Guide d'administration de

VMware SD-WAN
VMware SD-WAN 4.0
Guide d'administration de VMware SD-WAN

Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse :

[Link]

VMware, Inc. VMware France SAS.

3401 Hillview Ave. Tour Franklin
Palo Alto, CA 94304 100-101 Terrasse Boieldieu
[Link] 92042 Paris La Défense 8 Cedex
France
[Link]/fr

©
Copyright 2020 VMware, Inc. Tous droits réservés. Informations relatives aux copyrights et marques
commerciales.

VMware, Inc. 2
 Table des matières

1 À propos du Guide d'administration de VMware SD-WAN 12

2 Nouveautés 13

3 Présentation 16
Composants de solution 17
Données de performances et d'échelle du dispositif SD-WAN Edge 18
Capacités 26
Capacité supplémentaire du tunnel et MTU 29
Topologies de réseau 33
Topologies de site de branche 34
Rôles et niveaux de privilèges 40
Matrice des rôles d'utilisateur 41
Concepts clés 45
Navigateurs pris en charge 50
Modems pris en charge 50

4 Contrat d'utilisateur 51

5 Se connecter à VMware SD-WAN Orchestrator à l'aide de SSO pour l'utilisateur

d'entreprise 52

6 Surveiller les entreprises 53

Panneau de navigation Surveiller 53
Présentation du réseau 54
Surveiller les dispositifs Edge 57
Onglet Présentation 58
Onglet QoE 60
Onglet Transport 62
Onglet Applications 64
Onglet Sources 65
Onglet Destinations 67
Onglet Priorité d'entreprise 68
Onglet système 69
Rétention des données de VMware SD-WAN Orchestrator 70
Surveiller les services réseau 74
Surveiller le routage 75
Vue PIM Neighbors 76

VMware, Inc. 3
Guide d'administration de VMware SD-WAN

Surveiller les alertes 76

Surveiller les événements 77
Restauration automatique vers la dernière configuration correcte connue 78
Surveiller les rapports 79

7 Surveiller l'entreprise à l'aide de la nouvelle interface utilisateur d'Orchestrator

81
Surveiller la présentation du réseau 82
Surveiller les dispositifs Edge 84
Présentation de la surveillance d'un dispositif Edge 86
Surveiller les liaisons d'un dispositif Edge 87
Surveiller la visibilité des chemins 89
Surveiller les applications Edge 91
Surveiller les sources Edge 93
Surveiller les destinations d'un dispositif Edge 95
Surveiller les priorités d'entreprise d'un dispositif Edge 97
Surveiller les informations système d'un dispositif Edge 98
Surveiller les passerelles connectées aux dispositifs Edge 99
Surveiller les services réseau 100
Surveiller des destinations non-SD-WAN via une passerelle 101
Surveiller les sites du service de sécurité cloud 102
Surveiller les clusters Edge 103
Surveiller les VNF d'un dispositif Edge 104
Surveiller les détails du routage 105
Surveiller des groupes de multidiffusion 105
Surveiller les voisins PIM 106
Surveiller l'état des voisins de dispositifs Edge BGP 107
Surveiller BFD 108
Surveiller l'état des voisins de passerelles BGP 109
Surveiller les alertes 110
Surveiller les événements 111
Rapports d'entreprise 113
Créer un nouveau rapport d'entreprise 114
Créer un rapport personnalisé 115
Sélectionner une plage de temps 116
Sélectionner les données 117
Sélectionner des dispositifs Edge 118
Envoyer le rapport 119
Surveiller les rapports d'entreprise 121

8 Configurer les segments 125

VMware, Inc. 4
Guide d'administration de VMware SD-WAN

9 Configurer les services réseau 127

À propos du clustering de dispositifs Edge 129
Fonctionnement du clustering de dispositifs Edge 130
Configurer le clustering de dispositifs Edge 137
Dépannage du clustering de dispositifs Edge 139
Configurer une instance de Non VMware SD-WAN Site 140
Workflow VPN 141
Configurer des destinations non SD-WAN via une passerelle 145
Configurer Check Point 147
Configurer un Non VMware SD-WAN Site de type Cisco ASA 150
Configurer une instance de Non VMware SD-WAN Site de type Cisco ISR 152
Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv2 générique
via une passerelle 155
Configurer un Non VMware SD-WAN Site Microsoft Azure 159
Configurer une instance de Non VMware SD-WAN Site de type Palo Alto 161
Configurer une instance de Non VMware SD-WAN Site de type SonicWALL 163
Configurer Zscaler 165
Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv1 générique
via une passerelle 174
Configurer une instance de Non VMware SD-WAN Site de type pare-feu générique (VPN
basé sur la stratégie) 177
Configurer Amazon Web Services 179
Configurer des destinations non SD-WAN via un dispositif Edge 180
Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv1 générique
via un dispositif Edge 182
Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv2 générique
via un dispositif Edge 185
Configurer le tunnel entre la branche et les destinations non SD-WAN via un dispositif
Edge 188
Configurer les paramètres de VPN cloud et de tunnel au niveau du dispositif Edge 189
Service de sécurité cloud 191
Configurer un fournisseur de sécurité du cloud 191
Configurer les services de sécurité cloud pour les profils 194
Configurer les services de sécurité cloud pour les dispositifs Edge 196
Configurer des business policies avec les services de sécurité cloud 198
Surveiller les services de sécurité cloud 200
Surveiller les événements des services de sécurité cloud 201
Configurer les services DNS 202
Configurer les paramètres NetFlow 203
Modèles IPFIX 205
Modèle non-NAT 205
Modèle NAT 218
Modèle de statistiques des liaisons de flux 220

VMware, Inc. 5
Guide d'administration de VMware SD-WAN

Modèle de statistiques de tunnel 221

Modèle d'option d'application 223
Modèle d'option d'interface 224
Modèle ID de segment vers mappage de segments de VMware 226
Modèle d'option de liaison 227
Adresse source et segmentation NetFlow 228
Définitions des éléments d'informations IPFIX 229
Noms de réseaux privés 233
Configurer les réseaux privés 233
Supprimer un nom de réseau privé 233
Configurer les services d'authentification 234

10 Configurer les profils 235

11 Configurer un périphérique de profil 239

Configurer un périphérique 239
Attribuer des segments dans le profil 241
Configurer les paramètres d'authentification 242
Configurer les paramètres DNS 242
Configurer les paramètres Netflow des profils 243
Configurer les paramètres Syslog pour les profils 246
Format de message Syslog pour les journaux de pare-feu 249
Configurer le VPN cloud pour les profils 252
Présentation du VPN cloud 253
Configurer un tunnel entre une branche et des destinations non SD-WAN via une
passerelle 258
Configurer un tunnel entre une branche et un VPN SD-WAN Hubs 259
Configurer un tunnel entre un site distant et un VPN de site distant 268
Configurer un tunnel entre une branche et des destinations non SD-WAN via un dispositif
Edge 269
Configurer les paramètres de multicast 270
Configurer les paramètres de multidiffusion au niveau de l'interface 272
Configurer un VLAN pour les profils 275
Configurer l'adresse IP de gestion 277
Configurer les paramètres du périphérique 279
Configurer les paramètres de l'interface 294
Configurer les paramètres de radio Wi-Fi 303
Configurer les paramètres de couche 2 pour les profils 304
Configurer les paramètres SNMP pour les profils 305
Configurer les paramètres NTP pour les profils 307
Configurer le mode de visibilité 309
Attribuer des passerelles de partenaires 310

VMware, Inc. 6
Guide d'administration de VMware SD-WAN

Attribuer des contrôleurs 314

12 Configurer la Business Policy 317

Configurer une Business Policy pour les profils 317
Configurer une Business Policy pour les dispositifs Edge 319
Créer des règles de Business Policy 319
Configurer le service réseau pour la règle de stratégie d'entreprise 326
Configurer les modes de direction de liaison 328
Configurer une NAT basée sur la stratégie 334
Mappage CoS QoS de superposition 335
Modélisateur de tunnel pour fournisseurs de services avec passerelle de partenaires 337

13 Configurer le pare-feu 340

Configurer le pare-feu pour les profils 342
Configurer le pare-feu pour les dispositifs Edge 344
Configurer des règles de pare-feu 351
Configurer les paramètres du pare-feu avec état 357
Configurer les paramètres de protection du réseau et de propagation 358
Configurer l'accès au dispositif Edge 361
Dépannage du pare-feu 363

14 Provisionner un dispositif Edge 366

Provisionner un nouveau dispositif Edge 366
Activer les dispositifs Edge 369
Activer les dispositifs Edge à l'aide du provisionnement Zero Touch (tech preview) 369
Activer les dispositifs Edge à l'aide de l'e-mail 370
Envoyer un e-mail d'activation 370
Activer un périphérique Edge 371
Gérer les dispositifs Edge 377
Attribuer une image logicielle 380
Réinitialiser les paramètres d'usine des dispositifs Edge 381

15 Configurer les informations du dispositif Edge 383

16 Configurer un périphérique Edge 390

Configurer les paramètres DSL 392
Configurer les paramètres Netflow des dispositifs Edge 395
Règles NAT côté LAN au niveau du dispositif Edge 396
Configurer les paramètres Syslog des dispositifs Edge 405
Configurer les paramètres de route statique 407
Configurer des sondes/répondeurs ICMP 407

VMware, Inc. 7
Guide d'administration de VMware SD-WAN

Configurer les paramètres VRRP 408

Surveiller les événements VRRP 411
Configurer les paramètres de tunnel et de VPN cloud au niveau du dispositif Edge 412
Configurer un VLAN pour les dispositifs Edge 415
Haute disponibilité (HA) 417
Configurer les paramètres du périphérique 418
Configurer le serveur DHCP sur des interfaces acheminées 418
Activation de RADIUS sur une interface acheminée 420
Configurer les remplacements LAN de dispositifs Edge 421
Configurer les remplacements WAN de dispositifs Edge 421
Configurer les paramètres de superposition WAN de dispositifs Edge 422
Accessibilité du service SD-WAN via MPLS 437
Configurer la classe de service MPLS 442
Configurer une liaison en veille à chaud 444
Surveiller les liaisons en veille à chaud 446
Configurer les remplacements des paramètres de radio Wi-Fi 448
VNF de sécurité 450
Configurer le service de gestion VNF 453
Configurer la VNF de sécurité sans HA 458
Configurer la VNF de sécurité avec HA 463
Définir des segments de mappage avec des VLAN de service 466
Configurer le VLAN avec insertion de la VNF 467
Surveiller VNF pour un dispositif Edge 469
Surveiller les événements VNF 471
Configurer les alertes VNF 472
Configurer les paramètres de couche 2 pour les dispositifs Edge 474
Configurer les paramètres SNMP des dispositifs Edge 475
Configurer les paramètres NTP des dispositifs Edge 477
Configurer l'activation du dispositif Edge 478

17 Gestion des images logicielles du dispositif Edge 480

Présentation de la gestion des images logicielles du dispositif Edge 480
Activer la gestion des images logicielles du dispositif Edge 481
Attribution des images du dispositif Edge et accès à celles-ci 482
Mettre à niveau les dispositifs SD-WAN Edge 483

18 Groupes d'objets 484

Configurer les groupes d'adresses 484
Configurer les groupes de port 486
Configurer les business policies avec des groupes d'objets 487
Configurer les règles de pare-feu avec les groupes d'objets 489

VMware, Inc. 8
Guide d'administration de VMware SD-WAN

19 Configurations de site 492

Configurations du centre de données 493
Configurer une branche et un Hub 493

20 Configurer le routage dynamique à l'aide d'OSPF ou de BGP 506

Activer OSPF 506
Filtres de route 510
Configurer BGP 511
Redistribution OSPF/BGP 520
Paramètres BFD 521
Configurer BFD 522
Configurer BFD pour BGP 524
Configurer BFD pour OSPF 526
Surveiller les sessions BFD 530
Surveiller les événements BFD 531
Dépannage de BFD 532
Contrôle des flux de superposition 534
Configurer les préférences de routage global 535
Configurer les sous-réseaux 537

21 Configurer les alertes 539

22 Test et dépannage 544

Diagnostics à distance 544
Exécution de tests de diagnostics à distance 546
Actions à distance 568
Bundles de diagnostics 569
Demander la capture de paquets 570
Demander le bundle de diagnostics 571
Télécharger le bundle de diagnostics 572
Supprimer le bundle de diagnostics 572

23 Administration d'entreprise 574

Paramètres système 574
Configurer les informations d'entreprise 575
Configurer l'authentification de l'entreprise 580
Présentation de Single Sign On 581
Configurer l'authentification unique pour l'utilisateur d'entreprise 581
Configurer un IDP pour l'authentification unique 585
Gérer les utilisateurs Admin 607
Créer un utilisateur Admin 607

VMware, Inc. 9
Guide d'administration de VMware SD-WAN

Configurer les utilisateurs admin 608

Personnalisation des rôles 611
Créer un module personnalisé 612
Télécharger un module personnalisé 615
Gestion des licences Edge 616
Exemple de gestion des licences Edge 618

24 Configurer la haute disponibilité de SD-WAN Edge 621

Présentation de SD-WAN Edge HA 621
Conditions préalables 622
Options de haute disponibilité 622
HA standard 622
HA améliorée 626
Condition Split-Brain 627
Détection et prévention de Split-Brain 628
Scénarios de panne 630
Prise en charge de BGP sur la liaison HA 630
Critères de sélection pour déterminer l'état Actif et En veille 630
Trafic avec balise VLAN sur la liaison HA 631
Configurer HA 631
Activer la haute disponibilité 631
Attendez que l'instance de SD-WAN Edge remplisse le rôle Actif 632
Connecter l'instance de SD-WAN Edge en veille au dispositif Edge actif 632
Connecter les interfaces LAN et WAN sur l'instance de SD-WAN Edge en veille 633
Détails de l'événement HA 633
Déploiement de HA sur VMware ESXi 634

25 Déploiement du dispositif virtuel VMware 639

Conditions préalables au déploiement d'un dispositif Edge virtuel VMware 639
Considérations spéciales pour le déploiement du dispositif Edge virtuel VMware 641
Création de cloud-init 642
Installer le dispositif virtuel VMware 644
Activer SR-IOV sur KVM 644
Installer le dispositif Edge virtuel sur KVM 647
Activer SR-IOV sur VMware 651
Installer le dispositif Edge virtuel sur VMware ESXi 653

26 Automatisation de SD-WAN Gateway et d'Azure Virtual WAN 658

Présentation de l'automatisation de SD-WAN Gateway et d'Azure Virtual WAN 658
Configuration d'Azure préalable 659
Inscrire l'application SD-WAN Orchestrator 659

VMware, Inc. 10
Guide d'administration de VMware SD-WAN

Attribuer l'application SD-WAN Orchestrator au rôle Contributeur 661

Inscrire un fournisseur de ressources 662
Créer une clé secrète client 664
Configurer Azure Virtual WAN pour la connectivité VPN branche-vers-Azure 665
Créer un groupe de ressources 665
Créer un WAN virtuel 667
Créer un Hub virtuel 669
Créer un réseau virtuel 670
Créer une connexion virtuelle entre le réseau virtuel et le Hub 672
Configurer SD-WAN Orchestrator pour la connectivité du VPN branche-vers-Azure 673
Configurer un service réseau d'abonnement IaaS 674
Configurer un Non VMware SD-WAN Site de type Microsoft Azure 675
Associer un Non VMware SD-WAN Site à un profil 677
Modifier un site VPN 679
Synchroniser la configuration VPN 680
Supprimer une instance de Non VMware SD-WAN Site 680

27 Annexe 681
Alertes et événements d'Orchestrator au niveau de l'entreprise 681
Événements VMware SD-WAN Edge pris en charge par les serveurs Syslog 718

VMware, Inc. 11
À propos du Guide
d'administration de VMware SD-
WAN
1
Le Guide d'administration de VMware SD-WAN™ (anciennement VMware SD-WAN™ by
®
VeloCloud ) fournit des informations sur VMware SD-WAN Orchestrator et les paramètres de
configuration de VMware de base, notamment la configuration et la gestion du réseau, des
services réseau, des dispositifs Edge, des profils et des clients qui utilisent SD-WAN Orchestrator.

Public visé
Ce guide est destiné aux administrateurs réseau, aux analystes réseau et aux administrateurs
informatiques chargés du déploiement, de la surveillance et de la gestion du réseau des branches
d'entreprise.

À partir de la version 4.4.0, VMware SD-WAN est proposé dans le cadre de VMware SASE. Pour
accéder à la documentation de SASE pour Cloud Web Security et Secure Access, ainsi qu'aux
Notes de mise à jour de la version 4.4.0 et ultérieures, reportez-vous à la section VMware SASE.

VMware, Inc. 12
Nouveautés
2
Nouveautés de la version 4.0.0
Fonctionnalité Description

Paramètres BFD Permet de configurer BFD pour détecter les pannes de route entre deux entités connectées.
Reportez-vous à la section Configurer BFD.

Configurer la durée de Permet à un utilisateur d'entreprise de configurer la durée de vie d'une entrée ARP à partir
vie des entrées de la d'Orchestrator. Reportez-vous à la section Configurer les paramètres de couche 2 pour les
table ARP profils.

Améliorations des Décrit les nouveaux algorithmes de chiffrement suivants : SHA-384 et SHA-512, groupes DH 15
algorithmes de et 16, et groupe PFS DH 14, 15 et 16. Pour plus d'informations, reportez-vous aux sections
chiffrement suivantes :
n Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv1 générique
via un dispositif Edge
n Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv2 générique
via un dispositif Edge
n Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv2 générique
via une passerelle
n Guide de l'opérateur de VMware SD-WAN, section Configurer la stratégie de sécurité.

Rétention des De nouvelles valeurs de rétention des données par défaut de SD-WAN Orchestrator
données de SD-WAN sont disponibles avec la version 4.0. Pour plus d'informations, reportez-vous à la section
Orchestrator Rétention des données de VMware SD-WAN Orchestrator. Pour configurer les valeurs de
conservation des statistiques sur les flux, vous devez activer les propriétés système. Pour
plus d'informations, reportez-vous à la section Liste des propriétés système du VMware SD-
WANGuide de l'opérateur.

Authentification Edge Acquisition de certificat (Certificate Acquire) est une nouvelle option par défaut pour
par défaut authentifier les dispositifs Edge associés à un client. Reportez-vous aux sections suivantes :
n Chapitre 15 Configurer les informations du dispositif Edge
n Configurer les informations d'entreprise

Sécurisation renforcée Active l'accès au dispositif Edge via la console physique (port série ou Video Graphics Array
du dispositif Edge [VGA]). Reportez-vous à la section Configurer l'accès au dispositif Edge.

Gestion des images Permet aux super utilisateurs d'entreprise de mettre à niveau le microprogramme de SD-WAN
logicielles du dispositif Edge sans solliciter le support VMware ou le partenaire. Reportez-vous à la section Chapitre 17
Edge au niveau de Gestion des images logicielles du dispositif Edge.
l'entreprise

VMware, Inc. 13
Guide d'administration de VMware SD-WAN

Fonctionnalité Description

Rapports d'entreprise Permet à de générer des rapports d'entreprise qui peuvent être utilisés pour analyser les
informations sur le réseau. Reportez-vous à la section Rapports d'entreprise.

Amélioration du pare- Permet aux clients d'appliquer des règles de pare-feu et de stratégie d'entreprise en fonction
feu pour la prise en des noms de domaine complets (FQDN). Voir :
charge des noms de n Configurer des règles de pare-feu
domaine complets n Créer des règles de Business Policy

Prise en charge de Permet aux clients de faire correspondre une règle à une interface ou à une sous-interface lors
l'option de pare-feu/ de la création d'une règle de stratégie d'entreprise ou de pare-feu. Voir :
stratégie d'entreprise n Configurer des règles de pare-feu
avec interface n Créer des règles de Business Policy

Améliorations de L'interface HA qui se connecte à une paire Actif-En veille est sélectionnée automatiquement
l'interface HA en fonction des plates-formes de dispositifs Edge. Reportez-vous à la section Activer la haute
disponibilité.

Prise en charge de Permet de configurer la VNF de sécurité sur des dispositifs Edge avec la haute disponibilité
HA pour la sécurité de pour assurer la redondance. Reportez-vous à la section Configurer la VNF de sécurité avec
VNF HA.

Liaison en veille à La liaison en veille à chaud est une liaison de sauvegarde améliorée, pour les liaisons WAN
chaud d'un dispositif Edge, avec des tunnels VCMP préétablis. En cas de panne des liaisons actives,
la liaison en veille à chaud permet un basculement immédiat en utilisant des tunnels VCMP
préétablis. Reportez-vous à la section Configurer une liaison en veille à chaud.

Améliorer la réactivité L'option Diagnostics à distance (Remote Diagnostics) utilise une connexion WebSocket
des diagnostics à bidirectionnelle au lieu du mécanisme de pulsations en mode direct pour améliorer la réactivité
distance à partir de des diagnostics à distance dans SD-WAN Orchestrator. Reportez-vous à la section Diagnostics
SD-WAN Orchestrator à distance.

Nouveau tableau de Permet à un utilisateur d'entreprise de surveiller les événements et les services dans un
bord de surveillance nouveau portail repensé. Reportez-vous à la section Chapitre 7 Surveiller l'entreprise à l'aide
de la nouvelle interface utilisateur d'Orchestrator.

Serveur NTP sur un Permet à un utilisateur d'entreprise de configurer une source de temps pour que SD-WAN
dispositif Edge Edge puisse définir sa propre heure de manière précise. Pour ce faire, vous devez configurer
un ensemble de serveurs NTP en amont qui la lui fourniront. Une fois que la source de temps
du dispositif Edge est correctement configurée, l'utilisateur peut configurer l'instance de SD-
WAN Edge afin qu'elle serve de serveur NTP pour ses propres clients. Reportez-vous à la
section Configurer les paramètres NTP pour les profils.

Personnalisation des Permet au super utilisateur d'entreprise de personnaliser l'ensemble de privilèges existant
rôles pour les rôles d'utilisateur. La personnalisation est appliquée à tous les utilisateurs disponibles
au sein de l'entreprise. Reportez-vous à la section Personnalisation des rôles.

Amélioration du pare- Permet aux clients de configurer des paramètres de pare-feu avec état, des paramètres de
feu avec état pour protection du réseau et de propagation via Orchestrator, afin d'améliorer la sécurité du réseau.
prendre en charge la Voir :
protection du réseau n Configurer les paramètres du pare-feu avec état
et de propagation n Configurer les paramètres de protection du réseau et de propagation

Prise en charge VMware permet aux utilisateurs d'entreprise de définir et de configurer une instance de Non
d'IPSec direct (NVS) VMware SD-WAN Site et d'établir un tunnel IPSec sécurisé directement depuis un dispositif
à partir du dispositif SD-WAN Edge vers une instance de Non VMware SD-WAN Site. Reportez-vous à la section
Edge Configurer des destinations non SD-WAN via un dispositif Edge.

VMware, Inc. 14
Guide d'administration de VMware SD-WAN

Versions précédentes de VMware SD-WAN

Pour obtenir la documentation produit des versions précédentes de VMware SD-WAN, contactez
votre représentant VMware.

VMware, Inc. 15
Présentation
3
VMware SD-WAN est une solution de service réseau cloud qui permet aux sites de déployer
rapidement l'accès de l'entreprise aux applications héritées et du cloud sur des réseaux privés et
des réseaux Internet haut débit.

La solution Cloud-Delivered Software-Defined WAN garantit aux entreprises les performances

des applications cloud sur Internet et le WAN hybride, tout en simplifiant les déploiements et en
réduisant les coûts.

La figure suivante illustre les composants de la solution VMware SD-WAN. Les composants sont
décrits plus en détail dans les sections suivantes.

Cloud hybride
Orchestrator

SaaS
DC cloud

Passerelle DC d'entreprise
Dispositif SD-WAN de cloud
Edge Internet

Centre de données
Site de d'entreprise
branche
PRIVÉ/
MPLS
Dispositif SD
-WAN Edge

DC d'entreprise

Pour vous familiariser avec la configuration de base et l'activation du dispositif Edge, reportez-
vous à la section Activer les dispositifs Edge.

VMware, Inc. 16
Guide d'administration de VMware SD-WAN

Ce chapitre contient les rubriques suivantes :

n Composants de solution

n Données de performances et d'échelle du dispositif SD-WAN Edge

n Capacités

n Capacité supplémentaire du tunnel et MTU

n Topologies de réseau

n Topologies de site de branche

n Rôles et niveaux de privilèges

n Matrice des rôles d'utilisateur

n Concepts clés

n Navigateurs pris en charge

n Modems pris en charge

Composants de solution
Cette section décrit les composants de solution de VMware.

VMware SD-WAN Edge

« Dispositif Edge » léger disposant d'un provisionnement informatique rationalisé à partir du
cloud pour une connectivité sécurisée et optimisée à vos applications et services virtualisés. Les
instances de SD-WAN Edges sont des périphériques de classe d'entreprise rationalisés ou des
logiciels virtuels qui fournissent une connectivité sécurisée et optimisée aux applications privées,
publiques et hybrides, et aux services de calcul et virtualisés. Les instances de SD-WAN Edges
effectuent des mesures approfondies de reconnaissance d'applications, de direction d'applications
et par paquet et de performances de correction à la demande, et de qualité de service (QoS)
de bout en bout en plus de l'hébergement des services de fonction réseau virtuelle (VNF). Vous
pouvez déployer une paire de dispositifs Edge pour fournir une haute disponibilité (HA). Vous
pouvez déployer les dispositifs Edge dans des branches, des sites de grande taille et des centres
de données. Toute autre infrastructure réseau est fournie à la demande dans le cloud.

VMware SD-WAN Orchestrator

VMware SD-WAN Orchestrator fournit une configuration centralisée et une surveillance en temps
réel dans l'entreprise. Il orchestre également le flux de données dans et via le réseau de
superposition SD-WAN. En outre, il fournit le provisionnement en un clic de services virtuels sur
des dispositifs Edge, dans des Hubs de services d'entreprise centralisés et régionaux et dans le
cloud.

VMware, Inc. 17
Guide d'administration de VMware SD-WAN

VMware SD-WAN Gateways

Le réseau VMware SD-WAN comporte des passerelles déployées aux points de présence du
réseau de niveau supérieur et des centres de données de cloud dans le monde entier, fournissant
des services SD-WAN à la portée des services réseau SaaS, IaaS et de cloud, ainsi que l'accès
aux segments principaux privés. Les passerelles virtuelles à locataires multiples sont déployées à
la fois par les partenaires de fournisseurs de services cloud et de transit de VMware SD-WAN. Les
passerelles fournissent l'avantage d'un réseau de cloud à la demande, évolutif et redondant pour
des chemins optimisés vers des destinations de cloud et des applications sans installation.

Données de performances et d'échelle du dispositif SD-

WAN Edge
Cette section couvre l'architecture des performances et de l'échelle du dispositif VMware
SD-WAN Edge. Elle contient des recommandations basées sur des tests effectués sur les
différents dispositifs Edge configurés avec des combinaisons de services spécifiques. Elle explique
également les points de données de performances et d'échelle et leur mode d'utilisation.

Introduction
Les tests représentent des scénarios de déploiement courants pour fournir des recommandations
qui s'appliquent à la plupart des déploiements. Les données de tests fournies ici ne sont ni des
mesures globales ni des limites de performances ou d'échelle. Dans certaines mises en œuvre, les
performances observées dépassent les résultats des tests et d'autres, où des services spécifiques,
des paquets de très petite taille ou d'autres facteurs peuvent réduire les performances en dessous
des résultats des tests.

Les clients sont invités à effectuer des tests indépendants, et les résultats peuvent varier.
Cependant, les recommandations basées sur nos résultats des tests conviennent à la plupart des
déploiements.

VMware SD-WAN Edge

Les dispositifs VMware SD-WAN Edge sont des dispositifs de classe d'entreprise rationalisés
qui fournissent une connectivité sécurisée et optimisée aux applications privées, publiques
et hybrides, et aux services de calcul et virtualisés. Les dispositifs VMware SD-WAN Edge
effectuent une reconnaissance approfondie des flux de trafic par les applications, des mesures
de performances du transport de sous-couche et appliquent la qualité de service de bout en bout
en appliquant le choix du lien basé sur les paquets et la correction d'applications à la demande, en
plus de la prise en charge d'autres services réseau virtualisés.

VMware, Inc. 18
Guide d'administration de VMware SD-WAN

Topologies des tests de performances de débit

Figure 3-1. FIGURE 1 : topologie de tests de performances de débit pour les périphériques
1 Gbit/s au maximum

VMware, Inc. 19
Guide d'administration de VMware SD-WAN

Figure 3-2. FIGURE 2 : topologie de tests de performances de débit pour les périphériques
supérieurs à 1 Gbit/s

Méthodologie des tests

Cette sous-section décrit en détail la méthodologie de tests de performances et d'échelle utilisée
pour obtenir les résultats.

Méthodologie des tests de performances (Performance Test Methodology)

La méthodologie des tests des dispositifs Edge utilise la norme RFC 2544 d'évaluation
dans l'industrie comme infrastructure d'exécution des tests de performances de débit. Des
modifications spécifiques ont été apportées au type de trafic utilisé et aux configurations définies
lors des tests, comme décrit ci-dessous :

1 Les performances sont mesurées à l'aide d'une topologie des tests d'overlay réseau SD-WAN
(tunnels DMPO) entièrement opérationnelle afin d'exécuter les fonctionnalités SD-WAN et
d'obtenir des résultats pouvant être utilisés pour dimensionner les réseaux WAN de manière
appropriée. Les tests sont effectués à l'aide du trafic avec état qui établit plusieurs flux
(connexions) et correspondent à un mélange d'applications connues. Le nombre de flux
dépend du modèle de plate-forme testé. Les plates-formes sont divisées par les performances
agrégées attendues de moins de 1 Gbit/s et de plus de 1 Gbit/s. En général, des centaines
de flux sont nécessaires pour déterminer et exécuter entièrement le débit maximal des plates-
formes devant être effectuées en dessous de 1 Gbit/s, et des milliers de flux permettent
d'exécuter des plates-formes de plus de 1 Gbit/s.

VMware, Inc. 20
Guide d'administration de VMware SD-WAN

Les profils de trafic simulent deux conditions de trafic réseau :

n Paquet volumineux (Large Packet), condition de 1 300 octets.

n IMIX : mélange de tailles de paquets dont la moyenne est de 417 octets pour une condition.

Ces profils de trafic sont utilisés séparément pour mesurer le débit maximal par profil.

2 Les résultats de performances sont enregistrés à un taux d'abandon de paquets (PDR) de

0,01 %. La marque PDR fournit un résultat de performances plus réaliste, ce qui représente
un abandon de paquets normal qui peut se produire dans le pipeline de paquets SD-WAN du
périphérique. Un PDR de 0,01 % n'a aucune incidence sur l'expérience des applications, même
dans les scénarios de déploiement à lien unique.

n Le périphérique en cours de test est configuré avec les fonctionnalités DMPO suivantes :
IPsec chiffré à l'aide d'AES-128 et de SHA1 pour le hachage, la reconnaissance
d'applications, les mesures SLA de lien et le transfert par paquet. La business policy est
configurée pour faire correspondre tout le trafic en bloc/priorité faible pour empêcher
DMPO NACK ou FEC de s'exécuter et de modifier de manière incorrecte le suivi du
nombre de paquets du générateur de trafic.

Résultats des tests

Résultats de performances et d'échelle du dispositif VMware SD-WAN Edge

Les mesures de performances sont basées sur la méthodologie de test détaillée ci-dessus.

Performances des ports commutés (Switched Port Performance) : les dispositifs VMware SD-
WAN Edge sont conçus pour être déployés comme routeurs de passerelle entre le LAN et
le WAN. Toutefois, les dispositifs Edge permettent de répondre à tout un ensemble d'autres
topologies de déploiement. Par exemple, les interfaces des dispositifs SD-WAN Edge peuvent
être configurées pour fonctionner comme des ports commutés, ce qui permet de commuter le
trafic LAN entre différentes interfaces LAN sans avoir besoin d'un périphérique externe.

Un dispositif Edge dont les interfaces sont configurées comme des ports commutés est idéal
pour les déploiements de petits bureaux dans lesquels un débit élevé n'est pas requis, car la
couche supplémentaire de complexité requise pour gérer le commutation du trafic réduit les
performances globales du système. Pour la plupart des déploiements, VMware recommande
d'utiliser toutes les interfaces routées.

Note
n Le débit maximal (Maximum Throughput) du périphérique Edge est la somme du débit sur
toutes les interfaces du dispositif Edge en cours de test.

n Le trafic global est l'agrégation de tous les flux de trafic transmis à un périphérique Edge et
provenant de celui-ci.

VMware, Inc. 21
Guide d'administration de VMware SD-WAN

Tableau 3-1. Dispositifs Edge physiques

VMware SD-WAN Edge 510, 510N 510-LTE 520 520V 540

Max. Débit du paquet volumineux (1 300 octets)

Tous les ports en mode routé 350 Mbits/s 350 Mbits/s 350 Mbits/s 350 Mbits/s 1 Gbit/s

Tous les ports en mode commuté 200 Mbits/s 200 Mbits/s 200 Mbits/s 200 Mbits/s 650 Mbits/s

Max. Débit du trafic Internet (IMIX)

Tous les ports en mode routé 200 Mbits/s 200 Mbits/s 200 Mbits/s 200 Mbits/s 500 Mbits/s

Tous les ports en mode commuté 80 Mbits/s 80 Mbits/s 80 Mbits/s 80 Mbits/s 200 Mbits/s

Autres vecteurs d‘échelle (Other Scale Vectors)

Max. Échelle du tunnel 50 50 50 50 100

Flux par seconde 2 400 2 400 2 400 2 400 4 800

Max. Flux simultanés 240 000 240 000 240 000 240 000 480 000

Max. Nombre de routes 100 000 100 000 100 000 100 000 100 000

Max. Nombre de segments 128 128 128 128 128

Max. Nombre d'entrées NAT 80 000 80 000 80 000 80 000 150 000

Tableau 3-2.
VMware SD-WAN Edge 640, 640C, 680, 680C, 840 2000 3 400,
640N 680N 3 400C

Max. Débit du paquet volumineux (1 300 octets)

Tous les ports en mode routé 3 Gbits/s 6 Gbits/s 4 Gbits/s 10 Gbits/s 7 Gbits/s

Tous les ports en mode commuté 1 Gbit/s 1 Gbit/s 1 Gbit/s 1,2 Gbit/s 1,2 Gbit/s

Max. Débit du trafic Internet (IMIX)

Tous les ports en mode routé 1 Gbit/s 2 Gbit/s 1,5 Gbits/s 5 Gbit/s 2,5 Gbit/s

Tous les ports en mode commuté 350 Mbits/s 350 Mbits/s 350 Mbits/s 350 Mbits/s 900 Mbits/s

Autres vecteurs d‘échelle (Other Scale Vectors)

Max. Échelle du tunnel 400 800 400 6 000 4000

Flux par seconde 19 200 19 200 19 200 38 400 38 400

Max. Flux simultanés 1,9 M 1,9 M 1,9 M 1,9 M 1,9 M

Max. Nombre de routes 100 000 100 000 100 000 100 000 100 000

VMware, Inc. 22
Guide d'administration de VMware SD-WAN

Tableau 3-2. (suite)

VMware SD-WAN Edge 640, 640C, 680, 680C, 840 2000 3 400,
640N 680N 3 400C

Max. Nombre de segments 128 128 128 128 128

Max. Nombre d'entrées NAT 650 000 650 000 650 000 960 000 960 000

n Les performances du paquet volumineux (Large Packet) sont basées sur une charge utile de
paquet volumineux (1 300 octets) avec chiffrement AES-128 et DPI activée.

n Les performances du trafic Internet (IMIX) (Internet Traffic [IMIX]) sont basées sur une taille
de paquet moyenne de charge utile de 417 octets avec chiffrement AES-128 et DPI activée.

Note Plusieurs dispositifs SD-WAN Edge peuvent être déployés dans un cluster pour obtenir des
performances à plusieurs gigabits.

Tableau 3-3. Débit maximal du dispositif Edge lorsqu'une VNF de pare-feu est activement chaînée par le servic
Modèle d'Edge 520V 620, 620C, 640, 640C, 680, 680C, 840 3 400, 3
620N 640N 680N

Max. Débit avec VNF de

100 Mbits/s 300 Mbits/s 600 Mbits/s 1 Gbit/s 1 Gbit/s 2 Gbit
pare-feu (1 300 octets)

Tableau 3-4. Performances du lien à haute disponibilité (HA) améliorée

Modèle d'Edge 510, 510N 510-LTE 520, 520V 610, 610C, 610N 610-L

Débit maximal (IMIX) sur le

90 Mbits/s 90 Mbits/s 100 Mbits/s 200 Mbits/s 200 Mb
lien HA améliorée

Modèle d'Edge 640, 640C, 640N 680, 680C, 680N 840 2000 3 400, 3 400C

Débit maximal (IMIX) sur le

800 Mbits/s 800 Mbits/s 800 Mbits/s 800 Mbits/s 800 Mbits/s
lien HA améliorée

Note Performances avec Edge Network Intelligence activé :

n Une incidence sur les performances de 20 % au maximum se produit lorsque les analyses sont
activées.

n La capacité de flux est réduite de moitié lorsque les analyses sont activées en raison de la
mémoire supplémentaire et du traitement requis pour l'analyse.

VMware, Inc. 23
Guide d'administration de VMware SD-WAN

Dispositif Edge virtuel

Tableau 3-5. Cloud privé (hyperviseurs)
Périphérique Débit maximal Nombre maximal Flux par seconde Nombre maximal Nombre
Edge de tunnels de flux de routes
simultanés

Dispositif Edge
virtuel ESXi 2 Gbits/s (1 300 octets)
50 2400 240 000 35 0
(2 cœurs, 800 Mbits/s (IMIX)
VMXNET3)

Dispositif Edge
virtuel KVM 500 Mbits/s (1 300 octets)
50 2400 240 000 35 0
(2 cœurs, pont 200 Mbits/s (IMIX)
Linux)

Dispositif Edge
virtuel KVM 1,25 Gbits/s (1 300 octets)
50 2400 240 000 35 0
(2 cœurs, SR- 600 Mbits/s (IMIX)
IOV)

Dispositif Edge
virtuel ESXi 2 Gbits/s (1 300 octets)
400 19 200 1,9 M 35 0
(4 cœurs, 1,5 Gbit/s (IMIX)
VMXNET3)

Dispositif Edge
virtuel ESXi 2 Gbits/s (1 300 octets)
400 19 200 1,9 M 35 0
(4 cœurs, SR- 1,5 Gbit/s (IMIX)
IOV)

Dispositif Edge
virtuel KVM 1 Gbits/s (1 300 octets)
400 4 800 480 000 35 0
(4 cœurs, pont 350 Mbits/s (IMIX)
Linux)

Dispositif Edge
virtuel KVM 2 Gbits/s (1 300 octets)
400 19 200 1,9 M 35 0
(4 cœurs, SR- 1 Gbit/s (IMIX)
IOV)

Dispositif Edge
virtuel ESXi 5 Gbits/s (1 300 octets)
800 38 400 1,9 M 35 0
(8 cœurs, 2,5 Gbit/s (IMIX)
VMXNET3)

Version 3.4 ou Version 4.0 ou

Dispositif Edge antérieure : ultérieure :
virtuel ESXi
5 Gbits/s 9 Gbits/s 800 38 400 1,9 M 35 0
(8 cœurs, SR-
(1 300 octets) (1 300 octets)
IOV)
2,5 Gbit/s (IMIX) 4 Gbit/s (IMIX)

Version 3.4 ou Version 4.0 ou

Dispositif Edge antérieure : ultérieure :
virtuel KVM
3,5 Gbits/s 9 Gbits/s 800 38 400 1,9 M 35 0
(8 cœurs, SR-
(1 300 octets) (1 300 octets)
IOV)
1 Gbit/s (IMIX) 3 Gbit/s (IMIX)

VMware, Inc. 24
Guide d'administration de VMware SD-WAN

2 vCPU 4 vCPU 8 vCPU 10 vCPU

Mémoire minimale (DRAM) 4 Go 8 Go 8 Go 8 Go

Stockage minimal 8 Go 8 Go 8 Go 8 Go

Hyperviseurs pris en charge Version logicielle 3.4 ou antérieure :

n ESXi 6.0, 6.5 U1 ou 6.7 U1
n KVM Ubuntu 14.04 LTS ou 16.04
Version logicielle 4.0 et ultérieures :
n ESXi 6.5 U1, 6.7 U1 ou 7.0
n KVM Ubuntu 16.04 et 18.04

Cloud public pris en charge AWS, Azure, GCP et Alibaba

Prise en charge des E/S réseau SR-IOV, VirtIO, VMXNET3

Paramètres d'hôte recommandés CPU à 2.0 GHz au minimum

Jeu d'instructions de CPU :
n AES-NI
n AVX2 ou AVX512
n Jeux d'instructions SSE3, SSE4 et RDTSC
Hyper-threading désactivé

Note Les mesures de performances sont basées sur un système utilisant un CPU Intel® Xeon®
E5-2683 v4 à 2,10 GHz.

Cloud public
Tableau 3-6. Amazon Web Services (AWS)
Type d'instance AWS [Link] [Link] c5.2xlarge

100 Mbits/s (1 300 octets) 200 Mbits/s (1 300 octets) 7 Gbits/s (1 300 octets)
Débit maximal
50 Mbits/s (IMIX) 100 Mbits/s (IMIX) 2,4 Gbit/s (IMIX)

Nombre maximal de tunnels 50 400 800

Flux par seconde 1 200 2 400 4 800

Nombre maximal de flux simultanés 125 000 250 000 550 000

Nombre maximal de routes 35 000 35 000 35 000

Nombre maximal de segments 128 128 128

Note Les nombres relatifs aux performances et à l'échelle de c5.2xlarge sont basés sur la mise en
réseau améliorée AWS (pilotes ENA SR-IOV) « activée ».

VMware, Inc. 25
Guide d'administration de VMware SD-WAN

Tableau 3-7. Microsoft Azure

Série de VM Azure D2d v4 D4d v4 D8d v4

Débit maximal 100 Mbits/s (1 300 octets) 200 Mbits/s (1 300 octets) 1 Gbits/s (1 300 octets)
50 Mbits/s (IMIX) 100 Mbits/s (IMIX) 450 Mbits/s (IMIX)

Nombre maximal de tunnels 50 400 800

Flux par seconde 1 200 2 400 4 800

Nombre maximal de flux simultanés 125 000 250 000 550 000

Nombre maximal de routes 35 000 35 000 35 000

Nombre maximal de segments 128 128 128

Note La mise en réseau accélérée Azure est prise en charge avec une disponibilité limitée. Pour
plus d'informations, contactez votre représentant commercial.

Capacités
Cette section décrit les capacités de VMware SD-WAN.

Optimisation dynamique des chemins multiples

L'optimisation dynamique des chemins multiples (DMPO) de VMware se compose de la
surveillance de liaison automatique, de la direction de liaison dynamique et de la correction à
la demande.

Direction de liaison et correction

La direction de liaison dynamique par paquet sensible à l'application s'effectue automatiquement
en fonction de la priorité de l'application dans l'entreprise, de la connaissance intégrée des
exigences réseau de l'application et de la capacité et des performances en temps réel de chaque
liaison. L'atténuation à la demande de la dégradation de liaison individuelle par le biais de la
correction d'erreur de transfert, la mise en mémoire tampon de gigue et le proxy d'accusé de
réception négatif, protège également les performances des applications sensibles au réseau et à la
priorité. La direction de liaison dynamique par paquet et l'atténuation à la demande se combinent
pour fournir une protection contre les défaillances robuste, en moins d'une seconde, avec
limitation et blocage pour améliorer la disponibilité, les performances et l'expérience utilisateur
de l'application.

VPN cloud
Le VPN cloud est un VPN IPSec compatible VPNC de site à site à un clic qui permet de connecter
VMware et un Non VMware SD-WAN Sites, tout en fournissant un état en temps réel et la santé
des sites. Le VPN cloud établit une communication dynamique Edge-vers-Edge pour toutes les
branches en fonction des objectifs de niveau de service et des performances de l'application. Le

VMware, Inc. 26
Guide d'administration de VMware SD-WAN

VPN cloud offre également une connectivité sécurisée à travers toutes les branches au moyen de
la gestion de clés évolutives PKI. Les nouvelles branches rejoignent automatiquement le réseau
VPN et disposent d'un accès à toutes les ressources des autres branches, des centres de données
d'entreprise et des centres de données tiers comme Amazon AWS.

La qualité de service (QoS) entrante multisource de

VMware classe plus de 3 000 applications, ce qui permet un contrôle intelligent. Les valeurs
par défaut prédéfinies définissent les paramètres de qualité de service entrante multisource
pour différents types d'applications, limitant ainsi l'intervention du personnel informatique
à l'établissement de la priorité de l'application. La connaissance des exigences de réseau
concernant les différents types d'applications, les mesures de la capacité de liaison automatique et
la surveillance de flux dynamique permet d'automatiser les configurations QoS et les allocations de
bande passante.

Pare-feu
VMware fournit un pare-feu d'application intégré et sensible au contexte (application, utilisateur,
périphérique) avec état, ainsi qu'un contrôle granulaire des sous-applications et une prise en
charge des applications de saut de protocole, telles que Skype et d'autres applications pair à pair
(c'est-à-dire, désactiver la vidéo et les discussions Skype, mais autoriser les appels audio Skype).
Le service de pare-feu sécurisé est compatible avec le système d'exploitation des utilisateurs
et des périphériques, et offre la possibilité de séparer le trafic vocal, vidéo, de données et de
conformité. Les stratégies appliquées aux périphériques BYOD (comme Apple iOS, Android,
Windows et Mac OS) sur le réseau d'entreprise sont facilement contrôlées.

Insertion des services réseau

La solution VMware prend en charge une plate-forme permettant d'héberger plusieurs fonctions
réseau virtualisées pour éliminer les dispositifs à fonction unique et réduire la complexité
informatique des branches. VMware achemine le trafic de la branche vers les services du Hub
régional d'entreprise et du cloud, en fournissant des performances, une sécurité et une facilité
de gestion garanties. Les branches exploitent des services de sécurité et de réseau consolidés,
notamment ceux de partenaires tels que Zscaler et Websense. Grâce à une interface simple à
activer, les services peuvent être insérés dans le cloud et sur site à l'aide de stratégies spécifiques
à une application.

Activation
Les dispositifs SD-WAN Edge authentifient, connectent et reçoivent automatiquement les
instructions de configuration une fois qu'ils sont connectés à Internet dans un déploiement
rationalisé. Ils fournissent un déploiement hautement disponible via le protocole de redondance
du dispositif SD-WAN Edge, s'intègrent au réseau existant à l'aide de la prise en charge
du protocole de routage OSPF et, enfin, tirent parti de l'apprentissage dynamique et de
l'automatisation.

VMware, Inc. 27
Guide d'administration de VMware SD-WAN

Contrôle des flux de superposition

Le dispositif SD-WAN Edge apprend les routes des routeurs adjacents via OSPF et BGP. Il
envoie les routes apprises à la passerelle/au contrôleur. La passerelle/le contrôleur agit comme un
réflecteur de route et envoie les routes apprises aux autres dispositifs SD-WAN Edges. Le contrôle
de flux de superposition (OFC, Overlay Flow Control) active la visibilité et le contrôle des routes
à l'échelle de l'entreprise pour faciliter la programmation et pour la superposition complète et
partielle.

OSPF
VMware prend en charge les filtres entrants/sortants pour les voisins OSPF, les types de
routes OE1/OE2 et l'authentification MD5. Les routes apprises via OSPF seront automatiquement
redistribuées vers le contrôleur hébergé dans le cloud ou sur site.

BGP
VMware prend en charge les filtres entrants/sortants et le filtre peut être défini sur Refuser (Deny).
En option, il est également possible d'ajouter ou de modifier l'attribut BGP pour influencer la
sélection du chemin d'accès, c'est-à-dire la communauté RFC 1998, MED, le chemin d'accès
AS-Path et la préférence locale.

Segmentation
La segmentation de réseau est une fonctionnalité importante pour les entreprises et les
fournisseurs de services. Dans sa forme la plus basique, la segmentation fournit une isolation
du réseau pour des raisons de sécurité et de gestion. La plupart des formes courantes de
segmentation sont les VLAN pour L2 et les VRF pour L3.

Cas d'utilisation typiques de la segmentation :

n Séparation des secteurs d'activité : ingénierie, RH, etc. pour la sécurité/l'audit

n Séparation des données utilisateur : invité, PCI, séparation du trafic d'entreprise

n L'entreprise utilise les adresses IP qui se chevauchent dans différentes VRF

Toutefois, l'approche héritée est limitée à une seule zone ou à deux périphériques physiquement
connectés. Pour étendre la fonctionnalité, les informations de segmentation doivent être
transmises sur le réseau.

VMware active la segmentation de bout en bout. Lorsque le paquet traverse le dispositif Edge, l'ID
de segment est ajouté au paquet et transmis au Hub et à la passerelle cloud, ce qui permet d'isoler
le service réseau du dispositif Edge au centre de données et au cloud. Cette fonctionnalité offre la
possibilité de regrouper les préfixes dans une table de routage unique, ce qui rend le segment de
la stratégie d'entreprise sensible.

VMware, Inc. 28
Guide d'administration de VMware SD-WAN

Routage
Dans le routage dynamique, SD-WAN Edge apprend les routes des routeurs adjacents via OSPF
ou BGP. SD-WAN Orchestrator conserve toutes les routes apprises dynamiquement dans une
table de routage globale appelée contrôle de flux de superposition. Le contrôle de flux de
superposition permet la gestion des routes dynamiques en cas de « synchronisation du contrôle
de flux de superposition » et de « modification de la configuration du filtrage entrant/sortant ». La
modification dans le filtrage entrant d'un préfixe de IGNORE à LEARN permet d'extraire le préfixe
du contrôle de flux de superposition et de l'installer dans la table de routage unifiée.

Pour plus d'informations, reportez-vous à la section Chapitre 20 Configurer le routage dynamique

à l'aide d'OSPF ou de BGP.

Infrastructure de la stratégie d'entreprise

La qualité de service (QoS), les allocations de ressources, la direction de la liaison/du chemin et
la correction d'erreur sont automatiquement appliquées en fonction des stratégies d'entreprise et
des priorités de l'application. Orchestrez le trafic en fonction des groupes de transport définis par
les liaisons privées et publiques, la définition de stratégie et les caractéristiques de liaison.

Capacité supplémentaire du tunnel et MTU

Comme toute superposition, VMware impose une capacité supplémentaire sur le trafic qui
traverse le réseau. Cette section décrit d'abord la capacité supplémentaire ajoutée dans un réseau
IPsec traditionnel et sa comparaison avec VMware, puis une explication de la relation de l'ajout
de cette capacité supplémentaire avec les comportements de la MTU et de la fragmentation des
paquets dans le réseau.

Capacité supplémentaire du tunnel IPsec

Dans un réseau IPsec traditionnel, le trafic est généralement effectué dans un tunnel IPsec entre
les points de terminaison. Un scénario de tunnel IPsec standard (chiffrement AES 128 bits utilisant
ESP [Encapsulating Security Payload]) lors du chiffrement du trafic, entraîne plusieurs types de
capacité supplémentaire, comme suit :

n Remplissage

n AES chiffre les données dans des blocs de 16 octets, appelés taille de « bloc ».

n Si le corps d'un paquet est inférieur ou indivisible par la taille de bloc, il est rempli pour
correspondre à la taille de bloc.

n Exemples :

n Un paquet de 1 octet passe à 16 octets avec 15 octets de remplissage.

n Un paquet de 1 400 octets passe à 1 408 octets avec 8 octets de remplissage.

n Un paquet de 64 octets ne nécessite aucun remplissage.

VMware, Inc. 29
Guide d'administration de VMware SD-WAN

n En-têtes et codes de fin IPsec :

n En-tête UDP pour NAT Traversal (NAT-T).

n En-tête IP pour le mode de tunnel IPsec.

n En-tête et code de fin ESP.

Élément Taille en octets

En-tête IP 20

En-tête UDP 8

Numéro de séquence IPsec 4

SPI IPsec 4

Vecteur d'initialisation 16

Remplissage 0 – 15

Longueur de remplissage 1

En-tête suivant 1

Données d'authentification 12

Total 66-81

Note Les exemples fournis supposent qu'au moins un périphérique se trouve derrière un
périphérique NAT. Si aucune NAT n'est utilisée, la capacité supplémentaire IPsec est inférieure
à 20 octets, car NAT-T n'est pas nécessaire. Il n'y a aucune modification du comportement de
VMware, que la NAT soit présente ou non (NAT-T est toujours activé).

Capacité supplémentaire du tunnel VMware

Pour prendre en charge Dynamic Multipath Optimization™ (DMPO), VMware encapsule les
paquets dans un protocole appelé VeloCloud Multipath Protocol (VCMP). VCMP ajoute
31 octets de capacité supplémentaire pour que les paquets d'utilisateur prennent en charge le
reséquencement, la correction des erreurs, l'analyse réseau et la segmentation réseau dans un
seul tunnel. VCMP fonctionne sur un port enregistré dans IANA d'UDP 2426. Pour garantir un
comportement cohérent dans tous les scénarios potentiels (non chiffré, chiffré et derrière une
NAT, chiffré, mais pas derrière une NAT), VCMP est chiffré à l'aide d'IPsec en mode de transport
et force NAT-T à être conforme à un port NAT-T spécial 2426.

VMware, Inc. 30
Guide d'administration de VMware SD-WAN

Les paquets envoyés à Internet via SD-WAN Gateway ne sont par défaut pas chiffrés, car ils
sont sortants vers le réseau Internet ouvert en quittant la passerelle. Par conséquent, la capacité
supplémentaire du trafic à chemins multiples Internet est inférieure au trafic VPN.

Note Les fournisseurs de services ont la possibilité de chiffrer le trafic Internet via la passerelle et,
s'ils choisissent d'utiliser cette option, la capacité supplémentaire « VPN » s'applique également au
trafic Internet.

Trafic VPN

Élément Taille en octets

En-tête IP 20

En-tête UDP 8

Numéro de séquence IPsec 4

SPI IPsec 4

En-tête VCMP 23

En-tête de données VCMP 8

Vecteur d'initialisation 16

Remplissage 0 – 15

Longueur de remplissage 1

En-tête suivant 1

Données d'authentification 12

Total 97 – 112

Trafic à chemins multiples Internet

Élément Taille en octets

En-tête IP 20

En-tête UDP 8

En-tête VCMP 23

En-tête de données VCMP 8

Total 59

VMware, Inc. 31
Guide d'administration de VMware SD-WAN

Détection MTU du chemin (Path MTU Discovery)

Après avoir déterminé la capacité supplémentaire appliquée, le dispositif SD-WAN Edge doit
détecter la MTU maximale autorisée pour calculer la MTU effective pour les paquets du client.
Pour rechercher la MTU maximale autorisée, le dispositif Edge effectue la détection de la MTU du
chemin :

n Pour les liaisons WAN Internet publiques :

n La détection de la MTU du chemin est effectuée sur toutes les passerelles.

n La MTU de tous les tunnels est définie sur la MTU minimale détectée.

n Pour les liaisons WAN privées :

n La détection de la MTU du chemin est effectuée sur tous les autres dispositifs Edge du
réseau client.

n La MTU de chaque tunnel est définie en fonction des résultats de la détection de la MTU du
chemin.

Le dispositif Edge tente d'abord la détection de la MTU du chemin RFC 1191, où un paquet de
la MTU de liaison connue actuelle (par défaut : 1 500 octets) est envoyé à l'homologue avec le
bit « Don't Fragment » (DF) défini dans l'en-tête IP. Si ce paquet est reçu sur la passerelle ou le
dispositif Edge distant, un paquet d'accusé de réception de la même taille est renvoyé au dispositif
Edge. Si le paquet ne peut pas accéder à la passerelle ou au dispositif Edge distant en raison
de contraintes de la MTU, le périphérique intermédiaire est censé envoyer un message ICMP de
destination inaccessible (fragmentation nécessaire). Lorsque le dispositif Edge reçoit le message
ICMP de destination inaccessible, il valide ce dernier (pour vérifier que la valeur MTU signalée est
Sane) et une fois validée, ajuste la MTU. Le processus se répète ensuite jusqu'à ce que la MTU soit
détectée.

Dans certains cas (par exemple, les dongles USB LTE), le périphérique intermédiaire n'envoie
aucun message ICMP de destination inaccessible, même si le paquet est trop volumineux. En cas
d'échec de RFC 1191 (le dispositif Edge n'a reçu aucun accusé de réception ou la destination ICMP
est inaccessible), il revient à la détection de la MTU du chemin de la couche de paquétisation
RFC 4821. Le dispositif Edge tente d'effectuer une recherche binaire pour détecter la MTU.

Lorsqu'une MTU est détectée pour un homologue, tous les tunnels vers cet homologue sont
définis sur la même MTU. Cela signifie que si un dispositif Edge dispose d'une liaison avec
une MTU de 1 400 octets et d'une liaison avec une MTU de 1 500 octets, tous les tunnels
disposent d'une MTU de 1 400 octets. Cela garantit l'envoi à tout moment de paquets sur
n'importe quel tunnel à l'aide de la même MTU. Nous l'appelons MTU effective de dispositif Edge
(Effective Edge MTU). En fonction de la destination (VPN ou Internet à chemins multiples), la

VMware, Inc. 32
Guide d'administration de VMware SD-WAN

capacité supplémentaire décrite ci-dessus est soustraite pour calculer la MTU effective de paquet
(Effective Packet MTU). Pour le trafic Internet direct ou autre trafic de sous-couche, la capacité
supplémentaire est de 0 octet et, étant donné que le basculement de la liaison n'est pas requis, la
MTU effective de paquet est identique à la MTU de liaison WAN détectée.

Note La détection MTU du chemin de la couche de paquétisation RFC 4821 mesure la MTU sur
un minimum de 1 300 octets. Si votre MTU est inférieure à 1 300 octets, vous devez la configurer
manuellement.

Trafic VPN et MTU

Maintenant que le dispositif SD-WAN Edge a détecté la MTU et qu'il a calculé les capacités
supplémentaires, vous pouvez calculer une MTU effective pour le trafic client. Le dispositif Edge
tente d'appliquer cette MTU aussi efficacement que possible pour les différents types potentiels
de trafic reçu.

Trafic TCP

Le dispositif Edge effectue automatiquement l'ajustement de la taille maximale de segment

(Maximum Segment Size, MSS) pour les paquets TCP reçus. Du fait que les paquets SYN et SYN|
ACK traversent le dispositif Edge, la MSS est réécrite en fonction de la MTU effective de paquet.

Trafic non-TCP sans bit DF défini

Si le paquet est supérieur à la MTU effective de paquet, le dispositif Edge effectue

automatiquement la fragmentation IP conformément à RFC 791.

Trafic non-TCP avec bit DF défini

Si le paquet est supérieur à la MTU effective de paquet :

n La première fois qu'un paquet est reçu pour ce flux (IP 5-tuple), le dispositif Edge abandonne
le paquet et envoie un message ICMP de destination inaccessible (fragmentation nécessaire)
conformément à RFC 791.

n Si les paquets suivants, qui sont toujours trop volumineux, sont reçus pour le même flux, ils
sont fragmentés en plusieurs paquets VCMP et réassemblés de manière transparente avant le
transfert à l'extrémité distante.

Topologies de réseau
Cette section décrit les topologies de réseau pour les branches et les centres de données.

Branche vers un tiers privé (VPN)

Les clients disposant d'un centre de données privé ou d'un centre de données de cloud souhaitent
souvent l'inclure dans leur réseau sans avoir à définir un tunnel entre chaque site de succursale
individuel et le centre de données. En définissant le site en tant qu'instance de Non VMware
SD-WAN Site, un seul tunnel est créé à partir de l'instance de SD-WAN Gateway la plus proche

VMware, Inc. 33
Guide d'administration de VMware SD-WAN

du routeur ou du pare-feu existant du client. Toutes les instances de SD-WAN Edges qui doivent
communiquer avec le site se connectent à la même instance de SD-WAN Gateway pour transférer
des paquets sur le tunnel, ce qui simplifie la configuration globale du réseau et la mise en place du
nouveau site.

Dispositifs
SD-WAN
Edge

Passerelle DC
SD-WAN Gateway d'entreprise

VMware simplifie le déploiement de la branche et offre d'excellentes performances d'applications

d'entreprise ou une liaison publique/privée pour les applications dans le cloud et/ou sur site.

Topologies de site de branche

Le service de VMware définit au moins deux topologies de branche différentes appelées Bronze,
Silver et Gold. En outre, des paires de dispositifs SD-WAN Edges peuvent être configurées dans
une configuration haute disponibilité (HA) à un emplacement de branche.

Topologie de site Bronze

La topologie Bronze désigne un petit déploiement de site classique dans lequel une ou deux
liaisons WAN sont connectées à l'Internet public. Dans la topologie Bronze, il n'existe aucune
connexion MPLS ni commutateur L3 sur le réseau local du dispositif SD-WAN Edge. La figure
suivante présente une vue d'ensemble de la topologie Bronze.

Internet1

Internet
Internet2

Topologie de site Silver

La topologie Silver désigne un site qui dispose également d'une connexion MPLS, en plus d'une
ou de plusieurs liaisons Internet publiques. Il existe deux variantes de cette topologie.

La première variante est un commutateur L3 unique comportant une ou plusieurs liaisons Internet
publiques et une liaison MPLS, qui s'achève sur le routeur CE et qui est accessible via le
commutateur L3. Dans ce cas, le dispositif SD-WAN Edge transite entre le commutateur L3 et
Internet (en remplaçant le pare-feu/routeur existant).

VMware, Inc. 34
Guide d'administration de VMware SD-WAN

MPLS

Internet

La deuxième variante comporte les routeurs MPLS et Internet déployés à l'aide de HSRP avec un
commutateur L2 du côté du réseau local. Dans ce cas, le dispositif SD-WAN Edge remplace le
commutateur L2.

MPLS

Internet

Topologie de site Gold

La topologie Gold est une topologie de site de grande taille typique. Cette topologie comporte
des commutateurs L3 actif/actif qui communiquent les routes via le protocole OSPF ou BGP,
une ou plusieurs liaisons Internet publiques et une liaison MPLS, qui s'achève sur un routeur
CE communiquant également via le protocole OSPF ou BGP et qui est accessible via les
commutateurs L3.

VMware, Inc. 35
Guide d'administration de VMware SD-WAN

MPLS Internet

Dispositif
SD-WAN
Edge

L3 L3

LAN LAN

Un point de différenciation essentiel ici est une liaison WAN unique accessible via deux interfaces
acheminées. À des fins de prise en charge, une adresse IP virtuelle est provisionnée à l'intérieur
du dispositif Edge et peut être annoncée via le protocole OSPF ou BGP, ou acheminée de manière
statique vers les interfaces.

MPLS

Internet

Configuration haute disponibilité (HA)

La figure suivante fournit une présentation conceptuelle de la configuration HA de VMware
utilisant deux dispositifs SD-WAN Edges, l'un actif et l'autre en veille.

VMware, Inc. 36
Guide d'administration de VMware SD-WAN

ISP1 ISP2

W2 W2
W1 W1

Actif L1 L1 En veille

L2 Lien de L2
basculement

La connexion des ports L1 sur chaque dispositif Edge est utilisée pour établir une liaison de
basculement. Le dispositif SD-WAN Edge en veille bloque tous les ports, à l'exception du port L1
dédié à la liaison de basculement.

Topologie sur site

La topologie sur site se compose de deux Hubs et de plusieurs branches, avec ou sans dispositifs
SD-WAN Edge. Chaque Hub dispose d'une connectivité WAN hybride. Il existe plusieurs types de
branches.

Note Le site Gold n'entre pas actuellement dans le champ d'application de cette version et sera
ajouté ultérieurement.

Le réseau MPLS exécute BGP et les homologues avec tous les routeurs CE. Sur les sites Hub 1,
Hub 2 et Silver 1, le commutateur L3 exécute OSPF ou BGP avec le routeur CE et le pare-feu (en
cas de sites de Hub).

VMware, Inc. 37
Guide d'administration de VMware SD-WAN

Tête de WAN
Commutateurs
L3 doubles
de site Gold
(version 2.1 Vers le commutateur de base
uniquement) MPLS (Campus/DC)

MPLS

Commutateur
L2/L3 unique
de site Silver

SaaS
MPLS de site Hub
hérité avec VPN existant
sauvegarde
VPN
Internet

Internet Internet
unique/double
de site Bronze

Dans certains cas, il peut y avoir des centres de données redondants qui annoncent les mêmes
sous-réseaux avec des coûts différents. Dans ce scénario, les deux centres de données peuvent
être configurés en tant que Hubs VPN Edge-vers-Edge. Étant donné que tous les dispositifs Edge
se connectent directement à chaque Hub, les Hubs se connectent également directement entre
eux. En fonction du coût de la route, le trafic est dirigé vers le centre de données actif préféré.

VMware, Inc. 38
Guide d'administration de VMware SD-WAN

Centres de données principal et de sauvegarde Panne des centres de données principaux

Hub 1 Hub 2 Hub 1 Hub 2

MPLS Internet MPLS Internet

Dispositif VMware SD-WAN Edge Dispositif VMware SD-WAN Edge

Chemins actifs

Chemins de sauvegarde

Chemins inactifs

Chemins de Hub vers Hub

Dans les versions précédentes, les utilisateurs pouvaient créer un objet d'entreprise à l'aide
de Zscaler ou de Palo Alto Network en tant que Non VMware SD-WAN Site générique. Dans
la version 4.0, cet objet deviendra désormais un citoyen de première classe en tant que Non
VMware SD-WAN Site.

La solution gérée par le cloud de VMware combine le coût et la flexibilité du WAN hybride
avec la vitesse de déploiement et la maintenance faible des services basés sur le cloud. Elle
simplifie considérablement le WAN en fournissant des services virtualisés depuis le cloud vers
les branches. Le dispositif sur site client VMware, SD-WAN Edge, regroupe plusieurs liens haut
débit (par exemple, câble, DSL, 4G-LTE) au sein de la succursale et envoie le trafic à SD-WAN
Gateways. À l'aide de l'orchestration basée sur le cloud, le service peut connecter la succursale à
n'importe quel type de centre de données : entreprise, cloud ou logiciel en tant que service.

Le dispositif SD-WAN Edge est un périphérique Edge léger et compact qui est provisionné de
manière rationalisée à partir du cloud pour fournir une connectivité sécurisée et optimisée aux
applications et aux données. Un cluster de passerelles est déployé globalement sur des centres de
données cloud de haut niveau pour fournir des services de réseau cloud évolutifs et à la demande.

VMware, Inc. 39
Guide d'administration de VMware SD-WAN

Avec le dispositif Edge, le cluster fournit une optimisation dynamique à chemins multiples afin que
plusieurs liaisons à haut débit ordinaires s'affichent sous la forme d'une liaison à bande passante
unique et à haute bande passante. La gestion d'Orchestrator fournit une configuration centralisée,
une surveillance en temps réel et un provisionnement en un clic de services virtuels.

Rôles et niveaux de privilèges

VMware dispose de rôles prédéfinis avec un ensemble de privilèges différent.

n Administrateur informatique (ou administrateur)

n Contact sur chaque site sur lequel un périphérique SD-WAN Edge est déployé

n Opérateur informatique (ou opérateur)

n Partenaire informatique (ou partenaire)

Administrateur
L'administrateur configure, surveille et administre le fonctionnement du service VMware. Il existe
trois rôles d'administrateur :

Rôle d'administrateur Description

Administrateur standard de Peut effectuer toutes les tâches de configuration et de surveillance.

l'entreprise

Super utilisateur de Peut effectuer les mêmes tâches qu'un administrateur standard de l'entreprise. Il
l'entreprise peut également créer des utilisateurs supplémentaires avec les rôles d'administrateur
standard d'entreprise, de MSP d'entreprise et de support client.

Support de l'entreprise Peut effectuer des tâches de vérification et de surveillance de la configuration, mais
ne peut pas afficher les statistiques d'application identifiables de l'utilisateur. Il peut
uniquement afficher les informations de configuration.

Note Un administrateur doit être parfaitement familiarisé avec les concepts de mise en réseau,
les applications Web, ainsi qu'avec la configuration requise et les procédures de l'entreprise.

Contact du site
Le Contact du site (Site Contact) est responsable de l'installation physique et de l'activation de
SD-WAN Edge avec le service VMware. Le contact du site est une personne n'appartenant pas
au service informatique qui peut recevoir un e-mail et effectuer les instructions de l'e-mail pour
l'activation du dispositif Edge.

Opérateur
L'opérateur peut effectuer toutes les tâches d'un administrateur, ainsi que des tâches
supplémentaires spécifiques à l'opérateur, telles que la création et la gestion des clients, des
dispositifs Edge du cloud et des passerelles. Il existe quatre rôles d'opérateur :

VMware, Inc. 40
Guide d'administration de VMware SD-WAN

Rôle d'opérateur Description

Opérateur standard Peut effectuer toutes les tâches de configuration et de surveillance.

Opérateur superutilisateur Peut afficher et créer des utilisateurs supplémentaires avec les rôles d'opérateur.

Opérateur expert commercial Peut créer et gérer des comptes client.

Opérateur de support client Peut surveiller les dispositifs Edge et l'activité.

Un opérateur doit être parfaitement familiarisé avec les concepts de mise en réseau, les
applications Web, ainsi qu'avec la configuration requise et les procédures de l'entreprise.

Partenaire
Le Partenaire (Partner) peut effectuer toutes les tâches d'un administrateur, ainsi que des tâches
supplémentaires spécifiques au partenaire, telles que la création et la gestion des clients. Il existe
quatre rôles de partenaires :

Rôle de partenaire Description

Administrateur standard Peut effectuer toutes les tâches de configuration et de surveillance.

Superutilisateur Peut afficher et créer des utilisateurs supplémentaires avec les rôles de partenaire.

Expert commercial Peut effectuer des tâches de configuration et de surveillance, mais ne peut pas afficher les
statistiques d'application identifiables de l'utilisateur.

Support client Peut effectuer des tâches de vérification et de surveillance de la configuration, mais ne
peut pas afficher les statistiques d'application identifiables de l'utilisateur. Il peut uniquement
afficher les informations de configuration.

Un partenaire doit être parfaitement familiarisé avec les concepts de mise en réseau, les
applications Web, ainsi qu'avec la configuration requise et les procédures de l'entreprise.

Matrice des rôles d'utilisateur

Cette section décrit l'accès aux fonctionnalités en fonction des rôles d'utilisateur VMware.

Matrice des rôles d'utilisateur des fonctionnalités de SD-WAN

Orchestrator au niveau de l'opérateur
Le tableau ci-dessous répertorie les rôles d'utilisateur au niveau de l'opérateur ayant accès aux
fonctionnalités de SD-WAN Orchestrator.

n R : Lire

n W : Écrire (Modifier/Éditer)

n D : Supprimer

n NA : Aucun accès

VMware, Inc. 41
Guide d'administration de VMware SD-WAN

Opérate Partenair
ur : Opérate Partenair e:
opérateu ur : e: opérateu
Fonctionnalité r opérateu expert r de Administ Expert
de SD-WAN superutili r commerc support Superutil rateur commerc Support
Orchestrator sateur standard ial client isateur standard ial client

Surveiller les clients R R R R R R R R

Gérer les clients RWD RWD RWD R RWD RWD RWD R

(Manage Customers)

Gérer les partenaires RWD RWD RWD R NA NA NA NA

(Gestion du dispositif RWD RWD R R *Voir la *Voir la *Voir la *Voir la

Edge) Images remarqu remarqu remarqu remarqu
logicielles e e e e

Propriétés système RWD R NA R NA NA NA NA

(System Properties)

Événements R R NA R NA NA NA NA
d'opérateur
(Operator Events)

Profils d'opérateur RWD RWD R R NA NA NA NA

(Operator Profiles)

Utilisateurs RWD R R R NA NA NA NA
opérateurs (Operator
Users)

Pools de passerelles RWD RW R R RWD RWD NA R

Passerelles RWD RWD R R RW RW NA R

(Gateways)

Bundle de RWD RWD R R NA NA NA NA

diagnostics de la
passerelle

Cartes d'applications RWD RWD R R NA NA NA NA

Résumé de CA RW R R R NA NA NA NA

Authentification RWD R NA R NA NA NA NA
d'Orchestrator

Réplication RW R NA R NA NA NA NA
(Replication)

Note Les superutilisateurs opérateurs disposent d'un accès « RWD » aux configurations associées
aux certificats et les opérateurs standard disposent d'un accès en lecture seule aux configurations
associées aux certificats. Dans le panneau de navigation, ces utilisateurs peuvent accéder aux
configurations associées aux certificats dans Configurer (Configure) > Dispositifs Edge (Edges).*

Note Les utilisateurs d'entreprise à tous les niveaux n'ont pas accès aux fonctionnalités au niveau
de l'opérateur.

VMware, Inc. 42
Guide d'administration de VMware SD-WAN

Matrice des rôles d'utilisateur des fonctionnalités de SD-WAN

Orchestrator au niveau du partenaire
Le tableau ci-dessous répertorie les rôles d'utilisateur au niveau du partenaire ayant accès aux
fonctionnalités de SD-WAN Orchestrator.

n R : Lire

n W : Écrire (Modifier/Éditer)

n D : Supprimer

n NA : Aucun accès

Partenaire :
Fonctionnalité de SD-WAN Partenaire : administrateur
Orchestrator superutilisateur standard Expert commercial Support client

Surveiller les clients R R R R

Gérer les clients (Manage RWD RWD RWD R

Customers)

Événements R R NA R

Administrateurs RWD R NA R

Présentation R R R R

Paramètres RW R R R

Pools de passerelles RW RWD NA R

Passerelles (Gateways) RW RW NA R

Matrice des rôles d'utilisateur des fonctionnalités de SD-WAN

Orchestrator au niveau de l'entreprise
Le tableau ci-dessous répertorie les rôles d'utilisateur au niveau de l'entreprise ayant accès aux
fonctionnalités de SD-WAN Orchestrator.

n R : Lire

n W : Écrire (Modifier/Éditer)

n D : Supprimer

n NA : Aucun accès

VMware, Inc. 43
Guide d'administration de VMware SD-WAN

Entreprise :
Entreprise : administrateur Support Lecture
Fonctionnalité de SD-WAN Orchestrator superutilisateur standard client seule

Surveiller (Monitor) > Dispositifs Edge R R R R

(Edges)

Surveiller (Monitor) > Services réseau R R R R

(Network Services)

Surveiller (Monitor) > Routage (Routing) R R R NA

Surveiller (Monitor) > Alertes (Alerts) R R R NA

Surveiller (Monitor) > Événements R R R NA

(Events)

Configurer (Configure) > Dispositifs RWD RWD R NA

Edge (Edges)

Configurer (Configure) > Profils RWD RWD R NA

(Profiles)

Configurer (Configure) > Réseaux RWD RWD R NA

(Networks)

Configurer (Configure) > Segments RWD RWD R NA

Configurer (Configure) > Overlay Flow RWD RWD R NA

Control

Configurer (Configure) > Services RWD RWD R NA

réseau (Network Services)

Configurer (Configure) > Alertes et RW RW R NA

notifications (Alerts & Notifications)

Tester et dépanner (Test & RW RW RW NA

Troubleshoot) > Diagnostics à distance
(Remote Diagnostics)

Tester et dépanner (Test & RW RW RW NA

Troubleshoot) > Actions à distance
(Remote Actions)

Tester et dépanner (Test & RW RW RW NA

Troubleshoot) > Capture de paquets
(Packet Capture)

Tester et dépanner (Test & RWD RWD RWD NA

Troubleshoot) > Bundles de diagnostics
(Diagnostic Bundles)

Administration > Paramètres système RW RW RW NA

(System Settings)

Administration > Administrateurs RW R R NA

(Administrators)

Note Les utilisateurs opérateurs disposent d'un accès complet aux fonctionnalités de SD-WAN
Orchestrator.

VMware, Inc. 44
Guide d'administration de VMware SD-WAN

Concepts clés
Cette section décrit les concepts clés et les configurations principales de SD-WAN Orchestrator.

Configurations
Le service VMware dispose de quatre configurations de base qui comportent une relation
hiérarchique. Créez ces configurations dans SD-WAN Orchestrator.

Le tableau suivant fournit une présentation des configurations.

Configuration Description

Réseau (Network) Définit les configurations réseau de base, telles que l'adressage IP et les VLAN. Les réseaux
peuvent être désignés comme d'entreprise ou invités, et il peut y avoir plusieurs définitions pour
chaque réseau.

Services réseau Définissez plusieurs services communs utilisés par le service VMware, par exemple les sites de
liaison, les Hubs VPN de cloud, les instances de Non VMware SD-WAN Sites, les services de proxy
de cloud, les services DNS et les services d'authentification.

Profil (Profile) Définit une configuration de modèle qui peut être appliquée à plusieurs dispositifs Edge. Un profil
est configuré en sélectionnant un réseau et des services réseau. Un profil peut être appliqué à
un ou plusieurs modèles de dispositifs Edge et définit les paramètres pour les interfaces LAN,
Internet, LAN sans fil et Edge du WAN. Les profils peuvent également fournir des paramètres de
configuration pour la radio Wi-Fi, SNMP, NetFlow, les stratégies d'entreprise et le pare-feu.

Dispositif Edge Les configurations fournissent un groupe complet de paramètres pouvant être téléchargés sur un
(Edge) dispositif Edge. La configuration d'un dispositif Edge est un composite de paramètres d'un profil
sélectionné, d'un réseau sélectionné et de services réseau. Une configuration de dispositif Edge
peut également remplacer les paramètres ou ajouter des stratégies classées à celles définies dans
le profil, le réseau et les services réseau.

L'image suivante montre une présentation détaillée des relations et des paramètres de
configuration de plusieurs dispositifs Edge, profils, réseaux et services réseau.

VMware, Inc. 45
Guide d'administration de VMware SD-WAN

Dispositif Edge
Présentation
Stratégie d'entreprise
• Profil
Dispositifs Dispositifs Dispositifs • Contact et
Edge Edge Edge emplacement Pare-feu
Dispositif Dispositif Dispositif
Edge 1 Edge 1 Edge 1 Périphérique
… … … • Réseaux • Sondes ICMP
Profil • HA • Répondeurs ICMP
Dispositif Dispositif Dispositif
Edge x Edge y Edge z • VPN cloud • DNS
Présentation Stratégie d'entreprise • Périphérique • Authentification
• Services • Routes statiques • SNMP
• réseau Pare-feu … • Wi-Fi • NetFlow
Profil 1 Profil 2 Profil 3
Périphérique
• Réseaux • DNS
• VPN cloud • Authentification
• Périphérique • SNMP
• Wi-Fi • Flux de réseau Services réseau
Réseaux Réseau 1 Réseau 2 … Service 1 Service 2 …

Réseau
Services réseau
Entreprise (1-N)
Sites de déroutement

Invité (1-N)
Hubs VPN cloud

Instances de Non-VMware
SD-WAN Site

Proxy cloud

DNS

Authentification

Vous pouvez attribuer un même profil à plusieurs dispositifs Edge. Vous pouvez utiliser une
configuration réseau individuelle dans plusieurs profils. Les configurations des services réseau
sont utilisées dans tous les profils.

Réseaux
Les réseaux sont des configurations standard qui définissent les espaces d'adresses réseau et les
affectations VLAN pour les dispositifs Edge. Vous pouvez configurer les types de réseau suivants :

n Des réseaux d'entreprise ou approuvés, qui peuvent être configurés avec des adresses qui se
chevauchent ou pas.

n Des réseaux invités ou non approuvés, qui utilisent toujours des adresses qui se chevauchent.

Vous pouvez définir plusieurs réseaux d'entreprise et invités et attribuer des VLAN aux deux types
de réseaux.

Avec le chevauchement d'adresses, tous les dispositifs Edge utilisant le réseau qui disposent
du même espace d'adresses. Un chevauchement d'adresses est associé à des configurations
non-VPN.

Avec des adresses qui ne se chevauchent pas, un espace d'adresses est divisé en blocs
d'un nombre égal d'adresses. Les adresses qui ne se chevauchent pas sont associées à des
configurations VPN. Les blocs d'adresses sont attribués aux dispositifs Edge qui utilisent le réseau
de sorte que chaque dispositif Edge dispose d'un ensemble unique d'adresses. Des adresses qui
ne se chevauchent pas sont requises pour la communication des VPN entre deux dispositifs

VMware, Inc. 46
Guide d'administration de VMware SD-WAN

Edge (Edge-to-Edge) et entre le Dispositif Edge (Edge) et Non VMware SD-WAN Site. La
configuration de VMware crée les informations nécessaires pour accéder à une passerelle de
centre de données d'entreprise pour l'accès VPN. Un administrateur de la passerelle de centre
de données d'entreprise utilise les informations de configuration IPSec générées lors de la
configuration VPN Non VMware SD-WAN Site pour configurer le tunnel VPN sur Non VMware
SD-WAN Site.

L'image suivante montre comment les blocs d'adresses IP uniques d'une configuration réseau sont
attribués à SD-WAN Edges.

Gestion du Cloud
VMware SD-WAN Orchestrator

Configuration réseau
VMware SD-WAN

Adresses IP qui ne se
chevauchent pas
Bloc 1 Bloc 2 … Bloc n
VMware SD-WAN Edge 1

Configuration
IPsec

VPN

VMware
VMware SD-WAN Edge 2 SD-WAN Passerelle DC
Centre de
by VeloCloud d'entreprise
données
d'entreprise

Note Lorsque vous utilisez des adresses qui ne se chevauchent pas, SD-WAN Orchestrator alloue
automatiquement les blocs d'adresses aux dispositifs Edge. L'allocation se produit en fonction du
nombre maximal de dispositifs Edge qui peuvent utiliser la configuration réseau.

VMware, Inc. 47
Guide d'administration de VMware SD-WAN

Services réseau
Vous pouvez définir vos propres services de réseau d'entreprise et les utiliser dans tous les
profils. Cela comprend les services d'authentification, le proxy de cloud, les instances de Non
VMware SD-WAN Sites et DNS. Les services réseau définis sont utilisés uniquement lorsqu'ils sont
attribués à un profil.

Profils
Un profil est une configuration nommée qui définit une liste de VLAN, des paramètres de VPN de
cloud, des paramètres d'interfaces filaires et sans fil et des services réseau tels que les paramètres
DNS, les paramètres d'authentification, les paramètres de proxy de cloud et les connexions VPN
aux instances de Non VMware SD-WAN Sites. Vous pouvez définir une configuration standard
pour une ou plusieurs instances de SD-WAN Edges à l'aide des profils.

Les profils fournissent des paramètres VPN de cloud pour les dispositifs Edge configurés pour le
VPN. Les paramètres VPN cloud peuvent activer ou désactiver les connexions VPN entre deux
dispositifs Edge et entre Edge et Non VMware SD-WAN Site.

Les profils peuvent également définir des règles et une configuration pour les stratégies
d'entreprise et les paramètres de pare-feu.

Dispositifs Edge
Vous pouvez attribuer un profil à un dispositif Edge pour qu'il en dérive la plupart de sa
configuration.

Vous pouvez utiliser la plupart des paramètres définis dans un profil, un réseau ou des services
réseau dans une configuration Edge, sans les modifier. Toutefois, vous pouvez remplacer les
paramètres des éléments de configuration du dispositif Edge pour l'adapter à un scénario
spécifique. Cela comprend des paramètres pour les interfaces, les paramètres radio Wi-Fi, le
DNS, l'authentification, la stratégie d'entreprise et le pare-feu.

En outre, vous pouvez configurer un dispositif Edge pour augmenter les paramètres absents de la
configuration du profil ou du réseau. Cela comprend l'adressage du sous-réseau, les paramètres
de route statique et les règles de pare-feu entrantes pour le transfert de ports et la NAT 1:1.

Workflow de configuration d'Orchestrator

VMware prend en charge plusieurs scénarios de configuration. Le tableau suivant répertorie
certains des scénarios les plus courants :

VMware, Inc. 48
Guide d'administration de VMware SD-WAN

Scénario Description

SaaS Utilisé pour les dispositifs Edge qui ne nécessitent aucune connexion VPN entre eux ou avec un
Non VMware SD-WAN Site ou un VMware SD-WAN Site. Le workflow suppose que l'adressage du
réseau d'entreprise utilise des adresses qui se chevauchent.

Non VMware SD- Utilisé pour les dispositifs Edge qui nécessitent des connexions VPN avec un Non VMware SD-
WAN Site via WAN Site, tel qu'Amazon Web services, Zscaler, Cisco ISR ou ASR série 1000. Le workflow
VPN suppose que l'adressage du réseau d'entreprise utilise des adresses qui ne se chevauchent pas
et que les Non VMware SD-WAN Sites sont définis dans le profil.

VPN VMware SD- Utilisé pour les dispositifs Edge qui nécessitent des connexions VPN à une instance de VMware SD-
WAN Site WAN Site telle qu'un Hub Edge ou un Hub VPN de cloud. Le workflow suppose que l'adressage
du réseau d'entreprise utilise des adresses qui ne se chevauchent pas et que les VMware SD-WAN
Sites sont définis dans le profil.

Pour chaque scénario, effectuez les configurations dans SD-WAN Orchestrator dans l'ordre
suivant :

Étape 1 : Réseau

Étape 2 : Services réseau

Étape 3 : Profil

Étape 4 : Dispositif Edge

Le tableau suivant fournit un plan général de la configuration de démarrage rapide pour chacun
des workflows. Vous pouvez utiliser le réseau, les services réseau et les configurations de profil
préconfigurés pour les configurations de démarrage rapide. Pour les configurations VPN, modifiez
le profil VPN existant et configurez les instances de VMware SD-WAN Site ou de Non VMware
SD-WAN Site. La dernière étape consiste à créer un dispositif Edge et à l'activer.

Étapes de
configuration de
démarrage rapide SaaS VPN Non VMware SD-WAN Site VPN VMware SD-WAN Site

Étape 1 : Réseau Sélectionner le réseau Sélectionner le réseau VPN à Sélectionner le réseau VPN à
Internet à démarrage démarrage rapide démarrage rapide
rapide

Étape 2 : Services Utiliser les services Utiliser les services réseau Utiliser les services réseau
réseau réseau préconfigurés préconfigurés préconfigurés

Étape 3 : Profil Sélectionner le profil Sélectionner le profil VPN à Sélectionner le profil VPN à
Internet à démarrage démarrage rapide démarrage rapide
rapide Activer le VPN cloud et Activer le VPN cloud et
configurer les instances de Non configurer les instances de
VMware SD-WAN Sites VMware SD-WAN Sites

Étape 4 : Dispositif Ajouter un nouveau Ajouter un nouveau Ajouter un nouveau

Edge dispositif Edge et l'activer dispositif Edge et l'activer dispositif Edge et l'activer

Pour plus d'informations, reportez-vous à la section Activer les dispositifs Edge.

VMware, Inc. 49
Guide d'administration de VMware SD-WAN

Navigateurs pris en charge

SD-WAN Orchestrator prend en charge les navigateurs suivants :

Navigateurs qualifiés Version du navigateur

Google Chrome 77 - 79.0.3945.130

Mozilla Firefox 69.0.2 - 72.0.2

Microsoft Edge 42.17134.1.0 - 44.18362.449.0

Apple Safari 12.1.2 - 13.0.3

Note Pour une expérience optimale, VMware recommande Google Chrome ou Mozilla Firefox.

Note À partir de VMware SD-WAN version 4.0.0, la prise en charge d'Internet Explorer est
obsolète.

Modems pris en charge

Cette section décrit comment obtenir une liste des modems pris en charge.

Pour obtenir une liste détaillée des modems pris en charge, reportez-vous à l'adresse https://
[Link]/get-started/supported-modems.

VMware, Inc. 50
Contrat d'utilisateur
4
Un super utilisateur de l'entreprise ou un super utilisateur partenaire peut afficher un
contrat d'utilisateur lorsqu'il se connecte à SD-WAN Orchestrator. L'utilisateur doit accepter le
contrat pour accéder à SD-WAN Orchestrator. Si l'utilisateur n'accepte pas le contrat, il est
automatiquement déconnecté.

VMware, Inc. 51
Se connecter à VMware SD-WAN
Orchestrator à l'aide de SSO pour
l'utilisateur d'entreprise
5
Décrit comment se connecter à VMware SD-WAN Orchestrator à l'aide de Single Sign On (SSO)
en tant qu'utilisateur d'entreprise.

Pour vous connecter à SD-WAN Orchestrator à l'aide de SSO en tant qu'utilisateur d'entreprise :

Conditions préalables

n Assurez-vous d'avoir configuré l'authentification SSO dans SD-WAN Orchestrator. Pour plus
d'informations, reportez-vous à la section Configurer l'authentification unique pour l'utilisateur
d'entreprise.

n Assurez-vous d'avoir configuré les rôles, les utilisateurs et l'application OIDC pour SSO dans
vos fournisseurs d'identité préférés. Pour plus d'informations, reportez-vous à la section
Configurer un IDP pour l'authentification unique.

Procédure

1 Dans un navigateur Web, lancez une application SD-WAN Orchestrator en tant qu'utilisateur
d'entreprise.

L'écran VMware SD-WAN Orchestrator s'affiche.

2 Cliquez sur Connectez-vous avec votre fournisseur d'identité (Sign In With Your Identity
Provider).

3 Dans la zone de texte Entrer le domaine de votre organisation (Enter your Organization
Domain), entrez le nom de domaine utilisé pour la configuration SSO et cliquez sur Se
connecter (Sign in).

Le fournisseur d'identité configuré pour SSO authentifie l'utilisateur et le redirige vers l'URL de
SD-WAN Orchestrator configurée.

Note Une fois que les utilisateurs se sont connectés à l'instance de SD-WAN Orchestrator à
l'aide de SSO, ils ne sont pas autorisés à se reconnecter en tant qu'utilisateurs natifs.

VMware, Inc. 52
Surveiller les entreprises
6
SD-WAN Orchestrator fournit une fonctionnalité de surveillance qui vous permet d'observer
diverses performances et caractéristiques opérationnelles de VMware SD-WAN Edges. La
fonctionnalité de surveillance est accessible dans la zone Surveiller (Monitor) du panneau de
navigation.

Ce chapitre contient les rubriques suivantes :

n Panneau de navigation Surveiller

n Présentation du réseau

n Surveiller les dispositifs Edge

n Surveiller les services réseau

n Surveiller le routage

n Surveiller les alertes

n Surveiller les événements

n Surveiller les rapports

Panneau de navigation Surveiller

Les fonctionnalités de surveillance suivantes s'affichent sous Surveiller (Monitor) dans le panneau
de navigation.

n Présentation du réseau

n Surveiller les dispositifs Edge

n Surveiller les services réseau

n Surveiller le routage

n Surveiller les alertes

n Surveiller les événements

VMware, Inc. 53
Guide d'administration de VMware SD-WAN

Présentation du réseau
La fonctionnalité Présentation du réseau (Network Overview) permet de surveiller les réseaux en
vérifiant le résumé de l'état des dispositifs Edge et des liaisons (dispositif Edge activé). Si vous
cliquez sur Surveiller (Monitor) > Présentation du réseau (Network Overview) dans le panneau
de navigation, cela ouvre l'écran Présentation du réseau (Network Overview), qui fournit un
résumé visuel sur les entreprises exécutant les périphériques SD-WAN Edge, les instances de
Non VMware SD-WAN Sites, les profils, les segments, les versions de logiciels et leurs états
d'exécution et du délai de configuration système.

L'écran Présentation du réseau (Network Overview) affiche les informations récapitulatives

générales sur un réseau dans trois sections du tableau de bord :

n Statistiques de SD-WAN Edge : contient les informations suivantes sur les dispositifs Edge et
les liaisons :

n Nombre total de dispositifs Edge

n Nombre total de Hubs du dispositif Edge

VMware, Inc. 54
Guide d'administration de VMware SD-WAN

n Nombre total de liaisons

n Nombre total de liaisons du Hub

n Nombre de Hubs de dispositifs Edge/du dispositif Edge (connectés, dégradés et inactifs)

n Nombre de liaisons/liaisons du Hub (stables, instables et inactives)

n Table Tableau de bord récapitulatif : comprend une table qui affiche les dix principaux
dispositifs Edge, des Hubs de dispositifs Edge, des liaisons ou des liaisons de Hub triées
par heure de dernier contact, en fonction des critères de filtre sélectionnés dans la section de
statistiques de SD-WAN Edge.

n Statistiques de dispositifs non-Edge : comprend les informations suivantes liées à des

dispositifs non-Edge :

n Nombre total de dispositifs Edge activés pour les fonctions de réseau virtuel (VNF)

n Nombre de dispositifs Edge activés pour les VNF (Erreur, Activé et Désactivé)

n Nombre total de dispositifs Edge activés pour la paire Actif-En veille de VMware

n Nombre de dispositifs Edge activés pour la paire Actif-En veille de VMware (En échec, En
attente et Prêt)

n Nombre total d'instances de Non VMware SD-WAN Sites activées

n Nombre d'instances de Non VMware SD-WAN Sites (Connectées et Hors ligne)

n Nombre de profils utilisés sur le nombre total de profils configurés pour l'entreprise.

n Nombre de segments activés sur le nombre total de segments configurés pour

l'entreprise.

n Nombre de dispositifs Edge disposant d'une version du logiciel à jour sur le nombre total
de dispositifs Edge configurés pour l'entreprise.

Note La version minimale de dispositif Edge prise en charge est 2.4.0. Vous pouvez
modifier la version de dispositif Edge cible avec laquelle les dispositifs Edge sont comparés
à l'aide de la propriété système [Link].

Vous pouvez également obtenir des informations détaillées sur un élément spécifique de l'écran
Présentation du réseau (Network Overview) en cliquant sur le lien de l'élément ou de la mesure
correspondant. Par exemple, si vous cliquez sur le lien Dispositif Edge (Edge) dans la table
Tableau de bord récapitulatif, vous accédez au tableau de bord des détails du dispositif Edge
sélectionné.

Vous pouvez configurer l'intervalle d'actualisation des informations affichées dans l'écran du
tableau de bord Présentation du réseau (Network Overview) pour l'une des options suivantes :

n pause

n 30 s

n 60 s

VMware, Inc. 55
Guide d'administration de VMware SD-WAN

n 5 min

États et transitions de SD-WAN Edge

Les transitions sont contrôlées par les pulsations d'un dispositif Edge (qui se produisent toutes les
30 secondes dans des circonstances normales), quelles que soient les liaisons sur lesquelles les
pulsations sont reçues.

Le tableau suivant décrit les types d'états de connexion et les transitions d'un dispositif SD-WAN
Edge.

État du
dispositif
Couleur Edge Description

Vert Connecté n Un dispositif Edge est dans un état Connecté (Connected) si une pulsation a été reçue du
dispositif Edge au cours des dernières 60 secondes.
n Le dispositif Edge passe de l'état Connecté (Connected) à Dégradé (Degraded)
lorsqu'Orchestrator détermine qu'aucune pulsation n'a été reçue du dispositif Edge
pendant plus de 60 secondes.
n Le dispositif Edge passe de l'état Connecté (Connected) à Hors ligne (Offline)
lorsqu'Orchestrator ne reçoit pas deux pulsations consécutives du dispositif Edge dans
un intervalle de deux minutes (120 secondes).

Orange Dégradé n Un dispositif Edge est dans un état Dégradé (Degraded) si la connectivité entre
le dispositif Edge et Orchestrator semble être affectée, probablement en raison de
conditions réseau temporaires.
n Le dispositif Edge passe de l'état Dégradé (Degraded) à Hors ligne (Offline)
lorsqu'Orchestrator détermine qu'aucune pulsation n'a été reçue du dispositif Edge
pendant plus de deux minutes (120 secondes).

Rouge Hors-ligne Un dispositif Edge est dans un état Hors ligne (Offline) si le dispositif Edge n'est pas en
mesure d'accéder à Orchestrator en raison de conditions réseau persistantes.

États et transitions d'une liaison SD-WAN Orchestrator

SD-WAN Orchestrator contrôle les modifications entre les différents états d'une liaison selon
la modification d'état la plus récente, en prenant en compte l'heure de dernière activité de la
liaison et l'heure de dernière survenance de l'événement. Les transitions sont contrôlées par une
combinaison des éléments suivants :

n Les valeurs de statistiques d'une liaison signalées par un dispositif Edge telles que reçues
lorsque le dispositif Edge transfère les statistiques d'une liaison vers Orchestrator (se produit
toutes les 5 minutes).

n Les événements signalés par un dispositif Edge tels que reçus par les pulsations de ce dernier
(se produit toutes les 30 secondes).

Le tableau suivant décrit les types d'états de connexion et les transitions d'une liaison SD-WAN
Orchestrator.

VMware, Inc. 56
Guide d'administration de VMware SD-WAN

Couleur État du dispositif Edge Description

Vert Stable Une liaison est dans un état Stable si les conditions d'une liaison semblent être
stables et si Orchestrator reçoit les statistiques de cette dernière de manière
cohérente.

