Citrix SD-WAN

Gestion entrante et des sauvegardes

Gestion intrabande

Citrix SD-WAN vous permet de gérer l’appliance SD-WAN de deux façons : la gestion out-of-band et la gestion in-band. La gestion hors bande vous permet de créer une adresse IP de gestion à l’aide d’un port réservé à la gestion, qui transporte uniquement le trafic de gestion. La gestion in-band vous permet d’utiliser les ports de données SD-WAN pour la gestion. Il transporte à la fois le trafic de données et de gestion, sans avoir à configurer un chemin de gestion supplémentaire.

La gestion in-band permet aux adresses IP virtuelles de se connecter à des services de gestion tels que l’interface utilisateur Web et SSH. Vous pouvez activer la gestion In-band sur plusieurs interfaces de confiance qui sont activées pour être utilisées pour les services IP. Vous pouvez accéder à l’interface utilisateur Web et SSH à l’aide de l’adresse IP de gestion et des adresses IP virtuelles in-band.

À partir de la version 11.4.2 de Citrix SD-WAN, il est obligatoire de configurer la gestion intrabande pour établir la connectivité au service Citrix SD-WAN Orchestrator via un port de gestion intrabande. Dans le cas contraire, l’appliance perd la connectivité au service Citrix SD-WAN Orchestrator lorsque le port de gestion n’est pas connecté et que l’adresse IP intrabande n’est pas non plus configurée.

Remarque

  • Le service Citrix SD-WAN Orchestrator n’autorise pas la configuration du type de service comme n’importe quel pour les stratégies NAT de destination.
  • Évitez de désactiver le service lorsque la seule connectivité de gestion est HA in-band. Vous pouvez vous verrouiller de l’appliance si vous désactivez le service.

À partir de Citrix SD-WAN 11.5, vous pouvez activer la gestion intrabande sur une adresse IP virtuelle uniquement via le service Citrix SD-WAN Orchestrator. Pour plus d’informations, consultez la section Gestion intrabande.

À partir de la version 11.3.1 de Citrix SD-WAN, la gestion in-band prend en charge les paires d’appliances haute disponibilité. La communication entre les appliances principale et secondaire se fait via les interfaces virtuelles à l’aide de NAT.

Les ports suivants permettent la communication avec les services de gestion sur les appliances HA :

  • HTTPS
    • 443 - Se connecte à la HA active
    • 444 - Redirige vers la HA primaire
    • 445 - Redirige vers la HA secondaire
  • SSH
    • 22 - Se connecte à la HA active
    • 23 - Redirige vers l’HA primaire
    • 24 - Redirige vers l’AP secondaire
  • SNMP
    • 161 - Se connecte à la HA actif
    • 162 - Redirige vers la HA primaire
    • 163 - Redirige vers la HA secondaire

Utilisez les stratégies NAT de destination pour créer des adresses IP qui permettent la connectivité à HA in-band sans avoir besoin d’entrer dans un port.

Par exemple, les adresses IP in-band suivantes sont utilisées pour accéder aux appliances :

  • Appareil actif - 1.0.1.2
  • Appareil principal - 1.0.1.10
  • Appareil secondaire - 1.0.1.11

Surveillance de la gestion intrabande

Dans l’exemple précédent, nous avons activé la gestion in-band sur l’IP virtuelle 172.170.10.78. Vous pouvez utiliser cette adresse IP pour accéder à l’interface utilisateur Web et SSH.

Dans l’interface utilisateur Web, accédez à Surveillance > Pare-feu. Vous pouvez voir SSH et l’interface utilisateur Web accessibles à l’aide de l’IP virtuelle sur les ports 22 et 443 respectivement dans la colonne Adresse IP de destination .

Surveillance de la gestion intrabande

Provisioning intrabande

La nécessité de déployer des appliances SD-WAN dans des environnements plus simples, comme la maison ou les petites succursales, a considérablement augmenté. La configuration d’un accès de gestion distinct pour des déploiements plus simples est une surcharge supplémentaire. Le déploiement sans contact et la fonction de gestion in-band permettent le provisionnement et la gestion de la configuration via des ports de données désignés. Le déploiement sans contact est désormais pris en charge sur les ports de données désignés et il n’est pas nécessaire d’utiliser un port de gestion distinct pour le déploiement zéro contact. Citrix SD-WAN permet également de basculer le trafic de gestion en toute transparence vers le port de gestion lorsque le port de données tombe en panne et vice versa.

Une appliance expédiée en usine, qui prend en charge le Provisioning in-band, peut être provisionnée en connectant simplement le port de données ou de gestion à Internet. Les appliances prenant en charge le Provisioning in-band disposent de ports spécifiques pour le réseau local et le réseau étendu. L’appliance en état de réinitialisation d’usine a une configuration par défaut qui permet d’établir une connexion avec le service de déploiement zéro contact. Le port LAN agit en tant que serveur DHCP et attribue une IP dynamique au port WAN qui agit en tant que client DHCP. Les liaisons WAN surveillent le service DNS Quad 9 pour déterminer la connectivité WAN.

Remarque

Le Provisioning en bande s’applique uniquement aux plates-formes SD-WAN 110 SE et SD-WAN VPX.

