Mode PBR (virtuel en ligne)
En mode virtuel en ligne, le routeur utilise des règles de routage basées sur des stratégies pour rediriger le trafic WAN entrant et sortant vers l’appliance, et l’appliance transfère les paquets traités au routeur.
L’article suivant décrit la procédure pas à pas pour configurer deux appliances SD-WAN (SD-WAN SE) :
-
Appliance de centre de données en mode PBR (mode virtuel en ligne)
-
Appliance de succursale en mode Inline
-
Le PBR doit être configuré soit au niveau du commutateur principal, soit plus en amont au niveau du routeur. Le routeur doit surveiller l’intégrité de l’appliance SD-WAN afin que l’appliance puisse être contournée en cas de défaillance.
-
Le mode Virtual Inline place l’appliance SD-WAN physiquement hors du chemin (déploiement à un bras), c’est-à-dire une seule interface Ethernet à utiliser (exemple : Interface 1/1) avec le mode de contournement défini sur FTB (failto-block).
L’appliance Citrix SD-WAN doit être configurée pour transmettre le trafic à la passerelle appropriée. Le trafic destiné au chemin virtuel est dirigé vers l’appliance SD-WAN, puis encapsulé et dirigé vers la liaison WAN appropriée.
Recueillir des informations pour
-
Diagramme de réseau précis (exemple de diagramme ci-dessous) de vos sites locaux et distants, y compris :
- Les liaisons WAN locales et distantes et leurs largeurs de bande passante dans les deux sens, leurs sous-réseaux, les adresses IP virtuelles et les passerelles de chaque lien, les routes et les réseaux locaux virtuels.
-
Tableau de déploiement (exemple de diagramme illustré ci-dessous)
Topologie du centre de données — mode PBR (mode virtuel en ligne)
Topologie de succursale — mode en ligne
Nom du site | Site DataCenter | Site de succursale |
---|---|---|
Nom de l’appliance | SJC-DC | SJC-BR |
Gestion IP | 172.30.2.10/24 | 172.30.2.20/24 |
Clé de sécurité | Le cas échéant | Le cas échéant |
Modèle/Édition | 4000 | 2000 |
Mode | Mode PBR (mode virtuel en ligne) | Inline |
Topologie | 2 x Chemin WAN | 2 x Chemin WAN |
Adresse VIP | 192.168.1.10/24 – MPLS, 192.168.1.11/24 – Internet, IP publique w.x.y.z | 10.17.0.9/24 - MPLS, 10.18.0.9/24 - Internet, IP publique a.b.c.d |
MPLS de passerelle | 10.20.0.1 | 10.17.0.1 |
Passerelle Internet | 10.19.0.1 | 10.18.0.1 |
Vitesse de liaison | MPLS — 100 Mbps, Internet — 20 Mbps | MPLS — 10 Mbps, Internet — 2 Mbps |
Itinéraire | Vous devez ajouter une route sur l’appliance SD-WAN SE pour savoir comment atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques : Gi0/1 - 192.168.1.1, Configuration > Virtual WAN > Configuration Editor > SJC_DC > Routes. Dans cet exemple, l’interface 192.168.1.1 a été utilisée፦ n/w adresse : 10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24, - Type de service : local, - Adresse IP de passerelle : 192.168.1.1 | Aucune route supplémentaire n’a été ajoutée |
VLAN | Aucun (valeur par défaut 0) | Aucun (valeur par défaut 0) |
Étapes à suivre pour configurer un site en mode virtuel en ligne :
-
Activez la fonctionnalité MCN.
-
Créez un nouveau site.
-
Créez un groupe d’interfaces et des interfaces virtuelles.
-
Affectez une adresse IP virtuelle aux interfaces virtuelles.
-
Créer des liens WAN et attribuer une adresse IP.
-
Ajoutez des itinéraires.
-
Dépannage.
-
Configuration du routage basé sur des stratégies sur le routeur PBR.
Prérequis de configuration
-
Activez l’appliance SD-WAN en tant que nœud de contrôle maître.
-
La configuration est effectuée uniquement sur le nœud de contrôle maître (MCN) de l’appliance SD-WAN.
Pour activer une appliance en tant que nœud de contrôle maître :
-
Dans l’interface de gestion Web SD-WAN, accédez à Configuration > Paramètres du matériel > Interface administrateur > onglet Divers > Console du commutateur.
Remarque
Si « Basculer vers la console client » s’affiche, l’appliance est déjà en mode MCN. Il ne devrait y avoir qu’un seul MCN actif dans un réseau SD-WAN.
-
Activez le service WAN virtuel. Accédez à Configuration > Réseau étendu virtuel > Activer/Désactiver/Purger les flux.
-
Démarrez Configuration en accédant à Configuration > Réseau étendu virtuel > Éditeur de configuration. Cliquez sur Nouveau pour commencer la configuration.
