Mode PBR (virtuel en ligne)
En mode virtuel en ligne, le routeur utilise des règles de routage basées sur des stratégies pour rediriger le trafic WAN entrant et sortant vers l’appliance, et l’appliance transfère les paquets traités au routeur.
L’article suivant décrit la procédure pas à pas pour configurer deux appliances SD-WAN (SD-WAN SE) :
-
Appliance de centre de données en mode PBR (mode virtuel en ligne)
-
Appliance de succursale en mode Inline
-
Le PBR doit être configuré soit au niveau du commutateur central, soit plus en amont au niveau du routeur. Le routeur doit surveiller l’état de l’appliance SD-WAN afin qu’elle puisse être contournée en cas de défaillance.
-
Le mode Virtual Inline place l’appliance SD-WAN physiquement hors du chemin (déploiement à un bras), c’est-à-dire une seule interface Ethernet à utiliser (exemple : Interface 1/1) avec le mode de contournement défini sur FTB (failto-block).
L’appliance Citrix SD-WAN doit être configurée pour transmettre le trafic à la passerelle appropriée. Le trafic destiné au chemin virtuel est dirigé vers l’appliance SD-WAN, puis encapsulé et dirigé vers la liaison WAN appropriée.
Recueillir des informations pour
-
Diagramme réseau précis (exemple de diagramme ci-dessous) de vos sites locaux et distants, y compris :
- Liens WAN locaux et distants et leurs largeurs de bande passante dans les deux sens, leurs sous-réseaux, adresses IP virtuelles et passerelles à partir de chaque lien, itinéraires et VLAN.
-
Tableau de déploiement (exemple de diagramme illustré ci-dessous)
Topologie du datacenter — mode PBR (mode virtuel en ligne)
Topologie de succursale — mode en ligne
Nom de site | Site DataCenter | Site de la succursale |
---|---|---|
Nom de l’appliance | SJC-DC | SJC-BR |
Gestion IP | 172.30.2.10/24 | 172.30.2.20/24 |
Clé de sécurité | Le cas échéant | Le cas échéant |
Modèle/Edition | 4000 | 2 000 |
Mode | Mode PBR (mode virtuel en ligne) | Inline |
Topologie | 2 x Chemin WAN | 2 x Chemin WAN |
Adresse VIP | 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, IP publique w.x.y.z | 10.17.0.9/24 - MPLS, 10.18.0.9/24 — Internet, IP publique a.b.c.d |
MPLS de passerelle | 10.20.0.1 | 10.17.0.1 |
Passerelle Internet | 10.19.0.1 | 10.18.0.1 |
Vitesse de liaison | MPLS — 100 Mbps, Internet — 20 Mbps | MPLS — 10 Mbps, Internet — 2 Mbps |
Itinéraire | Vous devez ajouter un itinéraire sur l’appliance SD-WAN SE sur la façon d’atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques : Gi0/1 - 192.168.1.1, Configuration > Réseau étendu virtuel > Éditeur de configuration > SJC_DC > Routes. Dans cet exemple, l’interface 192.168.1.1 a été utilisée፦ n/w adresse : 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Type de service : local, - Adresse IP de passerelle : 192.168.1.1 | Aucune route supplémentaire n’a été ajoutée |
VLAN | Aucun (0 par défaut) | Aucun (0 par défaut) |
Étapes pour configurer un site en mode Virtual Inline :
-
Activez la fonctionnalité MCN.
-
Créez un nouveau site.
-
Créez un groupe d’interfaces et des interfaces virtuelles.
-
Attribuez une adresse IP virtuelle aux interfaces virtuelles.
-
Créez des liens WAN et attribuez une adresse IP.
-
Ajoutez des itinéraires.
-
Dépannage.
-
Configuration de routage basée sur la stratégie sur le routeur PBR.
Prérequis pour la configuration
-
Activez l’appliance SD-WAN en tant que nœud de contrôle maître.
-
La configuration est effectuée uniquement sur le nœud de contrôle maître (MCN) de l’appliance SD-WAN.
Pour activer une appliance en tant que nœud de contrôle maître :
-
Dans l’interface de gestion Web SD-WAN, accédez à Configuration > Paramètres de l’appliance > Interface administrateur > onglet Divers > Switch Console.
Remarque
Si « Basculer vers la console client » s’affiche, l’appliance est déjà en mode MCN. Il ne devrait y avoir qu’un seul MCN actif dans un réseau SD-WAN.