Orange Non stable (Unstable) Une liaison est dans un état Non stable (Unstable) si aucun transfert de
statistiques d'une liaison attendu n'est reçu ou si la liaison est inactive, mais
qu'elle n'a pas encore été inactive pendant 10 minutes.

Rouge Déconnecté Une liaison est dans un état Déconnecté (Disconnected) si la liaison a été inactive
(Disconnected) pendant plus de 10 minutes.

Surveiller les dispositifs Edge

Vous pouvez surveiller l'état des dispositifs Edge et afficher les détails de chaque dispositif Edge,
par exemple les liaisons WAN, les applications principales utilisées par les dispositifs Edge, les
données d'utilisation via les sources réseau et les destinations du trafic, la priorité d'entreprise du
trafic réseau, les informations système, les détails des passerelles connectées au dispositif Edge,
etc.

Pour surveiller les détails du dispositif Edge :

1 Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Dispositifs Edge (Edges).

2 La page Dispositifs Edge (Edges) affiche les dispositifs Edge associés à l'entreprise.

La page affiche les options suivantes :

n Tableau des dispositifs Edge (Table of edges) : répertorie tous les dispositifs Edge
provisionnés dans le réseau.

n Rechercher (Search) : entrez un terme pour rechercher un détail spécifique. Cliquez sur la
flèche déroulante pour filtrer la vue selon des critères spécifiques.

n Colonnes (Cols) : cliquez dessus et sélectionnez les colonnes à afficher ou à masquer dans
la vue. Par défaut, les informations du dispositif Edge et d'état s'affichent.

VMware, Inc. 57
Guide d'administration de VMware SD-WAN

n Réinitialiser la vue (Reset View) : cliquez dessus pour rétablir les paramètres par défaut de
la vue.

n Actualiser (Refresh) : cliquez dessus pour actualiser les détails affichés avec les données
les plus récentes.

n CSV : cliquez dessus pour exporter toutes les données dans un fichier au format CSV.

Cliquez sur le lien d'accès à un dispositif Edge pour afficher les détails relatifs au dispositif Edge
sélectionné. Cliquez sur les onglets pertinents pour afficher les informations correspondantes.
Chaque onglet affiche une liste déroulante en haut qui permet de sélectionner une période
spécifique. L'onglet affiche les détails de la durée sélectionnée.

Pour chaque dispositif Edge, vous pouvez afficher les détails suivants :

n Onglet Présentation

n Onglet QoE

n Onglet Transport

n Onglet Applications

n Onglet Sources

n Onglet Destinations

n Onglet Priorité d'entreprise

n Onglet système

Onglet Présentation
L'onglet Présentation (Overview) d'un dispositif Edge dans le tableau de bord de surveillance
affiche les détails des liaisons WAN, ainsi que la consommation de la bande passante et l'utilisation
du réseau.

Pour afficher les informations d'un dispositif Edge :

Procédure

1 Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Dispositifs Edge (Edges).

2 Cliquez sur le lien d'accès à un dispositif Edge et l'onglet Présentation (Overview) s'affiche par
défaut.

Résultats

L'onglet Présentation (Overview) affiche les détails des liaisons avec l'état et la consommation de
bande passante.

VMware, Inc. 58
Guide d'administration de VMware SD-WAN

Vous pouvez choisir d'afficher les informations sur la passerelle en direct en cochant la case
Rester en mode direct (Stay in live mode). Lorsque ce mode est activé, la surveillance en direct
du dispositif Edge se produit et les données de la page sont mises à jour à chaque modification.
Le mode direct est automatiquement déplacé vers le mode hors ligne après une certaine période
pour réduire la charge du réseau.

La section État des liaisons (Links Status) affiche les détails des liaisons ; État de la liaison (Link
Status), Interface WAN (WAN Interface), Débit (Throughput), Bande passante (Bandwidth) et
Signal.

La section Utilisation de la bande passante (Bandwidth Usage) affiche la représentation

graphique de l'utilisation de la bande passante et du réseau des éléments suivants : Applications,
Catégories (Categories), Systèmes d'exploitation (Operating Systems), Sources et Destinations des
dispositifs Edge (Destinations of the Edges). Cliquez sur Afficher les détails (View Details) dans
chaque panneau pour accéder à l'onglet correspondant et afficher plus de détails.

Pour afficher plus de détails, passez la souris sur les graphiques.

Note La quantité minimale de consommation de données pour le trafic de contrôle SD-WAN sur
une liaison est de 1,5 à 2 Go par mois en fonction du nombre de chemins.

VMware, Inc. 59
Guide d'administration de VMware SD-WAN

Onglet QoE
L'onglet VMware Qualité d'expérience (Quality of Experience) (QoE) affiche le Score de qualité
(Quality Score) pour différentes applications. Le score de qualité évalue la qualité d'expérience
d'une application qu'un réseau peut fournir pendant une période donnée.

Cliquez sur l'onglet Surveiller (Monitor) > Dispositifs Edge (Edges) > QoE pour afficher les détails
suivants.

Type de trafic
Il existe trois types de trafic différents que vous pouvez surveiller (vocal, vidéo et transactionnel)
dans l'onglet QoE. Vous pouvez passer le pointeur de la souris sur une liaison réseau WAN ou sur
la liaison agrégée pour afficher un résumé de la latence, de la gigue et de la perte de paquets.

Score de qualité
Le score de qualité évalue la qualité d'expérience d'une application qu'un réseau peut fournir
pendant une période donnée. Voici quelques exemples d'applications : vidéo, vocales et
transactionnelles. Les options d'évaluation de QoE s'affichent dans le tableau ci-dessous.

Couleur Option
d'évaluation d'évaluation Définition

Vert Bien Toutes les mesures sont meilleures que les seuils de l'objectif. SLA
d'application satisfait/dépassé.

Jaune Moyen Une partie ou toutes les mesures sont comprises entre les valeurs
d'objectif et maximale. Le SLA de l'application est partiellement satisfait.

Rouge Médiocre Une partie ou toutes les mesures ont atteint ou dépassé la valeur
maximale. Le SLA de l'application n'est pas satisfait.

VMware, Inc. 60
Guide d'administration de VMware SD-WAN

Exemple de QoE
Les images suivantes montrent des exemples de QoE avec des problèmes de scénario de trafic
vocal avant et après, ainsi que la manière dont VMware les a résolus. Les chiffres en rouge sur les
images suivantes représentent les numéros de scénarios dans le tableau.

Exemple de tableau QoE

Scénario Problème Solution de VMware

1 MPLS est inactif Direction de liaison

2 Perte de paquets Correction d'erreurs de transfert

3 MPLS est inactif. Gigue sur Comcast Direction de liaison et mise en tampon de la gigue

Scénario 1 et 2 : exemple de solution pour la direction de liaison et la correction

d'erreurs de transfert

VMware, Inc. 61
Guide d'administration de VMware SD-WAN

Scénario 3 : exemple de solution pour la direction de liaison et la mise en tampon

de la gigue

Onglet Transport
Vous pouvez surveiller les liaisons WAN connectées à un dispositif Edge spécifique, avec l'état, les
détails de l'interface et d'autres mesures.

À tout moment, vous pouvez afficher la liaison ou le groupe de transport utilisé pour le trafic et
la quantité de données envoyées dans l'onglet Surveiller (Monitor) > Dispositifs Edge (Edges) >
Transport.

Lorsque vous cliquez sur l'onglet Transport, l'écran Liaisons (Links) s'affiche par défaut. L'écran
affiche les données envoyées et reçues pour vos liaisons. Les liaisons associées à un dispositif
Edge s'affichent en bas de l'écran sous la colonne Liaison (Link), ainsi que l'état du cloud et du
VPN, l'interface WAN, les détails de l'application et les détails des octets.

Pour afficher plus de détails, passez la souris sur les graphiques.

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
liaisons utilisées pour la durée sélectionnée.

VMware, Inc. 62
Guide d'administration de VMware SD-WAN

Cliquez sur Groupes de transport (Transport Groups) pour afficher les liaisons regroupées dans
l'une des catégories suivantes : Liaison filaire publique (Public Wired), Liaison sans fil publique
(Public Wireless) ou Liaison filaire privée (Private Wired).

Vous pouvez choisir d'afficher les informations en direct en cliquant sur l'option Démarrer la
surveillance en direct (Start Live Monitoring). Lorsque ce mode est activé, vous pouvez afficher
la surveillance en direct des liaisons et des groupes de transport. La surveillance en direct est utile
pour effectuer des tests actifs et calculer le débit moyen. Elle est également utile pour résoudre
les problèmes de conformité à la sécurité et pour surveiller l'exploitation des stratégies de trafic en
temps réel.

Dans l'écran Surveillance en direct (Live Monitoring), cochez la case Afficher les détails
TCP/UDP (Show TCP/UDP Details) pour afficher les détails de l'utilisation des liaisons au niveau
du protocole.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné. Le panneau inférieur affiche les détails des mesures sélectionnées pour les liaisons ou
les groupes de transport.

Cliquez sur la flèche avant le nom de la liaison ou le groupe de transport pour afficher les détails
du fractionnement. Pour afficher des rapports d'exploration avec plus de détails, cliquez sur les
liens affichés dans la colonne Mesures (Metrics).

VMware, Inc. 63
Guide d'administration de VMware SD-WAN

L'image suivante montre un rapport détaillé des groupes de transport avec les principales
applications.

Onglet Applications
Vous pouvez surveiller l'utilisation réseau des applications ou des catégories d'applications
utilisées par un dispositif Edge spécifique.

Cliquez sur l'onglet Surveiller (Monitor) > Dispositifs Edge (Edges) > Applications pour afficher
les éléments suivants :

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
applications utilisées pendant la durée sélectionnée.

VMware, Inc. 64
Guide d'administration de VMware SD-WAN

Cliquez sur Catégories (Categories) pour afficher les applications similaires regroupées en
catégories.

Pour afficher plus de détails, passez la souris sur les graphiques.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les applications ou les
catégories.

Pour afficher des rapports d'exploration avec plus de détails, cliquez sur les liens affichés dans la
colonne Mesures (Metrics).

L'image suivante montre un rapport détaillé des principales applications.

Onglet Sources
Vous pouvez surveiller l'utilisation des périphériques et des systèmes d'exploitation sur le réseau
pour un dispositif Edge spécifique.

Cliquez sur Surveiller (Monitor) > Dispositifs Edge (Edges) > Sources pour afficher les éléments
suivants :

VMware, Inc. 65
Guide d'administration de VMware SD-WAN

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des clients
utilisés pour la durée sélectionnée.

Cliquez sur Systèmes d'exploitation (Operating Systems) pour afficher le rapport en fonction des
systèmes d'exploitation utilisés dans les périphériques.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Pour afficher plus de détails, passez la souris sur les graphiques.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les périphériques ou les
systèmes d'exploitation.

Pour afficher des rapports d'exploration avec plus de détails, cliquez sur les liens affichés dans la
colonne Mesures (Metrics).

L'image suivante montre un rapport détaillé des clients principaux.

VMware, Inc. 66
Guide d'administration de VMware SD-WAN

Cliquez sur les flèches affichées en regard de l'option Applications principales (Top Applications)
pour accéder à l'onglet Applications.

Onglet Destinations
Vous pouvez surveiller les données d'utilisation du réseau des destinations du trafic réseau.

Cliquez sur l'onglet Surveiller (Monitor) > Dispositifs Edge (Edges) > Destinations pour afficher
les éléments suivants :

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
destinations utilisées pendant la durée sélectionnée.

VMware, Inc. 67
Guide d'administration de VMware SD-WAN

Vous pouvez afficher le rapport des destinations par Domaine (Domain), Nom de domaine
complet (FQDN) ou Adresse IP (IP address). Cliquez sur le type pertinent pour afficher les
informations correspondantes.

Pour afficher plus de détails, passez la souris sur les graphiques.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les destinations selon le
type sélectionné.

Pour afficher des rapports d'exploration avec plus de détails, cliquez sur les liens affichés dans la
colonne Mesures (Metrics).

L'image suivante montre un rapport détaillé des principaux domaines.

Cliquez sur les flèches affichées en regard de l'option Applications principales (Top Applications)
pour accéder à l'onglet Applications.

Onglet Priorité d'entreprise

Vous pouvez surveiller les caractéristiques de la stratégie d'entreprise en fonction de la priorité et
des données d'utilisation du réseau associées pour un dispositif Edge spécifique.

Cliquez sur l'onglet Surveiller (Monitor) > Dispositifs Edge (Edges) > Priorité d'entreprise
(Business Priority) pour afficher les éléments suivants :

VMware, Inc. 68
Guide d'administration de VMware SD-WAN

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
priorités pour la durée sélectionnée.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Pour afficher plus de détails, passez la souris sur les graphiques.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les priorités d'entreprise.

Onglet système
Vous pouvez afficher l'utilisation détaillée du réseau par le système pour un dispositif Edge
spécifique.

Pour afficher les détails des informations système :

Procédure

1 Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Dispositifs Edge (Edges).

2 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Système (System).

Résultats

L'onglet Système (System) affiche les détails de l'utilisation du réseau par le système pour le
dispositif Edge sélectionné.

VMware, Inc. 69
Guide d'administration de VMware SD-WAN

Cette page affiche la représentation graphique des détails d'utilisation des éléments suivants
pendant la durée de la période sélectionnée, ainsi que les valeurs minimale, maximale et
moyenne.

n Pourcentage du CPU (CPU Percentage) : pourcentage d'utilisation du CPU.

n Utilisation de la mémoire (Memory Usage) : pourcentage d'utilisation de la mémoire.

n Nombre de flux (Flow Counts) : nombre de flux de trafic.

n Abandons des files d'attente de transfert (Handoff Queue Drops) : nombre de paquets
abandonnés en raison du transfert en file d'attente.

n Nombre de tunnels (Tunnel Count) : nombre de sessions du tunnel.

Pour afficher plus de détails, passez la souris sur les graphiques.

Rétention des données de VMware SD-WAN Orchestrator

Décrit la stratégie de rétention des données pour VMware SD-WAN Orchestrator.

Rétention des données de SD-WAN

Données de SD- Avant la
WAN Propriété système Par défaut Maximum version 4.0

Événements [Link] 40 semaines 1 an 40 semaines

d'entreprise

Alertes d'entreprise S/O 40 semaines 1 an Aucune stratégie

Événements [Link] 40 semaines 1 an 40 semaines

d'opérateur
(Operator Events)

VMware, Inc. 70
Guide d'administration de VMware SD-WAN

Données de SD- Avant la

WAN Propriété système Par défaut Maximum version 4.0

Événements de proxy [Link] 40 semaines 1 an 40 semaines

d'entreprise

Journaux de pare-feu [Link] Non pris en Non pris en 40 semaines

charge charge

Statistiques de liaison [Link] 40 semaines 1 an 40 semaines

QoE de liaison [Link] 40 semaines 1 an 40 semaines

Statistiques de S/O 2 semaines 2 semaines S/O

chemin

statistiques sur les [Link] 1 an – cumul de 1 an – cumul de 1 an avec cumul

flux [Link] 1 heure 1 heure

2 semaines – 3 mois – 5 min

5 min

Statistiques du [Link] 2 semaines 2 semaines Aucune stratégie

dispositif Edge

Remarques importantes
n Les valeurs par défaut des statistiques sur les flux de la version 4.0 s'appliquent à la mise
à niveau postérieure à la rétention des statistiques sur les flux. Pour configurer les valeurs
de rétention des statistiques sur les flux, suivez les instructions ci-dessous. Les propriétés
système relatives aux flux de statistiques dans les versions 3.3 et 3.4 seront obsolètes lors de la
mise à niveau vers la version 4.0.

n Conformément à la conception, les données statistiques du dispositif Edge sont actuellement

présentes dans des partitions mensuelles. Par conséquent, si nous devions tronquer les
données antérieures à 2 semaines, cela tronque essentiellement les données antérieures à un
mois. La page Surveillance de SD-WAN Orchestrator (SD-WAN Orchestrator Monitor) affiche
alors les données statistiques de santé actuelles et immédiates du mois précédent.

Modification de la période de rétention des statistiques sur les flux

Les opérateurs peuvent modifier la période de rétention en créant des propriétés système. Suivez
les étapes ci-dessous pour créer des propriétés système pour des périodes de rétention haute
résolution et basse résolution en jours et en mois.

Période de rétention haute résolution (High Resolution Retention Period)

Vous pouvez configurer la rétention des statistiques sur les flux haute résolution n'importe où
entre 1 et 90 jours. Suivez les étapes ci-dessous pour créer une propriété système pour la période
de rétention haute résolution.

1 Dans le panneau de navigation de SD-WAN Orchestrator, cliquez sur Propriétés système

(System Properties).

VMware, Inc. 71
Guide d'administration de VMware SD-WAN

2 Dans l'écran Propriétés système (System Properties), cliquez sur le bouton Nouvelles
propriétés système (New System Properties).

3 Dans la boîte de dialogue Nouvelle propriété système (New System Property) :

a Entrez [Link] dans le champ de texte Nom (Name).

b Dans le menu déroulant Type de données (Data Type), choisissez Nombre (Number).

c Dans le champ de texte Valeur (Value), entrez la période de rétention en nombre de jours.

Note La période de rétention haute résolution comporte un maximum de 90 jours et la

résolution est de 5 minutes.

4 Cliquez sur Enregistrer (Save).

Période de rétention basse résolution (Low Resolution Retention Period)

Vous pouvez configurer les statistiques sur les flux basse résolution pour les conserver n'importe
où entre 1 et 365 jours. Suivez les étapes ci-dessous pour créer une propriété système pour la
période de rétention basse résolution.

1 Dans le panneau de navigation de SD-WAN Orchestrator, cliquez sur Propriétés système

(System Properties).

2 Dans l'écran Propriétés système (System Properties), cliquez sur le bouton Nouvelles
propriétés système (New System Properties).

VMware, Inc. 72
Guide d'administration de VMware SD-WAN

3 Dans la boîte de dialogue Nouvelle propriété système (New System Property) :

a Dans le champ de texte Nom (Name), entrez [Link]

b Dans le menu déroulant Type de données (Data Type), choisissez Nombre (Number).

c Dans le champ de texte Valeur (Value), entrez la période de rétention en nombre de mois.

Note La période de rétention basse résolution comporte un maximum de 1 an et la

résolution est de 1 heure.

4 Cliquez sur Enregistrer (Save).

Modification de l'intervalle entre les requêtes des statistiques sur les flux
Si les opérateurs souhaitent afficher les statistiques sur les flux pendant plus de deux semaines,
la propriété système suivante doit être activée, [Link].
Reportez-vous à la section ci-dessous pour obtenir des instructions sur l'activation de cette
propriété système.

1 Dans le panneau de navigation de SD-WAN Orchestrator, cliquez sur Propriétés système

(System Properties).

2 Dans l'écran Propriétés système (System Properties), cliquez sur le bouton Nouvelles
propriétés système (New System Properties).

VMware, Inc. 73
Guide d'administration de VMware SD-WAN

3 Dans la boîte de dialogue Nouvelle propriété système (New System Property) :

a Dans le champ de texte Nom (Name), entrez

[Link]

b Dans le menu déroulant Type de données (Data Type), choisissez Nombre (Number).

c Dans le champ de texte Valeur (Value), entrez la période de rétention en nombre de jours.

4 Cliquez sur Enregistrer (Save).

Surveiller les services réseau

Vous pouvez afficher les détails des services réseau configurés pour une entreprise sur la page
Surveiller (Monitor) > Services réseau (Network Services) dans le portail d'entreprise.

Vous pouvez afficher les détails de configuration des services réseau suivants :

n Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) :
affiche les destinations non SD-WAN configurées, ainsi que les autres détails de la
configuration, tels que le nom de la destination non-WAN, l'adresse IP publique, l'état de
la destination non SD-WAN, l'état du tunnel, le nombre de profils et de dispositifs Edge qui
utilisent la destination non SD-WAN et la date et l'heure du dernier contact.

VMware, Inc. 74
Guide d'administration de VMware SD-WAN

n Sites du service de sécurité cloud (Cloud Security Service Sites) : affiche les services de
sécurité cloud configurés pour l'entreprise, ainsi que les autres détails de configuration, tels
que le nom, le type, l'adresse IP, l'état du service de sécurité cloud, l'état du dispositif Edge
utilisant le service de sécurité cloud, la date et l'heure de modification de l'état et le nombre
d'événements.

n Clusters Edge (Edge Clusters) : affiche les clusters Edge configurés et les données d'utilisation,
ainsi que d'autres détails de configuration, tels que le nom du cluster Edge, les dispositifs
Edge disponibles dans le cluster, le pourcentage d'utilisation du CPU et de la mémoire, le
nombre de tunnels, le nombre de flux et le nombre d'abandons de files d'attente de transfert.

n VNF d'Edge (Edge VNFs) : affiche les VNF d'Edge configurées, ainsi que d'autres détails de
configuration, tels que le nom du service VNF, le nombre de dispositifs Edge qui utilisent les
VNF et l'état de la machine virtuelle.

Surveiller le routage
La fonctionnalité de routage (onglet Surveiller [Monitor] > Routage [Routing] > Multidiffusion
[Multicast]) affiche des informations sur les groupes de multidiffusion et les dispositifs Edge de
multidiffusion.

VMware, Inc. 75
Guide d'administration de VMware SD-WAN

Vue PIM Neighbors

La figure suivante montre les PIM Neighbors du dispositif Edge sélectionné (par segment),
l'interface dans laquelle le PIM Neighbor a été détecté, l'adresse IP du Neighbor et les
horodatages.

Surveiller les alertes

SD-WAN Orchestrator fournit une fonction d'alerte pour avertir un ou plusieurs administrateurs
d'entreprise (ou d'autres utilisateurs du support) lorsqu'un problème se produit. Pour accéder
à cette fonctionnalité, cliquez sur Alertes (Alerts) sous Surveiller (Monitor) dans le panneau de
navigation.

VMware, Inc. 76
Guide d'administration de VMware SD-WAN

Vous pouvez envoyer des alertes lorsqu'une instance de SD-WAN Edge se déconnecte ou
se reconnecte, qu'une liaison WAN tombe en panne, qu'un tunnel VPN tombe en panne ou
lorsqu'un basculement HA de dispositif Edge se produit. Vous pouvez envoyer un délai d'envoi
de l'alerte après sa détection pour chaque type d'alerte. Vous pouvez configurer des alertes dans
Configurer (Configure) > Alertes et notifications (Alerts and Notifications).

Note Si vous êtes connecté à l'aide d'un ID d'utilisateur disposant de privilèges de support client,
vous ne pourrez voir que les objets SD-WAN Orchestrator. Vous ne pourrez pas créer d'objets ni
configurer/mettre à jour des objets existants.

Surveiller les événements

La page Événements (Events) du panneau de navigation affiche les événements générés par
SD-WAN Orchestrator. Ces événements peuvent vous aider à déterminer l'état opérationnel du
système VMware.

Vous pouvez cliquer sur le lien vers un lien Événements (Events) affiché sur la page Événements
(Events) pour afficher plus de détails.

VMware, Inc. 77
Guide d'administration de VMware SD-WAN

La fonctionnalité d'événements (Events) est utile pour obtenir les informations suivantes :

n Piste d'audit de l'activité de l'utilisateur [filtrer par utilisateur]

n Enregistrement historique de l'activité sur un site donné [filtrer par site]

n Enregistrement des coupures et des événements réseau significatifs [filtrer par événement]

n Analyse des performances d'ISP dégradées [filtrer par période]

Restauration automatique vers la dernière configuration correcte

connue
Si un administrateur modifie les configurations des périphériques qui provoquent la déconnexion
du dispositif Edge d'Orchestrator, il obtient une alerte Dispositif Edge hors service (Edge Down).
Une fois que le dispositif Edge détecte qu'il ne peut pas accéder à SD-WAN Orchestrator, il se
restaure dans la dernière configuration connue et génère un événement « configuration incorrecte
(bad configuration) » sur Orchestrator.

La durée de restauration, qui est le temps nécessaire pour détecter une configuration incorrecte et
appliquer la dernière configuration correcte connue d'un dispositif Edge autonome, est comprise
entre 5 et 6 minutes. Pour les dispositifs Edge HA, la restauration dure entre 10 et 12 minutes.

Note Cette fonctionnalité restaure uniquement les paramètres de périphérique au niveau du

dispositif Edge. Si la configuration est envoyée à partir du profil, ce qui entraîne la mise hors ligne
de plusieurs dispositifs Edge depuis Orchestrator, les dispositifs Edge consignent des événements
« configuration incorrecte (bad configuration) » et restaurent la dernière configuration correcte
connue. IMPORTANT : l'administrateur est responsable de la résolution du profil en conséquence.
La configuration du profil ne se restaure pas automatiquement.

VMware, Inc. 78
Guide d'administration de VMware SD-WAN

Surveiller les rapports

Le tableau de bord Surveillance (Monitoring) du portail d'entreprise permet de générer des
rapports contenant un résumé de réseau général, ainsi que des informations sur la distribution
de trafic et de transport de SD-WAN. Les rapports permettent d'analyser votre réseau.

Note Les rapports sont consacrés aux analyses descriptives et ne peuvent pas être utilisés à
des fins de dépannage. En outre, ces rapports ne sont pas des tableaux de bord qui reflètent les
données en temps réel du réseau.

Sur le portail d'entreprise, cliquez sur Surveiller (Monitor) > Rapports (Reports).

Pour créer un rapport :

1 Dans la fenêtre Rapports (Reports), cliquez sur Nouveau rapport (New Report).

2 Dans la fenêtre Nouveau rapport (New Report), entrez un nom descriptif pour le rapport et
choisissez les dates de début et de fin.

3 Cliquez sur Créer (Create).

Note Vous ne pouvez générer un rapport que pour une durée de 14 jours et pour un maximum
de 600 dispositifs Edge. La génération du rapport expire après 3 heures. Le tableau Rapports
(Reports) ne conserve que les 10 derniers rapports.

L'état (Status) de la génération du rapport s'affiche dans la fenêtre. Une fois que vous avez
terminé, vous pouvez télécharger le rapport en cliquant sur le lien Terminé (Completed).

VMware, Inc. 79
Guide d'administration de VMware SD-WAN

La fenêtre Télécharger le rapport (Download Report) fournit les options suivantes :

Vous pouvez télécharger le rapport au format PDF qui fournit un résumé général de la distribution
de trafic et de transport, représenté sous la forme d'un graphique en secteurs. Ce rapport fournit
également la liste des 10 principales applications par type de trafic et de transport.

Vous pouvez choisir de télécharger les rapports par distribution de transport ou de trafic, sous
forme de fichier CSV.

n Le rapport sur la distribution de transport affiche les détails de l'heure, du type de transport,
des applications, du nom et de la description des dispositifs Edge, ainsi que les octets envoyés
et reçus.

n Le rapport sur la distribution de trafic affiche les détails de l'heure, du chemin de flux, des
applications, du nom et de la description des dispositifs Edge, ainsi que les octets envoyés et
reçus.

VMware, Inc. 80
Surveiller l'entreprise à l'aide de
la nouvelle interface utilisateur
d'Orchestrator
7
VMware permet à un utilisateur d'entreprise de surveiller les événements et les services à l'aide
d'un portail repensé.

Pour accéder au nouveau portail :

1 Dans le portail d'entreprise, cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator
(Open New Orchestrator UI).

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle.

3 L'interface utilisateur s'ouvre dans un nouvel onglet affichant les options de surveillance.

4 Vous pouvez explorer chaque option de surveillance et cliquer sur les graphiques pour afficher
des rapports d'exploration plus détaillés.

Chaque fenêtre de surveillance comprend les options suivantes :

n Rechercher (Search) : entrez un terme pour rechercher des détails spécifiques. Cliquez sur
l'icône Filtre pour filtrer la vue selon un critère spécifique.

n Colonne (Column) : cliquez dessus et sélectionnez les colonnes à afficher ou à masquer dans la
vue.

VMware, Inc. 81
Guide d'administration de VMware SD-WAN

n Actualiser (Refresh) : cliquez dessus pour actualiser les détails affichés avec les données les
plus récentes.

Ce chapitre contient les rubriques suivantes :

n Surveiller la présentation du réseau

n Surveiller les dispositifs Edge

n Surveiller les services réseau

n Surveiller les détails du routage

n Surveiller les alertes

n Surveiller les événements

n Rapports d'entreprise

Surveiller la présentation du réseau

La présentation du réseau affiche le résumé général du réseau, comme les dispositifs Edge
activés, les liaisons, les principales applications et d'autres données configurées.

Pour afficher le résumé de la présentation du réseau :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Présentation du réseau (Network Overview).

Résultats

La page Présentation du réseau (Network Overview) affiche le résumé du réseau.

VMware, Inc. 82
Guide d'administration de VMware SD-WAN

La fenêtre affiche les détails suivants :

Option Description

Dispositifs Edge activés (Activated Edges) Affiche le nombre de dispositifs Edge et de

Hubs connectés, dégradés et inactifs, ainsi qu'une
représentation graphique. Cliquez sur le lien d'accès à un
nombre, et les détails des dispositifs Edge ou des Hubs
correspondants s'affichent dans le panneau inférieur.
Dans celui-ci, cliquez sur le lien d'accès au dispositif
Edge ou au nom de cluster pour accéder aux onglets
correspondants.

Liaisons (Links) Affiche le nombre de liaisons et de liaisons de

Hubs stables, dégradées et inactives, ainsi qu'une
représentation graphique. Cliquez sur le lien d'accès à un
nombre, et les détails des liaisons ou des liaisons de Hubs
correspondantes s'affichent dans le panneau inférieur.
Dans celui-ci, cliquez sur le lien d'accès au nom du Hub
afin d'accéder à l'onglet correspondant.

Applications principales par volume de données (Top Affiche les 10 principales applications triées par volume de
Apps by Data Volume) données.

Dispositifs Edge principaux par volume de données (Top Affiche les 10 principaux dispositifs Edge triés par volume
Edges by Data Volume) de données.

Profils (Profiles) Affiche les détails des profils utilisés et inutilisés.

VMware, Inc. 83
Guide d'administration de VMware SD-WAN

Option Description

Segments Affiche les détails des segments activés et autres.

Version logicielle (Software Version) Affiche les détails des versions logicielles des dispositifs
Edge, qui sont à jour et obsolètes.

Dispositifs Edge avec VNF activé (Edges with Enabled Affiche le nombre de dispositifs Edge activés avec VNF,
VNF) dont l'état est Erreur (Error), Inactif ( Off) et Actif (On).

Dispositifs Edge avec paire A-S activée (Edges with Affiche le nombre de dispositifs Edge activés comme paire
Enabled A-S Pair) Actif-En veille, dont l'état est En échec (Failed), En attente
(Pending) et Prêt (Ready).

Destinations non SD-WAN via une passerelle (Non SD- Affiche le nombre de destinations non SD-WAN
WAN Destinations via Gateway) connectées et hors ligne.

Pour afficher plus de détails, passez la souris sur les graphiques.

Surveiller les dispositifs Edge

Vous pouvez surveiller l'état des dispositifs Edge et afficher les détails de chaque dispositif Edge,
par exemple les liaisons WAN, les applications principales utilisées par les dispositifs Edge, les
données d'utilisation via les sources réseau et les destinations du trafic, la priorité d'entreprise du
trafic réseau, les informations système, les détails des passerelles connectées au dispositif Edge,
etc.

Pour surveiller les détails du dispositif Edge :

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.
La page affiche les détails des dispositifs Edge tels que l'état, les liaisons, les passerelles et
d'autres informations.

VMware, Inc. 84
Guide d'administration de VMware SD-WAN

Vous pouvez utiliser l'option Rechercher (Search) pour afficher des dispositifs Edge spécifiques.
Cliquez sur l'icône Filtre (Filter) dans l'option Rechercher (Search) pour définir un critère et afficher
les détails du dispositif Edge filtrés par Nom du dispositif Edge (Edge Name), État (Status),
Date de création (Created Date), Numéro de série (Serial Number), Informations personnalisées
(Custom Info), etc.

Vous pouvez cliquer sur le lien d'accès à l'option Afficher (View) dans la colonne Passerelles
(Gateways) pour afficher les détails des passerelles connectées au dispositif Edge correspondant.

Cliquez sur le lien d'accès à un dispositif Edge pour afficher les détails relatifs au dispositif Edge
sélectionné. Cliquez sur les onglets pertinents pour afficher les informations correspondantes.
Chaque onglet affiche une liste déroulante en haut qui permet de sélectionner une période
spécifique. L'onglet affiche les détails de la durée sélectionnée.

Certains onglets fournissent la liste déroulante des paramètres de mesures. Vous pouvez choisir
les mesures dans la liste pour afficher les données correspondantes. Le tableau suivant répertorie
les mesures disponibles :

Option des mesures Description

Débit moyen (Average Throughput) Nombre total d'octets dans une direction donnée divisé
par la durée totale. La durée totale correspond à la
périodicité des statistiques téléchargées à partir du
dispositif Edge. Par défaut, la périodicité dans SD-WAN
Orchestrator est de 5 minutes.

Nombre total d'octets (Total Bytes) Nombre total d'octets envoyés et reçus lors d'une session
réseau.

Octets reçus/envoyés (Bytes Received/Sent) Détails du fractionnement du nombre d'octets envoyés et

reçus lors d'une session réseau.

Nombre total de paquets (Total Packets) Nombre total de paquets envoyés et reçus lors d'une
session réseau.

Paquets reçus/envoyés (Packets Received/Sent) Détails du fractionnement du nombre de paquets envoyés

et reçus lors d'une session réseau.

Bande passante (Bandwidth) Débit maximal de transfert de données sur un chemin

donné. Affiche les détails de la bande passante en amont
et en aval.

Latence (Latency) Durée de transmission d'un paquet sur le réseau, de la

source à la destination. Affiche les détails de la latence en
amont et en aval.

Gigue (Jitter) Variation du retard des paquets reçus provoquée par

une congestion du réseau ou des modifications de route.
Affiche les détails de la gigue en amont et en aval.

Perte de paquets (Packet loss) La perte de paquets se produit lorsqu'un ou plusieurs

paquets ne parviennent pas à atteindre la destination
prévue. Un paquet perdu est calculé lorsqu'un numéro de
séquence de chemin est manqué et qu'il ne parvient pas
dans la fenêtre de reséquencement. Un paquet « très en
retard » est compté comme paquet perdu.

VMware, Inc. 85
Guide d'administration de VMware SD-WAN

Pour chaque dispositif Edge, vous pouvez afficher les détails suivants :

n Présentation de la surveillance d'un dispositif Edge

n Surveiller les liaisons d'un dispositif Edge

n Surveiller la visibilité des chemins

n Surveiller les applications Edge

n Surveiller les sources Edge

n Surveiller les destinations d'un dispositif Edge

n Surveiller les priorités d'entreprise d'un dispositif Edge

n Surveiller les informations système d'un dispositif Edge

n Surveiller les passerelles connectées aux dispositifs Edge

Présentation de la surveillance d'un dispositif Edge

L'onglet Présentation (Overview) d'un dispositif Edge dans le tableau de bord de surveillance
affiche les détails des liaisons WAN, ainsi que la consommation de la bande passante et l'utilisation
du réseau.

Pour afficher les informations d'un dispositif Edge :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

4 Cliquez sur le lien d'accès à un dispositif Edge et l'onglet Présentation (Overview) s'affiche par
défaut.

Résultats

L'onglet Présentation (Overview) affiche les détails des liaisons avec l'état et la consommation de
bande passante.

VMware, Inc. 86
Guide d'administration de VMware SD-WAN

Vous pouvez choisir d'afficher les informations d'un dispositif Edge en direct à l'aide de l'option
Mode direct (Live Mode). Lorsque ce mode est actif, la surveillance en direct du dispositif Edge
se produit et les données de la page sont mises à jour à chaque modification. Le mode direct
est automatiquement déplacé vers le mode hors ligne après une certaine période pour réduire la
charge du réseau.

La section État des liaisons (Links Status) affiche les détails des liaisons ; État de la liaison (Link
Status), Interface WAN (WAN Interface), Débit (Throughput), Bande passante (Bandwidth), Signal,
Latence (Latency), Gigue (Jitter) et Perte de paquets (Packet Loss). Pour plus d'informations sur
les paramètres, reportez-vous à la section Surveiller les dispositifs Edge.

La section Consommateurs principaux (Top Consumers) affiche la représentation graphique de

l'utilisation de la bande passante et du réseau des éléments suivants : Applications, Catégories
(Categories), Systèmes d'exploitation (Operating Systems), Sources et Destinations des dispositifs
Edge (Destinations of the Edges). Cliquez sur Afficher les détails (View Details) dans chaque
panneau pour accéder à l'onglet correspondant et afficher plus de détails.

Pour afficher plus de détails, passez la souris sur les graphiques.

Note La quantité minimale de consommation de données pour le trafic de contrôle SD-WAN sur
une liaison est de 1,5 à 2 Go par mois en fonction du nombre de chemins.

Surveiller les liaisons d'un dispositif Edge

Vous pouvez surveiller les liaisons WAN connectées à un dispositif Edge spécifique, avec l'état, les
détails de l'interface et d'autres mesures.

Pour afficher les détails des liaisons et des groupes de transport utilisés par le trafic :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

VMware, Inc. 87
Guide d'administration de VMware SD-WAN

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

4 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Liaisons (Links).

Résultats

L'onglet Liaisons (Links) affiche les détails des liaisons WAN connectées au dispositif Edge
sélectionné.

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
liaisons utilisées pour la durée sélectionnée.

Cliquez sur Groupes de transport (Transport Groups) pour afficher les liaisons regroupées dans
l'une des catégories suivantes : Liaison filaire publique (Public Wired), Liaison sans fil publique
(Public Wireless) ou Liaison filaire privée (Private Wired).

Vous pouvez choisir d'afficher les informations en direct à l'aide de l'option Mode direct (Live
Mode). Lorsque ce mode est actif, vous pouvez afficher la surveillance en direct des liaisons et des
groupes de transport.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné. Pour plus d'informations sur les paramètres de mesures, reportez-vous à la section
Surveiller les dispositifs Edge.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Pour afficher plus de détails, passez la souris sur les graphiques.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les liaisons ou les groupes
de transport. Vous pouvez afficher les détails d'un maximum de 4 liaisons simultanément.

Cliquez sur la flèche avant le nom de la liaison ou le groupe de transport pour afficher les détails
du fractionnement. Pour afficher des rapports d'exploration avec plus de détails, cliquez sur les
liens affichés dans la colonne Mesures (Metrics).

VMware, Inc. 88
Guide d'administration de VMware SD-WAN

L'image suivante montre un rapport détaillé des groupes de transport avec les principales
applications et liaisons.

Cliquez sur la flèche en regard de l'option Applications principales (Top Applications) pour
accéder à l'onglet Applications.

Surveiller la visibilité des chemins

Le chemin est un tunnel entre deux points de terminaison. La visibilité des chemins est un rapport
sur l'utilisation et la qualité des chemins entre un dispositif Edge et ses homologues SD-WAN.
SD-WAN Orchestrator permet à un utilisateur d'entreprise de surveiller la visibilité des chemins à
l'aide du tableau de bord de surveillance.

Pour un dispositif Edge sélectionné, vous pouvez surveiller les informations de chemin pour les
homologues SD-WAN avec le flux de trafic observé pendant une période spécifique.

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

4 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Chemins (Paths).

VMware, Inc. 89
Guide d'administration de VMware SD-WAN

Résultats

Pour le dispositif Edge sélectionné, l'onglet Chemins affiche les détails des homologues SD-WAN
avec le flux de trafic observé pour la période spécifiée.

Note L'onglet Chemins (Paths) est disponible uniquement pour les dispositifs Edge disposant de
la version 4.0 ou d'une version ultérieure de l'image logicielle.

En haut de la page, vous pouvez choisir une période spécifique pour afficher les informations sur
les chemins du dispositif Edge.

Pour obtenir un rapport d'un homologue SD-WAN au format CSV, sélectionnez l'homologue
SD-WAN et cliquez sur Exporter les statistiques des chemins (Export Path Statistics).

Cliquez sur le lien d'accès à un homologue SD-WAN pour afficher les détails du chemin
correspondant comme suit :

n Tous les homologues SD-WAN avec un trafic observé au cours de la période sélectionnée

n État des chemins disponibles pour un homologue sélectionné

n Score de qualité global des chemins d'un homologue sélectionné pour la vidéo, la voix et le
trafic transactionnel

n Données de séries chronologiques pour chaque chemin par mesures telles que : débit,
latence, perte de paquets, gigue, etc. Pour plus d'informations sur les paramètres, reportez-
vous à la section Surveiller les dispositifs Edge.

VMware, Inc. 90
Guide d'administration de VMware SD-WAN

Les données de séries chronologiques des mesures s'affichent au format graphique. Vous pouvez
sélectionner et afficher les détails d'un maximum de 4 chemins simultanément.

Pour afficher plus de détails, passez la souris sur les graphiques.

Vous pouvez choisir les mesures dans la liste déroulante pour afficher les informations graphiques
correspondantes. Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis
evenly) est activée. Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous
pouvez désactiver cette option.

Cliquez sur la flèche vers le bas (DOWN) dans le volet Score de qualité (Quality Score) en haut,
pour afficher le score des chemins en fonction des types de trafic.

Vous pouvez cliquer sur un homologue SD-WAN affiché dans le volet de gauche pour afficher les
détails du chemin correspondant.

Surveiller les applications Edge

Vous pouvez surveiller l'utilisation réseau des applications ou des catégories d'applications
utilisées par un dispositif Edge spécifique.

Pour afficher les détails des applications ou des catégories d'applications :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

4 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Applications.

VMware, Inc. 91
Guide d'administration de VMware SD-WAN

Résultats

L'onglet Applications affiche les détails des applications utilisées par le dispositif Edge
sélectionné.

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
applications utilisées pendant la durée sélectionnée.

Cliquez sur Catégories (Categories) pour afficher les applications similaires regroupées en
catégories.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné. Pour plus d'informations sur les paramètres de mesures, reportez-vous à la section
Surveiller les dispositifs Edge.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Pour afficher plus de détails, passez la souris sur les graphiques.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les applications ou les
catégories. Vous pouvez sélectionner et afficher les détails d'un maximum de 4 applications
simultanément.

Pour afficher des rapports d'exploration avec plus de détails, cliquez sur les liens affichés dans la
colonne Mesures (Metrics).

L'image suivante montre un rapport détaillé des principales applications.

VMware, Inc. 92
Guide d'administration de VMware SD-WAN

Cliquez sur les flèches affichées en regard de l'option Groupes de transport (Transport Groups),
Principaux périphériques (Top Devices) ou Destinations principales (Top Destinations) pour
accéder aux onglets correspondants.

Surveiller les sources Edge

Vous pouvez surveiller l'utilisation des périphériques et des systèmes d'exploitation sur le réseau
pour un dispositif Edge spécifique.

Pour afficher les détails des périphériques et des systèmes d'exploitation :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

4 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Sources.

Résultats

L'onglet Sources affiche les détails des périphériques clients utilisés par le dispositif Edge
sélectionné.

VMware, Inc. 93
Guide d'administration de VMware SD-WAN

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des clients
utilisés pour la durée sélectionnée.

Cliquez sur Systèmes d'exploitation (Operating Systems) pour afficher le rapport en fonction des
systèmes d'exploitation utilisés dans les périphériques.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné. Pour plus d'informations sur les paramètres de mesures, reportez-vous à la section
Surveiller les dispositifs Edge.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Pour afficher plus de détails, passez la souris sur les graphiques.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les périphériques ou
les systèmes d'exploitation. Vous pouvez sélectionner et afficher les détails d'un maximum de
4 périphériques clients simultanément.

Pour afficher des rapports d'exploration avec plus de détails, cliquez sur les liens affichés dans la
colonne Mesures (Metrics).

L'image suivante montre un rapport détaillé des clients principaux.

VMware, Inc. 94
Guide d'administration de VMware SD-WAN

Cliquez sur les flèches affichées en regard de l'option Applications principales (Top Applications)
ou Destinations principales (Top Destinations).

Surveiller les destinations d'un dispositif Edge

Vous pouvez surveiller les données d'utilisation du réseau des destinations du trafic réseau.

Pour afficher les détails des destinations :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

4 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Destinations.

Résultats

L'onglet Destinations affiche les détails des destinations du trafic réseau pour le dispositif Edge
sélectionné.

VMware, Inc. 95
Guide d'administration de VMware SD-WAN

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
destinations utilisées pendant la durée sélectionnée.

Vous pouvez afficher le rapport des destinations par Domaine (Domain), Nom de domaine
complet (FQDN) ou Adresse IP (IP address). Cliquez sur le type pertinent pour afficher les
informations correspondantes.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné. Pour plus d'informations sur les paramètres de mesures, reportez-vous à la section
Surveiller les dispositifs Edge.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Pour afficher plus de détails, passez la souris sur les graphiques.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les destinations selon le
type sélectionné. Vous pouvez sélectionner et afficher les détails d'un maximum de 4 destinations
simultanément.

Pour afficher des rapports d'exploration avec plus de détails, cliquez sur les liens affichés dans la
colonne Mesures (Metrics).

L'image suivante montre un rapport détaillé des principales destinations.

VMware, Inc. 96
Guide d'administration de VMware SD-WAN

Cliquez sur les flèches affichées en regard de l'option Applications principales (Top Applications)
ou Principaux périphériques (Top Devices).

Surveiller les priorités d'entreprise d'un dispositif Edge

Vous pouvez surveiller les caractéristiques de la stratégie d'entreprise en fonction de la priorité et
des données d'utilisation du réseau associées pour un dispositif Edge spécifique.

Pour afficher les détails des priorités d'entreprise du trafic réseau :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

4 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Priorité d'entreprise
(Business Priority).

Résultats

L'onglet Priorité d'entreprise (Business Priority) affiche les détails des priorités du trafic réseau
pour le dispositif Edge sélectionné.

VMware, Inc. 97
Guide d'administration de VMware SD-WAN

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
priorités pour la durée sélectionnée.

Choisissez les mesures dans la liste déroulante pour afficher les détails relatifs au paramètre
sélectionné. Pour plus d'informations sur les paramètres de mesures, reportez-vous à la section
Surveiller les dispositifs Edge.

Par défaut, la case Mettre à l'échelle l'axe Y uniformément (Scale Y-axis evenly) est activée.
Cette option synchronise l'axe Y entre les graphiques. Si nécessaire, vous pouvez désactiver cette
option.

Pour afficher plus de détails, passez la souris sur les graphiques.

Le panneau inférieur affiche les détails des mesures sélectionnées pour les priorités d'entreprise.

Surveiller les informations système d'un dispositif Edge

Vous pouvez afficher l'utilisation détaillée du réseau par le système pour un dispositif Edge
spécifique.

Pour afficher les détails des informations système :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

4 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Système (System).

Résultats

L'onglet Système (System) affiche les détails de l'utilisation du réseau par le système pour le
dispositif Edge sélectionné.

VMware, Inc. 98
Guide d'administration de VMware SD-WAN

Cette page affiche la représentation graphique des détails d'utilisation des éléments suivants
pendant la durée de la période sélectionnée, ainsi que les valeurs minimale, maximale et
moyenne.

n Utilisation du CPU (CPU Utilization) : pourcentage d'utilisation du CPU.

n Utilisation de la mémoire (Memory Utilization) : pourcentage d'utilisation de la mémoire.

n Nombre de flux (Flow Count) : nombre de flux de trafic.

n Handoff Queue Drops : nombre total de paquets abandonnés à partir d'une file d'attente
depuis le dernier redémarrage du dispositif Edge. Des abandons occasionnels sont attendus,
généralement causés par une grande rafale de trafic. Toutefois, une augmentation constante
du nombre de Handoff Queue Drops indique généralement un problème de capacité du
dispositif Edge.

n Nombre de tunnels (Tunnel Count) : nombre de sessions du tunnel.

Pour afficher plus de détails, passez la souris sur les graphiques.

Surveiller les passerelles connectées aux dispositifs Edge

Vous pouvez afficher les détails des passerelles connectées à un dispositif Edge spécifique.

Pour afficher les passerelles :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.

VMware, Inc. 99
Guide d'administration de VMware SD-WAN

4 Cliquez sur le lien d'accès à un dispositif Edge et cliquez sur l'onglet Passerelles (Gateways).

Résultats

L'onglet Passerelles (Gateways) affiche les détails des passerelles connectées au dispositif Edge
sélectionné.

En haut de la page, vous pouvez choisir une période spécifique pour afficher les détails des
passerelles connectées pour la durée sélectionnée.

La page affiche les détails suivants :

n Nom (Name) : nom de la passerelle. Cliquez sur le lien d'accès à un nom pour afficher plus de
détails de la passerelle.

n Adresse IP (IP Address) : adresse IP de la passerelle.

n État (Status) : état du service de la passerelle. L'état peut être l'un des suivants : En service (In
Service), Hors service (Out of Service) ou Suspendu (Quiesced).

n CPU : pourcentage d'utilisation du CPU par la passerelle.

n Mémoire (Memory) : pourcentage d'utilisation de la mémoire par la passerelle.

n Dispositifs Edge connectés (Connected Edges) : nombre de dispositifs Edge connectés à la

passerelle.

n Utilisation (Usage) – Description du mode d'utilisation de la passerelle dans le réseau.

Vous pouvez également trier le rapport en cliquant sur l'en-tête de chaque colonne. Vous pouvez
utiliser l'icône Filtre (Filter) affichée en regard de l'en-tête pour filtrer les détails selon le nom de
passerelle ou l'adresse IP spécifique.

Surveiller les services réseau

Vous pouvez afficher les détails des services réseau configurés pour une entreprise.

Pour afficher les détails des services réseau :

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

VMware, Inc. 100

Guide d'administration de VMware SD-WAN

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Services réseau (Network Services).

Vous pouvez afficher les détails de configuration des services réseau suivants :

n Surveiller des destinations non-SD-WAN via une passerelle

n Surveiller les sites du service de sécurité cloud

n Surveiller les clusters Edge

n Surveiller les VNF d'un dispositif Edge

Surveiller des destinations non-SD-WAN via une passerelle

Vous pouvez afficher les destinations non-SD-WAN configurées avec les passerelles VPN, les
sous-réseaux de site et d'autres détails de configuration.

Pour afficher les destinations non-SD-WAN configurées :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Services réseau (Network Services). L'onglet Destinations non-SD-WAN via une
passerelle (Non SD-WAN Destinations via Gateway) s'affiche.

Résultats

L'onglet Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway) affiche les détails des destinations non-SD-WAN déjà configurées. Pour configurer les
destinations non-SD-WAN via une passerelle, reportez-vous à la section Configurer une instance
de Non VMware SD-WAN Site.

VMware, Inc. 101

Guide d'administration de VMware SD-WAN

La page affiche les détails suivants : nom de la destination non-WAN, adresse IP publique, état de
la destination non-SD-WAN, état du tunnel, nombre de profils et de dispositifs Edge qui utilisent la
destination non-SD-WAN et la date et l'heure du dernier contact.

Vous pouvez également trier le rapport en cliquant sur l'en-tête de chaque colonne. Vous pouvez
utiliser l'icône Filtre (Filter) affichée en regard de l'en-tête pour filtrer les détails selon le nom,
l'adresse IP ou l'état spécifique.

Cliquez sur une destination non-SD-WAN pour afficher les détails suivants dans le panneau
inférieur :

n Général (General) : affiche le nom, le type, l'adresse IP et les paramètres de tunnel des
passerelles VPN principale et secondaire, les détails de l'emplacement et les détails du sous-
réseau de site.

n Configuration IKE/IPsec (IKE/IPSec Configuration) : cliquez sur l'onglet pour afficher un

exemple de modèle de configuration pour les passerelles VPN principale et secondaire. Vous
pouvez copier le modèle et personnaliser les paramètres selon vos besoins.

n Événements (Events) : cliquez sur l'onglet pour afficher les événements associés à la
destination non-SD-WAN sélectionnée. Cliquez sur la flèche affichée dans la première colonne
pour afficher plus de détails d'un événement.

Surveiller les sites du service de sécurité cloud

Vous pouvez afficher les détails des services de sécurité cloud configurés pour l'entreprise.

Pour surveiller les services de sécurité cloud :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

VMware, Inc. 102

Guide d'administration de VMware SD-WAN

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Services réseau (Network Services) > Sites du service de sécurité cloud (Cloud
Security Service Sites).

Résultats

L'onglet Sites du service de sécurité cloud (Cloud Security Service Sites) affiche les services de
sécurité cloud déjà configurés. Pour configurer un service de sécurité cloud, reportez-vous à la
section Service de sécurité cloud.

La page affiche les détails suivants : nom, type, adresse IP, état du service de sécurité cloud, état
du dispositif Edge utilisant le service de sécurité cloud, date et heure de modification de l'état et
nombre d'événements.

Vous pouvez également trier le rapport en cliquant sur l'en-tête de chaque colonne. Vous pouvez
utiliser l'icône Filtre (Filter) affichée en regard de l'en-tête pour filtrer les détails par nom, type,
adresse IP ou état spécifique.

Cliquez sur un service de sécurité cloud pour afficher les événements associés, ainsi que l'adresse
IP et l'état, dans le panneau inférieur.

Surveiller les clusters Edge

Vous pouvez afficher les détails des clusters Edge configurés et les données d'utilisation.

Pour afficher les détails des clusters Edge :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Services réseau (Network Services) > Clusters Edge (Edge Clusters).

VMware, Inc. 103

Guide d'administration de VMware SD-WAN

Résultats

L'onglet Clusters Edge (Edge Clusters) affiche les détails des clusters Edge déjà configurés. Pour
configurer les clusters, reportez-vous à la section Configurer le clustering de dispositifs Edge.

La page affiche les détails suivants : nom du cluster Edge, dispositifs Edge disponibles dans le
cluster, pourcentage d'utilisation du CPU et de la mémoire, nombre de tunnels, nombre de flux et
nombre d'abandons de files d'attente de transfert.

Surveiller les VNF d'un dispositif Edge

Vous pouvez afficher les détails de VNF configurées d'un dispositif Edge et l'état de la VM.

Pour afficher les VNF d'un dispositif Edge :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Services réseau (Network Services) > VNF d'Edge (Edge VNFs).

Résultats

L'onglet VNF d'Edge (Edge VNFs) affiche les détails des VNF déjà configurées. Pour configurer
une VNF sur un dispositif Edge, reportez-vous à la section VNF de sécurité.

La page affiche les détails suivants : nom du service VNF, nombre de dispositifs Edge qui utilisent
la VNF et état de la VM.

VMware, Inc. 104

Guide d'administration de VMware SD-WAN

Cliquez sur une VNF pour afficher les détails de déploiement de VNF d'un dispositif Edge
correspondants.

Surveiller les détails du routage

Vous pouvez afficher les services de routage configurés dans l'entreprise.

Pour afficher les détails des services de routage configurés :

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Routage (Routing).

Vous pouvez afficher les détails des services de routage suivants :

n Surveiller des groupes de multidiffusion

n Surveiller les voisins PIM

n Surveiller l'état des voisins de dispositifs Edge BGP

n Surveiller BFD

n Surveiller l'état des voisins de passerelles BGP

Surveiller des groupes de multidiffusion

Vous pouvez afficher les groupes de multidiffusion configurés pour l'entreprise.

Pour afficher les groupes de multidiffusion :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Routage (Routing). L'onglet Groupes de multidiffusion (Multicast Groups)

s'affiche.

Résultats

L'onglet Groupes de multidiffusion (Multicast Groups) affiche les détails des paramètres de
groupes de multidiffusion déjà configurés. Pour configurer des groupes de multidiffusion,
reportez-vous à la section Configurer les paramètres de multicast.

VMware, Inc. 105

Guide d'administration de VMware SD-WAN

La page affiche les détails suivants : adresse du groupe de multidiffusion, segment qui comporte
le groupe de multidiffusion, adresse IP source, adresse RP, nombre de dispositifs Edge dans le
groupe de multidiffusion, période de création et période de dernière mise à jour.

Cliquez sur un groupe de multidiffusion pour afficher les détails des dispositifs Edge du groupe,
ainsi que les informations en amont et en aval. Cliquez sur Afficher les voisins PIM (View PIM
Neighbors) pour afficher les détails des voisins PIM connectés à un dispositif Edge spécifique.

Surveiller les voisins PIM

Vous pouvez afficher les détails des dispositifs Edge et des voisins PIM disponibles dans les
groupes de multidiffusion.

Pour afficher les voisins PIM :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Routage (Routing) > Voisins PIM (PIM Neighbors).

Résultats

L'onglet Voisins PIM (PIM Neighbors) affiche les dispositifs Edge disponibles dans les groupes de
multidiffusion.

VMware, Inc. 106

Guide d'administration de VMware SD-WAN

Sélectionnez un dispositif Edge pour afficher les voisins PIM connectés au dispositif Edge.
La section Voisins PIM (PIM Neighbors) affiche les détails suivants : segment du groupe de
multidiffusion, nom du dispositif Edge, détails de l'interface, adresse IP du voisin, date et heure de
création et de dernière mise à jour.

Surveiller l'état des voisins de dispositifs Edge BGP

Vous pouvez afficher les détails des voisins BGP connectés à des dispositifs Edge.

Pour afficher les voisins BGP connectés aux dispositifs Edge :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Routage (Routing) > État des voisins de dispositifs Edge (BGP Edge Neighbor
State).

Résultats

L'onglet État des voisins de dispositifs Edge (BGP Edge Neighbor State) affiche les dispositifs
Edge connectés en tant que voisins BGP, lorsque vous avez configuré les paramètres BGP sur les
dispositifs Edge.

VMware, Inc. 107

Guide d'administration de VMware SD-WAN

La page affiche les détails suivants : nom du dispositif Edge, adresse IP du voisin, état du
voisin, date et heure de modification de l'état, nombre de messages reçus et envoyés, nombre
d'événements, durée pendant laquelle le voisin BGP est actif/inactif et nombre de préfixes reçus.

Cliquez sur un nom de dispositif Edge pour afficher les détails de l'événement correspondant. La
section Événements de modification d'état associés (Related State Change Events) affiche la
modification de l'état et d'autres détails du dispositif Edge sélectionné.

Surveiller BFD
Vous pouvez afficher les sessions BFD sur les dispositifs Edge et les passerelles.

Pour afficher les sessions BFD :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Routage (Routing) > BFD.

Résultats

L'onglet BFD affiche les détails de sessions BFD déjà configurées. Pour configurer BFD, reportez-
vous à la section Configurer BFD.

VMware, Inc. 108

Guide d'administration de VMware SD-WAN

La page affiche les détails suivants pour les dispositifs Edge et les passerelles : nom du dispositif
Edge ou de la passerelle, nom du segment, adresse IP de l'homologue, adresse IP locale, état de
la session BFD, temporisateurs distants et locaux, nombre d'événements et durée de la session
BFD.

Cliquez sur le lien d'accès à un numéro d'événement pour afficher les détails de fractionnement
des événements.

Surveiller l'état des voisins de passerelles BGP

Vous pouvez afficher les détails des voisins BGP connectés à des passerelles.

Pour afficher les voisins BGP connectés à des passerelles :

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Routage (Routing) > État des voisins de passerelles BGP (BGP Gateway
Neighbor State).

Résultats

L'onglet État des voisins de passerelles BGP (BGP Gateway Neighbor State) affiche les détails
des passerelles connectées aux voisins BGP.

VMware, Inc. 109

Guide d'administration de VMware SD-WAN

La page affiche les détails suivants : nom de la passerelle, adresse IP du voisin BGP, état du
voisin, date et heure de modification de l'état, nombre de messages reçus et envoyés, nombre
d'événements, durée pendant laquelle le voisin BGP est actif/inactif et nombre de préfixes reçus.

Cliquez sur un nom de passerelle pour afficher les détails de l'événement correspondant. La
section Événements de modification d'état associés (Related State Change Events) affiche la
modification de l'état et d'autres détails de la passerelle sélectionnée.

Surveiller les alertes

SD-WAN Orchestrator permet de configurer les alertes qui informent les administrateurs
d'entreprise ou d'autres utilisateurs du support technique lorsqu'un événement se produit.

Conditions préalables

Assurez-vous que vous avez configuré les alertes pertinentes, ainsi que le délai de notification,
dans Configurer (Configure) > Alertes et notifications (Alerts & Notifications). Reportez-vous à la
section Chapitre 21 Configurer les alertes.

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Alertes (Alerts).

Résultats

La fenêtre Alertes (Alerts) affiche les alertes reçues pour différents types d'événements :

VMware, Inc. 110

Guide d'administration de VMware SD-WAN

Vous pouvez choisir une période spécifique dans la liste déroulante pour afficher les alertes de la
durée sélectionnée.

Pour afficher les détails d'alertes spécifiques, vous pouvez utiliser l'option de filtre. Cliquez sur
l'icône Filtre (Filter) dans l'option Rechercher (Search) pour définir les critères. Vous pouvez
également choisir d'inclure les alertes d'opérateur.

La fenêtre Alertes (Alerts) affiche les détails suivants :

Option Description

Heure de déclenchement (Trigger Time) Heure à laquelle l'alerte a été déclenchée.

Heure de notification (Notification Time) Heure à laquelle l'opérateur ou le client a reçu l'alerte.
L'heure de notification dépend du délai configuré sur la
page Alertes et notifications (Alerts & Notifications).

Catégorie (Category) Indique si l'alerte est reçue par l'opérateur ou par le client.

Type Affiche le type d'alerte.

Description Affiche les détails du dispositif Edge ou de la liaison

associés à l'alerte. Cliquez sur le lien affiché dans cette
colonne pour afficher les détails du dispositif Edge ou de la
liaison.

État (Status) État de l'alerte Actif (Active), Fermé (Closed) ou En attente

(Pending).

Surveiller les événements

La page Événements (Events) affiche les événements générés par l'instance de SD-WAN
Orchestrator. Ces événements aident à déterminer l'état opérationnel du système.

Pour afficher la page Événements (Events) :

VMware, Inc. 111

Guide d'administration de VMware SD-WAN

Procédure

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Événements (Events).

Résultats

La page Événements (Events) affiche la liste d'événements.

Vous pouvez choisir une période spécifique dans la liste déroulante pour afficher les événements
de la durée sélectionnée. Cliquez sur le lien d'accès à un nom d'événement pour afficher plus de
détails.

Pour afficher des détails relatifs à des événements spécifiques, vous pouvez utiliser l'option Filtre
(Filter). Cliquez sur l'icône Filtre (Filter) dans l'option Rechercher (Search) pour définir les critères.

La fenêtre Événements (Events) affiche les détails suivants :

Option Description

Événements (Event) Nom de l'événement

Utilisateur (User) Nom de l'utilisateur pour les événements impliquant

l'utilisateur.

Segment Nom du segment pour les événements liés au segment.

Dispositif Edge (Edge) Nom du dispositif Edge pour les événements liés au
dispositif Edge.

VMware, Inc. 112

Guide d'administration de VMware SD-WAN

Option Description

Gravité (Severity) Gravité de l'événement. Les options disponibles sont les

suivantes : Alerte (Alert), Critique (Critical), Débogage
(Debug), Urgence (Emergency), Erreur (Error), Infos (Info),
Remarque (Notice) et Avertissement (Warning).

Heure (Time) Date et heure de l'événement.

Message Brève description de l'événement.

Rapports d'entreprise
VMware vous permet de générer des rapports d'entreprise pour l'analyse de votre réseau.

Vous pouvez générer des rapports incluant toutes les données ou les configurer pour inclure des
données personnalisées. Vous pouvez également créer une planification récurrente pour générer
les rapports pendant la période spécifiée.

Note Par défaut, SD-WAN Orchestrator stocke les rapports 50 à la fois pour une
entreprise. Un opérateur peut modifier le nombre de rapports à l'aide de la propriété système
[Link].

Pour accéder aux rapports d'entreprise :

1 Dans le portail d'entreprise, cliquez sur l'option Ouvrir la nouvelle interface utilisateur
d'Orchestrator (Open New Orchestrator UI) disponible en haut de la fenêtre.

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Rapports (Reports).

Note Vous pouvez également créer et afficher les rapports sur la page Surveiller (Monitor) >
Rapports (Reports) dans le portail d'entreprise. Toutefois, il est recommandé d'utiliser la nouvelle
interface utilisateur d'Orchestrator pour créer des rapports avec des options personnalisables.

Sur la page Rapports (Reports), vous pouvez créer un nouveau rapport, personnaliser le rapport
et planifier la génération d'un rapport pour une période récurrente.

VMware, Inc. 113

Guide d'administration de VMware SD-WAN

Pour plus d'informations, reportez-vous à la section Créer un nouveau rapport d'entreprise.

Créer un nouveau rapport d'entreprise

Vous pouvez générer un rapport d'entreprise consolidé ou configurer les paramètres pour
générer un rapport d'entreprise personnalisé.

Procédure

1 Dans la nouvelle interface utilisateur d'Orchestrator, cliquez sur Rapports (Reports).

2 Sur la page Rapports (Reports), cliquez sur Nouveau rapport (New Report).

3 Sur la page Nouveau rapport (New Report), vous pouvez configurer les paramètres pour
générer un rapport consolidé ou un rapport personnalisé.

VMware, Inc. 114

Guide d'administration de VMware SD-WAN

4 Cliquez sur Rapide (Quick) pour générer un rapport consolidé avec les paramètres affichés
dans le volet Rapport rapide (Quick Report). Par défaut, ce rapport inclut les données des
30 derniers jours, avec les détails de répartition suivants :

n Les 10 principales applications et les 10 principaux dispositifs Edge utilisant chaque

application.

n Consommation de SD-WAN basée sur la distribution du trafic avec les 10 principales

applications pour chaque type de trafic.

n Consommation de SD-WAN basée sur la distribution du transport avec les 10 principales

applications pour chaque type de transport.

5 Dans la fenêtre Envoyer le rapport (Submit Report) qui s'affiche, entrez le nom du rapport,
choisissez le format PDF ou PDF et CSV, puis choisissez d'envoyer le rapport généré par
e-mail et spécifiez les ID d'e-mail. Reportez-vous à la section Envoyer le rapport.

6 Dans la fenêtre Votre rapport est en cours d'envoi (Your Report is on its way) qui s'affiche,
cliquez sur Terminé (Done).

Résultats

Une fois que vous avez envoyé le rapport, les détails du rapport s'affichent avec l'état dans la
fenêtre Rapports (Reports).

Étape suivante

Votre rapport est généré et s'affiche sur la page Rapports (Reports). Reportez-vous à la section
Surveiller les rapports d'entreprise.

Pour générer un rapport personnalisé avec des valeurs spécifiques, reportez-vous à la section
Créer un rapport personnalisé.

Créer un rapport personnalisé

Vous pouvez créer un rapport d'entreprise avec des paramètres personnalisés en spécifiant
l'intervalle de temps, les données requises et les dispositifs Edge.

Procédure

1 Dans la nouvelle interface utilisateur d'Orchestrator, cliquez sur Rapports (Reports).

2 Cliquez sur Nouveau rapport (New Report).

3 Sur la page Nouveau rapport (New Report), cliquez sur Personnalisé (Custom).

VMware, Inc. 115

Guide d'administration de VMware SD-WAN

Étape suivante

Suivez les instructions qui s'affichent à l'écran pour sélectionner les paramètres de configuration
du rapport personnalisé. Reportez-vous à la section Sélectionner une plage de temps.

Sélectionner une plage de temps

Vous pouvez personnaliser un rapport pour une période de temps sélectionnée. En outre, vous
pouvez planifier l'exécution d'un rapport sur une base récurrente.

Procédure

1 Lorsque vous choisissez de personnaliser le rapport d'entreprise et que vous cliquez sur
Personnalisé (Custom) dans Créer un rapport personnalisé, la fenêtre Sélectionner une plage
de temps (Select Time Range) s'affiche.

2 L'option Créer un rapport ponctuel (Create a one-time Report) est sélectionnée par défaut.
Vous pouvez entrer la date de début et de fin pour laquelle le rapport doit être généré ou
choisir la plage de temps dans la liste.

VMware, Inc. 116

Guide d'administration de VMware SD-WAN

3 Pour configurer un rapport planifié, choisissez Planifier un rapport récurrent (Schedule a

recurring report) et sélectionnez la période de planification et l'heure dans la liste.

4 Cliquez sur Suivant (Next).

Étape suivante

Reportez-vous à la section Sélectionner les données.

Sélectionner les données

Vous pouvez sélectionner les données à inclure dans un rapport personnalisé.

VMware, Inc. 117

Guide d'administration de VMware SD-WAN

Procédure

1 Lorsque vous cliquez sur Suivant (Next) après avoir sélectionné la plage de temps dans
Sélectionner une plage de temps, la fenêtre Sélectionner les données (Select Data) s'affiche.

2 Cochez les cases correspondant aux données que vous souhaitez inclure dans le rapport parmi
les options disponibles suivantes :

n Dispositifs Edge par application (Edges by Application) : détails de répartition

des 10 principales applications et des 10 principaux dispositifs Edge utilisant chaque
application.

n Applications par trafic (Applications by Traffic) : détails de répartition de la

consommation SD-WAN en fonction de la distribution du trafic, avec les 10 principales
applications pour chaque type de trafic.

n Applications par transport (Applications by Transport) : détails de répartition de la

consommation SD-WAN basés sur la distribution du transport, avec les 10 principales
applications pour chaque type de transport.

3 Cliquez sur Suivant (Next).

Étape suivante

Reportez-vous à la section Sélectionner des dispositifs Edge.

Sélectionner des dispositifs Edge

Vous pouvez choisir de générer un rapport comprenant tous les dispositifs Edge ou d'inclure des
dispositifs Edge spécifiques.

VMware, Inc. 118

Guide d'administration de VMware SD-WAN

Procédure

1 Lorsque vous cliquez sur Suivant (Next) après avoir sélectionné les données à inclure dans
le rapport dans Sélectionner les données, la fenêtre Sélectionner les dispositifs Edge (Select
Edges) s'affiche.

2 Par défaut, l'option Inclure tous les dispositifs Edge (Include all edges) est sélectionnée.
Cette option génère le rapport en incluant les données de tous les dispositifs Edge de
l'entreprise.

3 Vous pouvez choisir d'Inclure des dispositifs Edge spécifiques (Include specific edges) pour
générer le rapport avec les données provenant de dispositifs Edge spécifiques. Sélectionnez
la condition appropriée dans la liste pour inclure les dispositifs Edge correspondants. Vous
pouvez cliquer sur l'icône Plus (+) pour inclure d'autres conditions. Après avoir spécifié les
conditions, cliquez sur Appliquer (Apply) ; les détails des dispositifs Edge sélectionnés en
fonction des conditions s'affichent sur le côté droit.

4 Cliquez sur Suivant (Next).

Étape suivante

Reportez-vous à la section Envoyer le rapport.

Envoyer le rapport
Après avoir configuré tous les paramètres, vous pouvez générer le rapport d'entreprise.

VMware, Inc. 119

Guide d'administration de VMware SD-WAN

Procédure

1 Lorsque vous cliquez sur Rapide (Quick) pour créer un rapport rapide dans Créer un
nouveau rapport d'entreprise ou, si vous cliquez sur Suivant (Next) après avoir sélectionné les
dispositifs Edge dans Sélectionner des dispositifs Edge, la fenêtre Envoyer le rapport (Submit
Report) s'affiche.

2 Configurez les paramètres suivants :

n Nom du rapport (Report Name) : entrez un nom pour le rapport.

n Format : choisissez le format du rapport dans la liste, PDF ou PDF et CSV.

n Envoyer un e-mail à la liste (Send email to list) : si vous souhaitez envoyer le rapport
que vous avez généré par e-mail, cochez cette case et entrez les adresses e-mail des
destinataires en les séparant par une virgule. Le rapport est joint à l'e-mail envoyé.

3 Dans le Résumé du rapport (Report Summary), vérifiez les paramètres et cliquez sur Envoyer
(Submit).

4 Dans la fenêtre Votre rapport est en cours d'envoi (Your Report is on its way) qui s'affiche,
cliquez sur Terminé (Done).

Résultats

Une fois que vous avez envoyé le rapport, les détails du rapport s'affichent avec l'état dans la
fenêtre Rapports (Reports).

VMware, Inc. 120

Guide d'administration de VMware SD-WAN

Étape suivante

Votre rapport est généré et s'affiche sur la page Rapports (Reports). Reportez-vous à la section
Surveiller les rapports d'entreprise.

Surveiller les rapports d'entreprise

Vous pouvez générer un rapport rapide à l'aide des valeurs par défaut ou un rapport personnalisé
avec des valeurs que vous spécifiez. Vous pouvez également planifier l'exécution d'un rapport
personnalisé sur une base récurrente. Tous les rapports sont affichés sur la page Rapports
(Reports), où vous pouvez télécharger et afficher les données des rapports. Vous pouvez
également afficher les rapports planifiés sur cette page.

Dans la nouvelle interface utilisateur d'Orchestrator, cliquez sur Rapports (Reports). Cette page
affiche tous les rapports générés.

Pour télécharger un rapport, cliquez sur le lien Terminé (Completed) du rapport. Le rapport est
téléchargé sous la forme d'un fichier ZIP qui contient le rapport au format PDF. Si vous avez
configuré les paramètres de sorte à exporter le rapport au format CSV, le fichier ZIP contiendra le
rapport aux formats PDF et CSV.

Dans le cas d'un rapport personnalisé, les données présentes dans le rapport peuvent varier
en fonction des paramètres personnalisés. Les fichiers de rapport sont composés des éléments
suivants.

n PDF :

n Représentation graphique de la distribution du trafic, du transport et des principales

applications de l'entreprise.

n Les 10 principales applications par type de trafic et de transport.

n Les 10 principaux dispositifs Edge par application.

L'image suivante montre un exemple d'extrait de rapport PDF :

VMware, Inc. 121

Guide d'administration de VMware SD-WAN

La distribution du trafic d'entreprise répertorie les données suivantes :

n Cloud via une passerelle (Cloud Via Gateway) : trafic Internet qui passe par SD-WAN
Gateway.

n Internet via un point d'accès direct (Internet Via Direct Breakout) : trafic Internet qui
crée un point d'accès directement depuis la branche et qui ne passe pas par les tunnels
VMware.

n Internet via un CSS de branche (Internet Via Branch CSS) : trafic lié aux services de
sécurité cloud directement depuis une branche VMware.

VMware, Inc. 122

Guide d'administration de VMware SD-WAN

n Branche vers branche (Branch To Branch) : trafic passant par des tunnels SD-WAN
Gateway/SD-WAN Hub/SD-WAN dynamiques, directement entre deux branches VMware.

n Acheminé vers une branche (Branch Routed) : trafic lié aux destinations connectées/
statiques/acheminées locales (sous-couche).

n Branche vers NVS via une passerelle (Branch To NVS Via Gateway) : trafic lié d'une
branche vers Non VMware SD-WAN Site via SD-WAN Gateway.

n Branche vers NVS direct (Branch To NVS Direct) : trafic lié de branche vers Non VMware
SD-WAN Site sur des tunnels IPsec directs.

n Branche à dérouter (Branch To Backhaul) : trafic Internet dérouté d'une branche vers
VMware SD-WAN Hubs.

n CSV : les fichiers CSV suivants sont téléchargés.

n Principaux sites par application (Top Sites by Applications) : répertorie toutes les
applications, le nom du dispositif Edge, la description du dispositif Edge, les octets
transmis et les octets reçus.

n Type de trafic (Traffic Type) : répertorie tous les chemins de flux, les applications, le nom
du dispositif Edge, la description du dispositif Edge, les octets transmis et les octets reçus.

n Type de transport (Transport Type) : répertorie tous les types de transport, les
applications, le nom du dispositif Edge, la description du dispositif Edge, les octets
transmis et les octets reçus.

L'image suivante montre un exemple d'extrait de rapport CSV Principaux sites par application
(Top Sites by Applications) :

Pour supprimer un rapport, sélectionnez-le et cliquez sur SUPPRIMER (DELETE).

Pour afficher les rapports planifiés, cliquez sur RAPPORTS PLANIFIÉS (SCHEDULED REPORTS).

VMware, Inc. 123

Guide d'administration de VMware SD-WAN

La fenêtre Rapports planifiés (Scheduled Reports) affiche les détails des rapports et la
planification.

Pour supprimer un rapport de la planification, sélectionnez le rapport et cliquez sur SUPPRIMER

(DELETE).

VMware, Inc. 124

Configurer les segments
8
La segmentation est le processus de division du réseau en sous-réseaux logiques appelés
segments à l'aide de techniques d'isolation sur un périphérique de transfert tel qu'un
commutateur, un routeur ou un pare-feu. La segmentation de réseau est importante lorsque le
trafic provenant de différentes organisations et/ou de différents types de données doit être isolé.

Dans la topologie prenant en charge les segments, vous pouvez activer différents profils VPN
(Virtual Private Network, réseau privé virtuel) pour chaque segment. Par exemple, vous pouvez
relier le trafic invité aux services de pare-feu de centre de données à distance : les supports
vocaux peuvent circuler directement d'une branche à l'autre en fonction des tunnels dynamiques.
Le segment PCI peut relier le trafic au centre de données pour sortir du réseau PCI.

Note Vous pouvez configurer un maximum de 16 segments par client d'entreprise.

Pour configurer un nouveau segment pour une entreprise, procédez comme suit :

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Segments. La page Segments de l'entreprise sélectionnée s'affiche.

2 Cliquez sur le bouton + et entrez les détails suivants pour configurer un nouveau segment.

Champ Description

Nom du segment Nom du segment (jusqu'à 256 caractères).

Description Description du segment (jusqu'à 256 caractères).

VMware, Inc. 125

Guide d'administration de VMware SD-WAN

Champ Description

Type Le type de segment peut être l'un des suivants :

n Régulier (Regular) : type de segment standard.
n Privé (Private) : utilisé pour les flux de trafic qui nécessitent une visibilité limitée afin de
répondre aux exigences de confidentialité de l'utilisateur final.
n CDE : VMware fournit un service SD-WAN certifié PCI. Le type CDE (Cardholder Data
Environment, environnement de données du titulaire de la carte) est utilisé pour les flux
de trafic qui exigent PCI et qui souhaitent exploiter la certification PCI VMware.

Note Pour le segment global, vous pouvez définir le type sur Régulier (Regular) ou Privé
(Private). Pour les segments non globaux, le type peut être Régulier (Regular), CDE ou
Privé (Private).

VLAN de service Identifiant du VLAN de service. Pour plus d'informations, reportez-vous à la section Définir
(Service VLAN) le mappage entre les segments et les VLAN de service (facultatif) au VNF de sécurité.

Déléguer au Cette case est cochée par défaut. Si vous la décochez, le partenaire ne peut pas modifier les
partenaire (Delegate configurations dans le segment, notamment l'attribution de l'interface.
To Partner)

Déléguer au client Cette case est cochée par défaut. Si vous la décochez, le client ne peut pas modifier les
(Delegate To configurations dans le segment, notamment l'attribution de l'interface.
Customer)

3 Cliquez sur Enregistrer les modifications (Save Changes).

Si le segment est configuré comme Privé (Private), le segment :

n ne charge pas les statistiques de flux d'utilisateur vers Orchestrator, à l'exception du contrôle
de VMware, de la gestion de VMware et d'un flux IP unique qui compte tous les paquets
transmis et reçus, ainsi que les octets envoyés sur le segment ;

n ne permet pas aux utilisateurs d'afficher les flux dans les diagnostics à distance ;

n ne permet pas d'envoyer le trafic en tant que Chemins multiples Internet (Internet Multipath),
car toutes les stratégies d'entreprise qui sont configurées sur Chemins multiples Internet
(Internet Multipath) sont automatiquement remplacées par Direct par le dispositif Edge.

Si le segment est configuré en tant que CDE, Orchestrator et le contrôleur hébergés sur VMware
connaissent le segment PCI et se trouvent dans l'étendue de PCI. Les passerelles (marquées
passerelles non-CDE) ne le reconnaissent pas ou transmettent le trafic PCI et sont hors de portée
de PCI.

VMware, Inc. 126

Configurer les services réseau
9
En tant qu'utilisateur d'entreprise, SD-WAN Orchestrator permet de configurer un certain nombre
de services réseau, tels que le cluster Edge, Non VMware SD-WAN Sites, le service de sécurité
cloud (CSS), les VNF, etc., depuis Configurer (Configure) > Services réseau (Network Services).

Note Si vous êtes connecté à l'aide d'un ID d'utilisateur disposant de privilèges de support client,
vous ne pourrez voir que les objets SD-WAN Orchestrator. Vous ne pourrez pas créer d'objets ni
configurer/mettre à jour des objets existants.

Vous pouvez configurer les services réseau suivants :

n Cluster Edge

n Hubs VPN cloud (Cloud VPN Hubs)

n Destinations non SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway)

n Destinations non SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge)

n Service de sécurité cloud (Cloud Security Service)

n VNF

n Licences de VNF (VNF Licenses)

n Services DNS

n Paramètres NetFlow (Netflow Settings)

n Noms de réseaux privés (Private Network Names)

n Services d'authentification (Authentication Services)

n Abonnements IaaS (IaaS Subscriptions)

Note La configuration des services réseau est facultative et peut être configurée dans n'importe
quel ordre.

VMware, Inc. 127

Guide d'administration de VMware SD-WAN

VMware, Inc. 128

Guide d'administration de VMware SD-WAN

Note SD-WAN Orchestrator ne vous permet pas de configurer des Hubs VPN cloud à partir de
l'écran Services, mais il fournit un résumé de tous les dispositifs SD-WAN Edges configurés. Les
informations récapitulatives incluent le type de dispositif Edge, le profil dans lequel le dispositif
Edge est utilisé, le segment, si le dispositif Edge est un Hub VPN ou/et un Hub de liaison.

Ce chapitre contient les rubriques suivantes :

n À propos du clustering de dispositifs Edge

n Configurer une instance de Non VMware SD-WAN Site

n Service de sécurité cloud

n Configurer les services DNS

n Configurer les paramètres NetFlow

n Noms de réseaux privés

n Configurer les services d'authentification

À propos du clustering de dispositifs Edge

La taille d'un réseau VPN VMware unique avec une instance de VMware SD-WAN Hub est limitée
par la montée en charge du Hub individuel. Pour les grands réseaux contenant des milliers de
sites distants, il est préférable d'utiliser plusieurs Hubs pour gérer les dispositifs Edge à des fins
d'évolutivité et d'atténuation des risques. Toutefois, il est difficile d'imposer au client de gérer des
Hubs distincts individuels pour y parvenir. Le clustering permet d'exploiter plusieurs Hubs tout
en offrant la simplicité de gestion de ces Hubs en tant qu'entité commune avec une résilience
intégrée.

Le clustering de SD-WAN Edge traite le problème de montée en charge de SD-WAN Hub, car
vous pouvez l'utiliser pour augmenter facilement la capacité de tunnel du Hub dynamiquement en
créant un cluster logique de dispositifs Edge. Le clustering de dispositifs Edge fournit également
une résilience via la topologie Actif/actif haute disponibilité (HA) qu'un cluster d'instances de
SD-WAN Edges fournit. Un cluster est traité fonctionnellement comme un Hub individuel du point
de vue des autres dispositifs Edge.

Les Hubs d'un cluster VMware peuvent être des dispositifs Edge physiques ou virtuels. S'ils sont
virtuels, ils peuvent exister sur un seul ou plusieurs hyperviseurs.

VMware, Inc. 129

Guide d'administration de VMware SD-WAN

Chaque dispositif Edge d'un cluster signale périodiquement les statistiques d'utilisation et de
charge à SD-WAN Gateway. La valeur de charge est calculée en fonction de l'utilisation du CPU
et de la mémoire du dispositif Edge, avec le nombre de tunnels connectés au Hub sous forme
d'un pourcentage de la capacité du tunnel du modèle de dispositif Edge. Les Hubs du cluster
ne communiquent pas directement ni n'échangent les informations d'état. En général, les clusters
Edge sont déployés en tant que Hubs dans les centres de données.

Note Théoriquement, vous pouvez utiliser le clustering de dispositifs Edge pour la montée en
charge horizontale d'autres vecteurs, par exemple le débit. Toutefois, l'implémentation actuelle du
clustering de dispositifs Edge a été spécifiquement conçue et testée pour la montée en charge au
niveau de la capacité du tunnel uniquement.

Fonctionnement du clustering de dispositifs Edge

Cette section fournit une présentation détaillée du fonctionnement de la fonctionnalité de
clustering d'un dispositif SD-WAN Edge.

Voici les concepts importants qui décrivent la fonctionnalité de clustering d'un dispositif SD-WAN
Edge :

n Vous pouvez utiliser le clustering de dispositifs Edge sur les Hubs comme suit :

n Pour permettre une plus grande capacité de tunnel pour un Hub qu'un dispositif Edge
spécifique servant de Hub peut fournir.

n Pour distribuer les dispositifs Edge spoke à distance entre plusieurs Hubs et réduire les
conséquences de tout incident pouvant se produire.

n Le score de cluster est un calcul mathématique de l'utilisation globale du système comme suit :

Les trois facteurs d'utilisation mesurés sont l'utilisation du CPU, l'utilisation de la mémoire et la
capacité du tunnel.

n Chaque mesure d'utilisation est traitée comme un pourcentage d'une valeur maximale de
100 %.

n La capacité du tunnel repose sur la capacité nominale d'un modèle matériel donné ou
d'une configuration de dispositif Edge virtuel.

n Tous les trois pourcentages d'utilisation sont calculés en moyenne pour parvenir à un
score de cluster basé sur des entiers (1-100).

n Bien que le débit ne soit pas pris en compte directement, l'utilisation du CPU et de la
mémoire reflète indirectement le débit et le volume de flux sur un Hub donné.

n Par exemple, sur un dispositif Edge 2000 :

n Utilisation du CPU = 20 %

n Utilisation de la mémoire = 30 %

n Tunnels connectés = 600 (sur une capacité de 6 000) = 10 %

n Score de cluster : (20 + 30 + 10)/3 = 20

VMware, Inc. 130

Guide d'administration de VMware SD-WAN

n Un score de cluster supérieur à 70 est considéré comme « surcapacité ».

n Un « ID logique » est un UUID de 128 bits qui identifie de façon unique un élément à l'intérieur
du réseau VMware.

n Par exemple, chaque dispositif Edge est représenté par un ID logique et chaque cluster est
représenté par un ID logique.

n Bien que l'utilisateur fournisse les noms du dispositif Edge et du cluster, les ID logiques
sont garantis comme uniques et sont utilisés pour l'identification interne des éléments.

n Par défaut, la charge est répartie uniformément entre les Hubs. Par conséquent, il est
nécessaire que tous les dispositifs Edge qui font partie d'un cluster soient du même modèle et
de la même capacité.

Chaque membre du cluster dispose de son propre adressage IP pour les interfaces WAN et LAN.
Tous les dispositifs VMware SD-WAN Edge du cluster Hub doivent exécuter un protocole de
routage dynamique, comme eBGP, avec les périphériques de couche 3 côté LAN avec un numéro
de système autonome (ASN) unique pour chaque membre du cluster. Le routage dynamique côté
LAN des clusters garantit l'acheminement du trafic du DC vers un site Spoke particulier via le
membre du cluster Edge approprié.

Comment les clusters de dispositifs Edge sont-ils suivis par VMware SD-WAN
Gateway ?
Après qu'un Hub est ajouté à un cluster VMware SD-WAN, le Hub désinstalle et recrée des
tunnels sur toutes les instances de Gateway qui lui sont attribuées et indique à chaque instance de
Gateway que le Hub a été attribué à un cluster et qu'il fournit un ID logique de cluster.

BGP

Cluster de dispositifs VMware SD-WAN Edge

MPLS Internet

Pour le cluster, le dispositif SD-WAN Gateway suit les éléments suivants :

n ID logique

VMware, Inc. 131

Guide d'administration de VMware SD-WAN

n Nom

n Si le rééquilibrage automatique est activé

n Liste des objets du Hub pour les membres du cluster

Pour chaque objet de Hub du cluster, la passerelle suit les éléments suivants :

n ID logique

n Nom

n Ensemble de statistiques, mis à jour toutes les 30 secondes via un message périodique envoyé
à partir du Hub à chaque passerelle attribuée, notamment :

n Utilisation actuelle du CPU du Hub

n Utilisation actuelle de la mémoire du Hub

n Nombre actuel de tunnels sur le Hub

n Nombre actuel de routes BGP sur le Hub

n Score actuel du cluster calculé en fonction de la formule fournie ci-dessus.

Un Hub est supprimé de la liste des objets du Hub lorsque la passerelle n'a reçu aucun paquet du
dispositif Edge Hub pendant plus de sept secondes.

Comment les dispositifs Edge sont-ils attribués à un hub spécifique d'un cluster ?
Dans une topologie de Hub et de spoke traditionnelle, SD-WAN Orchestrator fournit au dispositif
Edge l'ID logique du Hub auquel il doit être connecté. Le dispositif Edge demande à ses
passerelles attribuées des informations de connectivité pour cet ID logique de Hub : c'est-à-dire,
les adresses IP et les ports que le dispositif Edge utilise pour se connecter à ce Hub.

Du point de vue du dispositif Edge, ce comportement est identique lors de la connexion à un

cluster. Orchestrator informe le dispositif Edge que l'ID logique du Hub auquel il doit se connecter
correspond à l'ID logique du cluster plutôt qu'à l'ID logique du Hub individuel. Le dispositif Edge
suit la même procédure d'envoi d'une demande de connexion au Hub aux passerelles et attend les
informations de connectivité en réponse.

VMware, Inc. 132

Guide d'administration de VMware SD-WAN

DC ID 1 du cluster Hub
d'entreprise 1. Statistiques
Commutateur L3 1 d'utilisation
Contrôleur
2 VMware
SD-WAN
3
4

3. Se connecter à
4. Configuration Hub 1
du tunnel
vers Hub 1 2. À quel Hub dans l'ID de cluster 1
puis-je me connecter ?
A
Dispositif Edge de branche

Il existe deux divergences par rapport au comportement de base du Hub à ce stade :

n Numéro de divergence 1 (Divergence Number One) : la passerelle doit choisir le Hub à

attribuer.

n Numéro de divergence 2 (Divergence Number Two) : en raison du numéro de divergence 1,

le dispositif Edge peut recevoir différentes attributions de ses diverses passerelles.

Le numéro de divergence 1 a été initialement traité en utilisant le score de cluster pour attribuer
le Hub le moins chargé d'un cluster à un dispositif Edge. Bien qu'en pratique il s'agisse d'une
solution logique, cette solution est loin d'être idéale en réalité, car un événement de réattribution
classique peut impliquer des centaines, voire des milliers de dispositifs Edge et le score de cluster
n'est mis à jour que toutes les 30 secondes. En d'autres termes, si le Hub 1 dispose d'un score
de cluster de 20 et si le Hub 2 dispose d'un score de cluster de 21, pendant 30 secondes, tous
les dispositifs Edge choisissent le Hub 1, ce qui peut le surcharger et déclencher des réattributions
supplémentaires.

Au lieu de cela, la passerelle tente d'abord une distribution mathématique équitable, ignorant
ainsi le score de cluster. Les ID logiques du dispositif Edge, qui ont été créés par un générateur
de nombres aléatoires sécurisés sur Orchestrator, disposeront (selon un nombre suffisant de
dispositifs Edge) d'une distribution égale de valeurs. Cela signifie que l'utilisation de l'ID logique
permet de calculer une distribution de parts égales.

n ID logique de dispositif Edge modulo le nombre de Hubs dans le cluster = indice de Hub
attribué

n Par exemple :

n Quatre dispositifs Edge disposant d'ID logiques se terminant par 1, 2, 3, 4

n Cluster disposant de 2 Hubs

n 1 % 2 = 1, 2 % 2 = 0, 3 % 2 = 1, 4 % 2 = 0 (Remarque : « % » permet d'indiquer l'opérateur

modulo)

VMware, Inc. 133

Guide d'administration de VMware SD-WAN

n L'indice de Hub 0 est attribué aux dispositifs Edge 2 et 4

n L'indice de Hub 1 est attribué aux dispositifs Edge 1 et 3

Dispositifs Edge
Cluster Hub
1
2 0
3 1
4

Cela est plus cohérent qu'une attribution de type tourniquet, car cela signifie que le même
Hub aura tendance à être attribué chaque fois aux dispositifs Edge. Cela rend l'attribution et le
dépannage plus prévisibles.

Note Lorsqu'un Hub redémarre (par exemple, en raison d'une maintenance ou d'une panne),
il est déconnecté de la passerelle et supprimé du cluster. Cela signifie que les dispositifs Edge
seront toujours distribués équitablement après le redémarrage de tous les dispositifs Edge (en
raison de la logique décrite ci-dessus), mais qu'ils seront distribués inégalement suite à n'importe
quel événement du Hub, entraînant ainsi une perte de connectivité.

Que se passe-t-il lorsqu'un Hub dépasse sa capacité de tunnel maximale

autorisée ?
La logique d'attribution des dispositifs Edge tente de répartir équitablement les dispositifs Edge
entre tous les Hubs disponibles. Toutefois, après un événement (tel qu'un redémarrage) sur le
Hub, la distribution Edge ne sera plus égale.

Note En général, la passerelle tente lors de l'attribution initiale de distribuer équitablement les
dispositifs Edge entre les Hubs. Une distribution inégale n'est pas considérée comme un état
non valide. Si les attributions sont inégales, mais qu'aucun Hub individuel ne dépasse 70 % de la
capacité de tunnel, l'attribution est considérée comme valide.

En raison de cet événement sur le Hub (ou en ajoutant des dispositifs Edge supplémentaires
au réseau), les clusters peuvent atteindre un point où un Hub individuel a dépassé 70 % de sa
capacité de tunnel autorisée. Si cela se produit et si au moins un autre Hub dispose d'une capacité
de tunnel inférieure à 70 %, la redistribution de parts égales est effectuée automatiquement, que
le rééquilibrage soit activé ou non sur Orchestrator. La plupart des dispositifs Edge conservent
leur attribution existante en raison de l'attribution mathématique prédictive à l'aide d'ID logiques
et les dispositifs Edge qui ont été attribués à d'autres Hubs, en raison des basculements ou
du rééquilibrage d'utilisation précédent, seront rééquilibrés pour s'assurer que le cluster revient
automatiquement à une distribution égale.

VMware, Inc. 134

Guide d'administration de VMware SD-WAN

Que se passe-t-il lorsqu'un Hub dépasse le score de cluster maximal autorisé ?

Contrairement au pourcentage de tunnel (mesure directe de la capacité), qui peut être traité
immédiatement, le score de cluster n'est mis à jour que toutes les 30 secondes et la passerelle ne
peut pas calculer automatiquement le score du cluster ajusté après avoir effectué une réattribution
du dispositif Edge. Dans la configuration du cluster, un paramètre Rééquilibrage automatique
(Auto Rebalance) est fourni pour indiquer si la passerelle doit tenter de déplacer dynamiquement
la charge du dispositif Edge pour chaque Hub, si nécessaire.

Si le paramètre Rééquilibrage automatique (Auto Rebalance) est désactivé et qu'un Hub dépasse
un score de cluster de 70 (mais pas la capacité du tunnel de 70 %), aucune mesure n'est prise.

Si le paramètre Rééquilibrage automatique (Auto Rebalance) est activé et si un ou plusieurs Hubs

dépassent un score de cluster de 70, la passerelle réattribue un dispositif Edge par minute au Hub
avec le score de cluster actuel le plus bas jusqu'à ce que tous les Hubs soient inférieurs à 70 ou
qu'il n'y ait plus de réattributions possibles.

Note Le paramètre Rééquilibrage automatique (Auto Rebalance) est désactivé par défaut.

Que se passe-t-il lorsque deux dispositifs VMware SD-WAN Gateway fournissent

différentes attributions de hub ?
Comme c'est le cas d'un plan de contrôle distribué, chaque passerelle effectue une détermination
individuelle de l'attribution du cluster. Dans la plupart des cas, les passerelles utilisent la même
formule mathématique et parviennent donc à la même attribution pour tous les dispositifs Edge.
Toutefois, dans des cas tels que le rééquilibrage basé sur le score de cluster, cela ne peut pas être
garanti.

Si un dispositif Edge n'est pas actuellement connecté à un Hub dans un cluster, il accepte
l'attribution de n'importe quelle passerelle qui répond. Cela garantit que les dispositifs Edge ne
soient jamais non attribués dans un scénario où certaines passerelles sont inactives et d'autres
sont actives.

Si un dispositif Edge est connecté à un Hub dans un cluster et s'il obtient un message
indiquant qu'il doit choisir un autre Hub, ce message est traité dans l'ordre de « préférence
des passerelles. » Par exemple, si la superpasserelle est connectée, le dispositif Edge n'accepte
que les réattributions de la superpasserelle. Les attributions en conflit demandées par d'autres
passerelles sont ignorées. De même, si la superpasserelle n'est pas connectée, le dispositif
Edge n'accepte que les réattributions de la superpasserelle secondaire. Pour les passerelles de
partenaires (où il n'existe aucune superpasserelle), la préférence de passerelle est basée sur
l'ordre de passerelles de partenaires configurées pour ce dispositif Edge spécifique.

Note Lors de l'utilisation de passerelles de partenaires, les mêmes passerelles doivent être
attribuées aux Hubs d'un cluster et aux dispositifs Spoke Edge. Sinon, un scénario peut survenir
dans lequel un dispositif Spoke Edge ne peut pas recevoir d'attributions du Hub, car ce dispositif
est connecté à une passerelle qui n'est pas non plus connectée aux Hubs d'un cluster.

