pas conservés. Redémarrez l’appliance après avoir modifié le fuseau horaire.

Paramètres du serveur Syslog

Vous pouvez configurer les paramètres du serveur Syslog des appliances SD-WAN à l’aide du service Citrix SD-WAN Orchestrator. En activant les paramètres Syslog, vous pouvez envoyer des alertes système et les détails des événements des appliances SD-WAN à un serveur Syslog externe. Toutefois, vous devez sélectionner le type d’événement sur l’interface utilisateur de l’appliance SD-WAN en accédant à Configuration > Paramètres de l’appliance > Journalisation/surveillance > Options d’alarme. Pour plus d’informations, voir Configuration des alarmes.

Les paramètres de serveur Syslog suivants sont configurables via le service Citrix SD-WAN Orchestrator :

• Activer les messages Syslog : active ou désactive l’envoi de journaux ou de messages d’événements au serveur Syslog.
• Adresse IP du serveur : adresse IP du serveur Syslog.
• Port du serveur : numéro de port du serveur Syslog.
• Authentification auprès de Syslog : active ou désactive l’envoi de journaux d’authentification ou de messages d’événements au serveur Syslog.
• Journaux de pare-feu vers Syslog : activez ou désactivez l’envoi de journaux de pare-feu au serveur Syslog.

Authentification du certificat

Le service Citrix SD-WAN Orchestrator garantit que des chemins sécurisés sont établis entre les appliances du réseau SD-WAN à l’aide de techniques de sécurité telles que le chiffrement du réseau et les tunnels IPsec à chemin virtuel. Outre les mesures de sécurité existantes, l’authentification basée sur des certificats est introduite dans le service Citrix SD-WAN Orchestrator.

L’authentification par certificat permet aux organisations d’utiliser des certificats émis par leur autorité de certification (CA) privée pour authentifier les appliances. Les appliances sont authentifiées avant d’établir les chemins virtuels. Par exemple, si un dispositif de branche tente de se connecter au centre de données et que le certificat de la branche ne correspond pas au certificat attendu par le centre de données, le chemin d’accès virtuel n’est pas établi.

Le certificat émis par l’autorité de certification lie une clé publique au nom de l’appliance. La clé publique fonctionne avec la clé privée correspondante possédée par l’appliance identifiée par le certificat.

Pour activer l’authentification de l’appliance, au niveau du réseau, accédez à Configuration > Sécurité > Sécuritéréseauet sélectionnezActiver l’authentification de l’appliance. Cliquez surEnregistrer.

Pendant le déploiement, si l’authentification de l’appliance est activée mais qu’aucun certificat PKI n’est installé sur l’appliance, le test indique l’état d’échec.

Voir le certificat

Vous pouvez accéder à la page détaillée de l’appareil pour vérifier si le certificat PKI est installé ou non. Pour ce faire, accédez à Configuration > Accueil du réseau, cliquez sur le symbole d’action correspondant au site sur lequel vous souhaitez vérifier le certificat, puis cliquez sur Afficher les détails.

L’écran suivant affiche les détails du site et de l’appareil :

Dans la section Détails du périphérique, vous pouvez consulter l’état de l’installation du certificat PKI.

Charger le bundle d’identité

Le bundle Identity inclut une clé privée et le certificat associé à la clé privée. Vous pouvez télécharger le certificat de l’appliance émis par l’autorité de certification dans l’appliance. Le bundle de certificats est un fichier PKCS12, avec l’extension .p12. Vous pouvez choisir de le protéger avec un mot de passe. Glissez et déposez le fichier PKCS12, entrez un mot de passe et cliquez sur Télécharger. Si vous laissez le champ du mot de passe vide, il est considéré comme n’étant pas protégé par mot de passe.

Charger le bundle d’autorité de certification

Téléchargez le bundle PKCS12 qui correspond à l’autorité de signature du certificat. Le bundle d’autorités de certification inclut la chaîne complète de signatures, la racine et toutes les autorités de signature intermédiaires. Faites glisser le bundle PKCS12 et cliquez sur Télécharger.

