Citrix SD-WAN

Règles par adresse IP et numéro de port

Les règles par adresse IP et numéro de port vous aident à créer des règles pour votre réseau et à prendre certaines décisions de qualité de service (QoS) basées sur les règles. Vous pouvez créer des règles personnalisées pour votre réseau. Par exemple, vous pouvez créer une règle comme — Si l’adresse IP source est 172.186.30.74 et que l’adresse IP de destination est 172.186.10.89, définissez le mode Transmission comme Chemin persistant et LAN à WAN Class sur 10 (realtime_class) ».

À l’aide de l’éditeur de configuration, vous pouvez créer des règles pour le flux de trafic et les associer à des applications et des classes. Vous pouvez spécifier des critères pour filtrer le trafic d’un flux et appliquer un comportement général, un comportement LAN vers WAN, un comportement WAN vers LAN et des règles d’inspection de paquets.

Vous pouvez créer des règles localement au niveau du site ou au niveau global. Si plusieurs sites nécessitent la même règle, vous pouvez créer un modèle pour les règles globalement sous Global > Jeux de chemins virtuels par défaut > Règles. Le modèle peut ensuite être attaché aux sites où les règles doivent être appliquées. Même si un site est associé au modèle de règle créé globalement, vous pouvez créer des règles spécifiques au site. Dans de tels cas, les règles spécifiques au site ont priorité et remplacent le modèle de règle créé globalement.

Créer des règles par adresse IP et numéro de port

  1. Dans l’Éditeur de configuration SD-WAN, accédez à Global > Jeux par défaut de chemin virtuel.

    Remarque

    Vous pouvez créer des règles au niveau du site en accédant à Sites > Connexions > Chemins virtuels > Règles.

  2. Cliquez sur Ajouter un jeu par défaut, entrez un nom pour le jeu par défaut, puis cliquez sur Ajouter. Dans le champ Section, sélectionnez Règles et cliquez sur + .

  3. Dans le champ Ordre, entrez la valeur de l’ordre à définir quand la règle est appliquée par rapport à d’autres règles.

  4. Dans le champ Nom du groupe de règles, sélectionnez un groupe de règles. Les statistiques des règles avec le même groupe de règles sont regroupées et peuvent être visualisées ensemble.

    Pour afficher les groupes de règles, accédez à Surveillance > Statistiqueset, dans le champ Afficher, sélectionnez Groupes de règles.

    Vous pouvez également ajouter des applications personnalisées. Pour plus d’informations, reportez-vous à la section Ajouter des groupes de règles et activer MOS.

  5. Dans le champ Domaine de routage, choisissez l’un des domaines de routage configurés.

  6. Vous pouvez définir des critères de correspondance de règles pour filtrer les services en fonction des paramètres répertoriés comme suit. Après le filtrage, les paramètres de règle sont appliqués aux services correspondant à ces critères.

    • Adresse IP source : adresse IP source et masque de sous-réseau pour correspondre au trafic.

    • Adresse IP de destination : adresse IP de destination et masque de sous-réseau pour correspondre au trafic.

      Remarque

      Si la case à cocher Dest=Src est activée, l’adresse IP source sera également utilisée pour l’adresse IP de destination.

    • Protocole : Protocole à comparer avec le trafic.

    • Port source : numéro de port source ou plage de ports à comparer avec le trafic.

    • Port de destination : numéro de port de destination ou plage de ports à comparer avec le trafic.

      Remarque

      Si la case à cocher Dest=Src est activée, le port source sera également utilisé pour le port de destination.

    • DSCP : balise DSCPdans l’en-tête IP pour correspondre au trafic.

    • VLAN : ID VLANà comparer avec le trafic.

  7. Cliquez sur l’icône Ajouter (+) en regard de la nouvelle règle.

  8. Cliquez sur Initialiser les propriétés à l’aide du protocole pour initialiser les propriétés de la règle en appliquant les valeurs par défaut de la règle et les paramètres recommandés pour le protocole. Cette opération remplit les paramètres de règle par défaut. Vous pouvez également personnaliser les paramètres manuellement, comme indiqué dans les étapes suivantes.

  9. Cliquez sur la vignette WAN General pour configurer les propriétés suivantes.

    • Mode de transmission : Sélectionnez l’un des modes de transmission suivants.

      • Chemin d’équilibragede charge : le trafic du flux sera réparti entre plusieurs chemins pour le service. Le trafic est envoyé par le meilleur chemin jusqu’à ce que ce chemin soit utilisé. Les paquets restants sont envoyés par le meilleur chemin suivant.

      • Chemin persistant : le trafic du flux reste sur le même chemin jusqu’à ce que le chemin d’accès ne soit plus disponible.

      • Dupliquer le chemin : le trafic du flux est dupliqué sur plusieurs chemins, ce qui augmente la fiabilité.

      • Service de remplacement : le trafic pour le flux remplace un service différent. Dans le champ Remplacer le service, sélectionnez le type de service auquel le service remplace. Par exemple, un service de chemin d’accès virtuel peut remplacer un service intranet, Internet ou pass-through.

