Configurer les définitions de liens
Les définitions de lien sont organisées dans une liste ordonnée, une entrée par lien, qui est testée de haut en bas pour chaque paquet entrant ou sortant de l’appliance. La première définition de correspondance détermine à quel lien appartient le paquet. Dans chaque définition de lien se trouve une liste ordonnée de règles, qui est également testée de haut en bas. Chaque paquet est comparé à ces règles, et s’il correspond à l’une d’entre elles, le paquet est considéré comme voyageant sur ce lien.
Dans une seule règle, les champs sont tous traités selon l’opérateur AND, de sorte que toutes les valeurs spécifiées doivent correspondre. Tous les champs ont la valeur par défaut Tout, une entrée générique qui correspond toujours. Lorsqu’un champ est constitué d’une liste, telle qu’une liste de sous-réseaux IP, les entrées de liste sont orées ensemble. Autrement dit, si un élément correspond, la liste dans son ensemble est considérée comme une correspondance.
Les liens peuvent être basés sur l’adaptateur Ethernet associé au trafic, les adresses IP source et de destination, la balise VLAN, le groupe de services WCCP (pour WCCP-GRE uniquement) et l’adresse MAC Ethernet source et destination. Un déploiement en ligne simple peut identifier uniquement les ports de pont accéléré côté LAN et côté WAN (apA.1 et apA.2), tandis qu’un déploiement de centre de données complexe peut nécessiter l’utilisation de la plupart des options fournies pour désambiguïser le trafic.
La définition d’un lien en termes d’adresses IP est possible sauf lorsque des liens redondants sont utilisés. Étant donné qu’un paquet donné peut passer par un lien dans un déploiement active-standby ou active-active dual-link, une autre méthode doit être utilisée pour déterminer quel lien le paquet utilise. Si des ponts doubles sont utilisés, alors le trafic d’une liaison peut passer sur apA et l’autre sur APB, et les liens peuvent être définis en termes d’adaptateurs. Si les deux liens sont desservis par des routeurs différents, les adresses MAC des routeurs peuvent être utilisées pour distinguer le trafic. Lorsque tout le reste échoue, WCCP-GRE peut être utilisé, et le routeur peut utiliser un groupe de services différent pour chaque liaison WAN, permettant à l’unité Citrix SD-WAN WANOP de distinguer le trafic de liaison par groupe de services.
Citrix recommande des définitions de lien basées sur le port pour les déploiements en ligne simples, et des définitions de lien basées sur IP pour tous les autres déploiements.
Pour configurer les définitions de lien :
-
Accédez à Configuration > Règles d’optimisation > Liens et cliquez sur Ajouter.
-
Entrez des valeurs pour les paramètres suivants :
-
Nom : Nomdescriptif du lien, qui peut également décrire s’il s’agit d’une liaison latérale LAN ou WAN.
-
Type de lien : Type de lien, LAN ou WAN.
-
Bandwidth In : limite de bande passante entrante.
-
Sortie de bande passante : limite de bande passante sortante.
-
-
Dans la section Règles de filtrage, cliquez sur Ajouter et entrez des valeurs pour les paramètres suivants :
-
Adaptateur : spécifie une liste d’adaptateurs (ports Ethernet). Lorsque les liens peuvent être identifiés par une carte Ethernet, cela simplifie la configuration.
-
Adresse IP source : Les règles IP source sont prises en compte pour les paquets entrant dans l’unité (les paquets sortant de l’unité sont ignorés). Sur ces paquets, les règles du champ IP Src sont comparées au champ Adresse source dans l’en-tête IP. La règle spécifie une liste d’adresses IP ou de sous-réseaux. Les correspondances négatives, telles que « Exclure 10.0.0.1 », sont également prises en charge.
-
Adresse IP de destination : Les règles IP de destination sont prises en compte pour les paquets sortant de l’unité (les paquets entrant dans l’unité sont ignorés). Sur ces paquets, les règles du champ IP Dst sont comparées au champ Adresse de destination dans l’en-tête IP. La règle spécifie une liste d’adresses IP ou de sous-réseaux. Les correspondances négatives, telles que « Exclure 10.0.0.1 », sont également prises en charge.
-
VLAN : les règles VLAN sont appliquées aux en-têtes VLAN des paquets entrant ou sortant de l’unité.
-
Groupe deservices WCCP : Les règles Groupe de services WCCP sont appliquées aux paquets WCCP encapsulés par GRE-encapsulés entrant ou sortant de l’unité. (Cela ne fonctionne pas avec L2 WCCP.)
-
Adresse MAC source : L’adresse MAC source est utilisée comme critère de filtre.
-
Adresse MACde destination : adresse MAC de destination utilisée comme critère de dilter.
-
-
Cliquez sur Créer.
Le classificateur de trafic utilise les champs Src IP et Dest IP de manière spécialisée (il en va de même pour Src MAC et Dst MAC) :
-
Le champ Src n’est examiné que sur les paquets entrant dans l’appliance.
-
Le Dst n’est examiné que sur les paquets sortant de l’appliance.
