Citrix SD-WAN

Accès Internet

Le service Internet est utilisé pour le trafic entre un site d’utilisateur final et des sites sur l’Internet public. Le trafic du service Internet n’est pas encapsulé par SD-WAN et n’a pas les mêmes capacités que le trafic fourni via le service de chemin virtuel. Cependant, il est important de classer et de prendre en compte ce trafic sur le SD-WAN. Le trafic identifié en tant que service Internet permet au SD-WAN de gérer activement la bande passante de liaison WAN en limitant le trafic Internet par rapport au trafic acheminé sur le chemin virtuel et le trafic intranet selon la configuration établie par l’administrateur. En plus des fonctionnalités de provisionnement de bande passante, le SD-WAN a la capacité supplémentaire d’équilibrer la charge du trafic acheminé sur le service Internet à l’aide de plusieurs liaisons WAN Internet ou, en option, d’utiliser les liaisons WAN Internet dans une configuration principale ou secondaire.

Le contrôle du trafic Internet à l’aide du service Internet sur des appliances SD-WAN peut être configuré dans les modes de déploiement suivants :

  • Routage d’Internet direct à la succursale avec pare-feu intégré

  • Réacheminement direct par Internet à la succursale vers Secure Web Gateway

  • Backhaul Internet vers le centre de données MCN

Pour plus d’informations sur la configuration d’un service Internet via le service Citrix SD-WAN Orchestrator, consultez la section Service Internet.

Service Internet

Routage d’Internet direct à la succursale avec pare-feu intégré

Le service Internet peut être utilisé dans les différents modes de déploiement pris en charge par Citrix SD-WAN.

  • Mode de déploiement en ligne (superposition SD-WAN)

Citrix SD-WAN peut être déployé en tant que solution de superposition sur n’importe quel réseau. En tant que solution de superposition, le SD-WAN est généralement déployé derrière des routeurs périphériques et/ou des pare-feu existants. Si le SD-WAN est déployé derrière un pare-feu réseau, l’interface peut être configurée comme approuvée et le trafic Internet peut être remis au pare-feu en tant que Gateway Internet.

  • Mode Edge ou passerelle

Citrix SD-WAN peut être déployé en tant que périphérique périphérique périphérique, en remplacement des périphériques de routeur Edge et/ou pare-feu existants. La fonctionnalité de pare-feu intégré permet au SD-WAN de protéger le réseau de la connectivité Internet directe. Dans ce mode, l’interface connectée à la liaison Internet publique est configurée comme non fiable, ce qui oblige le chiffrement à être activé, et les fonctionnalités de pare-feu et NAT dynamique sont activées pour sécuriser le réseau.

Pour plus d’informations sur la configuration d’un service Internet via le service Citrix SD-WAN Orchestrator, consultez la section Service Internet.

Pare-feu intégré

Accès direct à Internet avec Secure Web Gateway

Pour sécuriser le trafic et appliquer des stratégies, les entreprises utilisent souvent des liens MPLS pour acheminer le trafic des succursales vers le centre de données de l’entreprise. Le centre de données applique des stratégies de sécurité, filtre le trafic via les appliances de sécurité pour détecter les logiciels malveillants et achemine le trafic via un fournisseur de services Internet. Une telle liaison terrestre sur des liaisons MPLS privées est coûteuse. Cela entraîne également une latence importante, ce qui crée une mauvaise expérience utilisateur sur le site de la succursale. Il existe également un risque que les utilisateurs contournent vos contrôles de sécurité.

Une alternative au réacheminement consiste à ajouter des dispositifs de sécurité à la succursale. Toutefois, le coût et la complexité augmentent à mesure que vous installez plusieurs appliances afin de maintenir des stratégies cohérentes sur l’ensemble des sites. Plus important encore, si vous avez de nombreuses succursales, la gestion des coûts devient impraticable.

Une autre solution consiste à renforcer la sécurité sans augmenter les coûts, la complexité ou la latence, en acheminant tout le trafic Internet des succursales à l’aide de Citrix SD-WAN vers le service Secure Web Gateway. Un service Secure Web Gateway tiers permet la création de stratégies de sécurité granulaires et centralisées que tous les réseaux connectés peuvent utiliser. Les stratégies sont appliquées de manière cohérente, que l’utilisateur se trouve dans le centre de données ou dans un site de succursale. Les solutions Secure Web Gateway étant basées sur le cloud, vous n’avez pas besoin d’ajouter des appliances de sécurité plus coûteuses au réseau.

Pour plus d’informations sur la configuration d’un service Internet via le service Citrix SD-WAN Orchestrator, consultez la section Service Internet.

