Configurer MCN
La première étape consiste à ouvrir un nouveau package de configuration et à ajouter le site MCN à la nouvelle configuration.
Remarque
l’Éditeur de configuration est disponible uniquement en mode Console MCN . Si l’option Éditeur de configuration n’est pas disponible dans la branche Virtual WAN de l’arborescence de navigation, consultez la section Basculer l’interface Web de gestion en mode console MCN, pour obtenir des instructions sur la modification du mode de la console.
Il est recommandé d’enregistrer le package de configuration souvent, ou à des points clés de la configuration. Les instructions sont fournies dans la section Nomination, enregistrement et sauvegarde de la configuration du site MCN.
Avertissement
Si la session de console expire ou si vous vous déconnectez de l’interface Web de gestion avant d’enregistrer votre configuration, les modifications de configuration non enregistrées sont perdues. Vous devez ensuite vous reconnecter au système et répéter la procédure de configuration dès le début. Pour cette raison, il est recommandé de définir l’intervalle de temporisation de la session de console sur une valeur élevée lors de la création ou de la modification d’un package de configuration ou lors de l’exécution d’autres tâches complexes. La valeur par défaut est 60 minutes. Le maximum est de 9 999 minutes. Pour des raisons de sécurité, vous devez ensuite le réinitialiser à un seuil inférieur après avoir terminé ces tâches. Pour obtenir des instructions, reportez-vous à la section Définition de l’intervalle de temporisation de la session de la console (facultatif)
Pour ajouter et commencer à configurer le site de l’appliance MCN, procédez comme suit :
-
Dans l’arborescence de navigation, accédez à Virtual WAN > Éditeur de configuration . La page principale de l’Éditeur de configuration (volet central) s’affiche.
-
Cliquez sur Nouveau pour commencer à définir une nouvelle configuration. La page Nouveaux paramètres de configuration s’affiche.
-
Cliquez sur + Sites dans la barre Sites pour commencer à ajouter et à configurer le site MCN. La boîte de dialogue Ajouter un site s’affiche.
-
Entrez les informations du site.
Procédez comme suit :
- Entrez le nom du site et la clé sécurisée .
- Sélectionnez le modèlede l’appliance.
- Sélectionnez le mode.
- Sélectionnez MCN principal comme mode.
Remarque
Le menu Options du modèle répertorie les noms de modèles génériques des modèles d’appliance pris en charge. Les noms génériques n’incluent pas le suffixe de modèle Standard Edition, mais correspondent aux modèles d’appliance SD-WAN équivalents. Sélectionnez le numéro de modèle correspondant à ce modèle d’appliance SD-WAN. (Par exemple, sélectionnez 4000 s’il s’agit d’une appliance SD-WAN 4000-SE.)
Les entrées ne peuvent pas contenir d’espaces et doivent être au format Linux.
Pour ajouter un site :
-
Cliquez sur Ajouter pour ajouter le site. Cela ajoute le nouveau site à l’arborescence Sites et affiche le formulaire de configuration des paramètres de base du nouveau site. Après avoir cliqué sur Appliquer, des avertissements d’audit apparaissent indiquant qu’une action supplémentaire est nécessaire. Un point rouge ou une icône delta de couleur jaune paille indique une erreur dans la section où il apparaît. Vous pouvez utiliser ces avertissements pour identifier les erreurs ou les informations de configuration manquantes. Faites glisser votre curseur sur une icône d’avertissement d’audit pour afficher une brève description des erreurs dans cette section. Vous pouvez également cliquer sur la barre d’état des audits gris foncé (en bas de la page) pour afficher la liste complète de tous les avertissements d’audit non résolus. Le minuteur ARP d’hôte configurable (ms) est ajouté au niveau du site pendant la configuration. La valeur par défaut actuelle est 1 000 ms. La plage configurable est de 1 000 ms à 180 000 ms. La configuration du minuteur Host ARP ne s’applique pas au port de gestion.
-
Entrez les paramètres de base du nouveau site ou acceptez les valeurs par défaut. Dans les déploiements Citrix SD-WAN tels que Gateway et One-Arm, lorsque les demandes ARP sont fréquemment reçues, les points d’accès deviennent surchargés, ce qui affecte le flux de trafic. Vous pouvez maintenant configurer les temporisateurs ARP pour envoyer les requêtes ARP avec des intervalles spécifiques. L’intervalle de temps est configuré en secondes. Vous pouvez configurer des intervalles de temps ARP lors de la configuration du site du centre de données sous l’onglet Paramètres de base de l’interface graphique du dispositif Citrix SD-WAN.