-
Activez le service WAN virtuel. Accédez à Configuration > Réseau étendu virtuel > Activer/Désactiver/Purger les flux.
-
Démarrez Configuration en accédant àConfiguration>Réseau étendu virtuel >Éditeur de configuration.Cliquez sur Nouveaupour commencer la configuration.
Cette opération crée un fichier de configuration initial Untitled_1 qui peut être renommé [facultatif] ultérieurement à l’aide du bouton Enregistrer sous.
Voici les étapes de configuration de haut niveau pour configurer le site de centre de données en mode de déploiement PBR :
-
Créez un site DC.
-
Configurez les groupes d’interface en fonction des interfaces Ethernet connectées.
-
Configurez l’adresse IP virtuelle pour chaque interface virtuelle.
-
Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.
-
Remplissez les itinéraires s’il y a plus de sous-réseaux dans l’infrastructure du réseau local.
Configuration du mode PBR du site de datacenter
Créer un site de contrôleur de domaine
-
Accédez àConfiguration Editor >Sites, puis cliquez sur le bouton+ Site.
-
Remplissez les champs comme indiqué ci-dessous.
-
Conservez les paramètres par défaut sauf instructions contraires.
Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées
-
Dans l’Éditeur de configuration, accédez àSites→**[Nom du site]→Groupes d’interface**. Cliquez sur« + » pour ajouter des interfaces destinées à être utilisées.En mode PBR, la configuration sur une seule interface Ethernet est utilisée, c’est-à-dire l’interface connectant le routeur amont fournissant des implications sur la politique PBR (Example- Interface 1/1). Configurez les interfaces virtuelles MPLS et Internet avec les ID VLAN 10 et 20 respectivement.
-
Le mode Bypass est défini sur Fail-to-Block car une seule interface EtherNet/Physical est utilisée par interface virtuelle.Il n’y a pas non plus de paires de ponts.
-
Dans cet exemple, développez l’option Interfaces virtuelles + et configurez les Interfaces virtuelles.
Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle
Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN.Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.
Créer un lien Internet WAN
Pour remplir les liaisons WAN en fonction de la vitesse physique et non de la vitesse de rafale à l’aide de la liaison Internet et MPLS :
-
Accédez àLiens WAN, cliquez sur le bouton « + » pour ajouter un lien WAN pour le lien Internet.
-
Remplissez les détails du lien Internet, y compris l’adresse IP publique fournie, comme indiqué ci-dessous. Notez queAuto Detect Public IPne peut pas être sélectionné pour le matériel SD-WAN configuré en tant que MCN.
-
Accédez àInterfaces d’accès, cliquez sur le**bouton**« + » pour ajouter des détails d’interface spécifiques au lien Internet.
-
Remplissez l’interface d’accès pour les adresses IP et de Gateway comme indiqué ci-dessous. L’ARP proxy n’est pas vérifiée pour moins de deux interfaces Ethernet.
Créer un lien MPLS
-
Accédez à Liens WAN, cliquez sur le bouton « + » pour ajouter un lien WAN pour le lien MPLS.
-
Remplissez les détails du lien MPLS comme indiqué ci-dessous.
-
Accédez à Interfaces d’accès, cliquez sur le**bouton**« + » pour ajouter des détails d’interface spécifiques au lien MPLS.
-
Remplissez l’interface d’accès pour MPLS Virtual IP et les adresses de Gateway, comme indiqué ci-dessous.
Remarque
L’ARP proxy n’est pas vérifié pour moins de deux interfaces Ethernet.
Remplissez les itinéraires
Sur le site du centre de données, ajoutez un itinéraire sur l’appliance SD-WAN SEE pour atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques :
0/1/0.1 — 192.168.1.1 sur VLAN 10
0/1/0.2 — 192.168.2.1 sur VLAN 20
Configuration du déploiement en ligne du site de succursale
Voici les étapes de configuration de haut niveau pour configurer le site Branch pour le déploiement en ligne :
-
Créer un site Branch.
-
Remplissez les groupes d’interface en fonction des interfaces Ethernet connectées.
-
Créez une adresse IP virtuelle pour chaque interface virtuelle.
-
Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.
-
Interface virtuelle « INTERNET » configurée sur la paire Bridge 1/3 et 1/4
-
Interface virtuelle « MPLS » configurée avec paire de ponts 1/1 et 1/2
-
-
Remplissez Routes s’il y a plus de sous-réseaux dans l’infrastructure LAN.
