Configuration du routeur
Le routeur a trois tâches lors de la prise en charge du mode virtuel en ligne :
- Il doit transférer à la fois le trafic WAN entrant et sortant vers l’appliance SD-WAN.
- Il doit transférer le trafic SD-WAN vers sa destination (WAN ou LAN).
- Il doit surveiller l’état de l’appliance afin qu’elle puisse être contournée en cas de défaillance.
Règles basées sur des règles
En mode virtuel en ligne, les méthodes de transfert de paquets peuvent créer des boucles de routage si les règles de routage ne font pas la distinction entre un paquet qui a été transféré par l’appliance et un autre qui ne l’a pas fait. Vous pouvez utiliser n’importe quelle méthode qui fait cette distinction.
Une méthode typique consiste à consacrer l’un des ports Ethernet du routeur à l’appliance et à créer des règles de routage basées sur le port Ethernet sur lequel les paquets arrivent. Les paquets qui arrivent sur l’interface dédiée à l’appliance ne sont jamais renvoyés à l’appliance, mais les paquets arrivant sur n’importe quelle autre interface peuvent l’être.
L’algorithme de routage de base est :
- Ne pas retransférer les paquets de l’appliance vers l’appliance.
- Si le paquet arrive du WAN, le transmettre à l’appliance.
- Si le paquet est destiné au WAN, le remettre à l’appliance.
- Ne pas transférer le trafic LAN vers LAN sur l’appliance.
- Le traffic shaping n’est pas efficace à moins que tout le trafic WAN passe par l’appliance.
Remarque : lorsque vous envisagez les options de routage, gardez à l’esprit que les données renvoyées, et pas seulement les données sortantes, doivent circuler à travers l’appliance. Par exemple, placer l’appliance sur le sous-réseau local et la désigner comme routeur par défaut pour les systèmes locaux ne fonctionne pas dans un déploiement virtuel en ligne. Les données sortantes circuleraient à travers l’appliance, mais les données entrantes les contourneraient. Pour forcer les données à travers l’appliance sans reconfiguration du routeur, utilisez le mode en ligne.
Surveillance de la santé
Si l’appliance échoue, les données ne doivent pas être acheminées vers elle. Par défaut, le routage basé sur des stratégies Cisco n’effectue aucune surveillance de l’intégrité. Pour activer la surveillance de l’intégrité, définissez une règle pour surveiller la disponibilité de l’appliance et spécifiez l’option « verify-availability » pour la commande « set ip next-hop ». Avec cette configuration, si l’appliance n’est pas disponible, la route n’est pas appliquée et l’appliance est contournée.
Important : Citrix recommande le mode virtuel en ligne uniquement lorsqu’il est utilisé avec la surveillance de l’intégrité. De nombreux routeurs qui prennent en charge le routage basé sur des stratégies ne prennent pas en charge le contrôle de l’état. La fonction de surveillance de la santé est relativement nouvelle. Il est devenu disponible dans Cisco IOS version 12.3 (4) T.
Voici un exemple de règle permettant de surveiller la disponibilité de l’appliance :
``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is connected track 123 rtr 1 reachabilit y ! rtr 1 type echo protocol IpIcmpecho 192.168.1.200 schedule 1 life forever start-time now
Cette règle envoie une commande ping régulièrement à l'appliance sur 192.168.1.200. Vous pouvez tester par rapport à 123 pour voir si l'unité est en service.
## Exemples de routage
Les exemples suivants illustrent la configuration des routeurs Cisco pour les sites locaux et distants illustrés dans [Exemple virtuel en ligne](/fr-fr/citrix-sd-wan-wanop/11/cb-deployment-modes-con/br-adv-virt-inline-mode-con.html). Pour illustrer la surveillance de l'intégrité, la configuration pour le site local inclut la surveillance de l'intégrité, mais pas la configuration pour le site distant.
Remarque : La configuration du site local suppose qu'un moniteur ping a déjà été configuré.
Les exemples sont conformes à l'interface de ligne de commande Cisco IOS. Ils peuvent ne pas s'appliquer aux routeurs d'autres fournisseurs.
Site local, vérification de l'état activée :
``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.10.10.5 255.255.255.0
ip policy route-map client_side_map
!
interface FastEthernet0/1
ip address 172.68.1.5 255.255.255.0
ip policy route-map wan_side_map
!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended client_side
permit ip 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!- Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 192.168.1.200 20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 192.168.1.200 10 track 123
<!--NeedCopy-->
Site distant (aucune vérification de l’état) :
``` pre codeblock ! This example does not use health-checking. ! Remember, health-checking is always recommended, ! so this is a configuration of last resort. ! ! ip cef ! interface FastEthernet0/0 ip address 20.20.20.5 255.255.255.0 ip policy route-map client_side_map ! interface FastEthernet0/1 ip address 171.68.2.5 255.255.255.0 ip policy route-map wan_side_map ! interface FastEthernet1/0 ip address 192.168.2.5 255.255.255.0 ! ip classless ip route 0.0.0.0 0.0.0.0 171.68.2.1 ! ip access-list extended client_side permit ip 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255 ip access-list extended wan_side permit ip 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255 ! route-map wan_side_map permit 20 match ip address wan_side set ip next-hop 192.168.2.200 ! route-map client_side_map permit 10 match ip address client_side set ip next-hop 192.168.2.200 !_
Chacun des exemples ci-dessus applique une liste d'accès à une carte d'itinéraire et attache la carte d'itinéraire à une interface. Les listes d'accès identifient tout le trafic provenant d'un site accéléré et se terminant à l'autre (IP source 10.10.10.0/24 et destination 20.20.20.0/24 ou vice versa). Consultez la documentation de votre routeur pour obtenir les détails des listes d'accès et des cartes de routage.
Cette configuration redirige tout le trafic IP correspondant vers les appliances. Si vous souhaitez rediriger uniquement le trafic TCP, vous pouvez modifier la configuration de la liste d'accès comme suit (seule la configuration du côté distant est affichée ici) :
``` pre codeblock
!
ip access-list extended client_side
permit tcp 10.16.20.0 0.0.0.255 10.10.10.0 0.0.0.255
ip access-list extended wan_side
permit tcp 10.10.10.0 0.0.0.255 10.16.20.0 0.0.0.255
!
<!--NeedCopy-->
Notez que, pour les listes d’accès, les masques ordinaires ne sont pas utilisés. Les masques génériques sont utilisés à la place. Notez que lors de la lecture d’un masque générique en binaire, « 1 » est considéré comme un bit « quelconque ».