-
(Facultatif, recommandé) Enregistrez la configuration en cours.
Si vous ne pouvez pas terminer la configuration en une session, vous pouvez l’enregistrer à tout moment, de sorte que vous pouvez revenir à la terminer ultérieurement. La configuration est enregistrée dans votre Workspace sur l’appliance locale. Pour reprendre le travail dans une configuration enregistrée, cliquez sur Ouvrir dans la barre de menus de l’Éditeur de configuration (haut de la page). Une boîte de dialogue vous permet de sélectionner la configuration à modifier.
Remarque
Par mesure de précaution supplémentaire, il est recommandé d’utiliser Enregistrer sous, plutôt que Enregistrer, pour éviter d’écraser le mauvais package de configuration.
Pour enregistrer le package de configuration actuel, procédez comme suit :
-
Cliquez sur Enregistrer sous (en haut du volet central de l’Éditeur de configuration). La boîte de dialogue Enregistrer sous s’ouvre.
-
Entrez le nom du package de configuration. Si vous enregistrez la configuration dans un package existant, veillez à sélectionner Autoriser l’écrasement avant d’enregistrer.
-
Cliquez sur Enregistrer.
Comment configurer des groupes d’interface pour le MCN
Après avoir ajouté le nouveau site MCN, l’étape suivante consiste à créer et configurer les groupes d’interface virtuelle pour le site.
Voici quelques instructions pour configurer des groupes d’interface virtuelle :
-
Utilisez des noms logiques qui décriront le mieux le groupe.
-
Les réseaux approuvés sont des réseaux protégés derrière un pare-feu.
-
Les interfaces virtuelles associent des interfaces aux paires Fail to Wire (FTW).
-
Les interfaces WAN simples ne peuvent pas être dans une paire FTW.
Remarque
Pour plus d’instructions et d’informations sur la configuration des groupes d’interface virtuelle, consultez la section Routage et transfert virtuels.
Pour ajouter un groupe d’interface virtuelle au nouveau site MCN, procédez comme suit :
-
Dans la vue Sites de l’Éditeur de configuration, sélectionnez le site dans le menu déroulant Afficher le site . Cela ouvre la vue de configuration du site que vous avez sélectionné.
-
Cliquez sur + pour ajouter le groupe d’interface virtuelle. Cela ajoute une nouvelle entrée de groupe d’interface virtuelle vide à la table et l’ouvre pour modification.
-
Cliquez sur + à droite de Virtual Interfaces. Cela ajoute une nouvelle entrée de groupe vide à la table et l’ouvre pour modification.
-
Sélectionnez les interfaces Ethernet à inclure dans le groupe. Sous Interfaces Ethernet, cliquez sur une interface pour inclure/exclure cette interface. Vous pouvez sélectionner n’importe quel nombre d’interfaces à inclure dans le groupe.
-
Sélectionnez le mode de contournement dans le menu déroulant (pas par défaut). Le mode de contournement spécifie le comportement des interfaces jumelées par pont dans le groupe d’interfaces virtuelles, en cas de défaillance ou de redémarrage d’une appliance ou d’un service. Les options sont : Fail-to-Wire ou Fail-to-Block.
-
Sélectionnez le niveau de sécurité dans le menu déroulant. Indique le niveau de sécurité du segment réseau du groupe d’interface virtuelle. Les options sont les suivantes : Approuvé ou Non approuvé. Les segments approuvés sont protégés par un pare-feu (par défaut est approuvé).
-
Cliquez sur + dans le bord gauche de l’interface virtuelle que vous avez ajoutée. Le tableau Interfaces virtuelles s’affiche.
-
Cliquez sur + à droite de Virtual Interfaces. Cela révèle le nom, la zone de pare-feu et lesID d’ID de VLAN.
-
Entrez le nom et l’ID VLAN de ce groupe d’interface virtuelle. - Nom — Il s’agit du nom par lequel cette interface virtuelle est référencée. - Zone de pare-feu - Sélectionnez une zone de pare-feu dans le menu déroulant.