VMware, Inc. 135

Guide d'administration de VMware SD-WAN

Que se passe-t-il lorsqu'un dispositif VMware SD-WAN Gateway tombe en

panne ?
En cas de panne du dispositif SD-WAN Gateway, les dispositifs Edge peuvent être réattribués si
la passerelle préférée était celle qui est tombée en panne et si la passerelle préférée suivante a
fourni une attribution différente. Par exemple, la superpasserelle a attribué le Hub A à ce dispositif
Edge, tandis que la superpasserelle secondaire a attribué le Hub B au même dispositif Edge.

La superpasserelle qui est tombée en panne va déclencher le basculement du dispositif Edge

vers le Hub B, car la superpasserelle secondaire est désormais la passerelle préférée pour les
informations de connectivité.

Lors de la récupération de la superpasserelle, le dispositif Edge demande à nouveau une

attribution de Hub à partir de cette passerelle. Pour empêcher le dispositif Edge de rebasculer
vers le Hub A du scénario ci-dessus, la demande d'attribution du Hub comprend le Hub
actuellement attribué (le cas échéant). Lorsque la passerelle traite la demande d'attribution,
si un Hub est actuellement attribué au dispositif Edge dans le cluster et si le score de
cluster du Hub est inférieur à 70, la passerelle met à jour son attribution locale pour qu'elle
corresponde à l'attribution existante sans passer par sa logique d'attribution. Cela garantit que,
lors de la récupération, la superpasserelle affecte le Hub actuellement connecté et empêche un
basculement gratuit pour les dispositifs Edge qui lui sont attribués.

Que se passe-t-il si un Hub d'un cluster perd ses routes dynamiques ?

Comme indiqué ci-dessus, les Hubs signalent toutes les 30 secondes aux dispositifs SD-WAN
Gateway le nombre de routes dynamiques qu'ils ont appris via BGP. Si des routes sont perdues
pour un seul Hub d'un cluster, en raison d'un retrait erroné ou d'un échec du BGP Neighborship,
les instances de SD-WAN Gateway basculent les dispositifs Edge en mode spoke vers un autre
Hub du cluster disposant d'une table de routage intacte.

À mesure que les mises à jour sont envoyées toutes les 30 secondes, le nombre de routes est
basé sur l'heure d'envoi de la mise à jour à SD- WAN Gateway. La logique de rééquilibrage de
SD-WAN Gateway se produit toutes les 60 secondes, ce qui signifie que les utilisateurs peuvent
s'attendre à un basculement de 30 à 60 secondes dans le cas improbable de perte totale d'un
BGP Neighbor côté LAN. Pour vous assurer que tous les hubs ont la possibilité de mettre à
jour à nouveau les passerelles après un événement de ce type, le rééquilibrage est limité à un
maximum d'une fois toutes les 120 secondes. Cela signifie que les utilisateurs peuvent s'attendre à
un basculement de 120 secondes pour une seconde panne successive.

Comment configurer le routage sur les Hubs de cluster ?

Comme la passerelle peut demander aux spokes de se connecter à n'importe quel Hub membre
du cluster, la configuration de routage doit être mise en miroir sur tous les Hubs. Par exemple, si
les spokes doivent atteindre un préfixe BGP [Link] derrière les Hubs, tous les Hubs du cluster
doivent annoncer [Link] avec exactement les mêmes attributs de route.

Vous devez utiliser les balises de communauté de liaison montante BGP dans le déploiement du
cluster. Configurez les nœuds de cluster pour définir la balise de communauté de liaison montante
lors de la redistribution des routes vers les homologues BGP.

VMware, Inc. 136

Guide d'administration de VMware SD-WAN

Que se passe-t-il en cas de panne d'un Hub dans un cluster ?

Le dispositif SD-WAN Gateway attend que les tunnels soient déclarés inactifs (7 secondes) avant
de basculer sur les dispositifs Edge en mode spoke. Cela signifie que les utilisateurs peuvent
s'attendre à un basculement de 7 à 10 secondes (selon RTT) en cas de panne d'un Hub SD-WAN
ou de tous ses liens WAN associés.

Configurer le clustering de dispositifs Edge

Vous pouvez configurer les clusters Edge en suivant les étapes de cette section.

1 Pour accéder à la zone Cluster Edge (Edge Cluster), accédez à Configurer (Configure) >
Services réseau (Network Services).

2 Pour ajouter un nouveau cluster :

a Dans la zone Cluster Edge (Edge Cluster), cliquez sur le bouton Nouveau cluster (New
Cluster).

b Dans la boîte de dialogue Cluster Edge (Edge Cluster), entrez le nom et la description
dans les zones de texte appropriées.

c Activez Rééquilibrage automatique (Auto Rebalance) si nécessaire (cette fonctionnalité

n'est pas activée par défaut).

Note Si cette option est activée, lorsqu'un dispositif Edge individuel dans un cluster Hub
dépasse un score de cluster de 70, les spokes sont rééquilibrés au taux d'un spoke par
minute jusqu'à ce que le score du cluster soit réduit au-dessous de 70. Lorsqu'un dispositif
Edge en mode spoke est réaffecté à un autre Hub, les tunnels VPN du dispositif Edge
en mode spoke se déconnectent et il peut y avoir jusqu'à 6 à 10 secondes d'interruption
de service. Si tous les Hubs d'un cluster dépassent un score de cluster de 70, aucun
rééquilibrage n'est effectué. Pour plus d'informations sur le score de cluster, reportez-
vous à la section intitulée Fonctionnement du clustering de dispositifs Edge.

VMware, Inc. 137

Guide d'administration de VMware SD-WAN

d Dans la section Dispositifs Edge disponibles (Available Edges), sélectionnez un dispositif

Edge et déplacez-le vers la section Dispositifs Edge dans le cluster (Edges In Cluster) en
utilisant le bouton >.

e Cliquez sur Enregistrer les modifications (Save Changes). Le cluster Edge configuré
s'affiche sous Dispositifs Edge et clusters disponibles (Available Edges & Clusters) de
l'écran Gérer les Hubs de VPN de cloud (Manage Cloud VPN Hubs) pour le profil
sélectionné.

Note Les dispositifs Edge utilisés comme Hub ou dans des clusters de Hubs, ou configurés
en tant que paire HA Actif/En veille ne s'affichent pas dans la zone de liste Dispositifs Edge
disponibles (Available Edges).

VMware, Inc. 138

Guide d'administration de VMware SD-WAN

3 Dans l'écran Gérer les Hubs de VPN de cloud (Manage Cloud VPN Hubs), vous pouvez
configurer un cluster Edge et un dispositif Edge individuel simultanément en tant que Hubs
dans un profil de branche. Après l'attribution des dispositifs Edge à un cluster, vous ne pouvez
plus les attribuer en tant que Hubs individuels. Choisissez un cluster Edge comme Hub dans le
profil de branche.

4 Pour configurer le VPN branche vers branche à l'aide de Hubs qui sont également des clusters
Edge, vous devez d'abord sélectionner un Hub dans la zone Hubs, puis le déplacer vers la
zone Hubs de VPN branche vers branche (Branch to Branch VPN Hubs).

5 Vous pouvez également configurer les clusters en tant que Hubs de liaison Internet dans la
configuration de la stratégie d'entreprise en sélectionnant d'abord un Hub dans la zone Hubs,
puis en le déplaçant vers la zone Hubs de liaison (Backhaul Hubs).

6 Pour activer le déroutement conditionnel, cochez la case Activer le déroutement conditionnel

(Enable Conditional BackHaul). Lorsque la fonctionnalité de déroutement conditionnel (CBH)
est activée, le dispositif Edge peut basculer le trafic Internet (trafic Internet direct, Internet
via SD-WAN Gateway et trafic de sécurité cloud via IPsec) vers les liaisons MPLS en cas
d'indisponibilité des liaisons Internet publiques. Lorsque le déroutement conditionnel est
activé, par défaut, toutes les règles de stratégie d'entreprise au niveau de la branche sont
soumises au trafic de basculement via le déroutement conditionnel. Vous pouvez exclure le
déroutement conditionnel en fonction de certaines exigences pour les stratégies sélectionnées
en désactivant cette fonctionnalité au niveau de la stratégie d'entreprise sélectionnée. Pour
plus d'informations, reportez-vous à la section Déroutement conditionnel.

Note L'exécution d'un protocole de routage dynamique est obligatoire, comme eBGP, côté LAN
des clusters.

Dépannage du clustering de dispositifs Edge

Cette section décrit les améliorations du dépannage pour le clustering de dispositifs Edge.

Présentation
Le clustering de dispositifs Edge comporte une fonctionnalité de dépannage pour rééquilibrer les
dispositifs Spoke Edge VMware SD-WAN dans un cluster. Vous pouvez effectuer le rééquilibrage
des spokes sur tous les Hub du cluster. Deux méthodes permettent de rééquilibrer les spokes :

n Rééquilibrer uniformément les spokes sur tous les Hubs du cluster.

n Exclure un Hub et rééquilibrer les spokes sur les Hubs restants du cluster.

Rééquilibrage des spokes sur le hub à l'aide de VMware SD-WAN Orchestrator

Un administrateur peut rééquilibrer des spokes dans un cluster via l'option Diagnostics à distance
(Remote Diagnostics) sur VMware SD-WAN Orchestrator. Lorsqu'un dispositif SD-WAN Edge est
déployé en tant que Hub dans un cluster, une nouvelle option Diagnostics à distance (Remote
Diagnostics) nommée Rééquilibrer le cluster de Hubs (Rebalance Hub Cluster) s'affiche et
propose aux utilisateurs deux choix.

VMware, Inc. 139

Guide d'administration de VMware SD-WAN

Redistribuer les spokes dans le cluster du Hubs

n Cette option tente de redistribuer uniformément les dispositifs Edge en mode spoke entre tous
les dispositifs Edge du Hub dans le cluster.

Redistribuer les spokes à l'exception de ce Hub

n Cette option tente de redistribuer uniformément les spokes entre les Hubs du cluster,
à l'exception du dispositif Edge du Hub à partir duquel un utilisateur exécute l'utilitaire
Redistribuer les spokes.

n Vous pouvez utiliser cette option pour le dépannage ou la maintenance afin de supprimer tous
les spokes de ce dispositif Edge du Hub.

L'illustration ci-dessous est une image de la section Diagnostics à distance (Remote Diagnostics)
du Hub.

Note Le rééquilibrage des spokes entraîne une brève interruption du trafic lorsque le spoke est
déplacé vers un autre Hub du cluster. Par conséquent, il est fortement recommandé d'utiliser ce
mécanisme de dépannage pendant une période de maintenance.

Configurer une instance de Non VMware SD-WAN Site

La fonctionnalité de Non VMware SD-WAN Site (anciennement appelée site non Velocloud (NVS)
comporte la connexion d'un réseau VMware à un réseau externe (par exemple : Zscaler, service
de sécurité cloud, Azure, AWS, centre de données de partenaires, etc.). Pour ce faire, créez
un tunnel IPSec (Secure Internet Protocol Security) sécurisé entre une entité VMware et une
passerelle VPN au niveau du fournisseur réseau.

VMware permet aux utilisateurs d'entreprise de définir et de configurer un type de centre de

données de l'instance de Non VMware SD-WAN Site et d'établir un tunnel sécurisé directement
avec un réseau externe des deux manières suivantes :

n Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) :
permet à une instance de SD-WAN Gateway d'établir un tunnel IPSec directement avec une
instance de Non VMware SD-WAN Site. VMware prend en charge les configurations de Non
VMware SD-WAN Site suivantes via SD-WAN Gateway :

n Point de contrôle

n Cisco ASA

n Cisco ISR

VMware, Inc. 140

Guide d'administration de VMware SD-WAN

n Routeur IKEv2 générique (VPN basé sur une route)

n Hub virtuel Microsoft Azure

n Palo Alto

n SonicWALL

n Zscaler

n Routeur IKEv1 générique (VPN basé sur une route)

n Pare-feu générique (VPN basé sur la stratégie)

Note VMware prend en charge Non VMware SD-WAN Site basé sur une route générique
et basé sur la stratégie depuis la passerelle.

n Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations via Edge) :
permet à une instance de SD-WAN Edge d'établir un tunnel IPSec directement avec une
instance de Non VMware SD-WAN Site (AWS et centre de données Azure).

Note VMware ne prend en charge que le routeur IKEv2 générique (VPN basé sur une route)
et le routeur IKEv1 générique (VPN basé sur une route) Non VMware SD-WAN Site depuis un
dispositif Edge.

Non VMware SD-WAN Site Configuration Workflow

n Configurer un service réseau Non VMware SD-WAN Site

n Associer un service réseau Non VMware SD-WAN Site à un profil ou à un dispositif Edge

n Configurer les paramètres de tunnel : sélection d'une liaison WAN et informations

d'identification par tunnel

n Configurer la stratégie d'entreprise

Workflow VPN
Il s'agit d'un service facultatif qui vous permet de créer des configurations de tunnel VPN
pour accéder à une ou plusieurs instances de Non VMware SD-WAN Sites. VMware fournit la
configuration requise pour créer les tunnels, notamment la création d'une configuration IPSec IKE
et la génération d'une clé prépartagée.

Présentation
La figure suivante montre une présentation des tunnels VPN qui peuvent être créés entre VMware
et une instance de Non VMware SD-WAN Site.

VMware, Inc. 141

Guide d'administration de VMware SD-WAN

Dispositif SD-WAN Edge

Passerelles cloud
DC d'entreprise

DC d'entreprise
Passerelles cloud

DC d'entreprise

Passerelles cloud

DC d'entreprise

Passerelles cloud
DC d'entreprise

Note Il est nécessaire de spécifier une adresse IP pour une passerelle VPN principale au niveau
de Non VMware SD-WAN Site. L'adresse IP est utilisée pour former un tunnel VPN principal entre
une instance de SD-WAN Gateway et la passerelle VPN principale.

VMware, Inc. 142

Guide d'administration de VMware SD-WAN

Vous pouvez spécifier éventuellement une adresse IP pour une passerelle VPN secondaire pour
former un tunnel VPN secondaire entre une instance de SD-WAN Gateway et la passerelle VPN
secondaire. À l'aide des paramètres avancés, vous pouvez spécifier des tunnels VPN redondants
pour tous les tunnels VPN que vous créez.

Ajouter une passerelle VPN Non VMware SD-WAN Site

Entrez un nom et choisissez un type de passerelle. Spécifiez l'adresse IP de la passerelle VPN
principale et, éventuellement, spécifiez une adresse IP pour une passerelle VPN secondaire.

Configurer les sous-réseaux Non VMware SD-WAN Site

Une fois que vous avez créé une configuration de Non VMware SD-WAN Site, vous pouvez ajouter
des sous-réseaux de site et configurer des paramètres de tunnel.

Cliquez sur le bouton Avancé (Advanced) pour configurer les paramètres de tunnel des
passerelles VPN et pour ajouter un ou des tunnels VPN redondants.

VMware, Inc. 143

Guide d'administration de VMware SD-WAN

Afficher la configuration IPSec IKE, Configurer la passerelle Non VMware SD-

WAN Site
Si vous cliquez sur le bouton Afficher la configuration IKE IPSec (View IKE IPSec Configuration),
les informations nécessaires à la configuration de la passerelle Non VMware SD-WAN Site
s'affichent. L'administrateur de passerelle doit utiliser ces informations pour configurer le ou les
tunnels VPN de passerelle.

VMware, Inc. 144

Guide d'administration de VMware SD-WAN

Activer le tunnel IPSec

Le tunnel VPN Non VMware SD-WAN Site est initialement désactivé. Vous devez activer le ou les
tunnels après la configuration de la passerelle Non VMware SD-WAN Site et avant la première
utilisation du VPN Edge vers Non VMware SD-WAN Site.

Important À partir de la version 4.0, le jeu d'instructions AES-NI doit être pris en charge par le
CPU sur tous les types de machines virtuelles.

Configurer des destinations non SD-WAN via une passerelle

VMware permet aux utilisateurs d'entreprise de définir et de configurer une instance de Non
VMware SD-WAN Site et d'établir un tunnel IPSec sécurisé vers une instance de Non VMware
SD-WAN Site via une instance de SD-WAN Gateway.

Pour configurer des destinations non SD-WAN via une passerelle :

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez un nom pour l'instance de Non VMware SD-WAN
Site.

4 Dans le menu déroulant Type, sélectionnez un type de tunnel IPSec.

VMware prend en charge les configurations de type Non VMware SD-WAN Site suivantes via
SD-WAN Gateway :

n Point de contrôle

n Cisco ASA

n Cisco ISR

VMware, Inc. 145

Guide d'administration de VMware SD-WAN

n Routeur IKEv2 générique (VPN basé sur une route)

n Hub virtuel Microsoft Azure

n Palo Alto

n SonicWALL

n Zscaler

n Routeur IKEv1 générique (VPN basé sur une route)

n Pare-feu générique (VPN basé sur la stratégie)

Note VMware prend en charge Non VMware SD-WAN Site basé sur une route générique
et basé sur la stratégie depuis la passerelle.

5 Entrez une adresse IP de la passerelle VPN principale (et la passerelle VPN secondaire si
nécessaire), puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site est créée.

Note Pour prendre en charge le type de centre de données de Non VMware SD-WAN
Site, outre la connexion IPSec, vous devez configurer des sous-réseaux locaux Non VMware
SD-WAN Site dans le système VMware.

Étape suivante

n Configurez les paramètres de tunnel pour votre Non VMware SD-WAN Site. Pour plus
d'informations sur la configuration des paramètres de tunnel pour divers types de tunnel
IPSec, reportez-vous à :

n Configurer une instance de Non VMware SD-WAN Site de type Check Point

n Configurer un Non VMware SD-WAN Site de type Cisco ASA

n Configurer une instance de Non VMware SD-WAN Site de type Cisco ISR

n Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv2 générique
via une passerelle

n Configurer un Non VMware SD-WAN Site de type Microsoft Azure

n Configurer une instance de Non VMware SD-WAN Site de type Palo Alto

n Configurer une instance de Non VMware SD-WAN Site de type SonicWALL

n Configurer une instance de Non VMware SD-WAN Site de type Zscaler

n Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv1 générique
via une passerelle

n Configurer une instance de Non VMware SD-WAN Site de type pare-feu générique (VPN
basé sur la stratégie)

VMware, Inc. 146

Guide d'administration de VMware SD-WAN

n Associez votre Non VMware SD-WAN Site à un profil ou à un dispositif Edge. Pour plus
d'informations, reportez-vous à la section :

n Configurer un tunnel entre une branche et des destinations non SD-WAN via une
passerelle

n Configurer un tunnel entre une branche et des destinations non SD-WAN via un dispositif
Edge

n Configurez la stratégie d'entreprise. Pour plus d'informations, reportez-vous à la section Créer

des règles de Business Policy.

Configurer Check Point

L'instance de SD-WAN Gateway se connecte au service Check Point CloudGuard à l'aide d'IKEv1/
IPSec. La configuration Check Point comprend deux étapes : la configuration du service Check
Point CloudGuard et la configuration de Checkpoint sur SD-WAN Orchestrator. La première étape
s'effectue sur le portail Infinity de Check Point et la seconde étape, sur SD-WAN Orchestrator.

Cliquez sur les liens des sections ci-dessous pour suivre les instructions de configuration de
Check Point.

Étape 1 :Configurer Check Point CloudGuard Connect

Étape 2 :Configurer une instance de Non VMware SD-WAN Site de type Check Point

Conditions préalables

Vous devez disposer d'un compte Check Point actif et d'informations d'identification de connexion
pour accéder au portail Infinity de Check Point.

Configurer Check Point CloudGuard Connect

Instructions sur la configuration du service Check Point CloudGuard.

Vous devez disposer d'un compte Check Point actif et d'informations d'identification de connexion
pour accéder au portail Infinity de Check Point.

Procédure

1 Pour configurer le service Check Point CloudGuard, connectez-vous au portail Infinity de

Check Point à l'adresse ([Link]

2 Une fois connecté, créez un site sur le portail Infinity de Check Point via
le lien suivant : [Link]
[Link]

Après la création d'un site sur le portail Infinity de Check Point, Configurer une instance de
Non VMware SD-WAN Site de type Check Point

Configurer une instance de Non VMware SD-WAN Site de type Check Point
Après la création d'un site sur le portail Infinity de Check Point, configurez une instance de Non
VMware SD-WAN Site de type Check Point dans SD-WAN Orchestrator.

VMware, Inc. 147

Guide d'administration de VMware SD-WAN

Pour configurer une instance de Non VMware SD-WAN Site de type Check Point dans SD-WAN
Orchestrator, procédez comme suit :

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Check Point.

5 Entrez l'adresse IP de la passerelle VPN principale (et la passerelle VPN secondaire si

nécessaire), puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type Check Point est créée et une boîte de
dialogue pour votre Non VMware SD-WAN Site s'affiche.

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

VMware, Inc. 148

Guide d'administration de VMware SD-WAN

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

PSK Clé prépartagée (PSK), qui est la clé de sécurité pour

l'authentification sur le tunnel. Par défaut, Orchestrator
génère une clé prépartagée (PSK). Si vous souhaitez
utiliser votre propre PSK ou mot de passe, vous pouvez
l'entrer dans la zone de texte.

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. La
valeur par défaut est AES 128.

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5 et 14. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2 et 5. La valeur par défaut est de 2.

8 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton
Ajouter (Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway).
Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez sur
Enregistrer les modifications (Save Changes).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel
VPN de VMware vers cette passerelle.

Note Pour l'instance de Non VMware SD-WAN Site Checkpoint, la valeur d'ID
d'authentification locale utilisée par défaut est Adresse IP publique d'interface (Interface
Public IP) de SD-WAN Gateway.

9 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN.

Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle

VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les
modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour
afficher la configuration de tunnel mise à jour.

10 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

VMware, Inc. 149

Guide d'administration de VMware SD-WAN

11 L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le

menu déroulant ID d'authentification locale (Local Auth Id), choisissez l'un des types suivants
et entrez une valeur que vous déterminez :

n Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par
exemple, [Link].

n Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de

l'utilisateur sous la forme d'une adresse e-mail. Par exemple, utilisateur@[Link].

n IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.

Si vous ne spécifiez aucune valeur, l'option Par défaut (Default) est utilisée comme ID
d'authentification locale.

12 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +. Si les sous-réseaux du
site ne sont pas nécessaires, cochez la case Désactiver les sous-réseaux du site (Disable Site
Subnets).

13 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt à
initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN de Check
Point.

14 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer un Non VMware SD-WAN Site de type Cisco ASA

Décrit comment configurer une instance de Non VMware SD-WAN Site de type Cisco ASA dans
SD-WAN Orchestrator.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Cisco ASA.

5 Entrez l'adresse IP de la passerelle VPN principale, puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type Cisco ASA est créée et une boîte de
dialogue pour votre Non VMware SD-WAN Site s'affiche.

VMware, Inc. 150

Guide d'administration de VMware SD-WAN

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

PSK Clé prépartagée (PSK), qui est la clé de sécurité pour

l'authentification sur le tunnel. Par défaut, Orchestrator
génère une clé prépartagée (PSK). Si vous souhaitez
utiliser votre propre PSK ou mot de passe, vous pouvez
l'entrer dans la zone de texte.

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. La
valeur par défaut est AES 128.

VMware, Inc. 151

Guide d'administration de VMware SD-WAN

Champ Description

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5 et 14. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2 et 5. La valeur par défaut est désactivée.

Note La passerelle VPN secondaire n'est pas prise en charge pour le type de service réseau
Cisco ASA.

Note Pour Non VMware SD-WAN Site Cisco ASA, par défaut, la valeur d'ID d'authentification
locale utilisée est l'adresse IP locale de l'interface de SD-WAN Gateway.

8 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN.

Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle

VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les
modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour
afficher la configuration de tunnel mise à jour.

9 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

10 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +.

11 Utilisez l'option Sous-réseaux source personnalisés (Custom Source Subnets) pour remplacer
les sous-réseaux source acheminés vers ce périphérique VPN. Normalement, les sous-
réseaux source sont dérivés des sous-réseaux LAN d'un dispositif Edge acheminés vers ce
périphérique.

12 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt à
initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN de Cisco ASA.

13 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer une instance de Non VMware SD-WAN Site de type Cisco ISR
Décrit comment configurer une instance de Non VMware SD-WAN Site de type Cisco ISR dans
SD-WAN Orchestrator.

VMware, Inc. 152

Guide d'administration de VMware SD-WAN

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Cisco ISR.

5 Entrez l'adresse IP de la passerelle VPN principale, puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type Cisco ISR est créée et une boîte de
dialogue pour votre Non VMware SD-WAN Site s'affiche.

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

VMware, Inc. 153

Guide d'administration de VMware SD-WAN

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

PSK Clé prépartagée (PSK), qui est la clé de sécurité pour

l'authentification sur le tunnel. Par défaut, Orchestrator
génère une clé prépartagée (PSK). Si vous souhaitez
utiliser votre propre PSK ou mot de passe, vous pouvez
l'entrer dans la zone de texte.

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. La
valeur par défaut est AES 128.

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5 et 14. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2 et 5. La valeur par défaut est Par défaut
(Default).

8 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton
Ajouter (Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway).
Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez sur
Enregistrer les modifications (Save Changes).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel
VPN de VMware vers cette passerelle.

Note Pour Non VMware SD-WAN Site Cisco ISR, par défaut, la valeur d'ID d'authentification
locale utilisée est l'adresse IP locale de l'interface de SD-WAN Gateway.

9 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN.

Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle

VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les
modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour
afficher la configuration de tunnel mise à jour.

10 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

11 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +.

VMware, Inc. 154

Guide d'administration de VMware SD-WAN

12 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt à
initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN de Cisco ISR.

13 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv2
générique via une passerelle
Décrit comment configurer une instance de Non VMware SD-WAN Site de type Routeur IKEv2
générique (VPN basé sur une route) [Generic IKEv2 Router (Route Based VPN)] dans SD-WAN
Orchestrator.

Note Pour configurer un Routeur IKEv2 générique (VPN basé sur une route) [Generic IKEv2
Router (Route Based VPN)] via un dispositif Edge, reportez-vous à la section Configurer une
instance de Non-VMware SD-WAN Site de type routeur IKEv2 générique via un dispositif Edge.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Routeur IKEv2 générique (VPN basé sur une
route) [Generic IKEv2 Router (Route Based VPN)].

5 Entrez l'adresse IP de la passerelle VPN principale (et la passerelle VPN secondaire si

nécessaire), puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type IKEv2 basée sur une route est créée et
une boîte de dialogue pour votre Non VMware SD-WAN Site s'affiche.

VMware, Inc. 155

Guide d'administration de VMware SD-WAN

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

PSK Clé prépartagée (PSK), qui est la clé de sécurité pour

l'authentification sur le tunnel. Par défaut, Orchestrator
génère une clé prépartagée (PSK). Si vous souhaitez
utiliser votre propre PSK ou mot de passe, vous pouvez
l'entrer dans la zone de texte.

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. La
valeur par défaut est AES 128.

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5 et 14. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2 et 5. La valeur par défaut est de 2.

VMware, Inc. 156

Guide d'administration de VMware SD-WAN

Champ Description

Algorithme d'authentification (Authentication Algorithm) Algorithme d'authentification de l'en-tête VPN.

Sélectionnez l'une des fonctions d'algorithme de hachage
sécurisé (SHA, Secure Hash Algorithm) prises en charge
suivantes dans la liste :
n SHA 1
n SHA 256
n SHA 384
n SHA 512
La valeur par défaut est SHA 1.

Durée de vie IKE SA (min) [IKE SA Lifetime(min)] Moment où le renouvellement de clés de l'échange
de clés Internet (IKE, Internet Security Protocol) est
initié pour les dispositifs Edge. La durée de vie IKE
minimale est de 10 minutes et la valeur maximale est de
1 440 minutes. La valeur par défaut est de 1 440 minutes.

Durée de vie IPsec SA (min) [IPsec SA Lifetime(min)] Moment où le renouvellement de clés du protocole IPsec
(Internet Security Protocol) est initié pour les dispositifs
Edge. La durée de vie IPsec minimale est de 3 minutes
et la valeur maximale est de 480 minutes. La valeur par
défaut est de 480 minutes.

Type de DPD (DPD Type) La méthode de détection d'homologue inactif (DPD,

Dead Peer Detection) est utilisée pour détecter si
l'homologue IKE (Internet Key Exchange) est actif ou
inactif. Si l'homologue est détecté comme étant inactif,
le périphérique supprime l'association de sécurité IPsec
et IKE. Sélectionnez Périodique (Periodic) ou À la
demande (onDemand) dans la liste. La valeur par défaut
est À la demande (onDemand).

Délai d'expiration de DPD (s) [DPD Timeout (sec)] Durée maximale d'attente du périphérique pour recevoir
une réponse au message DPD avant de considérer
l'homologue comme étant inactif. La valeur par défaut
est de 20 secondes. Pour désactiver DPD, configurez
le temporisateur de délai d'expiration de DPD sur
0 seconde.

Note Lorsque AWS initie le tunnel de renouvellement de clés avec une instance de VMware
SD-WAN Gateway (dans des destinations non-SD-WAN), une panne peut se produire et un
tunnel n'est pas établi, ce qui peut provoquer une interruption du trafic. Respectez les points
suivants :

n Les configurations du temporisateur de durée de vie IPsec SA Lifetime (min) pour SD-
WAN Gateway doivent être inférieures à 60 minutes (50 minutes recommandées) pour
correspondre à la configuration IPsec par défaut d'AWS.

n Les groupes DH et PFS DH doivent être mis en correspondance.

VMware, Inc. 157

Guide d'administration de VMware SD-WAN

8 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton
Ajouter (Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway).
Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez sur
Enregistrer les modifications (Save Changes).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel
VPN de VMware vers cette passerelle.

9 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN.

Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle

VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les
modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour
afficher la configuration de tunnel mise à jour.

10 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

11 L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le

menu déroulant ID d'authentification locale (Local Auth Id), choisissez l'un des types suivants
et entrez une valeur que vous déterminez :

n Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par
exemple, [Link].

n Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de

l'utilisateur sous la forme d'une adresse e-mail. Par exemple, utilisateur@[Link].

n IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.

Note Pour le VPN générique basé sur une route, si l'utilisateur ne spécifie aucune valeur,
l'option Par défaut (Default) est utilisée comme ID d'authentification locale. La valeur de
l'ID d'authentification locale par défaut est l'adresse IP publique de l'interface de SD-WAN
Gateway.

12 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +. Si les sous-réseaux du
site ne sont pas nécessaires, cochez la case Désactiver les sous-réseaux du site (Disable Site
Subnets).

13 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt
à initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN IKEv2
génériques.

14 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 158

Guide d'administration de VMware SD-WAN

Configurer un Non VMware SD-WAN Site Microsoft Azure

Décrit comment configurer un Non VMware SD-WAN Site de type Hub virtuel Microsoft Azure
dans SD-WAN Orchestrator.

Pour configurer un Non VMware SD-WAN Site de type Hub virtuel Microsoft Azure (Microsoft
Azure Virtual Hub) dans SD-WAN Orchestrator :

Conditions préalables

n Assurez-vous d'avoir configuré un abonnement IaaS. Pour connaître les étapes, reportez-vous
à la section Configurer un service réseau d'abonnement IaaS.

n Assurez-vous de créer des Hubs et des Virtual WAN dans Azure. Pour obtenir des
instructions, reportez-vous à la section Configurer Azure Virtual WAN pour la connectivité
VPN branche-vers-Azure.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Hub virtuel Microsoft Azure (Microsoft Azure
Virtual Hub).

5 Dans le menu déroulant Abonnement (Subscription), sélectionnez un abonnement.

L'application extrait tous les Virtual WAN disponibles dynamiquement à partir d'Azure.

VMware, Inc. 159

Guide d'administration de VMware SD-WAN

6 Dans le menu déroulant Virtual WAN, sélectionnez un réseau étendu virtuel.

L'application remplit automatiquement le groupe de ressources auquel le WAN virtuel est

associé.

7 Dans le menu déroulant Hub virtuel (Virtual Hub), sélectionnez un Hub virtuel.

L'application remplit automatiquement la région Azure correspondant au Hub

8 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] pour permettre aux passerelles
VPN VMware d'initier des connexions VPN au Hub virtuel cible, dès que le site est provisionné
correctement.

Note Les passerelles VPN VMware ne lancent pas la négociation IKE tant que ce Non
VMware SD-WAN Site n'est pas configuré sur au moins un profil.

Note Pour le Non VMware SD-WAN Site Microsoft Azure, la valeur d'ID d'authentification
locale utilisée par défaut est Adresse IP publique d'interface (Interface Public IP) de SD-WAN
Gateway.

9 Cliquez sur Suivant (Next).

SD-WAN Orchestrator lance automatiquement le déploiement, provisionne les sites VPN

Azure, télécharge la configuration de site VPN pour les sites que vous venez de configurer
et stocke la configuration dans la base de données de configuration du Non VMware SD-WAN
Site de SD-WAN Orchestrator.

Résultats

Une fois les sites VPN Azure provisionnés du côté de SD-WAN Orchestrator, vous pouvez afficher
les sites VPN (principaux et redondants) dans le portail Azure en accédant à Virtual WAN >
Architecture du WAN virtuel (Virtual WAN architecture) > Sites VPN (VPN sites).

VMware, Inc. 160

Guide d'administration de VMware SD-WAN

Étape suivante

n Associez le Non VMware SD-WAN Site Azure Microsoft à un profil afin d'établir un tunnel
entre une branche et un Hub virtuel Azure. Pour plus d'informations, reportez-vous à la
section Associer un Non VMware SD-WAN Site à un profil.

n Vous devez ajouter manuellement des routes SD-WAN dans le réseau Azure. Pour plus
d'informations, reportez-vous à la section Modifier un site VPN.

Configurer une instance de Non VMware SD-WAN Site de type Palo Alto
Décrit comment configurer une instance de Non VMware SD-WAN Site de type Palo Alto dans
SD-WAN Orchestrator.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Palo Alto.

5 Entrez l'adresse IP de la passerelle VPN principale, puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type Palo Alto est créée et une boîte de
dialogue pour votre Non VMware SD-WAN Site s'affiche.

VMware, Inc. 161

Guide d'administration de VMware SD-WAN

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

PSK Clé prépartagée (PSK), qui est la clé de sécurité pour

l'authentification sur le tunnel. Par défaut, Orchestrator
génère une clé prépartagée (PSK). Si vous souhaitez
utiliser votre propre PSK ou mot de passe, vous pouvez
l'entrer dans la zone de texte.

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. La
valeur par défaut est AES 128.

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5 et 14. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2 et 5. La valeur par défaut est de 2.

VMware, Inc. 162

Guide d'administration de VMware SD-WAN

8 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton
Ajouter (Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway).
Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez sur
Enregistrer les modifications (Save Changes).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel
VPN de VMware vers cette passerelle.

Note Pour l'instance de Non VMware SD-WAN Site Palo Alto, la valeur de l'ID
d'authentification locale utilisée par défaut est Adresse IP publique d'interface (Interface
Public IP) de SD-WAN Gateway.

9 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN.

Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle

VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les
modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour
afficher la configuration de tunnel mise à jour.

10 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

11 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +.

12 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt à
initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN de Palo Alto.

13 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer une instance de Non VMware SD-WAN Site de type SonicWALL

Décrit comment configurer une instance de Non VMware SD-WAN Site de type SonicWALL dans
SD-WAN Orchestrator.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

VMware, Inc. 163

Guide d'administration de VMware SD-WAN

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez SonicWALL.

5 Entrez l'adresse IP de la passerelle VPN principale, puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type SonicWALL est créée et une boîte de
dialogue pour votre Non VMware SD-WAN Site s'affiche.

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

PSK Clé prépartagée (PSK), qui est la clé de sécurité pour

l'authentification sur le tunnel. Par défaut, Orchestrator
génère une clé prépartagée (PSK). Si vous souhaitez
utiliser votre propre PSK ou mot de passe, vous pouvez
l'entrer dans la zone de texte.

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. La
valeur par défaut est AES 128.

VMware, Inc. 164

Guide d'administration de VMware SD-WAN

Champ Description

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5 et 14. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2 et 5. La valeur par défaut est de 2.

8 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton
Ajouter (Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway).
Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez sur
Enregistrer les modifications (Save Changes).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel
VPN de VMware vers cette passerelle.

Note Pour l'instance de Non VMware SD-WAN Site SonicWALL, la valeur de l'ID
d'authentification locale utilisée par défaut est Adresse IP publique d'interface (Interface
Public IP) de SD-WAN Gateway.

9 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN.

Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle

VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les
modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour
afficher la configuration de tunnel mise à jour.

10 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

11 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +.

12 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt
à initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN de
SonicWALL.

13 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer Zscaler
La configuration de Zscaler comporte quatre étapes majeures. Vous devez effectuer toutes les
quatre étapes pour effectuer cette configuration.

VMware, Inc. 165

Guide d'administration de VMware SD-WAN

Les trois premières étapes majeures comprennent la configuration d'une passerelle de tunnel
IPSec VPN entre VMware et Zscaler. La dernière étape nécessite la configuration des règles
d'entreprise. Effectuez les étapes de configuration suivantes :

1 Créez et configurez une instance de Non VMware SD-WAN Site.

2 Ajoutez une instance de Non VMware SD-WAN Site au profil de configuration.

3 Configuration de Zscaler : créez un compte, ajoutez des informations d'identification VPN et

ajoutez un emplacement.

4 Configurez les règles de priorité d'entreprise.

Note Vous effectuerez l'étape 1, l'étape 2 et l'étape 4 dans SD-WAN Orchestrator. Vous
effectuerez l'étape 3 sur le site de Zscaler.

Configurer une instance de Non VMware SD-WAN Site de type Zscaler

Pour créer et configurer une instance de Non VMware SD-WAN Site de type Zscaler, procédez
comme suit :

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services). L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Zscaler.

5 Entrez l'adresse IP de la passerelle VPN principale (et la passerelle VPN secondaire si

nécessaire), puis cliquez sur Suivant (Next). Une instance de Non VMware SD-WAN Site
de type Zscaler est créée et une boîte de dialogue pour votre Non VMware SD-WAN Site
s'affiche.

VMware, Inc. 166

Guide d'administration de VMware SD-WAN

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), sous Paramètres de tunnel
(Tunnel Settings), vous pouvez configurer la clé prépartagée (PSK), qui est la clé de sécurité
pour l'authentification dans le tunnel. Par défaut, Orchestrator génère une clé prépartagée
(PSK). Si vous souhaitez utiliser votre propre PSK ou mot de passe, vous pouvez l'entrer dans
la zone de texte.

8 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton
Ajouter (Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway).
Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez
sur Enregistrer les modifications (Save Changes). La passerelle VPN secondaire est créée
immédiatement pour ce site et provisionne un tunnel VPN de VMware vers cette passerelle.

9 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN. Les modifications apportées à la
PSK de la passerelle VPN principale s'appliquent également aux tunnels VPN redondants, s'ils
sont configurés. Après avoir modifié les paramètres de tunnel de la passerelle VPN principale,
enregistrez les modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec
Template) pour afficher la configuration de tunnel mise à jour.

10 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

VMware, Inc. 167

Guide d'administration de VMware SD-WAN

11 L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le

menu déroulant ID d'authentification locale (Local Auth Id), choisissez l'un des types suivants
et entrez une valeur que vous déterminez :

n Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par
exemple, [Link].

n Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de

l'utilisateur sous la forme d'une adresse e-mail. Par exemple, utilisateur@[Link].

n IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.

Note Pour Non VMware SD-WAN Site Zscaler, il est recommandé d'utiliser le nom de
domaine complet ou le nom de domaine complet de l'utilisateur comme ID d'authentification
locale.

12 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt à
initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN de Zscaler.

13 Cliquez sur Enregistrer les modifications (Save Changes).

Associer une instance de Non VMware SD-WAN Site à un profil de configuration

Après la configuration d'une instance de Non VMware SD-WAN Site de type Zscaler dans
SD-WAN Orchestrator, vous devez associer Non VMware SD-WAN Site au profil souhaité afin
d'établir les tunnels entre SD-WAN Gateways et les passerelles VPN Zscaler. Pour associer une
instance de Non VMware SD-WAN Site à un profil de configuration, procédez comme suit :

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Profils (Profiles). La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil à associer à votre Non VMware SD-WAN Site de type Zscaler et cliquez
sur l'icône sous la colonne Périphérique (Device). La page Paramètres du périphérique
(Device Settings) pour le profil sélectionné s'affiche.

3 Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton
bascule sur Actif (On).

4 Sous Branche vers destinations non-SD-WAN via une passerelle (Branch to Non SD-WAN
Destinations via Gateway), cochez la case Activer (Enable).

5 Dans le menu déroulant, sélectionnez votre Non VMware SD-WAN Site de type Zscaler pour
établir une connexion VPN entre la branche et l'instance de Non VMware SD-WAN Site sous
Zscaler.

6 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer Zscaler
Cette section décrit la configuration de Zscaler.

VMware, Inc. 168

Guide d'administration de VMware SD-WAN

Suivez la procédure suivante sur le site Web de Zscaler. À partir de là, créez un compte Zscaler,
ajouter des informations d'identification VPN et ajoutez un emplacement.

1 Sur le site Web de Zscaler, créez un compte de sécurité Web Zscaler.

2 Configurez vos informations d'identification VPN :

a En haut de l'écran Zscaler, placez le curseur de la souris sur l'option Administration pour
afficher le menu déroulant. (Voir l'image ci-dessous.)

b Sous Ressources (Resources), cliquez sur Informations d'identification VPN (VPN

Credentials).

VMware, Inc. 169

Guide d'administration de VMware SD-WAN

c Cliquez sur Ajouter des informations d'identification VPN (Add VPN Credentials) dans le
coin supérieur gauche.

d Dans la boîte de dialogue Ajouter des informations d'identification VPN (Add VPN
Credential) :

1 Choisissez Nom de domaine complet (FQDN) comme type d'authentification.

2 Entrez l'ID d'utilisateur et la clé prépartagée (PSK). Vous avez obtenu ces informations
dans la boîte de dialogue de votre instance de Non VMware SD-WAN Site dans SD-
WAN Orchestrator.

3 Si nécessaire, entrez des commentaires dans la section Commentaires (Comments).

VMware, Inc. 170

Guide d'administration de VMware SD-WAN

4 Cliquez sur Enregistrer (Save).

3 Attribuer un emplacement :

a En haut de l'écran Zscaler, placez le curseur de la souris sur l'option Administration pour
afficher le menu déroulant.

b Sous Ressources (Resources), cliquez sur Emplacements (Locations).

c Cliquez sur Ajouter un emplacement (Add Location) dans le coin supérieur gauche.

d Dans la boîte de dialogue Ajouter un emplacement (Add Location) (voir l'image ci-
dessous) :

1 Renseignez les zones de texte dans la zone Emplacement [Location] (Nom, Pays, État/
Province, Fuseau horaire).

2 Choisissez Aucun (None) dans le menu déroulant Adresses IP publiques (Public IP

Addresses).

3 Dans le menu déroulant Informations d'identification VPN (VPN Credentials),

sélectionnez celles que vous venez de créer. (Voir l'image ci-dessous.)

4 Cliquez sur Terminé (Done).

5 Cliquez sur Enregistrer (Save).

VMware, Inc. 171

Guide d'administration de VMware SD-WAN

Configurer les règles de priorité d'entreprise

Définissez la business policy dans votre instance de SD-WAN Orchestrator pour déterminer le
filtrage de sécurité Web. La business policy correspond aux paramètres tels que les adresses IP,
les ports, les ID VLAN, les interfaces, les noms de domaine, les protocoles, le système
d'exploitation, les groupes d'objets, les applications et les balises DSCP. Lorsqu'un paquet
de données correspond aux conditions de correspondance, l'action ou les actions associées
sont effectuées. Si un paquet ne correspond à aucun paramètre, une action par défaut lui est
appliquée.

Pour créer une business policy :

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Dispositifs Edge (Edges).

2 Dans l'écran Dispositifs Edge (Edges), cliquez sur l'icône Stratégie Biz (Biz. Pol) de votre
dispositif Edge.

3 Cliquez sur le bouton Nouvelle règle (New Rule). La boîte de dialogue Configurer la règle
(Configure Rule) s'affiche.

VMware, Inc. 172

Guide d'administration de VMware SD-WAN

a Dans la zone de texte Nom de la règle (Rule Name), entrez un nom pour la règle.

VMware, Inc. 173

Guide d'administration de VMware SD-WAN

b Dans la zone Correspondance (Match), configurez les conditions de correspondance pour

la règle.

Note VMware recommande de configurer des règles de business policy pour établir un
backhaul du trafic Web, à l'aide des ports 80 et 443. Vous pouvez envoyer tout le trafic
Internet pour établir un backhaul de Zscaler.

c Dans la zone Action, configurez les actions de la règle.

d Cliquez sur OK.

Pour plus d'informations sur la création d'une règle de business policy, reportez-vous à la
section Créer des règles de Business Policy.

Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv1
générique via une passerelle
Décrit comment configurer une instance de Non VMware SD-WAN Site de type Routeur IKEv1
générique (VPN basé sur une route) [Generic IKEv1 Router (Route Based VPN)] via SD-WAN
Gateway dans SD-WAN Orchestrator.

Note Pour configurer un Routeur IKEv1 générique (VPN basé sur une route) [Generic IKEv1
Router (Route Based VPN)] via un dispositif Edge, reportez-vous à la section Configurer une
instance de Non-VMware SD-WAN Site de type routeur IKEv1 générique via un dispositif Edge.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Routeur IKEv1 générique (VPN basé sur une
route) [Generic IKEv1 Router (Route Based VPN)].

5 Entrez l'adresse IP de la passerelle VPN principale (et la passerelle VPN secondaire si

nécessaire), puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type IKEv1 basée sur une route est créée et
une boîte de dialogue pour votre Non VMware SD-WAN Site s'affiche.

VMware, Inc. 174

Guide d'administration de VMware SD-WAN

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

PSK Clé prépartagée (PSK), qui est la clé de sécurité pour

l'authentification sur le tunnel. Par défaut, Orchestrator
génère une clé prépartagée (PSK). Si vous souhaitez
utiliser votre propre PSK ou mot de passe, vous pouvez
l'entrer dans la zone de texte.

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. La
valeur par défaut est AES 128.

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5 et 14. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2 et 5. La valeur par défaut est de 2.

VMware, Inc. 175

Guide d'administration de VMware SD-WAN

8 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cliquez sur le bouton
Ajouter (Add) en regard de l'option Passerelle VPN secondaire (Secondary VPN Gateway).
Dans la fenêtre contextuelle, entrez l'adresse IP de la passerelle VPN secondaire et cliquez sur
Enregistrer les modifications (Save Changes).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel
VPN de VMware vers cette passerelle.

9 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN.

Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle

VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les
modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour
afficher la configuration de tunnel mise à jour.

10 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

11 L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le

menu déroulant ID d'authentification locale (Local Auth Id), choisissez l'un des types suivants
et entrez une valeur que vous déterminez :

n Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par
exemple, [Link].

n Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de

l'utilisateur sous la forme d'une adresse e-mail. Par exemple, utilisateur@[Link].

n IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.

Note Pour le VPN générique basé sur une route, si l'utilisateur ne spécifie aucune valeur,
l'option Par défaut (Default) est utilisée comme ID d'authentification locale. La valeur de
l'ID d'authentification locale par défaut est l'adresse IP publique de l'interface de SD-WAN
Gateway.

12 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +. Si les sous-réseaux du
site ne sont pas nécessaires, cochez la case Désactiver les sous-réseaux du site (Disable Site
Subnets).

13 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt
à initier le tunnel depuis l'instance de SD-WAN Gateway vers les passerelles VPN IKEv1
génériques.

14 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 176

Guide d'administration de VMware SD-WAN

Configurer une instance de Non VMware SD-WAN Site de type pare-feu

générique (VPN basé sur la stratégie)
Décrit comment configurer une instance de Non VMware SD-WAN Site de type Pare-feu
générique (VPN basé sur la stratégie) [Generic Firewall (Policy Based VPN)] dans SD-WAN
Orchestrator.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Pare-feu générique (VPN basé sur la stratégie)
[Generic Firewall (Policy Based VPN)].

5 Entrez l'adresse IP de la passerelle VPN principale, puis cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type Pare-feu générique (VPN basé sur la
stratégie) est créée et une boîte de dialogue pour votre Non VMware SD-WAN Site s'affiche.

VMware, Inc. 177

Guide d'administration de VMware SD-WAN

6 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

7 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

PSK Clé prépartagée (PSK), qui est la clé de sécurité pour

l'authentification sur le tunnel. Par défaut, Orchestrator
génère une clé prépartagée (PSK). Si vous souhaitez
utiliser votre propre PSK ou mot de passe, vous pouvez
l'entrer dans la zone de texte.

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. La
valeur par défaut est AES 128.

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5 et 14. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2 et 5. La valeur par défaut est désactivée.

Note La passerelle VPN secondaire n'est pas prise en charge pour le type de service réseau
de pare-feu générique (VPN basé sur la stratégie).

8 Cochez la case VPN de cloud VeloCloud redondant (Redundant VeloCloud Cloud VPN) pour
ajouter des tunnels redondants à chaque passerelle VPN.

Les modifications apportées au chiffrement, au groupe DH ou au PFS de la passerelle

VPN principale s'appliquent également aux tunnels VPN redondants, s'ils sont configurés.
Après avoir modifié les paramètres de tunnel de la passerelle VPN principale, enregistrez les
modifications, puis cliquez sur Afficher le modèle IKE/IPSec (View IKE/IPSec Template) pour
afficher la configuration de tunnel mise à jour.

9 Cliquez sur le lien Mettre à jour l'emplacement (Update location) pour définir l'emplacement
de l'instance de Non VMware SD-WAN Site configurée. Les détails de la latitude et de la
longitude permettent de déterminer le meilleur dispositif Edge ou la meilleure passerelle à
connecter au réseau.

10 L'ID d'authentification locale définit le format et l'identification de la passerelle locale. Dans le

menu déroulant ID d'authentification locale (Local Auth Id), choisissez l'un des types suivants
et entrez une valeur que vous déterminez :

n Nom de domaine complet (FQDN) : nom de domaine complet ou nom d'hôte. Par
exemple, [Link].

n Nom de domaine complet de l'utilisateur (User FQDN) : nom de domaine complet de

l'utilisateur sous la forme d'une adresse e-mail. Par exemple, utilisateur@[Link].

VMware, Inc. 178

Guide d'administration de VMware SD-WAN

n IPv4 : adresse IP utilisée pour communiquer avec la passerelle locale.

Note Pour le pare-feu générique (VPN basé sur la stratégie), si l'utilisateur ne spécifie aucune
valeur, l'option Par défaut (Default) est utilisée comme ID d'authentification locale. La valeur
de l'ID d'authentification locale par défaut est l'adresse IP locale de l'interface de SD-WAN
Gateway.

11 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +. Si les sous-réseaux du
site ne sont pas nécessaires, cochez la case Désactiver les sous-réseaux du site (Disable Site
Subnets).

12 Utilisez l'option Sous-réseaux source personnalisés (Custom Source Subnets) pour remplacer
les sous-réseaux source acheminés vers ce périphérique VPN. Normalement, les sous-
réseaux source sont dérivés des sous-réseaux LAN d'un dispositif Edge acheminés vers ce
périphérique.

13 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] une fois que vous êtes prêt
à initier le tunnel de l'instance de SD-WAN Gateway vers les passerelles VPN de pare-feu
générique (VPN basé sur la stratégie).

14 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer Amazon Web Services

VMware prend en charge la configuration d'Amazon Web Services (AWS) dans un Non VMware
SD-WAN Site.

Configurez Amazon Web Services (AWS) comme suit :

1 Obtenez les détails de l'adresse IP publique, de l'adresse IP interne et de la clé prépartagée

sur le site Web d'Amazon Web Services.

2 Entrez les détails que vous avez obtenus sur le site Web d'AWS dans le service réseau non-
VMware dans SD-WAN Orchestrator.

Obtenir les informations de configuration d'Amazon Web Services

Décrit comment obtenir les informations de configuration d'Amazon Web Services.

1 Dans Amazon Web Services, créez des connexions VPC et VPN. Reportez-vous aux
instructions de la documentation d'Amazon : [Link]
[Link].

2 Notez les instances de SD-WAN Gateways associées au compte d'entreprise dans SD-WAN
Orchestrator qui peuvent être nécessaires pour créer une passerelle privée virtuelle dans
Amazon Web Services.

3 Notez les informations d'adresse IP publique, d'adresse IP interne et de clé prépartagée

associées à la passerelle privée virtuelle. Vous devez entrer ces informations dans SD-WAN
Orchestrator lorsque vous créez une instance de Non VMware SD-WAN Site.

VMware, Inc. 179

Guide d'administration de VMware SD-WAN

Configurer une instance de Non VMware SD-WAN Site

Une fois que vous avez obtenu l'adresse IP publique, l'adresse IP interne et les informations de
PSK sur le site Web d'Amazon Web Services (AWS), vous pouvez configurer une instance de Non
VMware SD-WAN Site.

Pour configurer une instance de Non VMware SD-WAN Site via une passerelle, reportez-vous à :

n Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv1 générique via
une passerelle

n Configurer une instance de Non VMware SD-WAN Site de type routeur IKEv2 générique via
une passerelle

Pour configurer une instance de Non VMware SD-WAN Site via un dispositif Edge, reportez-vous
à:

n Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv1 générique via un
dispositif Edge

n Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv2 générique via
un dispositif Edge

Configurer des destinations non SD-WAN via un dispositif Edge

VMware permet aux utilisateurs d'entreprise de définir et de configurer une instance de Non
VMware SD-WAN Site et d'établir un tunnel IPSec sécurisé directement depuis un dispositif SD-
WAN Edge vers une instance de Non VMware SD-WAN Site.

Note VMware ne prend en charge que le routeur IKEv2 générique (VPN basé sur une route) et le
routeur IKEv1 générique (VPN basé sur une route) Non VMware SD-WAN Site depuis un dispositif
Edge. Cela permet au dispositif Edge d'établir un tunnel IPSec vers un centre de données AWS
ou un centre de données Azure. Actuellement, VMware vérifie uniquement la prise en charge du
tunnel IPSec vers les centres de données AWS et Azure.

Pour configurer des destinations non SD-WAN via un dispositif Edge :

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations
via Edge), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN

Destinations via Edge) s'affiche.

VMware, Inc. 180

Guide d'administration de VMware SD-WAN

3 Dans la zone de texte Nom du service (Service Name), entrez un nom pour l'instance de Non
VMware SD-WAN Site.

4 Dans le menu déroulant Type de service (Service Type), sélectionnez le routeur IKEv2
générique (VPN basé sur une route) ou le routeur IKEv1 générique (VPN basé sur une route)
comme type de tunnel IPSec.

5 Cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site est créée.

Note Pour prendre en charge le type de centre de données de Non VMware SD-WAN
Site, outre la connexion IPSec, vous devez configurer des sous-réseaux locaux Non VMware
SD-WAN Site dans le système VMware.

Étape suivante

n Configurez les paramètres de tunnel pour votre Non VMware SD-WAN Site. Pour plus
d'informations, reportez-vous à la section :

n Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv1 générique
via un dispositif Edge

n Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv2 générique
via un dispositif Edge

n Associez votre Non VMware SD-WAN Site à un profil ou à un dispositif Edge. Pour plus
d'informations, reportez-vous à la section Configurer un tunnel entre une branche et des
destinations non SD-WAN via un dispositif Edge.

n Configurez les paramètres de tunnel (sélection d'une liaison WAN et informations

d'identification par tunnel) au niveau du dispositif Edge. Pour plus d'informations, reportez-
vous à la section Configurer les paramètres de tunnel et de VPN cloud au niveau du dispositif
Edge.

n Configurez la stratégie d'entreprise. La configuration de la stratégie d'entreprise est une

procédure facultative pour les destinations non SD-WAN via un dispositif Edge. Si aucune
instance de Non VMware SD-WAN Sites n'est configurée, vous pouvez rediriger le trafic
Internet via la stratégie d'entreprise. Pour plus d'informations, reportez-vous à la section Créer
des règles de Business Policy.

VMware, Inc. 181

Guide d'administration de VMware SD-WAN

Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv1

générique via un dispositif Edge
Décrit comment configurer une instance de Non VMware SD-WAN Site de type Routeur IKEv1
générique (VPN basé sur une route) [Generic IKEv1 Router (Route Based VPN)] via SD-WAN
Edge dans SD-WAN Orchestrator.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations
via Edge), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN

Destinations via Edge) s'affiche.

3 Dans la zone de texte Nom du service (Service Name), entrez un nom pour l'instance de Non
VMware SD-WAN Site.

4 Dans le menu déroulant Type de service (Service Type), sélectionnez Routeur IKEv1
générique (VPN basé sur une route) [Generic IKEv1 Router (Route Based VPN)] comme
type de tunnel IPSec.

5 Cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type IKEv1 basée sur une route est créée et
une boîte de dialogue pour votre Non VMware SD-WAN Site s'affiche.

VMware, Inc. 182

Guide d'administration de VMware SD-WAN

6 Sous Passerelle VPN principale (Primary VPN Gateway), dans la zone de texte Adresse IP
publique (Public IP), entrez l'adresse IP de la passerelle VPN principale.

7 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

8 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. Si
vous ne souhaitez pas chiffrer les données, sélectionnez
Nul (Null). La valeur par défaut est AES 128.

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5, 14, 15 et 16. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2, 5, 14, 15 et 16. La valeur par défaut est
Désactivé (Disabled).

Hachage (Hash) Algorithme d'authentification de l'en-tête VPN.

Sélectionnez l'une des fonctions d'algorithme de hachage
sécurisé (SHA, Secure Hash Algorithm) prises en charge
suivantes dans la liste :
n SHA 1
n SHA 256
n SHA 384
n SHA 512
La valeur par défaut est SHA 256.

Durée de vie IKE SA (min) [IKE SA Lifetime(min)] Moment où le renouvellement de clés de l'échange
de clés Internet (IKE, Internet Security Protocol) est
initié pour les dispositifs Edge. La durée de vie IKE
minimale est de 10 minutes et la valeur maximale est de
1 440 minutes. La valeur par défaut est de 1 440 minutes.

VMware, Inc. 183

Guide d'administration de VMware SD-WAN

Champ Description

Durée de vie IPsec SA (min) [IPsec SA Lifetime(min)] Moment où le renouvellement de clés du protocole IPsec
(Internet Security Protocol) est initié pour les dispositifs
Edge. La durée de vie IPsec minimale est de 3 minutes
et la valeur maximale est de 480 minutes. La valeur par
défaut est de 480 minutes.

Temporisateur du délai d'expiration DPD (s) [DPD Durée maximale d'attente du périphérique pour recevoir
Timeout Timer(sec)] une réponse au message DPD avant de considérer
l'homologue comme étant inactif. La valeur par défaut
est de 20 secondes. Pour désactiver DPD, configurez
le temporisateur de délai d'expiration de DPD sur
0 seconde.

Note Lorsque AWS initie le tunnel de renouvellement de clés avec une instance de VMware
SD-WAN Gateway (dans des destinations non-SD-WAN), une panne peut se produire et un
tunnel n'est pas établi, ce qui peut provoquer une interruption du trafic. Respectez les points
suivants :

n Les configurations du temporisateur de durée de vie IPsec SA Lifetime (min) pour SD-
WAN Gateway doivent être inférieures à 60 minutes (50 minutes recommandées) pour
correspondre à la configuration IPsec par défaut d'AWS.

n Les groupes DH et PFS DH doivent être mis en correspondance.

9 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cochez la case Passerelle
VPN secondaire (Secondary VPN Gateway), puis entrez l'adresse IP de la passerelle VPN
secondaire dans la zone de texte Adresse IP publique (Public IP).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel
VPN de VMware vers cette passerelle.

10 Cochez la case Garder le tunnel actif (Keep Tunnel Active) pour garder le tunnel VPN
secondaire actif pour ce site.

11 Cochez la case Les paramètres de tunnel sont identiques à ceux de la passerelle VPN
principale (Tunnel settings are same as Primary VPN Gateway) pour appliquer les mêmes
paramètres de tunnel que ceux de la passerelle VPN principale.

Les modifications des paramètres de tunnel apportées à la passerelle VPN principale

s'appliquent également aux tunnels VPN secondaires, s'ils sont configurés.

12 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +.

Note Pour prendre en charge le type de centre de données de Non VMware SD-WAN
Site, outre la connexion IPSec, vous devez configurer des sous-réseaux locaux Non VMware
SD-WAN Site dans le système VMware.

13 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 184

Guide d'administration de VMware SD-WAN

Configurer une instance de Non-VMware SD-WAN Site de type routeur IKEv2

générique via un dispositif Edge
Décrit comment configurer une instance de Non VMware SD-WAN Site de type Routeur IKEv2
générique (VPN basé sur une route) [Generic IKEv2 Router (Route Based VPN)] via SD-WAN
Edge dans SD-WAN Orchestrator.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN Destinations
via Edge), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Destinations non-SD-WAN via un dispositif Edge (Non SD-WAN

Destinations via Edge) s'affiche.

3 Dans la zone de texte Nom du service (Service Name), entrez un nom pour l'instance de Non
VMware SD-WAN Site.

4 Dans le menu déroulant Type de service (Service Type), sélectionnez Routeur IKEv2
générique (VPN basé sur une route) [Generic IKEv2 Router (Route Based VPN)] comme
type de tunnel IPSec.

5 Cliquez sur Suivant (Next).

Une instance de Non VMware SD-WAN Site de type IKEv2 basée sur une route est créée et
une boîte de dialogue pour votre Non VMware SD-WAN Site s'affiche.

VMware, Inc. 185

Guide d'administration de VMware SD-WAN

6 Sous Passerelle VPN principale (Primary VPN Gateway), dans la zone de texte Adresse IP
publique (Public IP), entrez l'adresse IP de la passerelle VPN principale.

7 Pour configurer les paramètres de tunnel pour la passerelle VPN principale de Non VMware
SD-WAN Site, cliquez sur le bouton Avancé (Advanced).

8 Dans la zone Passerelle VPN principale (Primary VPN Gateway), vous pouvez configurer les
paramètres de tunnel suivants :

Champ Description

Chiffrement (Encryption) Sélectionnez AES 128 ou AES 256 comme taille de clé
d'algorithmes AES pour le chiffrement des données. Si
vous ne souhaitez pas chiffrer les données, sélectionnez
Nul (Null). La valeur par défaut est AES 128.

Groupe DH (DH Group) Sélectionnez l'algorithme de groupe Diffie-Hellman (DH)

à utiliser lors de l'échange d'une clé prépartagée. Le
groupe DH définit la puissance de l'algorithme en bits.
Les groupes DH pris en charge sont 2, 5, 14, 15 et 16. Il est
recommandé d'utiliser le groupe DH 14.

PFS Sélectionnez le niveau PFS (Perfect Forward Secrecy)

pour renforcer la sécurité. Les niveaux de PFS pris en
charge sont 2, 5, 14, 15 et 16. La valeur par défaut est
Désactivé (Disabled).

Hachage (Hash) Algorithme d'authentification de l'en-tête VPN.

Sélectionnez l'une des fonctions d'algorithme de hachage
sécurisé (SHA, Secure Hash Algorithm) prises en charge
suivantes dans la liste :
n SHA 1
n SHA 256
n SHA 384
n SHA 512
La valeur par défaut est SHA 256.

Durée de vie IKE SA (min) [IKE SA Lifetime(min)] Moment où le renouvellement de clés de l'échange
de clés Internet (IKE, Internet Security Protocol) est
initié pour les dispositifs Edge. La durée de vie IKE
minimale est de 10 minutes et la valeur maximale est de
1 440 minutes. La valeur par défaut est de 1 440 minutes.

VMware, Inc. 186

Guide d'administration de VMware SD-WAN

Champ Description

Durée de vie IPsec SA (min) [IPsec SA Lifetime(min)] Moment où le renouvellement de clés du protocole IPsec
(Internet Security Protocol) est initié pour les dispositifs
Edge. La durée de vie IPsec minimale est de 3 minutes
et la valeur maximale est de 480 minutes. La valeur par
défaut est de 480 minutes.

Temporisateur du délai d'expiration DPD (s) [DPD Durée maximale d'attente du périphérique pour recevoir
Timeout Timer(sec)] une réponse au message DPD avant de considérer
l'homologue comme étant inactif. La valeur par défaut
est de 20 secondes. Pour désactiver DPD, configurez
le temporisateur de délai d'expiration de DPD sur
0 seconde.

Note Lorsque AWS initie le tunnel de renouvellement de clés avec une instance de VMware
SD-WAN Gateway (dans des destinations non-SD-WAN), une panne peut se produire et un
tunnel n'est pas établi, ce qui peut provoquer une interruption du trafic. Respectez les points
suivants :

n Les configurations du temporisateur de durée de vie IPsec SA Lifetime (min) pour SD-
WAN Gateway doivent être inférieures à 60 minutes (50 minutes recommandées) pour
correspondre à la configuration IPsec par défaut d'AWS.

n Les groupes DH et PFS DH doivent être mis en correspondance.

9 Si vous souhaitez créer une passerelle VPN secondaire pour ce site, cochez la case Passerelle
VPN secondaire (Secondary VPN Gateway), puis entrez l'adresse IP de la passerelle VPN
secondaire dans la zone de texte Adresse IP publique (Public IP).

La passerelle VPN secondaire est créée immédiatement pour ce site et provisionne un tunnel
VPN de VMware vers cette passerelle.

10 Cochez la case Garder le tunnel actif (Keep Tunnel Active) pour garder le tunnel VPN
secondaire actif pour ce site.

11 Cochez la case Les paramètres de tunnel sont identiques à ceux de la passerelle VPN
principale (Tunnel settings are same as Primary VPN Gateway) pour appliquer les mêmes
paramètres de tunnel que ceux de la passerelle VPN principale.

Les modifications des paramètres de tunnel apportées à la passerelle VPN principale

s'appliquent également aux tunnels VPN secondaires, s'ils sont configurés.

12 Sous Sous-réseaux du site (Site Subnets), vous pouvez ajouter des sous-réseaux pour
l'instance de Non VMware SD-WAN Site en cliquant sur le bouton +.

Note Pour prendre en charge le type de centre de données de Non VMware SD-WAN
Site, outre la connexion IPSec, vous devez configurer des sous-réseaux locaux Non VMware
SD-WAN Site dans le système VMware.

13 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 187

Guide d'administration de VMware SD-WAN

Configurer le tunnel entre la branche et les destinations non SD-WAN via un

dispositif Edge
Après avoir configuré une instance de Non VMware SD-WAN Site via un dispositif Edge dans
SD-WAN Orchestrator, vous devez associer l'instance de Non VMware SD-WAN Site au profil
souhaité afin d'établir les tunnels entre SD-WAN Gateways et l'instance de Non VMware SD-WAN
Site.

Pour établir une connexion VPN entre une branche et une instance de Non VMware SD-WAN Site
configurée via un dispositif Edge, procédez comme suit.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne
Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton
bascule sur Actif (On).

4 Pour établir une connexion VPN directement depuis un dispositif SD-WAN Edge vers une
instance de Non VMware SD-WAN Site (passerelle VPN d'un fournisseur de cloud, tel
qu'Azure, AWS), cochez la case Activer (Enable) sous Branche vers destination non-SD-
WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge).

5 Dans la liste de services configurés, sélectionnez une instance de Non VMware SD-WAN Site
pour établir une connexion VPN. Cliquez sur le bouton + (plus) pour ajouter un Non VMware
SD-WAN Sites supplémentaire.

Note Seul un service de destinations non SD-WAN via une passerelle peut être activé dans
un segment au maximum. Deux segments ne peuvent pas comporter le même service de
destinations non SD-WAN via un dispositif Edge activé.

Pour plus d'informations sur la configuration d'un service réseau Non VMware SD-WAN Site
via un dispositif Edge, reportez-vous à la section Configurer des destinations non SD-WAN via
un dispositif Edge.

6 Pour désactiver un service particulier, décochez la case Activer le service (Enable Service)
correspondante.

7 Cliquez sur Enregistrer les modifications (Save Changes).

Note Avant d'associer une instance de Non VMware SD-WAN Site à un profil, assurez-vous
que la passerelle du centre de données d'entreprise est déjà configurée par l'administrateur
du centre de données d'entreprise et que le tunnel VPN du centre de données est activé.

VMware, Inc. 188

Guide d'administration de VMware SD-WAN

Configurer les paramètres de VPN cloud et de tunnel au niveau du dispositif

Edge
Les paramètres VPN cloud du dispositif Edge sont hérités du profil associé au dispositif Edge
et peuvent être vérifiés dans l'onglet Périphérique (Device) du dispositif Edge. Au niveau du
dispositif Edge, vous pouvez remplacer les paramètres de Branche vers destination non-SD-WAN
via un dispositif Edge (Branch to Non SD-WAN Destination via Edge) hérités d'un profil et
configurer des paramètres de tunnel (sélection de liaisons WAN et informations d'identification
par tunnel).

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges).

2 Sélectionnez un dispositif Edge dont vous souhaitez remplacer les paramètres de Non VMware
SD-WAN Site, puis cliquez sur l'icône située sous la colonne Périphérique (Device). La page
Paramètre du périphérique (Device Setting) du dispositif Edge sélectionné s'affiche.

3 Accédez à la zone Branche vers destination non-SD-WAN via un dispositif Edge (Branch to
Non SD-WAN Destination via Edge) et cochez la case Activer le remplacement au niveau du
dispositif Edge (Enable Edge Override).

4 Remplacez les paramètres de Non VMware SD-WAN Site hérités du profil si nécessaire.

Note Les modifications de configuration apportées aux paramètres de Branche vers

destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destination via
Gateway) ne peuvent être effectuées que dans le niveau de profil associé.

5 Sous Action, cliquez sur Ajouter (Add) pour ajouter des tunnels. La fenêtre contextuelle
Ajouter un tunnel (Add Tunnel) s'affiche.

VMware, Inc. 189

Guide d'administration de VMware SD-WAN

6 Entrez les détails suivants pour configurer un tunnel vers le Non VMware SD-WAN Site et
cliquez sur Enregistrer les modifications (Save Changes).

Champ Description

Liaison WAN publique (Public WAN Link)

Type d'identification locale (Local Identification Type) Sélectionnez l'un des types d'authentification locale dans
le menu déroulant :
n Nom de domaine complet (FQDN) : nom de domaine
complet ou nom d'hôte. Par exemple, [Link].
n Nom de domaine complet de l'utilisateur (User
FQDN) : nom de domaine complet de l'utilisateur
sous la forme d'une adresse e-mail. Par exemple,
utilisateur@[Link].
n IPv4 : adresse IP utilisée pour communiquer avec la
passerelle locale.

Identification locale (Local Identification) L'ID d'authentification locale définit le format et

l'identification de la passerelle locale. Pour le type
d'identification locale sélectionné, entrez une valeur
valide. Les valeurs acceptées sont l'adresse IP, Nom de
domaine complet de l'utilisateur (User FQDN) (adresse
e-mail) et Nom de domaine complet (FQDN) (nom
d'hôte ou nom de domaine). La valeur par défaut est
adresse IPv4 locale.

PSK Entrez la clé prépartagée (PSK), qui est la clé de sécurité

pour l'authentification du tunnel dans la zone de texte.

Adresse IP publique principale de destination Entrez l'adresse IP publique de la passerelle VPN

(Destination Primary Public IP) principale de destination.

Adresse IP publique secondaire de destination Entrez l'adresse IP publique de la passerelle VPN

(Destination Secondary Public IP) secondaire de destination.

7 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 190

Guide d'administration de VMware SD-WAN

Service de sécurité cloud

Le service de sécurité cloud est une sécurité hébergée dans le cloud qui protège une branche
d'entreprise et/ou un centre de données. Les services de sécurité incluent les pare-feu, le filtrage
d'URL et d'autres services de ce type.

Actuellement, la connectivité entre un dispositif Edge de branche et un service du cloud ou un

Non VMware SD-WAN Site est établie via l'instance de SD-WAN Gateway. Dans ce modèle,
l'instance de SD-WAN Gateway agrège le trafic à partir de plusieurs dispositifs Edge de branche
et le transfère en toute sécurité vers le Non VMware SD-WAN Site.

Vous pouvez également configurer le dispositif Edge de branche pour qu'il établisse un tunnel
direct vers le protocole POP du service cloud. Cette option offre les avantages suivants :

n Configuration simplifiée.

n Réduit les coûts de la bande passante de liaison via le déchargement du trafic hors entreprise
vers Internet.

n Les sites de branche sont protégés contre le trafic malveillant grâce à la redirection du trafic
Internet vers un service de sécurité cloud.

Configurer un fournisseur de sécurité du cloud

Le service de sécurité cloud établit un tunnel sécurisé entre un dispositif Edge et les sites du
service de sécurité cloud. Cela garantit un flux de trafic sécurisé vers les services de sécurité
cloud.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network
Services).

2 Dans la section Service de sécurité cloud (Cloud Security Service), cliquez sur Nouveau
(New).

3 Dans la fenêtre Nouveau fournisseur de sécurité du cloud (New Cloud Security Provider),
sélectionnez un type de service dans la liste déroulante :

VMware, Inc. 191

Guide d'administration de VMware SD-WAN

Après avoir sélectionné le type de service, configurez les paramètres suivants :

Option Description

Nom du service (Service Name) Entrez un nom descriptif pour le service de sécurité
cloud.

Point de présence/serveur principal (Primary Point-of- Entrez l'adresse IP ou le nom d'hôte du serveur
Presence/Server) principal.

Point de présence/serveur secondaire (Secondary Entrez l'adresse IP ou le nom d'hôte du serveur

Point-of-Presence/Server) secondaire.

Note Dans le déploiement manuel, si vous avez sélectionné Service de sécurité cloud Zscaler
(Zscaler Cloud Security Service) comme type de service et que vous envisagez d'attribuer un
tunnel GRE, il est recommandé d'entrer uniquement l'adresse IP dans les serveurs principal et
secondaire, et pas le nom d'hôte, car GRE ne prend pas en charge les noms d'hôtes.

Si vous choisissez le service de sécurité cloud ZScaler, vous pouvez choisir d'automatiser le
déploiement en cochant la case Automatiser le déploiement du service cloud (Automate
Cloud Service Deployment).

Note Actuellement, l'automatisation IPsec d'Edge vers Zscaler est uniquement prise en
charge et l'automatisation GRE d'Edge vers Zscaler n'est pas prise en charge, mais est prévue
pour les versions ultérieures.

Configurez les éléments suivants si vous choisissez d'automatiser le déploiement du service

cloud :

VMware, Inc. 192

Guide d'administration de VMware SD-WAN

Option Description

Cloud Zscaler (Zscaler Cloud) Entrez le nom du service cloud Zscaler.

Nom d'utilisateur admin partenaire Entrez le nom d'utilisateur provisionné de

l'administrateur partenaire.

Mot de passe de l'administrateur partenaire (Partner Entrez le mot de passe provisionné de l'administrateur
Admin Password) partenaire.

Clé du partenaire (Partner Key) Entrez la clé provisionnée du partenaire.

Domaine (Domain) Entrez le nom de domaine sur lequel le service cloud

doit être déployé.

Note Pour plus d'informations sur l'automatisation CSS de Zscaler, reportez-vous au Guide
de déploiement de Zscaler et de VMware SD-WAN.

Cliquez sur Valider les informations d'identification (Validate Credentials).

4 Cliquez sur Ajouter (Add).

5 Répétez les étapes ci-dessus pour configurer davantage de services de sécurité cloud.

Résultats

Les services de sécurité cloud configurés s'affichent dans la fenêtre Services réseau (Network
Services).

VMware, Inc. 193

Guide d'administration de VMware SD-WAN

Étape suivante

Associez le service de sécurité cloud à un profil. Reportez-vous à la section Configurer les services
de sécurité cloud pour les profils.

Configurer les services de sécurité cloud pour les profils

Activez la sécurité cloud pour établir un tunnel sécurisé d'un dispositif Edge vers des sites de
service de sécurité cloud. Cela permet de rediriger le trafic sécurisé vers des sites de sécurité
cloud tiers.

Avant de commencer :

n Vérifiez que vous disposez d'une autorisation d'accès pour configurer les services réseau.

n Vérifiez que la version de SD-WAN Orchestrator est 3.3.x ou une version ultérieure.

n Les informations d'identification du nom de domaine complet et les adresses IP du point de

terminaison de la passerelle du service de sécurité cloud doivent être configurées dans le
service de sécurité cloud tiers.

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles)..

2 Cliquez sur l'icône Périphérique (Device) en regard d'un profil ou cliquez sur le lien d'accès au
profil, puis cliquez sur l'onglet Périphérique (Device).

3 Dans la section Sécurité cloud (Cloud Security), basculez le bouton rotatif de la position
Inactif (Off) à la position Actif (On).

4 Configurez les paramètres suivants :

VMware, Inc. 194

Guide d'administration de VMware SD-WAN

Option Description

Service de sécurité cloud (Cloud Security Service) Sélectionnez un service de sécurité cloud dans le menu
déroulant. Vous pouvez également cliquer sur Nouveau
service de sécurité cloud (New Cloud Security Service)
dans le menu déroulant pour créer un type de service.

Protocole de tunneling (Tunneling Protocol) Cette option est disponible uniquement pour le service
de sécurité cloud Zscaler. Choisissez IPsec ou GRE. Par
défaut, l'option IPsec est sélectionnée.

Hachage (Hash) Sélectionnez la fonction de hachage SHA 1 ou SHA 256

dans le menu déroulant. Par défaut, l'option SHA 1 est
sélectionnée.

Chiffrement (Encryption) Sélectionnez l'algorithme de chiffrement AES 128 ou

AES 256 dans le menu déroulant. Par défaut, l'option
Aucun (None) est sélectionnée.

Protocole d'échange de clés (Key Exchange Protocol) Cette option n'est pas disponible pour le service de
sécurité cloud Symantec.
Sélectionnez la méthode d'échange de clés IKEv1
ou IKEv2. Par défaut, l'option IKEv2 est sélectionnée.

5 Cliquez sur Enregistrer les modifications (Save Changes).

Lorsque vous activez le service de sécurité cloud et que vous configurez les paramètres dans
un profil, le paramètre est automatiquement appliqué aux dispositifs Edge associés au profil. Si
nécessaire, vous pouvez remplacer la configuration d'un dispositif Edge spécifique. Reportez-vous
à la section Configurer les services de sécurité cloud pour les dispositifs Edge.

Pour les profils créés avec le service de sécurité cloud activé et configuré avant la version 3.3.1,
vous pouvez choisir de rediriger le trafic comme suit :

n Rediriger uniquement le trafic Web vers le service de sécurité cloud

n Rediriger tout le trafic Internet lié vers le service de sécurité cloud

n Rediriger le trafic en fonction des paramètres de la stratégie d'entreprise. Cette option n'est
disponible qu'à partir de la version 3.3.1. Si vous choisissez cette option, les deux autres
options ne sont plus disponibles.

Note Pour les nouveaux profils que vous créez pour la version 3.3.1 ou une version ultérieure, par
défaut, le trafic est redirigé conformément aux paramètres de la stratégie d'entreprise. Reportez-
vous à la section Configurer des business policies avec les services de sécurité cloud.

VMware, Inc. 195

Guide d'administration de VMware SD-WAN

Configurer les services de sécurité cloud pour les dispositifs Edge

Une fois que vous avez attribué un profil à un dispositif Edge, celui-ci hérite automatiquement
du service de sécurité cloud et des attributs configurés dans le profil. Vous pouvez remplacer les
paramètres pour sélectionner un autre fournisseur de sécurité du cloud ou modifier les attributs
de chaque dispositif Edge.

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Dans la section Service de sécurité cloud (Cloud Security Service), le service de sécurité
cloud et les paramètres du profil associé s'affichent. Sélectionnez Activer le remplacement
au niveau du dispositif Edge (Enable Edge Override), pour sélectionner un autre service
de sécurité cloud ou modifier les attributs. Pour plus d'informations sur les attributs, reportez-
vous à la section Configurer les services de sécurité cloud pour les profils.

Hormis les attributs existants, vous pouvez configurer les paramètres supplémentaires suivants
pour un dispositif Edge :

n Nom de domaine complet (FQDN) : entrez le nom de domaine complet pour un protocole
IPsec.

n PSK : entrez une clé prépartagée pour un protocole IPsec.

Note Les options ci-dessus ne sont pas disponibles pour le service de sécurité cloud Symantec.

Si vous choisissez le protocole de tunneling GRE pour le service de sécurité cloud Zscaler, ajoutez
les paramètres du tunnel GRE.

1 Cliquez sur Ajouter un tunnel (Add Tunnel).

2 Dans la fenêtre Ajouter un tunnel (Add Tunnel), configurez les éléments suivants :

VMware, Inc. 196

Guide d'administration de VMware SD-WAN

Option Description

Liaisons WAN (WAN Links) Sélectionnez l'interface WAN à utiliser comme source
par le tunnel GRE.

Adresse IP publique source du tunnel (Tunnel Source Choisissez l'adresse IP à utiliser comme adresse IP
Public IP) publique par le tunnel. Vous pouvez choisir l'adresse IP
de liaison WAN ou une adresse IP WAN personnalisée.
Si vous choisissez l'adresse IP WAN personnalisée,
entrez l'adresse IP à utiliser comme adresse IP publique.

Adresse IP principale/masque du routeur (Primary Entrez l'adresse IP principale du routeur.

Router IP/Mask)

Adresse IP secondaire/masque du routeur (Secondary Entrez l'adresse IP secondaire du routeur.

Router IP/Mask)

Adresse IP principale/masque de ZEN (Primary ZEN IP/ Entrez l'adresse IP principale du dispositif Edge de
Mask) service public Zscaler interne.

Adresse IP secondaire/masque de ZEN (Secondary ZEN Entrez l'adresse IP secondaire du dispositif Edge de
IP/Mask) service public Zscaler interne.

Note L'adresse IP/le masque du routeur et l'adresse IP/le masque de ZEN sont fournis par
Zscaler.

3 Cliquez sur OK, et les détails du tunnel s'affichent dans la section Services de sécurité cloud
(Cloud Security Services).

Cliquez sur Enregistrer les modifications (Save Changes) dans la fenêtre Dispositifs Edge
(Edges) pour enregistrer les paramètres modifiés.

Pour les profils créés avec le service de sécurité cloud activé et configuré avant la version 3.3.1,
vous pouvez choisir de rediriger le trafic comme suit :

n Rediriger uniquement le trafic Web vers le service de sécurité cloud

n Rediriger tout le trafic Internet lié vers le service de sécurité cloud

VMware, Inc. 197

Guide d'administration de VMware SD-WAN

n Rediriger le trafic en fonction des paramètres de la stratégie d'entreprise. Cette option n'est
disponible qu'à partir de la version 3.3.1. Si vous choisissez cette option, les deux autres
options ne sont plus disponibles.

Note Pour les nouveaux profils que vous créez pour la version 3.3.1 ou une version ultérieure, par
défaut, le trafic est redirigé conformément aux paramètres de la stratégie d'entreprise. Reportez-
vous à la section Configurer des business policies avec les services de sécurité cloud.

Configurer des business policies avec les services de sécurité cloud

Vous pouvez créer des business policies pour rediriger le trafic vers un service de sécurité cloud.

Pour plus d'informations sur les business policies, reportez-vous à la section Créer des règles de
Business Policy.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles).

2 Sélectionnez un profil dans la liste et cliquez sur l'onglet Business Policy.

3 Cliquez sur Nouvelle règle (New Rule) ou sur Actions > Nouvelle règle (New Rule).

4 Entrez un nom pour la règle d'entreprise.

5 Choisissez les options de Correspondance (Match) pour faire correspondre le trafic.

VMware, Inc. 198

Guide d'administration de VMware SD-WAN

6 Dans la zone Action, cliquez sur le bouton Backhaul Internet (Internet Backhaul) et choisissez
Service de sécurité cloud (Cloud Security Service) dans la liste déroulante. Vous devez avoir
déjà associé le service de sécurité cloud au profil.

7 Choisissez les autres actions requises et cliquez sur OK.

Résultats

Les business policies que vous créez pour un profil sont automatiquement appliquées à tous
les dispositifs Edge associés au profil. Si nécessaire, vous pouvez créer des business policies
supplémentaires spécifiques aux dispositifs Edge.

1 Accédez à Configurer (Configure) > Dispositifs Edge (Edges), puis sélectionnez un dispositif
Edge et cliquez sur l'onglet Business Policy.

2 Cliquez sur Nouvelle règle (New Rule) ou sur Actions > Nouvelle règle (New Rule).

3 Définissez la règle avec le service de sécurité cloud associé au dispositif Edge.

L'onglet Business Policy du dispositif Edge affiche les stratégies à partir du profil associé ainsi que
les stratégies spécifiques au dispositif Edge.

VMware, Inc. 199

Guide d'administration de VMware SD-WAN

Surveiller les services de sécurité cloud

Vous pouvez surveiller les services de sécurité cloud, ainsi que les profils et les dispositifs Edge
associés, et l'état.

Pour surveiller les sites du service de sécurité cloud :

1 Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Dispositifs Edge (Edges).

2 La page affiche les services de sécurité cloud configurés et l'état. Avec le pointeur de la souris,
survolez l'icône dans la colonne État des services cloud (Cloud Services Status) pour afficher
les détails des tunnels actifs (UP) et inactifs (DOWN).

Vous pouvez trouver plus de détails sur la page Surveiller (Monitor) > Services réseau (Network
Services) :

VMware, Inc. 200

Guide d'administration de VMware SD-WAN

Cliquez sur le lien dans la colonne Événements (Events) pour afficher les événements associés.

Vous pouvez également afficher les services de sécurité cloud dans la nouvelle interface utilisateur
d'Orchestrator. Reportez-vous à la section Surveiller les sites du service de sécurité cloud.

Surveiller les événements des services de sécurité cloud

Vous pouvez afficher les événements associés aux services de sécurité cloud.

Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Événements (Events).

Pour afficher les événements associés aux sites du service de sécurité cloud, vous pouvez utiliser
l'option Filtre (Filter). Cliquez sur la flèche déroulante en regard de l'option Rechercher (Search)
et choisissez de filtrer en fonction de l'événement ou de la colonne Message.

VMware, Inc. 201

Guide d'administration de VMware SD-WAN

Vous pouvez également afficher les événements dans la nouvelle interface utilisateur
d'Orchestrator.

Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant les
options de surveillance.

Cliquez sur Événements (Events). Cliquez sur l'icône Filtre (Filter) dans l'option Rechercher
(Search) pour filtrer les événements.

Configurer les services DNS

Il s'agit d'un service facultatif qui vous permet de créer une configuration pour DNS.

Le service DNS peut être destiné à un service DNS public ou à un service DNS privé fourni par
votre entreprise. Un Serveur principal (Primary Server) et un Serveur de sauvegarde (Backup
Server) peuvent être spécifiés. Le service est préconfiguré pour utiliser Google et les serveurs
DNS ouverts.

La figure suivante illustre un exemple de configuration pour un DNS public.

Pour un service privé, vous pouvez également spécifier un ou plusieurs Domaines privés (Private
Domains).

VMware, Inc. 202

Guide d'administration de VMware SD-WAN

Configurer les paramètres NetFlow

Dans un réseau d'entreprise, NetFlow surveille le trafic qui transite par SD-WAN Edges et
exporte les informations IPFIX (Protocol Flow Information Export) directement à partir de SD-
WAN Edges vers un ou plusieurs collecteurs NetFlow. IPFIX est un protocole IETF qui définit la
norme d'exportation des informations de flux depuis un périphérique final vers un système de
surveillance. VMware prend en charge IPFIX version 10 pour exporter les informations de flux
IP vers un collecteur. En général, un flux IP est identifié par cinq tuples, à savoir : Adresse IP
source (Source IP), Adresse IP de destination (Destination IP), Port source (Source Port), Port de
destination (Destination Port) et Protocole (Protocol). Cependant, les enregistrements NetFlow
qui sont exportés par VMware SD-WAN Edge agrègent le port source. Cela signifie que les
données de flux différents possédant les mêmes adresses IP source et de destination, le même
port de destination, mais des ports sources différents seront agrégées.

SD-WAN Orchestrator vous permet de configurer des collecteurs NetFlow et des filtres en tant
que services réseau au niveau du profil, du dispositif Edge et du segment. Vous pouvez configurer
au maximum deux collecteurs par segment et huit collecteurs par profil et dispositif Edge. En
outre, vous pouvez configurer au maximum seize filtres par collecteur.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Services réseau (Network
Services).

La page Services s'affiche.

2 Pour configurer un collecteur, accédez à la zone Paramètres NetFlow (Netflow Settings) et

cliquez sur le bouton Nouveau (New) sur le côté droit du tableau de collecteurs. La boîte de
dialogue Ajouter un nouveau collecteur (Add New Collector) s'affiche.

a Dans la zone de texte Nom du collecteur (Collector Name), entrez un nom unique pour le
collecteur.

b Dans la zone de texte Adresse IP du collecteur (Collector IP), entrez l'adresse IP du

collecteur.

VMware, Inc. 203

Guide d'administration de VMware SD-WAN

c Dans la zone de texte Port du collecteur (Collector Port), entrez l'ID de port du collecteur.

d Cliquez sur Enregistrer les modifications (Save Changes).

Sous Services réseau (Network Services), le collecteur récemment ajouté s'affiche dans le
tableau de collecteurs.

3 SD-WAN Orchestrator permet de filtrer les enregistrements de flux de trafic en fonction de

l'adresse IP source, de l'adresse IP de destination et de l'ID d'application associé au flux. Pour
configurer un filtre, accédez à la zone Paramètres NetFlow (Netflow Settings) et cliquez sur le
bouton Nouveau (New) sur le côté droit du tableau de filtres. La boîte de dialogue Ajouter un
nouveau filtre (Add New Filter) s'affiche.

a Dans la zone de texte Nom du filtre (Filter Name), entrez un nom unique pour le filtre.

b Dans la zone Correspondance (Match), cliquez sur Définir (Define) pour définir les règles
de filtrage par collecteur à faire correspondre par l'adresse IP source, l'adresse IP de
destination ou l'application associée au flux, ou cliquez sur Indifférent (Any) pour utiliser
toute adresse IP source, adresse IP de destination ou application associée à flux comme
critères de correspondance pour le filtrage NetFlow.

c Dans la zone Action, sélectionnez Autoriser (Allow) ou Refuser (Deny) comme action de
filtre pour le flux de trafic, puis cliquez sur OK.

Sous Services réseau (Network Services), le filtre récemment ajouté s'affiche dans le
tableau de filtres.

VMware, Inc. 204

Guide d'administration de VMware SD-WAN

Résultats

Au niveau du profil et du dispositif Edge, les collecteurs et les filtres configurés s'affichent sous la
forme d'une liste dans la zone Paramètres NetFlow (Netflow Settings) de l'onglet Périphérique
(Device).

n Lors de la configuration d'un profil ou d'un dispositif Edge, vous pouvez sélectionner un
collecteur et un filtre dans la liste disponible ou ajouter un nouveau collecteur et un filtre.
Pour obtenir des instructions, reportez-vous à la section Configurer les paramètres Netflow
des profils.

n Pour remplacer les paramètres NetFlow au niveau du dispositif Edge, reportez-vous à la

section Configurer les paramètres Netflow des dispositifs Edge.

Une fois que vous avez activé NetFlow sur VMware SD-WAN Edge, il envoie périodiquement des
messages au collecteur configuré. Le contenu de ces messages est défini à l'aide de modèles
IPFIX. Pour plus d'informations sur les modèles, reportez-vous à la section Modèles IPFIX.

Modèles IPFIX
Une fois que vous avez activé NetFlow sur VMware SD-WAN Edge, il envoie périodiquement des
messages au collecteur configuré. Le contenu de ces messages est défini à l'aide de modèles.
Les modèles IPFIX (Internet Protocol Flow information Export) comportent des paramètres
supplémentaires qui fournissent davantage d'informations sur les flux de trafic.

Modèle non-NAT
[Link] Il s'agit d'un flux agrégé. Les
clés de cet enregistrement de flux sont : sourceIPv4Addres, destinationIPv4Address,
destinationTransportPort, ingressVRFID, ApplicationID, protocolIdentifier. Le port source est
agrégé.

ID du modèle : 256
Le modèle non-NAT est le modèle NetFlow commun.

VMware, Inc. 205

Guide d'administration de VMware SD-WAN

Implémentation Version Edge

ID de l'élément Nom (Name) Type Description recommandée applicable

1 octetDeltaCount unsigned64 Le nombre Utilisé pour 3.3.0

d'octets inclut le générer un
ou les en-têtes IP rapport sur
et la charge le nombre
utile IP. total d'octets
(agrégation des
octets transmis
et octets reçus)
et sur les octets
reçus.

2 packetDeltaCoun unsigned64 Nombre de Utilisé pour 3.3.0

t paquets entrants générer un
depuis le rapport rapport sur le
précédent (le cas nombre total
échéant) pour ce de paquets
flux au point (agrégation des
d'observation. paquets transmis
et des paquets
reçus) et sur les
paquets reçus.

32769 octetDeltaCount unsigned64 Biflow RFC 5103. Utilisé pour 3.3.0

_rev Nombre d'octets générer un
sortants. rapport sur
le nombre
total d'octets
(agrégation des
octets transmis
et octets reçus)
et sur les octets
transmis.

32770 packetDeltaCoun unsigned64 Biflow RFC 5103. Utilisé pour 3.3.0

t_rev Nombre de générer un
paquets sortants. rapport sur le
nombre total
de paquets
(agrégation des
paquets transmis
et des paquets
reçus) et sur les
paquets transmis.

VMware, Inc. 206

Guide d'administration de VMware SD-WAN

Implémentation Version Edge

ID de l'élément Nom (Name) Type Description recommandée applicable

3 deltaFlowCount unsigned64 Nombre Reportez-vous 3.3.0

conservateur de à la section
flux d'origine Définitions
contribuant à ce des éléments
flux agrégé ; peut d'informations
être distribué via IPFIX .
l'une des
méthodes
exprimées par
l'élément
d'information
valueDistribution
Method.

4 protocolIdentifier unsigned8 Valeur du Implémenter 3.3.0

numéro de selon la
protocole dans description.
l'en-tête du
paquet IP.
Le numéro
de protocole
identifie le type
de charge utile
du paquet IP.
Les numéros
de protocole
sont définis dans
le registre des
numéros de
protocole IANA.

5 ipClassOfService unsigned8 Pour les Implémenter 3.3.0

paquets IPv4, il selon la
s'agit de la valeur description.
du champ TOS
dans l'en-tête de
paquet IPv4.

8 sourceIPv4Addre ipv4Address Adresse IPv4 Implémenter 3.3.0

ss source dans selon la
l'en-tête du description.
paquet IP.

10 ingressInterface unsigned32 Index de Cette valeur est 3.3.0

l'interface IP où mappée à la
les paquets de valeur
ce flux sont « ingressInterface
reçus. La valeur » du modèle
correspond à la d'option
valeur de l'objet d'interface 272 où
géré « ifIndex » mapper le flux au
telle que définie numéro
dans RFC 2863. d'interface de
liaison SD-WAN.

VMware, Inc. 207

Guide d'administration de VMware SD-WAN

Implémentation Version Edge

ID de l'élément Nom (Name) Type Description recommandée applicable

11 destinationTrans unsigned16 Identifiant du Implémenter 3.3.0

portPort port de selon la
destination dans description.
l'en-tête de
transport.

12 destinationIPv4A ipv4Address Adresse IPv4 Implémenter 3.3.0

ddress de destination selon la
dans l'en-tête du description.
paquet IP.

14 egressInterface unsigned32 Index de Interface de 3.3.0

l'interface IP sortie
vers laquelle
les paquets
de ce flux
sont envoyés.
La valeur
correspond à la
valeur de l'objet
géré « ifIndex »
telle que définie
dans RFC 2863.

15 ipNextHopIPv4A ipv4Address Adresse IPv4 du Cette adresse IP 3.3.0

ddress tronçon IPv4 identifie le
suivant. http:// périphérique du
[Link]/go prochain tronçon
/rfc2863 lorsqu'il n'y a pas
de superposition
SD-WAN (sous-
couche next-
hop).

56 sourceMacAddre macAddress Champ Implémenter 3.3.0

ss d'adresse MAC selon la
source IEEE 802. description.

VMware, Inc. 208

Guide d'administration de VMware SD-WAN

Implémentation Version Edge

ID de l'élément Nom (Name) Type Description recommandée applicable

239 biflowDirection unsigned8 Description de Reportez-vous 3.3.0

la méthode à la section
d'attribution de Définitions
direction utilisée des éléments
pour attribuer d'informations
la source et IPFIX .
la destination
du flux
bidirectionnel.
Cet élément
d'information
peut être
présent dans un
enregistrement
de données de
flux ou appliqué
à tous les flux
exportés à partir
d'un processus
d'exportation ou
d'un domaine
d'observation
à l'aide des
options IPFIX.
Si cet élément
d'information
n'est pas
présent dans un
enregistrement
de flux ou
associé à un
flux bidirectionnel
via l'étendue,
la configuration
de la méthode
d'attribution
de direction

VMware, Inc. 209

Guide d'administration de VMware SD-WAN

Implémentation Version Edge

ID de l'élément Nom (Name) Type Description recommandée applicable

est considérée
comme étant
appliquée hors
bande.