-
Liens en ligne
La plupart des appliances Citrix SD-WAN WANOP utilisent un déploiement en ligne simple, où chaque pont accéléré ne sert qu’une liaison WAN. C’est le mode le plus simple à configurer.
Lien en en ligne simple
Dans la figure ci-dessus, tout le trafic passant par le pont accéléré est supposé être du trafic WAN. La liaison est une liaison ADSL avec différentes vitesses d’envoi et de réception (6,0 Mbps vers le bas, 1,0 Mbps vers le haut). Le réseau étendu est connecté au port de pont accéléré apA.1, et le réseau local est connecté au port de pont accéléré apA.2.
Les tâches de définition de la liaison côté WAN (apA.1) sont les suivantes :
-
Donnez au WAN un nom descriptif, tel que « WAN to HQ (apA.1) ».
-
Définissez le type sur « WAN ».
-
Définissez les limites de bande passante entrante et sortante à 95 % de la vitesse de liaison nominale.
-
Vérifiez qu’une règle a été définie qui spécifie l’adaptateur Ethernet WAN, qui dans cet exemple est apA.
-
Cliquez sur Créer.
Les tâches pour le lien côté LAN (apA.2) sont similaires :
-
Donnez-lui un nom descriptif, tel que « Local LAN (apA.2) ».
-
Définissez le type sur « LAN ».
-
Définissez les limites de bande passante entrante et sortante à 95 % de la vitesse Ethernet nominale (95 Mbit/s ou 950 Mbit/s).
-
Vérifiez qu’il existe une règle spécifiant la carte Ethernet LAN, qui dans cet exemple est apA.2.
-
Cliquez sur Créer.
Déploiement en ligne avec deux ponts
La configuration est similaire à la configuration simple du lien en ligne, mais le site a un deuxième lien, un lien T1 vers le WAN de l’entreprise, en plus du lien Internet ADSL. L’appliance Citrix SD-WAN WANOP dispose de deux ponts accélérés, un pour chaque liaison WAN.
La configuration est presque aussi simple que le boîtier à pont unique, avec les étapes supplémentaires suivantes :
-
Modifiez une deuxième liaison WAN sur apB, qui dans ce cas est apB.1. Définissez le type sur « WAN ». Définissez la bande passante de la liaison sur 95 % de la vitesse T1 de 1,5 Mbit/s et donnez à la liaison un nouveau nom, tel que « WAN to HQ ».
-
Ajoutez une règle spécifiant APB.2 à la définition « LAN » et supprimez la définition de lien par défaut pour APB.2. (Vous pouvez également modifier la définition de lien par défaut pour APB.2 pour la spécifier en tant que lien LAN, comme cela a été fait pour apA.2.)
Liens non en ligne
Pour les déploiements en ligne autres que simples (qui ne servent qu’un seul réseau étendu par pont accéléré), utilisez des sous-réseaux IP au lieu des ports de pont pour distinguer le trafic LAN du trafic WAN. Cette approche est essentielle pour les déploiements à un bras, qui n’utilisent qu’un seul port de pont. Les sous-réseaux IP sont parfois utiles pour les déploiements en ligne, en particulier lorsque l’appliance dessert plusieurs réseaux WAN. Toutefois, pour les déploiements en ligne simples, les liens basés sur les ports sont plus faciles à définir.
Le classificateur de trafic applique une convention spécialisée lors de l’examen de l’IP Src et de l’IP Dst :
-
Le champ IP Src n’est examiné que dans les paquets entrant dans l’appliance.
-
Le champ IP Dst est examiné uniquement dans les paquets sortant de l’appliance.
Cette convention peut parfois prêter à confusion, mais elle permet de considérer implicitement la direction du voyage par paquets comme faisant partie de la définition.
Utiliser l’adresse IP dans les définitions de lien
Pour configurer une définition LAN intégrée simple à l’aide de règles basées sur IP, vous pouvez définir les liaisons LAN et WAN sans spécifier les ports Ethernet, à l’aide du sous-réseau LAN à la place :
-
Créez une règle pour la définition de lien LAN et spécifiez le sous-réseau LAN dans le champ IP Src.
-
Créez une règle pour la définition de lien WAN et spécifiez le sous-réseau LAN (pas le sous-réseau WAN) dans le champ IP Dst.
Modes en ligne WCCP et Virtual
Configuration WCCP ou déploiement virtuel en ligne à l’aide de règles basées sur IP est identique à l’utilisation de l’adresse IP dans la définition de lien, car les sous-réseaux IP LAN et WAN sont identiques.
Lorsque WCCP-GRE est utilisé, les en-têtes GRE sont ignorés et les en-têtes IP dans les paquets de données encapsulés sont utilisés. Par conséquent, cette même définition de lien fonctionne pour les modes Inline WCCP-L2, WCCP-GRE, Inline et Virtual Inline.
(Les modes WCCP et virtuels en ligne nécessitent la configuration de votre routeur. WCCP nécessite également une configuration sur la page Configuration : Déploiements avancés.)