    • Retransmettre les paquets perdus : envoie le trafic correspondant à cette règle à l’appliance distante via un service fiable et retransmet les paquets perdus.

    • Activer la terminaison TCP : Activer la terminaison TCP du trafic pour ce flux. Le temps aller-retour pour l’accusé de réception des paquets est réduit, ce qui améliore le débit.

    • Liaison WAN préférée : Liaison WAN que les flux doivent utiliser en premier.

    • Impédance persistante : durée minimale en millisecondes pendant laquelle le trafic restera dans le même chemin, jusqu’au temps d’attente pendant lequel le chemin est plus long que la valeur configurée.

    • Activer IP, TCP et UDP : Compresser les en-têtes dans les paquets IP, TCP et UDP.

    • Activer GRE : Compresser les en-têtes dans les paquets GRE.

    • Activer l’agrégation de paquets : Agrégez les petits paquets en paquets plus volumineux.

    • Performances de suivi : enregistre les attributs de performance de cette règle dans une base de données de session (par exemple, perte, gigue, latence et bande passante).

      Image générale WAN

  10. Cliquez sur la vignette LAN to WAN pour configurer le comportement LAN to WAN pour cette règle.

    • Classe : sélectionnez une classe à laquelle associer cette règle.

      Remarque

      Vous pouvez également personnaliser des classes avant d’appliquer des règles. Pour plus d’informations, reportez-vous à la section Comment personnaliser les classes.

    • Grande taille de paquet : Les paquets inférieurs ou égaux à cette taille reçoivent les valeurs Limitede dépôt et Profondeurde dépôt spécifiées dans les champs à droite du champ Classe.

      Règles SD-WAN 4

      Les paquets supérieurs à cette taille reçoivent les valeurs spécifiées dans les champs Limite de dépôt et Profondeur de dépôt par défaut de la section Grands paquets de l’écran.

      Règles SD-WAN 3

    • Limite de dépôt : durée après laquelle les paquets en attente dans le planificateur de classe sont supprimés. Ne s’applique pas à une classe en vrac.

    • Profondeur de dépôt : seuil de profondeur de file d’attente après lequel les paquets sont supprimés.

    • Activer RED : Random Early Detection (RED) assure un partage équitable des ressources de classe en rejetant les paquets en cas de congestion.

    • Réaffecter la taille : longueur du paquet qui, lorsqu’elle est dépassée, entraîne la réaffectation du paquet à la classe spécifiée dans le champ Réaffecter la classe.

    • Réaffecter la classe : Classe utilisée lorsque la longueur du paquet dépasse la longueur du paquet spécifiée dans le champ Réaffecter la taille.

    • Limite de désactivation : durée pendant laquelle la duplication peut être désactivée pour empêcher les paquets dupliqués de consommer de la bande passante.

    • Désactiver la profondeur : profondeur de la file d’attente du planificateur de classe, auquel moment les paquets dupliqués ne seront pas générés.

    • Classe ACK autonome TCP : classehaute priorité à laquelle les accusés de réception autonomes TCP sont mappés lors des transferts de fichiers volumineux.

      Règles SD-WAN 5

  11. Cliquez sur la vignette WAN to LAN pour configurer le comportement WAN to LAN pour cette règle.

    • Activer le reséquençage des paquets : séquence les paquets dans l’ordre correct à la destination.

    • Temps de conservation : intervalle de temps pendant lequel les paquets sont conservés pour le reséquençage, après quoi les paquets sont envoyés au réseau local.

    • Rejeter les paquets de reséquençage tardif : Ignorez les paquets désorganisés arrivés après que les paquets nécessaires au reséquençage aient été envoyés au réseau local.

    • Balise DSCP : baliseDSCP appliquée aux paquets qui correspondent à cette règle, avant de les envoyer au réseau local.

      Règles SD-WAN 6

  12. Cliquez sur la vignette Inspection des paquets profonde et sélectionnez Activer la détection FTP passive pour permettre à la règle de détecter le port utilisé pour le transfert de données FTP et d’appliquer automatiquement les paramètres de la règle au port détecté.

  13. Cliquez sur Appliquer.

Remarque

Enregistrez la configuration, exportez-la dans la boîte de réception de gestion des modifications et lancez le processus de gestion des modifications.

Vérifier les règles

Dans l’Éditeur de configuration, accédez à Surveillance > Flux. Sélectionnez le champ Type de flux situé dans la section Sélectionner des flux en haut de la page Flux. En regard du champ Type de flux, une ligne de cases à cocher permet de sélectionner les informations de flux que vous souhaitez afficher. Vérifiez si les informations de flux sont conformes aux règles configurées.

Exemple : La règle « Si l’adresse IP source est 172.186.30.74 et que l’adresse IP de destination est 172.186.10.89, définissez le mode de transmission en tant que chemin persistant » affiche les données de fluxsuivantes.

Vérifier les données de flux de règles

Dans l’Éditeur de configuration, accédez à Surveillance > Statistiques et vérifiez les règles configurées.

Vérifier les statistiques des règles

Règles par adresse IP et numéro de port