Note Lorsque
vous utilisez les
options IPFIX
pour appliquer
cet élément
d'information
à tous les
flux au sein
d'un domaine
d'observation
ou à partir
d'un processus
d'exportation,
l'option doit
être envoyée
de manière
fiable. Si aucun
transport fiable
n'est disponible
(c'est-à-dire, lors
de l'utilisation
d'UDP), cet
élément
d'information
doit apparaître
dans chaque
enregistrement
de flux.

95 applicationId octetArray(8) Spécifie un Implémenter 3.3.0

ID d'application. pour reconnaître
RFC 6759. la signature
Pour plus d'application de
d'informations, couche 7.
reportez-vous
à la section
Modèle d'option
d'application.

VMware, Inc. 210

Guide d'administration de VMware SD-WAN

Implémentation Version Edge

ID de l'élément Nom (Name) Type Description recommandée applicable

148 flowID unsigned64 Identifiant d'un L'ID de flux 3.3.0

flux unique unique est
au sein mappé au
d'un domaine modèle d'option
d'observation. de statistiques
Cet élément de liaisons de
d'information flux 257.
peut être utilisé
pour distinguer
différents flux si
les clés de flux
telles que des
adresses IP et
des numéros de
port ne sont
pas signalées
ou signalées
dans des
enregistrements
distincts.

152 flowStartMilliseco dateTimeMillisec Horodatage Implémenter 3.3.0

nds onds absolu du selon la
premier paquet description.
de ce flux.

153 flowEndMilliseco dateTimeMillisec Horodatage Implémenter 3.3.0

nds onds absolu du dernier selon la
paquet de ce description.
flux.

VMware, Inc. 211

Guide d'administration de VMware SD-WAN

Implémentation Version Edge

ID de l'élément Nom (Name) Type Description recommandée applicable

136 flowEndReason unsigned8 Raison de l'arrêt Implémenter 3.3.0

du flux. La plage selon la
de valeurs inclut description.
ce qui suit :
n 0x01 : délai
d'expiration
d'inactivité :
le flux a été
arrêté, car il
était
considéré
comme
inactif.
n 0x02 : délai
d'expiration
en activité : le
flux a été
arrêté à des
fins de
création de
rapports alors
qu'il était
toujours actif.
Par exemple,
après
l'expiration
de la durée
de vie
maximale des
flux non
signalés.
n 0x03 : fin de
flux
détectée : le
flux a été
arrêté, car le
processus de
mesure a
détecté des
signaux
indiquant la
fin du flux,
par exemple,
l'indicateur
TCP FIN.
n 0x04 : fin
forcée : le flux
a été arrêté
en raison
d'un
événement

VMware, Inc. 212

Guide d'administration de VMware SD-WAN

Implémentation Version Edge

ID de l'élément Nom (Name) Type Description recommandée applicable

externe. Par
exemple,
l'arrêt du
processus de
mesure initié
par une
application
de gestion de
réseau.
n 0x05 :
manque de
ressources :
le flux a été
arrêté en
raison d'un
manque de
ressources
disponibles
pour le
processus de
mesure et/ou
le processus
d'exportation
.

234 ingressVRFID unsigned32 Identifiant unique Il est mappé 3.3.0

du nom aux segments
VRFname où les de VMware
paquets de ce SD-WAN
flux sont reçus. Orchestrator. Un
Cet identifiant segment doit
est unique par être visualisé et
processus de signalé comme
mesure. un domaine de
couche 3 séparé
dans le dispositif
Edge.

Champs spécifiques à l'entreprise (ID>32767)

VMware, Inc. 213

Guide d'administration de VMware SD-WAN

IANA-PEN de VMware SD-WAN : 45346

ID de l'élément
(ID de l'élément Implémentation Version Edge
d'entreprise) Nom (Name) Type Description recommandée applicable

45001 (12233) destinationUUID octetArray UUID du nœud Identifie le 3.3.0

de destination point de
terminaison SD-
WAN final dans
le chemin d'accès
(identique à
l'UUID nexthop
dans E2E).

45002 (12234) vcPriority unsigned8 n 0 - Non défini Identifie la 3.3.0

n 1 - Contrôle classification
Priorité (Priority)
n 2 - Élevé
de la business
n 3 - Normal
policy appliquée.
n 4 - Faible
La valeur Non
défini (Unset) doit
être surveillée
pour déduire
un avertissement,
car cela ne
peut se produire
qu'en cas de
dépassement de
capacité.

45003 (12235) vcRouteType unsigned8 n 0 - Non défini Permet 3.3.0

n 1 - Passerelle d'identifier le
(à l'aide du type de chemin
GW SVC d'accès à Internet
hénergé) que le flux
emprunte.
n 2 - Direct (à
l'aide de La valeur Non
l'Internet défini (Unset) doit
direct) être surveillée
pour déduire
n 3 - Backhaul
un avertissement,
(à l'aide du
car cela ne
Hub vers
peut se produire
Internet)
qu'en cas de
dépassement de
capacité.

45004 (12236) vcLinkPolicy unsigned8 n 0 - Aucun Indique le type 3.3.0

accès de choix du lien
n 1 - Fixe et de correction
configuré pour
n 2-
cette application
Équilibrage
en vertu de la
de charge
business policy.
n 3 - Répliquer

VMware, Inc. 214

Guide d'administration de VMware SD-WAN

ID de l'élément
(ID de l'élément Implémentation Version Edge
d'entreprise) Nom (Name) Type Description recommandée applicable

45005 (12237) vcTrafficType unsigned8 n 0 - Temps Identifie la 3.3.0

réel classification
n 1- Classe de service
Transactionn (Service Class) de
el la business policy
appliquée.
n 2 - En bloc

VMware, Inc. 215

Guide d'administration de VMware SD-WAN

ID de l'élément
(ID de l'élément Implémentation Version Edge
d'entreprise) Nom (Name) Type Description recommandée applicable

45007 (12239) vcFlowPath unsigned8 n 0- Identifie le type 3.3.0

Edge2CloudV de « chemin »
iaGateway emprunté par le
(SaaS flux.
optimisé)
n 1-
Edge2CloudD
irect (SaaS
non optimisé)
n 2-
Edge2EdgeVi
aGateway
(spoke2hub2s
poke via
VCG)
n 3-
Edge2EdgeVi
aHub
(spoke2hub2s
poke via le
hub PDC)
n 4-
Edge2EdgeDi
rect
(Edge2Edge
dynamique)
n 5-
Edge2DataCe
nterDirect
(Edge2PDC à
l'aide du
routage de
sous-couche)
n 6-
Edge2DataCe
nterViaGatew
ay
(Edge2PDC à
l'aide de
NVS)
n 7-
Edge2Backha
ul
(Edge2intern
et à l'aide du
hub PDC)
n 8-
Edge2Proxy

VMware, Inc. 216

Guide d'administration de VMware SD-WAN

ID de l'élément
(ID de l'élément Implémentation Version Edge
d'entreprise) Nom (Name) Type Description recommandée applicable

n 9-
Edge2OPG
(PGW)
n 10 - Routé
(chemin
déterminé à
l'aide du
routage de
sous-couche)
n 11 -
Edge2CloudV
iaSecuritySer
vice (chemin
déterminé à
l'aide d'un
service CASB
à Internet)

45009 (12241) replicatedPackets unsigned64 Nombre Cette valeur 3.3.0

RxDeltaCount de paquets indique le
répliqués reçus nombre de
pour le flux paquets
répliqués (FEC)
dans le chemin
Rx en raison
d'une perte
(s'applique aux
protocoles en
temps réel).

45010 (12242) replicatedPackets unsigned64 Nombre Cette valeur 3.3.0

TxDeltaCount de paquets indique le
répliqués pour le nombre de
flux paquets
répliqués (FEC)
dans le chemin
Tx en raison
d'une perte
(s'applique aux
protocoles en
temps réel).

45011 (12243) lostPacketsRxDel unsigned64 Nombre de Cette valeur 3.3.0

taCount paquets perdus indique le
pour le flux lors nombre total de
de la réception paquets perdus
pour le flux.

VMware, Inc. 217

Guide d'administration de VMware SD-WAN

ID de l'élément
(ID de l'élément Implémentation Version Edge
d'entreprise) Nom (Name) Type Description recommandée applicable

45012 (12244) retransmittedPac unsigned64 Nombre Cette valeur 3.3.0

ketsTxDeltaCount de paquets indique le
retransmis pour nombre de
le flux paquets
retransmis en
raison d'une
perte (s'applique
au trafic
transactionnel).

45085 (12317) tcpRttMs unsigned16 RTT maximal Temps d'aller- 4.0.0

observé pour un retour maximal
flux TCP observé en
millisecondes
pour les paquets
TCP dans le flux,
depuis le rapport
précédent (le cas
échéant) pour ce
flux au point
d'observation.

45086 (12318) tcpRetransmits unsigned32 Nombre de Nombre de 4.0.0

paquets TCP paquets TCP
retransmis pour retransmis depuis
le flux le rapport
précédent (le cas
échéant) pour ce
flux au point
d'observation.

45080 (12312) bizPolicyId string ID logique Cette valeur est 3.3.2

de Business un UUID et
Policy auquel doit être mappée
correspond ce à une business
flux. policy via l'API
Orchestrator.

45082 (12314) nextHopUUID octetArray UUID de next- Cette valeur 3.3.2

hop pour ce flux. identifie le
Cette valeur est périphérique qui
renseignée en se trouve dans
cas de trafic de le chemin entre
superposition. la source et
la destination
dans le réseau
de superposition
SD-WAN (non
sous-couche).

Modèle NAT

VMware, Inc. 218

Guide d'administration de VMware SD-WAN

ID du modèle : 259
Commun + modèle NAT

Version Edge
ID de l'élément Nom (Name) Type Description applicable

225 postNATSourceIPv4A ipv4Address La définition 3.4.0

ddress de cet élément
d'information est
identique à
la définition
de l'élément
d'information
sourceIPv4Address,
sauf qu'il signale
une valeur modifiée
causée par une
fonction réseau NAT
après que le paquet
a transmis le point
d'observation.

226 postNATDestinationI ipv4Address La définition de cet 3.4.0

Pv4Address élément
d'information est
identique à la
définition de
l'élément
d'information
destinationIPv4Addre
ss, sauf qu'il signale
une valeur modifiée
causée par une
fonction middlebox
NAT après que le
paquet a transmis le
point d'observation.

Note
n Les exportations NetFlow sont des flux unidirectionnels. VMware SD-WAN doit exporter
les statistiques de flux sous la forme d'enregistrements de flux ou implémenter RFC 5103
(exportation de flux bidirectionnels).

n flowID doit être créé de manière à être unique au sein de l'entreprise.

n NAT direct :

n Prenons l'exemple d'un flux provenant du client LAN ayant l'adresse IP [Link] et allant
vers Internet [Link]. Cette adresse est traduite en raison de la business policy
(adresse IP source SNAT en adresse IP d'interface WAN [Link]). Par conséquent,
l'enregistrement de flux pour ce flux sera avec SIP : [Link] et DIP : [Link].
L'adresse IP source postNAT sera [Link] et l'adresse IP de destination postNAT sera
[Link].

VMware, Inc. 219

Guide d'administration de VMware SD-WAN

Modèle de statistiques des liaisons de flux

Le modèle de statistiques des liaisons de flux capture les statistiques de flux réparties par liaison.

ID du modèle : 257

ID de l'élément
(ID de l'élément Version Edge
d'entreprise) Nom (Name) Type Description applicable

148 flowID unsigned64 Identifiant d'un 3.3.0

flux unique au
sein d'un domaine
d'observation.
Cet élément
d'information peut
être utilisé pour
distinguer différents
flux si les clés de
flux telles que des
adresses IP et des
numéros de port ne
sont pas signalées
ou signalées dans
des enregistrements
distincts.

1 octetDeltaCount unsigned64 Nombre d'octets 3.3.0

depuis le rapport
précédent (le cas
échéant) dans les
paquets entrants
pour ce flux au
point observation.
Le nombre d'octets
inclut le ou les en-
têtes IP et la charge
utile IP.

2 packetDeltaCount unsigned64 Nombre de paquets 3.3.0

entrants depuis le
rapport précédent (le
cas échéant) pour
ce flux au point
d'observation.

32769 octetDeltaCount_rev unsigned64 Biflow RFC 5103. 3.3.0

Nombre d'octets
sortants.

32770 packetDeltaCount_re unsigned64 Biflow RFC 5103. 3.3.0

v Nombre de paquets
sortants.

VMware, Inc. 220

Guide d'administration de VMware SD-WAN

ID de l'élément
(ID de l'élément Version Edge
d'entreprise) Nom (Name) Type Description applicable

14 egressInterface unsigned32 Index de l'interface IP 3.3.0

vers laquelle les
paquets de ce flux
sont envoyés. Cette
valeur correspond à
la valeur de l'objet
géré tel que défini
dans [RFC 2863].

45008 (12240) linkUUID octetArray(16) ID de lien interne de 3.3.0

VMware.

45009 (12241) replicatedPacketsRx unsigned64 Nombre de paquets 3.3.2 (ce champ faisait
DeltaCount répliqués reçus pour partie de l'ID de
le flux. modèle 256 dans la
version 3.3.0)

45010 (12242) replicatedPacketsTxD unsigned64 Nombre de paquets 3.3.2 (ce champ faisait
eltaCount répliqués pour le flux. partie de l'ID de
modèle 256 dans la
version 3.3.0)

45012 (12244) retransmittedPackets unsigned64 Nombre de paquets 3.3.2 (ce champ faisait
TxDeltaCount retransmis pour le partie de l'ID de
flux. modèle 256 dans la
version 3.3.0)

Modèle de statistiques de tunnel

Un tunnel est établi sur une liaison et dispose d'une communication avec un homologue. Un
homologue peut être une passerelle (trafic d'un dispositif Edge vers le cloud), un hub (Edge au
trafic de vers un centre de données) ou un autre dispositif Edge (trafic VPN dynamique entre
deux dispositifs Edge). Le modèle de statistiques de tunnel capture les statistiques d'un tunnel et
est envoyé toutes les minutes. Le champ linkUUID répertorie la liaison établie pour le tunnel. Le
champ interfaceIndex indique l'homologue avec lequel la communication est établie.

VMware, Inc. 221

Guide d'administration de VMware SD-WAN

Différence entre tunnel et chemin

Le chemin est une entité unidirectionnelle et le tunnel est bidirectionnel. Les chemins de
transmission et de réception constituent un tunnel.

Note
n Seuls les tunnels connectés seront exportés. Si un tunnel devient INACTIF (DEAD), les
statistiques de ce tunnel ne seront plus exportées dès l'intervalle d'exportation suivant.
Exemple : l'intervalle d'exportation du modèle de statistiques de tunnel est de 300 secondes,
le tunnel a été exporté au moment T1 et il est devenu inactif à T1 + 100. Les statistiques entre
(T1 et T1 + 100) seront exportées à T1 + 300. Et à partir de l'intervalle suivant, les statistiques de
ce tunnel ne seront plus exportées, car il est inactif.

n Le nombre d'événements de tunnel interrompu sera exporté dans le cadre du modèle de

statistiques de tunnel.

n Formule de calcul des pertes :

n Pourcentage de perte de transmission = ((packetsLostDeltaTxCount) /

(packetsLostDeltaTxCount + packetsLostCompDeltaTxCount)) * 100

n Pourcentage de perte de réception = ((packetsLostDeltaRxCount) /

(packetsLostDeltaRxCount + packetsLostCompDeltaRxCount)) * 100

ID du modèle : 258

Version Edge
ID de l'élément Nom (Name) Type Description applicable

12 destinationIPv4Addre Ipv4Address Il s'agit de 3.4.0

ss l'adresse IPv4 de
destination du tunnel.

45008 (12240) linkUUID octetArray(16) Il s'agit de l'UUID 3.4.0

de liaison sur lequel
le tunnel est établi.
Cette valeur pointe
vers une entrée dans
le modèle d'option
de liaison (276).

10 interfaceIndex Unsigned32 Cette valeur identifie 3.4.0

un homologue. Cette
valeur pointe vers
une entrée dans
le modèle d'option
d'interface (272).

1 octetsDeltaTxCount Unsigned64 Nombre total d'octets 3.4.0

transmis sur ce
chemin.

2 packetsDeltaTxCount Unsigned64 Nombre total de 3.4.0

paquets transmis en
dehors de ce chemin.

VMware, Inc. 222

Guide d'administration de VMware SD-WAN

Version Edge
ID de l'élément Nom (Name) Type Description applicable

45079 (12311) packetsLostDeltaTxC Unsigned64 Nombre total de 3.4.0

ount paquets perdus sur
ce chemin.

45083 (12315) txLossPercent Float32 Pourcentage de 3.4.0

perte dans ce chemin
de transmission.

45058 (12290) jitterTxMs Unsigned32 Gigue moyenne 3.4.0

de transmission du
chemin dans la
période d'intervalle
configurée.

45060 (12292) avgLatencyTxMs Unsigned32 Latence moyenne 3.4.0

de transmission du
chemin dans la
période d'intervalle
configurée.

32769 octetDeltaRxCount_r Unsigned64 Nombre total d'octets 3.4.0

ev reçus sur ce chemin.

32770 packetsDeltaRxCount Unsigned64 Nombre total de 3.4.0

_rev paquets reçus sur ce
chemin.

45011 (12243) packetsLostDeltaRxC Unsigned64 Nombre total de 3.4.0

ount paquets perdus sur
ce chemin.

45084 (12316) rxLossPercent Float32 Pourcentage de 3.4.0

perte dans ce chemin
de réception.

45061 (12293) jitterRxMs Unsigned32 Gigue moyenne 3.4.0

de réception du
chemin dans la
période d'intervalle
configurée.

45063 (12295) avgLatencyRxMs Unsigned32 Latence moyenne 3.4.0

de réception du
chemin dans la
période d'intervalle
configurée.

Modèle d'option d'application

[Link] Le modèle d'option d'application est envoyé toutes les
5 minutes ou lorsqu'il est modifié. Seules les applications qui ont été référencées dans les flux sont
exportées.

VMware, Inc. 223

Guide d'administration de VMware SD-WAN

ID du modèle : 271

Version Edge
ID de l'élément Nom (Name) Type Description applicable

95 applicationId octetArray(8) Champ d'étendue. 3.3.0

Spécifie un
ID d'application.
RFC 6759.

96 applicationName string Spécifie le nom d'une 3.3.0

application.

372 applicationCategoryN string Attribut qui fournit 3.3.0

ame une catégorisation
de premier niveau
pour chaque ID
d'application.

Format de l'ID d'application

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| 20 | enterprise ID = 45346 ...|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|...[Link]| app ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

ID du moteur de classification : 20 (PANA-L7-PEN)

Définition de couche 7 propriétaire, comprenant un numéro d'entreprise privé (PEN, Private
Enterprise Number) [IANA-PEN] pour déterminer que le registre d'applications utilisé n'est pas
détenu par le fabricant de l'exportateur ou pour identifier l'entreprise d'origine dans le cas d'un
périphérique médiateur ou tiers. L'ID de sélecteur représente l'ID global unique de l'entreprise
pour les applications de couche 7. L'ID de sélecteur a une signification globale pour tous les
périphériques de la même entreprise.

n 45346 est le PEN de VMware SD-WAN

n App ID est l'ID de l'application interne

Modèle d'option d'interface

Les interfaces dans le contexte NetFlow VMware peuvent être classées dans deux types :
physique et SD-WAN.

n Physique : interfaces Ethernet (par exemple, GE1, GE2), VLAN (par exemple, BR-Network1) ou
IP (par exemple, PPPoE ou certaines interfaces de modem USB).

n SD-WAN : interfaces point à point entre une paire de périphériques VMware. Sur la
superposition, il peut y avoir plusieurs tunnels entre deux périphériques VMware. Ces tunnels
utilisent un protocole propriétaire appelé VCMP qui fournit plusieurs fonctions, notamment le
chiffrement et la retransmission, entre autres. Les tunnels entre deux périphériques peuvent

VMware, Inc. 224

Guide d'administration de VMware SD-WAN

être présents en permanence ou être créés à la demande en fonction de la configuration.

Les points de terminaison de ces tunnels sont appelés « liaisons » dans la terminologie de
VMware. En général, il existe une « liaison » pour chaque interface réseau WAN physique sur
un dispositif Edge.

Le diagramme ci-dessous illustre la relation entre les interfaces physiques/SD-WAN, les liaisons
et les tunnels. Sur les deux nœuds ci-dessous, GE1, GE2 et GE3 sont des interfaces physiques.
GE1 et GE2 sont des interfaces WAN pour lesquelles des liaisons sont définie. En revanche, GE3
est une interface LAN pour laquelle aucune liaison n'est définie. Les tunnels sont formés entre
les liaisons sur chaque nœud. L'interface SD-WAN Nœud1-Nœud2 (Node1-Node2) est l'interface
de superposition sur laquelle le trafic peut être envoyé du Nœud 1 (Node1) au Nœud 2 (Node2).
Lorsque le trafic est envoyé sur l'interface SD-WAN Nœud1-Nœud2 (Node1-Node2), les paquets
individuels peuvent être :

n Répliqué sur les deux tunnels.

n Équilibrés en charge entre les deux tunnels.

n Envoyés sur un seul tunnel.

Le traitement des paquets dépend du type de trafic, de la configuration et des conditions du

réseau.

Nœud 1- Interface SD-WAN nœud 2

GE1

GE3 Nœud 1 Tunnels GE1 Nœud 2 GE3

GE2

Liaisons sur les interfaces physiques

ID du modèle : 272
Par défaut, le modèle d'option d'interface est envoyé toutes les 5 minutes. Le temporisateur est
configurable.

VMware, Inc. 225

Guide d'administration de VMware SD-WAN

ID de l'élément
(ID de l'élément Version Edge
d'entreprise) Nom (Name) Type Description applicable

10 ingressInterface unsigned32 Champ d'étendue. 3.3.0

Index de cette
interface. Cette
valeur correspond à
la valeur de l'objet
géré tel que défini
dans [RFC 2863].

82 interfaceName string Nom court qui décrit 3.3.0

de façon unique
une interface, par
exemple, « Eth1/0 ».

83 interfaceDescription string Description 3.3.0

d'une interface,
par exemple
« FastEthernet1/0 »
ou « Connexion ISP ».

45000 (12232) interfaceType unsigned8 n 1 - Physique 3.3.0

n 2 - SDWAN E2E
n 3 - SDWAN E2DC
n 4 - SDWAN E2C
n 5 - Sous-interface
physique (prise
en charge à
partir de la
version 3.4.0)

45001 (12233) destinationUUID octetArray UUID du nœud de 3.3.0

destination

45013 (12245) primaryIpv4Address ipv4Address Adresse IP principale 3.3.0

d'une interface
physique. Pour les
interfaces SD-WAN,
il s'agit toujours
de [Link].

Modèle ID de segment vers mappage de segments de VMware

Ce modèle est envoyé toutes les 10 minutes et utilise VRF comme nomenclature pour définir un
segment.

ID du modèle : 273

VMware, Inc. 226

Guide d'administration de VMware SD-WAN

Version Edge
ID de l'élément Nom (Name) Type Description applicable

234 ingressVRFID unsigned32 Champ d'étendue. 3.3.0

Identifiant unique du
nom VRFname où
les paquets de ce
flux sont reçus. Cet
identifiant est unique
par processus de
mesure.

236 VRFname string Nom d'une table 3.3.0

de routage et de
transfert (VRF) VPN.

Modèle d'option de liaison

Le modèle d'option de liaison fournit un mappage entre linkUUID et l'index d'interface vers
laquelle pointe cette liaison. Dans le modèle d'option de liaison, il est également possible
d'obtenir le nom de la liaison, lequel est un champ configurable dans .

ID de modèle : 276
Le modèle d'option de liaison est envoyé toutes les 5 minutes.

ID de l'élément
(ID de l'élément Version Edge
d'entreprise) Nom (Name) Type Description applicable

45008 (12240) linkUUID octetArray(16) ID de lien interne de 3.3.2

VMware.

45078 (12310) linkName string Nom court qui décrit 3.3.2

la liaison de façon
unique. Il s'agit d'un
champ configurable
dans Orchestrator.

10 ingressInterface unsigned32 Index de l'interface 3.3.2

sous-jacente vers
laquelle pointe cette
liaison. Cette valeur
correspond à la
valeur de l'objet géré
tel que défini dans
[RFC 2863].

58 vlanId unsigned16 ID VLAN de cette 3.3.2

liaison. Il peut exister
plusieurs liaisons
sur une interface,
différenciées par cet
ID VLAN.

VMware, Inc. 227

Guide d'administration de VMware SD-WAN

ID de l'élément
(ID de l'élément Version Edge
d'entreprise) Nom (Name) Type Description applicable

8 sourceIP unsigned32 Adresse IP source de 3.3.2

cette liaison.

15 nextHopIP unsigned32 Adresse IP NextHop 3.3.2

de cette liaison.

Adresse source et segmentation NetFlow

L'adresse IP principale de l'interface source NetFlow doit provenir de VMware SD-WAN
Orchestrator. En l'absence de configuration d'interface source facultative, les enregistrements
de flux consomment l'un des adresses IP LAN/routées actives et annoncées comme adresse IP
source. Il est obligatoire d'avoir au moins une interface LAN/routée active et annoncée sur le
segment particulier, pour que NetFlow fonctionne. L'interface utilisateur d'Orchestrator doit être
modifiée pour refléter cela.

Lorsque plusieurs processus d'exportation NetFlow proviennent de la même adresse IP, NetFlow
fournit cet élément d'information pour garantir l'unicité de l'exportation. Les options sont les
suivantes :

n Utiliser une interface source différente pour chaque segment.

n S'il s'agit de processus d'exportation distincts des segments, utilisez l'observation DomainId
pour distinguer les segments.

Mappages d'interfaces
Numérotation d'interface : nombre de 32 bits (RFC 2863). L'entrée ou la sortie est définie par la
route source/destination dans le conteneur de flux. L'index d'interface est dérivé du type de route
et de l'ID du système de destination ou de l'interface pour le trafic direct. Le même mappage doit
être utilisé pour la table d'interface SNMP (ifTable - RFC 1213).

0..7 0..7 0..16

destination_type reserved destination_if_idx

destination_type :

n E2E

n E2DC

n CLOUD

n ANY/DIRECT

destination_if_idx:

n E2E, E2DC, CLOUD : map(next_hop_id) -> if_idx

n ANY/DIRECT : map(link_logical_id) -> if_idx

VMware, Inc. 228

Guide d'administration de VMware SD-WAN

Filtrage
Autoriser le filtrage de NetFlow par :

n ingressVRFID (ou tous les segments)

n ApplicationID

n sourceIPv4Address (masque)

n destinationIPv4Address (masque)

n protocolIdentifier

Définitions des éléments d'informations IPFIX

Le tableau suivant répertorie les définitions des éléments d'informations IPFIX.

VMware, Inc. 229

Guide d'administration de VMware SD-WAN

38 valueDistributionMe Description de la méthode utilisée pour distribuer les compteurs provenant des flux impliqués
4 thod dans les enregistrements de flux agrégés décrits par une étendue associée, en général un
modèle. La méthode est considérée comme s'appliquant à tous les éléments d'information
non clés dans l'étendue référencée pour laquelle la distribution de valeurs est une opération
valide. Si les éléments d'informations originalFlowsInitiated et/ou originalFlowsCompleted
s'affichent dans le modèle, ils ne sont pas soumis à cette méthode de distribution, car ils
déduisent chacun leur propre méthode de distribution. Il vise à être un ensemble complet de
méthodes de distribution de valeurs possibles. Il est encodé comme suit :

+-------+-----------------------------------------------------------+

| Value | Description |

+-------+-----------------------------------------------------------+

| 0 | Unspecified: The counters for an Original Flow are |

| | explicitly not distributed according to any other method |

| | defined for this Information Element; use for arbitrary |

| | distribution, or distribution algorithms not described by |

| | any other codepoint. |

| | --------------------------------------------------------- |

| | |

| 1 | Start Interval: The counters for an Original Flow are |

| | added to the counters of the appropriate Aggregated Flow |

| | containing the start time of the Original Flow. This |

| | must be assumed the default if value distribution |

| | information is not available at a Collecting Process for |

| | an Aggregated Flow. |

| | --------------------------------------------------------- |

| | |

| 2 | End Interval: The counters for an Original Flow are added |

| | to the counters of the appropriate Aggregated Flow |

| | containing the end time of the Original Flow. |

| | --------------------------------------------------------- |

| | |

| 3 | Mid Interval: The counters for an Original Flow are added |

| | to the counters of a single appropriate Aggregated Flow |

| | containing some timestamp between start and end time of |

| | the Original Flow. |

| | --------------------------------------------------------- |

VMware, Inc. 230

Guide d'administration de VMware SD-WAN

| | |

| 4 | Simple Uniform Distribution: Each counter for an Original |

| | Flow is divided by the number of time intervals the |

| | Original Flow covers (that is, of appropriate Aggregated

|

| | Flows sharing the same Flow Key), and this number is |

| | added to each corresponding counter in each Aggregated |

| | Flow. |

| | --------------------------------------------------------- |

| | |

| 5 | Proportional Uniform Distribution: Each counter for an |

| | Original Flow is divided by the number of time units the |

| | Original Flow covers, to derive a mean count rate. This |

| | mean count rate is then multiplied by the number of times |

| | units in the intersection of the duration of the Original |

| | Flow and the time interval of each Aggregated Flow. This |

| | is like simple uniform distribution, but accounts for the |

| | fractional portions of a time interval covered by an |

| | Original Flow in the first- and last-time interval. |

| | --------------------------------------------------------- |

| | |

| 6 | Simulated Process: Each counter of the Original Flow is |

| | distributed among the intervals of the Aggregated Flows |

| | according to some function the Intermediate Aggregation |

| | Process uses based upon properties of Flows presumed to |

| | be like the Original Flow. This is essentially an |

| | assertion that the Intermediate Aggregation Process has |

| | no direct packet timing information but is nevertheless |

| | not using one of the other simpler distribution methods. |

| | The Intermediate Aggregation Process specifically makes |

| | no assertion as to the correctness of the simulation. |

| | --------------------------------------------------------- |

| | |

VMware, Inc. 231

Guide d'administration de VMware SD-WAN

| 7 | Direct: The Intermediate Aggregation Process has access |

| | to the original packet timings from the packets making up |

| | the Original Flow, and uses these to distribute or |

| | recalculate the counters. |

+-------+-----------------------------------------------------------+

23 biflowDirection Description de la méthode d'attribution de direction utilisée pour attribuer la source et

9 la destination du flux bidirectionnel. Cet élément d'information peut être présent dans un
enregistrement de données de flux ou appliqué à tous les flux exportés à partir d'un
processus d'exportation ou d'un domaine d'observation à l'aide des options IPFIX. Si cet
élément d'information n'est pas présent dans un enregistrement de flux ou associé à un
flux bidirectionnel via l'étendue, la configuration de la méthode d'attribution de direction est
considérée comme étant appliquée hors bande.

Note Lorsque vous utilisez les options IPFIX pour appliquer cet élément d'information à
tous les flux dans un domaine d'observation ou en provenance d'un processus d'exportation,
l'option doit être envoyée de manière fiable. Si le transport fiable n'est pas disponible (c'est-
à-dire, lors de l'utilisation d'UDP), cet élément d'information doit apparaître dans chaque
enregistrement de flux.

Ce champ peut prendre les valeurs suivantes :

+-------+------------------+----------------------------------------+

| Value | Name | Description |

+-------+------------------+----------------------------------------+

| 0x00 | arbitrary | Direction is assigned arbitrarily. |

| 0x01 | initiator | The Biflow Source is the flow |

| | | initiator, as determined by the |

| | | Metering Process' best effort to |

| | | detect the initiator. |

| 0x02 | reverseInitiator | The Biflow Destination is the flow |

| | | initiator, as determined by the |

| | | Metering Process' best effort to |

| | | detect the initiator. This value is |

| | | provided for the convenience of |

| | | Exporting Processes to revise an |

| | | initiator estimate without re-encoding |

| | | the Biflow Record. |

| 0x03 | perimeter | The Biflow Source is the endpoint |

| | | outside of a defined perimeter. The |

VMware, Inc. 232

Guide d'administration de VMware SD-WAN

| | | perimeter's definition is implicit in |

| | | the set of Biflow Source and Biflow |

| | | Destination addresses exported in the |

| | | Biflow Records. |

+-------+------------------+----------------------------------------+

Noms de réseaux privés

Vous pouvez définir plusieurs réseaux privés et les attribuer à des superpositions WAN privées
individuelles.

Configurer les réseaux privés

Pour configurer les réseaux privés :

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

2 Dans la zone Noms de réseaux privés (Private Network Names), cliquez sur le bouton
Nouveau (New).

3 Dans la boîte de dialogue Nouveau nom de réseau privé (New Private Network Name),
entrez un nom unique dans la zone de texte appropriée.

4 Cliquez sur Enregistrer les modifications (Save Changes).

Le nom du réseau privé s'affiche dans la zone Nom du réseau privé (Private Network Name).

Supprimer un nom de réseau privé

Vous ne pouvez supprimer que les noms de réseaux privés non utilisés par un périphérique Edge.

Pour supprimer un nom de réseau privé non utilisé par un périphérique Edge :

1 Sélectionnez le nom en cochant la case du nom, puis cliquez sur le bouton Supprimer
(Delete).

2 Dans la boîte de dialogue Confirmer la suppression (Confirm Deletion), cliquez sur OK.

VMware, Inc. 233

Guide d'administration de VMware SD-WAN

Vous pouvez sélectionner des balises de liaison privée lorsque vous définissez une définition
manuelle de l'overlay. Reportez-vous à la section intitulée « Sélectionner un nom de réseau privé
».

Configurer les services d'authentification

Les services d'authentification sont une configuration facultative. Si votre organisation utilise un
service pour l'authentification ou la comptabilité, vous pouvez créer un service réseau qui spécifie
l'adresse IP et les ports du service. Il s'agit d'une partie du processus de configuration 802.1x, qui
est configuré dans le profil.

La figure suivante illustre un exemple de configuration.

Note Les interfaces sources sont configurées uniquement au niveau du dispositif Edge.

VMware, Inc. 234

Configurer les profils
10
Les profils fournissent une version composite des configurations créées dans les réseaux et les
services réseau. Ils ajoutent également la configuration des règles de pare-feu et de stratégie
d'entreprise.

Note Si vous êtes connecté à l'aide d'un ID d'utilisateur disposant de privilèges de support client,
vous ne pourrez voir que les objets SD-WAN Orchestrator. Vous ne pourrez pas créer d'objets ni
configurer/mettre à jour des objets existants.

Les profils comportent quatre pages d'onglets : Présentation du profil (Profile Overview),
Périphérique (Device), Stratégie d'entreprise (Business Policy) et Pare-feu (Firewall).

Ce chapitre contient les rubriques suivantes :

n Créer un profil

n Modifier un profil

n Configurer les informations d'identification locales

Créer un profil
Après une nouvelle installation, SD-WAN Orchestrator dispose des profils prédéfinis suivants :
Profil Internet, Profil VPN et à partir de la version 3.0, Profils basés sur des segments.

Note Avec la fonctionnalité de segmentation introduite dans la version 3.0, les dispositifs Edge
exécutant le logiciel antérieur à la version 3.0 peuvent disposer d'une configuration basée sur un
réseau ou d'une configuration basée la segmentation. **En raison de cette transition, vous devez
migrer/convertir le profil basé sur un réseau vers le profil basé sur un segment.

Les étapes suivantes sont généralement suivies lors de la création d'un profil :

1 Créer un profil

2 Configurer le périphérique

a Sélectionner un réseau

b Attribuer une authentification/un DNS

c Configurer les paramètres de l'interface

VMware, Inc. 235

Guide d'administration de VMware SD-WAN

3 Activer le VPN de cloud

4 Configurer la stratégie d'entreprise

5 Configurer le pare-feu

6 Vérifier la présentation du profil

Pour créer un profil :

1 Accédez à Configurer (Configure) -> Profils (Profiles), puis cliquez sur le bouton Nouveau

profil (New Profile).

2 Dans la boîte de dialogue Nouveau profil (New Profile), entrez un nom de profil et une
description dans les zones de texte appropriées.

3 Cliquez sur le bouton Créer (Create).

La page de l'onglet Présentation du profil (Profile Overview) s'actualise. Pour plus

d'informations, consultez la section Écran Présentation du profil (Profile Overview).

VMware, Inc. 236

Guide d'administration de VMware SD-WAN

Modifier un profil
Les administrateurs d'entreprise peuvent également attribuer manuellement un profil à un
dispositif Edge.

Cela est nécessaire pour les profils de transfert du dispositif Edge. Dans ce cas, le dispositif Edge
est activé par défaut sur le profil de transfert en raison de l'activation de push. Les administrateurs
d'entreprise doivent attribuer manuellement un profil de production final au dispositif Edge.
Reportez-vous à la section Provisionner un dispositif Edge dans Attribuer un profil (Modifier un
profil) pour obtenir des instructions sur l'attribution manuelle de profils.

Configurer les informations d'identification locales

Vous pouvez modifier les informations d'identification locales au niveau du profil dans l'onglet
Configurer (Configure) > Profils (Profiles) > Présentation du profil (Profile Overview). Lorsque
les informations d'identification sont mises à jour, elles sont envoyées à tous les dispositifs Edge
qui utilisent le profil en tant qu'action de dispositif Edge.

Ajouter des informations d'identification

Cette section décrit comment ajouter des informations d'identification.

Cliquez sur le bouton Afficher (View) pour ouvrir la boîte de dialogue Informations
d'identification de configuration locale (Local Configuration Credentials). Tapez un Nom
d'utilisateur (User Name) et un Mot de passe (Password), puis cliquez sur le bouton Envoyer
(Submit).

VMware, Inc. 237

Guide d'administration de VMware SD-WAN

VMware, Inc. 238

Configurer un périphérique de
profil 11
Cette section décrit comment configurer un périphérique de profil.

Note Si vous vous êtes connecté à l'aide d'un ID d'utilisateur doté de privilèges de support client,
vous ne pourrez voir que les objets SD-WAN Orchestrator. Vous ne pourrez pas créer d'objets ni
configurer/mettre à jour des objets existants.

VMware fournit les paramètres du périphérique dans l'onglet Périphérique (Device) (Configurer
[Configure] > Profils [Profiles] > onglet Périphérique [Device]) dans un profil. L'onglet
Paramètres du périphérique (Device Settings) permet d'attribuer des segments, de créer des
VLAN et de configurer des interfaces, des paramètres DNS et des paramètres d'authentification.
Pour plus d'informations sur la segmentation, reportez-vous à la section Chapitre 8 Configurer les
segments.

Ce chapitre contient les rubriques suivantes :

n Configurer un périphérique

Configurer un périphérique
La configuration du périphérique vous permet d'attribuer des segments à un profil et de
configurer les interfaces à associer à un profil.

Pour les profils prenant en charge les segments, deux sections s'affichent dans l'interface
utilisateur :

Type de configuration Description

Configurations sensibles au Zone Configurer les segments (Configure Segments) de l'écran de l'onglet
segment (Segment-aware Périphérique (Device). Les clients peuvent choisir le segment dans le menu déroulant
configurations) et le sélectionner. La configuration du segment s'affichera alors dans la zone
Configurer les segments (Configure Segments).

Configurations communes Partie inférieure de l'écran de l'onglet Périphérique (Device). Fonctionnalités et

(Common configurations) configurations qui s'appliquent à plusieurs segments, notamment les configurations
VLAN, les paramètres de périphériques, le Wi-Fi et la QoS multisource.

VMware, Inc. 239

Guide d'administration de VMware SD-WAN

Vous pouvez effectuer les étapes suivantes pour la configuration du périphérique :

Configurations sensibles au segment (Segment-aware

configurations)
n Paramètres d'authentification (Authentication Settings)

n Paramètres DNS (DNS Settings)

n Paramètres NetFlow (Netflow Settings)

n Paramètres Syslog (Syslog Settings)

n VPN cloud

n Zones OSPF (OSPF Areas)

n Paramètres BGP (BGP Settings)

n Paramètres de multicast (Multicast Settings)

n Service de sécurité cloud (Cloud Security Service)

Configurations communes :
n VLAN

n Paramètres du périphérique (Device Settings)

n Paramètres de radio Wi-Fi (Wi-Fi Radio Settings)

n QoS multisource (Multi-Source QoS)

n Paramètres SNMP

n Serveurs NTP

n Mode de visibilité (Visibility Mode)

VMware, Inc. 240

Guide d'administration de VMware SD-WAN

Attribuer des segments dans le profil

Après avoir créé un profil, vous pouvez sélectionner des segments de profil en cliquant sur le
bouton Modifier (Change) dans la fenêtre Configurer les segments (Configure Segments) de
l'image.

Cliquez sur le bouton Modifier (Change) pour ouvrir la boîte de dialogue Sélectionner les
segments (Select Segments).

Dans cette boîte de dialogue, vous pouvez sélectionner les segments que vous souhaitez inclure
dans votre profil. Les segments dotés d'un symbole de verrouillage sont en cours d'utilisation
dans un profil et ne peuvent pas être supprimés. Les segments pouvant être utilisés sont affichés
sur le côté gauche de la boîte de dialogue sous Tous les segments (All Segments).

Une fois que vous avez sélectionné un segment, vous pouvez le configurer dans le menu déroulant
Configurer le segment (Configure Segment). Tous les segments disponibles pour la configuration
sont répertoriés dans le menu déroulant Configurer le segment (Configure Segment). Si un
segment est attribué à un VLAN ou à une interface, l'ID de VLAN et les modèles d'Edge qui lui
sont associés s'affichent également.

Lorsque vous choisissez un segment à configurer dans le menu déroulant Configurer le segment
(Configure Segment), selon les options du segment, les paramètres associés à ce segment
s'affichent dans la zone Configurer les segments (Configure Segments).

VMware, Inc. 241

Guide d'administration de VMware SD-WAN

Configurer les paramètres d'authentification

Les Paramètres d'authentification du périphérique (Device Authentication Settings) vous
permettent de spécifier quels services réseau le service DNS doit utiliser.

Configurer les paramètres DNS

Les paramètres DNS peuvent être utilisés pour configurer le transfert DNS conditionnel via un
service DNS privé et pour spécifier un service DNS public à utiliser à des fins d'interrogation.

Pour configurer les paramètres DNS :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles)..

2 Cliquez sur l'icône Périphérique (Device) en regard d'un profil ou cliquez sur le lien d'accès au
profil, puis cliquez sur l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), configurez les éléments suivants dans la section
Paramètres DNS (DNS Settings) :

VMware, Inc. 242

Guide d'administration de VMware SD-WAN

n Transfert DNS conditionnel (Conditional DNS Forwarding) : sélectionnez un service DNS

privé dans la liste déroulante pour transférer les demandes DNS associées au nom de
domaine. Vous pouvez également cliquer sur Ajouter un service DNS privé (New Private
DNS Service) pour créer un service DNS privé.

n DNS public (Public DNS) : sélectionnez un service DNS public dans la liste déroulante
à utiliser pour l'interrogation des noms de domaine. Vous pouvez également cliquer sur
Ajouter un service DNS (New DNS Service) pour créer un service DNS public.

Note Le service DNS public est activé sur un VLAN ou une interface acheminée
uniquement si le service DHCP est activé sur ceux-ci. Pour obtenir des instructions,
reportez-vous à la section Configurer le serveur DHCP sur des interfaces acheminées.

Pour plus d'informations sur la création d'un service DNS, reportez-vous à la section
Configurer les services DNS.

4 Dans l'onglet Périphérique (Device), cliquez sur Enregistrer les modifications (Save
Changes).

Note La configuration de segment global pour DNS s'applique à tous les segments créés par
le client. L'adresse IP source est l'adresse IP de gestion configurée dans la section Configurer le
VLAN (Configure VLAN). Reportez-vous à la section Configurer un VLAN pour les profils.

Configurer les paramètres Netflow des profils

En tant qu'administrateur d'entreprise, vous pouvez configurer les paramètres NetFlow au niveau
du profil.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer les paramètres NetFlow, puis cliquez sur l'icône sous la
colonne Périphérique (Device).

La page Paramètre du périphérique (Device Setting) du profil sélectionné s'affiche.

VMware, Inc. 243

Guide d'administration de VMware SD-WAN

3 Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un

segment de profil pour configurer les paramètres Netflow.

4 Accédez à la zone Paramètres NetFlow (Netflow Settings) et configurez les détails suivants.

a Cochez la case Netflow activé (Netflow Enabled).

SD-WAN Orchestrator prend en charge le protocole IPFIX (IP Flow information Export)
version 10.

b Dans le menu déroulant Collecteur (Collector), sélectionnez un collecteur NetFlow existant

pour exporter les informations IPFIX directement à partir du dispositif SD-WAN Edges,
ou cliquez sur Nouveau collecteur (New Collector) pour configurer un nouveau collecteur
NetFlow.

Pour plus d'informations sur l'ajout d'un nouveau collecteur, reportez-vous à la section
Configurer les paramètres NetFlow.

Note Vous pouvez configurer au maximum deux collecteurs par segment et huit
collecteurs par profil en cliquant sur le bouton +. Lorsque le nombre de collecteurs
configurés atteint la limite maximale autorisée, le bouton + est désactivé.

c Dans le menu déroulant Filtre (Filter), sélectionnez un filtre NetFlow existant pour les
flux de trafic provenant du dispositif SD-WAN Edges, ou cliquez sur Nouveau filtre (New
Filter) pour configurer un nouveau filtre NetFlow.

Pour plus d'informations sur l'ajout d'un nouveau filtre, reportez-vous à la section
Configurer les paramètres NetFlow.

Note Vous pouvez configurer au maximum seize filtres par collecteur en cliquant sur
le bouton +. Toutefois, la règle de filtrage « Tout autoriser (Allow All) » est ajoutée
implicitement à la fin de la liste des filtres définie, par collecteur.

VMware, Inc. 244

Guide d'administration de VMware SD-WAN

d Cochez la case Tout autoriser (Allow All) correspondant à un collecteur pour autoriser
tous les flux de segments vers ce collecteur.

e Sous Intervalles (Intervals), configurez les intervalles d'exportation NetFlow suivants :

n Statistiques de flux (Flow Stats) : intervalle d'exportation pour le modèle de

statistiques de flux, qui exporte les statistiques de flux dans le collecteur. Par défaut,
les enregistrements NetFlow de ce modèle sont exportés toutes les 60 secondes.
La plage d'intervalle d'exportation autorisée est comprise entre 60 secondes et
300 secondes.

n Statistiques FlowLink (FlowLink Stats) : intervalle d'exportation pour le modèle de

statistiques de liaison de flux, qui exporte les statistiques de flux par liaison dans
le collecteur. Par défaut, les enregistrements NetFlow de ce modèle sont exportés
toutes les 60 secondes. La plage d'intervalle d'exportation autorisée est comprise
entre 60 secondes et 300 secondes.

n Table VRF (VRF Table) : intervalle d'exportation pour le modèle d'option VRF, qui
exporte les informations liées au segment dans le collecteur. L'intervalle d'exportation
par défaut est de 300 secondes. La plage d'intervalle d'exportation autorisée est
comprise entre 60 secondes et 300 secondes.

n Table d'application (Application Table) : intervalle d'exportation pour le modèle

d'option Application, qui exporte les informations d'application dans le collecteur.
L'intervalle d'exportation par défaut est de 300 secondes. La plage d'intervalle
d'exportation autorisée est comprise entre 60 secondes et 300 secondes.

n Table d'interface (Interface Table) : intervalle d'exportation pour le modèle d'option

Interface, qui exporte les informations d'interface dans le collecteur. L'intervalle
d'exportation par défaut est de 300 secondes. La plage d'intervalle d'exportation
autorisée est comprise entre 60 secondes et 300 secondes.

n Table de liaison (Link Table) : intervalle d'exportation pour le modèle d'option Liaison,
qui exporte les informations de liaison dans le collecteur. L'intervalle d'exportation par
défaut est de 300 secondes. La plage d'intervalle d'exportation autorisée est comprise
entre 60 secondes et 300 secondes.

n Statistiques de tunnel (Tunnel Stats) : intervalle d'exportation pour le modèle de

statistiques de tunnel. Par défaut, les statistiques des tunnels actifs dans le dispositif
Edge sont exportées toutes les 60 secondes. La plage d'intervalle d'exportation
autorisée est comprise entre 60 secondes et 300 secondes.

Note Dans une entreprise, vous pouvez configurer les intervalles NetFlow pour chaque
modèle uniquement sur le segment global. L'intervalle d'exportation NetFlow configuré
s'applique à tous les collecteurs de tous les segments d'un dispositif Edge.

Pour plus d'informations sur les différents modèles Netfow, reportez-vous à la section
Modèles IPFIX.

5 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 245

Guide d'administration de VMware SD-WAN

Configurer les paramètres Syslog pour les profils

Dans un réseau d'entreprise, SD-WAN Orchestrator prend en charge la collecte des événements
liés à SD-WAN Orchestrator et des journaux de pare-feu provenant du dispositif SD-WAN Edges
d'entreprise vers un ou plusieurs collecteurs Syslog distants centralisés (serveurs), au format
Syslog natif. Pour que le collecteur Syslog reçoive les événements liés à SD-WAN Orchestrator et
les journaux de pare-feu provenant de dispositifs Edge configurés dans une entreprise, au niveau
du profil, configurez les détails du collecteur Syslog par segment dans SD-WAN Orchestrator en
suivant les étapes de cette procédure.

Conditions préalables

n Assurez-vous que le VPN (Virtual Private Network, réseau privé virtuel) cloud (paramètres
VPN branche-vers-branche) est configuré pour le dispositif SD-WAN Edge (à partir de
l'emplacement d'origine des événements liés à SD-WAN Orchestrator) pour établir un chemin
entre le dispositif SD-WAN Edge et les collecteurs Syslog. Pour plus d'informations, reportez-
vous à la section Configurer le VPN cloud pour les profils.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer les paramètres Syslog, puis cliquez sur l'icône dans la
colonne Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un

segment du profil pour configurer les paramètres Syslog. Par défaut, Segment global
[Normal] (Global Segment [Regular]) est sélectionné.

4 Accédez à la zone Paramètres Syslog (Syslog Settings) et configurez les détails suivants.

a Dans le menu déroulant Code d'installation (Facility Code), sélectionnez une valeur
standard Syslog qui correspond à la manière dont votre serveur Syslog utilise le champ
d'installation pour gérer les messages de tous les événements du dispositif SD-WAN
Edges. Les valeurs autorisées proviennent de local0 via local7.

Note Le champ Code d'installation (Facility Code) est configurable uniquement pour le
Segment global (Global Segment), même si les paramètres Syslog sont activés ou non
pour le profil. Les autres segments héritent la valeur du code d'installation du segment
global.

b Cochez la case Syslog activé (Syslog Enabled).

c Dans la zone de texte Adresse IP (IP), entrez l'adresse IP de destination du collecteur

Syslog.

d Dans le menu déroulant Protocole (Protocol), sélectionnez TCP ou UDP comme protocole
Syslog.

VMware, Inc. 246

Guide d'administration de VMware SD-WAN

e Dans la zone de texte Port, entrez le numéro de port du collecteur Syslog. La valeur par
défaut est de 514.

f Comme les interfaces Edge ne sont pas disponibles au niveau du profil, le champ
Interface source (Source Interface) est défini sur Auto. Le dispositif Edge sélectionne
automatiquement une interface dont le champ « Annoncer (Advertise) » est défini comme
interface source.

g Dans le menu déroulant Rôles (Roles), sélectionnez l'un des éléments suivants :

n EDGE EVENT

n FIREWALL EVENT

n EDGE AND FIREWALL EVENT

h Dans le menu déroulant Niveau Syslog (Syslog Level), sélectionnez le niveau de gravité
Syslog qui doit être configuré. Par exemple, si CRITICAL est configuré, le dispositif SD-
WAN Edge envoie tous les événements qui sont définis comme critique (critical), alerte
(alert) ou urgence (emergency).

Note Par défaut, les journaux d'événements de pare-feu sont transférés avec le niveau de
gravité Syslog INFO.

Les niveaux de gravité Syslog autorisés sont les suivants :

n EMERGENCY

n ALERT

n CRITICAL

n ERROR

n WARNING

n NOTICE

n INFO

n DEBUG

VMware, Inc. 247

Guide d'administration de VMware SD-WAN

i Si vous le souhaitez, dans la zone de texte Balise (Tag), entrez une balise pour Syslog.
La balise Syslog peut être utilisée pour différencier les différents types d'événements
au niveau du collecteur Syslog. La longueur de caractères maximale autorisée est 32,
délimitée par un point.

j Lors de la configuration d'un collecteur Syslog doté du rôle ÉVÉNEMENT DE PARE-FEU

(FIREWALL EVENT) ou ÉVÉNEMENT DE DISPOSITIF EDGE ET DE PARE-FEU (EDGE
AND FIREWALL EVENT), cochez la case Tous les segments (All Segments) si vous
souhaitez que le collecteur Syslog reçoive des journaux de pare-feu de tous les segments.
Si la case est désactivée, le collecteur Syslog reçoit des journaux de pare-feu uniquement à
partir du segment particulier dans lequel le collecteur est configuré.

Note Lorsque le rôle est ÉVÉNEMENT DE DISPOSITIF EDGE (EDGE EVENT), le

collecteur Syslog configuré dans un segment reçoit par défaut des journaux d'événements
de dispositifs Edge.

5 Cliquez sur le bouton + pour ajouter un autre collecteur Syslog ou cliquez sur Enregistrer
les modifications (Save Changes). Le collecteur Syslog distant est configuré dans SD-WAN
Orchestrator.

Note Vous pouvez configurer un maximum de deux collecteurs Syslog par segment et
10 collecteurs Syslog par dispositif Edge. Lorsque le nombre de collecteurs configurés atteint
la limite maximale autorisée, le bouton + est désactivé.

Note En fonction du rôle sélectionné, le dispositif Edge exporte les journaux correspondants
dans le niveau de gravité spécifié vers le collecteur Syslog distant. Si vous souhaitez que
les événements locaux générés automatiquement par SD-WAN Orchestrator soient reçus au
niveau du collecteur Syslog, vous devez configurer Syslog au niveau de SD-WAN Orchestrator
à l'aide des propriétés système [Link] et [Link].

Pour comprendre le format d'un message Syslog pour les journaux de pare-feu, reportez-vous
à la section Format de message Syslog pour les journaux de pare-feu.

VMware, Inc. 248

Guide d'administration de VMware SD-WAN

Étape suivante

SD-WAN Orchestrator vous permet d'activer la fonctionnalité de transfert Syslog au niveau du

profil et du dispositif Edge. Sur la page Pare-feu (Firewall) de la configuration du profil, activez
le bouton Transfert Syslog (Syslog Forwarding) si vous souhaitez transférer les journaux de pare-
feu provenant du dispositif SD-WAN Edges d'entreprise vers les collecteurs Syslog configurés.

Note Par défaut, le bouton Transfert Syslog (Syslog Forwarding) est disponible sur la page
Pare-feu (Firewall) de la configuration du profil ou du dispositif Edge, et est désactivé.

Pour plus d'informations sur les paramètres de pare-feu au niveau du profil, reportez-vous à la
section Configurer le pare-feu pour les profils.

Format de message Syslog pour les journaux de pare-feu

Décrit le format de message Syslog pour les journaux de pare-feu avec un exemple.

Exemple : Format de message Syslog d'IETF (RFC 3164)

<%PRI%>%timegenerated% %HOSTNAME% %syslogtag%%msg

Voici un exemple de message Syslog.

<158>Dec 17 [Link] b1-edge1 [Link]: VCF Open xR6FveSQT220kZiTmoYJHA SID=12278

SEGMENT=0 IN="IFNAME" PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3

Le message comporte les éléments suivants :

n Priorité - Installation * 8 + Gravité (local3 et infos) - 158

n Date - Dec 17

n Heure - [Link]

n Nom d'hôte - b1-edge1

n Balise Syslog - [Link]

n Message - VCF Open xR6FveSQT220kZiTmoYJHA SID=12278 SEGMENT=0 IN="IFNAME"

PROTO=ICMP SRC=x.x.x.x DST=x.x.x.x DEST_NAME=Internet-via-gateway-3

VMware prend en charge les messages de journal de pare-feu suivants :

n Avec le pare-feu avec état activé :

n Ouvrir (Open) : la session de flux de trafic a démarré.

n Fermer (Close) : la session de flux de trafic est terminée en raison d'un délai d'expiration
de la session ou de vidage de la session via Orchestrator.

n Refuser (Deny) : si la session correspond à la règle de refus, le message de journal de refus

s'affiche et le paquet est abandonné. Dans le cas de TCP, la réinitialisation est envoyée à la
source.

VMware, Inc. 249

Guide d'administration de VMware SD-WAN

n Mettre à jour : pour toutes les sessions en cours, le message de journal de mise à jour
s'affiche si la règle de pare-feu est ajoutée ou modifiée via Orchestrator.

n Avec le pare-feu avec état désactivé :

n Autoriser

n Refuser

Tableau 11-1. Champs de message de journal de pare-feu

Champ Description

SID Numéro d'identification unique appliqué à chaque session.

SVLAN ID VLAN du périphérique source.

DVLAN ID VLAN du périphérique de destination.

SEGMENT Segment auquel la session appartient. La plage autorisée

est comprise entre 0 et 255.

IN Nom de l'interface sur laquelle le premier paquet de

la session a été reçu. Dans le cas de paquets de
superposition reçus, ce champ contiendra VPN. Pour
les autres paquets (reçus via la sous-couche), ce champ
affichera le nom de l'interface dans le dispositif Edge.

PROTO Type de protocole IP utilisé par la session. Les valeurs

possibles sont TCP, UDP, GRE, ESP et ICMP.

SRC Adresse IP source de la session en notation décimale

séparée par des points.

DST Adresse IP de destination de la session en notation

décimale séparée par des points.

SPT Numéro de port source de la session. Ce champ

s'applique uniquement si le transport sous-jacent est UDP/
TCP.

DPT Numéro de port de destination de la session. Ce champ

s'applique uniquement si le transport sous-jacent est UDP/
TCP.

VMware, Inc. 250

Guide d'administration de VMware SD-WAN

Tableau 11-1. Champs de message de journal de pare-feu (suite)

Champ Description

DEST_NAME Nom du périphérique distant de la session. Les valeurs

possibles sont les suivantes :
n CSS-Liaison (CSS-Backhaul) : pour le trafic destiné au
service de sécurité cloud à partir du dispositif Edge.
n Internet-via-<nom-iface-sortie> : pour le trafic cloud
sortant directement du dispositif Edge à l'aide de la
stratégie d'entreprise.
n Internet-BH-via-<nom du Hub de liaison> : pour le
trafic lié au cloud accédant à Internet via le Hub de
liaison à l'aide de la stratégie d'entreprise.
n <Nom du dispositif Edge distant>-via-Hub : pour le
trafic VPN circulant via le Hub.
n <Nom du dispositif Edge distant>-via-DE2E : pour le
trafic VPN circulant entre les dispositifs Edge via le
tunnel VCMP direct.
n <Nom du dispositif Edge distant>-via-Gateway : pour
le trafic VPN passant par la passerelle cloud.
n NVS-via-<nom de la passerelle> : pour le trafic de Non
VMware SD-WAN Site passant par la passerelle cloud.
n Internet-via-<nom de la passerelle> : pour le trafic
Internet passant par la passerelle cloud.

NAT_SRC Adresse IP source utilisée pour la configuration NAT

source du trafic Internet direct.

NAT_SPT Port source utilisé pour la configuration PAT du trafic

Internet direct.

APPLICATION Nom de l'application à laquelle la session a été classée par

le moteur DPI. Ce champ est disponible uniquement pour
les messages de journal Fermer (Close).

BYTES_SENT Quantité de données envoyées en octets dans la session.

Ce champ est disponible uniquement pour les messages
de journal Fermer (Close).

BYTES_RECEIVED Quantité de données reçues en octets dans la session. Ce

champ est disponible uniquement pour les messages de
journal Fermer (Close).

VMware, Inc. 251

Guide d'administration de VMware SD-WAN

Tableau 11-1. Champs de message de journal de pare-feu (suite)

Champ Description

DURATION_SECS Durée pendant laquelle la session a été active. Ce champ

est disponible uniquement pour les messages de journal
Fermer (Close).

REASON Raison de la fermeture ou du refus de la session. Les

valeurs possibles sont les suivantes :
n Violation d'état
n Réinitialiser
n Purgé
n Obsolète
n Fin - reçu
n RST - Reçu
n Erreur
Ce champ est disponible pour les messages de journal
Fermer (Close) et Refuser (Deny).

Configurer le VPN cloud pour les profils

Au niveau du profil, SD-WAN Orchestrator vous permet de configurer le réseau privé virtuel
(VPN) cloud. Pour lancer et répondre aux demandes de connexion VPN, vous devez activer le
VPN cloud. Vous pouvez configurer le VPN cloud à partir de la page Configurer (Configure) >
Profils (Profiles) > Périphérique (Device).

Lors de l'activation du VPN cloud pour un profil, vous pouvez configurer les types VPN cloud
suivants :

n Configurer un tunnel entre une branche et des destinations non SD-WAN via une passerelle

VMware, Inc. 252

Guide d'administration de VMware SD-WAN

n Configurer un tunnel entre une branche et un VPN SD-WAN Hubs

n Configurer un tunnel entre un site distant et un VPN de site distant

n Configurer un tunnel entre une branche et des destinations non SD-WAN via un dispositif
Edge

Note Le VPN cloud doit être configuré par segment.

Pour la topologie et les cas d'utilisation, reportez-vous à la section Présentation du VPN cloud.

Présentation du VPN cloud

Le réseau privé virtuel (Virtual Private Network, VPN) cloud active une connexion VPN IPSec
compatible VPNC qui connecte VMware et Non VMware SD-WAN Sites. Il indique également la
santé des sites (état actif ou inactif) et l'état en temps réel des sites.

Le VPN cloud prend en charge les flux de trafic suivants :

n Branche vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN
Destinations via Gateway)

n Branche vers SD-WAN Hub

n VPN branche vers branche

n Branche vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN
Destination via Edge)

La figure suivante représente les trois branches du VPN cloud. Les numéros indiqués dans l'image
représentent chaque branche et correspondent aux descriptions du tableau suivant.

VMware, Inc. 253

Guide d'administration de VMware SD-WAN

5 4

Zscaler IaaS

HUB

Branche NVC

Passerelle
SD-WAN
Gateway 1
3
1

Branche

Passerelle
SD-WAN
Gateway 1 NVC 2

Non VMware SD-WAN Site

Branche vers SD-WAN Hub

VPN branche vers branche

Branche vers Non VMware SD-WAN Site

Branche vers Non VMware SD-WAN Site

Branche vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destinations
via Gateway)
L'option Branche vers destination non-SD-WAN via une passerelle (Branch to Non SD-WAN
Destinations via Gateway)y prend en charge les configurations suivantes :

n Connexion au centre de données du client avec un routeur VPN de pare-feu existant

n IaaS

n Connexion à CWS (Zscaler)

VMware, Inc. 254

Guide d'administration de VMware SD-WAN

Connexion au centre de données du client avec un routeur VPN de pare-feu existant

Une connexion VPN entre la passerelle VMware et le pare-feu du centre de données (tout routeur
VPN) assure la connectivité entre les branches (sur lesquelles un dispositif SD-WAN Edges est
installé) et un Non VMware SD-WAN Sites, ce qui facilite l'insertion. En d'autres termes, aucune
installation de centre de données client n'est requise.

La figure suivante illustre une configuration VPN :

Branche NVC
1

Passerelle
SD-WAN 2
Gateway

Branche 3

Passerelle
SD-WAN
Gateway NVC 2

Tunnel principal

Tunnel redondant

Passerelle VPN secondaire

VMware prend en charge les configurations de Non VMware SD-WAN Site suivantes via SD-WAN
Gateway :

n Point de contrôle

n Cisco ASA

n Cisco ISR

n Routeur IKEv2 générique (VPN basé sur une route)

n Hub virtuel Microsoft Azure

n Palo Alto

n SonicWALL

n Zscaler

n Routeur IKEv1 générique (VPN basé sur une route)

VMware, Inc. 255

Guide d'administration de VMware SD-WAN

n Pare-feu générique (VPN basé sur la stratégie)

Note VMware prend en charge Non VMware SD-WAN Site basé sur une route générique et
basé sur la stratégie depuis la passerelle.

Pour plus d'informations sur la configuration d'une branche vers Non VMware SD-WAN Site via
SD-WAN Gateway, reportez-vous à la section Configurer des destinations non SD-WAN via une
passerelle.

IaaS
Lors de la configuration à l'aide d'Amazon Web Services (AWS), utilisez l'option Pare-feu
générique (VPN basé sur la stratégie) [Generic Firewall (Policy Based VPN)] dans la boîte de
dialogue Non VMware SD-WAN Site.

La configuration à l'aide d'un tiers peut apporter les avantages suivants :

n Suppression du maillage

n Coût

n Performances

Le VPN cloud de VMware est simple à configurer (les réseaux globaux d'une passerelle SD-WAN
Gateways éliminent la nécessité du tunnel de maillage vers les VPC), dispose d'une stratégie
centralisée pour contrôler l'accès au VPC de la branche, assure les performances et, enfin,
sécurise la connectivité par rapport à la liaison WAN traditionnelle vers le VPC.

Pour plus d'informations sur la configuration à l'aide d'Amazon Web Services (AWS), reportez-
vous à la section Configurer Amazon Web Services.

Connexion à CWS (Zscaler)

Zscaler Web Security assure la sécurité, la visibilité et le contrôle. Distribué dans le cloud, Zscaler
fournit une sécurité Web dotée de fonctionnalités qui incluent la protection contre les menaces,
les analyses en temps réel et les investigations.

La configuration à l'aide de Zscaler offre les avantages suivants :

n Performances : achemine le trafic directement vers Zscaler (Zscaler via la passerelle)

n La gestion du proxy est complexe : active la stratégie en un clic prenant en charge Zscaler

Branche vers SD-WAN Hub

Le SD-WAN Hub est un dispositif Edge déployé dans des centres de données qui permet
aux branches d'accéder aux ressources de ces derniers. Vous devez configurer votre SD-WAN
Hub dans SD-WAN Orchestrator. SD-WAN Orchestrator signale les Hubs à tous les dispositifs
SD-WAN Edges et les dispositifs SD-WAN Edges créent un tunnel de superposition sécurisé à
chemins multiples vers ces derniers.

La figure suivante montre comment les topologies actif-en veille et actif-actif sont prises en
charge.

VMware, Inc. 256

Guide d'administration de VMware SD-WAN

Dispositif Edge de Dispositif Edge Dispositif Edge de Dispositif Edge de

Hub principal de Hub secondaire Hub de région 1 Hub de région 2

Chemin
principal,
préférence
supérieure

Branche vers Hubs SD-WAN Branche vers Hubs SD-WAN Branche vers Hubs SD-WAN
Activer : Activer : Activer :
Hubs SD-WAN Hubs SD-WAN Hubs SD-WAN
1 DC1-VCE 1 DC1-VCE 1 DC2-VCE
2 DC2-VCE 2 DC2-VCE 2 DC1-VCE

VPN branche vers branche

Le VPN branche vers branche prend en charge les configurations permettant d'établir une
connexion VPN entre les branches pour améliorer les performances et l'évolutivité.

Le VPN branche vers branche prend en charge deux configurations :

n Passerelles cloud

n SD-WAN Hubs pour VPN

La figure suivante présente les flux de trafic branche vers branche pour une passerelle cloud et un
SD-WAN Hub.

VPN branche vers branche

Activer :

Utiliser les passerelles cloud :

VPN branche vers branche
Utiliser des Hubs SD-WAN pour le VPN
Activer :
Hubs SD-WAN Modifier...
Utiliser les passerelles cloud : 1 DC1-VCE

VPN B2B dynamique : VPN B2B dynamique :

Trafic initial

Une fois qu'

E2E dynamique est en place

Vous pouvez également activer un VPN branche vers branche dynamique pour les passerelles
cloud et les Hubs.

VMware, Inc. 257

Guide d'administration de VMware SD-WAN

Vous pouvez accéder à la fonctionnalité VPN cloud en un clic dans SD-WAN Orchestrator à partir
de l'onglet Configurer (Configure) > Profils (Profiles) > onglet Périphérique (Device) de la zone
VPN cloud (Cloud VPN).

Note Pour obtenir des instructions pas à pas pour configurer le VPN cloud, reportez-vous à la
section Configurer le VPN cloud pour les profils.

Branche vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN
Destination via Edge)
Branche vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN
Destination via Edge) prend en charge les configurations VPN basées sur une route suivantes :

n Routeur IKEv2 générique (VPN basé sur une route)

n Routeur IKEv1 générique (VPN basé sur une route)

Note VMware ne prend en charge que les configurations de Non VMware SD-WAN Site basées
sur une route via un dispositif Edge.

Pour plus d'informations, reportez-vous à la section Configurer des destinations non SD-WAN via
un dispositif Edge.

Configurer un tunnel entre une branche et des destinations non SD-WAN via une
passerelle
Vous pouvez établir une connexion VPN entre une branche et une instance de Non VMware
SD-WAN Site via SD-WAN Gateway en activant Branche vers destinations non-SD-WAN via une
passerelle (Branch to Non SD-WAN Destinations via Gateway) sous VPN cloud (Cloud VPN).

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne
Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton
bascule sur Actif (On).

4 Pour établir une connexion VPN entre une branche et Non VMware SD-WAN Site via SD-
WAN Gateway, cochez la case Activer (Enable) sous Branche vers destinations non-SD-WAN
via une passerelle (Branch to Non SD-WAN Destinations via Gateway).

5 Dans le menu déroulant, sélectionnez un Non VMware SD-WAN Site pour établir une
connexion VPN. Cliquez sur le bouton + (plus) pour ajouter un Non VMware SD-WAN Sites
supplémentaire.

VMware, Inc. 258

Guide d'administration de VMware SD-WAN

6 Vous pouvez également créer des connexions VPN en sélectionnant l'option Nouvelles
destinations non-SD-WAN via une passerelle (New Non SD-WAN Destinations via Gateway)
dans le menu déroulant. La boîte de dialogue Nouvelles destinations non-SD-WAN via une
passerelle (New Non SD-WAN Destinations via Gateway) s'affiche.

a Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

b Dans le menu déroulant Type, sélectionnez un Non VMware SD-WAN Site.

c Dans la zone de texte Passerelle VPN principale (Primary VPN Gateway), entrez l'adresse
IP que vous souhaitez configurer comme passerelle VPN principale pour le Non VMware
SD-WAN Site sélectionné.

d Cliquez sur Suivant (Next). Un Non VMware SD-WAN Site sera créé, puis ajouté au menu
déroulant Non VMware SD-WAN Site.

Pour plus d'informations sur la configuration d'un service réseau Non VMware SD-WAN
Site via une passerelle, reportez-vous à la section Configurer des destinations non SD-
WAN via une passerelle.

7 Cliquez sur Enregistrer les modifications (Save Changes).

Note Avant d'associer une instance de Non VMware SD-WAN Site à un profil, assurez-vous
que la passerelle du centre de données d'entreprise est déjà configurée par l'administrateur
du centre de données d'entreprise et que le tunnel VPN du centre de données est activé.

Configurer un tunnel entre une branche et un VPN SD-WAN Hubs

Configurez un VPN branche vers SD-WAN Hubs afin d'établir une connexion VPN entre une
branche et les Hubs.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne
Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton
bascule sur Actif (On).

4 Pour configurer une branche vers les Hubs SD-WAN Hubs, sous Branche vers Hubs (Branch
to Hubs), cochez la case Activer (Enable).

VMware, Inc. 259

Guide d'administration de VMware SD-WAN

5 Cliquez sur le lien Sélectionner des Hubs (Select Hubs). La page Gérer les Hubs de VPN de
cloud (Manage Cloud VPN Hubs) pour le profil sélectionné s'affiche.

6 Dans Dispositifs Edge et clusters disponibles (Available Edges & Clusters), vous pouvez
sélectionner et configurer les dispositifs Edge pour qu'ils agissent en tant que SD-WAN Hubs,
Hubs de liaison ou Hubs de VPN branche vers branche dans le profil de branche à l'aide des
flèches > ou <.

Note Un cluster Edge et un dispositif Edge individuel peuvent être configurés simultanément
en tant que Hubs dans un profil de branche. Après l'attribution des dispositifs Edge à un
cluster, vous ne pouvez plus les attribuer en tant que Hubs individuels.

Note Un VPN branche vers branche utilisant des Hubs fonctionne de la même façon, que
les Hubs soient des clusters ou des dispositifs Edge individuels. Pour configurer un VPN
branche vers branche utilisant des Hubs qui sont également des clusters Edge, vous pouvez
sélectionner un Hub dans la zone Hubs et le déplacer vers la zone Hubs de VPN branche
vers branche (Branch to Branch VPN Hubs). Il est recommandé de cocher la case Sélection
automatique du Hub VPN (Auto Select VPN Hub) afin que le dispositif Edge sélectionne le
meilleur Hub possible pour l'établissement de la connexion des Hubs de VPN branche vers
branche.

7 Pour activer le déroutement conditionnel, cochez la case Activer le déroutement conditionnel

(Enable Conditional BackHaul).

Lorsque la fonctionnalité de déroutement conditionnel (CBH) est activée, le dispositif Edge

peut basculer le trafic Internet (trafic Internet direct, Internet via SD-WAN Gateway et trafic
de sécurité cloud via IPsec) vers les liaisons MPLS en cas d'indisponibilité des liaisons Internet
publiques. Lorsque le déroutement conditionnel est activé, par défaut, toutes les règles de
stratégie d'entreprise au niveau de la branche sont soumises au trafic de basculement via le

VMware, Inc. 260

Guide d'administration de VMware SD-WAN

déroutement conditionnel. Vous pouvez exclure le déroutement conditionnel en fonction de

certaines exigences pour les stratégies sélectionnées en désactivant cette fonctionnalité au
niveau de la stratégie d'entreprise sélectionnée. Pour plus d'informations, reportez-vous à la
section Déroutement conditionnel.

8 Cliquez sur Enregistrer les modifications (Save Changes).

Déroutement conditionnel
Le déroutement conditionnel (CBH) est une fonctionnalité conçue pour les déploiements de
branches SD-WAN hybrides qui disposent d'au moins une liaison publique et une liaison privée.
Lors d'une panne d'une liaison Internet publique sur un dispositif VMware SD-WAN Edge, les
tunnels vers VMware SD-WAN Gateway, le service de sécurité cloud (CSS) et le point d'accès
direct vers Internet ne sont pas établis. Dans ce scénario, la fonctionnalité de déroutement
conditionnel, si elle est activée, utilise la connectivité via des liaisons privées vers des Hubs de
liaison désignés, ce qui permet au dispositif SD-WAN Edge de basculer le trafic Internet sur des
superpositions privées au Hub et de fournir l'accessibilité à des destinations Internet.

Chaque fois que la liaison Internet publique tombe en panne et que le déroutement conditionnel
est activé, le dispositif Edge peut basculer les types de trafic Internet suivants :

1 Directement vers Internet

2 Internet via SD-WAN Gateway

3 Trafic du service de sécurité cloud

Caractéristiques comportementales du déroutement conditionnel
n Lorsque le déroutement conditionnel est activé, par défaut, toutes les règles de stratégie
d'entreprise au niveau de la branche sont soumises au trafic de basculement via le CBH.
Vous pouvez exclure le déroutement conditionnel en fonction de certaines exigences pour
les stratégies sélectionnées en désactivant cette fonctionnalité au niveau de la stratégie
d'entreprise sélectionnée.

n Le déroutement conditionnel n'a aucune incidence sur les flux existants déjà reliés à un Hub
en cas de panne de la ou des liaisons publiques. Les flux existants continuent à transférer les
données à l'aide du même Hub.

n Si un emplacement de la branche dispose de liaisons publiques de sauvegarde, la liaison

publique de sauvegarde est prioritaire sur le CBH. Le CBH se déclenche et utilise la liaison
privée uniquement si les liaisons principale et de sauvegarde sont toutes inopérantes.

n Si une liaison privée fait office de sauvegarde, le trafic bascule vers la liaison privée à l'aide
de la fonctionnalité CBH lorsque la liaison publique active tombe en panne et que la liaison de
sauvegarde privée devient active.

n Pour que la fonctionnalité soit opérationnelle, le même nom de réseau privé des Hubs de
branches et de liaison conditionnelle doit être attribué à leurs liaisons privées. (Sinon, le tunnel
privé ne s'active pas.)

VMware, Inc. 261

Guide d'administration de VMware SD-WAN

Flux opérationnel
Dans des opérations normales, la liaison publique est active et le trafic Internet s'effectue
normalement soit directement, soit via SD-WAN Gateway selon les stratégies d'entreprise
configurées.

Internet

Branche MPLS HUB

Lorsque la liaison Internet publique tombe en panne ou que le chemin de superposition SD-WAN
passe à l'état QUIET (aucun paquet reçu de la passerelle après 7 pulsations), le trafic Internet est
dérouté dynamiquement vers le Hub.

VMware, Inc. 262

Guide d'administration de VMware SD-WAN

Internet

Branche MPLS HUB

La stratégie d'entreprise configurée sur le Hub détermine le mode de transfert de ce trafic lorsqu'il
atteint le Hub. Les options sont les suivantes :

n Directement depuis le Hub (Direct from Hub)

n Hub vers la passerelle, puis point d'accès depuis la passerelle

Lorsque la liaison Internet publique est rétablie, le CBH tente de retransférer les flux vers la liaison
publique. Pour éviter une liaison instable qui entraîne le bagotement du trafic entre les liaisons
publiques et privées, le CBH dispose d'un temporisateur de maintien de 30 secondes par défaut.
Une fois que ce temporisateur est atteint, les flux rebasculent vers la liaison Internet publique.

VMware, Inc. 263

Guide d'administration de VMware SD-WAN

Internet

Branche MPLS HUB

Configuration de déroutement conditionnel

Au niveau du profil, pour configurer le déroutement conditionnel, vous devez activer le VPN
cloud, puis établir une connexion VPN entre la branche et les Hubs SD-WAN Hubs en procédant
comme suit :

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles). La page
Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne
Périphérique (Device). La page Paramètres du périphérique (Device Settings) pour le profil
sélectionné s'affiche.

3 Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un

segment du profil pour configurer le déroutement conditionnel. Par défaut, Segment global
[Normal] (Global Segment [Regular]) est sélectionné.

Note La fonctionnalité de déroutement conditionnel prend en charge les segments et doit

donc être activée sur chaque segment où elle est censée fonctionner.

4 Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton
bascule sur Actif (On).

VMware, Inc. 264

Guide d'administration de VMware SD-WAN

5 Pour configurer une branche vers les Hubs SD-WAN Hubs, sous Branche vers Hubs (Branch
to Hubs), cochez la case Activer (Enable).

6 Cliquez sur le lien Sélectionner des Hubs (Select Hubs). La page Gérer les Hubs de VPN de
cloud (Manage Cloud VPN Hubs) pour le profil sélectionné s'affiche.

Dans la zone Hubs, sélectionnez les Hubs devant faire office de Hubs de liaison et déplacez-les
vers la zone Hubs de liaison (Backhaul Hubs) à l'aide de la flèche >.

7 Pour activer le déroutement conditionnel, cochez la case Activer le déroutement conditionnel

(Enable Conditional BackHaul).

Lorsque la fonctionnalité de déroutement conditionnel est activée, le dispositif Edge peut

basculer le trafic Internet (trafic Internet direct, Internet via SD-WAN Gateway et trafic de
sécurité cloud via IPsec) vers les liaisons MPLS en cas d'indisponibilité des liaisons Internet
publiques. Lorsqu'il est activé, le déroutement conditionnel s'applique à toutes les stratégies
d'entreprise par défaut. Pour exclure le trafic du déroutement conditionnel selon certaines
exigences, vous pouvez lr désactiver pour les stratégies sélectionnées afin d'exclure le trafic
sélectionné de ce comportement en cochant la case Désactiver le déroutement conditionnel
(Disable Conditional Backhaul) dans la zone Action de l'écran Configurer la règle (Configure
Rule) pour la stratégie d'entreprise sélectionnée.

VMware, Inc. 265

Guide d'administration de VMware SD-WAN

Note
n Le déroutement conditionnel et l'accessibilité SD-WAN peuvent fonctionner ensemble
dans le même dispositif Edge. Le déroutement conditionnel et l'accessibilité SD-WAN
prennent en charge le basculement du trafic de la passerelle dans le cloud vers MPLS
lorsque l'Internet public est en panne sur le dispositif Edge. Si le déroutement conditionnel
est activé, qu'il n'y a pas de chemin à la passerelle, mais qu'il existe un chemin au
Hub via MPLS, le trafic de la passerelle et le trafic direct appliquent le déroutement
conditionnel. Pour plus d'informations sur l'accessibilité SD-WAN, reportez-vous à la
section Accessibilité du service SD-WAN via MPLS.

n Lorsqu'il existe plusieurs Hubs candidats, le déroutement conditionnel utilise le premier

Hub de la liste, sauf si celui-ci a perdu la connectivité à la passerelle.

8 Cliquez sur Enregistrer les modifications (Save Changes).

Dépannage d'un déroutement conditionnel
Prenons l'exemple d'un utilisateur avec les deux règles de stratégie d'entreprise suivantes créées
au niveau de la branche.

VMware, Inc. 266

Guide d'administration de VMware SD-WAN

Vous pouvez vérifier si les pings constants sur chaque adresse IP de destination sont actifs pour la
branche en exécutant la commande Répertorier les flux actifs (List Active Flows) dans la section
Diagnostics à distance (Remote Diagnostics).

Si une perte extrême de paquets se produit dans la liaison publique de la branche et si la liaison
est en panne, les mêmes flux basculent vers la liaison Internet au niveau de la branche.

Notez que la stratégie d'entreprise sur le Hub détermine le mode de transfert du trafic par le Hub.
Comme le Hub ne comporte aucune règle spécifique pour ces flux, ils sont classés comme trafic
par défaut. Pour ce scénario, vous pouvez créer une règle de stratégie d'entreprise au niveau du
Hub pour faire correspondre les adresses IP ou les plages de sous-réseaux souhaitées afin de
définir le mode de gestion des flux à partir d'une branche spécifique au cas où le CBH deviendrait
opérationnel.

VMware, Inc. 267

Guide d'administration de VMware SD-WAN

Configurer un tunnel entre un site distant et un VPN de site distant

Configurez un VPN site distant vers site distant pour établir une connexion VPN entre des sites
distants.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne
Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton
bascule sur Actif (On).

4 Pour configurer un VPN site distant vers site distant, sous VPN site distant vers site distant
(Branch to Branch VPN), cochez la case Activer (Enable).

Le VPN site distant vers site distant prend en charge deux configurations pour établir une
connexion VPN entre des sites distants :

Configuration Description

Utilisation de SD-WAN Dans cette option, les dispositifs Edge établissent un tunnel VPN avec la passerelle la
Gateway plus proche, et les connexions entre les dispositifs Edge passent par cette passerelle.
L'instance de SD-WAN Gateway peut présenter un trafic provenant d'autres clients.

Utilisation de SD-WAN Dans cette option, un ou plusieurs dispositifs Edge sont sélectionnés pour agir en tant
Hub que Hubs capables d'établir des connexions VPN avec les sites distants. Les connexions
entre les dispositifs Edge du site distant passent par le Hub. Celui-ci est la seule
ressource qui dispose de vos données d'entreprise, ce qui améliore la sécurité globale.

5 Pour activer l'isolation de profil, cochez la case Isolation de profil (Isolate Profile).

Si l'isolation de profil est activée, les dispositifs Edge du profil n'apprendront pas les routes
des autres dispositifs Edge en dehors du profil à l'aide la superposition SD-WAN.

VMware, Inc. 268

Guide d'administration de VMware SD-WAN

Vous pouvez activer le VPN dynamique site distant vers site distant vers tous les dispositifs
Edge ou vers des dispositifs Edge dans un profil. Lorsque vous cochez la case Activé
(Enabled), le VPN dynamique site distant vers site distant est configuré par défaut pour tous
les dispositifs Edge. Pour configurer le VPN dynamique site distant vers site distant par profil,
assurez-vous que la case Isolation de profil (Isolate Profile) est décochée.

Note Lorsque l'isolation du profil est activée, le VPN dynamique site distant vers site distant
peut uniquement être activé sur les dispositifs Edge du profil.

Lorsque vous activez la fonctionnalité VPN dynamique site distant vers site distant (Dynamic
Branch to Branch VPN), le premier paquet passe par la passerelle Cloud (ou le hub). Si
le dispositif Edge de lancement détermine que le trafic peut être routé via un tunnel de
superposition sécurisé à chemins multiples, et si l'option VPN dynamique site distant vers site
distant (Dynamic Branch to Branch VPN) est activée, un tunnel direct est créé entre les sites
distants.

Une fois le tunnel établi, le trafic commence à circuler sur le tunnel de superposition sécurisé
à chemins multiples entre les sites distants. Après 180 secondes de silence du trafic (direct
ou inversé, de l'un ou l'autre côté du site distant), le dispositif Edge d'initialisation détruit le
tunnel.

6 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer un tunnel entre une branche et des destinations non SD-WAN via un
dispositif Edge
Après avoir configuré une instance de Non VMware SD-WAN Site via un dispositif Edge dans
SD-WAN Orchestrator, vous devez associer l'instance de Non VMware SD-WAN Site au profil
souhaité afin d'établir les tunnels entre SD-WAN Gateways et l'instance de Non VMware SD-WAN
Site.

Pour établir une connexion VPN entre une branche et une instance de Non VMware SD-WAN Site
configurée via un dispositif Edge, procédez comme suit.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer le VPN cloud, puis cliquez sur l'icône sous la colonne
Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton
bascule sur Actif (On).

VMware, Inc. 269

Guide d'administration de VMware SD-WAN

4 Pour établir une connexion VPN directement depuis un dispositif SD-WAN Edge vers une
instance de Non VMware SD-WAN Site (passerelle VPN d'un fournisseur de cloud, tel
qu'Azure, AWS), cochez la case Activer (Enable) sous Branche vers destination non-SD-
WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge).

5 Dans la liste de services configurés, sélectionnez une instance de Non VMware SD-WAN Site
pour établir une connexion VPN. Cliquez sur le bouton + (plus) pour ajouter un Non VMware
SD-WAN Sites supplémentaire.

Note Seul un service de destinations non SD-WAN via une passerelle peut être activé dans
un segment au maximum. Deux segments ne peuvent pas comporter le même service de
destinations non SD-WAN via un dispositif Edge activé.

Pour plus d'informations sur la configuration d'un service réseau Non VMware SD-WAN Site
via un dispositif Edge, reportez-vous à la section Configurer des destinations non SD-WAN via
un dispositif Edge.

6 Pour désactiver un service particulier, décochez la case Activer le service (Enable Service)
correspondante.

7 Cliquez sur Enregistrer les modifications (Save Changes).

Note Avant d'associer une instance de Non VMware SD-WAN Site à un profil, assurez-vous
que la passerelle du centre de données d'entreprise est déjà configurée par l'administrateur
du centre de données d'entreprise et que le tunnel VPN du centre de données est activé.

Configurer les paramètres de multicast

Le multicast fournit un moyen efficace pour envoyer des données à un ensemble de récepteurs
intéressé à partir d'une seule copie de données à partir de la source, en laissant les routeurs de
multicast intermédiaires du réseau répliquer les paquets afin d'accéder à plusieurs récepteurs en
fonction d'un abonnement à un groupe.

Les clients de multicast utilisent le protocole IGMP (Internet Group Management Protocol) pour
propager les informations d'appartenance des hôtes aux routeurs activés pour la multicast et au
protocole PIM (Protocol-Independent Multicast) afin de propager les informations d'appartenance
au groupe aux serveurs de multicast via des routeurs de multicast.

La prise en charge du multicast inclut les éléments suivants :

n Prise en charge du multicast sur la superposition et la sous-couche

n Protocol-Independent Multicast : mode épars (PIM-SM) sur SD-WAN Edge

VMware, Inc. 270

Guide d'administration de VMware SD-WAN

n Protocole IGMP (Internet Group Management Protocol) version 2 sur SD-WAN Edge

n Configuration du point de rendez-vous statique (RP), où RP est activé sur un routeur tiers.

Configurer le multicast globalement

Il existe deux étapes pour activer et configurer la multicast (globalement et au niveau de
l'interface), dans lesquelles les deux peuvent être remplacées au niveau du dispositif Edge. Les
étapes ci-dessous fournissent des instructions sur l'activation de la multicast globalement.

Pour configurer le multicast globalement :

1 Dans Configurer (Configure) > Profil (Profile)> Périphériques (Devices), accédez à la zone
Paramètres de multidiffusion (Multicast Settings).

2 Si le bouton Paramètres de multicast (Multicast Settings) est en position Inactif (Off), cliquez
sur le bouton Actif (On) pour activer Paramètres de multicast (Multicast Settings).

Par défaut, la sélection RP est définie sur Statique (Static).

3 Dans les zones de texte appropriées de la sélection de RP, entrez l'adresse RP et le groupe
de multicast. Pour obtenir une description de l'Adresse RP (RP Address) et du Groupe de
multidiffusion (Multicast Group) ).

4 Le cas échéant, cochez la case Activer PIM sur la superposition (Enable PIM on Overlay) et
entrez l'adresse IP source.

5 Définissez Paramètres avancés (Advanced Settings), si nécessaire. Pour obtenir une

description de chaque paramètre, reportez-vous au tableau suivant. Dans les zones de
texte appropriées, entrez les temporisateurs PIM pour Intervalle d'envoi des messages de
jonction/d'élagage (Join Prune Send Interval) (par défaut 60 secondes) et Temporisateur de
keep-alive (Keep Alive Timer) (par défaut 60 secondes).

Paramètres de multicast (Multicast Settings)

Le tableau suivant décrit les paramètres de multicast.

VMware, Inc. 271

Guide d'administration de VMware SD-WAN

Paramètre de multicast Description

Sélection RP (RP Selection) Configurez RP pour les groupes de multicast. RP statique (Static RP) est le
mécanisme par défaut et pris en charge dans la version 3.2.

Activer PIM sur la superposition Activez l'appairage PIM sur la superposition SD-WAN. En cas d'activation,
(Enable PIM on Overlay) par exemple, sur le site distant SD-WAN Edge et le Hub SD-WAN Edge, ils
forment un homologue PIM. Par défaut, l'adresse IP source des overlays est
dérivée de toutes les interfaces commutées (le cas échéant) ou d'une interface
routée de type Statique (Static) avec un overlay WAN désactivé. Les utilisateurs
peuvent éventuellement modifier l'adresse IP source en spécifiant Adresse IP
source (Source IP Address), qui est une adresse virtuelle et qui est annoncée
automatiquement sur la superposition.

Temporisateurs PIM (PIM Timers)

Intervalle d'envoi des messages Temporisateur d'intervalle de jonction/d'élagage. La valeur par défaut est de
de jonction/d'élagage (Join Prune 60 secondes.
Send Interval)

Temporisateur de keep-alive Temporisateur de keep-alive PIM. La valeur par défaut est de 60 secondes.
(Keep Alive Timer)

Configurer les paramètres de multidiffusion au niveau de l'interface

Vous pouvez configurer les paramètres la multidiffusion au niveau de l'interface pour chaque
modèle de dispositif Edge.

Pour activer et configurer la multidiffusion au niveau de l'interface :

1 Dans le portail d'entreprise, accédez à Configurer (Configure) > Profils (Profiles) >
Périphérique (Device) et sélectionnez un modèle de dispositif Edge cible pour configurer la
multidiffusion.

2 Dans la zone Paramètres des interfaces (Interfaces Settings), sélectionnez l'interface pour
laquelle vous souhaitez activer la multidiffusion, puis cliquez sur le bouton Modifier.

3 Dans la boîte de dialogue Interface du dispositif Edge sélectionné :

a La case Interface activée (Interface Enabled) est cochée par défaut. Si nécessaire, vous
pouvez désactiver l'interface. Lorsqu'elle est désactivée, l'interface n'est pas disponible
pour les communications.

b Dans le menu déroulant Capacité (Capability), choisissez Acheminée (Routed) pour

pouvoir utiliser les paramètres de multidiffusion. Par défaut, l'option Commuté (Switched)
est sélectionnée pour le port de commutateur.

c Dans le menu déroulant Type d'adressage (Addressing Type), choisissez DHCP, PPPoE
ou Statique (Static).

d Le cas échéant, cochez la case Superposition WAN (WAN Overlay). Par défaut, cette
option est activée avec Détecter automatiquement la superposition (Auto-Detect Overlay).
Vous pouvez choisir la Superposition définie par l'utilisateur (User Defined Overlay) et
configurer les paramètres de Superposition (Overlay). Pour plus d'informations, reportez-
vous à la section Configurer les paramètres de superposition WAN de dispositifs Edge.

VMware, Inc. 272

Guide d'administration de VMware SD-WAN

e Le cas échéant, cochez la case OSPF.

f Dans la section Multidiffusion (Multicast) :

1 Le cas échéant, cochez la case IGMP et sélectionnez la seule option disponible,

IGMP v2.

2 Le cas échéant, cochez la case PIM et sélectionnez la seule option disponible, PIM SM.

3 Cliquez sur le lien basculer les paramètres de multidiffusion avancés (toggle

advanced multicast settings) pour définir les temporisateurs IGMP et PIM.

n Temporisateur Hello PIM (PIM Hello Timer) : la valeur par défaut est de
30 secondes et la plage autorisée est comprise entre 1 et 180 secondes.

n Intervalle entre les requêtes de l'hôte IGMP (IGMP Host Query Interval) : la valeur
par défaut est de 125 secondes et la plage autorisée est comprise entre 1 et 1 800.

n Valeur de réponse de requête maximale IGMP (IGMP Max Query Response

Value) : la valeur par défaut est de 100 décisecondes et la plage autorisée est
comprise entre 10 et 250 décisecondes.

g Vous devez désactiver l'option Superposition WAN (WAN Overlay) pour configurer
Authentification RADIUS (RADIUS Authentication). Cochez cette case pour activer l'option

VMware, Inc. 273

Guide d'administration de VMware SD-WAN

Authentification RADIUS (RADIUS Authentication) sur l'interface et ajouter les adresses

MAC qui ne doivent pas être transférées à RADIUS pour une nouvelle authentification.
Pour plus d'informations, reportez-vous à la section Activation de RADIUS sur une
interface acheminée .

h Le cas échéant, cochez les cases suivantes :

n Annoncer (Advertise) : cochez cette case pour annoncer l'interface à d'autres sites
distants du réseau.

n Réponse ECHO ICMP (ICMP Echo Response) : cochez cette case pour permettre à
l'interface de répondre aux messages ECHO ICMP. Pour des raisons de sécurité, vous
pouvez désactiver cette option pour l'interface.

n Trafic direct NAT (NAT Direct Traffic) : cochez cette case pour appliquer la NAT au
trafic réseau envoyé depuis l'interface.

n Comptabilité de la sous-couche : cette option est activée par défaut. Si une

superposition WAN privée est définie sur l'interface, tout le trafic de sous-couche
traversant l'interface est comptabilisé dans le débit mesuré de la liaison WAN pour
éviter un surabonnement. Si vous ne souhaitez pas ce comportement (par exemple,
lors de l'utilisation de déploiements à un bras), désactivez cette option.

n Source approuvée (Trusted Source) : cochez cette case pour définir l'interface comme
source approuvée.

i Dans le menu déroulant Transfert de chemin inverse, sélectionnez l'une des options
suivantes dans la liste déroulante :

n Désactivé (Disabled) : autorise le trafic entrant, même si aucune route ne correspond

dans la table de routage.

n Spécifique (Specific) : cette option est sélectionnée par défaut, même lorsque
l'option Source de confiance (Trusted Source) est désactivée. Le trafic entrant doit
correspondre à une route de retour spécifique sur l'interface entrante. Si aucune
correspondance spécifique n'est trouvée, le paquet entrant est abandonné. Il s'agit
d'un mode couramment utilisé sur les interfaces configurées avec des superpositions
publiques et une NAT.

n Libre (Loose) : le trafic entrant doit correspondre à n'importe quelle route (Connectée
[Connected]/Statique [Static]/Acheminée [Routed]) de la table de routage. Cela
permet un routage asymétrique et vous l'utilisez généralement sur les interfaces
configurées sans tronçon suivant.

Note Vous pouvez choisir une option pour Transfert de chemin inverse (Reverse
Path Forwarding, RPF) uniquement lorsque vous avez activé Source approuvée (Trusted
Source). RPF est défini par défaut sur Spécifique (Specific) lorsque vous avez désactivé
Source approuvée (Trusted Source).