- ID VLAN : il s’agit de l’ID permettant d’identifier et de marquer le trafic à destination et en provenance de l’interface virtuelle. Utilisez un ID de 0 (zéro) pour le trafic natif/non marqué. -
Cliquez sur + à droite de Bridge Pairs. Cela ajoute une nouvelle entrée Bridge Pairs et l’ouvre pour modification.
-
Sélectionnez les interfaces Ethernet à associer dans les menus déroulants. Pour ajouter d’autres paires, cliquez à nouveau sur + en regard de Paires de pont.
-
Cliquez sur Appliquer. Cela applique vos paramètres et ajoute le nouveau groupe d’interface virtuelle à la table. À ce stade, une icône d’alerte d’audit delta jaune s’affiche à droite de la nouvelle entrée de groupe d’interface virtuelle. En effet, vous n’avez pas encore configuré d’adresses IP virtuelles (VIP) pour le site. Pour l’instant, vous pouvez ignorer cette alerte, car elle est résolue automatiquement lorsque vous avez correctement configuré les adresses IP virtuelles pour le site.
-
Pour ajouter d’autres groupes d’interface virtuelle, cliquez sur + à droite de la succursale Groupes d’interface, puis procédez comme indiqué ci-dessus.
Comment configurer l’adresse IP virtuelle pour le MCN
L’étape suivante consiste à configurer les adresses IP virtuelles pour le site et à les affecter au groupe approprié.
-
En continuant dans l’affichage Sites du nouveau site MCN, cliquez sur + à gauche des adresses IP virtuelles . Le tableau Adresses IP virtuelles du nouveau site s’affiche.
-
Cliquez sur + à droite de Virtual IP Adresses pour ajouter une adresse. Cela ouvre le formulaire d’ajout et de configuration d’une nouvelle adresse IP virtuelle.
-
Entrez les informations Adresse IP / Préfixe, puis sélectionnez l’interface virtuelle à laquelle l’adresse est associée. L’adresse IP virtuelle doit inclure l’adresse hôte complète et le masque réseau.
-
Sélectionnez les paramètres souhaités pour l’adresse IP virtuelle, tels que la zone de pare-feu, l’identité, la zone privée et la sécurité.
-
Cliquez sur Appliquer. Cela ajoute les informations d’adresse au site et les inclut dans le tableau Adresses IP virtuelles du site.
-
Pour ajouter d’autres adresses IP virtuelles, cliquez sur + à droite des adresses IP virtuelles, puis procédez comme ci-dessus.
Comment configurer les liens WAN pour le MCN
L’étape suivante consiste à configurer les liens WAN pour le site.
-
En poursuivant l’affichage Sites du nouveau site MCN, cliquez sur l’étiquette Liens WAN .
-
Cliquez sur Ajouter un lien à droite des liens WAN pour ajouter un nouveau lien WAN. La boîte de dialogue Ajouter s’ouvre.
-
(Facultatif) Entrez un nom pour la liaison WAN si vous ne souhaitez pas utiliser la valeur par défaut. La valeur par défaut est le nom du site, ajouté avec le suffixe suivant : WL- <number>, où <number> est le nombre de liens WAN pour ce site, incrémenté d’un.
-
Sélectionnez le Type d’accès dans le menu déroulant. Les options sont Internet public, Intranet privé ou MPLS privé.
-
Cliquez sur Ajouter. Ceci affiche la page de configuration des paramètres de base des liens WAN et ajoute le nouveau lien WAN non configuré à la page.
Apprendre automatiquement la consommation de bande passante
L’apprentissage automatique s’exécute au démarrage du système et se répète toutes les cinq minutes jusqu’à ce qu’un résultat réussi soit observé. L’apprentissage automatique s’exécute également après que des modifications de configuration des liens WAN ont été apportées à partir de l’éditeur de configuration.
Vous pouvez exécuter des tests manuellement ou planifier des tests dans l’interface graphique SD-WAN. Les résultats de ces tests devraient également s’appliquer au taux autorisé lorsque le test est réussi et que l’apprentissage automatique est activé.