Créer un site de succursale
Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées
-
Dans l’Éditeur de configuration, accédez àSites >**[Nom du site client]**Groupes d’interface**. Cliquez sur« +** » pour ajouter des interfaces destinées à être utilisées. Pour la configuration en mode Inline, quatre interfaces Ethernet sont utilisées ; les paires d’interfaces 1/3, 1/4 et les paires d’interfaces 1/1 et 1/2.
-
Le mode de contournement est défini sur Fail-to-Wire puisque deux interfaces Ethernet/physique sont utilisées par interface virtuelle. Il y a deux paires de pont.
-
Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.
-
Interface virtuelle « INTERNET » configurée sur la paire Bridge 1/3 et 1/4
-
Interface virtuelle « MPLS » configuré avec paire de pont 1/1 et 1/2.
-
-
Reportez-vous à l’exemple de topologie « Mode Inline Site distant » ci-dessus et remplissez les champs Groupes d’interface comme indiqué ci-dessous.
Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle
Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN.Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.
Créer un lien Internet WAN
Pour remplir les liens WAN en fonction du débit physique et non de la vitesse de rafale à l’aide d’un lien Internet
-
Accédez àLiens WAN, cliquez sur le bouton « + » pour ajouter un lien WAN pour le lien Internet.
-
Renseignez les détails du lien Internet, y compris l’adresse IP publique AutoDetect, comme indiqué ci-dessous.
-
Accédez àInterfaces d’accès, cliquez sur le bouton « + » pour ajouter des détails d’interface spécifiques au lien Internet.
-
Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.
Créer un lien MPLS
-
Accédez à Liens WAN, cliquez sur le bouton « + » pour ajouter un lien WAN pour le lien MPLS.
-
Remplissez les détails du lien MPLS comme indiqué ci-dessous.
-
Accédez à Interfaces d’accès, cliquez sur le bouton « + » pour ajouter des détails d’interface spécifiques au lien MPLS.
-
Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.
Remplir les itinéraires
Les itinéraires sont créés automatiquement en fonction de la configuration ci-dessus. Dans le cas où il y a plus de sous-réseaux spécifiques à cette succursale distante, des itinéraires spécifiques doivent être ajoutés pour identifier la Gateway vers laquelle diriger le trafic pour atteindre ces sous-réseaux backend.
Résolution des erreurs d’audit
Une fois la configuration terminée pour les sites DC et Branch, vous serez invité à résoudre les erreurs d’audit sur les sites DC et BR. Dans cet exemple, nous allons résoudre l’erreur d’audit liée à la liaison WAN Intranet privé [SJC_DC-MPLS].
Remarque
Par défaut, le système génère des chemins pour les liaisons WAN définies comme type d’accès Internet public (en surbrillance).
Vous devez utiliser la fonction de groupe de chemins d’accès automatiques ou activer manuellement les chemins pour les liaisons WAN avec un type d’accès Internet privé. Les chemins d’accès des liens MPLS peuvent être activés en cliquant sur l’opérateur Ajouter (dans le rectangle vert).
Créer un groupe de ath automatique :
-
Accédez à l’onglet Global. Cliquez sur le signe [+] en regard de Groupes Autopath.
-
Configurez le groupe de ath automatique créé selon les besoins et cliquez sur Appliquer.
-
Renommez le groupe Autopath [Facultatif].
-
Mappez le groupe Autopath aux chemins virtuels des liens WAN Intranet sur les sites respectifs.
Aucun groupe de ath automatique ne peut être marqué par défaut. Si cette option est cochée, cela entraînerait une erreur d’audit.
Après avoir mappé le groupe Autopath aux chemins virtuels du réseau étendu Intranet, les chemins d’accès doivent être remplis automatiquement (mis en surbrillance).
Ajouter manuellement des liens WAN avec le type d’accès Intranet privé
-
Sélectionnez les chemins virtuels sous Liens WAN pour les sites respectifs et aucun groupe Autopath ne sera mappé.
-
Cliquez sur le signe [+] en regard de Chemins d’accès pour ajouter manuellement des Chemins d’accès virtuels.
-
Sélectionnez les liens WAN Chemins virtuels pour chaque site.
Après avoir ajouté manuellement les chemins virtuels pour les liens WAN avec le type d’accès Intranet privé, il est rempli sous Paths (mis en surbrillance).
Après avoir terminé toutes les étapes ci-dessus, passezPréparation des packages d’appliance SD-WANà la rubrique MCN.