VMware, Inc. 274

Guide d'administration de VMware SD-WAN

j Dans la zone Paramètres de couche 2 (L2 Settings), la case Négociation automatique

(Autonegotiate) est cochée par défaut. La négociation automatique permet au port de
communiquer avec le périphérique à l'autre extrémité de la liaison pour déterminer le
mode duplex optimal et la vitesse de la connexion.

k Si l'option Négociation automatique (Autonegotiate) n'est pas sélectionnée, entrez les

détails suivants :

n Vitesse (Speed) : cette option n'est disponible que lorsque l'option Négociation
automatique (Autonegotiate) est désactivée. Sélectionnez la vitesse à laquelle le port
doit communiquer avec d'autres liaisons. Par défaut, l'option 100 Mbits/s (100 Mbps)
est sélectionnée.

n Duplex : cette option n'est disponible que lorsque l'option Négociation automatique
(Autonegotiate) est désactivée. Sélectionnez Duplex intégral (Full duplex) ou Semi-
duplex (Half duplex) comme mode de connexion. Par défaut, l'option Duplex intégral
(Full duplex) est sélectionnée.

n MTU : la taille de la MTU par défaut pour les trames reçues et envoyées sur toutes les
interfaces de commutateur est de 1 500 octets. Vous pouvez modifier la taille de la
MTU d'une interface.

l Cliquez sur Mettre à jour (Update) pour enregistrer les paramètres.

Note Accédez à l'onglet Surveiller (Monitor) > Routage (Routing) > Multidiffusion (Multicast)
pour afficher les informations de routage multidiffusion. Reportez-vous à la section Surveiller le
routage pour plus d'informations.

Configurer un VLAN pour les profils

En tant qu'administrateur d'entreprise, vous pouvez configurer un VLAN au niveau du profil.

Pour ajouter un nouveau VLAN au niveau du profil, procédez comme suit :

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles). La page
Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer un VLAN, puis cliquez sur l'icône sous la colonne
Périphérique (Device). La page Paramètre du périphérique (Device Setting) du profil
sélectionné s'affiche.

3 Accédez à la zone Configurer le VLAN (Configure VLAN), cliquez sur Ajouter un VLAN (Add
VLAN).

VMware, Inc. 275

Guide d'administration de VMware SD-WAN

4 Dans la boîte de dialogue VLAN, configurez les détails suivants :

a Dans le menu déroulant Segment, sélectionnez un segment du profil pour configurer le

VLAN.

b Dans la zone de texte Nom du VLAN (VLAN Name), entrez un nom unique pour le VLAN.

c Dans la zone de texte ID VLAN (VLAN Id), entrez un identifiant unique pour le VLAN.

d Cochez la case Attribuer des sous-réseaux se chevauchant (Assign Overlapping

Subnets) si vous souhaitez attribuer le même sous-réseau pour le VLAN à tous les
dispositifs Edge du profil. L'activation de cette case à cocher vous permet de définir un
sous-réseau à utiliser pour tous les dispositifs Edge du profil, à l'aide des champs Adresse
IP du LAN du dispositif Edge (Edge LAN IP Address) et Préfixe CIDR (CIDR Prefix).
L'adresse Réseau (Network) sera automatiquement définie en fonction du masque de
sous-réseau et de la valeur CIDR.

Note Si vous souhaitez attribuer différents sous-réseaux à chaque dispositif Edge (par
exemple, pour les réseaux VPN), n'activez pas la case Attribuer des sous-réseaux se
chevauchant (Assign Overlapping Subnets) au niveau du profil. Toutefois, vous pouvez
configurer les sous-réseaux sur chaque dispositif Edge, individuellement.

e Cochez la case Annoncer (Advertise) pour annoncer le VLAN à d'autres branches du

réseau.

f Cochez la case Réponse ECHO ICMP (ICMP Echo Response) pour permettre au VLAN de
répondre aux messages ECHO ICMP.

VMware, Inc. 276

Guide d'administration de VMware SD-WAN

g Cochez la case Insertion de la VNF (VNF Insertion) pour activer l'insertion VNF (Virtual
Network Function, fonction réseau virtuelle) des dispositifs Edge.

Note L'insertion de la VNF exige que le segment sélectionné dispose d'un VLAN de
service. Pour plus d'informations sur la VNF, reportez-vous à la section VNF de sécurité.

h Si la fonctionnalité de multidiffusion est activée pour le segment sélectionné, vous pouvez

configurer les paramètres Multidiffusion (Multicast) en activant les cases IGMP et PIM.

i Sous la zone DHCP, choisissez l'un des éléments suivants comme type DHCP :

n Activé (Enabled) : active DHCP avec les dispositifs Edge en tant que serveur DHCP.
Lorsque vous choisissez cette option, vous devez fournir les informations suivantes :

n Début DHCP (DHCP Start) : entrez une adresse IP valide disponible dans un sous-
réseau en tant qu'adresse IP de début DHCP.

n Nombre d'adresses (Num Addresses) : entrez le nombre d'adresses IP disponibles

sur un sous-réseau du serveur DHCP.

n Durée de bail (Lease Time) : dans le menu déroulant, sélectionnez la période

pendant laquelle le VLAN est autorisé à utiliser une adresse IP affectée
dynamiquement par le serveur DHCP.

Vous pouvez également ajouter une ou plusieurs options DHCP dans lesquelles vous
spécifiez des options prédéfinies ou ajoutez des options personnalisées.

n Relais (Relay) : active DHCP avec l'agent de relais DHCP installé à un emplacement
distant. Si vous choisissez cette option, vous pouvez spécifier l'adresse IP d'un ou de
plusieurs agents de relais.

n Désactivé (Disabled) : désactive DHCP.

j Configurez les paramètres OSPF si la fonctionnalité OSPF est activée pour le segment
sélectionné.

5 Cliquez sur Ajouter un VLAN (Add VLAN). Le VLAN est configuré pour le profil. Vous pouvez
modifier les paramètres VLAN en cliquant sur le lien Modifier (Edit) sous la colonne Actions.

Pour configurer des VLAN au niveau du dispositif Edge, reportez-vous à la section Configurer un
VLAN pour les dispositifs Edge.

Configurer l'adresse IP de gestion

Vous pouvez configurer l'adresse IP de gestion au niveau du profil et choisir de la remplacer au
niveau du dispositif Edge.

À partir de la version 3.4, les dispositifs Edge n'utilisent pas l'adresse IP de gestion pour
transmettre le trafic vers Orchestrator. Au lieu de cela, les dispositifs Edge choisissent la première
interface « active et annoncée » sur un segment pour initier le trafic. Si aucune interface LAN de
ce type n'est trouvée, le trafic est sortant directement vers Internet à l'aide d'une liaison WAN
prenant en charge NAT. Actuellement, si vous envoyez le trafic provenant de l'adresse IP de

VMware, Inc. 277

Guide d'administration de VMware SD-WAN

gestion via VPN dans le segment global et que vous ne disposez pas d'interfaces LAN actives
et annoncées dans le segment global, vous rencontrerez des problèmes d'accessibilité lors de la
mise à niveau de vos dispositifs Edge et Orchestrator vers la version 3.4. Contactez le support
client VMware pour restaurer le comportement antérieur à la version 3.4 afin de pouvoir continuer
à utiliser l'adresse IP de gestion pour transmettre le trafic.

Vous trouverez ci-après les différents scénarios dans lesquels vous pouvez utiliser l'adresse IP de
gestion, à condition que vos versions d'Edge et d'Orchestrator soient 3.3 ou antérieures :

n Elle est utilisée pour transmettre le trafic de gestion des dispositifs Edge vers Orchestrator.
Dans ce scénario, vous pouvez utiliser l'adresse IP de gestion par défaut ([Link]) ou
une adresse IP de votre choix que vous configurez au niveau du profil afin que tous les
dispositifs Edge associés au profil utilisent la même adresse IP pour transmettre le trafic vers
Orchestrator.

Note Vous pouvez choisir d'ignorer la configuration de l'adresse IP de gestion si NAT Direct
est activé sur les ports WAN ou si le trafic provenant des dispositifs Edge est routé vers
Orchestrator via une passerelle.

n Si vous choisissez de configurer des services tels que DNS, NTP, NetFlow, BGP, etc., vous
devez remplacer la configuration de l'adresse IP de gestion au niveau du dispositif Edge afin
que chaque dispositif Edge dispose d'une adresse IP unique pouvant être utilisée comme
adresse source pour ces services.

n Elle est également utilisée comme adresse IP de destination pour les tests de diagnostic
lorsqu'elle est configurée au niveau du dispositif Edge.

Pour configurer l'adresse IP de gestion d'un profil :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles).

2 Cliquez sur l'icône Périphérique (Device) en regard du profil pour lequel vous souhaitez
configurer l'adresse IP de gestion, ou cliquez sur le lien vers le profil, puis accédez à l'onglet
Périphérique (Device).

3 Sur la page Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section Adresse
IP de gestion (Management IP) et entrez l'adresse IP de gestion requise.

4 Cliquez sur Enregistrer les modifications (Save Changes).

Vous pouvez choisir de remplacer la configuration de l'adresse IP de gestion d'un dispositif Edge :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) en regard du profil pour lequel vous souhaitez
remplacer la configuration de l'adresse IP de gestion, ou cliquez sur le lien vers le dispositif
Edge, puis accédez à l'onglet Périphérique (Device).

3 Sur la page Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section Adresse
IP de gestion (Management IP) et cochez la case Activer le remplacement au niveau du
dispositif Edge (Enable Edge Override).

VMware, Inc. 278

Guide d'administration de VMware SD-WAN

4 Entrez l'adresse IP de gestion requise.

5 Cliquez sur Enregistrer les modifications (Save Changes).

Configurer les paramètres du périphérique

Les paramètres du périphérique vous permettent de configurer les paramètres de l'interface d'un
ou de plusieurs modèles d'Edge dans un profil.

En fonction du modèle d'Edge, chaque interface peut être une interface de port de commutateur
(LAN) ou une interface routée (WAN). Selon le modèle du site distant, un port de connexion est
un port LAN ou WAN dédié, ou des ports peuvent être configurés pour être un port LAN ou
WAN. Les ports du site distant peuvent être des ports Ethernet ou SFP. Certains modèles d'Edge
peuvent également prendre en charge les interfaces de réseau local sans fil.

Il est supposé qu'une liaison WAN publique unique est attachée à une interface unique qui
sert uniquement au trafic WAN. Si aucune liaison WAN n'est configurée pour une interface
routée qui est compatible WAN, il est supposé qu'une liaison WAN publique unique doit
être automatiquement découverte. Si une liaison est découverte, elle est signalée à SD-WAN
Orchestrator. Cette liaison WAN découverte automatiquement peut ensuite être modifiée via
SD-WAN Orchestrator et la nouvelle configuration est réintégrée à le site distant.

Note
n Si l'interface routée est activée avec la superposition WAN et attachée à une liaison WAN,
l'interface sera disponible pour tous les segments.

n Si une interface est configurée en tant que PPPoE, elle ne prend en charge qu'une seule
liaison WAN découverte automatiquement. Des liaisons supplémentaires ne peuvent pas être
attribuées à l'interface.

Si la liaison ne doit pas ou ne peut pas être découverte automatiquement, elle doit être
explicitement configurée. Il existe plusieurs configurations prises en charge dans lesquelles la
découverte automatique n'est pas possible, notamment :

n Liaisons WAN privées

n Plusieurs liaisons WAN sur une interface unique. Exemple : un Hub de centre de données avec
2 connexions MPLS

n Une liaison WAN unique accessible sur plusieurs interfaces. Exemple : une topologie HA
active-active

Les liaisons qui sont découvertes automatiquement sont toujours des liaisons publiques. Les
liaisons définies par l'utilisateur peuvent être publiques ou privées et posséder des options de
configuration différentes selon le type sélectionné.

Note Même pour les liaisons auto-découvertes, les paramètres détectés automatiquement, tels
que le fournisseur de services et la bande passante, peuvent être remplacés par la configuration
Edge.

VMware, Inc. 279

Guide d'administration de VMware SD-WAN

Liaisons WAN publiques

Les liaisons WAN publiques sont des liaisons traditionnelles qui fournissent un accès à l'Internet
public, comme un câble, une DSL, etc. Aucune configuration homologue n'est requise pour les
liaisons WAN publiques. Elles se connectent automatiquement à l'instance de SD-WAN Gateway,
ce qui permet de gérer la diffusion des informations nécessaires à la connectivité homologue.

Liaisons WAN (MPLS) privées

Les liaisons WAN privées appartiennent à un réseau privé et peuvent uniquement se connecter
à d'autres liaisons WAN dans le même réseau privé. Étant donné qu'il peut y avoir plusieurs
réseaux MPLS, dans une seule entreprise par exemple, l'utilisateur doit identifier les liaisons qui
appartiennent au réseau. L'instance de SD-WAN Gateway utilisera ces données pour distribuer les
informations de connectivité des liaisons WAN.

Vous pouvez choisir de traiter les liaisons MPLS comme une liaison unique. Toutefois, pour
différencier les différentes classes de service MPLS, vous pouvez définir plusieurs liaisons WAN
qui sont mappées à diverses classes MPLS de service en attribuant à chaque liaison WAN une
balise DSCP différente.

En outre, vous pouvez décider de définir un SLA statique pour une liaison WAN privée. Cela
permet d'éliminer la nécessité pour les homologues d'échanger des statistiques sur les chemins
d'accès et de réduire la consommation de la bande passante sur une liaison. Étant donné que
l'intervalle de sonde influence la vitesse de basculement du périphérique, il est difficile de savoir si
une définition du SLA statique doit réduire automatiquement cet intervalle.

Paramètres du périphérique (Device Settings)

Les captures d'écran suivantes illustrent l'interface utilisateur de niveau supérieur des dispositifs
SD-WAN Edge 500, SD-WAN Edge 1000 et présente le dispositif SD-WAN Edge 610 pour la
version 3.4. Le tableau suivant décrit les principales fonctionnalités de l'interface utilisateur (les
numéros dans le tableau correspondent aux numéros dans les captures d'écran suivantes).

Actions que vous pouvez effectuer sur l'interface réseau, telles que Modifier (Edit) ou Supprimer (Delete).

Nom de l'interface Ce nom correspond à l'étiquette du port Edge sur le périphérique Edge ou est prédéterminé
pour les réseaux sans fil.

Liste des ports de commutateur avec un résumé de certains de leurs paramètres (tels que le mode d'accès ou de
jonction et les VLAN de l'interface). Les ports de commutateur sont mis en surbrillance avec un arrière-plan jaune
clair.

VMware, Inc. 280

Guide d'administration de VMware SD-WAN

Liste des interfaces routées avec un résumé de leurs paramètres (par exemple, le type d'adressage et si l'interface
a été détectée automatiquement ou dispose d'une superposition WAN détectée automatiquement ou définie par
l'utilisateur). Les interfaces routées sont mises en surbrillance avec un arrière-plan bleu clair.

Liste des interfaces sans fil (si elle est disponible sur le périphérique Edge). Vous pouvez ajouter des réseaux sans
fil supplémentaires en cliquant sur le bouton Ajouter un SSID Wi-Fi (Add Wi-Fi SSID). Les interfaces sans fil sont
mises en surbrillance avec un arrière-plan gris clair.

n Vous pouvez ajouter des réseaux sans fil supplémentaires en cliquant sur le bouton Ajouter un SSID Wi-Fi
(Add Wi-Fi SSID). Les interfaces sans fil sont mises en surbrillance avec un arrière-plan gris clair.
n Vous pouvez ajouter des sous-interfaces en cliquant sur le bouton Ajouter des sous-interfaces (Add Sub
Interfaces). Les sous-interfaces s'affichent avec la mention « SIF » en regard de l'interface. La sous-interface
des interfaces PPPoE n'est pas prise en charge.
n Vous pouvez ajouter des adresses IP secondaires en cliquant sur le bouton Ajouter une adresse IP
secondaire (Add Secondary IP). Les adresses IP secondaires s'affichent avec la mention « SIP » en regard de
l'interface.

La version 3.4 introduit le dispositif Edge 610.

Pour la version 3.4, une nouvelle interface routée (CELL1) a été ajoutée. Si les utilisateurs
choisissent Edge 510-LTE comme modèle, cette nouvelle interface s'affichera dans la zone
Paramètres de l'interface (Interface Settings) (voir l'image ci-dessous).

VMware, Inc. 281

Guide d'administration de VMware SD-WAN

En cliquant sur le lien Modifier (Edit), comme indiqué dans l'image ci-dessus, les utilisateurs
peuvent modifier la section Paramètres de la cellule (Cell Settings). (Voir l'image ci-dessous).

Note Périphérique 510 LTE - Test de diagnostic des informations de modem LTE : pour la
version 3.4, si le périphérique Edge 510 LTE est configuré, le test de diagnostic « Informations
de modem LTE (LTE Modem Information) » sera disponible. Le test de diagnostic Informations
de modem LTE récupérera des informations de diagnostic, telles que la puissance du signal, les
informations de connexion, etc. Pour plus d'informations sur l'exécution d'un test de diagnostic,
reportez-vous à la section Diagnostics à distance

VMware, Inc. 282

Guide d'administration de VMware SD-WAN

Sous-interfaces et adresses IP secondaires

Note Le nombre maximal de sous-interfaces pouvant être configurées sur une interface est
de 32.

Ajout d'une sous-interface

Lorsque vous ajoutez une sous-interface à une interface routée, la sous-interface obtient un sous-
ensemble des options de configuration fournies à l'interface parente.

1 Cliquez sur le bouton Ajouter une sous-interface (Add Sub Interface).

2 Sélectionnez une interface dans le menu déroulant et l'ID de la sous-interface (Sub Interface
ID) dans la zone de texte, comme indiqué dans la boîte de dialogue Sélectionner une
interface (Select Interface) ci-dessous.

3 Cliquez sur Suivant (Next).

4 Dans la boîte de dialogue Sous-interface (Sub Interface), choisissez votre type d'adressage
(DHCP ou Statique [Static]).

a Si vous choisissez le type d'adressage DHCP, la case Activer le balisage VLAN (Enable
VLAN Tagging) est cochée par défaut et l'ID de la sous-interface que vous avez choisie
dans la boîte de dialogue précédente s'affiche dans la zone de texte.

VMware, Inc. 283

Guide d'administration de VMware SD-WAN

b Si vous choisissez le type d'adressage Statique (Static), vous avez la possibilité d'activer
le VLAN en cochant la case Activer le balisage VLAN (Enable VLAN Tagging). L'ID de la
sous-interface que vous avez choisie dans la boîte de dialogue précédente s'affiche dans la
zone de texte.

5 Cochez la case Trafic direct NAT (NAT Direct Traffic) si nécessaire.

6 Cliquez sur le bouton Mettre à jour (Update).

La colonne Interface est actualisée et affiche la sous-interface nouvellement créée.

Ajout d'une adresse IP secondaire

1 Cliquez sur le bouton Ajouter une adresse IP secondaire (Add Secondary IP).

2 Sélectionnez une interface dans le menu déroulant et l'ID de la sous-interface (Sub Interface
ID) dans la zone de texte, comme indiqué dans la boîte de dialogue Sélectionner une
interface (Select Interface) ci-dessous. Notez que le type de sous-interface est Adresse IP
secondaire (Secondary IP).

3 Cliquez sur Suivant (Next).

4 Dans la boîte de dialogue Adresse IP secondaire (Secondary IP), choisissez votre type
d'adressage (DHCP ou Statique [Static]).

5 Dans la boîte de dialogue Adresse IP secondaire (Secondary IP), choisissez votre type
d'adressage (DHCP ou Statique [Static]).

6 Cliquez sur le bouton Mettre à jour (Update).

VMware, Inc. 284

Guide d'administration de VMware SD-WAN

La colonne Interface est actualisée et affiche l'adresse IP secondaire nouvellement créée

(reportez-vous à l'image Paramètres de l'interface (Interface Settings) ci-dessous).

Cas d'utilisation de la superposition WAN définie par l'utilisateur

Les scénarios dans lesquels cette configuration est utile sont présentés en premier, suivis d'une
spécification de la configuration elle-même.

1 Cas d'utilisation 1 : deux liaisons WAN connectées à un commutateur L2. Considérons la

topologie de centre de données traditionnelle dans laquelle le dispositif SD-WAN Edge est
connecté à un commutateur L2 dans la zone DMZ qui est connectée à plusieurs pare-feu,
chacun connecté à une liaison WAN montante différente.

[Link]

Commutateur L2
[Link]

Internet
Dispositif SD-WAN
Edge

DSL
[Link]

Dans cette topologie, l'interface VMware a probablement été configurée avec FW1 comme
next-hop. Toutefois, pour pouvoir utiliser la liaison DSL, elle doit être provisionnée avec un
autre next-hop vers lequel les paquets doivent être transférés, car FW1 ne peut pas accéder à
la DSL. Lorsqu'il définit la liaison DSL, l'utilisateur doit configurer une adresse IP de next-hop
personnalisée comme adresse IP de FW2 pour s'assurer que les paquets peuvent atteindre le
modem DSL. En outre, l'utilisateur doit configurer une adresse IP source personnalisée pour
cette liaison WAN afin d'autoriser le dispositif Edge à identifier les interfaces de retour. La
configuration finale est semblable à la figure suivante :

VMware, Inc. 285

Guide d'administration de VMware SD-WAN

Dispositif
SD-WAN Commutateur L2
Edge

Internet

DSL

Le paragraphe suivant décrit comment la configuration finale est définie.

n L'interface est définie avec l'adresse IP [Link] et le next-hop [Link]. Étant donné que
plusieurs liaisons WAN sont attachées à l'interface, les liaisons sont définies sur « définies
par l'utilisateur (user defined) ».

n La liaison du câble est définie et hérite l'adresse IP [Link] et le next-hop de [Link].

Aucune modification n'est requise. Lorsqu'un paquet doit être envoyé à la liaison du câble,
il est issu de [Link] et transféré au périphérique qui répond à ARP pour [Link] (FW1).
Les paquets de retour sont destinés à [Link] et identifiés comme étant arrivés sur la
liaison du câble.

n La liaison DSL est définie et, comme il s'agit de la deuxième liaison WAN, SD-
WAN Orchestrator marque l'adresse IP et le next-hop comme des éléments de
configuration obligatoires. L'utilisateur spécifie une adresse IP virtuelle personnalisée
(par exemple, [Link]) pour l'adresse IP source et la valeur [Link] pour le next-hop.
Lorsqu'un paquet doit être envoyé à la liaison DSL, il est issu de [Link] et transféré au
périphérique qui répond à ARP pour [Link] (FW2). Les paquets de retour sont destinés
à [Link] et identifiés comme étant arrivés sur la liaison DSL.

2 Cas 2 : deux liaisons WAN connectées à un commutateur/routeur L3. Le périphérique

montant peut être aussi un commutateur ou un routeur L3. Dans ce cas, le périphérique du
next-hop est le même (le commutateur) pour les deux liaisons WAN, et non différents (les
pare-feu) comme dans l'exemple précédent. Cela est souvent exploité lorsque le pare-feu se
trouve sur le côté LAN du dispositif SD-WAN Edge.

VMware, Inc. 286

Guide d'administration de VMware SD-WAN

Commutateur L3

Internet
Dispositif SD-WAN
Edge

DSL

Dans cette topologie, le routage basé sur la stratégie est utilisé pour diriger les paquets vers
la liaison WAN appropriée. Cette direction pouvant être effectuée par l'adresse IP ou par la
balise VLAN, nous prenons en charge les deux options.

Direction par l'adresse IP : si le périphérique L3 est compatible avec le routage basé sur la
stratégie par adresse IP source, les deux périphériques peuvent résider sur le même VLAN.
Dans ce cas, la seule configuration requise est une adresse IP source personnalisée pour
différencier les périphériques.

Commutateur L3
[Link]
[Link]
[Link] Internet
Dispositif
SD-WAN
Edge
DSL

Le paragraphe suivant décrit comment la configuration finale est définie.

n L'interface est définie avec l'adresse IP [Link] et le next-hop [Link]. Étant donné que
plusieurs liaisons WAN sont attachées à l'interface, les liaisons sont définies sur « définies
par l'utilisateur (user defined) ».

n La liaison du câble est définie et hérite l'adresse IP [Link] et le next-hop de [Link].

Aucune modification n'est requise. Lorsqu'un paquet doit être envoyé à la liaison du
câble, il est issu de [Link] et transféré au périphérique qui répond à ARP pour [Link]
(commutateur L3). Les paquets de retour sont destinés à [Link] et identifiés comme étant
arrivés sur la liaison du câble.

n La liaison DSL est définie et, comme il s'agit de la deuxième liaison WAN, SD-
WAN Orchestrator marque l'adresse IP et le next-hop comme des éléments de
configuration obligatoires. L'utilisateur spécifie une adresse IP virtuelle personnalisée (par

VMware, Inc. 287

Guide d'administration de VMware SD-WAN

exemple, [Link]) pour l'adresse IP source et la même valeur [Link] pour le next-hop.
Lorsqu'un paquet doit être envoyé à la liaison DSL, il est issu de [Link] et transféré au
périphérique qui répond à ARP pour [Link] (commutateur L3). Les paquets de retour
sont destinés à [Link] et identifiés comme étant arrivés sur la liaison DSL.

Direction par le VLAN : si le périphérique L3 n'est pas compatible avec le routage source, ou
si, pour une raison quelconque, l'utilisateur choisit d'attribuer des VLAN séparés au câble et
aux liaisons DSL, il doit être configuré.

VLAN 100 :
VLAN 200 : [Link]
[Link] VLAN200 :
(virtuelle) [Link]

VLAN 100 : Internet

Dispositif [Link]
SD-WAN Commutateur L3
Edge
DSL

n L'interface est définie avec l'adresse IP [Link] et le next-hop [Link] sur le

VLAN 100. Étant donné que plusieurs liaisons WAN sont attachées à l'interface, les liaisons
sont définies sur « définies par l'utilisateur (user defined) ».

n La liaison du câble est définie et hérite le VLAN 100, l'adresse IP de [Link] et le

next-hop de [Link]. Aucune modification n'est requise. Lorsqu'un paquet doit être
envoyé à la liaison du câble, il est issu de [Link], balisé avec le VLAN 100 et transféré
au périphérique qui répond à ARP pour [Link] sur le VLAN 100 (commutateur L3).
Les paquets de retour sont destinés à [Link]/au VLAN 100 et identifiés comme étant
arrivés sur la liaison du câble.

n La liaison DSL est définie et, comme il s'agit de la deuxième liaison WAN, SD-WAN
Orchestrator marque l'adresse IP et le next-hop comme des éléments de configuration
obligatoires. L'utilisateur spécifie un ID VLAN personnalisé (200) ainsi qu'une adresse IP
virtuelle (par exemple, [Link]) pour l'adresse IP source et la valeur [Link] pour
le next-hop. Lorsqu'un paquet doit être envoyé à la liaison DSL, il est issu de [Link],
balisé avec VLAN 200 et transféré au périphérique qui répond à ARP pour [Link]
sur le VLAN 200 (commutateur L3). Les paquets de retour sont destinés à [Link]/au
VLAN 200 et identifiés comme étant arrivés sur la liaison DSL.

3 Cas 3 : déploiements à un bras. Les déploiements à un bras finissent par être très similaires
aux autres déploiements L3.

VMware, Inc. 288

Guide d'administration de VMware SD-WAN

Internet

DSL
Dispositif SD-WAN
Edge

De nouveau, le dispositif SD-WAN Edge partage le même next-hop pour les deux liaisons
WAN. Le routage basé sur la stratégie peut être effectué pour garantir que le trafic est
transféré vers la destination appropriée, comme défini ci-dessus. L'adresse IP source et le
VLAN des objets de liaison WAN de VMware peuvent également être les mêmes que le VLAN
du câble et les liaisons DSL pour que le routage soit automatique.

4 Cas 4 : une seule liaison WAN accessible sur plusieurs interfaces. Considérons la topologie
de site Gold traditionnelle dans laquelle le MPLS est accessible via deux chemins alternatifs.
Dans ce cas, nous devons définir une adresse IP source personnalisée et un next-hop qui
peuvent être partagés, quelle que soit l'interface utilisée pour communiquer.

VMware, Inc. 289

Guide d'administration de VMware SD-WAN

MPLS Internet

Dispositif
SD-WAN
[Link] Edge
(virtuelle) [Link] [Link]
(virtuelle)
[Link]

L3 L3
[Link]

[Link]

LAN LAN

n GE1 est définie avec l'adresse IP [Link] et le next-hop [Link]

n GE2 est définie avec l'adresse IP [Link] et le next-hop [Link]

n Le MPLS est défini et identifié comme accessible via l'une des deux interfaces. L'adresse IP
source et l'adresse IP du next-hop sont donc obligatoires sans valeurs par défaut.

n L'adresse IP source et la destination sont définies. Elles peuvent donc être utilisées pour
la communication, quelle que soit l'interface utilisée. Lorsqu'un paquet doit être envoyé
à la liaison MPLS, il est issu de [Link], balisé avec le VLAN configuré et transféré
au périphérique qui répond à ARP pour [Link] sur le VLAN configuré (routeur CE).
Les paquets de retour sont destinés à [Link] et identifiés comme étant arrivés sur la
liaison MPLS.

Note Si OSPF ou BGP n'est pas activé, vous devrez peut-être configurer un VLAN de transit
identique sur les deux commutateurs pour activer l'accessibilité de cette adresse IP virtuelle.

Configuration de l'interface
Cliquer sur le lien Modifier (Edit) affiche une boîte de dialogue permettant de mettre à jour les
paramètres d'une interface spécifique. Les sections suivantes fournissent une brève description
des différentes boîtes de dialogue présentées pour le modèle d'Edge et les types d'interface.

VMware, Inc. 290

Guide d'administration de VMware SD-WAN

Accès au LAN du dispositif Edge 500

Le tableau suivant montre les paramètres d'une interface LAN du dispositif Edge 500 configurée
comme un port d'accès. Vous pouvez choisir un VLAN pour le port et sélectionner des paramètres
L2 pour la négociation automatique (sélectionnée par défaut), la vitesse, le type de duplex et la
taille de MTU (par défaut 1 500).

Jonction du LAN du dispositif Edge 500

Le tableau suivant montre les paramètres d'une interface LAN du dispositif Edge 500 configurée
comme un port trunk. Vous pouvez choisir des VLAN pour le port et la façon dont les données
VLAN non balisées sont gérées (acheminées vers un VLAN ou annulées). Vous pouvez aussi
sélectionner des paramètres L2 pour la négociation automatique (sélectionnée par défaut), la
vitesse, le type de duplex et la taille de MTU (par défaut 1 500).

Accès au LAN du dispositif Edge 1000

Le tableau suivant montre les paramètres d'une interface LAN du dispositif Edge 1000 configurée
comme un port d'accès commuté. Vous pouvez choisir un VLAN pour le port et sélectionner des
paramètres L2 pour la négociation automatique (sélectionnée par défaut), la vitesse, le type de
duplex et la taille de MTU (par défaut 1 500).

VMware, Inc. 291

Guide d'administration de VMware SD-WAN

Jonction du LAN du dispositif Edge 1000

Le tableau suivant montre les paramètres d'une interface LAN du dispositif Edge 1000 configurée
comme un port trunk. Vous pouvez choisir des VLAN pour le port et la façon dont les données
VLAN non balisées sont gérées (acheminées vers un VLAN ou annulées). Vous pouvez aussi
sélectionner des paramètres L2 pour la négociation automatique (sélectionnée par défaut), la
vitesse, le type de duplex et la taille de MTU (par défaut 1 500).

WAN du dispositif Edge 500

Le tableau suivant montre les paramètres d'une interface WAN du dispositif Edge 500 dont la
capacité est définie sur Acheminée (Routed). Vous pouvez choisir le type d'adressage (DHCP,
PPPoE ou statique), une superposition WAN (détection automatique ou définie par l'utilisateur),
activer OSPF, activer le trafic direct NAT et sélectionner des paramètres L2 pour la négociation
automatique (sélectionnée par défaut), la vitesse, le type de duplex et la taille de MTU (par défaut
1 500).

Note Le port peut également être configuré comme une interface commutée.

VMware, Inc. 292

Guide d'administration de VMware SD-WAN

WAN du dispositif Edge 1000

Le tableau suivant montre les paramètres d'une interface WAN du dispositif Edge 1000 dont
le capacité est Acheminée (Routed). Vous pouvez choisir le type d'adressage (DHCP, PPPoE
ou statique), une superposition WAN (détection automatique ou définie par l'utilisateur), activer
OSPF, activer le trafic direct NAT et sélectionner des paramètres L2 pour la négociation
automatique (sélectionnée par défaut), la vitesse, le type de duplex et la taille de MTU (par défaut
1 500).

Note Le port peut également être configuré comme une interface commutée.

WLAN du dispositif Edge 500

Au départ, deux réseaux Wi-Fi sont définis pour le dispositif SD-WAN Edge 500 ; un réseau
d'entreprise et un réseau invité qui est initialement désactivé. Des réseaux sans fil supplémentaires
peuvent être définis, chacun avec un VLAN, un SSID et une configuration de sécurité spécifiques.

Sécurité des connexions Wi-Fi

La sécurité de vos connexions Wi-Fi peut être l'un des trois types suivants :

Type Description

Ouvrir Aucune sécurité n'est appliquée.

WPA2/Personnel Un mot de passe est utilisé pour authentifier un utilisateur.

(WPA2 / Personal)

WPA2/Entreprise Un serveur RADIUS est utilisé pour authentifier un utilisateur. Dans ce scénario, un serveur
(WPA2 / Enterprise) RADIUS doit être configuré dans les services réseau et le serveur RADIUS doit être sélectionné
dans les Paramètres d'authentification du profil (Profile Authentication Settings) sur la
page Périphérique (Device). Les paramètres par défaut de sécurité peuvent également être
remplacés sur la page Périphérique Edge (Edge Device).

VMware, Inc. 293

Guide d'administration de VMware SD-WAN

Configurer les paramètres de l'interface

Vous pouvez configurer les paramètres de l'interface de chaque modèle de dispositif Edge.
Chaque interface sur un dispositif Edge peut être un port de commutateur (LAN) ou une interface
acheminée (WAN).

Les options des Paramètres de l'interface (Interface Settings) varient selon le modèle de dispositif
Edge. Pour plus d'informations sur les différents modèles de dispositifs Edge et leur déploiement,
reportez-vous à la section Configurer les paramètres du périphérique.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles)..

2 Cliquez sur l'icône Périphérique (Device) en regard d'un profil ou cliquez sur le lien d'accès au
profil, puis cliquez sur l'onglet Périphérique (Device).

3 Faites défiler la liste vers le bas jusqu'à la section Paramètres du périphérique (Device
Settings), qui affiche les modèles de dispositifs Edge existants dans l'entreprise.

VMware, Inc. 294

Guide d'administration de VMware SD-WAN

4 Cliquez sur la flèche vers le bas (DOWN) en regard d'un modèle de dispositif Edge pour
afficher les Paramètres de l'interface (Interface Settings) du dispositif Edge.

La section Paramètres de l'interface (Interface Settings) affiche les interfaces existantes

disponibles dans le modèle de dispositif Edge sélectionné.

5 Cliquez sur l'option Modifier (Edit) d'une interface pour afficher et modifier les paramètres.

6 L'image suivante montre les paramètres du Port de commutateur (Switch Port) d'une
interface.

Vous pouvez modifier les paramètres existants comme suit :

Option Description

Interface activée (Interface Enabled) Cette option est activée par défaut. Si nécessaire,
vous pouvez désactiver l'interface. Lorsqu'elle est
désactivée, l'interface n'est pas disponible pour les
communications.

Capacité (Capability) Pour un port de commutateur, l'option Commutée

(Switched) est sélectionnée par défaut. Pour convertir
le port en interface acheminée, sélectionnez l'option
Acheminée (Routed) dans la liste déroulante.

Mode Sélectionnez le mode du port comme port d'accès ou de

jonction.

VMware, Inc. 295

Guide d'administration de VMware SD-WAN

Option Description

Réseaux VLAN (VLANs) Pour un port d'accès, sélectionnez un VLAN existant

dans la liste déroulante.
Pour un port de jonction, vous pouvez sélectionner
plusieurs réseaux VLAN et sélectionner un VLAN non
balisé.

Paramètres de couche 2 (L2 Settings)

Négociation automatique (Autonegotiate) Cette option est activée par défaut. Lorsque cette
option est activée, la négociation automatique permet
au port de communiquer avec le périphérique à l'autre
extrémité de la liaison pour déterminer le mode duplex
optimal et la vitesse de la connexion.

Vitesse (Speed) Cette option n'est disponible que lorsque l'option

Négociation automatique (Autonegotiate) est
désactivée. Sélectionnez la vitesse à laquelle le port doit
communiquer avec d'autres liaisons. Par défaut, l'option
100 Mbits/s (100 Mbps) est sélectionnée.

Duplex Cette option n'est disponible que lorsque l'option

Négociation automatique (Autonegotiate) est
désactivée. Sélectionnez Duplex intégral (Full duplex) ou
Semi-duplex (Half duplex) comme mode de connexion.
Par défaut, l'option Duplex intégral (Full duplex) est
sélectionnée.

MTU La taille de la MTU par défaut pour les trames reçues

et envoyées sur toutes les interfaces de commutateur
est de 1 500 octets. Vous pouvez modifier la taille de la
MTU d'une interface.

Cliquez sur Mettre à jour (Update) pour enregistrer les paramètres.

VMware, Inc. 296

Guide d'administration de VMware SD-WAN

7 L'image suivante montre les paramètres de l'Interface acheminée (Routed Interface).

Vous pouvez modifier les paramètres existants comme suit :

Option Description

Interface activée (Interface Enabled) Cette option est activée par défaut. Si nécessaire,
vous pouvez désactiver l'interface. Lorsqu'elle est
désactivée, l'interface n'est pas disponible pour les
communications.

Capacité (Capability) Pour une interface acheminée, l'option Acheminée

(Routed) est sélectionnée par défaut. Pour convertir
l'interface en port de commutateur, sélectionnez
l'option Commutée (Switched) dans la liste déroulante.

Segments Par défaut, les paramètres de configuration s'appliquent

à tous les segments.

Type d'adressage (Addressing Type) Par défaut, l'option DHCP est sélectionnée, ce qui
attribue dynamiquement une adresse IP. Si vous
sélectionnez Statique (Static) ou PPPoE, vous devez
configurer les détails de l'adressage pour chaque
dispositif Edge.

Superposition WAN (WAN Overlay) Par défaut, cette option est activée avec Détecter
automatiquement la superposition (Auto-Detect
Overlay). Vous pouvez choisir la Superposition définie
par l'utilisateur (User Defined Overlay) et configurer
les paramètres de Superposition (Overlay). Pour plus
d'informations, reportez-vous à la section Configurer les
paramètres de superposition WAN de dispositifs Edge.

VMware, Inc. 297

Guide d'administration de VMware SD-WAN

Option Description

OSPF Cette option n'est activée que lorsque vous avez

configuré OSPF pour le profil. Cochez cette case et
choisissez un protocole OSPF dans la liste déroulante.
Cliquez sur Basculer les paramètres OSPF avancés
(Toggle advance ospf settings) pour configurer les
paramètres de l'interface pour le protocole OSPF
sélectionné. Pour plus d'informations sur les paramètres
OSPF, reportez-vous à la section Activer OSPF.

Insertion de la VNF (VNF Insertion) Vous devez désactiver l'option Superposition WAN
(WAN Overlay) et activer Source de confiance (Trusted
Source) pour autoriser l'insertion de la VNF. Lorsque
vous insérez la VNF dans des interfaces de couche 3 ou
des sous-interfaces, le système redirige le trafic de ces
dernières vers la VNF.

Multidiffusion (Multicast) Cette option n'est activée que lorsque vous avez
configuré des paramètres de multidiffusion pour le
profil. Vous pouvez configurer les paramètres de
multidiffusion de l'interface sélectionnée. Pour plus
d'informations, reportez-vous à la section Configurer les
paramètres de multidiffusion au niveau de l'interface.

Authentification RADIUS (RADIUS Authentication) Vous devez désactiver l'option Superposition WAN
(WAN Overlay) pour configurer Authentification
RADIUS (RADIUS Authentication). Cochez cette case
pour activer l'option Authentification RADIUS (RADIUS
Authentication) sur l'interface et ajouter les adresses
MAC qui ne doivent pas être transférées à RADIUS pour
une nouvelle authentification. Pour plus d'informations,
reportez-vous à la section Activation de RADIUS sur une
interface acheminée .

Annoncer (Advertise) Cochez cette case pour annoncer l'interface à d'autres

branches du réseau.

Réponse ECHO ICMP (ICMP Echo Response) Cochez cette case pour permettre à l'interface de
répondre aux messages ECHO ICMP. Pour des raisons
de sécurité, vous pouvez désactiver cette option pour
l'interface.

Trafic direct NAT (NAT Direct Traffic) Cochez cette case pour appliquer la NAT au trafic
réseau envoyé depuis l'interface.

Comptabilité de la sous-couche (Underlay Accounting) Cette option est activée par défaut. Si une superposition
WAN privée est définie sur l'interface, tout le trafic
de sous-couche traversant l'interface est comptabilisé
dans le débit mesuré de la liaison WAN pour éviter
un surabonnement. Si vous ne souhaitez pas ce
comportement (par exemple, lors de l'utilisation de
déploiements à un bras), désactivez cette option.

Source approuvée Cochez cette case pour définir l'interface comme source
de confiance.

VMware, Inc. 298

Guide d'administration de VMware SD-WAN

Option Description

Transfert de chemin inverse (Reverse Path Forwarding) Vous pouvez choisir une option pour Transfert de
chemin inverse (Reverse Path Forwarding, RPF)
uniquement lorsque vous avez activé Source approuvée
(Trusted Source). Cette option autorise le trafic sur
l'interface uniquement si le trafic de retour peut
être transféré sur la même interface. Cela permet
d'empêcher le trafic provenant de sources inconnues
telles qu'un trafic malveillant sur un réseau d'entreprise.
Si la source entrante est inconnue, le paquet est
abandonné à l'entrée sans créer de flux. Sélectionnez
l'une des options suivantes dans la liste déroulante :
n Désactivé (Disabled) : autorise le trafic entrant,
même si aucune route ne correspond dans la table
de routage.
n Spécifique (Specific) : cette option est sélectionnée
par défaut, même lorsque l'option Source de
confiance (Trusted Source) est désactivée. Le
trafic entrant doit correspondre à une route
de retour spécifique sur l'interface entrante. Si
aucune correspondance spécifique n'est trouvée, le
paquet entrant est abandonné. Il s'agit d'un mode
couramment utilisé sur les interfaces configurées
avec des superpositions publiques et une NAT.
n Libre (Loose) : le trafic entrant doit correspondre
à n'importe quelle route (Connectée [Connected]/
Statique [Static]/Acheminée [Routed]) de la table
de routage. Cela permet un routage asymétrique
et vous l'utilisez généralement sur les interfaces
configurées sans tronçon suivant.

Note Transfert de chemin inverse (Reverse

Path Forwarding, RPF) est défini par défaut sur
Spécifique (Specific) lorsque vous avez désactivé
Source approuvée (Trusted Source).

VLAN Entrez un ID VLAN pour que l'interface prenne en

charge le balisage VLAN sur le port.

Paramètres de couche 2 (L2 Settings)

Négociation automatique (Autonegotiate) Cette option est activée par défaut. Lorsque cette
option est activée, la négociation automatique permet
au port de communiquer avec le périphérique à l'autre
extrémité de la liaison pour déterminer le mode duplex
optimal et la vitesse de la connexion.

Vitesse (Speed) Cette option n'est disponible que lorsque l'option

Négociation automatique (Autonegotiate) est
désactivée. Sélectionnez la vitesse à laquelle le port doit
communiquer avec d'autres liaisons. Par défaut, l'option
100 Mbits/s (100 Mbps) est sélectionnée.

VMware, Inc. 299

Guide d'administration de VMware SD-WAN

Option Description

Duplex Cette option n'est disponible que lorsque l'option

Négociation automatique (Autonegotiate) est
désactivée. Sélectionnez Duplex intégral (Full duplex) ou
Semi-duplex (Half duplex) comme mode de connexion.
Par défaut, l'option Duplex intégral (Full duplex) est
sélectionnée.

MTU La taille de la MTU par défaut pour les trames reçues

et envoyées sur toutes les interfaces acheminées est de
1 500 octets. Vous pouvez modifier la taille de la MTU
d'une interface.

Paramètres SFP (SFP Settings) : cette option n'est disponible que pour les modèles de dispositifs Edge qui
prennent en charge les ports SFP.

Module SFP (SFP Module) Par défaut, l'option Standard est sélectionnée. Vous
pouvez sélectionner DSL comme module pour utiliser
le port SFP avec des services de bande passante plus
élevée.

VMware, Inc. 300

Guide d'administration de VMware SD-WAN

Option Description

Paramètres DSL (DSL Settings) : l'option permettant de configurer les paramètres DSL (Ligne d'abonné numérique,
Digital Subscriber Line) est disponible lorsque vous sélectionnez le module SFP comme DSL.

Mode Choisissez le mode DSL dans les options suivantes :

n VDSL2 : cette option est sélectionnée par défaut.
La technologie de ligne d'abonné numérique
(VDSL) à débit binaire très élevé permet une
transmission plus rapide des données. Les lignes
VDSL connectent les réseaux de fournisseurs de
services et les sites clients pour fournir des
applications à bande passante élevée sur une seule
connexion.

Lorsque vous choisissez VDSL2, sélectionnez Profil

(Profile) dans la liste déroulante. Le profil est une
liste de paramètres VDSL2 préconfigurés. Les profils
suivants sont pris en charge : 17a et 30a.
n ADSL2/2+ : la technologie de ligne d'abonné
numérique à débit asymétrique (ADSL) fait partie
de la famille xDSL et permet de transporter des
données à bande passante élevée. ADSL2 améliore
le débit de données et atteint les performances, les
diagnostics, le mode veille et l'interopérabilité des
modems ADSL. ADSL2 + double la bande passante
de données en aval possible.

Si vous choisissez ADSL2/2+, configurez les

paramètres suivants :
n PVC : un circuit virtuel permanent (PVC) est une
connexion logique définie par logiciel dans un
réseau, tel qu'un réseau en relais de trames.
Choisissez un numéro de PVC dans la liste
déroulante. La plage est comprise entre 0 et 7.
n VPI : l'identifiant de chemin virtuel (VPI)
permet d'identifier le chemin d'acheminement
du paquet d'informations. Entrez le numéro de
VPI, compris entre 0 et 255.
n VCI : l'identifiant de canal virtuel (VCI) définit
le canal fixe sur lequel le paquet d'informations
doit être envoyé. Entrez le numéro de VCI,
compris entre 35 et 65 535.
n VLAN DE PVC (PVC VLAN) : configurez un
VLAN pour qu'il s'exécute sur des PVC du
module ATM. Entrez l'ID VLAN, compris entre 1
et 4 094.

VMware, Inc. 301

Guide d'administration de VMware SD-WAN

8 Certains modèles de dispositifs Edge prennent en charge le LAN sans fil. L'image suivante
montre les paramètres de l'Interface WLAN (WLAN Interface).

Vous pouvez modifier les paramètres comme suit :

Option Description

Interface activée (Interface Enabled) Cette option est activée par défaut. Si nécessaire,
vous pouvez désactiver l'interface. Lorsqu'elle est
désactivée, l'interface n'est pas disponible pour les
communications.

VLAN Choisissez le VLAN que l'interface doit utiliser.

SSID Entrez le nom du réseau sans fil.

Cochez la case Diffusion (Broadcast) pour diffuser le
nom SSID vers les périphériques environnants.

Sécurité (Security) Sélectionnez le type de sécurité pour la connexion Wi-

Fi dans la liste déroulante. Les options suivantes sont
disponibles :
n Ouvert (Open) : aucune sécurité n'est appliquée.
n WPA2/Personnel (WPA2 / Personal) : un mot
de passe est requis pour l'authentification. Entrez
le mot de passe dans le champ Phrase secrète
(Passphrase).
n WPA2/Entreprise (WPA2 / Enterprise) : un serveur
RADIUS est utilisé pour l'authentification. Vous
devez avoir déjà configuré un serveur RADIUS et
l'avoir sélectionné pour le profil et le dispositif Edge.

Pour configurer un serveur RADIUS, reportez-

vous à la section Configurer les services
d'authentification.

Pour sélectionner le serveur RADIUS pour un profil,

reportez-vous à la section Configurer les paramètres
d'authentification.

VMware, Inc. 302

Guide d'administration de VMware SD-WAN

Étape suivante

Lorsque vous configurez les paramètres de l'interface d'un profil, les paramètres sont appliqués
automatiquement aux dispositifs Edge associés au profil. Si nécessaire, vous pouvez remplacer la
configuration d'un dispositif Edge spécifique comme suit :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou cliquez sur le lien
d'accès à un dispositif Edge, puis cliquez sur l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section
Paramètres de l'interface (Interface Settings), qui affiche les interfaces disponibles dans le
dispositif Edge sélectionné.

4 Cliquez sur l'option Modifier (Edit) d'une interface pour afficher et modifier les paramètres.

5 Cochez la case Interface de remplacement (Override Interface) pour modifier les paramètres
de configuration de l'interface sélectionnée.

Configurer les paramètres de radio Wi-Fi

Au niveau du profil, vous pouvez activer/désactiver la radio Wi-Fi et configurer la bande des
fréquences radio.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour configurer les paramètres radio Wi-Fi, puis cliquez sur l'icône sous
la colonne Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Dans la zone Paramètres de radio Wi-Fi (WI-FI Radio Settings), la case Radio activée (Radio
Enabled) est cochée par défaut et Canal (Channel) est défini sur Automatique (Automatic).

4 Sélectionnez la bande de radio. Elle peut être de 2,4 GHz ou de 5 GHz.

5 Cliquez sur Enregistrer les modifications (Save Changes).

Au niveau du dispositif Edge, vous pouvez remplacer les paramètres de radio Wi-Fi spécifiés
dans le profil en cochant la case Activer le remplacement au niveau du dispositif Edge
(Enable Edge Override). Pour plus d'informations, reportez-vous à la section Configurer les
remplacements des paramètres de radio Wi-Fi.

VMware, Inc. 303

Guide d'administration de VMware SD-WAN

Configurer les paramètres de couche 2 pour les profils

VMware SD-WAN Orchestrator prend en charge la configuration du délai d'expiration du
protocole de résolution des adresses (ARP, Address Resolution Protocol) pour permettre à
l'utilisateur de remplacer les valeurs de délai d'expiration par défaut des entrées de la table
ARP. VMware SD-WAN Orchestrator permet de configurer trois types de délais d'expiration :
Périmé (Stale), Inactif (Dead) et Nettoyage (Cleanup). Les valeurs par défaut des différents délais
d'expiration ARP sont Périmé : 2 minutes, Inactif : 25 minutes et Nettoyage : 4 heures.

Pour remplacer les délais d'expiration ARP par défaut au niveau du profil, procédez comme suit :

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil dont vous souhaitez configurer les paramètres de couche 2, puis cliquez
sur l'icône située sous la colonne Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Accédez à la zone Paramètres de couche 2 (L2 Settings) et cochez la case Remplacer les
délais d'expiration ARP par défaut (Override default ARP Timeouts).

VMware, Inc. 304

Guide d'administration de VMware SD-WAN

4 Configurez les différents délais d'expiration ARP en heures et en minutes comme suit :

Champ Description

ARP Stale Timeout Lorsque l'âge d'une entrée ARP dépasse le délai
de péremption, son état passe d'ACTIF (ALIVE)
à ACTUALISER (REFRESH). À l'état ACTUALISER
(REFRESH), lorsqu'un nouveau paquet tente d'utiliser
cette entrée ARP, il est transféré et une nouvelle
demande ARP est envoyée. Si la demande ARP est
résolue, l'entrée ARP passe à l'état ACTIF (ALIVE). Dans
le cas contraire, l'entrée reste à l'état ACTUALISER
(REFRESH) et le trafic est transféré dans cet état.
La valeur autorisée est comprise entre 1 minute et
23 heures et 58 minutes.

ARP Dead Timeout Lorsque l'âge d'une entrée ARP dépasse le délai
d'inactivité, son état passe d'ACTUALISER (REFRESH)
à INACTIF (DEAD). À l'état INACTIF (DEAD), lorsqu'un
nouveau paquet tente d'utiliser cette entrée ARP, il est
abandonné et une demande ARP est également envoyée.
Si la demande ARP est résolue, l'entrée ARP passe à
l'état ACTIF (ALIVE) et le paquet de données suivant est
transféré. Si la demande ARP n'est pas résolue, l'entrée
ARP reste à l'état INACTIF (DEAD). À l'état INACTIF
(DEAD), le trafic n'est pas transféré vers ce port et sera
perdu.
La valeur autorisée est comprise entre 2 minutes et
23 heures et 59 minutes.

ARP Cleanup Timeout Lorsque l'âge d'une entrée ARP dépasse le délai de
nettoyage, cette entrée est complètement supprimée de
la table ARP.
La valeur autorisée est comprise entre 3 minutes et
24 heures.

Note Les valeurs des délais d'expiration ARP ne peuvent être que dans un ordre croissant de
minutes.

5 Cliquez sur Enregistrer les modifications (Save Changes).

Étape suivante

Au niveau du dispositif Edge, vous pouvez remplacer les paramètres de couche 2 pour des
dispositifs Edge spécifiques. Pour plus d'informations, reportez-vous à la section Configurer les
paramètres de couche 2 pour les dispositifs Edge.

Configurer les paramètres SNMP pour les profils

SNMP est un protocole communément utilisé pour la surveillance du réseau, et MIB est une base
de données associée à SNMP qui est utilisée pour la gestion des entités. Vous pouvez activer
SNMP en sélectionnant la version SNMP souhaitée, comme décrit dans les étapes ci-dessous.

VMware, Inc. 305

Guide d'administration de VMware SD-WAN

Avant de commencer :

n Pour télécharger la base MIB pour SD-WAN Edge : accédez à l'écran Diagnostics à distance
(Remote Diagnostic) (Test et dépannage [Test & Troubleshooting] > Diagnostics à distance
[Remote Diagnostics]), puis exécutez la base MIB pour SD-WAN Edge. Copiez et collez les
résultats sur votre machine locale.

n Installez toutes les bases MIB requises par VELOCLOUD-EDGE-MIB sur l'hôte client,
notamment SNMPv2-SMI, SNMPv2-CONF, SNMPv2-TC, INET-ADDRESS-MIB, IF-MIB, UUID-
TC-MIB et VELOCLOUD-MIB. Tous les fichiers MIB susmentionnés sont disponibles sur la
page Diagnostics à distance (Remote Diagnostics).

MIB prises en charge

n Système SNMP MIB-2

n Interfaces SNMP MIB-2

n VELOCLOUD-EDGE-MIB

n HOST-RESOURCES-MIB, à partir de la RFC 1514

Procédure de configuration des paramètres SNMP au niveau du profil :

1 Procurez-vous VELOCLOUD-EDGE-MIB depuis Diagnostic à distance (Remote Diagnostic).

2 Installez toutes les bases MIB requises par VELOCLOUD-EDGE-MIB. (Reportez-vous à la

section « Avant de commencer » pour plus d'informations.)

3 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

L'écran Profils de configuration (Configuration Profiles) s'affiche.

4 Sélectionnez un profil pour lequel vous souhaitez configurer les paramètres SNMP, puis
cliquez sur l'icône Périphérique (Device) dans la colonne Périphérique.

L'écran Profils de configuration (Configuration Profiles) pour le profil sélectionné s'affiche.

5 Faites défiler jusqu'à la zone Paramètres SNMP (SNMP Settings). Vous pouvez choisir entre
deux versions, v2c ou v3.

6 Pour une configuration SNMP v2c, procédez comme suit :

a Cochez la case v2c.

b Tapez un port dans la zone de texte Port. Le paramètre par défaut est 161.

c Dans la zone de texte Communauté (Community), tapez un mot ou une séquence de

chiffres qui vous servira de mot de passe pour accéder à l'agent SNMP.

d Pour Adresses IP autorisées (Allowed IPs) :

n Cochez la case Indifférent (Any) pour autoriser n'importe quelle adresse IP à accéder à
l'agent SNMP.

n Pour limiter l'accès à l'agent SNMP, décochez la case Indifférent (Any) et entrez une
ou plusieurs adresses IP qui seront autorisées à accéder à l'agent SNMP.

VMware, Inc. 306

Guide d'administration de VMware SD-WAN

7 Pour une configuration SNMP v3, qui fournit une prise en charge supplémentaire de la
sécurité, procédez comme suit :

a Tapez un port dans la zone de texte Port. 161 est le paramètre par défaut.

b Tapez un nom d'utilisateur et un mot de passe dans les zones de texte appropriées.

c Cochez la case Confidentialité (Privacy) si vous souhaitez que le transfert de paquets soit
chiffré.

d Si vous avez coché la case Confidentialité (Privacy), choisissez DES ou AES dans le menu
déroulant Algorithme (Algorithm).

8 Configurez les paramètres de pare-feu. Une fois que vous avez configuré les paramètres
SNMP, accédez aux paramètres du pare-feu (Configurer [Configure] > Profils [Profiles] >
Pare-feu [Firewall]) pour configurer les paramètres de pare-feu qui activeront vos paramètres
SNMP.

Note La surveillance de l'interface SNMP est prise en charge sur les interfaces compatibles DPDK
pour 3.3.0 et versions ultérieures.

Configurer les paramètres NTP pour les profils

Le protocole NTP (Network Time Protocol) fournit les mécanismes permettant de synchroniser
l'heure avec le temps universel coordonné dans les grands réseaux diversifiés. VMware
recommande l'utilisation du protocole NTP pour synchroniser les horloges système des
dispositifs Edge et des autres périphériques réseau.

En tant qu'utilisateur d'entreprise, vous pouvez configurer une source de temps pour que
SD-WAN Edge puisse définir sa propre heure de manière précise. Pour ce faire, vous devez
configurer un ensemble de serveurs NTP en amont qui la lui fourniront. Le dispositif Edge,
quant à lui, tente de définir son heure à partir d'un ensemble de serveurs NTP publics par
défaut, mais l'heure ainsi définie n'est pas fiable dans les réseaux les plus sécurisés. Afin de
vous assurer que l'heure est correctement définie sur un dispositif Edge, vous devez activer la
fonctionnalité Serveurs NTP privés (Private NTP Servers), puis configurer un ensemble de serveurs
NTP. Une fois que la source de temps du dispositif Edge est correctement configurée, vous
pouvez configurer l'instance de SD-WAN Edge afin qu'elle serve de serveur NTP pour ses propres
clients.

VMware, Inc. 307

Guide d'administration de VMware SD-WAN

Conditions préalables

L'utilisation du protocole NTP est soumise aux conditions préalables suivantes :

n Pour configurer une instance de SD-WAN Edge afin qu'elle serve de serveur NTP pour ses
clients, vous devez d'abord configurer les propres sources de temps NTP du dispositif Edge en
définissant des serveurs NTP privés.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

2 Sélectionnez un profil pour lequel vous souhaitez configurer le protocole NTP, puis cliquez sur
l'icône située sous la colonne Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Configurez les propres sources d'heure du dispositif Edge en définissant des serveurs NTP
privés. Ces serveurs peuvent être des sources de temps connues dans votre propre réseau
ou des serveurs de temps connus sur l'Internet public, s'ils sont accessibles depuis le
dispositif Edge. Pour définir des serveurs NTP privés :

a Accédez à la zone NTP et cochez la case Serveurs NTP privés activés (Private NTP
Servers Enabled).

b Dans la zone de texte Serveurs (Servers), entrez l'adresse IP de votre serveur NTP privé.
Si DNS est configuré, vous pouvez utiliser un nom de domaine au lieu d'une adresse IP.
Pour configurer un autre serveur NTP, cliquez sur le bouton +.

Il est vivement recommandé d'ajouter deux ou trois serveurs pour augmenter la

disponibilité et la précision des paramètres de temps. Si vous ne définissez pas de serveurs
NTP privés, le dispositif Edge tente de définir son heure à partir d'un ensemble de
serveurs NTP publics par défaut, mais rien ne garantit que cela fonctionne, en particulier si
le dispositif Edge ne peut pas communiquer avec les serveurs sur l'Internet public.

Note SD-WAN Orchestrator vous permet de configurer le dispositif Edge pour qu'il
agisse en tant que serveur NTP pour ses clients, uniquement si vous avez défini des
serveurs NTP privés.

Comme les interfaces Edge ne sont pas disponibles au niveau du profil, le champ
Interface source (Source Interface) est défini sur Auto. Le dispositif Edge sélectionne
automatiquement une interface dont le champ « Annoncer (Advertise) » est défini comme
interface source.

VMware, Inc. 308

Guide d'administration de VMware SD-WAN

4 Une fois que vous avez défini des serveurs NTP privés, Orchestrator vous permet de
configurer l'instance de SD-WAN Edge pour qu'elle agisse en tant serveur NTP pour ses
clients :

a Sous Dispositif Edge en tant que serveur NTP (Edge as NTP Server), cochez la case
Activé (Enabled). Vous ne pouvez cocher cette case que si vous avez activé au moins un
serveur NTP privé.

b Choisissez le type d'authentification NTP : Aucune (None) ou MD5.

c Si vous choisissez MD5, vous devez configurer les détails de la paire de clés
d'authentification NTP.

5 Cliquez sur Enregistrer les modifications (Save Changes). Les paramètres de configuration
NTP sont appliqués au profil sélectionné.

Étape suivante

Au niveau du dispositif Edge, vous pouvez remplacer les paramètres NTP de certains
dispositifs Edge spécifiques. Pour plus d'informations, reportez-vous à la section Configurer les
paramètres NTP des dispositifs Edge.

Configurer le mode de visibilité

Cette section décrit comment configurer le mode de visibilité.

VMware, Inc. 309

Guide d'administration de VMware SD-WAN

À propos du mode de visibilité

Même si le suivi par adresse MAC est idéal (fournissant un identifiant unique global), il y a un
manque de visibilité lorsqu'un commutateur L3 se trouve entre le client et le dispositif Edge, car
l'adresse MAC du commutateur est connue du dispositif Edge, contrairement à l'adresse MAC
du périphérique. Par conséquent, deux modes de suivi (adresse MAC et adresse IP maintenant)
sont disponibles. Lorsque le suivi par adresse MAC n'est pas possible, l'adresse IP est utilisée à la
place.

Choix du mode de visibilité

Pour choisir un Mode de visibilité (Visibility Mode), accédez à Configurer (Configure) > Profil
(Profile)> Périphériques (Devices). Sélectionnez l'une des options suivantes :

n Visibilité par adresse MAC (Visibility by MAC address)

n Visibilité par adresse IP (Visibility by IP address)

Considérations relatives à l'utilisation du mode de visibilité

Gardez à l'esprit les points suivants lors du choix d'un mode de visibilité :

n Si l'option Visibilité par adresse MAC (Visibility by MAC address) est sélectionnée :

n Les clients se trouvent derrière le commutateur L2

n Adresse MAC du client, adresse IP et nom d'hôte (le cas échéant) s'affichent

n Les statistiques sont collectées en fonction de l'adresse MAC

n Si l'option Visibilité par adresse IP (Visibility by IP address) est sélectionnée :

n Les clients se trouvent derrière le commutateur L3

n Adresse MAC du commutateur, adresse IP du client et nom d'hôte (le cas échéant)
s'affichent

n Les statistiques sont collectées en fonction de l'adresse IP

Attribuer des passerelles de partenaires

Pour que les clients puissent utiliser les passerelles de partenaires, votre opérateur doit cocher
la case Activer le transfert aux partenaires (Enable Partner Handoff) afin que la passerelle
active cette fonctionnalité. Si vous pouvez disposer de cette fonctionnalité, la zone Attribution

VMware, Inc. 310

Guide d'administration de VMware SD-WAN

de la passerelle de partenaires (Partner Gateway Assignment) s'affiche dans l'onglet de l'écran

Configurer (Configure) > Profils (Profiles) > Périphérique (Device).

Note La fonctionnalité d'attribution de la passerelle de partenaires a été améliorée pour prendre

également en charge les configurations basées sur un segment. Vous pouvez configurer plusieurs
passerelles de partenaires au niveau du profil et/ou les remplacer au niveau du dispositif Edge.

Sélectionner des passerelles

Pour effectuer cette section, vous devez avoir activé cette fonctionnalité. Pour plus d'informations,
reportez-vous à votre opérateur.

Si aucune passerelle n'est répertoriée dans la zone Attribution de transfert de passerelle

(Gateway Handoff Assignment) :

1 Cliquez sur le lien Sélectionner les passerelles (Select Gateways) Pour sélectionner des
passerelles de partenaires.

2 Dans la boîte de dialogue Sélectionner les passerelles de partenaires pour le segment global
(Select Partner Gateways for Global Segment), sélectionnez une passerelle de partenaires
disponible dans la zone Passerelle de partenaires disponible (Available Partner Gateway)
et déplacez-la (à l'aide de la flèche appropriée) vers la zone Passerelle de partenaires
sélectionnée (Selected Partner Gateway).

VMware, Inc. 311

Guide d'administration de VMware SD-WAN

Notez que seules les passerelles configurées en tant que handoff gateway aux partenaires
s'affichent dans la zone Passerelles de partenaires disponibles (Available Partner Gateways).
Si d'autres passerelles ne sont pas configurées en tant que handoff gateway aux partenaires, le
message suivant s'affiche dans la boîte de dialogue : Une autre passerelle du pool de passerelles
n'est pas configurée comme handoff gateway aux partenaires (There is one other Gateway in
the Gateway Pool that is not configured as a Partner Handoff Gateway).

Sélection des passerelles CDE

Dans des scénarios normaux, le trafic PCI s'exécute entre le site distant client et le centre de
données dans lequel le trafic PCI est transféré vers le réseau PCI et les passerelles sont en dehors
de l'étendue PCI. (L'opérateur peut configurer la passerelle afin qu'elle exclue le segment PCI en
décochant le rôle CDE).

Dans certains cas où les passerelles peuvent disposer d'un transfert vers le réseau PCI et
dans l'étendue PCI, l'opérateur peut activer le rôle CDE pour les passerelles de partenaires et
ces passerelles (passerelles CDE) seront disponibles pour que l'utilisateur les attribue dans les
segments PCI (type CDE).

Pour effectuer cette section, vous devez avoir activé cette fonctionnalité. Pour plus d'informations,
reportez-vous à votre opérateur.

Attribuer une passerelle CDE

Pour attribuer une passerelle CDE :

1 Dans la fenêtre Configurer les segments (Configure Segments), cliquez sur le bouton
Modifier (Change) de l'option Sélectionner les segments du profil (Select Profile Segments).

VMware, Inc. 312

Guide d'administration de VMware SD-WAN

2 Dans la boîte de dialogue Sélectionner les segments (Select Segments), déplacez le segment
CDE disponible dans la zone Segments disponibles (Available Segments) (à l'aide de la flèche
appropriée) vers la zone Dans ce profil (Within This Profile).

3 Dans la zone Attribution de transfert de passerelle (Gateway Handoff Assignment), cliquez

sur le lien Sélectionner des passerelles (Select Gateways).

4 Dans la boîte de dialogue Sélectionner les passerelles de partenaires pour le segment

CDE (Select Partner Gateways for cde seg), sélectionnez une passerelle de partenaires CDE
disponible dans la zone Passerelles de partenaires disponibles (Available Partner Gateways)
et déplacez-la vers la zone Passerelles de partenaires sélectionnées (Selected Partner
Gateways).

5 Cliquez sur le bouton Mettre à jour (Update).

VMware, Inc. 313

Guide d'administration de VMware SD-WAN

La zone Attribution de transfert de passerelle (Gateway Handoff Assignment) s'actualise avec

les passerelles sélectionnées.

Note Comme indiqué dans la boîte de dialogue Sélectionner les passerelles de partenaires pour
le segment CDE (Select Partner Gateways for cde seg), vous ne pouvez sélectionner que les
passerelles CDE du segment.

Considérations à prendre en compte lors de l'attribution de passerelles de

partenaires :
Lorsque vous attribuez des passerelles de partenaires, tenez compte des remarques suivantes :

n Vous pouvez attribuer les passerelles de partenaires au niveau du profil ou du dispositif Edge.

n Vous pouvez attribuer au moins deux passerelles de partenaires à un dispositif Edge

(jusqu'à 16).

n Vous pouvez attribuer des passerelles de partenaires par segment.

Note Si la zone Attribution de transfert de passerelle (Gateway Handoff Assignment) ne

s'affiche pas dans la fenêtre Configurer les segments (Configure Segments), contactez votre
opérateur pour activer cette fonctionnalité.

Attribuer des contrôleurs

SD-WAN Gateway est activé pour la prise en charge du plan de contrôle et de données. Dans
la version 3.2, VMware introduit une fonctionnalité de contrôleur uniquement (attribution de
passerelle de contrôleur).

Plusieurs cas d'utilisation nécessitent que SD-WAN Gateway fonctionne en tant que contrôleur
uniquement (c'est-à-dire, pour supprimer les capacités du plan de données). En outre, cela
permet une montée en charge différente de la passerelle, car vous pouvez déplacer les ressources
généralement dédiées au traitement des paquets pour prendre en charge le traitement du plan
de contrôle. Cela permet de prendre en charge, par exemple, plus de tunnels simultanés sur
un contrôleur que sur une passerelle traditionnelle. Pour obtenir un cas d'utilisation classique,
reportez-vous à la section suivante.

Cas d'utilisation : relation branche vers branche dynamique via des passerelles
de partenaires différentes
Dans ce scénario, les dispositifs Edge 1 (E1) et Edge 2 (E2), comme illustré sur l'image,
appartiennent à la même entreprise dans Orchestrator. Cependant, ils se connectent à des
passerelles de partenaires différentes (généralement en raison de régions différentes). Par
conséquent, la relation branche vers branche dynamique n'est pas possible entre E1 et E2, mais
plutôt en exploitant le contrôleur.

VMware, Inc. 314

Guide d'administration de VMware SD-WAN

Flux de trafic initial

Comme illustré sur l'image ci-dessous, lorsqu'E1 et E2 tentent de communiquer directement,
le flux de trafic commence par traverser le réseau privé comme dans les versions précédentes
du code. Simultanément, les dispositifs Edge informent le contrôleur qu'ils communiquent et
demandent une connexion directe.

Tunnel dynamique
Le contrôleur indique aux dispositifs Edge de créer le tunnel dynamique en fournissant des
informations de connectivité E1 à E2 et inversement. Le flux de trafic se déplace de manière
transparente vers le nouveau tunnel dynamique si et lorsqu'il est établi.

Configuration d'une passerelle en tant que contrôleur

Pour que les clients puissent utiliser les passerelles de partenaires, votre opérateur doit cocher la
case Activer le transfert aux partenaires (Enable Partner Handoff) afin que la passerelle active
cette fonctionnalité. Si cette dernière est disponible, la zone Attribution de contrôleur (Controller
Assignment) s'affiche dans l'écran de l'onglet Configurer (Configure) > Profils (Profiles) >
Périphérique (Device).

Note Au moins une passerelle du pool correspondant doit être une passerelle de « Contrôleur
seulement ».

1 Accédez à l'onglet Configurer (Configure) > Profils (Profiles) > Périphérique (Device).

2 Faites défiler la liste vers le bas jusqu'à la zone Attribution de contrôleur (Controller
Assignment).

3 Dans la zone Attribution de contrôleur (Controller Assignment), cliquez sur le lien

Sélectionner des passerelles (Select Gateways).

VMware, Inc. 315

Guide d'administration de VMware SD-WAN

4 Dans la boîte de dialogue Sélectionner les contrôleurs pour le

segment global (Select Controllers for Global Segment), déplacez les
contrôleurs de la zone Disponible (Available) vers la zone Sélectionné

(Selected).

5 Cliquez sur Mettre à jour (Update).

La zone Attribution de contrôleur (Controller Assignment) est actualisée.

VMware, Inc. 316

Configurer la Business Policy
12
VMware fournit une fonctionnalité de qualité de service étendue appelée Business Policy. SD-
WAN Orchestrator permet de configurer des règles de business policy au niveau du profil et du
dispositif Edge. La business policy utilise des paramètres tels que l'adresse IP/le port source,
l'adresse IP/le port de destination, le nom de domaine, l'adresse et le groupe de ports, les
applications, les catégories d'applications et les balises DSCP pour créer des règles de business
policy. Les opérateurs, les partenaires et les administrateurs de tous les niveaux peuvent créer une
business policy.

Ce chapitre contient les rubriques suivantes :

n Configurer une Business Policy pour les profils

n Configurer une Business Policy pour les dispositifs Edge

n Créer des règles de Business Policy

Configurer une Business Policy pour les profils

Vous pouvez configurer des règles de Business Policy à l'aide de l'onglet Business Policy dans la
boîte de dialogue Configuration de profil (Profile Configuration). Éventuellement, au niveau du
dispositif Edge, vous pouvez également remplacer les règles de Business Policy du profil.

Note Si vous êtes connecté à l'aide d'un ID d'utilisateur disposant de privilèges de support client,
vous ne pourrez voir que les objets SD-WAN Orchestrator. Vous ne pourrez pas créer d'objets ni
configurer/mettre à jour des objets existants.

En fonction de la configuration de la business policy, VMware examine le trafic en cours

d'utilisation, identifie le comportement de l'application, l'objectif du service d'entreprise requis
pour une application donnée (élevé, moyen ou faible) et les conditions de la liaison WAN du
dispositif Edge. En fonction des éléments, la Business Policy optimise le comportement de
l'application en matière de mise en file d'attente, d'utilisation de la bande passante, de choix
du lien et d'atténuation des erreurs de réseau.

VMware, Inc. 317

Guide d'administration de VMware SD-WAN

La capture d'écran suivante montre les règles de Business Policy répertoriées par ordre de
priorité la plus élevée. Le trafic réseau est géré en identifiant ses caractéristiques, puis en
faisant correspondre les caractéristiques de la règle avec la priorité la plus élevée. Un certain
nombre de règles sont prédéfinies et vous pouvez ajouter vos propres règles pour personnaliser
le fonctionnement de votre réseau en cliquant sur le bouton Nouvelle règle (New Rule). Pour
connaître les étapes de création d'une règle de business policy, reportez-vous à la section Créer
des règles de Business Policy.

Les règles de Business Policy prennent désormais en charge les segments. Tous les segments
disponibles pour la configuration sont répertoriés dans le menu déroulant Configurer le segment
(Configure Segment).

Lorsque vous choisissez un segment à configurer dans le menu déroulant Configurer le segment
(Configure Segment), les paramètres et les options associés à ce segment s'affichent dans la zone
Configurer les segments (Configure Segments). Le Segment global [Normal] (Global Segment
[Regular]) est le segment par défaut.

Pour plus d'informations sur la segmentation, reportez-vous aux sections Chapitre 8 Configurer les
segments et Chapitre 11 Configurer un périphérique de profil.

Note Vous pouvez déplacer vos règles configurées vers le haut ou vers le bas dans la liste des
règles pour établir la priorité en passant le curseur sur la valeur numérique sur le côté gauche de
la règle et en déplaçant cette dernière vers le haut ou vers le bas. Si vous passez le curseur sur le
côté droit d'une règle, cliquez sur le signe - (moins) en regard de la règle pour la supprimer de la
liste ou sur le signe + (plus) pour ajouter une nouvelle règle.

Informations connexes : pour remplacer les règles de Business Policy du profil au niveau
du dispositif Edge, reportez-vous à la section Configurer une Business Policy pour les
dispositifs Edge.

VMware, Inc. 318

Guide d'administration de VMware SD-WAN

Configurer une Business Policy pour les dispositifs Edge

Tous les dispositifs Edge héritent des règles de Business Policy du profil associé. Sous l'onglet
Business Policy de la boîte de dialogue Configuration du dispositif Edge (Edge Configuration),
vous pouvez afficher toutes les règles de Business Policy héritées dans la zone Règle du
profil (Rule From Profile). Le remplacement de règles de la Business Policy de profil sur le
dispositif Edge est une étape facultative.

Au niveau du dispositif Edge, les règles de la Business Policy du profil attribué peuvent être
remplacées à l'aide de la boîte de dialogue Business policy du dispositif Edge (Edge Business
Policy) présentée ci-dessous. Toute valeur de correspondance de remplacement de la Business
Policy identique à une règle de la Business Policy de profil remplacera cette règle de profil. Vous
pouvez créer des règles de remplacement de la même manière que vous créez des règles de profil
(reportez-vous à la section Configurer une Business Policy pour les profils).

Comme indiqué dans l'image ci-dessous, la Business Policy est sensible au segment. Tous les
segments disponibles pour la configuration sont répertoriés dans le menu déroulant Configurer le
segment (Configure Segment).

Lorsque vous choisissez un segment à configurer dans le menu déroulant Configurer le segment
(Configure Segment), les paramètres et les options associés à ce segment s'affichent dans la zone
Configurer les segments (Configure Segments). Le Segment global [Normal] (Global Segment
[Regular]) est le segment par défaut.

Pour plus d'informations sur la segmentation, reportez-vous aux sections Chapitre 8 Configurer les
segments et Configurer un périphérique Edge.

Créer des règles de Business Policy

SD-WAN Orchestrator permet de configurer des règles de business policy au niveau du profil
et du dispositif Edge. Les opérateurs, les partenaires et les administrateurs de tous les niveaux
peuvent créer une business policy. La business policy correspond aux paramètres tels que les
adresses IP, les ports, les ID VLAN, les interfaces, les noms de domaine, les protocoles, le système
d'exploitation, les groupes d'objets, les applications et les balises DSCP. Lorsqu'un paquet
de données correspond aux conditions de correspondance, l'action ou les actions associées
sont effectuées. Si un paquet ne correspond à aucun paramètre, une action par défaut lui est
appliquée.

Avant de commencer : vous devez connaître les adresses IP de vos périphériques et comprendre
les implications de la définition d'un masque wildcard.

Pour créer une business policy :

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Business
Policy.

2 Dans la zone Business Policy, cliquez sur Nouvelle règle (New Rule). La boîte de dialogue
Configurer la règle (Configure Rule) s'affiche.

VMware, Inc. 319

Guide d'administration de VMware SD-WAN

3 Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle.

VMware, Inc. 320

Guide d'administration de VMware SD-WAN

4 Dans la zone Correspondance (Match), configurez les conditions de correspondance pour le

flux de trafic. L'option que vous choisissez peut modifier les champs de la boîte de dialogue :

Paramètres Description

Source Permet de spécifier des critères de correspondance pour

le trafic source. Sélectionnez l'une des options suivantes :
n Indifférent (Any) : correspond à l'ensemble du trafic
source par défaut.
n Groupe d'objets (Object Group) : permet de
sélectionner une combinaison de groupes d'adresses
et de groupes de ports à faire correspondre pour la
source. Pour plus d'informations, reportez-vous aux
sections Chapitre 18 Groupes d'objets et Configurer
les business policies avec des groupes d'objets.

Note Si le groupe d'adresses sélectionné contient

des noms de domaine, ceux-ci sont ignorés lors de la
recherche de correspondances pour la source.
n Définir (Define) : permet de définir les critères
correspondants pour le trafic source à partir d'un
VLAN, d'une adresse IP, d'un port ou d'un système
d'exploitation spécifique. Sélectionnez l'une des
options suivantes, par défaut, l'option Aucune (None)
est sélectionnée :
n VLAN : correspond au trafic provenant du VLAN
spécifié, sélectionné dans le menu déroulant.
n Interface : correspond au trafic provenant de
l'interface spécifiée, sélectionné dans le menu
déroulant.

Note Si une interface ne peut pas être

sélectionnée, elle est désactivée ou n'est pas
attribuée à ce segment.
n Adresse IP (IP Address) : correspond au
trafic provenant de l'adresse IP spécifiée. Avec
l'adresse IP, vous pouvez spécifier l'une des
options suivantes pour faire correspondre le trafic
source :
n Préfixe CIDR (CIDR prefix) : choisissez cette
option pour définir le réseau comme valeur
CIDR (par exemple : [Link] /16).
n Masque de sous-réseau (Subnet mask) :
choisissez cette option pour définir le réseau
selon un masque de sous-réseau (par
exemple, [Link] [Link]).
n Masque wildcard (Wildcard mask) : choisissez
cette option si vous souhaitez pouvoir limiter
l'application d'une stratégie à un ensemble de
périphériques sur différents sous-réseaux IP
qui partagent une valeur d'adresse IP d'hôte
correspondante. Le masque wildcard
correspond à une adresse IP ou à un
ensemble d'adresses IP basées sur le masque

VMware, Inc. 321

Guide d'administration de VMware SD-WAN

Paramètres Description

de sous-réseau inversé. Un « 0 » dans la

valeur binaire du masque signifie que la valeur
est fixe et un « 1 » dans la valeur binaire du
masque signifie que la valeur est sauvage (elle
peut être 1 ou 0). Par exemple, un masque
wildcard de [Link] (équivalent
binaire = 00000000.00000000.00000000.
11111111) avec une adresse IP de 172.0.0, les
trois premiers octets étant des valeurs fixes et
le dernier octet étant une valeur variable.
n Port : correspond au trafic provenant du port
source ou de la plage de ports spécifiés.
n Système d'exploitation (Operating System) :
correspond au trafic provenant du système
d'exploitation spécifié, sélectionné dans le menu
déroulant.

Destination Permet de spécifier des critères de correspondance pour

le trafic de destination. Sélectionnez l'une des options
suivantes :
n Indifférent (Any) : correspond à l'ensemble du trafic
de destination par défaut.
n Groupe d'objets (Object Group) : permet de
sélectionner une combinaison de groupes d'adresses
et de groupes de ports à faire correspondre pour
la destination. Pour plus d'informations, reportez-
vous aux sections Chapitre 18 Groupes d'objets et
Configurer les business policies avec des groupes
d'objets.
n Définir (Define) : permet de définir les critères
correspondants pour le trafic de destination sur une
adresse IP, un nom de domaine, un protocole ou
un port spécifique. Sélectionnez l'une des options
suivantes, par défaut, l'option Indifférent (Any) est
sélectionnée :
n Indifférent (Any) : correspond à l'ensemble du
trafic de destination.
n Internet : correspond à l'ensemble du trafic
Internet (trafic qui ne correspond pas à une
route SD-WAN) vers la destination.
n Dispositif Edge (Edge) : correspond à l'ensemble
du trafic vers un dispositif Edge.
n Destination non-SD-WAN via une passerelle
(Non SD-WAN Destination via Gateway) :
correspond à l'ensemble du trafic vers l'instance
de Non VMware SD-WAN Site spécifiée via une
passerelle, associé à un profil. Assurez-vous que
vous avez associé vos sites non-SD-WAN via une
passerelle au niveau du profil.

VMware, Inc. 322

Guide d'administration de VMware SD-WAN

Paramètres Description

n Destination non-SD-WAN via un dispositif

Edge (Non SD-WAN Destination via Edge ) :
correspond à l'ensemble du trafic vers l'instance
de Non VMware SD-WAN Site spécifiée via le
dispositif Edge, associé à un dispositif Edge ou
à un profil. Assurez-vous que vous avez associé
vos sites non-SD-WAN via un dispositif Edge au
niveau du profil ou du dispositif Edge.

Protocole (Protocol) : correspond au trafic du

protocole spécifié, sélectionné dans le menu
déroulant. Les protocoles pris en charge sont les
suivants : GRE, ICMP, TCP et UDP.

Domaine : correspond au trafic pour le nom de

domaine complet ou une partie du nom de domaine
spécifiée dans le champ Nom de domaine (Domain
Name). Par exemple, « salesforce » fait correspondre
le trafic avec « [Link] ».

Application Sélectionnez l'une des options suivantes :

n Indifférent (Any) : applique la règle de business
policy à n'importe quelle application par défaut.
n Définir (Define) : permet de sélectionner une
application spécifique pour appliquer la règle de
business policy. En outre, il est possible de spécifier
une valeur DSCP pour faire correspondre le trafic
entrant avec une balise DSCP/TOS prédéfinie.

Note Lors de la création d'une règle de business policy

correspondant à une application uniquement, le dispositif
Edge devra peut-être utiliser le moteur d'inspection
approfondie des paquets (DPI, Deep Packet Inspection)
pour appliquer l'action de service réseau pour cette
application. Le DPI ne peut généralement pas déterminer
l'application en fonction du premier paquet. Le moteur
DPI a généralement besoin des 5 à 10 premiers paquets
du flux pour identifier l'application. Pour les premiers
paquets reçus uniquement, le trafic peut prendre un
chemin différent, c'est-à-dire « Direct » au lieu de
« Chemins multiples » (Multipath) ou « Backhaul Internet »
(Internet Backhaul) selon la configuration de la business
policy.

En fonction de vos choix Correspondance (Match), certaines actions peuvent ne pas être
disponibles.

VMware, Inc. 323

Guide d'administration de VMware SD-WAN

5 Dans la zone Action, configurez les actions de la règle :

Paramètres Description

Priorité (Priority) Désignez la priorité de la règle comme l'une des options

suivantes :
n Élevée (High)
n Normale (Normal)
n Faible (Low)
Pour définir des limites des directions de trafic entrant et
sortant, cochez la case Limite de débit (Rate Limit).

Service réseau (Network Service) Définissez Service réseau (Network Service) sur l'une
des options suivantes :
n Direct : envoie le trafic du circuit WAN directement à
la destination, en contournant l'instance de SD-WAN
Gateway.

Note Par défaut, le dispositif Edge préfère une route

sécurisée à une business policy. En pratique, cela
signifie que le dispositif Edge transfère le trafic via
des chemins multiples (site distant vers site distant ou
cloud via une passerelle, selon la route), même si une
business policy est configurée pour envoyer ce trafic
via le chemin direct si le dispositif Edge a reçu des
routes par défaut sécurisées ou des routes sécurisées
plus spécifiques de la passerelle partenaire ou d'un
autre dispositif Edge.
n Chemins multiples (Multi-Path) : envoie le trafic d'un
dispositif SD-WAN Edge à un autre dispositif SD-
WAN Edge.
n Backhaul Internet (Internet Backhaul) : ce service
réseau n'est activé que si Destination est définie sur
Internet.

Note Le service réseau Backhaul Internet (Internet

Backhaul) ne s'applique qu'au trafic Internet (c'est-à-
dire, au trafic WAN destiné aux préfixes réseau qui ne
correspondent pas à une route locale ou à une route
VPN connue).
Pour plus d'informations sur ces options, reportez-vous
à la section Configurer le service réseau pour la règle de
stratégie d'entreprise.

VMware, Inc. 324

Guide d'administration de VMware SD-WAN

Paramètres Description

Choix du lien (Link Steering) Sélectionnez l'un des modes de choix du lien suivants :
n Auto : par défaut, toutes les applications sont définies
sur le mode de choix du lien automatique. Lorsqu'une
application est en mode de choix du lien automatique,
l'optimisation dynamique des chemins multiples
(DMPO, Dynamic Multipath Optimization) choisit
automatiquement les meilleures liens en fonction
du type d'application et active automatiquement la
correction à la demande en cas de nécessité. Entrez
une balise DSCP de paquet interne et une balise
DSCP de paquet externe dans les menus déroulants
appropriés.
n Groupe de transport (Transport Group) : spécifiez
l'une des options de groupe de transport suivantes
dans la stratégie de direction afin d'appliquer la
même configuration de Business Policy à des types
de périphériques ou à des emplacements différents,
qui peuvent comporter des opérateurs WAN et des
interfaces WAN complètement distincts.
n Lien filaire public (Public Wired)
n Lien sans fil publique (Public Wireless)
n Lien filaire privé (Private Wired)
n Interface : le choix du lien est lié à une interface
physique et est utilisé principalement à des fins de
routage.

Note Cette option est uniquement autorisée au

niveau du remplacement du dispositif Edge.
n Lien WAN (WAN Link) : permet de définir des règles
de stratégie basées sur des liens privés spécifiques.
Pour cette option, la configuration de l'interface est
distincte de la configuration du lien WAN. Vous
pouvez sélectionner un lien WAN qui était configuré
manuellement ou découvert automatiquement.

Note Cette option est uniquement autorisée au

niveau du remplacement du dispositif Edge.
Pour plus d'informations sur les modes de choix du lien,
DSCP et le marquage DSCP pour le trafic de sous-couche
et d'overlay, reportez-vous à la section Configurer les
modes de direction de liaison.

VMware, Inc. 325

Guide d'administration de VMware SD-WAN

Paramètres Description

NAT Désactivez ou activez la NAT. Pour plus d'informations,

reportez-vous à la section Configurer une NAT basée sur
la stratégie.

Classe de service (Service Class) Sélectionnez l'une des options de classe de service
suivantes :
n En temps réel (Real-time)
n Transactionnel (Transactional)
n En bloc (Bulk)

Note Cette option est uniquement destinée à une

application personnalisée.

Les applications/catégories VMware appartiennent à

l'une de ces catégories.

6 Cliquez sur OK. La règle de business policy est créée pour le profil sélectionné et s'affiche
dans la zone Business Policy de la page Business policy de profil (Profile Business Policy).

Informations connexes : Mappage CoS QoS de superposition

Configurer le service réseau pour la règle de stratégie d'entreprise

Lors de la création ou de la mise à jour d'une règle de stratégie d'entreprise et d'une action, vous
pouvez définir le Service réseau (Network Service) sur Direct, Chemins multiples (Multi-Path) et
Liaison Internet (Internet Backhaul).

Direct
Envoie le trafic depuis le circuit WAN directement à la destination, en contournant l'instance
de SD-WAN Gateway. La NAT est appliquée au trafic si la case Trafic direct NAT (NAT Direct
Traffic) est cochée dans Paramètres de l'interface (Interface Settings) sous l'onglet Périphérique
(Device). Lorsque vous configurez le trafic direct NAT, tenez compte des limitations suivantes.

n NAT doit atteindre le trafic dans la table de routage du dispositif Edge avec le tronçon suivant
comme VPN cloud ou passerelle de cloud.

n NAT fonctionne uniquement pour le trafic vers les adresses IP publiques, même si la stratégie
d'entreprise permet de configurer des adresses IP privées comme destination.

Chemins multiples (Multi-Path)

Envoie le trafic d'un dispositif SD-WAN Edge à un autre SD-WAN Edge, et d'un dispositif SD-
WAN Edge à un dispositif SD-WAN Gateway.

VMware, Inc. 326

Guide d'administration de VMware SD-WAN

Liaison Internet (Internet Backhaul)

Lors de la configuration des critères de correspondance des règles de stratégie d'entreprise, si
vous définissez Destination sur Internet, le service réseau Liaison Internet (Internet Backhaul) est
activé.

Note Le service réseau Liaison Internet (Internet Backhaul) ne s'applique qu'au trafic Internet
(c'est-à-dire, au trafic WAN destiné aux préfixes réseau qui ne correspondent pas à une route
locale ou à une route VPN connue).

Lorsque l'option Liaison Internet (Internet Backhaul) est sélectionnée, vous devez sélectionner
l'un des éléments suivants :

n Hubs de liaison (Backhaul Hubs)

n Destinations non SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway)

n Destinations non SD-WAN via un dispositif Edge/service de sécurité cloud (Non SD-WAN
Destinations via Edge/Cloud Security Service)

Vous devez être en mesure de configurer plusieurs VMware SD-WAN Sitess pour la liaison
pour prendre en charge la redondance qui est intrinsèquement intégrée dans la connexion Non
VMware SD-WAN Site, mais aussi assurer un comportement cohérent de l'indisponibilité du
service qui entraîne l'annulation du trafic.

VMware, Inc. 327

Guide d'administration de VMware SD-WAN

Si le déroutement conditionnel (Conditional Backhaul) est activé au niveau du profil, il s'applique

par défaut à toutes les stratégies d'entreprise configurées pour ce profil. Vous pouvez désactiver
le déroutement conditionnel pour les stratégies choisies afin que le trafic sélectionné (direct et
à chemins multiples) n'hérite pas ce comportement. Pour ce faire, cochez la case Désactiver
le déroutement conditionnel (Disable Conditional Backhaul) dans la zone Action de l'écran
Configurer la règle (Configure Rule) de la stratégie d'entreprise sélectionnée. Pour plus
d'informations, reportez-vous à la section Déroutement conditionnel.

Configurer les modes de direction de liaison

Dans la stratégie d'entreprise, il existe quatre modes de direction de liaison : Auto, Groupe de
transport (Transport Group), Liaison WAN (WAN Link) et Interface.

VMware, Inc. 328

Guide d'administration de VMware SD-WAN

Sélection de liaison : Auto

Le mode de direction de liaison automatique est attribué par défaut à toutes les applications.
Cela signifie que DMPO sélectionne automatiquement les meilleures liaisons en fonction du type
d'application et active automatiquement la correction à la demande lorsque cela est nécessaire. Il
existe quatre combinaisons possibles de direction de liaison et de correction à la demande pour
les applications Internet. Comme mentionné précédemment, le trafic au sein de l'entreprise (VPN)
passe toujours par les tunnels DMPO. Il tire donc toujours parti des avantages de la correction à la
demande.

Scénario Comportement DMPO attendu

Au moins une liaison répond au Choisit la meilleure liaison disponible.

SLA de l'application.

Liaison unique avec perte de Active la correction des erreurs de transfert (FEC, Forward Error Correction) pour
paquets dépassant le SLA de les applications en temps réel envoyées sur cette liaison.
l'application.

Deux liaisons avec perte sur une Active FEC sur deux liaisons.
seule liaison.

Plusieurs liaisons avec perte sur Active FEC sur deux liaisons optimales.
plusieurs liaisons.

Deux liaisons, mais une liaison Marque la liaison comme étant inutilisable et dirige le flux vers la liaison suivante la
semble instable, c'est-à-dire que plus disponible.
trois pulsations consécutives sont
manquantes.

Gigue et pertes sur les deux Active FEC sur les deux liaisons et active le tampon de gigue sur le côté
liaisons. du récepteur. La mémoire tampon de gigue est activée lorsque la gigue est
supérieure à 7 ms pour la voix et supérieure à 5 ms pour la vidéo.
Le point de terminaison d'envoi DMPO indique au point de terminaison DMPO
de réception d'activer la mémoire tampon de gigue. Le point de terminaison
DMPO de réception met en mémoire tampon jusqu'à 10 paquets ou 200 ms de
trafic, en fonction de l'événement qui survient en premier. Le point de terminaison
DMPO de réception utilise l'horodatage d'origine intégré dans l'en-tête DMPO
pour calculer le taux de flux à utiliser dans la mémoire tampon de gigue. Si le flux
n'est pas envoyé à un rythme constant, la mise en mémoire tampon de gigue est
désactivée.

Direction de liaison par le groupe de transport

Un groupe de transport représente des liaisons WAN regroupées en fonction de caractéristiques
et de fonctionnalités similaires. La définition d'un groupe de transport permet une abstraction
d'entreprise afin qu'une stratégie similaire puisse s'appliquer à différents types de matériel.

VMware, Inc. 329

Guide d'administration de VMware SD-WAN

Des emplacements différents peuvent avoir des transports WAN différents (par exemple, le nom
de l'opérateur WAN, le nom de l'interface WAN). DMPO utilise le concept de groupe de transport
pour extraire les opérateurs et les interfaces WAN sous-jacentes de la configuration de la stratégie
d'entreprise. La configuration de la stratégie d'entreprise peut spécifier le groupe de transport
(Liaison filaire publique (Public Wired), Liaison sans fil publique (Public Wireless) ou Liaison
filaire privée (Private Wired)) dans la stratégie de direction de sorte que la même configuration
de stratégie d'entreprise puisse être appliquée à des types de périphériques ou emplacements
différents, qui peuvent avoir des opérateurs WAN et des interfaces WAN complètement distincts.
Lorsque DMPO effectue la découverte de la liaison WAN, il attribue également le groupe de
transport à la liaison WAN. Il s'agit de l'option la plus intéressante pour spécifier les liaisons dans
la stratégie d'entreprise, car elle élimine la nécessité pour les administrateurs informatiques de
connaître le type de connectivité physique ou l'opérateur WAN.

Si vous optez pour l'option Préféré (Preferred), la case à cocher Correction des erreurs avant la
direction (Error Correct Before Steering) s'affiche.

Si vous cochez la case Correction des erreurs avant la direction (Error Correct Before Steering),
la zone de texte de variable % de perte (Loss%) s'affiche. Lorsque vous définissez un pourcentage
de perte (4 % par exemple), le dispositif Edge continue d'utiliser la liaison ou le groupe de
transport sélectionné et d'appliquer la correction d'erreur jusqu'à ce que la perte atteigne 4 %,
moment où il dirigera le trafic vers un autre chemin. Lorsque la case Correction des erreurs avant
la direction (Error Correct Before Steering) est décochée, le dispositif Edge entame la direction
du trafic si la perte pour la liaison dépasse le SLA de l'application (le SLA de l'application en temps
réel est de 0,3 % par défaut). Si vous décochez cette case, l'application procède à la direction
avant l'exécution de la correction d'erreur.

Note Cette option est autorisée à la fois au niveau du remplacement du dispositif Edge et au
niveau du profil.