Image Secure Web Gateway

Citrix SD-WAN prend en charge les solutions Secure Web Gateway tierces suivantes :

Backhauling d’Internet

La solution Citrix SD-WAN peut rediriger le trafic Internet vers le site MCN ou d’autres sites de succursale. Le backhaul indique que le trafic destiné à Internet est renvoyé par un autre site prédéfini qui peut accéder à Internet. Il est utile pour les réseaux qui n’autorisent pas l’accès à Internet directement en raison de problèmes de sécurité ou de la topologie des réseaux sous-jacents. Par exemple, un site distant ne dispose pas d’un pare-feu externe où le pare-feu SD-WAN intégré ne répond pas aux exigences de sécurité de ce site. Dans certains environnements, la rétroacheminement de tout le trafic Internet des sites distants via la zone démilitarisée du centre de données pourrait être la meilleure approche pour fournir un accès Internet aux utilisateurs des bureaux distants. Toutefois, cette approche a ses limites à connaître et notamment la taille appropriée des liaisons WAN sous-couche.

  • Le backhaul du trafic Internet ajoute une latence à la connectivité Internet et est variable en fonction de la distance du site de la succursale pour le datacenter.

  • Le backhaul du trafic Internet consomme de la bande passante sur le chemin virtuel et est pris en compte dans le dimensionnement des liaisons WAN.

  • Le backhaul du trafic Internet peut surallouer la liaison WAN Internet au centre de données.

Backhaul du DC MCN

Tous les périphériques Citrix SD-WAN peuvent mettre fin à jusqu’à huit liaisons WAN Internet distinctes en un seul appareil. Les capacités de débit sous licence pour les liaisons WAN agrégées sont répertoriées par appliance respective sur la fiche technique Citrix SD-WAN.

Mode épingle à cheveux

Avec le déploiement de l’épingle à cheveux, vous pouvez implémenter l’utilisation d’un site Remote Hub pour l’accès Internet via backhaul ou en épingle à cheveux lorsque les services Internet locaux ne sont pas disponibles ou connaissent un trafic plus lent. Vous pouvez appliquer un routage à bande passante élevée entre les sites clients en autorisant le backhauling à partir de sites spécifiques.

Le but d’un déploiement en épingle à cheveux d’un site non-WAN vers un site de transfert WAN est de fournir un processus de déploiement plus efficace et une implémentation technique plus rationalisée. Vous pouvez utiliser un site Hub distant pour accéder à Internet en cas de besoin et acheminer les flux via le chemin virtuel vers le réseau SD-WAN.

Mode Hairpin

Par exemple, considérez un administrateur disposant de plusieurs sites SD-WAN, A et B. Le site A a un service Internet médiocre. Le site B dispose d’un service Internet utilisable, avec lequel vous souhaitez rediriger le trafic du site A vers le site B. Vous pouvez essayer d’y parvenir sans la complexité des coûts d’itinéraire stratégiquement pondérés et de la propagation vers des sites qui ne devraient pas recevoir le trafic.

En outre, la table de routage n’est pas partagée sur tous les sites d’un déploiement Hairpin. Par exemple, si le trafic est en épingle à cheveux entre le site A et le site B via le site C, seul le site C connaîtrait les itinéraires du site A et du site B. Le site A et le site B ne partagent pas la table de routage de l’autre, contrairement au transfert WAN vers WAN.

Lorsque le trafic est transité entre le site A et le site B par le site C, les routes statiques doivent être ajoutées dans le site A et le site B indiquant que le prochain saut pour les deux sites est le site intermédiaire C.

Le transfert WAN à WAN et le déploiement Hairpin présentent certaines différences, à savoir :

  1. Les chemins virtuels dynamiques ne sont pas configurés. Toujours, le site intermédiaire voit tout le trafic entre les deux sites.

  2. Ne participe pas aux groupes de transfert WAN à WAN.

    Le transfert Wan-Wan et le déploiement Hairpin sont mutuellement exclusifs. Un seul d’entre eux peut être configuré à un moment donné dans le temps.

    Les appliances Citrix SD-WAN SE et VPX (virtuelles) prennent en charge le déploiement en épingle à cheveux. Vous pouvez maintenant configurer une route 0.0.0.0/0 vers le trafic en épingle à cheveux entre deux emplacements sans affecter d’autres emplacements. Si l’épinglage est utilisé pour le trafic intranet, des itinéraires Intranet spécifiques sont ajoutés au site client pour transférer le trafic intranet via le chemin virtuel vers le site en épingle à cheveux. L’activation du transfert WAN vers WAN pour réaliser la fonctionnalité d’épingle à cheveux n’est plus nécessaire.

Accès Internet