Lors de l’utilisation de l’apprentissage automatique sur de grands réseaux, si le changement de configuration redémarre, tous les sites exécutent des tests simultanément sur le MCN, ce qui entraîne une utilisation élevée de la bande passante conduisant à des résultats inexacts. Il est recommandé de planifier des tests de bande passante une ou deux fois par jour, généralement lorsque le volume de trafic est faible.
- Entrez les détails du lien pour la nouvelle liaison WAN. Configurez les paramètres LAN vers WAN, WAN vers LAN. Voici quelques lignes directrices :
- Certains liens Internet peuvent être asymétriques.
- Une mauvaise configuration de la vitesse autorisée peut nuire aux performances de cette liaison
- Évitez d’utiliser des vitesses de rafale supérieures au taux engagé.
- Pour les liaisons WAN Internet, assurez-vous d’ajouter l’adresse IP publique.
-
Cliquez sur la barre de section Paramètres avancés grise. Cela ouvre l’écran Paramètres avancés du lien.
- Entrez les paramètres avancés pour le lien :
- ID du fournisseur — (Facultatif) Entrez un numéro d’identification unique 1—100 pour désigner les liaisons WAN connectées au même fournisseur de services. Virtual WAN utilise l’ID du fournisseur pour différencier les chemins lors de l’envoi de paquets en double.
- Coût de trame (octets) : saisissez la taille (en octets) de l’en-tête/remorque ajouté à chaque paquet. Par exemple, la taille en octets des remorques Ethernet IPG ou AAL5 ajoutées.
- Seuil de congestion — Entrez le seuil de congestion (en microsecondes) après quoi la liaison WAN limite la transmission des paquets pour éviter d’autres congestion.
- Taille MTU (octets) : saisissez la plus grande taille de paquet brut (en octets), sans inclure le coût de trame.
-
Cliquez sur la barre de section grise Éligibilité. Cela ouvre l’écran Paramètres d’éligibilité pour le lien.
-
Sélectionnez les paramètres d’éligibilité pour le lien.
-
Cliquez sur la barre de section Lien mesuré grise. Cela ouvre l’écran Paramètres du lien mesuré pour le lien.
-
(Facultatif) Sélectionnez Activer la mesure pour activer la mesure pour ce lien. Les champs Activer les paramètres de mesure s’affichent.
- Configurez les paramètres de mesure pour le lien. Saisissez ce qui suit :
-
Capuchon de données (Mo) : saisissez l’allocation de plafond de données pour le lien, en mégaoctets.
-
Cycle de facturation : sélectionnez Mensuel ou Hebdomadaire dans le menu déroulant.
-
À partir de : saisissez la date de début du cycle de facturation.
-
Définir le dernier recours — Sélectionnez cette option pour activer ce lien en tant que lien de dernier recours en cas de défaillance de tous les autres liens disponibles. Dans des conditions WAN normales, Virtual WAN envoie uniquement un trafic minimal sur les liaisons mesurées, pour vérifier l’état de la liaison. Toutefois, en cas de panne, le SD-WAN peut utiliser des liaisons compteurs actives en dernier recours pour acheminer le trafic de production.
Cliquez sur Appliquer. Cela applique vos paramètres spécifiés à la nouvelle liaison WAN.
L’étape suivante consiste à configurer les interfaces d’accès pour la nouvelle liaison WAN. Une interface d’accès se compose d’une interface virtuelle, d’une adresse IP du point de terminaison WAN, d’une adresse IP de passerelle et d’un mode chemin virtuel défini collectivement comme une interface pour une liaison WAN spécifique. Chaque liaison WAN doit avoir au moins une interface d’accès.
Comment configurer l’interface d’accès :
-
Sélectionnez Interfaces d’accès dans la page de configuration du lien WAN pour le lien. Cela ouvre la vue Interfaces d’accès pour le site.
-
Cliquez sur + pour ajouter une interface. Cela ajoute une entrée vide à la table et l’ouvre pour modification. Entrez les paramètres des interfaces d’accès pour le lien. Chaque liaison WAN doit avoir au moins une interface d’accès.
-
Saisissez ce qui suit :
- Nom — Il s’agit du nom par lequel cette interface d’accès est référencée. Entrez un nom pour la nouvelle interface d’accès ou acceptez la valeur par défaut. La valeur par défaut utilise la convention de dénomination suivante : WAN_LINK_NAME-AI-Number : Où WAN_link_name est le nom du lien WAN que vous associez à cette interface, et nombre est le nombre d’interfaces d’accès actuellement configurées pour ce lien, incrémenté de 1.