Direction de liaison par l'interface

VMware, Inc. 330

Guide d'administration de VMware SD-WAN

Pour cette option, la direction de liaison est liée à une interface physique. La direction de liaison
par l'interface est utilisée principalement à des fins de routage. Toutefois, même si elle ne doit
pas être logiquement utilisée pour acheminer le trafic directement à partir du VMware SD-WAN
Site, cette fonctionnalité sélectionne une liaison WAN unique connectée à l'interface si la règle
spécifiée a un service réseau requérant les avantages des chemins multiples Internet.

Si vous optez pour l'option Préféré (Preferred), la case à cocher Correction des erreurs avant la
direction (Error Correct Before Steering) s'affiche. Si la case est cochée, une variable de perte
en pourcentage supplémentaire est disponible. Lorsque l'option est désactivée, le dispositif Edge
entame la direction du trafic si la perte pour la liaison dépasse le SLA de l'application (le SLA de
l'application en temps réel est de 0,3 % par défaut). Lorsque la « Correction des erreurs avant la
direction (Error Correct Before Steering) » est appliquée et que le pourcentage de perte est défini,
supposons qu'il est de 4 % dans cet exemple, le dispositif Edge continue d'utiliser la liaison ou
le groupe de transport sélectionné et d'appliquer la correction d'erreur jusqu'à ce que la perte
atteigne 4 %, moment où il dirigera le trafic vers un autre chemin. Si vous décochez cette case,
l'application procède à la direction avant l'exécution de la correction d'erreur.

Note Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.
Cela permet de s'assurer que les options de liaison fournies correspondent toujours au modèle de
matériel du dispositif SD-WAN Edge.

Liaison WAN
Pour cette option, la configuration de l'interface est distincte de la configuration de la liaison
WAN. Vous pouvez sélectionner une liaison WAN qui était configurée manuellement ou
découverte automatiquement.

Menu déroulant Liaison WAN (WAN Link)

Vous pouvez définir des règles de stratégie qui s'appuient sur des liaisons privées spécifiques. Si
vous avez créé des noms de réseaux privés et que vous les avez attribués à des superpositions
WAN privées individuelles, ils s'affichent dans le menu déroulant Liaison WAN (WAN Link).

Pour plus d'informations sur la façon de définir plusieurs noms de réseaux privés et de les
attribuer à des superpositions WAN privées individuelles, reportez-vous aux sections Noms de
réseaux privés et Sélection d'un nom de liaison privée.

VMware, Inc. 331

Guide d'administration de VMware SD-WAN

Si vous optez pour l'option Préféré (Preferred), la case à cocher Correction des erreurs avant
la direction (Error Correct Before Steering) s'affiche. Si vous décochez cette case, l'application
procède à la direction avant l'exécution de la correction d'erreur.

Note Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.

Pour les options Interface et Liaison WAN (WAN Link), vous devez sélectionner l'une des options
suivantes :

Option Description

Obligatoire Indique que le trafic est envoyé sur la liaison WAN ou la liaison du groupe de services spécifiée. Si la
(Mandatory) liaison spécifiée (ou toutes les liaisons dans le groupe de services choisi) est inactive ou si une route de
la passerelle à chemins multiples n'est pas disponible, le paquet correspondant est annulé.

Préféré Indique que le trafic doit de préférence être envoyé sur la liaison WAN ou la liaison du groupe de
(Preferred) services spécifiée. Si la liaison spécifiée (ou toutes les liaisons dans le groupe de services choisi) est
inactive, que la route de la passerelle à chemins multiples choisie est instable ou que l'objectif de
niveau de service de la liaison (SLO) n'est pas respecté, le paquet correspondant est dirigé vers la
meilleure liaison disponible. Si la liaison préférée devient à nouveau disponible, le trafic est redirigé
vers la liaison préférée.

Disponible Indique que le trafic doit de préférence être envoyé sur la liaison WAN ou la liaison dans le groupe
(Available) de services spécifiée à condition d'être disponible (quel que soit l'objectif de niveau de service). Si
la liaison spécifiée (ou toutes les liaisons dans le groupe de services choisi) ne sont pas disponibles
ou que la route de la passerelle à chemins multiples sélectionnée n'est pas disponible, le paquet
correspondant est dirigé vers la meilleure liaison disponible suivante. Si la liaison préférée devient à
nouveau disponible, le trafic est redirigé vers la liaison disponible.

Direction de liaison : vue d'ensemble du marquage DSCP pour le trafic de superposition et de la

sous-couche

VMware prend en charge le nouveau marquage DSCP des paquets transférés par le dispositif
Edge à la sous-couche. Le dispositif SD-WAN Edge peut marquer à nouveau le trafic de la
sous-couche transmis sur une liaison WAN à condition que l'option Comptabilité de la sous-
couche (Underlay Accounting) soit activée sur l'interface. Le nouveau marquage DSCP est
activé dans la configuration de la stratégie d'entreprise dans la zone Direction de liaison (Link
Steering). Reportez-vous à la section Créer des règles de Business Policy. Dans l'exemple d'image
ci-dessous (en partant du principe que le dispositif Edge est connecté au MPLS auquel le
trafic de la sous-couche et de superposition est transféré), si le trafic correspond au préfixe
réseau [Link]/12, le dispositif Edge marquera à nouveau les paquets de la sous-couche
avec une valeur DSCP de 16 ou CS2 et ignorera le champ Balise DSCP de paquet externe
(Outer Packet DSCP Tag). En ce qui concerne le trafic de superposition envoyé vers le MPLS
correspondant à la même stratégie d'entreprise, la valeur DSCP de l'en-tête externe sera définie
sur Balise DSCP de paquet externe (Outer Packet DSCP Tag).

VMware, Inc. 332

Guide d'administration de VMware SD-WAN

Direction de liaison : cas d'utilisation du marquage DSCP pour le trafic de la

sous-couche
Les dispositifs Edge connectés à MPLS marquent normalement DSCP sur le paquet avant l'envoi
au PE pour que le SP traite le paquet en fonction du SLA. L'option Comptabilité de la sous-
couche (Underlay Accounting) doit être activée sur l'interface WAN pour que le marquage DSCP
sur le trafic de sous-couche via la stratégie d'entreprise prenne effet.

Direction de liaison : configuration DSCP de la sous-couche

1 Vérifiez que l'option Comptabilité de la sous-couche (Underlay Accounting) est activée
pour la superposition WAN par défaut dans SD-WAN Orchestrator (Configurer (Configure)
> Périphériques Edge (Edge Devices) > zone Paramètres du périphérique (Device Settings)).

VMware, Inc. 333

Guide d'administration de VMware SD-WAN

2 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges) >
Stratégie d'entreprise (Business Policy).

3 Dans l'écran Stratégie d'entreprise (Business Policy), cliquez sur une règle existante ou sur le
bouton Nouvelle règle (New Rule) pour créer une règle.

4 Dans la section Action, accédez à la zone Direction de liaison (Link Steering).

5 Cliquez sur l'un des éléments suivants, le cas échéant : Auto, Groupe de transport (Transport
Group), Interface ou Liaison WAN (WAN Link).

6 Configurez les critères de Correspondance (Match) pour le trafic de la sous-couche et la

Balise DSCP de paquet interne (Inner Packet DSCP Tag).

Direction de liaison : configuration DSCP de la superposition

1 Vérifiez que l'option Comptabilité de la sous-couche (Underlay Accounting) est activée
pour la superposition WAN par défaut dans SD-WAN Orchestrator (Configurer (Configure)
> Périphériques Edge (Edge Devices) > zone Paramètres du périphérique (Device Settings)).

2 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges) >
Stratégie d'entreprise (Business Policy).

3 Dans l'écran Stratégie d'entreprise (Business Policy), cliquez sur une règle existante ou sur le
bouton Nouvelle règle (New Rule) pour créer une règle.

4 Dans la section Action, accédez à la zone Direction de liaison (Link Steering).

5 Cliquez sur l'un des éléments suivants, le cas échéant : Auto, Groupe de transport (Transport
Group), Interface ou Liaison WAN (WAN Link).

6 Configurez les critères de Correspondance (Match) pour le trafic de superposition ainsi que
la Balise DSCP de paquet interne (Inner Packet DSCP Tag) et la Balise DSCP de paquet
externe (Outer Packet DSCP Tag).

Configurer une NAT basée sur la stratégie

Vous pouvez configurer une NAT basée sur la stratégie pour la source et la destination. La NAT
peut être appliquée au trafic du Non VMware SD-WAN Site ou au trafic de transfert de passerelle

VMware, Inc. 334

Guide d'administration de VMware SD-WAN

de partenaires à l'aide de chemins multiples. Lors de la configuration NAT, vous devez définir
le trafic vers NAT et l'action que vous souhaitez effectuer. Il existe deux types de configurations
NAT : plusieurs-à-un et un-à-un.

Accès à NAT
Vous pouvez accéder à la fonctionnalité NAT dans Configurer (Configure) > Profils (Profiles) >
onglet Stratégie d'entreprise (Business Policy), puis cliquer sur le bouton Nouvelle règle (New
Rule). La fonctionnalité NAT se trouve dans la zone Action.

Configuration NAT plusieurs-à-un

Dans cette configuration, vous pouvez utiliser NAT (Network Address Translation) pour convertir
une adresse IP source ou de destination du trafic provenant des hôtes derrière le dispositif Edge
en une autre adresse IP source ou de destination unique. Par exemple, l'utilisateur peut utiliser
SNAT (NAT source) pour convertir tous les flux destinés à un hôte ou à un serveur du centre de
données, qui se trouve derrière la passerelle partenaire avec une adresse IP unique, même s'ils
proviennent de différents hôtes derrière un dispositif Edge.

La figure suivante illustre un exemple de la configuration plusieurs-à-un. Dans cet exemple, tout
le trafic provenant des hôtes qui sont connectés au VLAN 100 - Corporate 2 (derrière le dispositif
Edge destiné à un hôte Internet ou un hôte derrière le contrôleur de domaine) obtiendra une NAT
source avec l'adresse IP [Link].

Configuration NAT un-à-un

Dans cette configuration, le dispositif Edge de branche utilisera NAT pour convertir une adresse IP
locale unique d'un hôte ou d'un serveur en une autre adresse IP globale. Si l'hôte du Non VMware
SD-WAN Site ou du centre de données envoie le trafic à l'adresse IP globale (configurée en tant
qu'adresse IP NAT source dans la configuration NAT un-à-un), l'instance de SD-WAN Gateway
transfèrera ce trafic à l'adresse IP locale de l'hôte ou du serveur de la branche.

Mappage CoS QoS de superposition

Une classe de trafic est définie avec une combinaison de priorité (Élevée, Normale ou Faible)
et de classe de service (En temps réel, Transactionnel ou En bloc) qui se traduit par une
matrice 3x3 comportant neuf classes de trafic. Vous pouvez mapper l'application/la catégorie et
la pondération de planificateur sur ces classes de trafic. Toutes les applications d'une classe de

VMware, Inc. 335

Guide d'administration de VMware SD-WAN

trafic sont appliquées avec le traitement QoS agrégé, notamment la planification et la régulation
des stratégies.

Toutes les applications d'une classe de trafic donnée disposent d'une bande passante agrégée
minimale garantie lors de la congestion en fonction de la pondération du planificateur (ou du
pourcentage de bande passante). En l'absence de congestion, les applications sont autorisées
dans la bande passante agrégée maximale. Un gestionnaire de stratégies peut être appliqué
pour limiter la bande passante de toutes les applications d'une classe de trafic donnée. Pour
obtenir la valeur par défaut du mappage de l'application/de la catégorie et de la classe de trafic,
reportez-vous à l'image ci-dessous.

La Business Policy contient la fonctionnalité de paramètres par défaut intelligents prêts à l'emploi
qui mappe plus de 2 500 applications aux classes de trafic. Vous pouvez utiliser la QoS compatible
avec l'application sans devoir définir la stratégie. Une pondération par défaut est attribuée à
chaque classe de trafic dans le planificateur. Vous pouvez modifier ces paramètres dans la
Business Policy. Vous trouverez ci-après les valeurs par défaut de la matrice 3x3 disposant de
neuf classes de trafic. Pour obtenir la valeur par défaut du mappage de la pondération et de la
classe de trafic, reportez-vous à l'image ci-dessous.

Exemple :
Dans cet exemple, un client dispose d'une liaison Internet de 90 Mbits/s et d'une commutation
multiprotocole par étiquette (MPLS, Multi-Protocol Label Switching) de 10 Mbits/s sur le dispositif
Edge et la bande passante agrégée est de 100 Mbits/s. En fonction du mappage de la pondération
et de la classe de trafic par défaut ci-dessus, toutes les applications qui sont mappées à la
collaboration d'entreprise dispose d'une bande passante de 35 Mbits/s et toutes les applications
mappées à l'e-mail dispose d'une bande passante de 15 Mbits/s garantie. Notez que des business
policies peuvent être définies pour une catégorie complète, par exemple les collaborations
d'entreprise, les applications (par exemple, Skype Entreprise) et des sous-applications plus
granulaires (par exemple, Transfert de fichier Skype, Audio Skype et Vidéo Skype).

VMware, Inc. 336

Guide d'administration de VMware SD-WAN

Configurer le mappage CoS QoS de superposition

Note La fonctionnalité de mappage de la classe de trafic et de la pondération SD-WAN

n'est modifiable que si elle est activée par votre opérateur. Pour accéder à cette fonctionnalité,
reportez-vous à votre opérateur pour plus d'informations.

Pour activer le mappage CoS QoS de superposition :

1 Accédez à Configurer (Configure) > Profils (Profiles).

2 Cliquez sur le lien du profil de configuration approprié.

3 Cliquez sur l'onglet Business Policy.

4 Dans la zone Mappage de la classe de trafic et de la pondération SD-WAN (SD-WAN Traffic

Class and Weight Mapping), entrez les valeurs numériques pour En temps réel (Real Time),
Transactionnel (Transactional) et/ou En bloc (Bulk) selon les besoins.

5 Cochez la case Régulation (Policing) pour une classe de service, si nécessaire.

Modélisateur de tunnel pour fournisseurs de services avec passerelle

de partenaires
Cette section décrit le modélisateur de tunnel pour les fournisseurs de services avec la passerelle
de partenaires.

Les fournisseurs de services peuvent proposer des services SD-WAN à une capacité inférieure par
rapport à la capacité agrégée des liaisons WAN au niveau de la branche locale. Par exemple, les
clients peuvent avoir acheté une liaison haut débit chez un autre fournisseur et le fournisseur de
services offrant des services SD-WAN. L'hébergement de la passerelle de partenaires VMware n'a
aucun contrôle sur la liaison haut débit de sous-couche. Afin de respecter la capacité du service
SD-WAN et d'éviter la congestion vers la passerelle de partenaires dans de telles situations,
un fournisseur de services peut activer le modélisateur de tunnel DMPO entre le tunnel et la
passerelle de partenaires.

VMware, Inc. 337

Guide d'administration de VMware SD-WAN

Exemple de modélisateur de tunnel

INTERNET
DIRECT

Internet

xMBPS
PARTENAIRE
Dispositif MPLS
SD-WAN Passerelle
VCMP
Edge partenaire

Prenez un dispositif SD-WAN Edge avec deux liaisons WAN, une connexion Internet de
20 Mbits/s et une MPLS de 20 Mbits/s utilisant un service SD-WAN de 35 Mbits/s proposé par
un fournisseur de services (SP). Dans ce cas, la bande passante du service SD-WAN (35 Mbits/s)
est inférieure à la bande passante agrégée des liaisons WAN (40 Mbits/s). Pour vérifier que le
trafic vers la passerelle partenaire ne dépasse pas 35 Mbits/s (affiché sous la forme « X » sur
l'image ci-dessus), le fournisseur de services peut placer un modélisateur de tunnel sur le tunnel
DMPO.

Configurer le trafic de tunnel avec limite de débit

Note La fonctionnalité de trafic de tunnel avec limite de débit n'est modifiable que si votre
opérateur l'a activée. Pour accéder à cette fonctionnalité, reportez-vous à votre opérateur pour
plus d'informations.

Pour activer le trafic de tunnel avec limite de débit :

1 Dans le panneau de configuration, accédez à Configurer (Configure) > Profils (Profiles).

2 Cliquez sur le lien du profil de configuration approprié.

3 Cliquez sur l'onglet Stratégie d'entreprise (Business Policy).

4 Dans la zone Limite de débit de superposition SD-WAN (SD-WAN Overlay Rate Limit),
cochez la case Trafic de tunnel avec limite de débit (Rate-Limit Tunnel Traffic). (Voir l'image
ci-dessous).

5 Sélectionnez les boutons radiaux Pourcentage (Percent) ou Débit (Rate) (Mbps).

6 Dans la zone de texte Limite (Limit), entrez une limite numérique au trafic de tunnel.

7 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 338

Guide d'administration de VMware SD-WAN

VMware, Inc. 339

Configurer le pare-feu
13
Un pare-feu est un périphérique de sécurité réseau qui surveille le trafic réseau entrant et sortant
et décide s'il faut autoriser ou bloquer un trafic spécifique en fonction d'un ensemble défini de
règles de sécurité. SD-WAN Orchestrator prend en charge la configuration des pare-feu sans état
et avec état pour les profils et les dispositifs Edge.

Un pare-feu avec état surveille et effectue le suivi de l'état opérationnel et des caractéristiques de
chaque connexion réseau qui passe par lui. Il utilise ensuite ces informations pour déterminer les
paquets réseau autorisés à passer. Les pare-feu avec état créent une table des états et l'utilisent
pour autoriser uniquement le trafic provenant de connexions qui y sont actuellement répertoriées.
Une fois qu'une connexion a été supprimée de la table des états, aucun trafic provenant du
périphérique externe de cette connexion n'est autorisé.

La fonctionnalité de pare-feu avec état offre les avantages suivants :

n Prévention d'attaques telles que le déni de service (DoS) et l'usurpation d'identité.

n Journalisation plus robuste

n Amélioration de la sécurité du réseau

Les principales différences entre un pare-feu avec état et un pare-feu sans état sont les suivantes :

n La correspondance est directionnelle. Par exemple, vous pouvez autoriser les hôtes présents
sur le VLAN 1 à lancer une session TCP avec les hôtes présents sur le VLAN 2, mais refuser
l'inverse. Les pare-feu sans état traduisent en listes d'accès (ACL, Access Lists) simples qui
n'autorisent pas ce type de contrôle granulaire.

n Un pare-feu avec état est sensible à la session. Dans l'exemple d'un établissement de liaison
TCP à 3 voies, un pare-feu avec état n'autorise pas un SYN-ACK ou un ACK à lancer une
nouvelle session. Il doit commencer par un SYN, et tous les autres paquets de la session TCP
doivent également suivre le protocole correctement, sans quoi le pare-feu les abandonnera.
Un pare-feu sans état n'a aucun concept de session et filtre les paquets exclusivement sur une
base paquet par paquet, individuellement.

n Un pare-feu avec état applique le routage symétrique. Par exemple, il est très courant que le
routage asymétrique se produise dans un réseau VMware, où le trafic entre dans le réseau via
un hub, mais en ressort par un autre. En tirant parti du routage tiers, le paquet est toujours
en mesure d'atteindre sa destination. Dans le cas d'un pare-feu avec état, ce trafic serait
abandonné.

VMware, Inc. 340

Guide d'administration de VMware SD-WAN

n En cas de modification de la configuration, les flux existants sont revérifiés par rapport
aux règles du pare-feu avec état. Ainsi, si un flux existant a déjà été accepté et que vous
configurez le pare-feu avec état pour qu'il abandonne désormais les paquets de ce type,
le pare-feu revérifie le flux par rapport au nouvel ensemble de règles, puis l'abandonne.
Pour les scénarios dans lesquels un paramètre « autoriser » (allow) est modifié et défini sur
« abandonner » (drop) ou « rejeter » (reject), les flux préexistants expirent et un journal de
pare-feu est généré pour la fermeture de session.

Les exigences pour utiliser un pare-feu avec état sont les suivantes :

n VMware SD-WAN Edge doit utiliser la version 3.4.0 ou une version ultérieure.

n Par défaut, la fonctionnalité de Pare-feu avec état (Stateful Firewall) est activée pour les
nouveaux clients sur SD-WAN Orchestrator utilisant la version 3.4.0 ou une version ultérieure.
Les clients créés sur un Orchestrator 3.x auront besoin de l'aide d'un partenaire ou du support
VMware SD-WAN pour activer cette fonctionnalité.

n SD-WAN Orchestrator permet à l'utilisateur d'entreprise d'activer ou de désactiver la

fonctionnalité de pare-feu avec état au niveau du profil et du dispositif Edge sur leur page
Pare-feu (Firewall) respective. Pour désactiver la fonctionnalité de pare-feu avec état pour
une entreprise, contactez un opérateur disposant d'une autorisation de super utilisateur.

Note Le routage asymétrique n'est pas pris en charge pour les dispositifs Edge sur lesquels la
fonctionnalité de pare-feu avec état est activée.

Pour configurer les paramètres de pare-feu au niveau du profil et du dispositif Edge, reportez-
vous aux sections :

n Configurer le pare-feu pour les profils

n Configurer le pare-feu pour les dispositifs Edge

Journaux de pare-feu avec état

Lorsque le pare-feu avec état est activé, des informations supplémentaires peuvent être
consignées dans les journaux de pare-feu. Les journaux de pare-feu contiennent les champs
suivants : Heure (Time), Segment, Dispositif Edge (Edge), Action, Interface, Protocole (Protocol),
Adresse IP source (Source IP), Port source (Source Port), Adresse IP de destination
(Destination IP), Port de destination (Destination Port), Règle (Rule), Octets reçus/envoyés (Bytes
Received/Sent) et Durée (Duration).

Note Tous les champs ne seront pas renseignés pour tous les journaux de pare-feu. Par exemple,
les champs Raison (Reason), Octets reçus/envoyés (Bytes Received/Sent) et Durée (Duration) sont
inclus dans les journaux lorsque des sessions sont fermées.

Les journaux sont générés :

n Lors de la création d'un flux (à condition que ce flux soit accepté)

n Lorsque le flux est fermé

VMware, Inc. 341

Guide d'administration de VMware SD-WAN

n Lorsqu'un nouveau flux est refusé

n Lorsqu'un flux existant est mis à jour (en raison d'une modification de la configuration du
pare-feu)

Vous pouvez afficher les journaux de pare-feu en envoyant les journaux provenant de SD-WAN
Edges de l'entreprise à un ou plusieurs collecteurs Syslog (serveurs) distants centralisés. Par
défaut, la fonctionnalité Transfert Syslog (Syslog Forwarding) est désactivée pour une entreprise.
Pour transférer les journaux à des collecteurs Syslog distants, vous devez :

1 Activer la fonctionnalité Transfert Syslog (Syslog Forwarding) sous Configurer (Configure) >
Dispositif Edge/Profil (Edge/Profile) > onglet Pare-feu (Firewall).

2 Configurez un collecteur Syslog sous Configurer (Configure) > Dispositifs Edge (Edges) >
Périphérique (Device) > Paramètres Syslog (Syslog Settings). Pour connaître les étapes
de configuration détaillées des collecteurs Syslog par segment dans SD-WAN Orchestrator,
reportez-vous à la section Configurer les paramètres Syslog pour les profils.

Ce chapitre contient les rubriques suivantes :

n Configurer le pare-feu pour les profils

n Configurer le pare-feu pour les dispositifs Edge

n Configurer des règles de pare-feu

n Configurer les paramètres du pare-feu avec état

n Configurer les paramètres de protection du réseau et de propagation

n Configurer l'accès au dispositif Edge

n Dépannage du pare-feu

Configurer le pare-feu pour les profils

En tant qu'administrateur d'entreprise, vous pouvez configurer les règles du pare-feu, les
paramètres de pare-feu avec état, les paramètres de protection du réseau de propagation et
les informations d'accès au dispositif Edge et activer ou désactiver l'état et les journaux du pare-
feu dans l'onglet Pare-feu (Firewall) de la boîte de dialogue Configuration de profil (Profile
Configuration).

Les profils de pare-feu sont sensibles aux segments. Tous les segments disponibles pour
la configuration sont répertoriés dans le menu déroulant Configurer le segment (Configure
Segment). Lorsque vous sélectionnez un segment à configurer dans le menu déroulant Configurer
le segment (Configure Segment), les paramètres et options associés à ce segment s'affichent
dans la zone Configurer les segments (Configure Segments). Le Segment global [Normal]
(Global Segment [Regular]) est le segment par défaut.

Pour plus d'informations sur la segmentation, reportez-vous à la section Chapitre 8 Configurer les
segments.

VMware, Inc. 342

Guide d'administration de VMware SD-WAN

VMware, Inc. 343

Guide d'administration de VMware SD-WAN

La configuration du pare-feu au niveau du profil comporte les éléments suivants :

n Activation du transfert Syslog. Par défaut, la fonctionnalité Transfert Syslog (Syslog

Forwarding) est désactivée pour une entreprise. Pour collecter des événements liés à SD-
WAN Orchestrator et des journaux du pare-feu provenant du dispositif SD-WAN Edges
d'entreprise vers un ou plusieurs collecteurs Syslog distants centralisés (serveurs), un
utilisateur d'entreprise doit activer cette fonctionnalité au niveau de l'entreprise. Pour
connaître les étapes de configuration détaillées des collecteurs Syslog par segment dans
SD-WAN Orchestrator, reportez-vous à la section Configurer les paramètres Syslog pour les
profils.

n Activation du pare-feu avec état au niveau du profil et du dispositif Edge. Par défaut, la
fonctionnalité Pare-feu avec état (Stateful Firewall) est activée pour une entreprise. Pour
désactiver la fonctionnalité de pare-feu avec état pour une entreprise, contactez un opérateur
disposant d'une autorisation de super utilisateur.

n Configurer des règles de pare-feu

n Configurer les paramètres du pare-feu avec état

n Configurer les paramètres de protection du réseau et de propagation

n Configurer l'accès au dispositif Edge

Note Vous pouvez désactiver la fonction de pare-feu pour les profils en définissant l'option État
du pare-feu (Firewall Status) sur OFF.

Liens associés

n Configurer le pare-feu pour les dispositifs Edge

n Dépannage du pare-feu

Configurer le pare-feu pour les dispositifs Edge

Tous les dispositifs Edge héritent des règles de pare-feu et des configurations d'accès aux
dispositifs Edge du profil associé. Sous l'onglet Pare-feu (Firewall) de la boîte de dialogue
Configuration du dispositif Edge (Edge Configuration), vous pouvez afficher toutes les règles
de pare-feu héritées dans la zone Règle du profil (Rule From Profile). Éventuellement, au niveau
du dispositif Edge, vous pouvez aussi remplacer les règles de pare-feu de profil et la configuration
d'accès au dispositif Edge.

VMware, Inc. 344

Guide d'administration de VMware SD-WAN

VMware, Inc. 345

Guide d'administration de VMware SD-WAN

En tant qu'administrateur d'entreprise, vous pouvez configurer les règles de transfert de port
et de pare-feu NAT 1:1 individuellement pour chaque dispositif Edge en suivant les instructions
indiquées sur cette page.

Par défaut, tout le trafic entrant sera bloqué, sauf si les règles de transfert de port et de pare-feu
NAT 1:1 sont configurées. L'adresse IP externe sera toujours celle de l'adresse IP WAN ou de
l'adresse IP du sous-réseau WAN.

Règles de transfert de port et de pare-feu NAT 1:1

Note Vous pouvez configurer chaque règle de transfert de port et de pare-feu NAT 1:1
uniquement au niveau du dispositif Edge.

Les règles de transfert de port et de pare-feu NAT 1:1 permettent aux clients Internet d'accéder
aux serveurs connectés à une interface LAN du dispositif Edge. L'accès peut être mis à disposition
via les règles de transfert de port ou les règles NAT (Network Address Translation) 1:1.

Règles de transfert de port

Les règles de transfert de port vous permettent de configurer des règles pour rediriger le trafic
d'un port WAN spécifique vers un périphérique (adresse IP LAN/port LAN) dans le sous-réseau
local. Le cas échéant, vous pouvez aussi limiter le trafic entrant avec une adresse IP ou un sous-
réseau. Les règles de transfert de port peuvent être configurées avec l'adresse IP externe qui se
trouve sur le même sous-réseau que l'adresse IP WAN. Il peut également traduire des adresses IP
extérieures dans des sous-réseaux différents de l'adresse de l'interface WAN si le fournisseur de
services achemine le trafic du sous-réseau vers le dispositif SD-WAN Edge.

Pour configurer une règle de transfert de port, indiquez les détails suivants.

1 Dans la zone de texte Nom (Name), entrez un nom (facultatif) pour la règle.

2 Dans le menu déroulant Protocole (Protocol), sélectionnez TCP ou UDP comme protocole
pour le transfert de port.

3 Dans le menu déroulant Interface, sélectionnez l'interface pour le trafic entrant.

4 Dans la zone de texte Adresse IP externe (Outside IP), entrez l'adresse IP à l'aide de laquelle
l'hôte (application) est accessible depuis le réseau externe.

5 Dans la zone de texte Ports WAN, entrez un port WAN ou une plage de ports séparés par un
tiret (-), par exemple 20-25.

6 Dans les zones de texte Adresse IP du LAN (LAN IP) et Port du LAN (LAN Port), entrez
l'adresse IP et le numéro de port du réseau local où la demande sera transférée.

7 Dans le menu déroulant Segment, sélectionnez un segment auquel l'adresse IP du réseau

local appartiendra.

8 Dans la zone de texte Adresse IP distante/sous-réseau distant (Remote IP/subnet), spécifiez

une adresse IP d'un trafic entrant que vous souhaitez transférer vers un serveur interne. Si
vous ne spécifiez aucune adresse IP, tout le trafic est autorisé.

VMware, Inc. 346

Guide d'administration de VMware SD-WAN

La figure suivante illustre la configuration de transfert de port.

VMware, Inc. 347

Guide d'administration de VMware SD-WAN

PC-A PC-B PC-C

Destination : Adresse IP Destination : Adresse IP Destination : Adresse IP

Internet1, Port 80 Internet2, Port 80 Internet2, Port 80

ISP 1 ISP 2

Internet1 Internet2

LAN Dispositif SD-WAN Edge

Commutateur L2

PC-A PC-B PC-C

Port 80 Port 80 Port 80

Serveur 1 Serveur 2 Serveur 3

[Link] [Link] [Link]

VMware, Inc. 348

Guide d'administration de VMware SD-WAN

Paramètres NAT 1:1

Ces paramètres sont utilisés pour mapper une adresse IP externe prise en charge par le dispositif
SD-WAN Edge à un serveur connecté à une interface LAN du dispositif Edge (par exemple, un
serveur Web ou un serveur de messagerie). Il peut également traduire des adresses IP extérieures
dans des sous-réseaux différents de l'adresse de l'interface WAN si le fournisseur de services
achemine le trafic du sous-réseau vers le dispositif SD-WAN Edge. Chaque mappage se situe
entre une adresse IP en dehors du pare-feu d'une interface WAN spécifique et une adresse IP de
réseau local à l'intérieur du pare-feu. Dans chaque mappage, vous pouvez spécifier les ports qui
seront transférés vers l'adresse IP interne. L'icône + à droite peut être utilisée pour ajouter des
paramètres NAT 1:1 supplémentaires.

Pour configurer une règle NAT 1:1, indiquez les détails suivants.

1 Dans la zone de texte Nom (Name), entrez un nom pour la règle.

2 Dans la zone de texte Adresse IP externe (Outside IP), entrez l'adresse IP à l'aide de laquelle
l'hôte est accessible à partir d'un réseau externe.

3 Dans le menu déroulant Interface, sélectionnez l'interface WAN à laquelle l'adresse IP externe
sera liée.

4 Dans la zone de texte Adresse IP interne (LAN) [Inside (LAN) IP], entrez l'adresse IP réelle
(LAN) de l'hôte.

5 Dans le menu déroulant Segment, sélectionnez un segment auquel l'adresse IP du réseau

local appartiendra.

6 Cochez la case Trafic sortant (Outbound Traffic) si vous souhaitez autoriser le trafic sortant,
qui provient du dispositif Edge d'Internet vers le client LAN, à transmettre sur la connexion du
pare-feu.

7 Entrez les détails de la source de trafic autorisée (Protocole, Ports, Adresse IP distante/sous-
réseau distant) du mappage dans les champs respectifs.

La figure suivante illustre la configuration NAT 1:1.

VMware, Inc. 349

Guide d'administration de VMware SD-WAN

PC-A PC-B PC-C

Destination : Internet1 Destination : Internet2 Destination : Internet2

[Link], Port 80 [Link], Port 80 [Link], Port 25

ISP 1 ISP 2

Internet1 Internet2

LAN Dispositif SD-WAN Edge

Commutateur L2

PC-A PC-B PC-C

Port 80 Port 80 Port 25

Serveur 1 Serveur 2 Serveur 3

[Link] [Link] [Link]

VMware, Inc. 350

Guide d'administration de VMware SD-WAN

Configurer les remplacements Edge

Éventuellement, au niveau du dispositif Edge, vous pouvez remplacer des règles de pare-feu de
profil héritées. Pour remplacer des règles de pare-feu au niveau du dispositif Edge, cliquez sur
Nouvelle règle (New Rule) sous Règles de pare-feu (Firewall Rules) et suivez les étapes de la
section Configurer des règles de pare-feu. Les règles de remplacement s'affichent dans la zone
Remplacements Edge (Edge Overrides). Les règles de remplacement Edge sont prioritaires sur
les règles de profil héritées du dispositif Edge. Toute valeur de correspondance de remplacement
de pare-feu identique à une règle de pare-feu de profil remplacera cette règle de profil.

Remplacer les paramètres du pare-feu avec état

Si vous le souhaitez, au niveau du dispositif Edge, vous pouvez remplacer les paramètres du
pare-feu avec état en cochant la case Activer le remplacement au niveau du dispositif Edge
(Enable Edge Override) dans la zone pare-feu avec état (Stateful Firewall Settings). Pour plus
d'informations sur les paramètres de pare-feu avec état, reportez-vous à la section Configurer les
paramètres du pare-feu avec état.

Remplacer les paramètres de protection du réseau et de propagation

Si vous le souhaitez, au niveau du dispositif Edge, vous pouvez remplacer les paramètres de
protection du réseau et de propagation en cochant la case Activer le remplacement au niveau
du dispositif Edge (Enable Edge Override) dans la zone Paramètres de protection du réseau
et de propagation (Network and Flood Protection Settings). Pour plus d'informations sur les
paramètres de protection du réseau et de propagation, reportez-vous à la section Configurer les
paramètres de protection du réseau et de propagation.

Remplacer les paramètres de configuration d'accès au

dispositif Edge
Si vous le souhaitez, au niveau du dispositif Edge, vous pouvez remplacer les paramètres de
configuration d'accès au dispositif Edge en cochant la case Activer le remplacement au niveau
du dispositif Edge (Enable Edge Override) dans la zone Accès au dispositif Edge (Edge Access).
Pour plus d'informations sur la configuration de l'accès au dispositif Edge, reportez-vous à la
section Configurer l'accès au dispositif Edge.

Liens associés

n Configurer le pare-feu pour les profils

n Configurer les paramètres Syslog des dispositifs Edge

n Dépannage du pare-feu

Configurer des règles de pare-feu

SD-WAN Orchestrator vous permet de configurer des règles de pare-feu au niveau du profil et
du dispositif Edge pour autoriser, annuler, rejeter ou ignorer le trafic entrant et sortant. Si la

VMware, Inc. 351

Guide d'administration de VMware SD-WAN

fonctionnalité de pare-feu avec état est activée, la règle de pare-feu sera validée pour filtrer le
trafic entrant et sortant. Avec le pare-feu sans état, vous pouvez choisir de filtrer uniquement le
trafic sortant. La règle de pare-feu cherche des correspondances entre des paramètres tels que
les adresses IP, les ports, les ID de VLAN, les interfaces, les adresses MAC, les noms de domaine,
les protocoles, les groupes d'objets, les applications et les balises DSCP. Lorsqu'un paquet
de données correspond aux conditions de correspondance, l'action ou les actions associées
sont effectuées. Si un paquet ne correspond à aucun paramètre, une action par défaut lui est
appliquée.

Pour configurer une règle de pare-feu avec un pare-feu avec état activé au niveau du profil, suivez
les étapes de cette procédure.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Pare-feu
(Firewall).

2 Activez l'option Pare-feu avec état (Stateful Firewall) pour le profil sélectionné.

VMware, Inc. 352

Guide d'administration de VMware SD-WAN

3 Dans la zone Règles de pare-feu (Firewall Rules), cliquez sur Nouvelle règle (New Rule). La
boîte de dialogue Configurer la règle (Configure Rule) s'affiche.

4 Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle.

VMware, Inc. 353

Guide d'administration de VMware SD-WAN

5 Dans la zone Correspondance (Match), configurez les conditions de correspondance pour la

règle :

Paramètres Description

Source Permet de spécifier la source des paquets. Sélectionnez

l'une des options suivantes :
n Indifférent (Any) : autorise toutes les adresses source
par défaut.
n Groupe d'objets (Object Group) : vous permet de
sélectionner une combinaison de groupes d'adresses
et de groupes de ports. Pour plus d'informations,
reportez-vous aux sections Chapitre 18 Groupes
d'objets et Configurer les règles de pare-feu avec les
groupes d'objets.

Note Si le groupe d'adresses sélectionné contient

des noms de domaine, ceux-ci sont ignorés lors de la
recherche de correspondances pour la source.
n Définir (Define) : vous permet de définir le trafic
source sur un VLAN, une adresse IP, une interface,
une adresse MAC ou un port spécifique.

Pour l'adresse IP, choisissez l'une des trois options

suivantes :
n Préfixe CIDR (CIDR prefix) : choisissez cette
option si vous souhaitez que le réseau soit
défini comme une valeur CIDR (par exemple,
[Link] /16).

n Masque de sous-réseau (Subnet mask) :

choisissez cette option si vous souhaitez
que le réseau soit défini en fonction d'un
masque de sous-réseau (par exemple, [Link]
[Link]).

n Masque générique (Wildcard mask) : choisissez

cette option si vous souhaitez pouvoir limiter
l'application d'une stratégie à un ensemble de
périphériques sur différents sous-réseaux IP qui
partagent une valeur d'adresse IP d'hôte
correspondante. Le masque générique
correspond à une adresse IP ou à un ensemble
d'adresses IP basées sur le masque de sous-
réseau inversé. Un « 0 » dans la valeur binaire du
masque signifie que la valeur est fixe et un « 1 »
dans la valeur binaire du masque signifie que la
valeur est sauvage (elle peut être 1 ou 0). Par
exemple, un masque générique de [Link]
(équivalent

VMware, Inc. 354

Guide d'administration de VMware SD-WAN

Paramètres Description

binaire = 00000000.00000000.00000000.11111
111) avec une adresse IP de 172.0.0, les trois
premiers octets étant des valeurs fixes et le
dernier octet étant une valeur variable.

Note Si une interface ne peut pas être sélectionnée,

elle est désactivée ou n'est pas attribuée à ce
segment.

Destination Permet de spécifier la destination des paquets.

Sélectionnez l'une des options suivantes :
n Indifférent (Any) : autorise toutes les adresses de
destination par défaut.
n Groupe d'objets (Object Group) : vous permet de
sélectionner une combinaison de groupes d'adresses
et de groupes de ports. Pour plus d'informations,
reportez-vous aux sections Chapitre 18 Groupes
d'objets et Configurer les règles de pare-feu avec les
groupes d'objets.
n Définir (Define) : vous permet de définir le trafic
de destination sur un VLAN, une interface, une
adresse IP, un nom de domaine, un protocole ou un
port spécifique. Pour l'adresse IP, choisissez l'une des
trois options suivantes : Préfixe CIDR (CIDR prefix),
Masque de sous-réseau (Subnet mask) ou Masque
générique (Wildcard mask).

Si une interface ne peut pas être sélectionnée, elle est

désactivée ou n'est pas attribuée à ce segment.

Utilisez le champ Nom de domaine (Domain Name)

pour faire correspondre tout ou partie du nom
de domaine. Par exemple, « salesforce » fait
correspondre le trafic avec « [Link] ».

Application Sélectionnez l'une des options suivantes :

n Indifférent (Any) : applique la règle de pare-feu à
n'importe quelle application par défaut.

VMware, Inc. 355

Guide d'administration de VMware SD-WAN

Paramètres Description

n Définir (Define) : permet de sélectionner une

application et un indicateur de point de code de
services différenciés (DSCP, Differentiated Services
Code Point) pour appliquer une règle de pare-feu
spécifique.

Note Lorsque vous créez des règles de pare-feu

correspondant à une application, le pare-feu dépend
du moteur d'inspection approfondie des paquets (DPI,
Deep Packet Inspection) pour identifier l'application à
laquelle un flux particulier appartient. En général, le DPI
ne pourra pas déterminer l'application en fonction du
premier paquet. En général, le moteur DPI a besoin
des 5 à 10 premiers paquets du flux pour identifier
l'application, mais le pare-feu doit classer et transférer
le flux à partir du tout premier paquet. Cela peut
entraîner une correspondance du flux avec une règle
plus généralisée dans la liste du pare-feu. Une fois que
l'application a été correctement identifiée, tous les flux
futurs correspondant aux mêmes tuples seront reclassés
automatiquement et la bonne règle leur sera appliquée.

6 Dans la zone Action, configurez les actions de la règle :

Paramètres Description

Pare-feu Sélectionnez l'une des actions suivantes que le pare-feu

doit effectuer sur les paquets, lorsque les conditions de la
règle sont satisfaites :
n Autoriser (Allow) : autorise les paquets de données
par défaut.
n Annuler (Drop) : annule les paquets de données en
silence sans envoyer de notification à la source.
n Rejeter (Reject) : annule les paquets et informe la
source en envoyant un message de réinitialisation
explicite.
n Ignorer (Skip) : ignore la règle pendant les
recherches et traite la règle suivante. Toutefois, cette
règle sera utilisée au moment du déploiement de SD-
WAN.

Journaliser Cochez cette case si vous souhaitez qu'une entrée de

journal soit créée lorsque cette règle est déclenchée.

7 Cliquez sur OK.

Résultats

Une règle de pare-feu est créée pour le profil sélectionné et s'affiche dans la zone Règles de
pare-feu (Firewall Rules) de la page Pare-feu du profil (Profile Firewall).

VMware, Inc. 356

Guide d'administration de VMware SD-WAN

Configurer les paramètres du pare-feu avec état

SD-WAN Orchestrator permet de définir un délai d'expiration de session pour les flux TCP établis
et non établis, les flux UDP et d'autres flux au niveau du profil. Éventuellement, vous pouvez
également remplacer les paramètres du pare-feu avec état au niveau du dispositif Edge.

Pour configurer les paramètres de pare-feu avec état au niveau du profil, procédez comme suit.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Pare-feu
(Firewall).

2 Activez l'option Pare-feu avec état (Stateful Firewall) pour le profil sélectionné.

3 Dans la zone Paramètres du pare-feu avec état (Stateful Firewall Settings), configurez les
paramètres suivants :

Champ Description

Délai d'expiration des flux TCP établis (secondes) Définit le délai d'expiration d'inactivité (en secondes)
[Established TCP Flow Timeout (seconds)] des flux TCP établis, après lequel ils ne sont plus
valides. La valeur autorisée est comprise entre 60 et
15 999 999 secondes. La valeur par défaut est de
7 440 secondes.

Délai d'expiration des flux TCP non établis (secondes) Définit le délai d'expiration d'inactivité (en secondes)
[Non Established TCP Flow Timeout (seconds)] des flux TCP non établis, après lequel ils ne sont
plus valides. La valeur autorisée est comprise entre 60
et 604 800 secondes. La valeur par défaut est de
240 secondes.

Délai d'expiration des flux UDP (secondes) [UDP Flow Définit le délai d'expiration d'inactivité (en secondes)
Timeout (seconds)] des flux UDP, après lequel ils ne sont plus valides.
La valeur autorisée est comprise entre 60 et
15 999 999 secondes. La valeur par défaut est de
300 secondes.

Délai d'expiration des autres flux (secondes) [Other Définit le délai d'expiration d'inactivité (en secondes)
Flow Timeout (seconds)] des autres flux tels qu'ICMP, après lequel ils ne sont
plus valides. La valeur autorisée est comprise entre 60
et 15 999 999 secondes. La valeur par défaut est de
60 secondes.

Note Les valeurs de délai d'expiration configurées ne s'appliquent que lorsque l'utilisation de
la mémoire est inférieure à la limite conditionnelle. Cette limite correspond à toute valeur en
dessous de 60 % des flux simultanés pris en charge par la plate-forme en termes d'utilisation
de la mémoire.

VMware, Inc. 357

Guide d'administration de VMware SD-WAN

Configurer les paramètres de protection du réseau et de

propagation
VMware SD-WAN assure la détection et la protection contre différentes attaques pour combattre
les exploits à toutes les étapes de leur exécution.

Pour sécuriser toutes les tentatives de connexion dans un réseau d'entreprise, VMware SD-WAN
Orchestrator permet de configurer les paramètres de protection de réseau et de propagation au
niveau du profil et des dispositifs Edge afin de vous protéger contre les types d'attaques suivants :

n Attaque par déni de service (DoS)

n Attaques basées sur TCP : indicateurs TCP non valides, Land TCP et fragment SYN TCP

n Attaques basées sur ICMP : ping fatal ICMP et fragment ICMP

n Attaques basées sur IP : protocole IP inconnu et options IP non sécurisées

Attaque par déni de service (DoS)

Une attaque par déni de service (DoS) est un type d'attaque de sécurité réseau qui submerge
le périphérique ciblé d'une grande quantité de trafic factice afin que la cible soit tellement
absorbée à traiter le trafic fictif qu'elle ne peut plus prendre en charge le trafic légitime. La
cible peut être un pare-feu, les ressources réseau auxquelles le pare-feu contrôle l'accès, une
plate-forme matérielle ou un système d'exploitation spécifique d'un hôte individuel. L'attaque DoS
tente d'épuiser les ressources du périphérique cible, ce qui rend ce dernier indisponible pour les
utilisateurs légitimes.

Il existe deux méthodes générales d'attaques DoS : les services de saturation ou les services de
blocage. Les attaques par saturation se produisent lorsque le système reçoit trop de trafic pour
la mise en mémoire tampon sur le serveur, ce qui les ralentit et ils finissent par s'arrêter. D'autres
attaques DoS exploitent simplement les vulnérabilités qui entraînent le blocage du système ou du
service cible. Dans ces attaques, l'entrée est envoyée et tire parti des bogues de la cible qui se
bloquent par la suite ou entraînent une déstabilisation grave du système.

Indicateurs TCP non valides

Une attaque par indicateurs TCP non valide se produit lorsqu'un paquet TCP comporte une
combinaison d'indicateurs inappropriés ou non valides. Un périphérique cible vulnérable se
bloque en raison de combinaisons d'indicateurs TCP non valides et, par conséquent, il est
recommandé de les supprimer. Des indicateurs TCP non valides protègent contre les éléments
suivants :

n Paquet qui ne dispose d'aucun indicateur défini dans son en-tête TCP, tel que SYN, FIN, ACK,
etc.

n En-tête TCP avec des indicateurs SYN et FIN combinés, qui sont des indicateurs qui s'excluent
mutuellement en réalité

Land TCP

VMware, Inc. 358

Guide d'administration de VMware SD-WAN

Une attaque Land est une attaque DoS de couche 4 dans laquelle un paquet SYN TCP est
créé afin que l'adresse IP source et le port soient configurés pour être identiques à l'adresse
IP de destination et au port, qui, à son tour, est défini pour pointer vers un port ouvert sur
un périphérique cible. Un périphérique cible vulnérable reçoit ce type de message et répond
effectivement à l'adresse de destination en envoyant le paquet pour un retraitement dans une
boucle infinie. Par conséquent, le CPU du périphérique est utilisé indéfiniment, ce qui entraîne la
panne ou le blocage du périphérique cible vulnérable.

Fragment TCP SYN

Le protocole Internet (IP) encapsule un segment SYN TCP (Transmission Control Protocol) dans le
paquet IP pour établir une connexion TCP et appeler un segment SYN/ACK en réponse. Comme
le paquet IP est petit, il n'y a aucune raison légitime de le fragmenter. Un paquet SYN fragmenté
est anormal, et donc suspect. Dans une attaque par fragmentation SYN TCP, un serveur ou un
hôte cible est saturé de fragments de paquets SYN TCP. L'hôte intercepte les fragments et attend
l'arrivée des paquets restants afin de pouvoir les réassembler. En saturant un serveur ou un hôte
de connexions qui ne peuvent pas être effectuées, la mémoire tampon de l'hôte déborde et,
par conséquent, aucune autre connexion légitime n'est possible. Cela endommage le système
d'exploitation de l'hôte cible.

Ping fatal ICMP

Une attaque de type « Ping fatal » ICMP (Internet Control Message Protocol) implique que
l'attaquant envoie plusieurs pings incorrects ou malveillants à un périphérique cible. Alors que
les paquets ping utilisés pour vérifier l'accessibilité des hôtes réseau sont généralement petits,
ils peuvent être élaborés avec une taille supérieure à la limite maximale de 65 535 octets par les
attaquants.

Lorsqu'un paquet volumineux est transmis de manière malveillante à partir de l'hôte malveillant,
le paquet se fragmente en transit et, lorsque le périphérique cible tente de réassembler les
fragments IP dans le paquet complet, le total dépasse la limite de taille maximale. Cela peut faire
déborder les mémoires tampon initialement allouées pour le paquet, ce qui entraîne une panne,
un blocage ou un redémarrage du système, car elles ne peuvent pas gérer les paquets d'une taille
aussi grande.

Fragment ICMP

Une attaque par fragmentation ICMP est une attaque DoS courante qui implique la saturation de
fragments ICMP frauduleux qui ne peuvent pas être défragmentés sur le serveur cible. Comme
la défragmentation ne peut avoir lieu que lorsque tous les fragments sont reçus, le stockage
temporaire de ces fragments factices occupe de la mémoire et peut épuiser les ressources de
mémoire disponibles du serveur cible vulnérable, ce qui entraîne l'indisponibilité du serveur.

Protocole IP inconnu

L'activation de la protection du protocole IP inconnu bloque les paquets IP avec le champ

protocole contenant un numéro d'identification de protocole 143 ou supérieur, car cela peut
entraîner un blocage en l'absence de gestion appropriée sur le périphérique d'extrémité. Veillez à
empêcher l'entrée de paquets IP dans le réseau protégé.

VMware, Inc. 359

Guide d'administration de VMware SD-WAN

Options IP non sécurisées

Parfois, les attaquants configurent incorrectement les champs d'options IP dans un paquet IP, ce
qui génère des champs incomplets ou incorrects. Les attaquants utilisent ces paquets incorrects
pour compromettre les hôtes vulnérables sur le réseau. L'exploitation de la vulnérabilité peut
potentiellement permettre l'exécution d'un code arbitraire. La vulnérabilité peut être exploitée
après le traitement d'un paquet contenant une option IP élaborée spécifique dans l'en-tête IP du
paquet. L'activation de la protection des options IP non sécurisées bloque les paquets IP en transit
dont le champ d'option IP n'est pas correctement formaté dans l'en-tête du paquet IP.

Configurer les paramètres de protection du réseau et de propagation

Pour configurer les paramètres de protection du réseau et de propagation au niveau du profil,

procédez comme suit.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Pare-feu
(Firewall).

2 Activez l'option Pare-feu avec état (Stateful Firewall) pour le profil sélectionné.

3 Sous la zone Paramètres de protection du réseau et de propagation (Network & Flood

Protection Settings), configurez les paramètres suivants :

Champ Description

Nouveau seuil de connexion (connexions par seconde) Nombre maximal de nouvelles connexions autorisé à
[New Connection Threshold (connections per second)] partir d'une adresse IP source unique par seconde. La
valeur autorisée est comprise entre 10 et 100 %. La
valeur par défaut est de 25 %.

Liste bloquée (Denylist) Cochez la case pour bloquer une adresse IP source,
ce qui enfreint le nouveau seuil de connexion en
envoyant du trafic saturé en raison d'une configuration
inappropriée du réseau ou d'attaques d'utilisateurs
malveillants.

VMware, Inc. 360

Guide d'administration de VMware SD-WAN

Champ Description

Durée de détection (secondes) [Detect Duration Avant de bloquer une adresse IP source, il s'agit du
(seconds)] délai de grâce pendant lequel l'adresse IP source en
cours de violation est autorisée à envoyer des flux de
trafic.
Si un hôte envoie le trafic saturé de nouvelles
demandes de connexion (analyse de ports, saturation
SYN TCP, etc.) au-delà du nombre maximal autorisé
de connexions par seconde (CPS) pendant cette durée,
vous êtes autorisé à le mettre sur liste bloquée au lieu
de le faire immédiatement dès qu'il dépasse une fois la
CPS par source. Par exemple, supposons que le nombre
maximal autorisé de CPS est de 10 avec une durée de
détection de 10 secondes, si l'hôte effectue de nouvelles
demandes de connexion dépassant 100 demandes
pendant 10 secondes, l'hôte sera mis sur liste bloquée.
La valeur autorisée est comprise entre 10 et
100 secondes. La valeur par défaut est de 10 secondes.

Durée de la liste bloquée (secondes) [Denylist Duration Durée pendant laquelle l'adresse IP source enfreinte ne
(seconds)] peut pas envoyer de paquets. La valeur autorisée est
comprise entre 10 et 86 400 secondes. La valeur par
défaut est de 10 secondes.

Attaques basées sur TCP (TCP Based Attacks) Prend en charge la protection contre les attaques
basées sur TCP suivantes en cochant les cases
correspondantes :
n Indicateurs TCP non valides (Invalid TCP Flags)
n Land TCP (TCP Land)
n Fragment SYN TCP (TCP SYN Fragment)

Attaques basées sur ICMP (ICMP Based Attacks) Prend en charge la protection contre les attaques
basées sur ICMP suivantes en cochant les cases
correspondantes :
n Ping fatal ICMP (ICMP Ping of Death)
n Fragment ICMP (ICMP Fragment)

Attaques basées sur IP (IP Based Attacks) Prend en charge la protection contre les attaques
basées sur IP suivantes en cochant les cases
correspondantes :
n Protocole IP inconnu (IP Unknown Protocol)
n Options IP non sécurisées (IP Insecure Options)

Éventuellement, vous pouvez également remplacer les paramètres de protection du réseau

et de propagation au niveau du dispositif Edge. Pour plus d'informations, reportez-vous à la
section Configurer les paramètres Netflow des dispositifs Edge.

Configurer l'accès au dispositif Edge

Lors de la configuration d'un profil pour l'accès au dispositif Edge, veillez à sélectionner l'option
appropriée pour l'accès au support, l'accès à la console, l'accès SNMP et l'accès à l'interface
utilisateur Web locale dans les paramètres du pare-feu pour rendre le dispositif Edge plus

VMware, Inc. 361

Guide d'administration de VMware SD-WAN

sécurisé. Cela empêche tout utilisateur malveillant d'accéder au dispositif Edge. Par défaut, l'accès
support, l'accès à la console, l'accès SNMP et l'accès à l'interface utilisateur Web locale sont
désactivés pour des raisons de sécurité.

Pour configurer l'accès au dispositif Edge pour les profils, procédez comme suit :

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Pare-feu
(Firewall). La page Pare-feu (Firewall) s'affiche.

2 Dans la zone Accès au dispositif Edge (Edge Access), vous pouvez configurer l'accès au
périphérique à l'aide des options suivantes :

Champ Description

Accès support (Support Access) Sélectionnez Autoriser les adresses IP suivantes

(Allow the following IPs) si vous souhaitez spécifier
explicitement les adresses IP à partir desquelles vous
pouvez vous connecter au dispositif Edge via SSH. Les
adresses IP doivent être séparées par une virgule (,). Par
défaut, l'option Tout refuser (Deny All) est sélectionnée.

Accès à la console (Console Access) Sélectionnez Autoriser (Allow) pour activer l'accès au
dispositif Edge via la console physique (port série
ou Video Graphics Array [VGA]). Par défaut, l'option
Refuser (Deny) est sélectionnée et la connexion à la
console est désactivée après l'activation du dispositif
Edge.

Note Chaque fois que le paramètre d'accès à la console

passe de l'option Autoriser (Allow) à Refuser (Deny) ou
inversement, vous devez redémarrer le dispositif Edge
manuellement.

VMware, Inc. 362

Guide d'administration de VMware SD-WAN

Champ Description

Accès SNMP (SNMP Access) Autorise l'accès au dispositif Edge à partir des interfaces
acheminées/du WAN via SNMP. Sélectionnez l'une des
options suivantes :
n Tout refuser (Deny All) : par défaut, l'accès SNMP est
désactivé pour tous les périphériques connectés à un
dispositif Edge.
n Autoriser le LAN complet (Allow All LAN) : autorise
l'accès SNMP pour tous les périphériques connectés
au dispositif Edge via un réseau LAN.
n Autoriser les adresses IP suivantes (Allow the
following IPs) : permet de spécifier explicitement les
adresses IP à partir desquelles vous pouvez accéder
au dispositif Edge via SNMP. Les adresses IP doivent
être séparées par une virgule (,).

Accès à l'interface utilisateur Web locale (Local Web UI Autorise l'accès au dispositif Edge à partir des interfaces
Access) acheminées/du WAN via une interface utilisateur Web
locale. Sélectionnez l'une des options suivantes :
n Tout refuser (Deny All) : par défaut, l'accès à
l'interface utilisateur Web locale est désactivé pour
tous les périphériques connectés à un dispositif Edge.
n Autoriser le LAN complet (Allow All LAN) : autorise
l'accès à l'interface utilisateur Web locale pour tous
les périphériques connectés au dispositif Edge via un
réseau LAN.
n Autoriser les adresses IP suivantes (Allow the
following IPs) : permet de spécifier explicitement
les adresses IP à partir desquelles vous pouvez
accéder au dispositif Edge via l'interface utilisateur
Web locale. Les adresses IP doivent être séparées
par une virgule (,).

Numéro de port de l'interface utilisateur Web locale Entrez le numéro de port de l'interface utilisateur Web
(Local Web UI Port Number) locale à partir de laquelle vous pouvez accéder au
dispositif Edge.

3 Cliquez sur Enregistrer les modifications (Save Changes).

Étape suivante

Pour remplacer les paramètres d'accès d'un dispositif Edge spécifique, utilisez l'option Activer le
remplacement au niveau du dispositif Edge (Enable Edge Override) disponible sur la page Pare-
feu du dispositif Edge (Edge Firewall). Pour obtenir des informations connexes, reportez-vous à
la section Configurer le pare-feu pour les dispositifs Edge

Dépannage du pare-feu
Vous pouvez collecter les journaux de diagnostic de pare-feu en exécutant les tests de diagnostic
à distance sur un dispositif Edge.

VMware, Inc. 363

Guide d'administration de VMware SD-WAN

Pour les dispositifs Edge exécutant la version 3.4.0 ou une version ultérieure qui disposent
également d'un pare-feu avec état activé, vous pouvez utiliser les tests de diagnostic à distance
suivants pour obtenir des informations de diagnostic de pare-feu :

n Vider les sessions de pare-feu (Flush Firewall Sessions) : exécutez ce test pour réinitialiser
les sessions établies à partir du pare-feu. L'exécution de ce test sur un dispositif Edge n'efface
pas seulement les sessions de pare-feu, mais envoie activement un RST TCP pour les sessions
basées sur TCP.

n Répertorier les sessions de pare-feu actives (List Active Firewall Sessions) : exécutez ce test
pour afficher l'état actuel des sessions de pare-feu actives (maximum 1 000 sessions). Vous
pouvez limiter le nombre de sessions renvoyées à l'aide de filtres : adresse IP source et de
destination, port source et de destination et segment.

Note Vous ne pouvez pas voir les sessions qui ont été refusées, car il ne s'agit pas de
sessions actives. Pour dépanner ces sessions, vous devez vérifier les journaux de pare-feu.

Le résultat des diagnostics à distance affiche les informations suivantes : Nom du segment
(Segment name), Adresse IP source (Source IP), Port source (Source Port), Adresse IP
de destination (Destination IP), Port de destination (Destination Port), Protocole (Protocol),
Application, Stratégie de pare-feu (Firewall Policy), état TCP actuel de tout flux, Octets reçus/
envoyés (Bytes Received/Sent) et Durée (Duration). Il existe 11 états TCP distincts, tels que
définis dans RFC 793 :

n LISTEN : représente l'attente d'une demande de connexion à partir de n'importe quel TCP
et port distant. (Cet état ne s'affiche pas dans les résultats de diagnostic à distance).

n SYN-SENT : représente l'attente d'une demande de connexion correspondante après avoir

envoyé une demande de connexion.

n SYN-RECEIVED : représente l'attente d'un accusé de réception de la demande de

connexion après avoir reçu et envoyé une demande de connexion.

n ESTABLISHED : représente une connexion ouverte, les données reçues peuvent être
livrées à l'utilisateur. État normal de la phase de transfert de données de la connexion.

n FIN-WAIT-1 : représente l'attente d'une demande d'arrêt de connexion à partir du TCP

distant ou un accusé de réception de la demande d'arrêt de connexion précédemment
envoyée.

VMware, Inc. 364

Guide d'administration de VMware SD-WAN

n FIN-WAIT-2 : représente l'attente d'une demande d'arrêt de connexion à partir du TCP

distant.

n CLOSE-WAIT : représente l'attente d'une demande d'arrêt de connexion de l'utilisateur

local.

n CLOSING : représente l'attente d'un accusé de réception de demande d'arrêt de

connexion à partir du TCP distant.

n LAST-ACK : représente l'attente d'une confirmation de la demande d'arrêt de connexion

envoyée précédemment au TCP distant (ce qui inclut un accusé de réception de sa
demande d'arrêt de connexion).

n TIME-WAIT : représente un temps d'attente suffisant pour garantir que le TCP distant a
reçu l'accusé de réception de sa demande d'arrêt de connexion.

n CLOSED : ne représente aucun état de connexion.

Pour plus d'informations sur l'exécution de diagnostics à distance sur un dispositif Edge, reportez-
vous à la section Diagnostics à distance.

VMware, Inc. 365

Provisionner un dispositif Edge
14
Cette section décrit comment provisionner un dispositif Edge.

Ce chapitre contient les rubriques suivantes :

n Provisionner un nouveau dispositif Edge

n Activer les dispositifs Edge

n Gérer les dispositifs Edge

Provisionner un nouveau dispositif Edge

Les administrateurs d'entreprise peuvent provisionner un ou plusieurs dispositifs Edge, par
exemple l'attribution d'une configuration de profil à un dispositif Edge ou la modification d'autres
paramètres spécifiques au dispositif Edge. Vous devez créer une configuration pour tous les
dispositifs Edge que vous déployez sur un site spécifique.

Vous pouvez provisionner un nouveau dispositif Edge dans l'écran Dispositifs Edge (Edges) en
effectuant les étapes suivantes :

Procédure

1 Sur le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Dans l'écran Dispositifs Edge (Edges), cliquez sur Nouveau dispositif Edge (New Edge) dans
le coin supérieur droit de l'écran.

La boîte de dialogue Provisionner un nouveau dispositif Edge (Provision New Edge)

s'affiche.

VMware, Inc. 366

Guide d'administration de VMware SD-WAN

3 Dans la zone de texte Nom (Name), entrez un nom unique pour le dispositif Edge.

4 Dans le menu déroulant Modèle (Model), sélectionnez un modèle de dispositif Edge.

5 Dans le menu déroulant Profil (Profile), sélectionnez un profil à attribuer au dispositif Edge.

Note Si un profil de transfert de dispositif Edge s'affiche en tant qu'option en raison du

provisionnement Zero Touch, ce profil est utilisé par un dispositif Edge récemment attribué,
mais qui n'a pas été configuré avec un profil de production.

Pour plus d'informations sur la création d'un profil, reportez-vous à la section Créer un profil.

6 Dans le menu déroulant Authentification (Authentication), vous pouvez sélectionner l'une des
options d'authentification par certificat suivantes :

n Certificat désactivé (Certificate Disabled) : les dispositifs Edge utilisent un mode

d'authentification par clé prépartagée.

n Acquisition de certificat (Certificate Acquire) : cette option est sélectionnée par défaut
et demande au dispositif Edge d'obtenir un certificat auprès de l'autorité de certification
d'Orchestrator, en générant une paire de clés et en envoyant une demande de signature
de certificat à Orchestrator. Une fois le certificat acquis, le dispositif Edge l'utilise pour
l'authentification auprès d'Orchestrator et pour l'établissement de tunnels VCMP.

Note Après l'acquisition du certificat, l'option peut être mise à jour sur Certificat requis
(Certificate Required).

n Certificat requis (Certificate Required) : le dispositif Edge utilise le certificat PKI.

7 Dans le menu déroulant Licence Edge (Edge License), sélectionnez une licence Edge dans la
liste disponible. La liste affiche les licences attribuées à l'entreprise par l'opérateur.

VMware, Inc. 367

Guide d'administration de VMware SD-WAN

8 Dans la zone de texte Informations personnalisées (Custom Info), entrez les informations
personnalisées associées au dispositif Edge

Les informations sur le client ne doivent pas dépasser 255 caractères.

Note Le super utilisateur et les utilisateurs Admin standard de rôles d'entreprise/MSP/

d'opérateur (disposant du privilège UPDATE_EDGE) peuvent ajouter ou supprimer des
informations personnalisées d'un dispositif Edge.

9 Pour appliquer la haute disponibilité (HA), cochez la case Haute disponibilité (High
Availability). (Vous pouvez installer les dispositifs Edge en tant que périphériques autonomes
uniques ou couplés avec un autre dispositif Edge pour assurer la prise en charge de la haute
disponibilité (HA). Pour plus d'informations sur HA, reportez-vous à la section Options de
haute disponibilité).

10 Dans la zone de texte Numéro de série (Serial Number), entrez le numéro de série du
dispositif Edge. S'il est spécifié, le numéro de série doit correspondre à celui du dispositif
Edge qui sera activé.

11 Dans les zones de texte Nom du contact (Contact Name) et E-mail du contact (Contact
Email), entrez le nom et l'adresse e-mail du contact du site pour le dispositif Edge.

12 Pour définir l'emplacement du dispositif Edge, cliquez sur le lien Définir l'emplacement (Set
Location).

13 Cliquez sur Créer (Create).

Résultats

Le dispositif Edge est provisionné avec une clé d'activation.

Note La durée d'expiration de cette clé est d'un mois si elle n'active pas le périphérique Edge.
Pour plus d'informations sur l'activation d'un dispositif Edge, reportez-vous à la section Configurer
l'activation du dispositif Edge dans le Guide de démarrage rapide pour l'activation du dispositif
Edge.

Une fois que vous avez provisionné un dispositif Edge, ce dernier s'affiche dans l'écran Dispositifs
Edge (Edges).

Si vous avez configuré le périphérique Edge 510 LTE, vous pouvez exécuter le test de diagnostic
« Informations sur le modem LTE » (LTE Modem Information). Le test de diagnostic Informations
sur le modem LTE (LTE Modem Information) récupère les informations de diagnostic, par
exemple la force du signal, les informations de connexion, etc. Pour plus d'informations sur
l'exécution d'un test de diagnostic, reportez-vous à la section Diagnostics à distance

Étape suivante

n Pour gérer les dispositifs Edge provisionnés, reportez-vous à la section Gérer les
dispositifs Edge.

VMware, Inc. 368

Guide d'administration de VMware SD-WAN

n Pour afficher les détails du dispositif Edge ou lui apporter des modifications, reportez-vous à la
section Chapitre 15 Configurer les informations du dispositif Edge.

n Pour configurer un dispositif Edge, reportez-vous à la section Chapitre 16 Configurer un

périphérique Edge.

Activer les dispositifs Edge

La solution VMware prend en charge deux méthodes de déploiement et d'activation de SD-WAN
Edge : provisionnement Zero Touch et E-mail.

E-mail (activé par Provisionnement Zero Touch

Activité l'administrateur Office) (activé par le NOC central)

Aucune intervention informatique requise

Aucun préenrôlement requis

Aucun risque de sécurité en cas de perte du boîtier

Aucun profil de liaison intersite nécessaire

Aucun suivi de périphérique nécessaire

Nécessite l'envoi d'un e-mail à l'administrateur de

bureau

Nécessite une connaissance du périphérique sur le

site

Activer les dispositifs Edge à l'aide du provisionnement Zero Touch

(tech preview)
Dans cette méthode, le dispositif SD-WAN Edge est activé sans que l'administrateur de bureau
n'ait à cliquer sur un lien d'activation.

Voici quelques scénarios qui nécessitent l'activation de SD-WAN Edge à l'aide de la méthode de
provisionnement Zero Touch :

n Lorsqu'un fournisseur de services externalise l'installation physique des périphériques sur

un site, dans la plupart des cas, pour connecter uniquement les câbles et l'alimentation.
La personne qui installe le périphérique peut ne pas être un employé du client final ou du
fournisseur de services.

n Lorsque la personne du site distant ne parvient pas à connecter un ordinateur portable/une

tablette/un téléphone à SD-WAN Edge, et ne peut donc pas utiliser un e-mail ni ne peut
cliquer sur un code d'activation/une URL.

Note Pour que l'activation en mode Push du provisionnement Zero Touch fonctionne, utilisez
le logiciel Orchestrator version 4.3.0 ou ultérieure.

VMware, Inc. 369

Guide d'administration de VMware SD-WAN

Pour plus d'informations sur l'activation des dispositifs Edge à l'aide de la méthode de
provisionnement Zero Touch, contactez le support client VMware.

Activer les dispositifs Edge à l'aide de l'e-mail

Pour cette méthode d'activation, SD-WAN Edge est fourni au site client avec une configuration
d'usine par défaut. Avant l'activation, SD-WAN Edge ne contient aucune configuration ni aucune
information d'identification pour se connecter au réseau d'entreprise.

Effectuez les tâches suivantes pour activer le dispositif SD-WAN Edge à l'aide de l'e-mail :

1 Envoyer un E-mail d'activation.

L'administrateur lance le processus d'activation en envoyant un e-mail de procédure

d'activation à la personne qui installe le dispositif Edge, généralement un contact du site.

2 Activer le périphérique Edge.

La personne qui suit les instructions de l'e-mail de procédure d'activation active le

périphérique Edge.

Effectuez les instructions suivantes pour le processus d'activation du dispositif Edge.

Envoyer un e-mail d'activation

Le processus d'activation du dispositif Edge commence par le lancement d'un e-mail de
procédure d'activation qui est envoyé au contact du site par l'administrateur informatique.

Pour envoyer l'e-mail de la procédure d'activation :

1 Accédez à Configurer (Configure) > Dispositifs Edge (Edges) depuis Orchestrator.

2 Sélectionnez le dispositif Edge à activer. La fenêtre Présentation du dispositif Edge (Edge

Overview) s'affiche.

3 En étape facultative, dans la zone Propriétés (Properties), entrez le numéro de série du

dispositif Edge qui sera activé dans le champ de texte Numéro de série (Serial Number). Les
numéros de série sont sensibles à la casse. Vérifiez que « VC » est en majuscules.

Note Cette étape est facultative. Toutefois, s'il est spécifié, le numéro de série doit
correspondre au dispositif Edge activé.

4 Cliquez sur le bouton Envoyer l'e-mail d'activation (Send Activation Email) pour envoyer
l'e-mail d'activation au contact du site.

5 La fenêtre contextuelle Envoyer l'e-mail d'activation (Send Activation Email) s'affiche. Elle
décrit les étapes que le contact du site doit effectuer pour activer le périphérique Edge.

VMware, Inc. 370

Guide d'administration de VMware SD-WAN

Note Pour la version 3.4, l'e-mail d'activation contient des paramètres cellulaires (par
exemple, code PIN SIM, Réseau, APN, Nom d'utilisateur) si un périphérique Edge 510 LTE
a été configuré.

6 Cliquez sur le bouton Envoyer (Send) pour envoyer l'e-mail de la procédure d'activation au
contact du site.

Note Si vous configurez le périphérique Edge 510 LTE, vous pouvez exécuter le test de diagnostic
« Informations sur le modem LTE » à des fins de dépannage. Le test de diagnostic Informations
sur le modem LTE (LTE Modem Information) récupère les informations de diagnostic, par
exemple la force du signal, les informations de connexion, etc. Pour plus d'informations sur
l'exécution d'un test de diagnostic, consultez la section intitulée Diagnostics à distance.

Activer un périphérique Edge

Le contact du site effectue les étapes définies dans l'e-mail de la procédure d'activation d'Edge.

En général, le contact du site effectue les étapes suivantes :

1 Il se connecte à votre périphérique Edge pour le mettre sous tension et relie des câbles
Internet ou des modems USB.

VMware, Inc. 371

Guide d'administration de VMware SD-WAN

2 Il recherche le réseau Wi-Fi (généralement affiché au format velocloud-, suivi de trois lettres/
chiffres supplémentaires, par exemple velocloud-01c) et se connecte à l'aide du mot de passe
vcsecret.

3 Il clique sur le lien hypertexte indiqué dans l'e-mail pour activer le dispositif Edge.

Note Reportez-vous au SSID Wi-Fi à partir du périphérique Edge. Le Wi-Fi par défaut est
vc-wifi. L'e-mail d'activation du dispositif Edge contient des instructions relatives à l'utilisation
d'une ou de plusieurs connexions Wi-Fi.

L'e-mail d'activation d'Edge peut fournir des instructions spécifiques pour connecter des câbles
WAN et des modems USB, connecter des périphériques aux connexions LAN et connecter des
périphériques de mise en réseau supplémentaires au dispositif Edge. Pour obtenir des procédures
détaillées, reportez-vous aux sections ci-dessous :

Activation du dispositif Edge à l'aide d'un périphérique iOS et d'un câble Ethernet

Activation du dispositif Edge à l'aide d'un périphérique Android et d'un câble Ethernet

Lors de l'activation du dispositif Edge, l'écran État de l'activation (Activation Status) s'affiche.

Le dispositif Edge télécharge la configuration et le logiciel à partir de SD-WAN Orchestrator. Le

dispositif Edge a été activé et est prêt pour le service. Une fois qu'un dispositif Edge a été activé, il
est « utilisable » pour le routage du trafic réseau. En outre, des fonctions plus avancées, telles que
la surveillance, les tests et le dépannage, sont activées.

Activation du dispositif Edge à l'aide d'un périphérique iOS et d'un câble Ethernet
Il existe plusieurs méthodes d'activation d'un dispositif VMware SD-WAN Edge. Il est
recommandé d'utiliser l'activation en mode Push du provisionnement Zero Touch lorsque cela est
possible. Vous pouvez également utiliser la méthode d'activation de l‘e-mail (activation en mode
Pull) à l'aide d'un périphérique iOS et d'un câble Ethernet.

Conditions préalables

Les composants requis pour cette procédure sont les suivants :

n iPhone/iPad avec accès aux e-mails

n Adaptateur Ethernet adapté au téléphone ou à la tablette

Note L'exemple utilisé ici est un dispositif Edge 540 et un iPhone 12 Pro Max. Vous pouvez
également utiliser d'autres modèles d'Edge et d'iPhone/iPad.

Procédure

1 Terminez la configuration du dispositif Edge sur le logiciel Orchestrator. Pour plus

d'informations, reportez-vous à la section Chapitre 16 Configurer un périphérique Edge.

VMware, Inc. 372

Guide d'administration de VMware SD-WAN

2 Accédez à l'onglet Configurer (Configure) > Dispositifs Edge (Edges) > Présentation du
dispositif Edge (Edge Overview), puis cliquez sur le bouton Envoyer l'e-mail d'activation
(Send Activation Email).

3 Entrez l'adresse e-mail de la personne activant le dispositif Edge, puis cliquez sur Envoyer
(Send).

4 Mettez le dispositif Edge sous tension, puis raccordez-le à une connexion Internet disponible à
l'aide d'un câble Ethernet.

Note Pour vérifier les informations du modèle que vous installez afin de déterminer le port
approprié, reportez-vous aux Guides d'activation du dispositif Edge.

5 Connectez un adaptateur Ethernet au téléphone et connectez le port LAN du dispositif Edge à

l'adaptateur Ethernet.

Note Le dispositif Edge est configuré par défaut pour acquérir une adresse IP DHCP
auprès de l'ISP sur le WAN (lien montant). Le dispositif Edge attribue également une adresse
DHCP au téléphone connecté au port LAN. Lorsque la connexion WAN est entièrement
opérationnelle, le voyant Cloud à l'avant du dispositif Edge devient vert.

VMware, Inc. 373

Guide d'administration de VMware SD-WAN

6 Sur le périphérique iOS, accédez à Paramètres (Settings) > Ethernet. Sélectionnez l'interface
appropriée. Sous Adresse IPv4 (IPv4 Address), sélectionnez Configurer l'adresse IP
(Configure IP) avec le statut Automatique (Automatic).

7 Ouvrez l'e-mail d'activation depuis le téléphone, puis cliquez sur le lien d'activation affiché en
bas de l'écran pour activer le dispositif Edge. La capture d'écran suivante est un exemple.

8 Vous pouvez observer la progression de l'activation sur l'écran du téléphone. Une fois
l'opération terminée, le message Activation réussie (Activation successful) s'affiche.

VMware, Inc. 374

Guide d'administration de VMware SD-WAN

Résultats

Le périphérique Edge est désormais activé.

Activation du dispositif Edge à l'aide d'un périphérique Android et d'un câble Ethernet
La procédure ci-dessous décrit l'activation par e-mail du dispositif Edge (activation en mode Pull)
à l'aide d'un périphérique Android et d'un câble Ethernet.

Conditions préalables

Les composants requis pour cette procédure sont les suivants :

n Téléphone Android avec accès aux e-mails

n Adaptateur Ethernet adapté au téléphone

Note L'exemple utilisé ici est un dispositif Edge 610 et un smartphone Samsung Galaxy S10+.
Vous pouvez également utiliser d'autres modèles d'Edge et de téléphone Android.

Procédure

1 Terminez la configuration du dispositif Edge sur le logiciel Orchestrator. Pour plus

d'informations, reportez-vous à la section Chapitre 16 Configurer un périphérique Edge.

2 Accédez à l'onglet Configurer (Configure) > Dispositifs Edge (Edges) > Présentation du
dispositif Edge (Edge Overview), puis cliquez sur le bouton Envoyer l'e-mail d'activation
(Send Activation Email).

VMware, Inc. 375

Guide d'administration de VMware SD-WAN

3 Entrez l'adresse e-mail de la personne activant le dispositif Edge, puis cliquez sur Envoyer
(Send).

4 Mettez le dispositif Edge sous tension, puis raccordez-le à une connexion Internet disponible à
l'aide d'un câble Ethernet.

Note Pour vérifier les informations du modèle que vous installez afin de déterminer le port
approprié, reportez-vous aux Guides d'activation du dispositif Edge.

5 Connectez un adaptateur Ethernet au téléphone et connectez le port LAN du dispositif Edge à

l'adaptateur Ethernet.

Note Le dispositif Edge est configuré par défaut pour acquérir une adresse IP DHCP
auprès de l'ISP sur le WAN (lien montant). Le dispositif Edge attribue également une adresse
DHCP au téléphone connecté au port LAN. Lorsque la connexion WAN est entièrement
opérationnelle, le voyant Cloud à l'avant du dispositif Edge devient vert.

VMware, Inc. 376

Guide d'administration de VMware SD-WAN

6 Ouvrez l'e-mail d'activation depuis le téléphone, puis cliquez sur le lien d'activation affiché en
bas de l'écran pour activer le dispositif Edge. La capture d'écran suivante est un exemple.

7 Vous pouvez observer la progression de l'activation sur l'écran du téléphone. Une fois
l'opération terminée, le message Activation réussie (Activation successful) s'affiche.

Résultats

Le périphérique Edge est désormais activé.

Gérer les dispositifs Edge

En tant qu'utilisateur d'entreprise, vous pouvez gérer tous les dispositifs Edge provisionnés
dans un réseau à partir de l'écran Dispositifs Edge (Edges). L'écran Dispositifs Edge (Edges)
répertorie tous les dispositifs Edge provisionnés dans un réseau et permet également de
provisionner un nouveau dispositif Edge en cliquant sur le bouton Nouveau dispositif Edge (New
Edge) dans le coin supérieur droit. Vous pouvez également sélectionner un dispositif Edge à
partir de cet écran et effectuer diverses actions, telles que modifier les informations d'identification
locales, supprimer le dispositif Edge, attribuer un profil, attribuer une image logicielle, attribuer
une licence Edge, mettre à jour les alertes, etc., à l'aide du menu déroulant Actions.

Note Si vous êtes connecté à l'aide d'un ID d'utilisateur disposant de privilèges de support client,
vous ne pourrez voir que les objets SD-WAN Orchestrator. Vous ne pourrez pas créer d'objets ni
configurer/mettre à jour des objets existants.

Le tableau suivant fournit des détails pour chaque champ affiché sur l'écran Dispositifs Edge
(Edges).

VMware, Inc. 377

Guide d'administration de VMware SD-WAN

La plupart des en-têtes de colonnes disposent d'une fonctionnalité de tri qui répertorie les
éléments de la colonne par ordre alphabétique, par ordre numérique ou par type. (Les colonnes
Périphérique [Device], Stratégie Biz [Biz Policy], Pare-feu [Firewall], Alertes [Alerts] et Alertes
d'opérateur [Operator Alerts] ne disposent pas de cette fonctionnalité). Pour trier la liste, cliquez
sur les en-têtes de colonnes qui disposent de cette fonctionnalité.

Option Description

Dispositif Edge Affiche le nom du dispositif Edge. Pour trier la liste des dispositifs Edge par l'ordre
(Edge) alphabétique, cliquez sur l'en-tête de la colonne Dispositif Edge (Edge). Le nom du dispositif
Edge est également un lien. Cliquez dessus pour ouvrir l'écran Chapitre 15 Configurer les
informations du dispositif Edge. Pour sélectionner le dispositif Edge, cochez la case à cocher
en regard du nom du dispositif Edge.

Certificats Affiche les certificats en cours et expirés d'un dispositif Edge. Pour plus d'informations, cliquez
(Certificates) sur le lien Afficher (View) en regard du nombre de certificats.

Profil (Profile) Répertorie le profil attribué au dispositif Edge. Le nom du profil est également un lien. En
cliquant sur le lien, vous ouvrez la page Présentation du profil (Profile Overview). REMARQUE :
si un profil de préproduction de dispositif Edge s'affiche en raison d'un provisionnement
Zero Touch, ce profil est utilisé par un dispositif Edge récemment attribué, mais qui n'a pas
été configuré avec un profil de production. Les administrateurs d'entreprise doivent attribuer
manuellement un profil à ces dispositifs Edge. Pour plus d'instructions sur l'attribution manuelle
d'un profil à un dispositif Edge, consultez la section Attribuer un profile (Modifier un profile).

Profil d'opérateur Cette colonne n'est visible que par les opérateurs. Le profil d'opérateur est le modèle attribué
(Operator Profile) au client lors de la création de ce dernier par les opérateurs. Il comprend l'image logicielle, les
mappages d'application, la sélection de la passerelle et les paramètres de gestion du dispositif
Edge. Les administrateurs au niveau de l'opérateur peuvent modifier le profil d'opérateur pour
des dispositifs Edge spécifiques. Les administrateurs d'entreprise disposent d'un accès en
lecture seule. Le nom du profil d'opérateur est également un lien. Si vous cliquez dessus, cela
ouvre l'écran Profils d'opérateurs (Operator Profiles).

HA Si vous cochez la case HA, cela active l'option HA actif en veille (Active Standby HA).

Périphérique Affiche une icône bleue si des configurations spécifiques de dispositifs Edge ont été définies.
(Device) Affiche une icône grise pour indiquer que tous les paramètres (le cas échéant) ont été hérités
du profil. Pour accéder à l'écran de paramètres de Périphérique (Device), cliquez sur l'icône de
la colonne Périphérique (Device), puis cliquez sur l'onglet Périphérique (Device).

Stratégie Biz (Biz Affiche une icône bleue si des règles de stratégie d'entreprise ont été configurées. Affiche
Policy)
une icône grise pour indiquer que toutes les règles (le cas échéant) ont été héritées du
profil. Pour accéder à l'écran Stratégie d'entreprise (Business Policy), cliquez sur l'icône de
la colonne Stratégie Biz (Biz Policy), puis cliquez sur l'onglet Stratégie d'entreprise (Business
Policy).

Pare-feu (Firewall) Affiche une icône bleue si des règles de pare-feu ont été configurées. Affiche une icône
grise pour indiquer que toutes les règles (le cas échéant) ont été héritées du profil.
Affiche une ligne rouge à travers l'icône si le pare-feu est désactivé. Dans ce cas, elle
indique qu'il a été désactivé dans la configuration du profil d'un dispositif Edge. Pour activer le
pare-feu, accédez à l'onglet (Configurer (Configure) > Profils (Profiles) > Pare-feu (Firewall) de
la configuration du profil).
Pour accéder à l'écran Pare-feu (Firewall), cliquez sur l'icône de la colonne Pare-feu (Firewall),
puis cliquez sur l'onglet Pare-feu (Firewall).

VMware, Inc. 378

Guide d'administration de VMware SD-WAN

Option Description

Alertes (Alerts) Si des alertes client sont activées pour le dispositif Edge, la case Alertes (Alerts) est cochée
dans cette colonne. Cliquez sur le nom du dispositif Edge dans la colonne Dispositif Edge
(Edge) pour ouvrir Chapitre 15 Configurer les informations du dispositif Edge afin d'activer ou
de désactiver les alertes client.

Alertes d'opérateur Si des alertes d'opérateur sont activées pour le dispositif Edge, la case Alertes d'opérateur
(Operator Alerts) (Operator Alerts) est cochée dans cette colonne. Cliquez sur le nom du dispositif Edge dans
la colonne Dispositif Edge (Edge) pour ouvrir Chapitre 15 Configurer les informations du
dispositif Edge afin d'activer ou de désactiver les alertes d'opérateur.

Version logicielle Affiche la version logicielle du dispositif Edge.

(Software Version)

Version logicielle Lorsque le dispositif Edge est livré d'usine, il est fourni avec une version du logiciel par défaut.
d'usine (Factory
Software Version)

Numéro de build Affiche le numéro de build d'un dispositif Edge activé.

(Build Number)

Modèle (Model) Affiche le type de modèle du dispositif Edge.

Numéro de série Affiche le numéro de série du dispositif Edge. L'attribution d'un numéro de série à un dispositif
(Serial Number) Edge est facultative. Si aucun numéro de série n'est attribué au dispositif Edge, ce champ est
vide.

Crée le (Created) Affiche la date et heure du provisionnement du dispositif Edge.

Activé (Activated) Affiche la date et l'heure d'activation du dispositif Edge.

Dernier contact (Last Date et heure de la dernière communication entre le dispositif Edge et SD-WAN Orchestrator.
Contact)

Colonne (Cols) Pour sélectionner les options à afficher dans la liste des dispositifs Edge d'entreprise (voir
(Column [Cols]) l'image ci-dessus), cliquez sur le bouton Cols.

Réinitialiser la vue Réinitialise la liste des dispositifs Edge d'entreprise à la vue par défaut. (Cela supprime les filtres
(Reset View) et réinitialise les options qui ont été sélectionnées dans le menu déroulant du bouton Cols à la
vue par défaut).

Actualiser (Refresh) Actualise la liste des dispositifs Edge d'entreprise avec les données actuelles du serveur.

CSV Pour exporter le contenu affiché dans la liste des dispositifs Edge d'entreprise, cliquez sur le
bouton CSV.

Sélectionné Indique le nombre de dispositifs Edge sélectionnés dans la colonne Dispositif Edge (Edge).
(Selected) Pour sélectionner ou désélectionner tous les dispositifs Edge répertoriés dans la colonne
Dispositif Edge (Edge), cliquez sur le bouton Sélectionné (Selected).

VMware, Inc. 379

Guide d'administration de VMware SD-WAN

Option Description

Actions (Actions) Répertorie les actions que vous pouvez effectuer sur le dispositif Edge sélectionné. Les actions
prises en charge varient en fonction des rôles et des privilèges d'utilisateur. Pour un utilisateur
d'entreprise, les actions suivantes sont prises en charge :
n Nouveau dispositif Edge (New Edge) : crée un dispositif Edge.
n Informations d'identification locales (Local Credentials) : attribue des informations
d'identification de configuration locales pour le dispositif Edge sélectionné.
n Supprimer le dispositif Edge (Delete Edge) : supprime les dispositifs Edge sélectionnés.
n Attribuer un profil (Assign Profile) : modifie le profil des dispositifs Edge sélectionnés.
n Attribuer une image logicielle (Assign Software Image) : modifie ou met à jour l'image
logicielle attribuée aux dispositifs Edge. Pour obtenir des instructions, reportez-vous à la
section Attribuer une image logicielle.

Note Cette option est disponible uniquement pour les super utilisateurs d'entreprise pour
lesquels la fonctionnalité de gestion des images Edge est activée.
n Attribuer une licence Edge (Assign Edge License) : attribue un type de licence au
dispositif Edge sélectionné.

Note Les administrateurs superutilisateurs et les administrateurs standard peuvent

attribuer un type de licence à un dispositif Edge.
n Mettre à jour les alertes (Update Alerts) : active ou désactive les notifications d'alertes des
dispositifs Edge pour les clients.

Nouveau Ouvre la boîte de dialogue Provisionner un nouveau dispositif Edge (Provision New Edge)
dispositif Edge (New pour provisionner un nouveau dispositif Edge.
Edge) Pour plus d'informations, reportez-vous à la section Provisionner un nouveau dispositif Edge.

Aide (Help) Pour accéder à l'aide en ligne de cette fonctionnalité, cliquez sur l'icône Point d'interrogation
(Question Mark).

Attribuer une image logicielle

En tant que super utilisateur d'entreprise, une fois que vous avez provisionné les dispositifs Edge,
vous pouvez modifier ou mettre à jour l'image logicielle qui leur est attribuée à l'aide de Attribuer
une image logicielle (Assign Software Image) sous le menu déroulant Actions dans l'écran
Dispositifs Edge (Edges).

Pour mettre à jour l'image logicielle d'un dispositif Edge, procédez comme suit.

Procédure

1 Sur le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Dans l'écran Dispositifs Edge (Edges), sélectionnez un ou plusieurs dispositifs Edge pour
lesquels vous souhaitez mettre à jour l'image logicielle.

3 Cliquez sur Actions et, dans le menu déroulant, sélectionnez Attribuer une image logicielle
(Assign Software Image).

L'écran Attribuer une image logicielle (Assign Software Image) s'affiche.

VMware, Inc. 380

Guide d'administration de VMware SD-WAN

4 Dans le menu déroulant Logiciel (Software), sélectionnez une image logicielle pour mettre à
jour les dispositifs Edge sélectionnés, puis cliquez sur Mettre à jour (Update).

Un message d'avertissement prévenant l'utilisateur de l'interruption de service s'affiche.

5 Cliquez sur OK pour continuer.

Note Si aucune image logicielle n'est définie pour un dispositif Edge, ce dernier héritera de
l'image logicielle attribuée au client.

Réinitialiser les paramètres d'usine des dispositifs Edge

Les dispositifs SD-WAN Edges doivent être réinitialisés aux paramètres d'usine pour plusieurs
raisons, parmi lesquelles :

n Lorsque vous réaffectez le dispositif Edge à un autre site, vous devez effacer la configuration
existante afin qu'il puisse être activé sur le nouveau site.

n Votre site rencontre un problème pour lequel le support de VMware SD-WAN vous
recommande d'effectuer une réinitialisation matérielle pour rétablir les paramètres d'usine du
dispositif Edge et de réactiver Edge sur le site pour voir si cela résout le problème.

n Le dispositif Edge est inaccessible ou ne répond pas et plusieurs cycles d'alimentation ne

permettent pas de résoudre le problème. Il est recommandé d'effectuer une réinitialisation
matérielle pour rétablir les paramètres d'usine du dispositif Edge et voir si cela résout le
problème.

VMware, Inc. 381

Guide d'administration de VMware SD-WAN

Vous pouvez réinitialiser un dispositif Edge sur les paramètres d'usine à l'aide de l'une des
méthodes suivantes :

n Réinitialisation logicielle ou désactivation : le dispositif Edge est désactivé et toutes les

configurations existantes qu'Edge utilise sont complètement supprimées. Le dispositif Edge
utilise désormais la configuration d'usine d'origine. Toutefois, le logiciel Edge n'est pas affecté
et conserve la version logicielle qu'il avait avant la réinitialisation logicielle. Un dispositif Edge
peut être réactivé sur un autre site ou sur le même site.

n Réinitialisation matérielle : le dispositif Edge est entièrement réinitialisé sur les paramètres
d'usine, c'est-à-dire qu'il est non seulement désactivé et utilise la configuration d'usine, mais
également que la version du logiciel d'usine y est rétablie. Le dispositif Edge se trouve
exactement dans l'état dans lequel il était lorsqu'il a été expédié depuis l'usine.

Si vous réinitialisez un dispositif Edge activement utilisé sur un site, vous perdrez complètement
la connectivité du périphérique client sur le site jusqu'à ce que vous réactiviez le même dispositif
Edge sur le site ou que vous activiez un autre dispositif Edge sur le site.

Pour obtenir des instructions sur la réinitialisation d'un dispositif Edge sur les paramètres d'usine,
reportez-vous à la section Comment rétablir les paramètres d'usine d'un dispositif VMware SD-
WAN Edge.

VMware, Inc. 382

Configurer les informations du
dispositif Edge 15
L'onglet Présentation du dispositif Edge (Edge Overview) affiche des informations spécifiques
au dispositif Edge. Vous pouvez mettre à jour les informations telles que le nom, la description,
les coordonnées, le profil associé et d'autres détails. En outre, vous pouvez effectuer d'autres
activités, telles que l'envoi d'un e-mail pour activer le dispositif Edge, la demande de réactivation
du numéro RMA, etc.

Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges). La
page affiche les dispositifs Edge existants. Cliquez sur le lien d'accès à un dispositif Edge. Dans
l'onglet Présentation du dispositif Edge (Edge Overview), vous pouvez afficher et configurer les
éléments suivants :

VMware, Inc. 383

Guide d'administration de VMware SD-WAN

Propriétés (Properties)
Les informations actuelles du dispositif Edge sélectionné s'affichent. Si nécessaire, vous pouvez
modifier ces informations.

Option Description

Nom (Name) Affiche le nom actuel du dispositif Edge.

Description Affiche la description actuelle du dispositif Edge.

Informations Affiche les informations personnalisées associées au dispositif Edge.

personnalisées (Custom
Info)

Case à cocher Activer les Par défaut, cette option est activée. Elle envoie aux opérateurs des notifications d'alerte
notifications préalables relatives au dispositif Edge.
(Enable Pre-Notifications) Les opérateurs peuvent recevoir les alertes par e-mail, par SMS ou via des interruptions
SNMP. Pour configurer les alertes, reportez-vous à la section Chapitre 21 Configurer les
alertes. Vous pouvez également afficher les alertes en cliquant sur Surveiller (Monitor) >
Alertes (Alerts).

Case à cocher Activer les Par défaut, cette option est activée. Elle envoie aux clients des notifications d'alerte relatives
alertes (Enable Alerts) au dispositif Edge.
Les clients peuvent recevoir les alertes par e-mail, par SMS ou via des interruptions SNMP.
Pour configurer les alertes, reportez-vous à la section Chapitre 21 Configurer les alertes.
Vous pouvez également afficher les alertes en cliquant sur Surveiller (Monitor) > Alertes
(Alerts).

Mode d'authentification Choisissez le mode d'authentification dans la liste suivante :

(Authentication Mode) n Certificat désactivé (Certificate Disabled) : Edge utilise un mode d'authentification par
clé prépartagée.
n Acquisition de certificat (Certificate Acquire) : cette option est sélectionnée par défaut
et demande au dispositif Edge d'obtenir un certificat auprès de l'autorité de certification
de SD-WAN Orchestrator, en générant une paire de clés et en envoyant une demande
de signature de certificat à Orchestrator. Une fois le certificat acquis, le dispositif Edge
l'utilise pour l'authentification auprès de SD-WAN Orchestrator et pour l'établissement
de tunnels VCMP.

Note Après l'acquisition du certificat, l'option peut être mise à jour sur Certificat requis
(Certificate Required).
n Certificat requis (Certificate Required) : le dispositif Edge utilise le certificat PKI. Les
opérateurs peuvent modifier la fenêtre de temps de renouvellement du certificat pour
les dispositifs Edge à l'aide des propriétés système. Pour plus d'informations, contactez
votre opérateur.

Licence (License) Choisissez une licence Edge dans la liste. La liste affiche les licences attribuées à l'entreprise
par l'opérateur.

Afficher le certificat (View Cette option s'affiche lorsque le dispositif Edge dispose d'un certificat valide. Cliquez sur le
Certificate) lien Afficher (View) pour afficher, exporter ou révoquer le certificat.