Cette opération crée un fichier de configuration initial Untitled_1 qui peut être renommé [facultatif] ultérieurement à l’aide du bouton Enregistrer sous.
Voici les étapes de configuration de haut niveau pour configurer le site Datacenter en mode de déploiement PBR :
-
Créez un site DC.
-
Configurez les groupes d’interfaces en fonction des interfaces Ethernet connectées.
-
Configurez l’adresse IP virtuelle pour chaque interface virtuelle.
-
Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.
-
Remplissez Routes s’il y a plus de sous-réseaux dans l’infrastructure LAN.
Configuration du mode PBR du site du centre de données
Créer un site de contrôleur de domaine
-
Accédez à Configuration Editor > Sites, puis cliquez sur le bouton+Site .
-
Remplissez les champs comme indiqué ci-dessous.
-
Conservez les paramètres par défaut sauf instructions contraires.
Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées
-
Dans l’éditeur de configuration, accédez à Sites > [Nom du site] > Groupes d’interface. Cliquez sur + pour ajouter des interfaces destinées à être utilisées. En mode PBR, la configuration sur une seule interface Ethernet est utilisée, c’est-à-dire l’interface connectant le routeur amont fournissant des implications sur la politique PBR (Example- Interface 1/1). Configurez les interfaces virtuelles MPLS et Internet avec les ID VLAN 10 et 20 respectivement.
-
Le mode de contournement est défini sur Fail-to-block car une seule interface Ethernet/Physique est utilisée par interface virtuelle. Il n’y a pas non plus de paires de ponts.
-
Dans cet exemple, développez l’option Interfaces virtuelles + et configurez les Interfaces virtuelles.
Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle
Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.
Créer un lien Internet WAN
Pour remplir les liaisons WAN en fonction de la vitesse physique et non de la vitesse de rafale à l’aide de la liaison Internet et MPLS :
-
Accédez à Liens WAN, cliquez sur le bouton+pour ajouter un lien WAN pour le lien Internet.
-
Remplissez les détails du lien Internet, y compris l’adresse IP publique fournie, comme indiqué ci-dessous. Notez qu’il est impossible de sélectionner Auto Detect Public IP pour l’appliance SD-WAN configurée en tant que MCN.
-
Accédez à Interfaces d’accès, cliquez sur le bouton + pour ajouter des détails d’interface spécifiques au lien Internet.
-
Remplissez l’interface d’accès pour les adresses IP et de Gateway comme indiqué ci-dessous. Le proxy ARP n’est pas vérifié pour moins de deux interfaces Ethernet.
Créer un lien MPLS
-
Accédez à Liens WAN, cliquez sur le bouton + pour ajouter un lien WAN pour le lien MPLS.
-
Remplissez les détails du lien MPLS comme indiqué ci-dessous.
-
Accédez à Access Interfaces, cliquez sur le bouton+ pour ajouter des détails d’interface spécifiques au lien MPLS.
-
Remplissez l’interface d’accès pour MPLS Virtual IP et les adresses de Gateway, comme indiqué ci-dessous.
Remarque
L’ARP du proxy n’est pas vérifié pour moins de deux interfaces Ethernet.
Remplissez les itinéraires
Sur le site du centre de données, ajoutez un itinéraire sur l’appliance SD-WAN SEE pour atteindre les sous-réseaux LAN (10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc.) via l’une des interfaces physiques :
0/1/0.1 — 192.168.1.1 sur VLAN 10
0/1/0.2 — 192.168.2.1 sur VLAN 20
Configuration du déploiement en ligne du site de succursale
Voici les étapes de configuration de haut niveau pour configurer le site de branche pour le déploiement en ligne :
-
Créez un site de succursale.
-
Remplissez les groupes d’interfaces en fonction des interfaces Ethernet connectées.
-
Créez une adresse IP virtuelle pour chaque interface virtuelle.
-
Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.
-
Interface virtuelle « INTERNET » configurée sur la paire Bridge 1/3 et 1/4
-
Interface virtuelle « MPLS » configurée avec paire de ponts 1/1 et 1/2
-
-
Remplissez Routes s’il y a plus de sous-réseaux dans l’infrastructure LAN.
Créer un site de succursale
Configurer des groupes d’interfaces basés sur des interfaces Ethernet connectées
-
Dans l’Éditeur de configuration, accédez à Sites> [Nom du site client]> Groupes d’interface. Cliquez sur « + » pour ajouter des interfaces destinées à être utilisées. Pour la configuration en mode Inline, quatre interfaces Ethernet sont utilisées ; les paires d’interfaces 1/3, 1/4 et les paires d’interfaces 1/1 et 1/2.