Remarque
Si le nom apparaît tronqué, vous pouvez placer votre curseur dans le champ, puis cliquer longuement et rouler la souris vers la droite ou la gauche pour voir la partie tronquée.
-
Interface virtuelle : il s’agit de l’interface virtuelle utilisée par cette interface d’accès. Sélectionnez une entrée dans le menu déroulant des interfaces virtuelles configurées pour ce site de succursale.
-
Domaine de routage - Domaine de routage que vous souhaitez choisir pour l’interface d’accès.
-
Adresse IP : il s’agit de l’adresse IP du point de terminaison de l’interface d’accès entre l’appliance et le réseau étendu.
-
Adresse IP de la Gateway : il s’agit de l’adresse IP du routeur de la passerelle.
-
Mode Chemin d’accès virtuel : spécifie la priorité du trafic Chemin d’accès virtuel sur cette liaison WAN. Les options sont : Principal, Secondaireou Exclure. Si cette option est définie sur Exclure, cette interface d’accès est utilisée uniquement pour le trafic Internet et Intranet.
-
Proxy ARP — Cochez la case à activer. Si cette option est activée, l’appliance Virtual WAN répond aux demandes ARP pour l’adresse IP de la Gateway lorsque la passerelle est inaccessible.
- Cliquez sur Appliquer.
Vous avez maintenant terminé de configurer la nouvelle liaison WAN. Répétez ces étapes pour ajouter et configurer d’autres liens WAN pour le site.
L’étape suivante consiste à ajouter et configurer les itinéraires pour le site.
Comment configurer les itinéraires pour le MCN
Pour ajouter et configurer les itinéraires pour le site, procédez comme suit :
- Cliquez sur l’affichage Connexions du nouveau site MCN et sélectionnez Itinéraires . Ceci affiche la vue Itinéraires du site.
-
Cliquez sur + à droite de Itinéraires pour ajouter un itinéraire. La boîte de dialogue Itinéraires s’ouvre à modifier.
- Entrez les informations de configuration de l’itinéraire pour le nouvel itinéraire. Saisissez ce qui suit :
- Adresse IP réseau — Entrez l’adresse IP réseau .
- Coût — Saisissez un poids de 1 à 15 pour déterminer la priorité d’itinéraire pour cet itinéraire. Les itinéraires à moindre coût ont priorité sur les itinéraires à coût élevé. La valeur par défaut est 5.
- Type de service : sélectionnez le type de service de l’itinéraire dans le menu déroulant correspondant à ce champ.
Les options sont les suivantes :
- Chemin virtuel : ce service gère le trafic sur les chemins virtuels. Un chemin virtuel est un lien logique entre deux liaisons WAN. Il comprend une collection de chemins WAN combinés pour fournir une communication de niveau de service élevé entre deux nœuds SD-WAN. Ceci est réalisé en mesurant constamment et en s’adaptant à l’évolution de la demande des applications et des conditions WAN. Les appliances SD-WAN mesurent le réseau par chemin d’accès. Un chemin virtuel peut être statique (existe toujours) ou dynamique (n’existe que lorsque le trafic entre deux appliances SD-WAN atteint un seuil configuré).
- Internet — Ce service gère le trafic entre un site d’entreprise et des sites d’Internet public. Le trafic de ce type n’est pas encapsulé. Pendant les périodes de congestion, le SD-WAN gère activement la bande passante en limitant le trafic Internet par rapport au chemin virtuel et le trafic Intranet selon la configuration SD-WAN établie par l’administrateur.
- Intranet : ce service gère le trafic Intranet d’entreprise qui n’a pas été défini pour la transmission sur un chemin virtuel. Comme pour le trafic Internet, il reste non encapsulé, et le SD-WAN gère la bande passante en limitant le débit de ce trafic par rapport aux autres types de services pendant les périodes de congestion. Dans certaines conditions, et s’il est configuré pour l’Intranet Fallback sur le chemin virtuel, le trafic qui circule habituellement par un chemin virtuel peut être traité comme du trafic intranet, afin de maintenir la fiabilité du réseau.