VMware, Inc. 384

Guide d'administration de VMware SD-WAN

Option Description

État (Status) Affiche l'état du dispositif Edge.

n En attente (Pending) : le dispositif Edge n'a pas été activé.
n Activé (Activated) : le dispositif Edge a été activé.
n Réactivation en attente (Reactivation Pending) : lorsque vous cliquez sur Demander la
réactivation (Request Reactivation), l'état passe à Réactivation en attente (Reactivation
Pending), ce qui indique qu'un dispositif Edge nouveau ou remplacé peut être activé
avec la configuration existante. Quoi qu'il en soit, cet état n'affecte pas la fonctionnalité
du dispositif Edge.

Activé (Activated) Affiche la date et l'heure d'activation du dispositif Edge.

Version logicielle Affiche la version du logiciel et le numéro de build du dispositif Edge.

(Software Version)

Informations Affiche les informations d'identification de l'interface utilisateur locale. Les informations
d'identification locales d'identification par défaut sont :
(Local Credentials) Nom d'utilisateur : admin
Mot de passe : admin123
Cliquez sur Afficher (View) pour modifier les informations d'identification.

Numéro de série (Serial Cette option est disponible lorsque le dispositif Edge est dans l'état En attente (Pending).
Number) Vous pouvez entrer le numéro de série du dispositif Edge (facultatif). S'il est indiqué, le
numéro de série doit correspondre à celui du dispositif Edge lorsqu'il est activé.

Clé d'activation Cette option est disponible lorsque le dispositif Edge est dans l'état En attente (Pending).
(Activation Key) La clé d'activation est valide pendant un mois. Après un mois, la clé expire et un message
d'avertissement s'affiche. Vous pouvez générer une clé en cliquant sur Générer une clé
d'activation (Generate New Activation Key) dans le message d'avertissement.

Envoyer l'e-mail Envoie un e-mail contenant des instructions d'activation au contact du site. Cette option
d'activation (Send n'active pas le dispositif Edge, mais lance le processus d'activation.
Activation Email) Lorsque vous cliquez sur cette option, une fenêtre contextuelle s'affiche avec les détails de
l'e-mail. Vous pouvez modifier les instructions et envoyer l'e-mail.
L'e-mail contient les instructions, ainsi que l'URL d'activation. L'URL affiche la clé
d'activation et l'adresse IP de l'instance de SD-WAN Orchestrator.

Profil (Profile)
Affiche le profil attribué au dispositif Edge et les remplacements et ajouts spécifiques à celui-ci.
Les remplacements du dispositif Edge sont les modifications apportées aux configurations de
profil héritées au niveau du dispositif Edge. Les ajouts du dispositif Edge sont des configurations
non incluses dans le profil, mais qui sont ajoutées au dispositif Edge sélectionné. Un résumé de
tous les remplacements et ajouts du dispositif Edge s'affiche dans cette section.

VMware, Inc. 385

Guide d'administration de VMware SD-WAN

Vous pouvez modifier le profil attribué en sélectionnant un profil dans la liste déroulante.

Note Lorsque vous passez à un autre profil, les configurations de remplacement du

dispositif Edge ne sont pas modifiées.

Note En raison de l'activation en mode Push, un profil de transfert de dispositif Edge peut
s'afficher. Il s'agit d'un nouveau dispositif Edge qui n'est pas configuré par un profil de production.
Dans ce cas, l'administrateur d'entreprise doit attribuer manuellement un profil provenant de la
liste déroulante.

Lors du changement de profil, vérifiez la compatibilité entre un profil d'opérateur attribué par
le client et un profil d'entreprise attribué par Edge. Le tableau suivant fournit la matrice de
compatibilité :

Profil d'entreprise
Profil d'entreprise du dispositif Edge
du dispositif Edge sélectionné (Selected
Type de profil actuel (Current Edge Edge Enterprise
d'opérateur client Enterprise Profile) Profile) Résultat

Basé sur un segment Basé sur un segment Basé sur un segment Aucune modification

Basé sur un réseau Basé sur un réseau Basé sur un réseau Aucune modification

Basé sur un segment Basé sur un réseau Basé sur un segment La configuration du dispositif Edge est
convertie en une configuration basée sur un
segment. Toutefois, elle n'est pas transmise
au dispositif Edge tant que son image
logicielle n'est pas mise à jour vers la
version 3.0 ou une version ultérieure.

Basé sur un réseau Basé sur un réseau Basé sur un segment La configuration du dispositif Edge est
convertie en une configuration basée sur un
segment. Toutefois, elle n'est pas transmise
au dispositif Edge tant que son image
logicielle n'est pas mise à jour vers la
version 3.0 ou une version ultérieure.

Basé sur un segment Basé sur un réseau Basé sur un réseau Le dispositif Edge ne reçoit aucune mise à
jour de l'image.

Basé sur un réseau Basé sur un segment Basé sur un segment Le dispositif Edge ne reçoit aucune mise à
jour de l'image.

Contact et emplacement (Contact & Location)

Affiche les informations actuelles de contact et d'emplacement du dispositif Edge sélectionné.
Vous pouvez modifier les informations de contact. Pour mettre à jour les informations
d'emplacement, cliquez sur Définir l'emplacement (Set Location).

Dans la fenêtre Définir l'emplacement du dispositif Edge (Set Edge Location), mettez à jour
l'emplacement en recherchant l'adresse ou l'entrant manuellement.

VMware, Inc. 386

Guide d'administration de VMware SD-WAN

Si l'adresse d'expédition est différente de l'emplacement du dispositif Edge, décochez la case

Comme ci-dessus (Same as above) en regard de l'adresse d'expédition, puis entrez le contact
d'expédition. Pour mettre à jour l'emplacement d'expédition, cliquez sur Définir l'emplacement
(Set Location). Dans la fenêtre Emplacement d'expédition du dispositif Edge (Edge Shipping
Location), mettez à jour l'emplacement en recherchant l'adresse ou en l'entrant manuellement.

Réactivation du numéro RMA (RMA Reactivation)

Cette option n'est disponible que pour les dispositifs Edge activés. Vous pouvez lancer une
demande de réactivation du numéro RMA pour :

n Remplacer un dispositif Edge en raison d'un dysfonctionnement

n Mettre à niveau un modèle de matériel Edge

Cliquez sur Demander la réactivation (Request Reactivation) pour générer une nouvelle clé
d'activation. L'état du dispositif Edge passe au mode Réactivation en attente (Reactivation
Pending).

Note La clé de réactivation n'est valide que pour un mois.

Cliquez sur Annuler la demande de réactivation (Cancel Reactivation Request) pour annuler la
demande. Lorsque vous annulez la demande, l'état du dispositif Edge passe au mode Activé
(Activated).

VMware, Inc. 387

Guide d'administration de VMware SD-WAN

Si vous le souhaitez, dans la zone Attributs du dispositif Edge RMA (RMA Edge Attributes),
vous pouvez entrer le numéro de série du dispositif Edge. Si vous réactivez un modèle d'Edge
différent, choisissez le modèle dans la liste Modèle RMA (RMA model), puis cliquez sur Mettre à
jour (Update).

Note
n Si le numéro de série et le modèle d'Edge ne correspondent pas au dispositif Edge à activer,
l'activation échoue.

n Un message d'avertissement s'affiche si le modèle RMA (RMA model) sélectionné est différent
du modèle d'Edge actuel. Les paramètres de configuration spécifiques du dispositif Edge et
les remplacements du profil sont supprimés lors de la réactivation, mais les statistiques sont
toujours conservées. Il est recommandé de noter les paramètres de configuration spécifiques
du dispositif Edge, puis de les rajouter au dispositif Edge récemment remplacé, après sa
réactivation.

Cliquez sur Envoyer l'e-mail d'activation (Send Activation Email) pour envoyer l'e-mail
d'activation du dispositif Edge contenant les instructions.

L'e-mail contient les instructions, ainsi que l'URL d'activation. L'URL affiche la clé d'activation et
l'adresse IP de l'instance de SD-WAN Orchestrator.

Pour activer le dispositif Edge :

1 Déconnectez l'ancien dispositif Edge de l'alimentation et du réseau.

2 Connectez le nouveau dispositif Edge à l'alimentation et au réseau. Assurez-vous que le

dispositif Edge est connecté à Internet.

3 Suivez les instructions d'activation contenues dans l'e-mail.

Note Cliquez sur le lien d'activation contenu dans l'e-mail pour activer le dispositif Edge.

Le dispositif Edge télécharge la configuration et le logiciel à partir de SD-WAN Orchestrator et

est activé.

La clé d'activation RMA est valide pendant un mois. Lorsque la clé expire, un message
d'avertissement s'affiche. Pour générer une nouvelle clé, cliquez sur Générer une clé d'activation
(Generate New Activation Key).

Dans la fenêtre Générer une clé d'activation (Generate New Activation Key), spécifiez le nombre
de jours pendant lesquels la clé doit être active, puis cliquez sur Envoyer (Submit).

VMware, Inc. 388

Guide d'administration de VMware SD-WAN

Après avoir généré la clé, réactivez le dispositif Edge avec la nouvelle clé.

Après avoir modifié les informations du dispositif Edge, cliquez sur Enregistrer les modifications
(Save Changes).

VMware, Inc. 389

Configurer un périphérique Edge
16
Il est possible d'effectuer des remplacements de configuration pour certains paramètres qui ont
été attribués à un dispositif Edge. Dans la plupart des cas, un remplacement doit d'abord être
activé, puis les modifications peuvent être apportées.

Des remplacements peuvent être effectués sur les interfaces, le DNS et l'authentification. En
outre, des règles de remplacement peuvent être ajoutées à des règles de pare-feu et de stratégie
d'entreprise existantes. Les règles de remplacement ont priorité sur toutes les autres règles
définies pour la stratégie d'entreprise ou le pare-feu.

Note Les remplacements Edge permettent d'activer les modifications spécifiques au dispositif
Edge pour les paramètres affichés et d'arrêter d'autres mises à jour automatiques à partir du profil
de configuration. Vous pouvez simplement désactiver le remplacement et revenir aux mises à jour
automatiques à tout moment.

Les sections ci-dessous décrivent les zones de l'écran d'onglets Configurer (Configure) >
Dispositifs Edge (Edges) > Périphérique (Device).

VMware, Inc. 390

Guide d'administration de VMware SD-WAN

Certaines zones sont sensibles au segment.

Configurations sensibles au segment :

n Paramètres d'authentification (Authentication Settings)

n Paramètres DNS (DNS Settings)

n Paramètres NetFlow (Netflow Settings)

n Paramètres Syslog (Syslog Settings)

n Paramètres du routage statique (Static Route Settings)

n Sondes ICMP (ICMP Probes)

n Répondeurs ICMP (ICMP Responders)

n Paramètres VRRP (VRRP Settings)

n VPN cloud

n Zones OSPF (OSPF Areas)

n Paramètres BGP (BGP Settings)

n Paramètres de multidiffusion (Multicast Settings)

n Service de sécurité cloud (Cloud Security Service)

Configurations communes :
n Haute disponibilité

n VLAN

n Paramètres du périphérique

n Paramètres WAN (WAN Settings)

n QoS multisource (Multi-Source QoS)

n Paramètres SNMP

n Serveurs NTP

n Mode de visibilité (Visibility Mode)

Note Pour plus d'informations sur OSPF et BGP, reportez-vous à la section Chapitre 20
Configurer le routage dynamique à l'aide d'OSPF ou de BGP.

Ce chapitre contient les rubriques suivantes :

n Configurer les paramètres DSL

n Configurer les paramètres Netflow des dispositifs Edge

n Règles NAT côté LAN au niveau du dispositif Edge

VMware, Inc. 391

Guide d'administration de VMware SD-WAN

n Configurer les paramètres Syslog des dispositifs Edge

n Configurer les paramètres de route statique

n Configurer des sondes/répondeurs ICMP

n Configurer les paramètres VRRP

n Configurer les paramètres de tunnel et de VPN cloud au niveau du dispositif Edge

n Configurer un VLAN pour les dispositifs Edge

n Haute disponibilité (HA)

n Configurer les paramètres du périphérique

n Configurer les remplacements des paramètres de radio Wi-Fi

n VNF de sécurité

n Configurer les paramètres de couche 2 pour les dispositifs Edge

n Configurer les paramètres SNMP des dispositifs Edge

n Configurer les paramètres NTP des dispositifs Edge

n Configurer l'activation du dispositif Edge

Configurer les paramètres DSL

La prise en charge est disponible pour le module Metanoia xDSL SFP (MT 5311). Il s'agit d'un
modem de pont SFP hautement intégré qui fournit une interface compatible SFP enfichable pour
mettre à niveau les périphériques DSL IAD ou Home Gateway existants vers des services de bande
passante plus élevée.

Le module Metanoia xDSL SFP (MT 5311) peut être connecté à un emplacement SFP de
périphérique Edge 610 et utilisé en mode ADSL2+/VDSL2. Ce module doit être acheté par
l'utilisateur. La configuration de DSL n'est disponible que pour le périphérique Edge 610.

Configuration de SFP
Cliquez sur l'interface SFP dans laquelle le module DSL spécifique est branché. Lorsque SFP est
branché, le nom de l'emplacement s'affiche sous la forme SFP1 et SFP2.

VMware, Inc. 392

Guide d'administration de VMware SD-WAN

Pour configurer SFP :

1 Cliquez sur le lien Modifier (Edit) dans la colonne Actions, comme indiqué dans l'image ci-
dessus.

La boîte de dialogue Interface SFP1 pour le périphérique Edge (Edge 610 dans cet exemple)
s'affiche comme illustré dans l'image ci-dessous.

2 La case Interface de remplacement (Override Interface) doit être cochée pour configurer les
paramètres DSL.

3 Cochez la case Interface activée (Interface Enabled).

VMware, Inc. 393

Guide d'administration de VMware SD-WAN

4 Dans la zone Paramètres SFP (SFP Settings), deux options sont disponibles dans le menu
déroulant : Standard et DSL. Choisissez DSL comme module SFP, comme indiqué dans
l'image ci-dessous.

5 Dans la zone Paramètres DSL (DSL Settings), choisissez les paramètres Mode et Profil
(Profile) comme décrit ci-dessous (consultez le tableau des paramètres DSL pour obtenir une
description des options disponibles) :

a Dans le menu déroulant Mode, choisissez l'une des deux options suivantes : VDSL 2 ou
ADSL2/2+. Si vous choisissez ADSL2/2+ comme option de mode, configurez les éléments
suivants.

1 Choisissez un numéro PVC dans le menu déroulant PVC (0-7).

2 Entrez un numéro VPI ou utilisez les flèches vers le haut/vers le bas pour choisir un
numéro dans la zone de texte VPI.

3 Entrez un numéro VCI ou utilisez les flèches vers le haut/vers le bas pour choisir un
numéro dans la zone de texte VCI.

4 Entrez un numéro VLAN PVC ou utilisez les flèches vers le haut/vers le bas pour choisir
un numéro dans la zone de texte VLAN PVC (PVC VLAN).

b Dans le menu déroulant Profil (Profile), choisissez 30 ou 17.

6 Choisissez le type du serveur DHCP.

7 Cliquez sur le bouton Mettre à jour SFP1 (Update SFP1).

Dépannage des paramètres DSL

Test de diagnostic DSL (DSL Diagnostic Test) : le test de diagnostic DSL est disponible
uniquement pour les périphériques 610. L'exécution de ce test indiquera l'état DSL, qui comporte
des informations telles que le mode (Standard ou DSL), le profil, le mode xDSL, etc. comme
indiqué dans l'image ci-dessous.

VMware, Inc. 394

Guide d'administration de VMware SD-WAN

Configurer les paramètres Netflow des dispositifs Edge

En tant qu'administrateur d'entreprise, au niveau du dispositif Edge, vous pouvez remplacer les
paramètres NetFlow spécifiés dans le profil en cochant la case Activer le remplacement au niveau
du dispositif Edge (Enable Edge Override).

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges).

2 Sélectionnez le dispositif Edge pour lequel vous souhaitez remplacer les paramètres NetFlow,
puis cliquez sur l'icône dans la colonne Périphérique (Device).

La page Paramètre du périphérique (Device Setting) du dispositif Edge sélectionné s'affiche.

3 Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un

segment de profil pour configurer les paramètres Netflow.

4 Accédez à la zone Paramètres Netflow (Netflow Settings) et cochez la case Activer le

remplacement au niveau du dispositif Edge (Enable Edge Override).

Au niveau du dispositif Edge, le champ ID d'observation (Observation ID) est renseigné

automatiquement avec l'ID du segment 8 bits et l'ID du dispositif Edge 24 bits. Ce champ ne
peut pas être modifié. L'ID d'observation est unique à un processus d'exportation par segment
et par entreprise.

5 Remplacez les informations du collecteur, du filtre et de l'intervalle d'exportation NetFlow

spécifiées dans le profil en vous référant à l'étape 4 de la section Configurer les paramètres
Netflow des profils.

VMware, Inc. 395

Guide d'administration de VMware SD-WAN

6 Dans le menu déroulant Interface source (Source Interface), sélectionnez une interface Edge
configurée dans le segment comme interface source pour choisir l'adresse IP source des
paquets NetFlow.

Note Veillez à sélectionner manuellement l'interface LAN du dispositif Edge (VLAN/

acheminé/sous-interface) avec l'indicateur « Annoncer » (Advertise) activé comme interface
source. Si Aucune (None) est sélectionné, le dispositif Edge sélectionne automatiquement
une interface LAN (VLAN/routée/sous-interface) qui est « Active » (Up) avec « Annonce »
(Advertise) activé depuis le segment correspondant comme interface source pour ce
collecteur. Si le dispositif Edge ne dispose pas d'interfaces « Active » (Up) avec « Annonce »
(Advertise) activé, l'interface source ne sera pas choisie et les paquets NetFlow ne seront pas
générés.

7 Cliquez sur Enregistrer les modifications (Save Changes).

Résultats

Une fois que vous avez activé NetFlow sur VMware SD-WAN Edge, il envoie périodiquement des
messages au collecteur configuré. Le contenu de ces messages est défini à l'aide de modèles
IPFIX. Pour plus d'informations sur les modèles, reportez-vous à la section Modèles IPFIX.

Règles NAT côté LAN au niveau du dispositif Edge

Les règles NAT côté LAN permettent de connecter des adresses IP en NAT dans un sous-réseau
non annoncé vers des adresses IP dans un sous-réseau annoncé. Aux niveaux du profil et du
dispositif Edge, dans la configuration des paramètres du périphérique, les règles NAT côté LAN
ont été introduites pour la version 3.3.2 et en tant qu'extension, la prise en charge de la NAT
côté LAN basée sur la source et la destination et de la NAT source et de destination sur le même
paquet a été introduite pour la version 3.4.

À partir de la version 3.3.2, VMware a introduit un nouveau module NAT côté LAN pour les routes
de VPN NAT sur le dispositif Edge. Les cas d'utilisation principaux sont les suivants :

n Chevauchement d'adresses IP du site distant en raison des fusions et des acquisitions (M&A)

n Masquage de l'adresse IP privée d'un site distant ou d'un centre de données pour des raisons
de sécurité

Dans la version 3.4, des champs de configuration supplémentaires sont introduits pour le
traitement des cas d'utilisation supplémentaires. Vous trouverez ci-après une répartition générale
de la prise en charge de la NAT côté LAN dans différentes versions :

n NAT source ou de destination pour tous les sous-réseaux correspondants. Les relations 1:1 et
Plusieurs :1 sont prises en charge (version 3.3.2)

n NAT source basée sur le sous-réseau de destination ou NAT de destination basée sur le
sous-réseau source. Les relations 1:1 et Plusieurs :1 sont prises en charge (version 3.4)

VMware, Inc. 396

Guide d'administration de VMware SD-WAN

n NAT source et NAT de destination 1:1 sur le même paquet (version 3.4)

Note
n NAT côté LAN prend en charge le trafic sur le tunnel VCMP. Il ne prend pas en charge le trafic
de sous-couche.

n Prise en charge de la NAT source et de destination « Plusieurs:1 » et NAT source et de

destination « 1:1 » (par exemple, /24 à /24).

n Si vous configurez plusieurs règles, seule la première règle correspondante est exécutée.

n La NAT côté LAN est effectuée avant la recherche de route ou de flux. Pour faire correspondre
le trafic dans le profil d'entreprise, les utilisateurs doivent utiliser l'adresse IP avec NAT.

n Par défaut, les adresses IP avec NAT ne sont pas annoncées à partir du dispositif Edge. Par
conséquent, veillez à ajouter la route statique de l'adresse IP avec NAT et à l'annoncer à la
superposition.

n Les configurations dans 3.3.2 seront transférées. La reconfiguration est inutile lors de la mise à
niveau vers la version 3.4.

NAT côté LAN (version 3.3.2)

Cas d'utilisation 1 : « NAT source Plusieurs:1 »

Dans ce scénario, un tiers a attribué plusieurs sous-réseaux qui ne se chevauchent pas au site d'un
client. Le serveur du centre de données du client reconnaît le trafic provenant de ce tiers par une
adresse IP unique sur n'importe quel site donné.

Configuration requise pour le cas d'utilisation 1 de la version 3.3.2 : Nouvelle règle : NAT côté
LAN [Link]/24 -> [Link]/32

Comme indiqué sur l'image ci-dessous, étant donné que la règle NAT est une adresse IP
unique, le trafic TCP et UDP s'effectue avec NAT. Dans cet exemple, toutefois, [Link]
devient [Link] avec un port source éphémère pour le trafic TCP/UDP. Le trafic ICMP
devient [Link] avec un ID d'ICMP personnalisé pour la recherche inversée, et le trafic restant
est abandonné.

VMware, Inc. 397

Guide d'administration de VMware SD-WAN

Cas d'utilisation 2 : « NAT source 1:1 »

Dans ce scénario, le sous-réseau du LAN est [Link]/24. Toutefois, il s'agit d'un sous-réseau
chevauchant d'autres sites. Un sous-réseau unique de taille égale, [Link]/24 a été attribué
afin d'être utilisé pour la communication du VPN sur ce site. Le trafic du PC doit être effectué avec
NAT sur le dispositif Edge avant la recherche d'une route. Dans le cas contraire, la route source
correspond à [Link]/24 qui n'est pas annoncée à partir de ce dispositif Edge et le trafic est
donc abandonné.

Configuration requise pour le cas d'utilisation 2 : Nouvelle règle : NAT côté LAN [Link]/24
-> [Link]/24

Étant donné que les sous-réseaux correspondent au niveau de la taille, tous les bits correspondant
au masque de sous-réseau sont reliés par NAT. Par conséquent, dans l'exemple de l'image ci-
dessous, [Link] devient [Link].

NAT côté LAN basé sur la source ou la destination (version 3.4)

La version 3.4 introduit la prise en charge de la NAT côté LAN basée sur la source/destination
dans le cadre d'une règle unique, dans laquelle vous pouvez activer la NAT uniquement pour
un sous-ensemble de trafic basé sur des sous-réseaux source ou de destination. Pour cette
amélioration ci-dessous, reportez-vous aux cas d'utilisation suivants.

Cas d'utilisation 1 : « effectuez une SNAT ou une DNAT avec la source ou la destination comme
critères de correspondance »

VMware, Inc. 398

Guide d'administration de VMware SD-WAN

Dans l'exemple d'illustration ci-dessous, le site distant doit connecter en NAT l'adresse IP
source [Link] à [Link] uniquement pour le trafic destiné à [Link]/24. De même, au
niveau du contrôleur de domaine, l'adresse IP de destination [Link] doit être connectée en NAT
à [Link] uniquement si le trafic est reçu à partir de l'adresse IP source [Link]/24.

Reportez-vous à l'image ci-dessous (zone Règles NAT côté LAN [LAN-side NAT Rules] pour le site
distant).

Reportez-vous à l'image ci-dessous (zone Règles NAT côté LAN [LAN-side NAT Rules] pour le
Hub).

Cas d'utilisation 2 : pour connecter en NAT les adresses IP source et de destination sur le
paquet

VMware, Inc. 399

Guide d'administration de VMware SD-WAN

Prenez le scénario ci-dessous. Dans cet exemple, le même sous-réseau est attribué à chaque site
du réseau de sorte que le LAN du site distant soit identique sur chaque site. « PC 1 » et « PC 2 »
disposent de la même adresse IP et doivent communiquer avec un serveur derrière le Hub. Nous
devons effectuer une NAT source du trafic afin d'utiliser un chevauchement d'adresses IP, par
exemple sur le dispositif 1. Les PC ([Link]/24) doivent être reliés par NAT à [Link]/24.
Sur le dispositif Edge 2, les PC ([Link]/24) doivent être reliés par NAT à [Link]/24.

En outre, pour des raisons de sécurité, le serveur derrière le Hub avec l'adresse IP réelle
« [Link] » doit être présenté aux PC sous « [Link] ». Cette adresse IP ne doit pas être
distribuée à SD-WAN entre le Hub et le dispositif Edge. Les règles de combinaison source +
destination sur le même dispositif Edge sont requises.

Note Vous pouvez configurer les règles NAT côté LAN au niveau du profil ou du dispositif
Edge. Pour effectuer la configuration au niveau du dispositif Edge, vérifiez que la case Activer le
remplacement au niveau du dispositif Edge (Enable Edge Override) est cochée.

Cas d'utilisation n° 3 : NAT de destination plusieurs-à-plusieurs pour un sous-réseau NSD

Comme illustré sur l'image ci-dessous, le LAN du dispositif Edge est [Link]/24 et le sous-
réseau du site NVS est [Link]/24. La règle DNAT côté LAN a été configurée pour
couvrir [Link]/24 vers [Link]/24. La passerelle transfère la route du centre de données
du sous-réseau NVS ([Link]/24) vers le dispositif Edge, qui a été configuré dans l'instance
classique de VMware Orchestrator. Lorsque le trafic du client LAN ([Link]) est initié

VMware, Inc. 400

Guide d'administration de VMware SD-WAN

vers [Link], [Link] est alors converti en [Link], conformément à la règle DNAT. Du
dispositif Edge vers la passerelle, le trafic de VCMP et GW vers NSD s'effectue via un tunnel IPSEC
comme d'habitude. Si le client NVS initie le trafic vers [Link], l'adresse IP source [Link] est
convertie en [Link] conformément à la règle DNAT.

Note Pour le trafic inverse, le cas d'utilisation fonctionne comme SNAT.

Configurer la procédure
Remarque : si les utilisateurs souhaitent configurer la règle par défaut, « indifférent » (any), ils
doivent spécifier que l'adresse IP est uniquement composée de zéros et que le préfixe doit être
également zéro : [Link]/0.

Pour appliquer des règles NAT côté LAN :

1 Dans le panneau de configuration, accédez à Configurer (Configure) > Dispositifs Edge

(Edges).

2 Dans l'écran de l'onglet Paramètres du périphérique (Device Settings), faites défiler la liste
vers le bas jusqu'à la zone Règles NAT côté LAN (LAN-Side NAT Rules).

3 Dans la zone Règles NAT côté LAN (LAN-Side NAT Rules), effectuez les opérations suivantes
dans la section Source ou destination NAT : (pour obtenir une description des champs dans les
étapes ci-dessous, reportez-vous au tableau ci-dessous).

a Entrez une adresse dans la zone de texte Adresse interne (Inside Address).

b Entrez une adresse dans la zone de texte Adresse externe (Outside Address).

c Entrez la route source dans la zone de texte appropriée.

VMware, Inc. 401

Guide d'administration de VMware SD-WAN

d Entrez la route de destination dans la zone de texte appropriée.

e Entrez une description de la règle dans la zone de texte Description (facultatif).

4 Dans la zone Règles NAT côté LAN (LAN-Side NAT Rules), renseignez les éléments suivants
pour la source ou la destination NAT : (pour obtenir une description des champs dans les
étapes ci-dessous, reportez-vous au tableau ci-dessous).

a Dans le type Source, entrez l'Adresse interne (Inside Address) et l'Adresse externe
(Outside Address) dans les zones de texte appropriées.

b Dans le type Destination, entrez l'Adresse interne (Inside Address) et l'Adresse externe
(Outside Address) dans les zones de texte appropriées.

c Entrez une description de la règle dans la zone de texte Description (facultatif).

Règle NAT côté LAN Type Description

Menu déroulant Type Sélectionner Source ou Destination Déterminez si cette règle NAT doit être
appliquée sur l'adresse IP source ou de
destination du trafic utilisateur.

Zone de texte Adresse interne (Inside Adresse IPv4/préfixe, le préfixe doit L'adresse IP « interne » ou « avant
Address) être compris entre 1 et 32 NAT » (si le préfixe est 32) ou le sous-
réseau (si le préfixe est inférieur à 32).

Zone de texte Adresse externe Adresse IPv4/préfixe, le préfixe doit L'adresse IP « externe » ou « après
(Outside Address) être compris entre 1 et 32 NAT » (si le préfixe est 32) ou le sous-
réseau (si le préfixe est inférieur à 32).

Zone de texte Route source (Source - Facultatif Pour la NAT de destination,

Route) - Adresse IPv4/préfixe spécifiez l'adresse IP source/le
sous-réseau comme critères de
- Le préfixe doit être compris entre 1
correspondance. Uniquement valide si
et 32
le type est « Destination ».
- Par défaut : n'importe lequel

Zone de texte Route de destination - Facultatif Pour la NAT source, spécifiez

(Destination Route) - Adresse IPv4/préfixe l'adresse IP de destination/le
sous-réseau comme critères de
- Le préfixe doit être compris entre 1
[Link] valide si
et 32
le type est « Source ».
- Par défaut : n'importe lequel

Zone de texte Description Texte Zone de texte personnalisée

permettant de décrire la règle NAT.

VMware, Inc. 402

Guide d'administration de VMware SD-WAN

Note Important : si le préfixe interne est inférieur au préfixe externe, prend en charge la NAT
Plusieurs:1 dans la direction LAN vers WAN et la NAT 1:1 dans la direction WAN vers LAN.
Par exemple, si l'adresse interne = [Link]/24, l'adresse externe = [Link]/32 et le type =
source, pour les sessions de LAN vers WAN avec l'adresse IP source correspondant à l'« adresse
interne », [Link] est traduite en [Link]. Pour les sessions de WAN vers LAN avec l'adresse
IP de destination correspondant à l'« adresse externe », [Link] est traduite en [Link]. De
même, si le préfixe interne est supérieur au préfixe externe, prend en charge la NAT Plusieurs:1
dans la direction WAN vers LAN et la NAT 1:1 dans la direction LAN vers LAN. L'adresse IP avec
NAT n'est pas automatiquement annoncée. Veillez à configurer une route statique pour cette
adresse IP avec NAT. Le next-hop doit être l'adresse IP du next-hop du LAN du sous-réseau
source.

« Aide-mémoire » NAT côté LAN

Cas d'utilisation 1 :

n Sens du trafic : LAN->WAN

n Éléments devant être traduits : adresse source du paquet

n Mappage de configuration :

n Type de NAT = « source »

n Adresse IP d'orig. = « Adresse interne »

n Adresse IP NAT = « Adresse externe »

VMware, Inc. 403

Guide d'administration de VMware SD-WAN

Comportement LAN-
Type de NAT Intérieure Extérieure Type >WAN

Source A.0/24 B.0/24 1:1 A.1 est traduit en B.1,

A.2 en B.2, etc.

Source A.0/24 B.1/32 Plusieurs :1 A.1 et A.2 sont

traduits en B.1

Source A.1/32 B.0/24 1:1 A.1 est traduit en B.1,

les autres B.X sont
inutilisés

Cas d'utilisation 2 :

n Sens du trafic : WAN -> LAN

n Éléments devant être traduits : adresse de destination du paquet

n Mappage de configuration :

n Type de NAT = « source »

n Adresse IP d'orig. = « Adresse externe »

n Adresse IP NAT = « Adresse interne »

Comportement
Type de NAT Intérieure Extérieure Type WAN->LAN

Source A.0/24 B.0/24 1:1 B.1 est traduit en A.1,

B.2 est traduit en A.2,
etc.

Source A.0/24 B.1/32 Plusieurs :1 B.1 est traduit en A.1

Source A.1/32 B.0/24 1:Plusieurs B.1 et B.2 sont

traduits en A.1

Cas d'utilisation 3 :

n Sens du trafic : LAN->WAN

n Éléments devant être traduits : adresse de destination du paquet

n Mappage de configuration :

n Type de NAT = « Destination »

n Adresse IP d'orig. = « Adresse interne »

n Adresse IP NAT = « Adresse externe »

VMware, Inc. 404

Guide d'administration de VMware SD-WAN

Comportement LAN-
Type de NAT Intérieure Extérieure Type >WAN

Destination A.0/24 B.0/24 1:1 A.1 est traduit en B.1,

A.1 en B.2, etc.

Destination A.0/24 B.1/32 Plusieurs :1 A.1 et A.2 sont

traduits en B.1

Destination A.1/32 B.0/24 1:Plusieurs B.1 est traduit en B.1

Cas d'utilisation 4 :

n Sens du trafic : WAN -> LAN

n Éléments devant être traduits : adresse source du paquet

n Mappage de configuration :

n Type de NAT = « Destination »

n Adresse IP d'orig. = « Adresse externe »

n Adresse IP NAT = « Adresse interne »

Comportement
Type de NAT Intérieure Extérieure Type WAN->LAN

Destination A.0/24 B.0/24 1:1 B.1 est traduit en A.1,

B.2 est traduit
en A.2, etc.

Destination A.0/24 B.1/32 Plusieurs :1 B.1 est traduit en A.1

Destination A.1/32 B.0/24 1 :Plusieurs B.1 et B.2 sont

traduits en A.1

Configurer les paramètres Syslog des dispositifs Edge

Dans un réseau d'entreprise, SD-WAN Orchestrator prend en charge la collecte des événements
liés à SD-WAN Orchestrator et des journaux de pare-feu provenant du dispositif SD-WAN Edges
d'entreprise vers un ou plusieurs collecteurs Syslog distants centralisés (serveurs), au format
Syslog natif. Au niveau du dispositif Edge, vous pouvez remplacer les paramètres Syslog spécifiés
dans le profil en cochant la case Activer le remplacement au niveau du dispositif Edge (Enable
Edge Override).

Pour remplacer les paramètres Syslog au niveau du dispositif Edge, procédez comme suit.

Conditions préalables

n Assurez-vous que le VPN cloud (paramètres VPN branche-vers-branche) est configuré pour
le dispositif SD-WAN Edge (à partir de l'emplacement d'origine des événements liés à SD-
WAN Orchestrator) pour établir un chemin entre le dispositif SD-WAN Edge et les collecteurs
Syslog. Pour plus d'informations, reportez-vous à la section Configurer le VPN cloud pour les
profils.

VMware, Inc. 405

Guide d'administration de VMware SD-WAN

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges).

La page SD-WAN Edges s'affiche.

2 Sélectionnez un dispositif Edge pour lequel vous souhaitez remplacer les paramètres Syslog,
puis cliquez sur l'icône dans la colonne Périphérique (Device).

La page Paramètres du périphérique du dispositif Edge sélectionné s'affiche.

3 Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un

segment du profil pour configurer les paramètres Syslog. Par défaut, Segment global
[Normal] (Global Segment [Regular]) est sélectionné.

4 Accédez à la zone Paramètres Syslog (Syslog Settings) et cochez la case Activer le

remplacement au niveau du dispositif Edge (Enable Edge Override).

5 Dans le menu déroulant Interface source (Source Interface), sélectionnez l'une des interfaces
Edge configurées dans le segment comme interface source.

6 Remplacez les autres paramètres Syslog spécifiés dans le profil associé au dispositif Edge en
suivant l'étape 4 de la section Configurer les paramètres Syslog pour les profils.

7 Cliquez sur le bouton + pour ajouter un autre collecteur Syslog ou cliquez sur Enregistrer les
modifications (Save Changes). Les paramètres Syslog du dispositif Edge seront remplacés.

Note Vous pouvez configurer un maximum de deux collecteurs Syslog par segment et
10 collecteurs Syslog par dispositif Edge. Lorsque le nombre de collecteurs configurés atteint
la limite maximale autorisée, le bouton + est désactivé.

Note En fonction du rôle sélectionné, le dispositif Edge exporte les journaux correspondants
dans le niveau de gravité spécifié vers le collecteur Syslog distant. Si vous souhaitez que
les événements locaux générés automatiquement par SD-WAN Orchestrator soient reçus au
niveau du collecteur Syslog, vous devez configurer Syslog au niveau de SD-WAN Orchestrator
à l'aide des propriétés système [Link] et [Link].

Pour comprendre le format d'un message Syslog pour les journaux de pare-feu, reportez-vous
à la section Format de message Syslog pour les journaux de pare-feu.

VMware, Inc. 406

Guide d'administration de VMware SD-WAN

Étape suivante

Sur la page Pare-feu (Firewall) de la configuration du dispositif Edge, activez le bouton Transfert
Syslog (Syslog Forwarding) si vous souhaitez transférer les journaux de pare-feu provenant du
dispositif SD-WAN Edges d'entreprise vers les collecteurs Syslog configurés.

Note Par défaut, le bouton Transfert Syslog (Syslog Forwarding) est disponible sur la page
Pare-feu (Firewall) de la configuration du profil ou du dispositif Edge, et est désactivé.

Pour plus d'informations sur les paramètres de pare-feu au niveau du dispositif Edge, reportez-
vous à la section Configurer le pare-feu pour les dispositifs Edge.

Configurer les paramètres de route statique

Les Paramètres du routage statique (Static Route Settings) sont utiles dans des cas spécifiques
où les routes statiques sont nécessaires aux périphériques attachés au réseau existant (tels que
des imprimantes). Vous pouvez ajouter des paramètres de route statique supplémentaires (icône
plus « + ») ou les supprimer (icône moins « - ») situés à droite de la boîte de dialogue.

Pour plus d'informations sur les paramètres de la boîte de dialogue, reportez-vous au tableau
suivant.

Pour spécifier les paramètres de route statique :

1 Entrez le sous-réseau de la route.

2 Entrez l'adresse IP de la route.

3 Sélectionnez l'interface WAN à laquelle la route statique sera liée.

4 Cochez la case Diffusion (Broadcast) pour annoncer cette route sur VPN et autoriser d'autres
dispositifs Edge du réseau à accéder à cette ressource.

5 Vous pouvez éventuellement ajouter une description pour la route.

Configurer des sondes/répondeurs ICMP

Les gestionnaires ICMP peuvent être nécessaires à l'activation de l'intégration à un routeur
externe qui exécute la fonctionnalité de routage dynamique et qui nécessite des informations
avec état sur l'accessibilité de la route via VMware. La zone Paramètres du périphérique (Device
Settings) fournit des sections permettant de spécifier des sondes et des répondeurs ICMP.

VMware, Inc. 407

Guide d'administration de VMware SD-WAN

Vous pouvez spécifier des paramètres de sondes ICMP pour le nom, le balisage VLAN
(aucun, 802.1q, 802.1ad, QinQ [0x8100] ou QinQ [0x9100]), les balises C, les balises S, les
adresses IP Source/Destination/Next-hop, la fréquence d'envoi des demandes Ping et le seuil
de la valeur du nombre de demandes Ping manquées qui entraîne l'inaccessibilité de la route à
marquer.

Vous pouvez spécifier les répondeurs ICMP pour les paramètres Nom (Name), Adresse IP (IP
Address) et Mode (Conditionnel [Conditional] ou Toujours [Always]).

n Toujours (Always) : le dispositif Edge répond toujours aux sondes ICMP.

n Conditionnel (Conditional) : le dispositif Edge ne répond qu'aux sondes ICMP lorsque la

superposition SD-WAN est active.

Configurer les paramètres VRRP

Vous pouvez configurer le protocole VRRP (Virtual Router Redundancy Protocol) sur un dispositif
Edge pour activer la redondance du tronçon suivant dans le réseau SD-WAN Orchestrator par
couplage avec le routeur CE tiers. Vous pouvez configurer un dispositif Edge pour qu'il soit un
périphérique VRRP principal et coupler celui-ci avec un routeur tiers.

L'illustration suivante montre un réseau configuré avec VRRP :

OU

MPLS MPLS Internet MPLS Internet

L2 VRRP L2

LAN Tunnel VCMP LAN

VMware, Inc. 408

Guide d'administration de VMware SD-WAN

Conditions préalables

Tenez compte des directives suivantes avant de configurer VRRP :

n Vous ne pouvez activer le protocole VRRP qu'entre le dispositif SD-WAN Edge et le routeur
tiers connecté au même sous-réseau via un commutateur L2.

n Vous ne pouvez ajouter qu'un seul dispositif SD-WAN Edge au groupe HA de VRRP dans une
branche.

n Vous ne pouvez pas activer simultanément Actif-En veille (Active-Standby) HA et VRRP HA.

n VRRP est pris en charge sur le port routé principal, la sous-interface et les interfaces VLAN.

n Vous devez configurer SD-WAN Edge en tant que périphérique VRRP principal, en définissant
une priorité plus élevée, afin de diriger le trafic via SD-WAN.

n Si le dispositif SD-WAN Edge est configuré en tant que serveur DHCP, les adresses IP
virtuelles sont définies comme adresse de passerelle par défaut pour les clients. Lorsque
vous utilisez un relais de serveur DHCP distinct pour le LAN, l'administrateur doit configurer
l'adresse IP virtuelle VRRP en tant qu'adresse de passerelle par défaut.

n Lorsque le serveur DHCP est activé à la fois sur le dispositif SD-WAN Edge et le routeur
tiers, fractionnez le pool DHCP entre le dispositif Edge et le routeur tiers, afin d'éviter le
chevauchement des adresses IP.

n VRRP n'est pas pris en charge sur une interface activée avec la superposition WAN, qui se
trouve sur la liaison WAN. Si vous souhaitez utiliser la même liaison pour le LAN, créez une
sous-interface et configurez VRRP sur la sous-interface.

n Vous ne pouvez configurer qu'un seul groupe VRRP dans un domaine de diffusion d'un
VLAN. Vous ne pouvez pas ajouter un groupe VRRP supplémentaire pour les adresses IP
secondaires.

n N'ajoutez aucune liaison WI-FI au VLAN compatible VRRP. Étant donné qu'il ne se produit
jamais de panne de liaison, le dispositif SD-WAN Edge reste toujours le périphérique principal.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) correspondant au dispositif Edge ou cliquez sur
celui-ci, puis cliquez sur l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), cochez la case VRRP avec un routeur tiers (VRRP with
Third-Party Router) sous Haute disponibilité (High Availability).

VMware, Inc. 409

Guide d'administration de VMware SD-WAN

4 Dans Paramètres VRRP (VRRP Settings), configurez les éléments suivants :

a VRID : entrez l'ID de groupe VRRP. La plage est comprise entre 1 et 255.

b Interface : sélectionnez une interface physique ou VLAN dans la liste. Le protocole VRRP
est configuré sur l'interface sélectionnée.

c Adresse IP virtuelle (Virtual IP) : entrez une adresse IP virtuelle pour identifier la paire
VRRP. Assurez-vous que l'adresse IP virtuelle est différente de l'adresse IP de l'interface
Edge ou du routeur tiers.

d Intervalle d'annonce (Advertise Interval) : entrez l'intervalle de temps durant lequel le

périphérique VRRP principal envoie des paquets de publication VRRP à d'autres membres
du groupe VRRP.

e Priorité (Priority) : pour configurer le dispositif Edge en tant que périphérique VRRP
principal, entrez une valeur supérieure à la valeur de priorité du routeur tiers. La valeur par
défaut est de 100.

f Délai d'anticipation (Preempt Delay) : cochez cette case pour que le dispositif SD-WAN
Edge puisse anticiper le routeur tiers qui est actuellement le périphérique principal, après
le délai d'anticipation spécifié.

5 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 410

Guide d'administration de VMware SD-WAN

Résultats

Dans un VLAN de réseau de branche, les clients se trouvant derrière le VLAN sont redirigés via le
routeur de sauvegarde en cas de panne du dispositif Edge.

Le dispositif SD-WAN Edge qui agit comme périphérique VRRP principal devient la passerelle par
défaut pour le sous-réseau.

Si le dispositif SD-WAN Edge perd la connectivité avec toutes les instances de SD-WAN Edge/
tous les contrôleurs, la priorité VRRP est réduite à 10 et SD-WAN Edge retire les routes apprises
du dispositif SD-WAN Edge, ainsi que les routes des dispositifs Edge distants. Le routeur tiers
devient ainsi le périphérique principal et prend en charge le trafic.

SD-WAN Edge suit automatiquement l'échec de la superposition sur SD-WAN Edge. Lorsque
tous les chemins de superposition vers SD-WAN Edge sont perdus, la priorité VRRP de SD-WAN
Edge est réduite à 10.

Lorsque le dispositif Edge passe en mode de sauvegarde VRRP, le dispositif Edge abandonne
les paquets utilisant l'adresse MAC virtuelle. Lorsque le chemin est ACTIF (UP), le dispositif Edge
redevient le périphérique VRRP principal, à condition que le mode de préemption soit activé.

Lorsque le protocole VRRP est configuré sur une interface acheminée, celle-ci est utilisée pour
l'accès au LAN local et peut basculer vers le routeur de sauvegarde.

VRRP n'est pas pris en charge sur une interface acheminée activée avec la superposition WAN.
Dans ce cas, une sous-interface, partageant la même interface physique, doit être configurée pour
un accès au LAN local afin de prendre en charge VRRP.

Lorsque l'interface LAN est inactive, l'instance de VRRP passe à l'état INIT, puis le dispositif
SD-WAN Edge envoie la demande de retrait de route à SD-WAN Edge/au contrôleur et tous les
dispositifs SD-WAN Edge distants suppriment ces routes. Ce comportement s'applique également
aux routes statiques ajoutées à l'interface compatible VRRP.

Si la superposition privée est présente avec le hub homologue du dispositif SD-WAN Edge, la
route n'est pas supprimée du hub et peut provoquer un routage asymétrique. Par exemple,
lorsque le spoke SD-WAN Edge perd la connectivité avec la passerelle publique, le routeur tiers
transfère les paquets du LAN vers le dispositif SD-WAN Hub Edge. Le Hub envoie les paquets
de retour au dispositif Edge en mode spoke SD-WAN au lieu du routeur tiers. Pour résoudre ce
problème, activez la fonctionnalité SD-WAN accessible (SD-WAN Reachable) afin que SD-WAN
Edge soit accessible sur la superposition privée et reste en tant que périphérique VRRP principal.
À mesure que le trafic Internet est également dirigé via la liaison privée sur la superposition via
SD-WAN Edge, une restriction au niveau des performances ou du débit peut se produire.

L'option de déroutement conditionnel est utilisée pour diriger le trafic Internet via le Hub.
Cependant, dans le dispositif SD-WAN Edge compatible VRRP, le dispositif Edge devient une
sauvegarde lorsque la superposition publique tombe en panne. Par conséquent, vous ne pouvez
pas utiliser la fonctionnalité de déroutement conditionnel sur un dispositif Edge compatible VRRP.

Surveiller les événements VRRP

Vous pouvez surveiller les événements associés aux modifications de la configuration VRRP.

VMware, Inc. 411

Guide d'administration de VMware SD-WAN

Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Événements (Events).

Pour afficher les événements associés à VRRP, vous pouvez utiliser l'option Filtre (Filter). Cliquez
sur la flèche déroulante en regard de l'option Rechercher (Search) et choisissez de filtrer en
fonction de la colonne Événement (Event). Les événements suivants sont disponibles pour VRRP :

n HA VRRP mise à jour vers l'instance principale

n HA VRRP mise à jour à partir de l'instance principale

n Échec de VRRP

L'image suivante montre certains événements VRRP.

Vous pouvez également afficher les événements dans la nouvelle interface utilisateur
d'Orchestrator.

Cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator (Open New Orchestrator UI),
puis sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator UI)
dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant les
options de surveillance. Cliquez sur Événements (Events). Cliquez sur l'icône Filtre (Filter) dans
l'option Rechercher (Search) pour filtrer les événements VRRP.

Configurer les paramètres de tunnel et de VPN cloud au

niveau du dispositif Edge
Les paramètres VPN cloud du dispositif Edge sont hérités du profil associé au dispositif Edge
et peuvent être vérifiés dans l'onglet Périphérique (Device) du dispositif Edge. Au niveau du
dispositif Edge, vous pouvez remplacer les paramètres de Branche vers destination non-SD-WAN
via un dispositif Edge (Branch to Non SD-WAN Destination via Edge) hérités d'un profil et

VMware, Inc. 412

Guide d'administration de VMware SD-WAN

configurer des paramètres de tunnel (sélection de liaisons WAN et informations d'identification

par tunnel).

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges).

2 Sélectionnez un dispositif Edge dont vous souhaitez remplacer les paramètres de Non VMware
SD-WAN Site, puis cliquez sur l'icône située sous la colonne Périphérique (Device). La page
Paramètre du périphérique (Device Setting) du dispositif Edge sélectionné s'affiche.

3 Accédez à la zone Branche vers destination non-SD-WAN via un dispositif Edge (Branch to
Non SD-WAN Destination via Edge) et cochez la case Activer le remplacement au niveau du
dispositif Edge (Enable Edge Override).

4 Remplacez les paramètres de Non VMware SD-WAN Site hérités du profil si nécessaire.

Note Les modifications de configuration apportées aux paramètres de Branche vers

destination non-SD-WAN via une passerelle (Branch to Non SD-WAN Destination via
Gateway) ne peuvent être effectuées que dans le niveau de profil associé.

5 Sous Action, cliquez sur Ajouter (Add) pour ajouter des tunnels. La fenêtre contextuelle
Ajouter un tunnel (Add Tunnel) s'affiche.

VMware, Inc. 413

Guide d'administration de VMware SD-WAN

6 Entrez les détails suivants pour configurer un tunnel vers le Non VMware SD-WAN Site et
cliquez sur Enregistrer les modifications (Save Changes).

Champ Description

Liaison WAN publique (Public WAN Link)

Type d'identification locale (Local Identification Type) Sélectionnez l'un des types d'authentification locale dans
le menu déroulant :
n Nom de domaine complet (FQDN) : nom de domaine
complet ou nom d'hôte. Par exemple, [Link].
n Nom de domaine complet de l'utilisateur (User
FQDN) : nom de domaine complet de l'utilisateur
sous la forme d'une adresse e-mail. Par exemple,
utilisateur@[Link].
n IPv4 : adresse IP utilisée pour communiquer avec la
passerelle locale.

Identification locale (Local Identification) L'ID d'authentification locale définit le format et

l'identification de la passerelle locale. Pour le type
d'identification locale sélectionné, entrez une valeur
valide. Les valeurs acceptées sont l'adresse IP, Nom de
domaine complet de l'utilisateur (User FQDN) (adresse
e-mail) et Nom de domaine complet (FQDN) (nom
d'hôte ou nom de domaine). La valeur par défaut est
adresse IPv4 locale.

PSK Entrez la clé prépartagée (PSK), qui est la clé de sécurité

pour l'authentification du tunnel dans la zone de texte.

Adresse IP publique principale de destination Entrez l'adresse IP publique de la passerelle VPN

(Destination Primary Public IP) principale de destination.

Adresse IP publique secondaire de destination Entrez l'adresse IP publique de la passerelle VPN

(Destination Secondary Public IP) secondaire de destination.

7 Cliquez sur Enregistrer les modifications (Save Changes).

VMware, Inc. 414

Guide d'administration de VMware SD-WAN

Configurer un VLAN pour les dispositifs Edge

Au niveau du dispositif Edge, vous pouvez ajouter un nouveau VLAN ou mettre à jour les
paramètres VLAN existants hérités du profil associé. Lors de la configuration d'un nouveau VLAN
au niveau du dispositif Edge, SD-WAN Orchestrator vous permet de configurer des paramètres
VLAN supplémentaires propres au dispositif Edge, tels que des adresses IP fixes, des interfaces
LAN et l'identifiant SSID des interfaces Wi-Fi.

Pour configurer les paramètres VLAN au niveau du dispositif Edge, procédez comme suit :

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges). La
page SD-WAN Edges s'affiche.

2 Sélectionnez un dispositif Edge pour configurer un VLAN, puis cliquez sur l'icône sous la
colonne Périphérique (Device). La page Paramètre du périphérique (Device Setting) du profil
sélectionné s'affiche.

3 Pour ajouter un nouveau VLAN, accédez à la zone Configurer le VLAN (Configure VLAN),
puis cliquez sur Ajouter un VLAN (Add VLAN).

4 Dans la boîte de dialogue VLAN, configurez les détails suivants :

a Dans le menu déroulant Segment, sélectionnez un segment du profil pour configurer le

VLAN.

b Dans la zone de texte Nom du VLAN (VLAN Name), entrez un nom unique pour le VLAN.

c Dans la zone de texte ID VLAN (VLAN Id), entrez un identifiant unique pour le VLAN.

VMware, Inc. 415

Guide d'administration de VMware SD-WAN

d Le champ Attribuer des sous-réseaux se chevauchant (Assign Overlapping Subnets)

qui autorise l'adressage IP du LAN est géré à partir du profil attribué de ce dispositif
Edge. Lorsque l'option Attribuer des sous-réseaux se chevauchant (Assign Overlapping
Subnets) est cochée, les valeurs des options Adresse IP du LAN du dispositif Edge (Edge
LAN IP Address), Préfixe CIDR (CIDR Prefix) et DHCP sont héritées du profil associé
et sont en lecture seule. L'adresse Réseau (Network) sera automatiquement définie en
fonction du masque de sous-réseau et de la valeur CIDR.

e Cochez la case Annoncer (Advertise) pour annoncer le VLAN à d'autres branches du

réseau.

f Cochez la case Réponse ECHO ICMP (ICMP Echo Response) pour permettre au VLAN de
répondre aux messages ECHO ICMP.

g Cochez la case Insertion de la VNF (VNF Insertion) pour activer l'insertion VNF (Virtual
Network Function, fonction réseau virtuelle) Edge.

Note L'insertion de la VNF exige que le segment sélectionné dispose d'un VLAN de
service. Pour plus d'informations sur la VNF, reportez-vous à la section VNF de sécurité.

h Dans le champ Adresses IP fixes (Fixed IPs), entrez les adresses IP fixes liées à des
adresses MAC spécifiques pour le VLAN.

i Configurez les interfaces LAN et les SSID Wi-Fi pour le VLAN.

j Si la fonctionnalité de multidiffusion est activée pour le segment sélectionné, vous pouvez

configurer les paramètres Multidiffusion (Multicast) en activant les cases IGMP et PIM.

k Sous la zone DHCP, choisissez l'un des éléments suivants comme type DHCP :

n Activé (Enabled) : active DHCP avec le dispositif Edge en tant que serveur DHCP.
Lorsque vous choisissez cette option, vous devez fournir les informations suivantes :

n Début DHCP (DHCP Start) : entrez une adresse IP valide disponible dans un sous-
réseau en tant qu'adresse IP de début DHCP.

n Nombre d'adresses (Num Addresses) : entrez le nombre d'adresses IP disponibles

sur un sous-réseau du serveur DHCP.

n Durée de bail (Lease Time) : dans le menu déroulant, sélectionnez la période

pendant laquelle le VLAN est autorisé à utiliser une adresse IP affectée
dynamiquement par le serveur DHCP.

Vous pouvez également ajouter une ou plusieurs options DHCP dans lesquelles vous
spécifiez des options prédéfinies ou ajoutez des options personnalisées.

n Relais (Relay) : active DHCP avec l'agent de relais DHCP installé à un emplacement
distant. Si vous choisissez cette option, vous pouvez spécifier l'adresse IP d'un ou de
plusieurs agents de relais.

n Désactivé (Disabled) : désactive DHCP.

VMware, Inc. 416

Guide d'administration de VMware SD-WAN

l Configurez les paramètres OSPF si la fonctionnalité OSPF est activée pour le segment
sélectionné.

m Cliquez sur Ajouter un VLAN (Add VLAN).

5 Pour mettre à jour les paramètres VLAN hérités du profil, sous la colonne Actions, cliquez sur
le lien Modifier (Edit) correspondant au VLAN. La boîte de dialogue VLAN apparaît.

6 Cochez la case Activer le remplacement au niveau du dispositif Edge (Enable Edge

Override) pour remplacer les paramètres VLAN hérités du profil.

Note Vous ne pourrez pas remplacer le nom et l'ID du VLAN du profil.

Pour configurer des VLAN au niveau du profil, reportez-vous à la section Configurer un VLAN
pour les profils.

Haute disponibilité (HA)

Activez la haute disponibilité (HA) pour le dispositif Edge ici.

VMware, Inc. 417

Guide d'administration de VMware SD-WAN

Pour plus
d'informations sur l'installation et la configuration de HA, reportez-vous à la section Configuration
HA.

Configurer les paramètres du périphérique

L'écran Paramètres du périphérique (Device Settings) Edge permet d'effectuer les tâches
suivantes :

n Définir les paramètres VLAN

n Remplacer des paramètres Syslog

n Remplacer des paramètres de l'interface de profil

n Ajouter une superposition WAN définie par l'utilisateur

n Configurer NAT pour le réseau se chevauchant

Configurer le serveur DHCP sur des interfaces acheminées

Vous pouvez configurer le serveur DHCP sur une interface routée dans un dispositif Edge.

Pour configurer les paramètres du serveur DHCP :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou sur le lien d'accès
au dispositif Edge, puis cliquez sur l'onglet Périphérique (Device).

3 Faites défiler la liste vers le bas jusqu'à la section Paramètres du périphérique (Device
Settings), puis cliquez sur la flèche Bas (DOWN) pour afficher les Paramètres de l'interface
(Interface Settings) du dispositif Edge.

4 La section Paramètres de l'interface (Interface Settings) affiche les interfaces existantes

disponibles sur le dispositif Edge.

5 Cliquez sur l'option Modifier (Edit) de l'interface acheminée pour laquelle vous voulez
configurer les paramètres DHCP.

VMware, Inc. 418

Guide d'administration de VMware SD-WAN

6 Dans la fenêtre Interface, sélectionnez le Type d'adressage (Addressing Type) comme

Statique (Static), puis entrez les adresses IP de l'interface du dispositif Edge et de la
passerelle.

7 Dans la section Serveur DHCP (DHCP Server), choisissez l'un des paramètres DHCP suivants :

n Activé (Enabled) : active DHCP avec le dispositif Edge en tant que serveur DHCP.
Configurez les informations suivantes :

n Démarrage DHCP (DHCP Start) : entrez une adresse IP valide disponible dans le
sous-réseau.

n Nombre d'adresses (Num Addresses) : entrez le nombre d'adresses IP disponibles sur

un sous-réseau du serveur DHCP.

n Durée de bail (Lease Time) : sélectionnez la période dans la liste déroulante. Il s'agit
de la durée pendant laquelle le VLAN est autorisé à utiliser une adresse IP affectée
dynamiquement par le serveur DHCP.

n Options : ajoutez des options DHCP prédéfinies ou personnalisées dans la liste

déroulante. L'option DHCP est un service réseau transmis aux clients depuis le serveur
DHCP. Pour une option personnalisée, entrez le code, le type de données et la valeur.

VMware, Inc. 419

Guide d'administration de VMware SD-WAN

n Relais (Relay) : active DHCP avec l'agent de relais DHCP installé à un emplacement
distant. Si vous choisissez cette option, configurez les éléments suivants :

n Adresse(s) IP de l'agent relais [Relay Agent Ip(s)] : spécifiez l'adresse IP de l'agent

relais. Cliquez sur l'icône Plus (+) pour ajouter d'autres adresses IP.

n Désactivé (Disabled) : désactive DHCP.

Pour plus d'informations sur les autres options de la fenêtre Paramètres de l'interface (Interface
Settings), reportez-vous à la section Configurer les paramètres de l'interface.

Note Pour plus d'informations, reportez-vous à la section Capacité supplémentaire du tunnel et

MTU.

Activation de RADIUS sur une interface acheminée

Vous pouvez activer RADIUS sur n'importe quelle interface configurée en tant qu'interface
acheminée. Le dispositif SD-WAN Edge prend en charge les méthodes d'authentification 802.1x
par nom d'utilisateur/mot de passe (EAP-MD5) et par certificat (EAP-TLS). Pour obtenir des
instructions pas à pas, reportez-vous à la section ci-dessous.

Configuration requise
n Vous devez configurer le serveur RADIUS et l'ajouter au dispositif Edge. Cette opération est
effectuée dans l'écran Configurer (Configure) -> Services réseau (Network Services).

n Vous pouvez activer RADIUS sur n'importe quelle interface pouvant être configurée en tant
qu'interface acheminée. Cela comprend les interfaces pour tout modèle de dispositif Edge, à
l'exception des ports LAN 1-8 sur les modèles de dispositifs Edge 500/520/540.

Note Les interfaces activées par RADIUS n'utilisent pas DPDK.

Activation de RADIUS sur une interface acheminée

1 Accédez à Configurer (Configure) > Périphérique (Device), cliquez sur Modifier (Edit) de
l'interface pour laquelle vous voulez activer l'authentification RADIUS.

2 Configurez le paramètre Capacité (Capability) comme Acheminée (Routed).

3 Pour désactiver Superposition WAN (WAN Overlay), décochez la case correspondante.

4 Pour activer Authentification RADIUS (RADIUS Authentication), cochez cette case.

5 Configurez la liste des périphériques autorisés qui sont authentifiés au préalable et qui
ne doivent pas être transférés à RADIUS pour une nouvelle authentification. Vous pouvez
ajouter des périphériques par adresse MAC (par exemple, [Link]) et par OUI
(Organizationally Unique Identifier [par exemple, [Link]).

Note L'interface utilise le serveur qui a déjà été attribué au dispositif Edge (c'est-à-dire, deux
interfaces ne peuvent pas utiliser deux serveurs RADIUS différents).

VMware, Inc. 420

Guide d'administration de VMware SD-WAN

Configurer les remplacements LAN de dispositifs Edge

Pour remplacer les paramètres LAN spécifiés dans le profil, cochez la case Interface de
remplacement (Override Interface).

Pour obtenir les paramètres de configuration de l'interface LAN, consultez la section Chapitre 11
Configurer un périphérique de profil.

Configurer les remplacements WAN de dispositifs Edge

Pour remplacer les paramètres WAN spécifiés dans le profil, cochez la case Interface de
remplacement (Override Interface).

Pour obtenir les paramètres de configuration de l'interface LAN, consultez la section Chapitre 11
Configurer un périphérique de profil.

VMware, Inc. 421

Guide d'administration de VMware SD-WAN

Configurer les paramètres de superposition WAN de dispositifs Edge

Les paramètres WAN permettent d'ajouter ou de modifier une superposition WAN définie par
l'utilisateur.

Une superposition définie par l'utilisateur doit être attachée à une interface qui a été configurée à
l'avance pour la superposition WAN. Vous pouvez configurer l'une des superpositions suivantes :

n Superposition privée (Private Overlay) : cette option est requise sur un réseau privé sur
lequel le dispositif Edge doit créer des tunnels VCMP de superposition directement entre des
adresses IP privées attribuées à chaque dispositif Edge sur le réseau privé.

n Superposition publique (Public Overlay) : cette option est utile pour définir un VLAN
personnalisé ou une adresse IP source et une adresse de passerelle pour les tunnels VCMP,
afin d'atteindre VMware SD-WAN Gateways sur Internet, tel que déterminé par SD-WAN
Orchestrator.

Vous pouvez également modifier ou supprimer un overlay WAN existant détecté

automatiquement sur une interface routée. Une superposition détectée automatiquement n'est
disponible que lorsque le dispositif Edge a établi un tunnel VCMP sur une interface routée
configurée avec la superposition WAN vers les passerelles désignées par SD-WAN Orchestrator.

Note Les superpositions WAN répertoriées sous Paramètres WAN (WAN Settings) sont
conservées même après qu'une interface est en panne ou non utilisée. Vous pouvez alors les
supprimer lorsqu'elles ne sont plus nécessaires.

Procédure

1 Dans le portail SD-WAN Orchestrator, cliquez sur Configurer (Configure) > Dispositifs Edge
(Edges).

2 Sur la page Dispositifs Edge (Edges), cliquez sur l'icône Périphérique (Device) en regard d'un
dispositif Edge ou sur le lien d'accès au dispositif Edge et cliquez sur l'onglet Périphérique
(Device).

VMware, Inc. 422

Guide d'administration de VMware SD-WAN

3 Faites défiler la liste vers le bas jusqu'à Paramètres WAN (WAN Settings).

4 Pour une superposition WAN détectée automatiquement ou définie par l'utilisateur existante,
cliquez sur Modifier (Edit) pour modifier les paramètres.

5 Pour créer une superposition publique ou privée, cliquez sur Ajouter une superposition WAN
définie par l'utilisateur (Add User Defined WAN Overlay).

6 Dans la fenêtre Superposition WAN définie par l'utilisateur (User Defined WAN Overlay),
choisissez le Type de liaison (Link Type) parmi les options disponibles suivantes :

n La superposition publique (Public) est utilisée sur Internet où les passerelles cloud
SD-WAN sont accessibles sur Internet. Vous devez attacher la superposition définie
par l'utilisateur à une interface. La superposition publique demande au dispositif Edge
d'attribuer des passerelles principale et secondaire sur l'interface à laquelle il est attaché,
afin de déterminer l'adresse NAT globale externe. Celle-ci est signalée à Orchestrator afin
que tous les autres dispositifs Edge l'utilisent, si elle est configurée pour créer des tunnels
VCMP vers le dispositif Edge actuellement sélectionné.

Note Par défaut, toutes les interfaces routées tentent de la détecter automatiquement
(Auto Detect), c'est-à-dire, créer des tunnels VCMP vers des passerelles cloud attribuées
préalablement sur Internet. Si la tentative réussit, une superposition publique détectée
automatiquement est créée. Une superposition publique définie par l'utilisateur n'est
nécessaire que si votre service Internet nécessite une balise VLAN ou si vous souhaitez
utiliser une adresse IP publique différente de celle que le dispositif Edge a appris via DHCP
sur l'interface publique.

n Une superposition privée (Private) est utilisée sur des réseaux privés tels qu'un réseau
MPLS ou une liaison point à point. Une superposition privée est attachée à une interface
comme n'importe quelle définition manuelle de l'overlay et part du principe que l'adresse
IP de l'interface à laquelle elle est attachée est routable pour tous les autres dispositifs
Edge sur le même réseau privé. Cela signifie qu'il n'existe aucune NAT côté WAN de
l'interface. Lorsque vous attachez une superposition privée à une interface, le dispositif
Edge conseille à Orchestrator d'utiliser l'adresse IP sur l'interface pour les dispositifs Edge
distants configurés afin de créer des tunnels vers eux.
Les tableaux suivants décrivent les paramètres de superposition :

VMware, Inc. 423

Guide d'administration de VMware SD-WAN

Tableau 16-1. Paramètres communs pour la superposition publique et privée

Option Description

Nom (Name) Entrez un nom descriptif pour la liaison publique ou

privée. Vous pouvez référencer ce nom lors du choix
d'une liaison WAN dans une Business Policy. Reportez-
vous à la section Configurer les modes de direction de
liaison.

Alertes de notification préalable (Pre-Notification Alerts) Envoie des alertes liées au réseau de superposition à
l'opérateur. Assurez-vous d'avoir activé les alertes de
liaison sur la page Configurer (Configure) > Alertes et
notifications (Alerts & Notifications) pour recevoir les
alertes.

Alertes (Alerts) Envoie des alertes liées au réseau de superposition

au client. Assurez-vous d'avoir activé les alertes de
liaison sur la page Configurer (Configure) > Alertes et
notifications (Alerts & Notifications) pour recevoir les
alertes.

Interfaces Sélectionnez une ou plusieurs interfaces routées dans

la liste déroulante Mettre à jour la sélection (update
selection), et la superposition actuelle définie par
l'utilisateur est attachée à l'interface sélectionnée.
La liste comporte des interfaces routées dont la
superposition WAN est activée et définie sur Définition
manuelle de l'overlay (User Defined Overlay).

Tableau 16-2. Paramètres de superposition publique

Option Description

Adresse IP publique (Public IP Address) Affiche l'adresse IP publique détectée pour une
superposition publique. Ce champ est renseigné après
la détection de l'adresse NAT globale externe à l'aide de
la méthode de passerelle.

L'image suivante montre un exemple de paramètres pour la superposition publique :

VMware, Inc. 424

Guide d'administration de VMware SD-WAN

Tableau 16-3. Paramètres de superposition privée

Option Description

Service SD-WAN accessible (SD-WAN Service Lors de la création d'une superposition privée et de
Reachable) son attachement à un WAN privé comme réseau MPLS,
vous pouvez également être en mesure d'accéder à
Internet sur le même WAN, généralement via un pare-
feu dans le centre de données. Dans ce cas, il est
recommandé d'activer Service SD-WAN accessible (SD-
WAN Service Reachable), car il fournit les éléments
suivants :
n Un chemin secondaire à Internet pour l'accès aux
instances de SD-WAN Gateways hébergées sur
Internet. Vous l'utilisez en cas de panne de toutes
les liaisons directes à Internet depuis ce dispositif
Edge.
n Un chemin secondaire à Orchestrator en cas de
panne de toutes les liaisons directes à Internet
depuis ce dispositif Edge. L'adresse IP de gestion
que le dispositif Edge utilise pour communiquer doit
être routable dans MPLS. Sinon, le trafic direct NAT
doit être vérifié sur l'interface privée pour rétablir
correctement le trafic d'Orchestrator.

Note SD-WAN Edge préfère toujours le tunnel VCMP

créé sur une liaison Internet locale (court chemin) au
tunnel VCMP créé sur le réseau privé à l'aide d'un pare-
feu distant à Internet (long chemin).

Note L'équilibrage de charge par paquet ou de type

tourniquet n'est pas effectué entre les chemins court et
long.

Dans un site ne disposant d'aucun accès Internet public

direct, l'option Service SD-WAN accessible (SD-WAN
Service Reachable) permet d'utiliser le réseau WAN
privé pour les tunnels VCMP de site à site privés
et comme chemin de communication avec un service
VMware hébergé sur Internet.

Adresses SD-WAN publiques (Public SD-WAN Lorsque vous cochez la case Service SD-WAN
Addresses) accessible (SD-WAN Service Reachable), une liste
d'adresses IP publiques de SD-WAN Gateways et de
SD-WAN Orchestrator s'affiche, que vous devrez peut-
être annoncer sur le réseau privé, si aucune route par
défaut n'a déjà été annoncée sur ce même réseau
depuis le pare-feu.
Certaines adresses IP de la liste, telles que les
passerelles, peuvent changer au fil du temps.

L'image suivante montre un exemple de paramètres pour la superposition privée :

VMware, Inc. 425

Guide d'administration de VMware SD-WAN

Tableau 16-4. Configuration facultative

Option Description

Adresse IP source (Source IP Address) Il s'agit de l'adresse IP source du socket brut utilisée
pour les paquets du tunnel VCMP provenant de
l'interface à laquelle la superposition actuelle est
attachée.
L'adresse IP source ne doit pas être nécessairement
préconfigurée quelque part, mais elle doit être routable
vers l'interface sélectionnée et depuis celle-ci.

Adresse IP du next-hop (Next-Hop IP Address) Entrez l'adresse IP du next-hop vers laquelle les
paquets, provenant de l'adresse IP source du socket
brut spécifiée dans le champ Adresse IP source (Source
IP Address), doivent être acheminés.

VMware, Inc. 426

Guide d'administration de VMware SD-WAN

Tableau 16-4. Configuration facultative (suite)

Option Description

VLAN personnalisé (Custom VLAN) Cochez la case pour activer le VLAN personnalisé
et entrez l'ID VLAN. La plage est comprise entre 2
et 4 094.
Cette option applique la balise VLAN aux paquets
provenant de l'adresse IP source d'un tunnel VCMP à
partir de l'interface à laquelle la superposition actuelle
est attachée.

Paramètre 802.1P (802.1P Setting) Définit les bits de point de code de priorité (Priority
Code Point, PCP) 802.1p sur les trames quittant
l'interface à laquelle la superposition actuelle est
attachée. Ce paramètre n'est disponible que pour
un VLAN spécifique. Les valeurs de priorité PCP
représentent un nombre binaire à 3 chiffres. La plage
est comprise entre 000 et 111 et la valeur par défaut
est 000.
Cette case à cocher n'est disponible
que lorsque la propriété système
[Link].enable8021PConfiguration doit être
définie sur Vrai (True). Par défaut, cette valeur est
définie sur False.
Si cette option n'est pas disponible pour vous, contactez
le support VMware de votre équipe responsable des
opérations pour qu'il active le paramètre.

Cliquez sur Avancé (Advanced) pour configurer les paramètres suivants :

VMware, Inc. 427

Guide d'administration de VMware SD-WAN

Tableau 16-5. Paramètres avancés communs de la superposition publique et privée

Option Description

Mesure de bande passante (Bandwidth Measurement) Choisissez une méthode pour mesurer la bande
passante à partir des options suivantes :
n Mesurer la bande passante (démarrage lent)
[Measure Bandwidth (Slow Start)] : lorsque la
mesure de la bande passante par défaut signale des
résultats incorrects, cela peut être dû à la limitation
de l'ISP. Pour contourner ce comportement,
choisissez cette option pour effectuer une rafale
lente prolongée de trafic UDP, suivie d'une rafale
plus importante.
n Mesurer la bande passante (mode rafale) [Measure
Bandwidth (Burst Mode)] : choisissez cette option
pour effectuer de courtes rafales de trafic UDP
vers une instance de SD-WAN Gateway pour les
liaisons publiques ou vers l'homologue pour les
liaisons privées, afin d'évaluer la bande passante de
la liaison.
n Ne pas mesurer (définir manuellement) [Do Not
Measure (define manually)] : choisissez cette option
pour configurer la bande passante manuellement.
Cette option est recommandée pour les sites de Hub
pour les raisons suivantes :
a En général, les sites de Hub ne peuvent être
mesurés que par rapport aux sites distants
distantes dont les liaisons sont plus lentes que
le Hub.
b Si un dispositif Edge de Hub tombe en panne
et s'il utilise un mode de mesure de bande
passante dynamique, il peut ajouter un retard
de reconnexion dans le dispositif Edge de
Hub pendant qu'il remesure la bande passante
disponible.

Bande passante montant (Upstream Bandwidth) Entrez la bande passante montant en Mbits/s.
Cette option est disponible uniquement lorsque vous
sélectionnez Ne pas mesurer (définir manuellement) [Do
Not Measure (define manually)].

Bande passante descendant (Downstream Bandwidth) Entrez la bande passante descendant en Mbits/s.
Cette option est disponible uniquement lorsque vous
sélectionnez Ne pas mesurer (définir manuellement) [Do
Not Measure (define manually)].

VMware, Inc. 428

Guide d'administration de VMware SD-WAN

Tableau 16-5. Paramètres avancés communs de la superposition publique et privée (suite)

Option Description

Ajustement de bande passante dynamique (Dynamic L'ajustement de la bande passante dynamique tente
Bandwidth Adjustment) d'ajuster dynamiquement la bande passante de la
liaison disponible en fonction de la perte de paquets et
destinée à être utilisée avec les services haut débit sans
fil, là où la bande passante peut diminuer brusquement.

Note Cette configuration n'est pas recommandée pour

les dispositifs Edge avec la version 3.3.x ou une version
antérieure du logiciel. Vous pouvez configurer cette
option pour les dispositifs Edge avec la version 3.4 ou
une version ultérieure.

VMware, Inc. 429

Guide d'administration de VMware SD-WAN

Tableau 16-5. Paramètres avancés communs de la superposition publique et privée (suite)

Option Description

Mode de liaison (Link Mode) Sélectionnez le mode de la liaison WAN dans la liste
déroulante. Les options suivantes sont disponibles :
n Active : cette option est sélectionnée par défaut.
L'interface est utilisée comme mode principal pour
l'envoi du trafic.
n De sauvegarde (Backup) : cette option met
l'interface à laquelle cet overlay WAN est associé en
mode de sauvegarde. Cela signifie que les tunnels
de gestion sont démontés pour cette interface et
que le lien WAN associé ne reçoit aucun trafic de
données. Le lien de sauvegarde n'est utilisé que
si tous les chemins d'un certain nombre de liens
actifs tombent en panne, ce qui diminue également
le nombre de liens actifs en dessous du Nombre
minimal de liens actifs (Minimum Active Links)
configuré. Lorsque cette condition est remplie, les
tunnels de gestion sont recréés pour l'interface et le
lien de sauvegarde devient actif et transmet le trafic.

Vous ne pouvez mettre en mode de sauvegarde

qu'une seule interface sur un dispositif Edge.
Lorsque cette option est configurée, l'interface
s'affiche sur la page Surveiller (Monitor) >
Dispositifs Edge (Edges) sous État du cloud : passif
(Cloud Status: Standby).

Note Utilisez cette option pour réduire les

données utilisateur et la consommation de la bande
passante de mesure des performances SD-WAN
sur un service 4G ou LTE. Toutefois, les temps de
basculement sont plus lents par rapport à un lien
configuré comme Passif à chaud (Hot Standby) ou
comme Actif (Active) et utilise une business policy
pour réguler la consommation de la bande passante.
N'utilisez pas cette fonctionnalité si le dispositif Edge
est configuré comme Hub ou s'il fait partie d'un
cluster.
n Passif à chaud (Hot Standby) : lorsque vous
configurez le lien WAN en mode Passif à chaud (Hot
Standby), les tunnels de gestion sont créés, ce qui
permet un basculement rapide en cas de panne. Le
lien Passif à chaud (Hot Standby) ne reçoit aucun
trafic de données, à l'exception des pulsations, qui
sont envoyées toutes les 5 secondes.

Lorsque tous les chemins d'un certain nombre

de liens actifs tombent en panne, ce qui diminue
également le nombre de liens actifs en dessous du
Nombre minimal de liens actifs (Minimum Active
Links) configuré, le lien Passif à chaud (Hot Standby)
s'active. Le trafic est envoyé via le chemin de veille à
chaud.

VMware, Inc. 430

Guide d'administration de VMware SD-WAN

Tableau 16-5. Paramètres avancés communs de la superposition publique et privée (suite)

Option Description

Lorsque le chemin d'accès à la passerelle principale

s'active sur des liens actifs afin que le nombre de
liens actifs dépasse le Nombre minimal de liens
actifs (Minimum Active Links) configuré, le lien
Passif à chaud (Hot Standby) revient en mode passif
et le flux de trafic bascule vers le ou les liens actifs.

Pour plus d'informations, reportez-vous à la section

Configurer une liaison en veille à chaud.
Une fois que vous avez activé l'option Lien de
sauvegarde ou passif à chaud (Backup or Hot Standby
link) sur une interface, vous ne pouvez pas configurer
d'interfaces supplémentaires de ce dispositif Edge
comme lien de sauvegarde ou passif à chaud, car un
dispositif Edge ne peut disposer que d'un seul lien WAN
de sauvegarde ou passif à chaud à la fois.

Nombre minimal de liaisons actives (Minimum Active Cette option n'est disponible que lorsque vous
Links) choisissez De sauvegarde (Backup) ou En veille à
chaud (Hot Standby) comme Mode de liaison (Link
Mode). Sélectionnez le nombre de liaisons actives qui
peuvent être présentes sur le réseau à la fois, dans la
liste déroulante. Lorsque le nombre de liaisons actives
actuelles qui sont fonctionnelles passe au-dessous du
nombre sélectionné, la liaison de sauvegarde ou en
veille à chaud s'active. La plage est comprise entre 1
et 3, et la valeur par défaut est de 1.

VMware, Inc. 431

Guide d'administration de VMware SD-WAN

Tableau 16-5. Paramètres avancés communs de la superposition publique et privée (suite)

Option Description

MTU SD-WAN Edge effectue la détection MTU du chemin.

La valeur de la MTU détectée est alors mise à jour
dans ce champ. La plupart des réseaux filaires prennent
en charge 1 500 octets tandis que les réseaux 4G
prenant en charge VoLTE (voix sur LTE, Voice over LTE)
n'autorisent généralement que jusqu'à 1 358 octets.
Il n'est pas recommandé de définir la MTU au-dessous
de 1 300 octets, car cela peut entraîner une capacité
supplémentaire de trames. Il n'est pas nécessaire de
définir la MTU, sauf en cas d'échec de la détection MTU
du chemin.
Vous pouvez déterminer si la MTU est grande sur la
page Diagnostics à distance (Remote Diagnostics) >
Chemins de liste (List Paths), car les tunnels (chemins)
VCMP de l'interface ne deviennent jamais stables et
atteignent de manière répétée un état INUTILISABLE
(UNUSABLE) avec une perte de paquets inférieure à
25 %.
À mesure que le MTU augmente lentement lors du test
de bande passante sur chaque chemin, tous les paquets
supérieurs à la MTU du réseau sont abandonnés si la
MTU configurée est supérieure à celle du réseau. Cela
entraîne une perte de paquets sévère sur le chemin.
Pour plus d'informations, reportez-vous à la section
Capacité supplémentaire du tunnel et MTU.

Octets de capacité supplémentaire Entrez une valeur pour la bande passante

supplémentaire en octets. Cette option permet
d'indiquer la surcharge de trame L2 supplémentaire qui
existe dans le chemin WAN.
Lorsque vous configurez les octets de surcharge, ceux-
ci sont également comptabilisés par le planificateur QoS
pour chaque paquet, en plus de la longueur du paquet
réelle. Cela garantit que la bande passante de la liaison
n'est pas surabonnée en raison d'une surcharge de
trame L2 montant.

Détection MTU du chemin (Path MTU Discovery) Cochez la case pour activer la détection de la MTU
du chemin. Après avoir déterminé la bande passante
supplémentaire à appliquer, le dispositif Edge effectue
la détection MTU du chemin pour trouver la MTU
maximale autorisée pour calculer la MTU effective des
paquets du client. Pour plus d'informations, reportez-
vous à la section Capacité supplémentaire du tunnel et
MTU.

VMware, Inc. 432

Guide d'administration de VMware SD-WAN

Tableau 16-6. Paramètres avancés de la superposition publique

Option Description

Perforation de trou UDP (UDP Hole Punching) Si une superposition SD-WAN site distant vers site
distant est requise et si des dispositifs Edge de
site distant sont déployés derrière des périphériques
NAT, c'est-à-dire que le périphérique NAT se trouve
côté WAN du dispositif Edge, le tunnel VCMP direct
sur UDP/2426 ne s'activera probablement pas si les
périphériques NAT n'ont pas été configurés pour
autoriser les tunnels VCMP entrants sur le port
UDP 2426 depuis d'autres dispositifs Edge.
Utilisez l'option VPN site distant vers site distant
(Branch to Branch VPN) pour activer les tunnels site
distant vers site distant. Reportez-vous aux sections
Configurer un tunnel entre un site distant et un VPN de
site distant et Configurer les paramètres de tunnel et de
VPN cloud au niveau du dispositif Edge.
Utilisez Diagnostics à distance (Remote Diagnostics)
> Chemins de liste (List Paths) pour vérifier qu'un
dispositif Edge a créé un tunnel vers un autre dispositif
Edge.
La perforation de trou UDP tente de contourner
les périphériques NAT qui bloquent les connexions
entrantes. Cette technique n'est cependant pas
applicable dans tous les scénarios ou avec tous les types
de NAT, car les caractéristiques de fonctionnement NAT
ne sont pas normalisées.
L'activation de la perforation de trou UDP sur une
interface de superposition de dispositifs Edge demande
à tous les dispositifs Edge distants d'utiliser l'adresse IP
publique NAT et le port source dynamique NAT détecté
via SD-WAN Gateway comme adresse IP de destination
et port de destination pour créer un tunnel VCMP vers
cette interface de superposition de dispositifs Edge.

Note Avant d'activer la perforation de trou UDP,

configurez le périphérique NAT de site distant pour
autoriser les protocoles UDP/2426 entrants avec le
transfert de port à l'adresse IP privée du dispositif Edge
ou mettez le périphérique NAT, qui est généralement
un routeur ou un modem, en mode de pont. Utilisez
la perforation de trou UDP uniquement en dernier
recours, car elle ne fonctionne pas avec les pare-feu, les
périphériques NAT symétriques, les réseaux 4G/LTE en
raison de CGNAT et la plupart des périphériques NAT
modernes.

La perforation de trou UDP peut générer des problèmes

de connectivité supplémentaires, car les sites distants
essaient d'utiliser le nouveau port dynamique UDP pour
les tunnels VCMP.

Type Lorsque vous configurez une business policy pour

un dispositif Edge, vous pouvez choisir la Choix du
lien (Link Steering) pour préférer un Groupe de

VMware, Inc. 433

Guide d'administration de VMware SD-WAN

Tableau 16-6. Paramètres avancés de la superposition publique (suite)

Option Description

transport (Transport Group) tel que : Liaison filaire

publique (Public Wired), Liaison sans fil publique (Public
Wireless) ou Liaison filaire privée (Private Wired).
Reportez-vous à la section Configurer les modes de
direction de liaison.
Choisissez Filaire (Wired) ou Sans fil (Wireless), pour
mettre la superposition dans un groupe de transport de
liaison filaire ou sans fil publique.

L'image suivante montre les paramètres avancés d'une superposition publique :

VMware, Inc. 434

Guide d'administration de VMware SD-WAN

Tableau 16-7. Paramètres avancés de la superposition privée

Option Description

Nom du réseau privé (Private Network Name) Si vous disposez de plusieurs réseaux privés et si vous
souhaitez les différencier pour vous assurer que les
dispositifs Edge tentent d'établir un tunnel uniquement
vers des dispositifs Edge sur le même réseau privé,
définissez un nom de réseau privé et attachez-y la
superposition. Cela empêche le tunneling vers les
dispositifs Edge sur un autre réseau privé auquel ils ne
peuvent pas accéder. En outre, configurez les dispositifs
Edge à d'autres emplacements sur ce réseau privé pour
utiliser le même nom de réseau privé.
Par exemple :
Edge1 GE1 est attaché au réseau privé A. Utilisez le
réseau privé A pour la superposition privée attachée
à GE1.
Edge1 GE2 est attaché au réseau privé B. Utilisez le
réseau privé B pour la superposition privée attachée
à GE2.
Répétez le même attachement et la même dénomination
pour Edge2.
Lorsque vous activez le système site distant vers site
distant ou lorsque Edge2 est un site de Hub :
n Edge1 GE1 tente de se connecter à Edge2 GE1 et non
à GE2.
n Edge1 GE2 tente de se connecter à Edge2 GE2 et
non à GE1.

Configurer le SLA statique (Configure Static SLA) Force la superposition à partir du principe que les
paramètres de SLA définis sont les valeurs de SLA
réelles pour le chemin. Aucune mesure dynamique
de perte de paquets, de latence ou de gigue n'est
effectuée sur cette superposition. Le rapport QoE utilise
ces valeurs pour sa coloration verte/jaune/rouge pour
les seuils.

Note La configuration du SLA statique n'est pas prise

en charge à partir de la version 3.4. Il est recommandé
de ne pas utiliser cette option, car la mesure dynamique
de la perte de paquets, de la latence et de la gigue offre
un meilleur résultat.

VMware, Inc. 435

Guide d'administration de VMware SD-WAN

Tableau 16-7. Paramètres avancés de la superposition privée (suite)

Option Description

Configurer la classe de service (Configure Class of SD-WAN Edges peut hiérarchiser le trafic et fournir une
Service) matrice de classes QoS 3x3 sur les réseaux Internet et
privés. Cependant, certains réseaux MPLS incluent leurs
propres classes de qualité de service (QoS), chacun
avec des caractéristiques spécifiques telles que les
garanties de débit, les limites de débit, la probabilité de
perte de paquets, etc.
Cette option permet au dispositif Edge de comprendre
la bande passante QoS du réseau privé disponible et la
régulation de la superposition privée sur une interface
spécifique.

Note Les balises DSCP externes doivent être définies

dans la business policy par application/règle et dans
cette fonctionnalité, chaque ligne Classe de ligne (Class
of Service) correspond à ces balises DSCP définies dans
la business policy.

Après avoir coché cette case, configurez les éléments

suivants :
n Classe de service (Class of Service) : entrez un
nom descriptif pour la classe de service. Vous
pouvez référencer ce nom lors du choix d'une liaison
WAN dans une Business Policy. Reportez-vous à la
section Configurer les modes de direction de liaison.
n Balises DSCP (DSCP Tags) : la classe de service
correspond aux balises DSCP définies ici. Les balises
DSCP sont attribuées à chaque application utilisant
la business policy.
n Bande passante (Bandwidth) : pourcentage de la
bande passante de transmission/chargement de
l'interface disponible pour cette classe, tel que
déterminé par la bande passante de classe QoS du
réseau privé garantie.
n Régulation (Policing) : cette option surveille la
bande passante utilisée par le flux de trafic dans
la classe de service et lorsque le trafic dépasse la
bande passante, elle limite le débit du trafic.
n Classe par défaut (Default Class) : si le trafic ne fait
pas partie des classes définies, le trafic est associé à
la CoS par défaut.
Pour plus d'informations sur la classe de service,
reportez-vous à la section Configurer la classe de
service MPLS.

Priorité IP stricte (Strict IP precedence) Cette case est disponible lorsque vous cochez la case
Configurer la classe de service (Configure Class of
Service).

VMware, Inc. 436

Guide d'administration de VMware SD-WAN

Tableau 16-7. Paramètres avancés de la superposition privée (suite)

Option Description

Lorsque vous activez cette option, 8 sous-chemins

VCMP correspondant aux 8 bits de priorité IP sont
créés. Utilisez cette option lorsque vous souhaitez
combiner les classes de service dans un nombre de
classes inférieur dans le réseau de votre fournisseur de
services.
Par défaut, cette option est désactivée et les sous-
chemins VCMP sont créés pour le nombre exact de
classes de service configurées. Le regroupement n'est
pas appliqué.

L'image suivante montre les paramètres avancés d'une superposition privée :

7 Cliquez sur Mettre à jour la liaison (Update Link) pour enregistrer les paramètres.

Accessibilité du service SD-WAN via MPLS

Un dispositif Edge ne disposant que de liaisons MPLS privées peut accéder à Orchestrator et
aux passerelles se trouvant dans le cloud public, à l'aide de l'option Service SD-WAN accessible
(SD-WAN Service Reachable).

Dans un site ne disposant d'aucun accès Internet public direct, l'option Service SD-WAN
accessible (SD-WAN Service Reachable) permet d'utiliser le réseau WAN privé pour les tunnels
VCMP de site à site privés et comme chemin de communication avec un service VMware hébergé
sur Internet.

Pour les environnements hybrides qui disposent de liaisons MPLS uniquement ou qui nécessitent
un basculement vers des liaisons MPLS, vous pouvez activer l'option Service SD-WAN accessible
(SD-WAN Service Reachable).

VMware, Inc. 437

Guide d'administration de VMware SD-WAN

Sites MPLS uniquement

VMware prend en charge les déploiements WAN privés avec un service VMware hébergé pour
les clients disposant d'environnements hybrides qui déploient sur des sites avec uniquement une
liaison WAN privée.

Dans un site sans superposition publique, vous pouvez utiliser le WAN privé comme moyen de
communication principal avec le service VMware, y compris les éléments suivants :

n Accessibilité du service SD-WAN activée via la liaison privée

n Remplacement NTP activé à l'aide de serveurs NTP privés

L'image suivante montre un Hub régional disposant d'une connexion Internet et un dispositif
SD-WAN Edge disposant d'une connexion MPLS uniquement.

Internet

SD-WAN Passerelle
Orchestrator de cloud

Site de
Hub régional
Site MPLS
uniquement
Périphérique Edge
de branche MPLS
Dispositif
Edge de Hub
LAN LAN

SD-WAN Edge se connecte à

SD-WAN Orchestrator via un Hub régional
SD-WAN Edge se connecte à
SD-WAN Gateway via un Hub régional
SD-WAN Gateway informe SD-WAN Edge
de l'adresse IP privée du Hub, et IPsec est
établi entre SD-WAN Edge
et le Hub

Le trafic provenant du dispositif SD-WAN Edge disposant de liaisons MPLS uniquement est routé
vers Orchestrator et la passerelle via un Hub régional, qui peut créer un point d'accès vers le cloud
public. L'option Service SD-WAN accessible (SD-WAN Service Reachable) permet au dispositif
Edge de rester en ligne et de pouvoir être géré depuis Orchestrator. Il permet également la
connectivité Internet publique via la passerelle, qu'il y ait ou non une connectivité de liaison
publique.

VMware, Inc. 438

Guide d'administration de VMware SD-WAN

Basculement dynamique via MPLS

Si tous les liens Internet publics tombent en panne, vous pouvez basculer le trafic de chemins
multiples Internet vers un lien WAN privé.

Note Le trafic classé comme Direct vers Internet ne bascule pas vers un lien WAN privé
indépendamment de la priorité ou de la classe de service. En d'autres termes, le trafic dans lequel
le service réseau est direct ne bascule pas vers un lien privé, même si la priorité est haute et que
la classe de service est en temps réel. Seul le trafic avec une classification de chemins multiples
bascule vers un lien privé.

L'image suivante montre la résilience de SD-WAN Orchestrator et de Non VMware SD-WAN Site,
Zscaler.

VMware, Inc. 439

Guide d'administration de VMware SD-WAN

Internet

Zscaler

SD-WAN
Orchestrator
Passerelle de
cloud

Site de Hub
régional
Périphérique Edge
de branche

MPLS
Dispositif Edge
de Hub

LAN LAN VMware SD-WAN

Exemple Exemple
Résilience de SD-WAN Orchestrator Résilience de Zscaler
La connectivité de SD-WAN Orchestrator La connectivité de Zscaler Non
s'effectue via Internet VMware SD-WAN Site s'effectue via Internet
En cas de panne Internet, SD-WAN Orchestrator En cas de panne de la liaison publique, Zscaler
est connecté via MPLS est connecté via MPLS

VMware, Inc. 440

Guide d'administration de VMware SD-WAN

n Résilience d'Orchestrator (Orchestrator Resiliency) : Orchestrator se connecte à Internet. En

cas de panne d'Internet, Orchestrator se connecte via MPLS. La connexion d'Orchestrator est
établie à l'aide de l'adresse IP annoncée sur MPLS. La connectivité exploite la liaison Internet
publique dans le Hub régional.

n Résilience de Zscaler (Zscaler Resiliency) : la connectivité de Zscaler est établie via Internet.
Si la liaison publique tombe en panne, Zscaler se connecte via MPLS.

Configurer l'option Service SD-WAN accessible (SD-WAN Service Reachable)

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Sur la page Dispositifs Edge (Edges), cliquez sur l'icône Périphérique (Device) en regard
d'un dispositif Edge ou cliquez sur le lien d'accès au dispositif Edge et cliquez sur l'onglet
Périphérique (Device).

3 Faites défiler la liste vers le bas jusqu'à Paramètres de l'interface (Interface Settings) et
cliquez sur Modifier (Edit) pour modifier l'interface connectée à la liaison MPLS.

4 Dans la fenêtre Interface, cochez la case Définition manuelle de l'overlay (User Defined
Overlay).

VMware, Inc. 441

Guide d'administration de VMware SD-WAN

L'option Service SD-WAN accessible (SD-WAN Service Reachable) n'est disponible que pour
un réseau de Définition manuelle de l'overlay (User Defined Overlay).

5 Dans la section Paramètres WAN (WAN Settings), cliquez sur Modifier (Edit) pour modifier
l'interface activée avec l'option Définition manuelle de l'overlay (User Defined Overlay).

6 Dans la fenêtre Superposition WAN définie par l'utilisateur (User Defined WAN Overlay) ,
cochez la case Service SD-WAN accessible (SD-WAN Service Reachable) pour déployer des
sites qui ne disposent que d'une liaison WAN privée et/ou activer la capacité de basculement
du trafic Internet critique vers une liaison WAN privée.

Lorsque vous cochez la case Service SD-WAN accessible (SD-WAN Service Reachable), une
liste d'adresses IP publiques de SD-WAN Gateways et de SD-WAN Orchestrator s'affiche, que
vous devrez peut-être annoncer sur le réseau privé, si aucune route par défaut n'a déjà été
annoncée sur ce même réseau depuis le pare-feu.

7 Configurez d'autres options si nécessaire et cliquez sur Mettre à jour la liaison (Update Link)
pour enregistrer les paramètres.

Pour plus d'informations sur les autres options de la fenêtre Superposition WAN (WAN Overlay),
reportez-vous à la section Configurer les paramètres de superposition WAN de dispositifs Edge.

Configurer la classe de service MPLS

Vous pouvez gérer le trafic en définissant la classe de service (CoS) dans une liaison WAN privée.
Vous pouvez regrouper des types de trafics similaires en tant que classe. La classe de service
traite chaque classe avec son niveau de priorité de service.

Pour chaque dispositif Edge composé de liaisons WAN privées, vous pouvez définir la classe de
service.

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône de périphérique en regard d'un dispositif Edge ou cliquez sur le lien vers le
dispositif Edge et cliquez sur l'onglet Périphérique (Device).

VMware, Inc. 442

Guide d'administration de VMware SD-WAN

3 Dans la section Paramètres WAN (WAN Settings), cliquez sur Ajouter une superposition
WAN définie par l'utilisateur (Add User Defined WAN Overlay) et choisissez le type de
liaison Privée (Private).

4 Vous pouvez également définir la classe de service d'une liaison privée existante en cliquant
sur Modifier (Edit).

5 Dans les paramètres Superposition WAN (WAN Overlay), cliquez sur Avancé (Advanced)
et cochez la case Configurer la classe de service (Configure Class of Service). Lorsque
vous activez cette option, les paramètres suivants s'affichent. Configurez-les de manière
appropriée. Vous pouvez cliquer sur l'icône Plus (+) pour ajouter plusieurs classes de services.

n Priorité IP stricte (Strict IP precedence) : cochez cette case pour appliquer la priorité IP
stricte.