Configuration de routage basée sur la stratégie sur le routeur PBR :
Interface connectée au réseau local
-
Router# configure terminal
-
Router(config)# interface FastEthernet0/1
-
Router(config-if)# description ToLAN
-
Router(config-if)# ip address 10.10.11.1 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
L’interface se connecte à la liaison WAN MPLS
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/0
-
Router(config-if)# description To-MPLS-WAN
-
Router(config-if)# ip address 10.20.0.2 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
Interface connectée à la liaison WAN INET
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/2/0
-
Router(config-if)# description To-INET-WAN
-
Router(config-if)# ip address 10.19.0.2 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
L’interface GigabitEthernet0/1 sur le routeur PBR est connecté au port SD-WAN 1/1, il est en mode 1 bras et ce port servira le trafic pour les liaisons MPLS et INET.
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/1
-
Router(config-if)# description To-SDWAN-link
-
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Configuration d’itinéraire statique (Route vers les sous-réseaux client/distants) :
-
MPLS 10.17.0.0/24 via le routeur WAN hop suivant MPLS 10.20.0.1
-
INET 10.18.0.0/24 via le routeur WAN hop suivant/FW INET 10.19.0.1
-
Router# configure terminal
-
Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1
-
Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1
Définition de la carte de route :
Configuration de la liste de contrôle d’accès :
Configurez les ACL pour définir le trafic à envoyer vers et depuis l’appliance SD-WAN.
-
Du LAN à l’appliance SD-WAN
Selon la topologie, les sous-réseaux LAN sont 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc. Pour envoyer du trafic depuis le réseau local vers le SD-WAN, configurez une ACL unidirectionnelle (du réseau local vers n’importe quel réseau).
- Router# configure terminal
- Router(config)# ip access-list extended server_side
- Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
- De l’appliance SD-WAN aux liaisons WAN physiques
- Router# configure terminal
- Router(config)# ip access-list extended MPLS_Link
- Router(config)# permit ip 192.168.1.10 0.0.0.0 any
- Router# configure terminal
- Router(config)# ip access-list extended INET_Link
- Router(config)# permit ip 192.168.1.11 0.0.0.0 any
<!--NeedCopy-->
Configuration de la carte de route :
Définissez la carte de routage correspondant aux ACL.
Carte de route pour le trafic LAN :
Le prochain saut sera l’une des adresses IP virtuelles SD-WAN (VIP).
MPLS VIP 192.168.1.10
INET VIP 192.168.1.11
Dans ce cas, nous avons choisi MPLS VIP 192.168.1.10 comme saut suivant et avons également ajouté un contrôle de l’intégrité pour nous assurer que si le SD-WAN échoue, le trafic n’est pas routé vers lui.
- Router# configure terminal
- Router(config)# route-map server_side_VW_PBR permit 10
- Router(config-route-map)# match ip address server_side
- Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123
<!--NeedCopy-->
La commande ci-dessus configure la carte de route pour vérifier l’accessibilité de l’objet suivi. Le processus de suivi offre la possibilité de suivre des objets individuels, tels que l’accessibilité du ping ICMP, la contiguïté du routage, une application exécutée sur un périphérique distant, un itinéraire dans la base d’informations de routage (RIB) ou pour suivre l’état d’un protocole de ligne d’interface.
Carte de route pour le trafic WAN :
Le prochain saut sera MPLS Router et Firewall pour les liaisons WAN respectives.
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 20
- Router(config-route-map)# match ip address MPLS_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 30
- Router(config-route-map)# match ip address INET_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125
<!--NeedCopy-->
Appliquez la carte de route à l’interface :
- Router# configure terminal
- Router(config)# interface FastEthernet0/1
- Router(config-if)# ip policy route-map server_side_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
- Router# configure terminal
- Router(config)# interface GigabitEthernet0/1
- Router(config-if)# ip policy route-map WAN_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
<!--NeedCopy-->
Configuration du routeur MPLS (passerelle 10.20.0.1) :
-
Ajouter un itinéraire sur le routeur MPLS pour atteindre MPLS VWAN VIP sur le centre de données.
-
MPLS VIP sous-réseau 192.168.1.0/24 via le prochain saut PBR routeur MPLS lien 10.20.0.2
-
Router# configure terminal
-
Router(config)# ip route 192.168.1.0 255.255.255.0 10.20.0.2
Configuration du pare-feu (passerelle 10.19.0.1) :
Ajouter un itinéraire sur le pare-feu pour atteindre INET VWAN VIP sur le centre de données.
INET VIP sous-réseau 192.168.1.0/24 via le prochain routeur PBR hop INET lien 10.19.0.2
- Router# configure terminal
- Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->