Une fois l’adresse IP obtenue et une connexion établie avec le service de déploiement zéro contact, les packages de configuration sont téléchargés et installés sur l’appliance.

Remarque : pour le provisionnement jour 0 des appliances SD-WAN via les ports de données, la version logicielle de l’appliance doit être SD-WAN 11.1.0 ou supérieure.

La configuration par défaut d’une appliance en état de réinitialisation d’usine comprend les configurations suivantes :

  • Serveur DHCP sur port LAN
  • Client DHCP sur port WAN
  • Configuration QUAD9 pour DNS
  • L’IP LAN par défaut est 192.168.0.1
  • Licence Grace de 35 jours.

Une fois l’appliance provisionnée, la configuration par défaut est désactivée et remplacée par la configuration reçue du service de déploiement zéro touche. Si une licence d’appliance ou une licence de grâce expire, la configuration par défaut est activée afin de garantir que l’appliance reste connectée au service de déploiement zéro touche et qu’elle reçoit les licences gérées via un déploiement zéro contact.

Configuration par défaut/de secours

La configuration de secours garantit que l’appliance reste connectée au service de déploiement zéro contact en cas de défaillance de liaison, de non-correspondance de configuration ou de non-correspondance logicielle. La configuration de secours est activée par défaut sur les appliances disposant d’un profil de configuration par défaut. Vous pouvez également modifier la configuration de secours en fonction de vos paramètres réseau LAN existants.

Remarque : Après le provisionnement initial de l’appliance, vérifiez que la configuration de secours est activée pour la connectivité du service de déploiement zéro contact.

Le tableau suivant fournit les détails des ports WAN et LAN prédésignés pour la configuration de secours sur différentes plates-formes :

Plateforme Ports WAN Ports LAN
110 1/2 1/1
110-LTE 1/2, LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
1100 1/4, 1/5, 1/6 1/3 (FTB)

À partir de Citrix SD-WAN version 11.3.1, les paramètres du port WAN sont configurables. Les ports WAN peuvent être configurés en tant que liens WAN indépendants à l’aide du client DHCP et surveiller le service DNS Quad9 pour déterminer la connectivité WAN. Vous pouvez configurer les IP WAN ou IP statiques pour les ports WAN en l’absence de DHCP pour utiliser la gestion in-band pour le provisionnement initial.

Remarque

Vous pouvez uniquement configurer les ports Ethernet avec les IP statiques. Les IP statiques ne sont pas configurables avec les ports LTE-1 et LTE-E1. Bien que vous puissiez ajouter les ports LTE-1 et LTE-E1 en tant que WAN, les champs de configuration restent non modifiables.

Lorsque vous ajoutez un port WAN, il est ajouté dans la section Paramètres WAN (Port : 2) avec la case Mode DHCP activée par défaut. Si la case à cocher Mode DHCP est activée, les champs de texte Adresse IP, Adresse IP de passerelle et ID VLAN sont grisés. Désactivez la case à cocher Mode DHCP si vous souhaitez configurer l’adresse IP statique.

Mode DHCP

Par défaut, le champ Adresse IP de suivi WAN est automatiquement rempli avec le 9.9.9.9. Vous pouvez modifier l’adresse au besoin.

Remarque

Si vous activez la case à cocher Serveurs DNS dynamiques, assurez-vous d’ajouter/configurer au moins un port WAN avec le mode DHCP sélectionné.

Port de gestion ou de données configurable

La gestion in-band permet aux ports de données de transporter à la fois les données et le trafic de gestion, éliminant ainsi le besoin d’un port de gestion dédié. Cela laisse le port de gestion inutilisé sur les appliances bas de gamme, qui ont déjà une faible densité de port. Citrix SD-WAN vous permet de configurer le port de gestion pour qu’il fonctionne en tant que port de données ou port de gestion.

Remarque

Vous pouvez convertir le port de gestion en port de données uniquement sur les plates-formes suivantes :

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

Vous pouvez configurer un port de gestion uniquement lorsque la gestion intrabande est activée sur d’autres interfaces approuvées de l’appliance.

Réseau de gestion des sauvegardes

Vous pouvez configurer une adresse IP virtuelle en tant que réseau de gestion de sauvegarde. Il est utilisé comme adresse IP de gestion si le port de gestion n’est pas configuré avec une Gateway par défaut.

Remarque

Si un site possède un service Internet configuré avec un seul domaine de routage, une interface de confiance dont l’identité est activée est sélectionnée comme réseau de gestion de sauvegarde par défaut.

Surveillance de la gestion des sauvegardes

Dans l’exemple précédent, nous avons sélectionné 172.170.10.78 IP virtuelle comme réseau de gestion de sauvegarde. Si l’adresse IP de gestion n’est pas configurée avec une Gateway par défaut, vous pouvez utiliser cette adresse IP pour accéder à l’interface utilisateur Web et SSH.

Dans l’interface utilisateur Web, accédez à Surveillance > Pare-feu. Vous pouvez voir cette adresse IP virtuelle comme adresse IP source pour l’accès SSH et l’accès à l’interface utilisateur Web.

Surveillance de la gestion des sauvegardes

Gestion entrante et des sauvegardes