Créer une demande de signature de certification

L’appliance peut générer un certificat non signé et créer une demande de signature de certificat (CSR). Pour créer un CSR pour un appareil, saisissez le nom de l’organisation, l’unité, la ville/la ville, la province/la région/le comté/la ville, le pays et l’adresse e-mail. Le nom commun de l’appliance est le nom du site qui est renseigné automatiquement et non modifiable. Cliquez sur Créer un CSR.

Gérer la demande de signature de certificat

Une fois le CSR généré avec succès à partir du back-end, vous devez le télécharger depuis l’appliance et le faire signer par son autorité de certification, puis le télécharger à nouveau sur l’appliance aux formats PEM ou DER. Il est utilisé comme certificat d’identité pour l’appliance. Téléchargez d’abord l’autorité de certification pour signer le certificat.

Une fois l’autorité de certification téléchargée, téléchargez le CSR signé.

Gestionnaire de liste de révocation de certificats

Une liste de révocation de certificats (LCR) est une liste publiée de numéros de série de certificats qui ne sont plus valides sur le réseau. Le fichier CRL est régulièrement téléchargé et stocké localement sur toute l’appliance. Lorsqu’un certificat est authentifié, le répondeur examine la liste de révocation pour voir si le certificat d’initiateurs a déjà été révoqué. Citrix SD-WAN prend actuellement en charge les LCR version 1 au format PEM et DER.

Pour activer la CRL, cochez la case CRL activée. Indiquez l’emplacement où le fichier de liste de révocation de révocation de révocation est Les emplacements HTTP, HTTPS et FTP sont pris en charge. Spécifiez l’intervalle de temps pour vérifier et télécharger le fichier CRL, la plage est de 1 à 1440 minutes. Cliquez sur Paramètres de téléchargement.

Remarque

La période de réauthentification pour un chemin virtua1 peut être comprise entre 10 et 15 minutes. Si l’intervalle de mise à jour des CRL est défini sur une durée plus courte, la liste des CRL mise à jour peut inclure un numéro de série actuellement actif. Mettez un certificat révoqué activement à disposition sur votre réseau pendant une courte durée.

Paramètres du haut débit mobile

Le service Citrix SD-WAN Orchestrator vous permet de connecter une appliance Citrix SD-WAN depuis votre site de succursale à un réseau via une connexion haut débit mobile.

Pour configurer les paramètres du haut débit mobile, au niveau du site, accédez à Configuration > Paramètres de l’appliance > Paramètres du haut débit mobile.

Actuellement, les paramètres du haut débit mobile peuvent être configurés sur les appliances Citrix SD-WAN 110 et Citrix SD-WAN-210.

Vous pouvez configurer les paramètres de haut débit mobile suivants sur le service Citrix SD-WAN Orchestrator.

État du code PIN de

Si vous avez inséré une carte SIM verrouillée par un code PIN, l’état de la carte SIM est Activé. Vous ne pouvez pas utiliser la carte SIM tant qu’elle n’est pas vérifiée à l’aide du code PIN SIM. Vous pouvez obtenir le code PIN de la carte SIM auprès du transporteur. Cliquez sur Vérifier.

Entrez le code PIN de la carte SIM fourni par le transporteur et cliquez sur Vérifier.

Désactiver le PIN SIM

Vous pouvez désactiver la fonctionnalité de code PIN pour une carte SIM pour laquelle le code PIN de la carte SIM est activé et vérifié. Cliquez sur Désactiver. Entrez le code PIN de la carte SIM et cliquez sur Désactiver

Activer le PIN SIM

Pour activer le code PIN de la carte SIM, cliquez sur Activer. Entrez le code PIN de la carte SIM fourni par le transporteur et cliquez sur Activer.

Si l’état du code PIN de la carte SIM passe à Activé et Non vérifié, cela signifie que le code PIN n’est pas vérifié et que vous ne pouvez effectuer aucune opération tant que le code PIN n’est pas vérifié.