-
Le mode de contournement est défini sur Fail-to-Wire puisque deux interfaces Ethernet/physique sont utilisées par interface virtuelle. Il y a deux paires de ponts.
-
Remplissez les liaisons WAN en fonction du débit physique et non de la vitesse en rafale à l’aide des liaisons Internet et MPLS.
-
Interface virtuelle « INTERNET » configurée sur la paire Bridge 1/3 et 1/4
-
Interface virtuelle « MPLS » configuré avec paire de pont 1/1 et 1/2.
-
-
Reportez-vous à l’exemple de topologie « Mode Inline Site distant » ci-dessus et remplissez les champs Groupes d’interface comme indiqué ci-dessous.
Créer une adresse IP virtuelle (VIP) pour chaque interface virtuelle
Créez une adresse IP virtuelle sur le sous-réseau approprié pour chaque liaison WAN. Les VIP sont utilisés pour la communication entre deux appliances SD-WAN dans l’environnement Virtual WAN.
Créer un lien Internet WAN
Pour remplir les liens WAN en fonction du débit physique et non de la vitesse de rafale à l’aide d’un lien Internet
-
Accédez à Liens WAN, cliquez sur le bouton+pour ajouter un lien WAN pour le lien Internet.
-
Renseignez les détails du lien Internet, y compris l’adresse IP publique AutoDetect, comme indiqué ci-dessous.
-
Accédez à Interfaces d’accès, cliquez sur le bouton + pour ajouter des détails d’interface spécifiques au lien Internet.
-
Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.
Créer un lien MPLS
-
Accédez à Liens WAN, cliquez sur le bouton+ pour ajouter un lien WAN pour le lien MPLS.
-
Remplissez les détails du lien MPLS comme indiqué ci-dessous.
-
Accédez à Access Interfaces, cliquez sur le bouton+ pour ajouter des détails d’interface spécifiques au lien MPLS.
-
Remplissez l’interface d’accès pour l’adresse IP virtuelle et la Gateway comme indiqué ci-dessous.
Remplissez les itinéraires
Les itinéraires sont créés automatiquement en fonction de la configuration ci-dessus. Dans le cas où il existe d’autres sous-réseaux spécifiques à cette succursale distante, des routes spécifiques doivent être ajoutées pour identifier la passerelle vers laquelle diriger le trafic pour atteindre ces sous-réseaux dorsaux.
Résolution des erreurs d’audit
Une fois la configuration terminée pour les sites DC et Branch, vous serez invité à résoudre les erreurs d’audit sur les sites DC et BR. Dans cet exemple, nous allons résoudre l’erreur d’audit liée à la liaison WAN Intranet privé [SJC_DC-MPLS].
Remarque
Par défaut, le système génère des chemins pour les liaisons WAN définies comme type d’accès Internet public (mis en surbrillance).
Vous devez utiliser la fonction de groupe de chemins automatiques ou activer manuellement les chemins pour les liaisons WAN avec un type d’accès Internet privé. Les chemins des liens MPLS peuvent être activés en cliquant sur l’opérateur Ajouter (dans le rectangle vert).
Créer un groupe Autopath :
-
Accédez à l’onglet Global. Cliquez sur le signe [+] en regard de Autopath Groups.
-
Configurez le groupe Autopath créé selon les besoins et cliquez sur Appliquer.
-
Renommez le groupe Autopath [Facultatif].
-
Mappez le groupe Autopath aux chemins virtuels des liens WAN Intranet sur les sites respectifs.
Aucun groupe Autopath ne peut être marqué par défaut. Si elle est marquée, une erreur d’audit s’affiche.
Après avoir mappé le groupe Autopath sur les chemins d’accès virtuels du réseau étendu intranet, les chemins d’accès doivent être automatiquement renseignés (mis en surbrillance).
Ajouter manuellement des liens WAN avec le type d’accès Intranet privé
-
Sélectionnez les chemins virtuels sous Liens WAN pour les sites respectifs et aucun groupe Autopath ne sera mappé.
-
Cliquez sur le signe [+] en regard de Chemins pour ajouter manuellement des chemins virtuels.
-
Sélectionnez les liens WAN de chemins virtuels pour chaque site.
Après avoir ajouté manuellement les chemins virtuels pour les liens WAN avec le type d’accès Intranet privé, il est rempli sous Paths (mis en surbrillance).
Une fois toutes les étapes ci-dessus terminées, passez à la section Préparation des packages d’appliance SD-WAN sur la rubrique MCN.