- Passthrough : ce service gère le trafic qui doit être transmis via le réseau étendu virtuel. Le trafic dirigé vers le service de transmission comprend les diffusions, les ARP et tout autre trafic non IPv4, ainsi que le trafic sur le sous-réseau local de l’appliance Virtual WAN, les sous-réseaux configurés ou les règles appliquées par l’administrateur réseau. Ce trafic n’est pas retardé, façonné ou modifié par le SD-WAN. Par conséquent, vous devez vous assurer que le trafic Passthrough ne consomme pas de ressources importantes sur les liaisons WAN que l’appliance SD-WAN est configurée pour utiliser pour d’autres services.
- Local : ce service gère le trafic IP local vers le site qui ne correspond à aucun autre service. Le SD-WAN ignore le trafic provenant et destiné à une route locale.
- Tunnel GRE — Ce service gère le trafic IP destiné à un tunnel GRE et correspond au tunnel GRE LAN configuré sur le site. La fonction Tunnel GRE vous permet de configurer les appliances SD-WAN pour qu’elles terminent les tunnels GRE sur le réseau local. Pour un itinéraire avec le type de service GRE Tunnel, la Gateway doit résider dans l’un des sous-réseaux de tunnel du tunnel GRE local.
- Tunnel IPsec LAN — Ce service gère le trafic IP destiné au tunnel IPsec.
- Adresse IP de la passerelle — Entrez l’adresse IP de la passerelle pour cet itinéraire.
- Éligibilité - Basé sur le chemin (case à cocher) — (Facultatif) Si cette option est activée, l’itinéraire ne reçoit pas de trafic lorsque le chemin sélectionné est en panne.
- Chemin d’accès : spécifie le chemin à utiliser pour déterminer l’éligibilité de l’itinéraire.
Selon le « Type de service », les paramètres suivants s’affichent :
Type de service | Paramètres du type de service |
---|---|
Chemin virtuel | Site de saut suivant : indique le site distant vers lequel les paquets de chemin virtuel sont dirigés. |
Internet | Exporter l’itinéraire : Activer/Désactiver pour exporter les itinéraires vers d’autres sites connectés, Éligibilité basée sur le chemin |
Intranet | Route d’exportation, service intranet, éligibilité basée sur le chemin, éligibilité basée sur le tunnel |
Passthrough | Éligibilité basée sur le chemin d’accès |
Locaux | Exporter l’itinéraire, l’itinéraire récapitulatif, l’éligibilité basée sur le chemin |
Tunnel GRE | Route d’exportation, éligibilité basée sur le chemin d’accès, éligibilité basée sur la passerelle |
Tunnel IPSec | Route d’exportation, Éligibilité basée sur le chemin d’accès, Tunnel IPSec, Éligibilité basée sur le tunnel |
Abandonner | Exporter l’itinéraire, l’itinéraire récapitulatif |
- Cliquez sur Appliquer.
Remarque
Après avoir cliqué sur Appliquer, des avertissements d’audit peuvent apparaître indiquant que d’autres actions sont nécessaires. Un point rouge ou une icône delta de couleur jaune paille indique une erreur dans la section où il apparaît. Vous pouvez utiliser ces avertissements pour identifier les erreurs ou les informations de configuration manquantes. Faites glisser votre curseur sur une icône d’avertissement d’audit pour afficher une brève description des erreurs dans cette section. Vous pouvez également cliquer sur la barre d’état des audits gris foncé (en bas de la page) pour afficher la liste complète de tous les avertissements d’audit.
Vous pouvez également modifier les itinéraires configurés comme suit.
Pour ajouter d’autres itinéraires pour le site, cliquez sur + à droite de la succursale Routes, puis procédez comme ci-dessus.
Vous avez maintenant terminé de saisir les informations de configuration principale pour le nouveau site MCN. Les deux sections suivantes fournissent des instructions pour d’autres étapes facultatives :
-
Configuration de la haute disponibilité (HA) pour le site MCN (facultatif).
-
Activation et configuration de la sécurité et du chiffrement du réseau étendu virtuel (facultatif).
Si vous ne souhaitez pas configurer ces fonctionnalités maintenant, vous pouvez passer directement à la section Nommer, enregistrer et sauvegarder la configuration du site MCN.