Cliquez sur Vérifier le code PIN. Entrez le code PIN de la carte SIM fourni par l’opérateur et cliquez sur Vérifier le code PIN.

Modifier le code PIN SIM

Une fois que le code PIN est activé et vérifié, vous pouvez choisir de le modifier.

Cliquez sur Modifier. Entrez le code PIN SIM fourni par le transporteur. Entrez le nouveau code PIN SIM et confirmez-le. Cliquez sur Modifier.

Débloquer la carte SIM

Si vous oubliez le code PIN de la carte SIM, vous pouvez réinitialiser le code PIN de la carte SIM à l’aide de la carte SIM PUK obtenue auprès du transporteur.

Pour débloquer une carte SIM, cliquez sur Débloquer. Entrez le code PIN et le code PUK de la carte SIM obtenus auprès de l’opérateur et cliquez sur Débloquer.

Remarque

La carte SIM est bloquée de façon permanente avec 10 tentatives infructueuses de PUK, tout en débloquant la SIM. Contactez le fournisseur de services de l’opérateur pour obtenir une nouvelle carte SIM.

Paramètres APN

Pour configurer les paramètres APN, entrez l’APN, le nom d’utilisateur, le mot de passe et l’authentification fournis par l’opérateur. Vous pouvez choisir entre les protocoles d’authentification PAP, CHAPou PAPCHAP . Si le transporteur n’a fourni aucun type d’authentification, définissez-le sur Aucun.

Paramètres réseau

Vous pouvez sélectionner le réseau mobile sur les appliances Citrix SD-WAN qui prennent en charge les modems internes.

Itinérant

L’option d’itinérance est activée par défaut sur vos appareils. Vous pouvez choisir de le désactiver.

Gérer le firmware

Chaque appliance sur laquelle LTE est activée dispose d’un ensemble de microprogrammes disponibles. Vous pouvez sélectionner dans la liste existante du firmware ou télécharger un firmware et l’appliquer. Si vous ne savez pas quel microprogramme utiliser, sélectionnez l’option AUTO-SIM pour permettre au modem LTE de choisir le microprogramme le plus adapté en fonction de la carte SIM insérée dans l’appliance.

Remarque

Actuellement, le firmware ne peut être appliqué que sur les appliances SD-WAN SE 210 LTE.

Activer/désactiver le modem

Activez ou désactivez le modem en fonction de votre intention d’utiliser la fonctionnalité haut débit. Par défaut, le modem est activé.

Redémarrer le modem

Redémarre le modem. Ce processus peut prendre jusqu’à 3 à 5 minutes pour terminer l’opération de redémarrage.

Actualiser la carte SIM

Utilisez cette option lorsque vous remplacez la carte SIM à chaud pour détecter une nouvelle carte SIM.

État du haut débit mobile

La section État du haut débit mobile affiche l’état de vos paramètres de configuration du haut débit. Pour consulter l’état du haut débit mobile, au niveau du site, accédez à Configuration > Paramètres de l’appliance > État du haut débit mobile. Vous pouvez consulter l’état de votre appareil et de la carte SIM active.

Paramètres de l’interface Ethernet

La section État de l’interface Ethernet affiche l’état de connectivité des ports Ethernet, le type d’interface, l’adresse MAC, la négociation automatique et les informations de configuration du duplex. Pour afficher les paramètres de l’interface Ethernet, au niveau du site, accédez à Configuration > Paramètres de l’appliance > Paramètres de l’interface Ethernet. Les ports qui sont inactifs administrativement sont indiqués en rouge.

Remarque

Ce paramètre est actuellement disponible en mode lecture seule sur l’interface utilisateur du service Citrix SD-WAN Orchestrator. Si vous souhaitez modifier les paramètres de l’interface Ethernet, vous pouvez le faire en utilisant la nouvelle interface utilisateur pour les appliances SD-WAN.