Configuration du routage basée sur des stratégies sur le routeur PBR :
Interface connectée au réseau local
-
Router# configure terminal
-
Router(config)# interface FastEthernet0/1
-
Router(config-if)# description ToLAN
-
Router(config-if)# ip address 10.10.11.1 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
Interface se connecte à la liaison WAN MPLS
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/0
-
Router(config-if)# description To-MPLS-WAN
-
Router(config-if)# ip address 10.20.0.2 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
Interface connectée à l’INET WAN Link
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/2/0
-
Router(config-if)# description To-INET-WAN
-
Router(config-if)# ip address 10.19.0.2 255.255.255.0
-
Router(config-if)# duplex auto
-
Router(config-if)# speed auto
L’interface GigabitEthernet0/1 sur le routeur PBR est connecté au port SD-WAN 1/1, il est en mode 1 bras et ce port servira le trafic pour les liaisons MPLS et INET.
-
Router# configure terminal
-
Router(config)# interface GigabitEthernet0/1
-
Router(config-if)# description To-SDWAN-link
-
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Configuration d’itinéraire statique (Route vers le client/sous-réseaux distants) :
-
MPLS 10.17.0.0/24 via le routeur WAN de saut suivant MPLS 10.20.0.1
-
INET 10.18.0.0/24 via le routeur WAN hop suivant/FW INET 10.19.0.1
-
Router# configure terminal
-
Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1
-
Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1
Définition de la carte de route :
Configuration de la liste de contrôle d’accès :
Configurez les ACL pour définir le trafic à envoyer vers et en provenance de l’appliance SD-WAN.
-
Du LAN à l’appliance SD-WAN
Selon la topologie, les sous-réseaux LAN sont 10.10.11.0/24, 10.10.12.0/24, 10.10.13.0/24, etc. Pour envoyer du trafic depuis le réseau local vers le SD-WAN, configurez une ACL unidirectionnelle (du réseau local vers n’importe quel réseau).
- Router# configure terminal
- Router(config)# ip access-list extended server_side
- Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
- De l’appliance SD-WAN aux liens WAN physiques
- Router# configure terminal
- Router(config)# ip access-list extended MPLS_Link
- Router(config)# permit ip 192.168.1.10 0.0.0.0 any
- Router# configure terminal
- Router(config)# ip access-list extended INET_Link
- Router(config)# permit ip 192.168.1.11 0.0.0.0 any
<!--NeedCopy-->
Configuration de la carte d’itinéraire :
Définissez la carte de routage correspondant aux listes d’accès.
Carte d’itinéraire pour le trafic LAN :
Le prochain saut sera l’une des adresses IP virtuelles SD-WAN (VIP).
MPLS VIP 192.168.1.10
INET VIP 192.168.1.11
Dans ce cas, nous avons choisi MPLS VIP 192.168.1.10 comme saut suivant et avons également ajouté un contrôle de l’intégrité pour nous assurer que si le SD-WAN échoue, le trafic n’est pas routé vers lui.
- Router# configure terminal
- Router(config)# route-map server_side_VW_PBR permit 10
- Router(config-route-map)# match ip address server_side
- Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123
<!--NeedCopy-->
La commande ci-dessus configure la carte d’itinéraire pour vérifier l’accessibilité de l’objet suivi. Le processus de suivi offre la possibilité de suivre des objets individuels, tels que l’accessibilité au ping ICMP, la contiguïté de routage, une application exécutée sur un périphérique distant, une route dans la base d’informations de routage (RIB) ou de suivre l’état d’un protocole de ligne d’interface.
Carte d’itinéraire pour le trafic WAN :
Le prochain saut sera le routeur MPLS et le pare-feu pour les liens WAN respectifs.
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 20
- Router(config-route-map)# match ip address MPLS_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124
- Router# configure terminal
- Router(config)# route-map WAN_VW_PBR permit 30
- Router(config-route-map)# match ip address INET_Link
- Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125
<!--NeedCopy-->
Appliquez la carte d’itinéraire à l’interface :
- Router# configure terminal
- Router(config)# interface FastEthernet0/1
- Router(config-if)# ip policy route-map server_side_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
- Router# configure terminal
- Router(config)# interface GigabitEthernet0/1
- Router(config-if)# ip policy route-map WAN_VW_PBR
- Router(config-if)# duplex auto
- Router(config-if)# speed auto
<!--NeedCopy-->
Configuration du routeur MPLS (passerelle 10.20.0.1) :
-
Ajouter l’itinéraire sur le routeur MPLS pour atteindre MPLS VWAN VIP sur le centre de données.
-
MPLS VIP sous-réseau 192.168.1.0/24 via le prochain saut PBR routeur MPLS link 10.20.0.2
-
Router# configure terminal
-
Routeur (config) # route IP 192.168.1.0 255.255.255.0 10.20.0.2
Configuration du pare-feu (passerelle 10.19.0.1) :
Ajoutez un itinéraire sur le pare-feu pour atteindre INET VWAN VIP sur le centre de données.
INET VIP sous-réseau 192.168.1.0/24 via le prochain routeur PBR hop INET lien 10.19.0.2
- Router# configure terminal
- Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->