Lorsque vous activez cette option, 8 sous-chemins VCMP correspondant aux 8 bits de
priorité IP sont créés. Utilisez cette option lorsque vous souhaitez combiner les classes
de service dans un nombre de classes inférieur dans le réseau de votre fournisseur de
services.

Par défaut, cette option est désactivée et les sous-chemins VCMP sont créés pour le
nombre exact de classes de service configurées. Le regroupement n'est pas appliqué.

n Classe de service (Class of Service) : entrez un nom descriptif pour la classe de service. Le
nom peut être une combinaison de caractères alphanumériques et spéciaux.

n Balises DSCP (DSCP Tags) : cliquez sur Définir (Define) pour attribuer des balises DSCP
à la classe de service. Vous pouvez sélectionner plusieurs balises DSCP dans la liste
disponible.

Note Vous devez mapper les balises DSCP de même priorité d'adresse IP à la même
classe de service. Une file d'attente CoS peut être un agrégat de nombreuses classes, mais
les valeurs DSCP de la même classe ne peuvent pas faire partie de plusieurs files d'attente
de classe.

Par exemple, l'ensemble de balises DSCP suivant ne peut pas être réparti sur plusieurs
files d'attente :

n CS1 et AF11 vers AF14

n CS2 et AF21 vers AF24

n CS3 et AF31 vers AF34

n CS4 et AF41 vers AF44

n Bande passante (Bandwidth) : entrez une valeur en pourcentage pour le trafic désigné
dans la classe de service. Cette valeur alloue une pondération à la classe. Le trafic entrant
est traité en fonction de la pondération associée. Si vous disposez de plusieurs classes de
services, la valeur totale de la bande passante doit être ajoutée jusqu'à 100.

VMware, Inc. 443

Guide d'administration de VMware SD-WAN

n Régulation (Policing) : cochez la case pour activer la régulation basée sur la classe. Cette
option surveille la bande passante utilisée par le flux de trafic dans la classe de service et
lorsque le trafic dépasse la bande passante, il le régule.

n Classe par défaut (Default Class) : cliquez pour définir la classe de service correspondante
comme valeur par défaut. Si le trafic entrant ne fait pas partie des classes définies, le trafic
est associé à la classe de service par défaut.

6 Cliquez sur Mettre à jour la liaison (Update Link) pour enregistrer les paramètres.

L'exemple suivant montre plusieurs classes de services avec un ensemble différent de balises
DSCP.

Classe de service Description Balises DSCP Régulation

CoS1 Voix CS5, EF Activé

CoS2 Vidéo AF41, CS4 Désactivé

CoS3 Transfert de fichiers AF21, CS2 Désactivé

Pour plus d'informations sur les paramètres de superposition WAN, reportez-vous à la section
Configurer les paramètres de superposition WAN de dispositifs Edge.

Configurer une liaison en veille à chaud

La liaison en veille à chaud est une liaison de sauvegarde améliorée, pour les liaisons WAN d'un
dispositif Edge, avec des tunnels VCMP préétablis. En cas de panne des liaisons actives, la liaison
en veille à chaud permet un basculement immédiat en utilisant des tunnels VCMP préétablis.

Conditions préalables

Pour configurer une liaison en veille à chaud sur un dispositif Edge, assurez-vous que le dispositif
Edge est mis à niveau vers la version 4.0.0 ou une version ultérieure de l'image logicielle.

Procédure

1 Dans le portail SD-WAN Orchestrator, cliquez sur Configurer (Configure) > Dispositifs Edge
(Edges).

VMware, Inc. 444

Guide d'administration de VMware SD-WAN

2 Sur la page Dispositifs Edge (Edges), cliquez sur l'icône Périphérique (Device) en regard d'un
dispositif Edge ou sur le lien d'accès au dispositif Edge et cliquez sur l'onglet Périphérique
(Device).

3 Faites défiler la liste vers le bas jusqu'à Paramètres WAN (WAN Settings).

4 Pour une superposition WAN détectée automatiquement ou définie par l'utilisateur existante,
cliquez sur Modifier (Edit) pour modifier les paramètres.

5 Pour créer une superposition publique ou privée, cliquez sur Ajouter une superposition WAN
définie par l'utilisateur (Add User Defined WAN Overlay).

6 Dans la fenêtre Superposition WAN définie par l'utilisateur (User Defined WAN Overlay),
choisissez le Type de liaison (Link Type).

7 Cliquez sur Avancé (Advanced) pour configurer les liaisons en veille à chaud.

Sélectionnez Veille à chaud (Hot Standby) dans le menu déroulant Mode de liaison (Link
Mode).

Note Vous ne pouvez pas activer la liaison en veille à chaud pour un Hub.

Sélectionnez Nombre minimal de liaisons actives (Minimum Active Links) dans le menu
déroulant. Cette option indique le nombre de liaisons actives qui peuvent être présentes
simultanément sur le réseau. Lorsque le nombre de liaisons actives actuelles qui sont
fonctionnelles passe au-dessous du nombre sélectionné, la liaison en veille à chaud s'active. La
plage est comprise entre 1 et 3, et la valeur par défaut est de 1.

8 Configurez d'autres options si nécessaire et cliquez sur Mettre à jour la liaison (Update Link)
pour enregistrer les paramètres.

Note Pour plus d'informations sur les autres options de la fenêtre Superposition WAN (WAN
Overlay), reportez-vous à la section Configurer les paramètres de superposition WAN de
dispositifs Edge.

VMware, Inc. 445

Guide d'administration de VMware SD-WAN

Résultats

Une fois que vous avez configuré la liaison en veille à chaud, les tunnels sont configurés, ce qui
permet un basculement rapide en cas de panne. La liaison en veille à chaud ne reçoit aucun trafic
de données, à l'exception des pulsations, qui sont envoyées toutes les 5 secondes.

Lorsque le chemin d'un dispositif Edge vers une passerelle principale sur les liaisons actives
tombe en panne et que le nombre de liaisons actives qui sont fonctionnelles passe au-dessous du
Nombre minimal de liaisons actives (Minimum Active Links) configuré, la liaison en veille à chaud
s'active. Le trafic est envoyé via le chemin de veille à chaud.

Lorsque le chemin vers la passerelle principale s'active sur les liaisons actives et que le nombre de
liaisons actives dépasse le Nombre minimal de liaisons actives (Minimum Active Links) configuré,
la liaison en veille à chaud passe en mode STANDBY. Le flux de trafic bascule vers les liaisons
actives.

Étape suivante

Vous pouvez surveiller les liaisons en veille à chaud dans le tableau de bord de surveillance.
Reportez-vous à la section Surveiller les liaisons en veille à chaud.

Surveiller les liaisons en veille à chaud

Vous pouvez surveiller les liaisons en veille à chaud et l'état correspondant à l'aide du tableau de
bord de surveillance.

Pour surveiller les liaisons en veille à chaud :

1 Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Dispositifs Edge (Edges).

2 Sélectionnez le dispositif Edge configuré avec la liaison en veille à chaud.

3 L'onglet Présentation (Overview) affiche les liaisons avec l'état.

VMware, Inc. 446

Guide d'administration de VMware SD-WAN

4 Cliquez sur l'onglet Transport pour afficher plus d'informations sur les liaisons, avec une
représentation graphique.

VMware, Inc. 447

Guide d'administration de VMware SD-WAN

Vous pouvez également afficher l'état des liaisons en veille à chaud dans la nouvelle interface
utilisateur d'Orchestrator.

1 Dans le portail d'entreprise, cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator
(Open New Orchestrator UI).

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher les dispositifs Edge associés à l'entreprise.
Cliquez sur le lien d'accès à un dispositif Edge.

4 L'onglet Présentation (Overview) affiche les liaisons avec l'état.

5 Cliquez sur l'onglet Liaisons (Links) pour afficher plus de détails avec des graphiques.

6 Cliquez sur l'onglet Chemins (Paths) et sélectionnez un homologue SD-WAN pour afficher
l'état des chemins à partir du dispositif Edge sélectionné.

Configurer les remplacements des paramètres de radio Wi-

Fi
Au niveau du dispositif Edge, vous pouvez remplacer les paramètres de radio Wi-Fi spécifiés dans
le profil en cochant la case Activer le remplacement au niveau du dispositif Edge (Enable Edge
Override). En fonction du modèle d'Edge et du pays configuré pour ce dernier, les paramètres de
radio Wi-Fi vous permettent de sélectionner une bande de radio et un canal pris en charge pour le
dispositif Edge.

Pour remplacer les paramètres de radio Wi-Fi au niveau du dispositif Edge, procédez comme suit.

Conditions préalables

n Avant de configurer la bande de radio et le canal Wi-Fi du dispositif Edge, il est important
de définir le pays d'exploitation approprié pour la radio Wi-Fi, afin de respecter les exigences
locales de la transmission Wi-Fi. Assurez-vous que le pays d'exploitation approprié pour ce

VMware, Inc. 448

Guide d'administration de VMware SD-WAN

dispositif Edge est défini dans la section Contact et emplacement (Contact & Location) de
la page de configuration Présentation du dispositif Edge (Edge Overview). L'adresse est
renseignée automatiquement après l'activation du dispositif Edge. Si nécessaire, vous pouvez
remplacer l'adresse manuellement.

Note Le pays doit être spécifié à l'aide de la notation ISO 3166-1-alpha-2 à 2 caractères (par
exemple, US, DE, IN, etc.)

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges).

2 Sélectionnez un dispositif Edge pour lequel vous souhaitez remplacer les paramètres de radio
Wi-Fi, puis cliquez sur l'icône dans la colonne Périphérique (Device).

La page Paramètre du périphérique (Device Setting) du dispositif Edge sélectionné s'affiche.

3 Dans le menu déroulant Configurer le segment (Configure Segment), Segment global

[Normal] (Global Segment [Regular]) est sélectionné par défaut. Si nécessaire, vous pouvez
sélectionner un segment de profil différent dans le menu déroulant.

4 Accédez à la zone Paramètres de radio Wi-Fi (WI-FI Radio Settings) et cochez la case Activer
le remplacement au niveau du dispositif Edge (Enable Edge Override).

5 Sélectionnez une Bande (Band) dans les fréquences radio prises en charge pour le dispositif
Edge.

6 Dans le menu déroulant Canal (Channel), sélectionnez un canal radio pris en charge pour le
dispositif Edge.

Note Les sélecteurs de Bande (Band) et de Canal (Channel) affichent uniquement les bandes
de radio et les canaux pris en charge pour l'emplacement configuré du dispositif Edge.

VMware, Inc. 449

Guide d'administration de VMware SD-WAN

7 Si vous souhaitez modifier l'emplacement du dispositif Edge, cliquez sur Accéder à

Présentation du dispositif Edge pour modifier l'emplacement d'Edge (Go to Edge Overview
to change edge location). La page Présentation du dispositif Edge (Edge Overview) du
dispositif Edge sélectionné s'affiche.

a Sous la zone Contact et emplacement (Contact & Location), cliquez sur le lien Mettre à
jour l'emplacement (Update Location) pour définir l'emplacement du dispositif Edge et
cliquez sur Enregistrer les modifications (Save Changes).

8 Cliquez sur Enregistrer les modifications (Save Changes). Les paramètres de radio Wi-Fi sont
remplacés pour le dispositif Edge sélectionné.

Note Si un pays n'est pas défini pour le dispositif Edge ou si le pays n'est pas valide, la
Bande (Band) de radio est définie sur 2,4 GHz et Canal (Channel) est défini sur Automatique
(Automatic).

VNF de sécurité
Les fonctions de réseau virtuel (VNF) sont des services réseau individuels, tels que des routeurs
et des pare-feu, qui s'exécutent en tant qu'instances de machine virtuelle (VM) uniquement
logicielles sur du matériel générique. Par exemple, une VNF de routage met en œuvre toutes
les fonctions d'un routeur, mais s'exécute sous une forme logicielle uniquement, seule ou
avec d'autres VNF, sur du matériel générique. Les VNF sont administrées et orchestrées dans
l'architecture NFV.

La virtualisation de NFV et de VNF indique que les fonctions réseau sont mises en œuvre de
manière généralisée, indépendamment du matériel sous-jacent. Les VNF peuvent s'exécuter dans
n'importe quel environnement de VM de la succursale, du cloud ou du centre de données. Cette
architecture permet d'effectuer les opérations suivantes :

n Insérer des services réseau à un emplacement optimal pour fournir une sécurité appropriée.
Par exemple, insérez un pare-feu VNF dans une succursale connectée à Internet plutôt que
de subir l'inefficacité d'un renvoi par liaison MPLS du trafic vers un centre de données distant
pour traitement par un pare-feu.

n Optimiser les performances d'application. Le trafic peut suivre la route la plus directe entre
l'utilisateur et l'application cloud à l'aide d'une VNF pour définir les priorités de sécurité ou
de trafic. Dans un environnement de VM, plusieurs VNF peuvent s'exécuter simultanément,
isolées l'une de l'autre et peuvent être modifiées ou mises à niveau indépendamment.

Les tableaux suivants répertorient les pare-feu tiers pris en charge par VMware ainsi que la
matrice de prise en charge :

VMware, Inc. 450

Guide d'administration de VMware SD-WAN

Tableau 16-8. Pare-feu Palo Alto Networks (Palo Alto Networks Firewall) – Matrice de prise en
charge
Plate-
forme
VMware Dispositif Dispositif Dispositif Dispositif
SD-WAN Edge 520 Dispositif Dispositif Dispositif Dispositif Edge 200 Edge 340 Edge 380
Edge v Edge 620 Edge 640 Edge 680 Edge 840 0 0 0

Modèles VM-50 VM-50 VM-100 VM-100 VM-100 * Non pris Non pris
de pare- Lite Lite en charge en charge
feu de sur la sur la
série de version 4. version 4.
VM 0.0 0.0
recomman
dés

Nombre 2 2 2 2 2 * * *
de vCPU
disponible
s pour le
pare-feu
de série
VM

Mémoire 4,5 Go 4,5 Go 6,5 Go 6,5 Go 6,5 Go * * *

disponible
pour VNF

Espace de 64 Go 64 Go 120 Go 120 Go 120 Go * * *

stockage
disponible
sur le
dispositif
Edge pour
la VNF

Version de Version 3. Version 3. Version 3. Version 3. Version 3. Non pris Version 4. Version 4.
VMware 2.0 ou une 4.3 ou une 4.3 ou une 4.3 ou une 2.0 ou une en charge 3.0 ou une 3.0 ou une
prise en version version version version version sur toutes version version
charge la ultérieure ultérieure ultérieure ultérieure ultérieure les ultérieure ultérieure
plus versions
ancienne

Version de Version 8.1 Version 8.1 Version 8.1 Version 8.1 Version 8.1 * * *
Panorama .0 .0 .0 .0 .0

VMware, Inc. 451

Guide d'administration de VMware SD-WAN

Tableau 16-9. VNF Check Point – Matrice de prise en charge

Plate-
forme
VMware Dispositif Dispositif Dispositif Dispositif
SD-WAN Edge 520 Dispositif Dispositif Dispositif Dispositif Edge 200 Edge 340 Edge 380
Edge v Edge 620 Edge 640 Edge 680 Edge 840 0 0 0

Mémoire 2 Go 2 Go 4 Go 4 Go 4 Go * Non pris Non pris

disponible en charge en charge
pour VNF sur la sur la
version 4. version 4.
0.0 0.0

Nombre 2 2 2 2 2 * * *
de vCPU
disponible
s pour
VNF

Stockage 64 Go 120 Go 120 Go 120 Go 100 Go * * *

disponible
sur le
dispositif
Edge pour
la VNF

Débit 100 Mbits/ 100 Mbits/ 350 Mbits/ 500 Mbits 550 Mbits/ * * *
maximal s s s /s s
de SD-
WAN et
de la VNF
Check
Point

Version de Version 3. Version 3. Version 3. Version 3. Version 3. Non pris Version 4. Version 4.
VMware 3.2 ou une 4.3 ou une 4.3 ou une 4.3 ou une 3.2 ou une en charge 3.0 ou une 3.0 ou une
prise en version version version version version sur toutes version version
charge la ultérieure ultérieure ultérieure ultérieure ultérieure les ultérieure ultérieure
plus versions
ancienne

Version du Version R7 Version R7 Version R7 Version R7 Version R7 * * *

système 7.20 ou 7.20 ou 7.20 ou 7.20 ou 7.20 ou
d'exploitat une une une une une
ion de la version version version version version
VNF ultérieure ultérieure ultérieure ultérieure ultérieure
Check
Point

Version Version 77 Version 77 Version 77 Version 77 Version 77 * * *

logicielle .20 .20 .20 .20 .20
de Check
Point
Manager

VMware, Inc. 452

Guide d'administration de VMware SD-WAN

Tableau 16-10. Pare-feu Fortinet – Matrice de prise en charge

Plate-
forme
VMware Dispositif Dispositif Dispositif Dispositif
SD-WAN Edge 520 Dispositif Dispositif Dispositif Dispositif Edge 200 Edge 340 Edge 380
Edge v Edge 620 Edge 640 Edge 680 Edge 840 0 0 0

Modèles VM00, VM VM00, VM VM00, VM VM00, VM VM00, VM * Non pris Non pris
de pare- 01, VM01v 01, VM01v 01, VM01v, 01, VM01v, 01, VM01v, en charge en charge
feu de VM02, V VM02, V VM02, V sur la sur la
série de M02v M02v M02v version 4. version 4.
VM 0.0 0.0
recomman
dés

Mémoire 2 Go 2 Go 4 Go 4 Go 4 Go * * *
disponible
pour VNF

Nombre 2 2 2 2 2 * * *
de vCPU
disponible
s pour
VNF

Stockage 64 Go 64 Go 100 Go 100 Go 100 Go * * *

disponible
sur le
dispositif
Edge pour
la VNF

Débit 100 Mbits/ 100 Mbits/ 500 Mbits 500 Mbits 500 Mbits * * *
maximal s s /s /s /s
de SD-
WAN et
de la VNF
FortiGate

Version de Version 3. Version 4. Version 4. Version 4. Version 3. Non pris Version 4. Version 4.
VMware 3.1 ou une 0.0 ou 0.0 ou 0.0 ou 3.1 ou une en charge 3.0 ou une 3.0 ou une
prise en version une une une version sur toutes version version
charge la ultérieure version version version ultérieure les ultérieure ultérieure
plus ultérieure ultérieure ultérieure versions
ancienne

Version de Version 6. Version 6. Version 6. Version 6. Version 6. * * *

FortiOS 2.0 2.0 2.0 2.0 2.0

Vous pouvez déployer et transférer le trafic via VNF sur un dispositif SD-WAN Edge.

Configurer le service de gestion VNF

VMware prend en charge les pare-feu tiers qui peuvent être utilisés comme VNF pour transmettre
le trafic via des dispositifs Edge.

VMware, Inc. 453

Guide d'administration de VMware SD-WAN

Choisissez le pare-feu tiers et configurez les paramètres en conséquence. Vous devrez peut-
être également configurer des paramètres supplémentaires dans le pare-feu tiers. Pour obtenir
les configurations supplémentaires, reportez-vous aux guides de déploiement du pare-feu tiers
correspondant.

Pour les types de VNF Pare-feu Check Point (Check Point Firewall) et Pare-feu
Fortinet (Fortinet Firewall), configurez l'image VNF en utilisant la propriété système
[Link]. Vous devez être utilisateur opérateur pour configurer la propriété
système. Si vous ne disposez pas de l'accès au rôle d'opérateur, contactez votre opérateur pour
configurer l'image VNF.

Note Vous devez fournir la valeur de total de contrôle appropriée dans la propriété système. Le
dispositif Edge calcule le total de contrôle de l'image VNF téléchargée et compare la valeur avec
celle disponible dans la propriété système. Le dispositif Edge ne déploie la VNF que lorsque les
deux valeurs de total de contrôle sont identiques.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network
Services).

2 Dans l'onglet Services, faites défiler la liste vers le bas jusqu'à la section VNF (VNFs) et cliquez
sur Nouveau (New).

3 Dans la fenêtre Configuration de la gestion du service de VNF (VNF Service Management

Configuration), entrez un nom descriptif pour le service VNF de sécurité et sélectionnez un
type de VNF dans la liste déroulante.

VMware, Inc. 454

Guide d'administration de VMware SD-WAN

4 Configurez les paramètres en fonction du type de VNF sélectionné.

a Pour le type de VNF Pare-feu Palo Alto Networks (Palo Alto Networks Firewall),
configurez les éléments suivants :

1 Adresse IP de Panorama principale (Primary Panorama IP Address) : entrez l'adresse

IP principale du serveur Panorama.

2 Adresse IP Panorama secondaire (Secondary Panorama IP Address) : entrez

l'adresse IP secondaire du serveur Panorama.

3 Clé d'authentification Panorama (Panorama Auth Key) : entrez la clé

d'authentification configurée sur le serveur panorama. La VNF utilise la clé
d'authentification pour se connecter et communiquer avec Panorama.

4 Cliquez sur Enregistrer les modifications (Save Changes).

Après avoir configuré Palo Alto Networks comme type de VNF, définissez les licences de
VNF. Ces licences sont appliquées à un ou plusieurs dispositifs Edge configurés par la
VNF.
1 Dans l'onglet Services, faites défiler la liste vers le bas jusqu'à la section Licences de
VNF (VNF Licenses) et cliquez sur Nouveau (New).

2 Dans la fenêtre Configuration de la licence de VNF (VNF License Configuration),

configurez les éléments suivants :

n Nom (Name) : entrez un nom descriptif pour la licence de VNF.

VMware, Inc. 455

Guide d'administration de VMware SD-WAN

n Type de VNF (VNF Type) : sélectionnez le type de VNF dans la liste déroulante.
Actuellement, Pare-feu Palo Alto Networks (Palo Alto Networks Firewall) est la
seule option disponible.

n Clé API du serveur de licence (License Server API Key) : entrez la clé de licence
de votre compte Palo Alto Networks. L'instance de SD-WAN Orchestrator utilise
cette clé pour communiquer avec le serveur de licence Palo Alto Networks.

n Code d'authentification (Auth Code) : entrez le code d'autorisation acheté à Palo

Alto Networks.

n Cliquez sur Tester (Test) pour valider la configuration.

3 Cliquez sur Enregistrer les modifications (Save Changes).

Vous pouvez appliquer les licences de VNF lors de la configuration de Pare-feu Palo Alto
Networks (Palo Alto Networks Firewall) en tant que type de VNF sur les dispositifs Edge.

Note Pour supprimer le déploiement de la configuration de Pare-feu Palo Alto Networks

(Palo Alto Networks Firewall) d'un type de VNF, assurez-vous que vous avez désactivé la
licence de VNF (VNF License) de Palo Alto Networks avant de supprimer la configuration.

b Pour le type de VNF Check Point Firewall (Pare-feu Check Point), configurez les éléments
suivants :

1 Adresse IP du serveur de gestion Check Point principal (Primary Check Point Mgmt
Server IP) : entrez l'adresse IP de la console intelligente de Check Point qui se
connecte au pare-feu Check Point.

VMware, Inc. 456

Guide d'administration de VMware SD-WAN

2 Clé SIC pour l'accès au serveur de gestion (SIC Key for Mgmt Server Access) : entrez
le mot de passe permettant d'enregistrer la VNF dans la console intelligente de Check
Point.

3 Mot de passe administrateur (Admin Password) : entrez le mot de passe de

l'administrateur.

4 Emplacement de l'image VNF (VNF Image Location) : entrez l'emplacement de

l'image à partir duquel SD-WAN Orchestrator télécharge l'image VNF.

5 Version de l'image (Image Version) : sélectionnez une version de l'image VNF de

Check Point dans la liste déroulante. La version de l'image est dérivée de la propriété
système [Link].

6 Type de total de contrôle de fichier (File Checksum Type) : spécifie la méthode

utilisée pour valider l'image VNF et est automatiquement renseigné après la sélection
d'une version de l'image.

7 Total de contrôle de fichier (File Checksum) : spécifie le total de contrôle utilisé

pour valider l'image VNF et est automatiquement renseigné après la sélection d'une
version de l'image. La valeur du total de contrôle est dérivée de la propriété système
[Link].

8 Type de téléchargement (Download Type) : choisissez le type d'image. Pour https,

entrez le nom d'utilisateur et le mot de passe. Pour s3, entrez l'AccessKeyid, la
SecretAccessKey, puis choisissez la région.

9 Cliquez sur Enregistrer les modifications (Save Changes).

c Pour le type de VNF Pare-feu Fortinet (Fortinet Firewall), configurez les éléments
suivants :

1 Adresse IP du serveur de gestion Fortinet (Fortinet Mgmt Server IP) : entrez

l'adresse IP de FortiManager pour vous connecter à FortiGate.

VMware, Inc. 457

Guide d'administration de VMware SD-WAN

2 Numéro de série Fortimanager (Fortimanager Serial Number) : entrez le numéro de

série de FortiManager.

3 Mot de passe d'enregistrement (Registration Password) : entrez le mot de passe

utilisé pour enregistrer la VNF dans FortiManager.

4 Emplacement de l'image VNF (VNF Image Location) : entrez l'emplacement de

l'image à partir duquel SD-WAN Orchestrator télécharge l'image VNF.

5 Version de l'image (Image Version) : sélectionnez une version de l'image VNF de

Fortinet dans la liste déroulante. Les options suivantes sont disponibles : 6.4.0,
6.2.4, 6.0.5 et 6.2.0. La version de l'image est dérivée de la propriété système
[Link].

6 Type de total de contrôle de fichier (File Checksum Type) : spécifie la méthode

utilisée pour valider l'image VNF et est automatiquement renseigné après le choix
d'une version de l'image.

7 Total de contrôle de fichier (File Checksum) : spécifie le total de contrôle utilisé

pour valider l'image VNF et est automatiquement renseigné après la sélection d'une
version de l'image. La valeur du total de contrôle est dérivée de la propriété système
[Link].

8 Type de téléchargement (Download Type) : choisissez le type d'image. Pour https,

entrez le nom d'utilisateur et le mot de passe. Pour s3, entrez l'AccessKeyid, la
SecretAccessKey, puis choisissez la région.

9 Cliquez sur Enregistrer les modifications (Save Changes).

Résultats

La section VNF (VNFs) affiche les services VNF créés. L'image suivante montre un exemple de
type de VNF comme pare-feu Check Point.

Étape suivante

Vous pouvez configurer la VNF de sécurité pour un dispositif Edge afin de diriger le trafic via les
services de gestion VNF. Voir

n Configurer la VNF de sécurité sans HA

n Configurer la VNF de sécurité avec HA

Configurer la VNF de sécurité sans HA

Vous pouvez déployer et transférer le trafic via VNF sur le dispositif SD-WAN Edge, à l'aide de
pare-feu tiers.

VMware, Inc. 458

Guide d'administration de VMware SD-WAN

Seul un opérateur peut activer la configuration de la VNF de sécurité. Si l'option VNF de sécurité
(Security VNF) n'est pas disponible pour vous, contactez votre opérateur.

Conditions préalables

Assurez-vous que vous disposez des éléments suivants :

n SD-WAN Orchestrator et le dispositif SD-WAN Edge activé exécutant les versions logicielles
qui prennent en charge le déploiement d'une VNF de sécurité spécifique. Pour plus
d'informations sur les versions logicielles et les plates-formes de dispositifs Edge prises en
charge, reportez-vous à la matrice de prise en charge dans VNF de sécurité.

n Licence du module complémentaire VNF Manager.

n Service de gestion VNF configuré. Pour plus d'informations, reportez-vous à la section

Configurer le service de gestion VNF.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Sur la page Dispositifs Edge (Edges), cliquez sur l'icône Périphérique (Device) en regard d'un
dispositif Edge ou sur le lien d'accès au dispositif Edge et cliquez sur l'onglet Périphérique
(Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section VNF de
sécurité (Security VNF) et cliquez sur Modifier (Edit).

4 Dans la fenêtre Configuration de la VNF d'Edge (Edge VNF Configuration), cochez la case
Déployer (Deploy).

5 Configurez les éléments suivants dans Configuration de la machine virtuelle (VM

Configuration) :

a VLAN : choisissez un VLAN à utiliser pour la gestion VNF dans la liste déroulante.

b Adresse IP de VM-1 (VM-1 IP) : entrez l'adresse IP de la VM et assurez-vous que l'adresse

IP se trouve dans la plage de sous-réseaux du VLAN choisi.

c Nom d'hôte de VM-1 (VM-1 Hostname) : entrez un nom pour l'hôte de la VM.

VMware, Inc. 459

Guide d'administration de VMware SD-WAN

d État de déploiement (Deployment State) : choisissez l'une des options suivantes :

n Image téléchargée et sous tension (Image Downloaded and Powered On) : cette
option met sous tension la VM après avoir créé la VNF de pare-feu sur le dispositif
Edge. Le trafic ne transite par la VNF que lorsque cette option est choisie, ce qui
nécessite au moins un VLAN ou une interface acheminée configuré pour l'insertion de
la VNF.

n Image téléchargée et hors tension (Image Downloaded and Powered Off) : cette
option maintient la VM hors tension après avoir créé la VNF de pare-feu sur le
dispositif Edge. Ne sélectionnez pas cette option si vous prévoyez d'envoyer le trafic
via la VNF.

VMware, Inc. 460

Guide d'administration de VMware SD-WAN

e VNF de sécurité (Security VNF) : choisissez un service de gestion VNF prédéfini dans
la liste déroulante. Vous pouvez également cliquer sur Nouveau service VNF (New VNF
Service) pour créer un service de gestion VNF. Pour plus d'informations, reportez-vous à
la section Configurer le service de gestion VNF.

L'image suivante montre un exemple de Pare-feu Check Point (Check Point Firewall)
comme type de VNF de sécurité.

Si vous choisissez Pare-feu Palo Alto Networks (Palo Alto Networks Firewall) comme
VNF de sécurité, configurez les paramètres supplémentaires suivants :

n Licence (License) : sélectionnez la licence de VNF dans la liste déroulante.

n Nom du groupe de périphériques (Device Group Name) : entrez le nom du groupe de

périphériques préconfiguré sur le serveur Panorama.

VMware, Inc. 461

Guide d'administration de VMware SD-WAN

n Nom du modèle de configuration (Config Template Name) : entrez le nom du modèle

de configuration préconfiguré sur le serveur Panorama.

Note Pour supprimer le déploiement de la configuration de Pare-feu Palo Alto Networks

(Palo Alto Networks Firewall) d'un type de VNF, assurez-vous que vous avez désactivé la
licence de VNF (VNF License) de Palo Alto Networks avant de supprimer la configuration.

Si vous choisissez Pare-feu Fortinet (Fortinet Firewall), configurez les paramètres

supplémentaires suivants :

n Cœurs de VM (VM Cores) : sélectionnez le nombre de cœurs dans la liste déroulante.

La licence de la VM est basée sur les cœurs de celle-ci. Assurez-vous que la licence de
VM est compatible avec le nombre de cœurs sélectionné.

n Mode d'inspection (Inspection Mode) : choisissez l'un des modes suivants :

n Proxy : cette option est sélectionnée par défaut. L'inspection basée sur un proxy
implique le trafic de mise en mémoire tampon et l'examen complet des données
pour l'analyse.

n Flux (Flow) : l'inspection basée sur les flux examine les données de trafic à mesure
qu'elles passent par l'unité FortiGate sans mise en mémoire tampon.

n Licence (License) : glissez et déposez la licence de VM.

f Cliquez sur Mettre à jour (Update).

VMware, Inc. 462

Guide d'administration de VMware SD-WAN

Résultats

Les détails de la configuration s'affichent dans la section VNF de sécurité (Security VNF).

Étape suivante

Si vous souhaitez rediriger plusieurs segments de trafic vers la VNF, définissez le mappage
entre les segments et les VLAN de service. Reportez-vous à la section Définir des segments de
mappage avec des VLAN de service

Vous pouvez insérer la VNF de sécurité dans le VLAN et l'interface acheminée pour rediriger le
trafic du VLAN ou de l'interface acheminée vers la VNF. Reportez-vous à la section Configurer le
VLAN avec insertion de la VNF.

Configurer la VNF de sécurité avec HA

Vous pouvez configurer la VNF de sécurité sur des dispositifs Edge configurés avec la haute
disponibilité pour assurer la redondance.

Vous pouvez configurer VNF avec HA sur les dispositifs Edge dans les scénarios suivants :

n Dans un dispositif Edge autonome, activez HA et VNF.

n Dans les dispositifs Edge configurés avec le mode HA, activez VNF.

Les interfaces suivantes sont activées et utilisées entre les instances du dispositif Edge et de VNF :

n Interface LAN vers VNF

n Interface WAN vers VNF

n Interface de gestion (Management Interface) : VNF communique avec son gestionnaire

n Interface de synchronisation VNF (VNF Sync Interface) : synchronise les informations entre les
VNF déployées sur les dispositifs Edge actifs et en veille

Les dispositifs Edge disposent des rôles HA actif et en veille. Les VNF sur chaque dispositif Edge
s'exécutent en mode actif-actif. Les dispositifs Edge actifs et en veille apprennent l'état de la VNF
via SNMP. L'interrogation SNMP est effectuée périodiquement toutes les 1 seconde par le démon
VNF sur les dispositifs Edge.

VNF est utilisé en mode actif-actif avec le trafic utilisateur transféré vers une VNF uniquement à
partir du dispositif Edge associé en mode actif. Sur la VM en veille, où le dispositif Edge de la VM
est en veille, la VNF ne présente un trafic que vers VNF Manager et les données se synchronisent
avec l'autre instance de VNF.

L'exemple suivant montre la configuration de HA et de VNF sur un dispositif Edge autonome.

VMware, Inc. 463

Guide d'administration de VMware SD-WAN

Conditions préalables

Assurez-vous que vous disposez des éléments suivants :

n SD-WAN Orchestrator et le dispositif SD-WAN Edge activé exécutant le logiciel version 4.0.0
ou une version ultérieure. Pour plus d'informations sur les plates-formes de dispositifs Edge
prises en charge, reportez-vous à la matrice de prise en charge dans VNF de sécurité.

n Configuration du service de gestion VNF du pare-feu Check Point. Pour plus d'informations,
reportez-vous à la section Configurer le service de gestion VNF.

Note VMware prend uniquement en charge la VNF de pare-feu Check Point sur les dispositifs
Edge avec HA.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou cliquez sur le lien
d'accès à un dispositif Edge, puis cliquez sur l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), accédez à la section Haute disponibilité (High

Availability) et choisissez Paire Actif-En veille (Active Standby Pair).

4 Accédez à VNF de sécurité (Security VNF) et cliquez sur Modifier (Edit).

5 Sur la page Configuration de la VNF d'Edge (Edge VNF Configuration), cliquez sur Déployer
(Deploy).

VMware, Inc. 464

Guide d'administration de VMware SD-WAN

6 Configurez les éléments suivants dans Configuration de la machine virtuelle (VM

Configuration) :

a VLAN : choisissez un VLAN à utiliser pour la gestion VNF dans la liste déroulante.

b Adresse IP de VM-1 (VM-1 IP), Adresse IP de VM-2 (VM-2 IP) : entrez les adresses
IP de VM1 et de VM2. Assurez-vous que les adresses IP se trouvent dans la plage de
sous-réseaux du VLAN choisi.

c Nom d'hôte de VM-1 (VM-1 Hostname), Nom d'hôte de VM-2 (VM-2 Hostname) : entrez
les noms d'hôte des VM.

d État de déploiement (Deployment State) : choisissez l'une des options suivantes :

n Image téléchargée et sous tension (Image Downloaded and Powered On) : cette
option met sous tension la VM après avoir créé la VNF de pare-feu sur le dispositif
Edge. Le trafic ne transite par la VNF que lorsque cette option est choisie, ce qui
nécessite au moins un VLAN ou une interface acheminée configuré pour l'insertion de
la VNF.

n Image téléchargée et hors tension (Image Downloaded and Powered Off) : cette
option maintient la VM hors tension après avoir créé la VNF de pare-feu sur le
dispositif Edge. Ne sélectionnez pas cette option si vous prévoyez d'envoyer le trafic
via la VNF.

e VNF de sécurité (Security VNF) : choisissez un service de gestion VNF de pare-feu Check
Point prédéfini dans la liste déroulante. Vous pouvez également cliquer sur Nouveau
service VNF (New VNF Service) pour créer un service de gestion VNF. Pour plus
d'informations, reportez-vous à la section Configurer le service de gestion VNF.

f Cliquez sur Mettre à jour (Update).

VMware, Inc. 465

Guide d'administration de VMware SD-WAN

Résultats

La section VNF de sécurité (Security VNF) affiche les détails configurés :

Attendez que le dispositif Edge assume le rôle actif, puis connectez le dispositif Edge en veille
à la même interface du dispositif Edge actif. Le dispositif Edge en veille reçoit tous les détails
de configuration, y compris les paramètres VNF, à partir du dispositif Edge actif. Pour plus
d'informations sur la configuration HA, reportez-vous à la section Configurer HA.

Lorsque la VNF est inactive ou ne répond pas dans le dispositif Edge actif, la VNF dans le
dispositif Edge en veille prend le rôle actif.

Note Lorsque vous souhaitez désactiver HA dans un dispositif Edge configuré avec la VNF,
désactivez d'abord la VNF, puis désactivez HA.

Étape suivante

Si vous souhaitez rediriger plusieurs segments de trafic vers la VNF, définissez le mappage
entre les segments et les VLAN de service. Reportez-vous à la section Définir des segments de
mappage avec des VLAN de service

Vous pouvez insérer la VNF de sécurité dans le VLAN et l'interface acheminée pour rediriger le
trafic du VLAN ou de l'interface acheminée vers la VNF. Reportez-vous à la section Configurer le
VLAN avec insertion de la VNF.

Définir des segments de mappage avec des VLAN de service

Lorsque vous souhaitez rediriger plusieurs segments de trafic vers la VNF de sécurité, définissez
le mappage entre les segments et les VLAN de service.

Pour mapper les segments avec les VLAN de service :

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Segments.

VMware, Inc. 466

Guide d'administration de VMware SD-WAN

2 Sur la page Segments, entrez l'ID VLAN de service pour chaque segment.

3 Cliquez sur Enregistrer les modifications (Save Changes).

Résultats

Le segment dans lequel la VNF est insérée est attribué à l'aide d'un ID VLAN unique. La stratégie
de pare-feu sur la VNF est définie à l'aide de ces ID VLAN. Le trafic provenant des VLAN et des
interfaces dans ces segments est balisé avec l'ID VLAN alloué à le segment spécifié.

Étape suivante

Insérez la VNF de sécurité dans un VLAN de service ou l'interface routée pour rediriger le trafic
du VLAN ou de l'interface routée vers la VNF. Reportez-vous à la section Configurer le VLAN avec
insertion de la VNF.

Configurer le VLAN avec insertion de la VNF

Vous pouvez insérer la VNF de sécurité dans le VLAN et l'interface acheminée.

Conditions préalables

Assurez-vous d'avoir créé une VNF de sécurité et configuré les paramètres. Reportez-vous aux
sections Configurer la VNF de sécurité sans HA et Configurer la VNF de sécurité avec HA.

Mappez les segments avec les VLAN de service pour activer l'insertion de la VNF dans les VLAN.
Reportez-vous à la section Définir des segments de mappage avec des VLAN de service.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Sur la page Dispositifs Edge (Edges), cliquez sur l'icône Périphérique (Device) en regard d'un
dispositif Edge ou sur le lien d'accès au dispositif Edge et cliquez sur l'onglet Périphérique
(Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section
Configurer le VLAN (Configure VLAN).

4 Cliquez sur le lien Modifier (Edit) du VLAN dans lequel vous souhaitez insérer la VNF.

VMware, Inc. 467

Guide d'administration de VMware SD-WAN

5 Dans la fenêtre VLAN, cochez la case Insertion de la VNF (VNF Insertion) pour insérer la VNF
dans le VLAN. Cette étape redirige le trafic d'un VLAN spécifique vers la VNF.

6 Cliquez sur Mettre à jour le VLAN (Update VLAN).

Résultats

La section Configurer le VLAN (Configure VLAN) affiche l'état de l'insertion de la VNF.

Vous pouvez également insérer la VNF dans les interfaces ou les sous-interfaces de couche 3.
Cette insertion redirige le trafic depuis des interfaces ou des sous-interfaces de couche 3 dans la
VNF.

VMware, Inc. 468

Guide d'administration de VMware SD-WAN

Si vous choisissez d'utiliser l'interface acheminée, assurez-vous que la source de confiance est
cochée et que la superposition WAN est désactivée sur cette interface. Pour plus d'informations,
reportez-vous à la section Configurer les paramètres de l'interface.

Surveiller VNF pour un dispositif Edge

Vous pouvez surveiller l'état des VNF et des VM d'un dispositif Edge, et également afficher les
services réseau VNF configurés pour l'entreprise.

Pour surveiller l'état des VNF et des VM d'un dispositif Edge :

n Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Dispositifs Edge (Edges). La
liste des dispositifs Edge, ainsi que les détails des VNF configurées s'affichent.

n Avec le pointeur de la souris, survolez l'icône dans la colonne VNF pour afficher des détails
supplémentaires du type de VNF.

n Cliquez sur le lien Afficher (View) de la colonne État des VM (VM Status) pour ouvrir
la fenêtre État des machines virtuelles VNF (VNF Virtual Machine Status) dans laquelle
vous pouvez afficher l'état de déploiement du dispositif Edge. Pour afficher les détails
du déploiement, cliquez sur le lien Afficher (View) en regard de Détails de déploiement
(Deployment Details).

Pour les VNF configurées sur le dispositif Edge avec HA, la fenêtre État des machines
virtuelles VNF comporte une colonne supplémentaire qui affiche le Numéro de série (Serial
Number) des dispositifs Edge, comme indiqué sur l'image suivante :

VMware, Inc. 469

Guide d'administration de VMware SD-WAN

Pour surveiller l'état des VNF et des VM :

n Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Services réseau (Network
Services). La liste des dispositifs Edge, ainsi que les détails des VNF configurées s'affichent.

Vous pouvez également afficher l'état des VNF dans la nouvelle interface utilisateur
d'Orchestrator.

1 Dans le portail d'entreprise, cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator
(Open New Orchestrator UI).

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Dispositifs Edge (Edges) pour afficher l'état des dispositifs Edge avec les VNF et
les VM.

4 Cliquez sur Services réseau (Network Services) > VNF d'Edge (Edge VNFs) pour afficher
l'état des VNF et des VM.

VMware, Inc. 470

Guide d'administration de VMware SD-WAN

Surveiller les événements VNF

Vous pouvez afficher les événements lorsque la VM VNF est déployée, en cas de modification de
la configuration de la VM VNF et lorsqu'une insertion de la VNF est activée dans un VLAN.

Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Événements (Events).

Pour afficher les événements associés à VNF, vous pouvez utiliser l'option Filtre (Filter). Cliquez
sur la flèche déroulante en regard de l'option Rechercher (Search) et choisissez de filtrer en
fonction de l'événement ou de la colonne Message.

Le nom de l'événement s'affiche sous Configuration de la VM VNF modifiée (VNF VM config

changed) en cas de modification de la configuration. La colonne Message affiche la modification
correspondante suivante :

n VNF déployée

n VNF supprimée

n VNF désactivée

n Erreur VNF

n La VNF est inactive (DOWN)

n La VNF est active (UP)

n Mise hors tension de la VNF

n Mise sous tension de la VNF

Le nom de l'événement s'affiche sous Événement d'insertion de la VNF (VNF insertion event)
lorsque l'insertion de la VNF est activée ou désactivée dans un VLAN ou une interface acheminée.
La colonne Message affiche la modification correspondante suivante :

n Insertion de la VNF désactivée (DISABLED)

n Insertion de la VNF activée (ENABLED)

L'image suivante montre certains événements VNF.

VMware, Inc. 471

Guide d'administration de VMware SD-WAN

Vous pouvez également afficher les événements dans la nouvelle interface utilisateur
d'Orchestrator.

Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant les
options de surveillance. Cliquez sur Événements (Events). Cliquez sur l'icône Filtre (Filter) dans
l'option Rechercher (Search) pour filtrer les événements VNF.

Configurer les alertes VNF

Vous pouvez effectuer la configuration pour recevoir des alertes et des notifications associées aux
événements VNF.

Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Alertes et notifications (Alerts
& Notifications). Sur la page Configuration des alertes (Alert Configuration), vous pouvez
sélectionner les types d'alertes.

VMware, Inc. 472

Guide d'administration de VMware SD-WAN

Pour recevoir des alertes pour les événements VNF, sélectionnez les types d'alertes suivants :

n Déploiement de la machine virtuelle VNF du dispositif Edge (Edge VNF Virtual Machine
Deployment) : recevez une alerte en cas de modification de l'état de déploiement de la
machine virtuelle VNF du dispositif Edge.

n Insertion VNF du dispositif Edge (Edge VNF Insertion) : recevez une alerte en cas de
modification de l'état de déploiement VNF du dispositif Edge.

n Événement de téléchargement d'image VNF du dispositif Edge (Edge VNF Image

Download Event) : recevez une alerte en cas de modification de l'état de téléchargement
de l'image VNF du dispositif Edge.

Vous pouvez afficher les notifications d'alerte sur la page Surveiller (Monitor) > Alertes (Alerts).

Pour afficher les alertes associées à VNF, vous pouvez utiliser l'option Filtre (Filter). Cliquez sur la
flèche déroulante en regard de l'option Rechercher (Search) et choisissez de filtrer en fonction du
type.

L'image suivante montre certaines alertes VNF.

Vous pouvez également afficher les alertes dans la nouvelle interface utilisateur d'Orchestrator.

Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant les
options de surveillance. Cliquez sur Alertes (Alerts). Cliquez sur l'icône Filtre (Filter) dans l'option
Rechercher (Search) pour filtrer les alertes VNF.

VMware, Inc. 473

Guide d'administration de VMware SD-WAN

Configurer les paramètres de couche 2 pour les

dispositifs Edge
Au niveau du dispositif Edge, vous pouvez remplacer les paramètres de couche 2 hérités d'un
profil en cochant la case Activer le remplacement au niveau du dispositif Edge (Enable Edge
Override).

Pour remplacer les valeurs de délai d'expiration ARP au niveau du dispositif Edge, procédez
comme suit :

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges).

La page Dispositifs Edge VeloCloud (VeloCloud Edges) s'affiche.

2 Sélectionnez un dispositif Edge dont vous souhaitez remplacer les paramètres de couche 2,
puis cliquez sur l'icône située sous la colonne Périphérique (Device).

La page Paramètre du périphérique (Device Setting) du dispositif Edge sélectionné s'affiche.

3 Accédez à la zone Paramètres de couche 2 (L2 Settings) et cochez la case Activer le

remplacement au niveau du dispositif Edge (Enable Edge Override).

VMware, Inc. 474

Guide d'administration de VMware SD-WAN

4 Cochez la case Remplacer les délais d'expiration ARP par défaut (Override default ARP
Timeouts) , puis remplacez les différents délais d'expiration ARP hérités du profil comme suit :

Champ Description

Délai d'expiration de péremption ARP (ARP Stale La valeur autorisée est comprise entre 1 minute et
Timeout) 23 heures et 58 minutes.

Délai d'expiration d'inactivité ARP (ARP Dead Timeout) La valeur autorisée est comprise entre 2 minutes et
23 heures et 59 minutes.

Délai d'expiration de nettoyage ARP (ARP Cleanup La valeur autorisée est comprise entre 3 minutes et
Timeout) 24 heures.

Note Les valeurs des délais d'expiration ARP ne peuvent être que dans un ordre croissant
de minutes. Pour obtenir des descriptions détaillées des expirations des délais de péremption,
d'inactivité et de nettoyage, reportez-vous à la section Configurer les paramètres de couche 2
pour les profils.

Note Pour définir les valeurs des délais d'expiration ARP par défaut au niveau du
dispositif Edge, décochez la case Remplacer les délais d'expiration ARP par défaut (Override
default ARP Timeouts).

5 Cliquez sur Enregistrer les modifications (Save Changes).

Étape suivante

Vous pouvez remplacer les délais d'expiration ARP par défaut au niveau du profil. Pour plus
d'informations, reportez-vous à la section Configurer les paramètres de couche 2 pour les profils.

Configurer les paramètres SNMP des dispositifs Edge

SNMP est un protocole communément utilisé pour la surveillance du réseau, et MIB est une base
de données associée à SNMP qui est utilisée pour la gestion des entités. Vous pouvez activer
SNMP en sélectionnant la version SNMP souhaitée, comme décrit dans les étapes ci-dessous. Au
niveau du dispositif Edge, vous pouvez remplacer les paramètres SNMP spécifiés dans le profil en
cochant la case Activer le remplacement au niveau du dispositif Edge (Enable Edge Override).

Note Les dispositifs SD-WAN Edge ne génèrent aucune interruption SNMP. En cas de panne
au niveau du dispositif Edge, celui-ci signale la panne sous la forme d'événements à SD-WAN
Orchestrator, qui à son tour génère des interruptions en fonction des alertes configurées pour les
événements reçus.

Avant de commencer :

n Pour télécharger la base MIB pour SD-WAN Edge : accédez à l'écran Diagnostic à distance
(Remote Diagnostic) (Test & Dépannage [Test & Troubleshooting] > Diagnostic à distance
[Remote Diagnostics]), puis exécutez la base MIB pour SD-WAN Edge. Copiez et collez les
résultats sur votre machine locale.

VMware, Inc. 475

Guide d'administration de VMware SD-WAN

n Installez toutes les bases MIB requises par VELOCLOUD-EDGE-MIB sur le gestionnaire SNMP,
notamment SNMPv2-SMI, SNMPv2-CONF, SNMPv2-TC, INET-ADDRESS-MIB, IF-MIB, UUID-
TC-MIB et VELOCLOUD-MIB. Tous les fichiers MIB susmentionnés sont disponibles sur la
page Diagnostics à distance (Remote Diagnostics).

À propos de cette tâche : au niveau du dispositif Edge, vous pouvez remplacer les paramètres
SNMP spécifiés dans le profil en cochant la case Activer le remplacement au niveau du dispositif
Edge (Enable Edge Override). L'option Remplacement au niveau du dispositif Edge (Edge
Override) permet d'apporter des modifications spécifiques au dispositif Edge aux paramètres
affichés et d'interrompre d'autres mises à jour automatiques à partir du profil de configuration
de ce module. Pour une cohérence continue et une facilité de mise à jour, il est recommandé de
définir des configurations au niveau du profil plutôt qu'au niveau de l'exception d'Edge.

MIB prises en charge

n Système SNMP MIB-2

n Interfaces SNMP MIB-2

n VELOCLOUD-EDGE-MIB

n HOST-RESOURCES-MIB, à partir de la RFC 1514

Procédure de configuration des paramètres SNMP au niveau du dispositif Edge :

1 Procurez-vous VELOCLOUD-EDGE-MIB sur l'écran Diagnostic à distance (Remote Diagnostic)

de SD-WAN Orchestrator.

2 Installez toutes les bases MIB requises par VELOCLOUD-EDGE-MIB.

3 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges).

4 Sélectionnez un dispositif Edge pour lequel vous souhaitez configurer les paramètres SNMP,
puis cliquez sur l'icône Périphérique (Device) dans la colonne Périphérique (Device).

L'écran Configuration des dispositifs Edge (Configuration Edges) du dispositif Edge

sélectionné s'affiche.

5 Faites défiler l'écran jusqu'à la zone Paramètres SNMP (SNMP Settings) et cochez la case
Activer le remplacement au niveau du dispositif Edge (Enable Edge Override). Vous pouvez
choisir entre deux versions, v2c ou v3.

6 Pour une configuration SNMP v2c, procédez comme suit :

a Cochez la case v2c.

b Tapez un port dans la zone de texte Port. Le paramètre par défaut est 161.

c Dans la zone de texte Communauté (Community), tapez un mot ou une séquence de

chiffres qui vous servira de mot de passe pour accéder à l'agent SNMP.

VMware, Inc. 476

Guide d'administration de VMware SD-WAN

d Pour Adresses IP autorisées (Allowed IPs) :

n Cochez la case Indifférent (Any) pour autoriser n'importe quelle adresse IP à accéder à
l'agent SNMP.

n Pour limiter l'accès à l'agent SNMP, décochez la case Indifférent (Any) et entrez une
ou plusieurs adresses IP qui seront autorisées à accéder à l'agent SNMP.

7 Pour une configuration SNMP v3, qui fournit une prise en charge supplémentaire de la
sécurité, procédez comme suit :

a Tapez un port dans la zone de texte Port. 161 est le paramètre par défaut.

b Tapez un nom d'utilisateur et un mot de passe dans les zones de texte appropriées.

c Cochez la case Confidentialité (Privacy) si vous souhaitez que le transfert de paquets soit
chiffré.

d Si vous avez coché la case Confidentialité (Privacy), choisissez DES ou AES dans le menu
déroulant Algorithme (Algorithm).

8 Configurez les paramètres de pare-feu. Une fois que vous avez configuré les paramètres
SNMP, accédez aux paramètres du pare-feu (Configurer [Configure] > Profils [Profiles] >
Pare-feu [Firewall]) pour configurer les paramètres de pare-feu qui activeront vos paramètres
SNMP.

Note La surveillance de l'interface SNMP est prise en charge sur les interfaces compatibles DPDK
pour 3.3.0 et versions ultérieures.

Configurer les paramètres NTP des dispositifs Edge

En tant qu'administrateur d'entreprise, au niveau du dispositif Edge, vous pouvez remplacer les
paramètres NTP (Network Time Protocol) spécifiés dans le profil en cochant la case Activer le
remplacement au niveau du dispositif Edge (Enable Edge Override). Par défaut, au niveau du
dispositif Edge, les serveurs NTP sont désactivés.

Pour remplacer les paramètres NTP au niveau du dispositif Edge, procédez comme suit.

VMware, Inc. 477

Guide d'administration de VMware SD-WAN

Conditions préalables

L'utilisation du protocole NTP est soumise aux conditions préalables suivantes :

n Pour configurer une instance de SD-WAN Edge afin qu'elle serve de serveur NTP pour ses
clients, vous devez d'abord configurer les propres sources de temps NTP du dispositif Edge en
définissant des serveurs NTP privés.

Procédure

1 Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges).

2 Sélectionnez un dispositif Edge dont vous souhaitez remplacer les paramètres NTP, puis
cliquez sur l'icône située sous la colonne Périphérique (Device).

La page Paramètres du périphérique du dispositif Edge sélectionné s'affiche.

3 Accédez à la zone NTP et cochez la case Activer le remplacement au niveau du

dispositif Edge (Enable Edge Override).

4 Dans le menu déroulant Interface source (Source Interface), sélectionnez l'une des interfaces
Edge configurées dans le segment comme interface source.

5 Remplacez les autres paramètres NTP spécifiés dans le profil associé au dispositif Edge en
suivant les étapes 3 et 4 de la section Configurer les paramètres NTP pour les profils.

6 Cliquez sur Enregistrer les modifications (Save Changes). Les paramètres NTP du
dispositif Edge seront remplacés.

Étape suivante

Le débogage et le dépannage sont beaucoup plus faciles lorsque les horodatages des fichiers
journaux de tous les dispositifs Edge sont synchronisés. Vous pouvez collecter les journaux de
diagnostic NTP en exécutant les tests de diagnostic à distance NTP Dump sur un dispositif Edge.
Pour plus d'informations sur l'exécution de tests de diagnostic à distance sur un dispositif Edge,
reportez-vous à la section Diagnostics à distance.

Configurer l'activation du dispositif Edge

Cette section décrit comment lancer l'activation du dispositif Edge.

VMware, Inc. 478

Guide d'administration de VMware SD-WAN

Après l'enregistrement de la configuration du dispositif Edge, une clé d'activation lui est attribuée.
Pour commencer l'activation du dispositif Edge, cliquez sur le lien Envoyer l'e-mail d'activation
(Send Activation Email) dans l'onglet Présentation du dispositif Edge (Edge Overview).

Une boîte de dialogue Envoyer l'e-mail d'activation (Send Activation Email) s'affiche avec un
e-mail suggéré à envoyer à un contact du site. Des instructions simples sont fournies pour que
le contact du site se connecte au matériel du dispositif Edge et l'active. Spécifiez des instructions
supplémentaires dans l'e-mail pour connecter des réseaux WAN et LAN de site spécifiques au
dispositif Edge.

Note Pour la version 3.4, l'e-mail d'activation contient des paramètres cellulaires (par exemple,
code PIN SIM, Réseau, APN, Nom d'utilisateur) si un périphérique Edge 510 LTE a été configuré.

Note Si vous configurez le périphérique Edge 510 LTE, vous pouvez exécuter le test de diagnostic
« Informations sur le modem LTE » à des fins de dépannage. Le test de diagnostic Informations
sur le modem LTE (LTE Modem Information) récupère les informations de diagnostic, par
exemple la force du signal, les informations de connexion, etc. Pour plus d'informations sur
l'exécution d'un test de diagnostic, consultez la section intitulée Diagnostics à distance.

VMware, Inc. 479

Gestion des images logicielles du
dispositif Edge 17
Ce chapitre contient les rubriques suivantes :

n Présentation de la gestion des images logicielles du dispositif Edge

n Activer la gestion des images logicielles du dispositif Edge

n Attribution des images du dispositif Edge et accès à celles-ci

n Mettre à niveau les dispositifs SD-WAN Edge

Présentation de la gestion des images logicielles du

dispositif Edge
La fonctionnalité de gestion des images logicielles du dispositif Edge permet aux super utilisateurs
d'entreprise de mettre à niveau le microprogramme du dispositif SD-WAN Edge sans recourir au
support VMware ou au partenaire.

Traditionnellement, chaque fois qu'une nouvelle image du dispositif Edge est publiée par VMware
SD-WAN, les administrateurs d'entreprise doivent demander au support VMware ou au partenaire
de mettre à niveau le logiciel sur leurs dispositifs Edge d'entreprise. Le support VMware contacte
ensuite le client et met à niveau la totalité ou un ensemble des dispositifs Edge dans le réseau du
client. Lorsque la fonctionnalité de gestion des images logicielles du dispositif Edge est activée, les
clients d'entreprise peuvent gérer la version logicielle du dispositif Edge qui s'exécute dans leur
environnement. La fonctionnalité de gestion des images logicielles du dispositif Edge permet aux
super utilisateurs d'entreprise de mettre à niveau le microprogramme du dispositif SD-WAN Edge
sans recourir au support VMware ou au partenaire.

En outre, cette fonctionnalité permet également le balisage d'une image logicielle de dispositif
Edge particulière comme étant obsolète (si elle a été jugée défectueuse ou non destinée à
l'utilisation) après sa publication. Les entreprises utilisant ces images obsolètes seront informées
afin de pouvoir effectuer une migration vers une version plus stable de l'image du dispositif Edge.

Note Seul un utilisateur opérateur peut marquer les images du dispositif Edge comme obsolètes.

VMware, Inc. 480

Guide d'administration de VMware SD-WAN

Activer la gestion des images logicielles du dispositif Edge

La fonctionnalité de gestion des images logicielles du dispositif Edge est désactivée par défaut
pour les clients. Seul un opérateur (ou le support VMware) peut activer cette fonctionnalité
pour une entreprise directe et le partenaire. À tour de rôle, les partenaires peuvent activer
cette fonctionnalité pour leurs clients d'entreprise partenaires. La fonctionnalité peut être activée
pendant ou après la création de clients. Les entreprises dont la gestion des images logicielles du
dispositif Edge est désactivée doivent contacter le support VMware ou le partenaire pour obtenir
les mises à niveau du microprogramme du dispositif Edge.

Activer la gestion des images logicielles du dispositif Edge pour le

nouveau client d'entreprise
En tant qu'utilisateur opérateur, vous pouvez gérer les images logicielles attribuées à une
entreprise directement en attribuant un profil d'opérateur à une entreprise ou en autorisant un
super utilisateur d'entreprise à gérer la liste d'images logicielles disponibles d'une entreprise
en cochant la case Gérer l'image logicielle (Manage Software Image) sous Configuration
du client (Customer Configuration) dans l'écran Nouveau client (New Customer). Pour plus
d'informations, reportez-vous à la section Créer un client du Guide de l'opérateur de VMware
SD-WAN.

Activer la gestion des images logicielles du dispositif Edge pour un

nouveau client partenaire
En tant qu'administrateur partenaire, outre la gestion des images logicielles attribuées à vos
clients partenaires, vous pouvez autoriser le super utilisateur d'un client partenaire à gérer la liste
d'images logicielles disponibles pour le client en cochant la case Gérer l'image logicielle (Manage
Software Image) sous Configuration du client (Customer Configuration) dans l'écran Nouveau
client (New Customer). La liste des images logicielles que vous pouvez attribuer au nouveau
client est basée sur la liste d'images logicielles disponibles attribuées au partenaire particulier par
l'opérateur d'Orchestrator. Pour plus d'informations, reportez-vous à la section Créer un client du
Guide du partenaire de VMware SD-WAN.

Activer la gestion des images logicielles du dispositif Edge pour le

client existant
En tant qu'utilisateur opérateur ou administrateur partenaire, vous pouvez activer la fonctionnalité
de gestion des images logicielles du dispositif Edge pour un client existant dans la zone
Configurer (Configure) > Client (Customer) > Gestion des images Edge (Edge Image
management). Lorsque la fonctionnalité est activée, l'image logicielle par défaut est la seule image
logicielle attribuée au client. Vous pouvez attribuer des images logicielles supplémentaires après
l'activation de la fonctionnalité.

Pour plus d'informations, reportez-vous aux sections Configurer les clients et Gérer les images
logicielles du dispositif Edge dans le Guide de l'opérateur de VMware SD-WAN.

VMware, Inc. 481

Guide d'administration de VMware SD-WAN

Attribution des images du dispositif Edge et accès à celles-ci

Les super utilisateurs opérateurs et partenaires peuvent attribuer la totalité ou un sous-ensemble
des images du dispositif Edge à leurs clients dans la liste des images disponibles qui leur sont
attribuées.

Chaque fois que VMware met à niveau un dispositif Orchestrator hébergé vers une nouvelle
version de VMware SD-WAN, les images correspondantes du dispositif Edge sont téléchargées
vers Orchestrator. Sur un dispositif Orchestrator hébergé, par défaut, les images récemment
téléchargées du dispositif Edge sont attribuées automatiquement à des partenaires après la mise
à niveau réussie du dispositif Orchestrator hébergé. En revanche, les clients d'entreprise directs
ne peuvent pas accéder automatiquement aux images du dispositif Edge. Le client d'entreprise
doit contacter le support VMware pour demander l'accès aux nouvelles images du dispositif Edge
téléchargées vers le dispositif Orchestrator hébergé.

Sur un dispositif Orchestrator sur site ou géré par un partenaire, le chargement d'images ou
l'attribution de l'image du dispositif Edge aux clients d'entreprise sont largement contrôlés par le
partenaire ou le fournisseur de services qui gère et maintient le dispositif Orchestrator.

Note Un partenaire peut attribuer des images du dispositif Edge aux clients partenaires dans la
liste des images disponibles qui leur sont attribuées par l'opérateur.

Pour obtenir les versions logicielles détaillées et recommandées du dispositif VMware SD-WAN
Edge, reportez-vous à la section [Link]

Gérer l'image logicielle du dispositif Edge

En tant que super utilisateur opérateur et administrateur standard de l'opérateur, vous pouvez
télécharger une nouvelle image logicielle, modifier les images logicielles existantes, désapprouver
une image logicielle et supprimer une image logicielle associée aux dispositifs Edge. Une image
logicielle du dispositif Edge peut être obsolète pour les raisons suivantes :

n L'image du dispositif Edge présente une vulnérabilité ou un bogue majeur qui est résolu dans
la version suivante.

n L'image du dispositif Edge n'est plus prise en charge par VMware ou arrive en fin de vie (EOL).

Une fois l'image indiquée comme obsolète, elle ne figure plus dans la liste des images logicielles
ou des versions disponibles pouvant être attribuées aux profils d'opérateurs, aux clients ou aux
dispositifs Edge. En outre, toute entreprise dont un ou plusieurs dispositifs Edge exécutent cette
image obsolète sera informée de cette dernière en cas de connexion à Orchestrator.

Pour plus d'informations, reportez-vous aux sections Images logicielles et Gérer les profils
d'opérateur dans le Guide de l'opérateur de VMware SD-WAN.

VMware, Inc. 482

Guide d'administration de VMware SD-WAN

Mettre à niveau les dispositifs SD-WAN Edge

Lorsque la fonctionnalité de gestion des images logicielles du dispositif Edge est activée, les
entreprises peuvent mettre à niveau un dispositif Edge spécifique, un ensemble de dispositifs
Edge ou leur totalité.

Mettre à niveau tous les dispositifs Edge

Pour mettre à niveau tous les dispositifs Edge d'une entreprise, sous Administration >
Paramètres système (System Settings), modifiez l'image logicielle par défaut utilisée par
l'entreprise.

Mettre à niveau un ou plusieurs dispositifs Edge spécifiques

Une fois connecté à Orchestrator en tant qu'utilisateur d'entreprise, vous pouvez remplacer
l'image logicielle par défaut d'une entreprise pour un dispositif Edge sélectionné ou un ensemble
de dispositifs Edge et attribuer une autre image logicielle afin d'effectuer une mise à niveau vers
ces dispositifs Edge en sélectionnant Configurer (Configure) > Dispositifs Edge (Edges) > Actions
> Attribuer une image logicielle (Assign Software Image).

Pour plus d'informations, reportez-vous aux sections Gérer les dispositifs Edge et Attribuer une
image logicielle.

VMware, Inc. 483

Groupes d'objets
18
Un groupe d'objets comporte une plage d'adresses IP ou de numéros de port. Lorsque vous
créez des business policies et des règles de pare-feu, vous pouvez définir les règles d'une
plage d'adresses IP ou d'une plage de ports TCP/UDP, en incluant les groupes d'objets dans
les définitions de règle.

Vous pouvez créer des groupes d'adresses pour enregistrer la plage d'adresses IP et de groupes
de ports valides pour la plage de numéros de port. Vous pouvez simplifier la gestion des
stratégies en créant des groupes d'objets de types spécifiques et en les réutilisant dans des
stratégies et des règles.

À l'aide de groupes d'objets, vous pouvez effectuer les opérations suivantes :

n Gérer facilement les stratégies

n Modulariser et réutiliser les composants de stratégie

n Mettre à jour facilement toutes les business policies et de pare-feu référencées

n Réduire le nombre de stratégies

n Améliorer le débogage et de la lisibilité des stratégies

Note Vous pouvez créer, mettre à jour ou supprimer des groupes d'objets si vous disposez des
autorisations de création, de mise à jour et de suppression de l'objet NETWORK_SERVICE. Vous
ne pouvez afficher que les groupes d'objets si vous disposez d'une autorisation de lecture sur les
objets NETWORK_SERVICE et ENTERPRISE_PROFILE.

Ce chapitre contient les rubriques suivantes :

n Configurer les groupes d'adresses

n Configurer les groupes de port

n Configurer les business policies avec des groupes d'objets

n Configurer les règles de pare-feu avec les groupes d'objets

Configurer les groupes d'adresses

Les groupes d'adresses peuvent stocker une plage d'adresses IP avec des options et/ou des noms
de domaine différents.

VMware, Inc. 484

Guide d'administration de VMware SD-WAN

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Groupes d'objets (Object
Groups).

2 Dans l'onglet Groupes d'adresses (Address Groups), cliquez sur Actions > Nouveau (New).

3 Dans la fenêtre Configurer le groupe d'adresses (Configure Address Group), entrez un nom
et une description pour le groupe d'adresses.

4 Sous Plage d'adresses IP (IP Address Ranges), entrez la plage d'adresses IP en sélectionnant
les options de préfixe ou de masque : Préfixe CIDR (CIDR prefix), Masque de sous-réseau
(Subnet mask) ou Masque générique (Wildcard mask), selon les besoins.

5 Sous Domaines (Domains), définissez les noms de domaine du groupe d'adresses. Les
noms de domaine définis dans le groupe d'adresses peuvent être utilisés comme critères de
correspondance pour les stratégies d'entreprise ou les règles de pare-feu.

6 Cliquez sur Créer (Create).

VMware, Inc. 485

Guide d'administration de VMware SD-WAN

Étape suivante

n Vous pouvez définir une stratégie d'entreprise et une règle de pare-feu avec le groupe
d'adresses. Pour plus d'informations, reportez-vous à la section :

n Configurer les règles de pare-feu avec les groupes d'objets

n Configurer les business policies avec des groupes d'objets

n Vous pouvez modifier les adresses IP et les noms de domaine dans un groupe d'adresses
en cliquant sur Actions > Mettre à jour (Update) dans l'onglet Groupes d'adresses (Address
Groups).

n Pour supprimer un groupe d'adresses, cliquez sur Actions > Supprimer (Delete). Avant de
supprimer un groupe d'adresses, assurez-vous de l'exclure des stratégies d'entreprise ou des
règles de pare-feu.

Configurer les groupes de port

Les groupes de ports peuvent stocker une plage de numéros de port TCP et UDP.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Groupes d'objets (Object
Groups).

2 Dans l'onglet Groupes de ports (Port Groups), cliquez sur Actions > Nouveau (New).

3 Dans la fenêtre Configurer le groupe de ports (Configure Port Group), entrez un nom et une
description pour le groupe de ports.

4 Sélectionnez le protocole TCP ou UDP et entrez les numéros de port correspondants selon les
besoins.

5 Cliquez sur Créer (Create).

VMware, Inc. 486

Guide d'administration de VMware SD-WAN

Étape suivante

Vous pouvez définir une business policy ou une règle de pare-feu avec le groupe de ports pour
inclure la plage de numéros de port.

Vous pouvez ajouter ou modifier les numéros de port dans un groupe de ports en cliquant sur
Actions > Mettre à jour (Update) dans l'onglet Groupes de ports (Port Groups).

Si vous souhaitez supprimer un groupe de ports, assurez-vous de l'exclure des stratégies

d'entreprise ou des règles de pare-feu.

Configurer les business policies avec des groupes d'objets

Lorsque vous configurez des business policies, vous pouvez sélectionner les groupes d'objets
existants pour qu'ils correspondent à la source ou à la destination. Cela comporte la plage
d'adresses IP ou les numéros de port disponibles dans les groupes d'objets de la définition de
la business policy.

Pour plus d'informations sur les business policies, reportez-vous à la section Créer des règles de
Business Policy.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles).

2 Sélectionnez un profil dans la liste et cliquez sur l'onglet Business Policy.

3 Cliquez sur Nouvelle règle (New Rule) ou sur Actions > Nouvelle règle (New Rule).

4 Entrez un nom pour la règle d'entreprise.

5 Dans la zone Correspondance (Match), cliquez sur Groupe d'objets (Object Group) pour la
source.

6 Sélectionnez le groupe d'adresses et le groupe de ports pertinents dans la liste déroulante.

Si le groupe d'adresses sélectionné contient des noms de domaine, ceux-ci sont ignorés lors
de la recherche de correspondances pour la source.

VMware, Inc. 487

Guide d'administration de VMware SD-WAN

7 Si nécessaire, vous pouvez également sélectionner les groupes de ports et d'adresses pour la
destination.

8 Choisissez les autres actions requises et cliquez sur OK.

Résultats

Les business policies que vous créez pour un profil sont automatiquement appliquées à tous
les dispositifs Edge associés au profil. Si nécessaire, vous pouvez créer des business policies
supplémentaires spécifiques aux dispositifs Edge.

1 Accédez à Configurer (Configure) > Dispositifs Edge (Edges), puis sélectionnez un dispositif
Edge et cliquez sur l'onglet Business Policy.

2 Cliquez sur Nouvelle règle (New Rule) ou sur Actions > Nouvelle règle (New Rule).

3 Définissez la règle avec des groupes d'objets pertinents et d'autres actions.

L'onglet Business Policy du dispositif Edge affiche les stratégies à partir du profil associé ainsi que
les stratégies spécifiques au dispositif Edge.

VMware, Inc. 488

Guide d'administration de VMware SD-WAN

Note Par défaut, les business policies sont attribuées au segment global. Si nécessaire, vous
pouvez choisir un segment dans la liste déroulante Sélectionner un segment (Select Segment) et
créer des business policies spécifiques au segment sélectionné.

Étape suivante

Vous pouvez modifier les groupes d'objets avec des adresses IP et des numéros de port
supplémentaires. Les modifications sont automatiquement incluses dans les business policies qui
utilisent les groupes d'objets.

Configurer les règles de pare-feu avec les groupes d'objets

Lors de la configuration des règles de pare-feu, vous pouvez sélectionner les groupes d'objets
existants pour qu'ils correspondent à la source ou à la destination. Cela comporte la plage
d'adresses IP ou les numéros de port disponibles dans les groupes d'objets dans les règles.

Pour plus d'informations sur les règles de pare-feu, reportez-vous à la section Configurer des
règles de pare-feu.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles).

2 Sélectionnez un profil dans la liste et cliquez sur l'onglet Pare-feu (Firewall).

3 Cliquez sur Nouvelle règle (New Rule) ou sur Actions > Nouvelle règle (New Rule).

4 Entrez un nom pour la règle de pare-feu.

5 Dans la zone Correspondance (Match), cliquez sur Groupe d'objets (Object Group) pour la
source.

6 Sélectionnez le groupe d'adresses et le groupe de ports pertinents dans la liste déroulante.

Si le groupe d'adresses sélectionné contient des noms de domaine, ceux-ci sont ignorés lors
de la recherche de correspondances pour la source.

VMware, Inc. 489

Guide d'administration de VMware SD-WAN

7 Si nécessaire, vous pouvez également sélectionner les groupes de ports et d'adresses pour la
destination.

8 Choisissez l'action requise et cliquez sur OK.

Résultats

Les règles de pare-feu que vous créez pour un profil sont automatiquement appliquées à tous les
dispositifs Edge associés au profil. Si nécessaire, vous pouvez créer des règles supplémentaires
spécifiques aux dispositifs Edge.

1 Accédez à Configurer (Configure) > Dispositifs Edge (Edges), puis sélectionnez un dispositif
Edge et cliquez sur l'onglet Pare-feu (Firewall).

2 Cliquez sur Nouvelle règle (New Rule) ou sur Actions > Nouvelle règle (New Rule).

3 Définissez la règle avec des groupes d'objets pertinents et d'autres actions.

L'onglet Pare-feu (Firewall) du dispositif Edge affiche les règles de pare-feu du profil associé ainsi
que les règles spécifiques au dispositif Edge.

VMware, Inc. 490

Guide d'administration de VMware SD-WAN

Note Par défaut, les règles de pare-feu sont attribuées au segment global. Si nécessaire, vous
pouvez choisir un segment dans la liste déroulante Sélectionner un segment (Select Segment) et
créer des règles de pare-feu spécifiques au segment sélectionné.

Étape suivante

Vous pouvez modifier les groupes d'objets avec des adresses IP et des numéros de port
supplémentaires. Les modifications sont automatiquement incluses dans les règles de pare-feu
qui utilisent les groupes d'objets.

VMware, Inc. 491

Configurations de site
19
Les topologies de centres de données qui comprennent les configurations de branches de SD-
WAN Hub et de VMware (Gold, Silver et Bronze) sont configurées à l'aide de connexions MPLS
et Internet. Les configurations de branches héritées (celles sans instance de SD-WAN Edge) sont
incluses, et les configurations de Hub et de branche sont modifiées, en fonction de la présence
des branches héritées.

Le diagramme ci-dessous montre un exemple de topologie qui comporte deux Hubs de centres
de données et les variations Gold, Silver et Bronze de topologies de branches interconnectées à
l'aide de MPLS et d'Internet. Cet exemple sera utilisé pour décrire les tâches individuelles requises
pour les configurations de centre de données et de branche. Vous êtes supposé être familiarisé
avec les concepts et les informations de configuration incluses dans les sections précédentes de
cette documentation. Cette section traite principalement de la configuration des réseaux, des
paramètres de profil et de périphérique et de la configuration des dispositifs Edge requise pour
chaque topologie.

Des étapes de configuration supplémentaires sont également incluses pour la redirection du trafic,
le routage de contrôle (par exemple, pour le trafic de liaison et les VPN) et pour le basculement
des dispositifs Edge.

VMware, Inc. 492

Guide d'administration de VMware SD-WAN

Cette section aborde principalement la configuration requise pour une topologie qui comporte
différents types d'emplacements de centre de données et de branche. Elle décrit les paramètres
de réseau, de profil/périphérique Edge et les stratégies d'entreprise de profil/dispositif Edge
requises pour effectuer les configurations. Certaines étapes de configuration complémentaires
qui peuvent être nécessaires pour une configuration complète, par exemple les services réseau,
la radio Wi-Fi du périphérique, l'authentification, SNMP et les paramètres NetFlow, ne sont pas
décrites.

Ce chapitre contient les rubriques suivantes :

n Configurations du centre de données

n Configurer une branche et un Hub

Configurations du centre de données

Dans un centre de données, une instance de SD-WAN Edge peut faire office de Hub pour diriger
le trafic vers/depuis des branches. Vous pouvez utiliser SD-WAN Edge pour gérer le trafic MPLS
et Internet. Dans un centre de données, la configuration du Hub peut être à un ou deux bras. En
outre, vous pouvez utiliser un centre de données comme sauvegarde.

Vous trouverez ci-après une description des différentes conceptions avec différentes options
d'insertion de SD-WAN Edge dans la topologie.

Option Description

Hub 1 Centre de données ou site de Hub régional avec SD-WAN Edge déployé dans une topologie à deux
bras.

Hub 2 Centre de données ou site de Hub régional avec SD-WAN Edge déployé dans une topologie à un bras
(la même interface transporte plusieurs liaisons WAN).

Héritage 1 et 2 Sites MPLS classiques.

Silver 1 SD-WAN Edge est déployé hors chemin. SD-WAN Edge crée une superposition dans les chemins
MPLS et Internet. Le trafic est d'abord détourné vers SD-WAN Edge.

Silver 2 SD-WAN Edge est déployé dans le chemin en tant que passerelle par défaut. Il s'agit toujours de la
passerelle par défaut. Cette topologie est plus simple, mais fait de SD-WAN Edge un point unitaire de
panne et peut nécessiter HA.

Bronze 1 Site Internet double (l'une de liaison se trouve derrière un routeur NAT).

Configurer une branche et un Hub

Cette section fournit une vue d'ensemble de la configuration SD-WAN Edge dans une
configuration à deux bras.

VMware, Inc. 493

Guide d'administration de VMware SD-WAN

Présentation
Pour configurer le dispositif SD-WAN Edge dans une configuration à deux bras, voici les étapes à
suivre :

1 Configurer et activer le Hub 1

2 Configurer et activer le site Silver 1

3 Activer le tunnel branche-vers-Hub (Silver 1 vers Hub 1)

4 Configurer et activer le site Bronze 1

5 Configurer et activer le Hub 2

6 Configurer et activer le site Silver 2

Les sections suivantes décrivent les étapes plus en détail.

Configurer et activer le Hub 1

Cette étape vous aide à comprendre le workflow typique d'insertion du dispositif SD-WAN Edge
à l'emplacement du Hub. SD-WAN Edge est déployé avec deux interfaces (une interface pour
chaque liaison WAN).

Vous allez utiliser le dispositif Edge virtuel comme Hub. Vous trouverez ci-dessous un exemple
d'informations de câblage et d'adresse IP.

VMware, Inc. 494

Guide d'administration de VMware SD-WAN

Configurer et activer le Hub 1 SD-WAN Edge pour accéder à Internet

Étant donné qu'il s'agit du site du centre de données/Hub, il est peu probable que le dispositif
SD-WAN Edge puisse obtenir son adresse IP WAN à l'aide de DHCP. Par conséquent, vous
devrez d'abord activer le dispositif SD-WAN Edge pour la connexion à Internet via le pare-feu du
centre de données afin que le dispositif SD-WAN Edge puisse être activé.

1 Configurez un PC avec une adresse IP statique [Link]/24 et une passerelle [Link]

qui est le paramètre LAN par défaut pour accéder à un dispositif SD-WAN Edge. Connectez le
PC à l'interface LAN du dispositif SD-WAN Edge.

2 À partir du PC, accédez à [Link] (interface Web locale du dispositif SD-WAN Edge).
Cliquez sur le lien vérifier la configuration (review the configuration).

3 Configurez l'adresse IP WAN statique de GE2 et la passerelle par défaut du dispositif SD-WAN
Edge afin qu'il puisse accéder à Internet.

Cliquez sur Enregistrer (Save) et indiquez la connexion/le mot de passe admin/admin.

En général, sur le site du centre de données/Hub, l'adresse IP statique vous sera attribuée et
l'administrateur informatique de l'entreprise configurera le pare-feu pour convertir l'adresse
IP WAN du dispositif SD-WAN Edge en adresse IP publique et filtrer également le trafic
approprié (sortant : TCP/443, entrant : UDP/2426, UDP/500, UDP/4500).

4 À ce stade, l'état Internet doit indiquer Connecté (Connected).

VMware, Inc. 495

Guide d'administration de VMware SD-WAN

Lorsque la configuration de l'adresse IP WAN statique du dispositif SD-WAN Edge et la

configuration du pare-feu associée sont terminées, l'état Internet du dispositif SD-WAN Edge
indique Connecté (Connected).

Activer le dispositif SD-WAN Edge virtuel dans le profil par défaut

1 Connectez-vous au composant SD-WAN Orchestrator.

2 Le profil VPN par défaut permet l'activation du dispositif SD-WAN Edge 500.

Activer le Hub 1 SD-WAN Edge

1 Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et ajoutez un nouveau dispositif
SD-WAN Edge. Spécifiez le modèle et le profil corrects (nous utilisons ici le profil VPN à
démarrage rapide).

2 Accédez au Hub SD-WAN Edge (DC1-VCE) et suivez le processus d'activation normal. Si

la fonctionnalité de messagerie est déjà configurée, un e-mail d'activation est envoyé à
cette adresse e-mail. Dans le cas contraire, vous pouvez accéder à la page Paramètres du
périphérique (Device Settings) pour accéder à l'URL d'activation.

3 Copiez l'URL d'activation et collez-la dans le navigateur de l'ordinateur connecté au dispositif

SD-WAN Edge ou cliquez simplement sur l'URL d'activation depuis le navigateur du PC.

4 Cliquez sur le bouton Activer (Activate).

5 À présent, le Hub du centre de données DC1-VCE doit être opérationnel. Accédez à Surveiller
(Monitor) > Dispositifs Edge (Edges). Cliquez sur l'onglet Présentation du dispositif Edge
(Edge Overview). La capacité de la liaison WAN publique est détectée avec l'adresse IP
publique [Link] et l'ISP corrects.

6 Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE.

Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres de
l'interface (Interface Settings).

VMware, Inc. 496

Guide d'administration de VMware SD-WAN

Le processus d'inscription indique à SD-WAN Orchestrator l'adresse IP WAN statique et la

passerelle qui a été configurée via l'interface utilisateur locale. La configuration sur VMware
est mise à jour en conséquence.

7 Faites défiler jusqu'à la section Paramètres WAN (WAN Settings). Le type de liaison doit être
automatiquement identifié comme Liaison filaire publique (Public Wired).

Configurez la liaison WAN privée sur le Hub 1 SD-WAN Edge

1 Configurez l'interface WAN du dispositif MPLS Edge privée directement à partir de SD-WAN
Orchestrator. Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez
DC1-VCE. Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section
Paramètres de l'interface (Interface Settings). Configurez l'adresse IP statique de GE3
sur [Link]/24 et la passerelle par défaut sur [Link]. Sous Superposition WAN (WAN
Overlay), sélectionnez Superposition définie par l'utilisateur (User Defined Overlay). Cela
nous permettra de définir manuellement une liaison WAN à l'étape suivante.

2 Sous Paramètres WAN (WAN Settings), cliquez sur le bouton Ajouter une superposition
WAN définie par l'utilisateur (Add User Defined WAN Overlay) (reportez-vous à la capture
d'écran suivante).

3 Définissez la superposition WAN pour le chemin MPLS. Sélectionnez le Type de liaison (Link
Type) Privée (Private), puis spécifiez l'adresse IP du tronçon suivant ([Link]) de la liaison
WAN dans le champ Adresse IP (IP Address). Choisissez GE3 comme interface. Cliquez sur le
bouton Avancé (Advanced).

VMware, Inc. 497

Guide d'administration de VMware SD-WAN

Astuce : le site du Hub dispose normalement d'une plus grande bande passante que les
branches. Si nous choisissons l'option de détection automatique de la bande passante, le site
du Hub exécutera un test de bande passante avec son premier homologue, par exemple la
première branche qui s'affiche, et mettra fin à la découverte d'une bande passante WAN
incorrecte. Pour le site du Hub, vous devez toujours définir manuellement la bande passante
WAN à l'aide des paramètres avancés.

4 La bande passante WAN privée est spécifiée dans les paramètres avancés. La capture d'écran
ci-dessous montre un exemple de bande passante en amont et en aval de 5 Mbits/s pour une
liaison MPLS symétrique au niveau du Hub.

5 Confirmez que la liaison WAN est bien configurée et enregistrez les modifications.

Vous avez terminé la configuration du dispositif SD-WAN Edge sur le Hub. Vous ne verrez pas
la superposition MPLS définie par l'utilisateur que vous venez d'ajouter tant que vous n'aurez
pas activé un dispositif SD-WAN Edge de branche.

(Facultatif) Configurer l'interface LAN avec l'adresse IP de gestion

1 Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez DC1-VCE.

2 Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres VLAN
(VLAN Settings).

3 Cliquez sur Modifier (Edit) et configurez l'adresse IP de l'interface.

VMware, Inc. 498

Guide d'administration de VMware SD-WAN

Configurer une route statique vers un réseau LAN derrière un

commutateur L3
Ajoutez une route statique au sous-réseau [Link]/24 via le commutateur L3. Vous
devez spécifier l'interface GE3 à utiliser pour le routage vers le tronçon suivant. Veillez à
cocher la case Annoncer (Advertise) pour que d'autres dispositifs SD-WAN Edges puissent
découvrir ce sous-réseau derrière le commutateur L3 (voir la capture d'écran suivante).

Configurer et activer le site Silver 1

Cette étape vous aide à comprendre le workflow typique d'insertion du dispositif SD-WAN Edge
sur un site Silver. Le dispositif SD-WAN Edge est inséré en dehors du chemin d'accès et repose
sur le commutateur L3 pour rediriger le trafic vers lui. Vous trouverez ci-dessous un exemple
d'informations de câblage et d'adresse IP.

Activez le dispositif SD-WAN Edge de la branche du site Silver 1.

Dans cet exemple, nous partons du principe que le dispositif SD-WAN Edge obtient son adresse
IP publique à l'aide de DHCP, de sorte qu'il n'y a aucune configuration requise. SD-WAN Edge est
fourni avec la configuration par défaut pour utiliser DHCP sur toutes les interfaces acheminées.

1 Créez un dispositif Edge SILVER1-DCE et sélectionnez le modèle et le profil de configuration

appropriés (voir l'image ci-dessous).

2 Activez ce dispositif SD-WAN Edge en connectant un PC à son réseau LAN ou Wi-Fi.

VMware, Inc. 499

Guide d'administration de VMware SD-WAN

3 Le dispositif SD-WAN Edge doit maintenant être actif dans SD-WAN Orchestrator avec une
liaison publique. Nous pouvons maintenant configurer la liaison WAN privée.

Configurer la liaison WAN privée sur le dispositif SD-WAN Edge du

site Silver 1
À ce stade, nous devons créer la connectivité IP entre le dispositif SD-WAN Edge et le
commutateur L3.

1 Accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez SILVER1-

VCE, puis accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section
Paramètres de l'interface (Interface Settings). Configurez l'adresse IP statique sur GE3 en tant
que [Link]/24 et la passerelle par défaut de [Link]. Sous Superposition WAN (WAN
Overlay), sélectionnez Superposition définie par l'utilisateur (User Defined Overlay). Cela
nous permettra de définir manuellement une liaison WAN à l'étape suivante.

2 Dans la section Paramètres WAN (WAN Settings), cliquez sur Ajouter une
superposition WAN définie par l'utilisateur (Add User Defined WAN Overlay).

3 Définissez la superposition WAN pour le chemin MPLS. Sélectionnez le Type de liaison (Link
Type) Privée (Private). Spécifiez l'adresse IP du tronçon suivant ([Link]) de la liaison WAN
dans le champ Adresse IP (IP Address). Choisissez GE3 comme interface. Cliquez sur le
bouton Avancé (Advanced).

Astuce : étant donné que le Hub a déjà été configuré, il est pertinent de choisir la découverte
automatique de la bande passante. Cette branche va exécuter un test de bande passante avec
le Hub pour découvrir sa bande passante de liaison.

VMware, Inc. 500

Guide d'administration de VMware SD-WAN

4 Définissez le paramètre Mesure de bande passante (Bandwidth Measurement) sur Mesurer

la bande passante (Measure Bandwidth). Cela permet au dispositif SD-WAN Edge de la
branche d'exécuter un test de bande passante avec le Hub SD-WAN Edge, exactement
comme ce qui se passe lorsqu'il se connecte à l'instance de SD-WAN Gateway.

5 Confirmez que la liaison WAN est bien configurée et enregistrez les modifications (reportez-
vous à la capture d'écran suivante).

(Facultatif) Configurer l'interface LAN avec l'adresse IP de gestion

1 Accédez à Configurer (Configure) > Dispositifs Edge (Edges) et sélectionnez SILVER1-VCE.
Accédez à l'onglet Périphérique (Device) et faites défiler jusqu'à la section Paramètres VLAN
(VLAN Settings). Cliquez sur Modifier (Edit). Configurez l'adresse IP du réseau local et les

interfaces de gestion.

Configurer une route statique vers un réseau LAN derrière un

commutateur L3
Ajoutez une route statique au sous-réseau [Link]/24 via le commutateur L3. Vous
devez spécifier l'interface GE3. Veillez à cocher la case Annoncer (Advertise) pour que d'autres
dispositifs SD-WAN Edges découvrent ce sous-réseau derrière le commutateur L3 (voir la capture
d'écran suivante).

Activer le tunnel branche vers Hub (Silver 1 vers Hub 1)

Cette étape vous permet de créer le tunnel de superposition depuis la branche dans le Hub. À ce
stade, vous pouvez voir que la liaison est active, mais il s'agit du tunnel vers l'instance de SD-WAN
Gateway sur le chemin Internet et non du tunnel vers le Hub. Nous devons activer le VPN cloud
pour permettre l'établissement du tunnel de la branche vers le Hub.

Vous êtes maintenant prêt à créer le tunnel depuis la branche dans le Hub.

VMware, Inc. 501

Guide d'administration de VMware SD-WAN

Activer le VPN cloud et le tunnel du dispositif Edge vers le SD-WAN

Hub
1 Étape 1 : Accédez à Configurer (Configure) > Profils (Profiles), sélectionnez Profil VPN à
démarrage rapide (Quick Start VPN Profile) et accédez à l'onglet Périphérique (Device).
Activez le VPN cloud et procédez comme suit.

n Sous Branche vers Hubs (Branch to Hubs), cochez la case Activer (Enable).

n Sous VPN branche vers branche (Branch to Branch VPN), cochez la case Activer
(Enable).

n Sous VPN branche vers branche (Branch to Branch VPN), décochez la case Utiliser les
passerelles cloud (Use Cloud Gateways). Cela désactivera le plan de données via l'instance
de SD-WAN Gateway pour le VPN branche vers branche. Le trafic branche vers branche
passera d'abord par l'un des Hubs (dans la liste ordonnée que vous allez spécifier ensuite)
lors de l'établissement du tunnel direct branche vers branche.

Cliquez sur le bouton Sélectionner les Hubs. Ensuite, déplacez DC1-VCE vers la droite. Cette
opération désigne DC1-VCE comme étant un SD-WAN Hub. Cliquez sur DC1-VCE dans les
Hubs, puis cliquez à la fois sur le bouton Activer les Hubs de liaison (Enable Backhaul Hubs)
et Activer les Hubs VPN B2B (Enable B2B VPN Hubs). Nous utiliserons le même DC1-VCE
pour le trafic branche vers branche et le trafic de déroutement Internet vers le Hub. Dans la
section VPN cloud (Cloud VPN), DC1-VCE est maintenant affiché comme SD-WAN Hubs et il
est utilisé pour les Hubs de VPN branche vers branche.

2 À ce stade, le tunnel direct entre la branche et le dispositif SD-WAN Edges du Hub doit
apparaître. La commande de débogage (Debug) affiche désormais également le tunnel direct
entre la branche et le Hub. L'exemple ci-dessous provient SILVER1-VCE. Notez les tunnels
supplémentaires vers [Link] et [Link]. Il s'agit des tunnels directs vers les dispositifs
SD-WAN Edge du Hub (GE2 sur l'Internet public et GE3 sur la liaison privée).

Configurer et activer le site Bronze 1

Cette étape permet de créer un site Bronze, c'est-à-dire un site double Internet avec une DIA et
une large bande passante. Vous trouverez ci-dessous un exemple d'informations de câblage et
d'adresse IP. LAN du dispositif BRONZE1-VCE SD-WAN Edge et activation du dispositif SD-WAN
Edge. Aucune configuration n'est requise sur le réseau WAN, car DHCP est utilisé pour les deux
interfaces WAN.

Configurer et activer le Hub 2

Cette étape vous permet de configurer la « direction par adresse IP » communément utilisée dans
les déploiements de Hub à un bras. Vous trouverez ci-dessous un exemple d'informations de
câblage et d'adresse IP. Avec le déploiement à un bras, la même adresse IP source du tunnel peut
être utilisée pour créer une superposition sur des chemins différents.

VMware, Inc. 502

Guide d'administration de VMware SD-WAN

Configurer le Hub 2 SD-WAN Edge pour accéder à Internet

1 Connectez un PC au dispositif SD-WAN Edge et utilisez le navigateur pour pointer vers http://
[Link].

2 Configurez le Hub SD-WAN Edge pour accéder à Internet en configurant la première interface
WAN, GE2.

Ajouter le Hub 2 SD-WAN Edge à SD-WAN Orchestrator et l'activer

Dans cette étape, vous allez créer le second dispositif SD-WAN Edge Hub, appelé [Link].

1 Sur SD-WAN Orchestrator, accédez à Configurer (Configure) > Dispositifs Edge (Edges),
sélectionnez Nouveau dispositif Edge (New Edge) pour ajouter un nouveau dispositif SD-
WAN Edge.

VMware, Inc. 503

Guide d'administration de VMware SD-WAN

2 Accédez à Configurer (Configure) > Dispositifs Edge (Edges), sélectionnez le dispositif SD-
WAN Edge que vous venez de créer, puis accédez à l'onglet Périphérique (Device) pour
configurer la même interface et la même adresse IP que celles que vous avez configurées à
l'étape précédente.

Important Étant donné que nous déployons le dispositif SD-WAN Edge en mode à
bras unique (même interface physique, mais plusieurs tunnels depuis cette interface), il est
important de spécifier la superposition WAN pour qu'elle soit définie par l'utilisateur.

3 À ce stade, vous devez créer la superposition. Dans la section Paramètres WAN (WAN
Settings), cliquez sur Ajouter une superposition WAN définie par l'utilisateur (Add User
Defined WAN Overlay).

4 Créez une superposition sur la liaison publique. Dans notre exemple, nous allons utiliser
l'adresse IP du tronçon suivant, [Link], pour accéder à Internet via le pare-feu. Le pare-
feu est déjà configuré pour acheminer via NAT le trafic à [Link].

5 Ajoutez la deuxième superposition sur le réseau privé. Dans cet exemple, nous spécifions le
routeur du tronçon suivant, [Link], et nous spécifions également la bande passante, car il
s'agit de la section MPLS et DC2-VCE est un Hub.

Ajoutez une route statique au sous-réseau du côté réseau local, [Link]/24, via GE2 (voir

la capture d'écran suivante).

6 Activez le dispositif SD-WAN Edge. Une fois l'activation terminée, revenez à l'onglet
Périphérique (Device) sous la configuration du niveau Edge. Notez que le champ IP public
(Public IP) est désormais renseigné. Vous devez maintenant voir les liaisons dans Surveiller
(Monitor) > Dispositifs Edge (Edges), sous l'onglet Présentation (Overview).

VMware, Inc. 504

Guide d'administration de VMware SD-WAN

7 (Facultatif) Configurez l'interface LAN avec l'adresse IP de gestion : accédez à Configurer

(Configure) > Dispositifs Edge (Edges) et sélectionnez DC2-VCE. Accédez à l'onglet
Périphérique (Device) et faites défiler jusqu'à la section Paramètres VLAN (VLAN Settings).
Cliquez sur Modifier (Edit). Configurez l'adresse IP du réseau local et les interfaces de gestion.

Ajouter le Hub 2 SD-WAN Edge à la liste des Hubs dans le profil VPN
à démarrage rapide
1 Accédez à Configurer (Configure) > Profils (Profiles) et sélectionnez le profil VPN de
démarrage rapide (Quick Start VPN).

2 Accédez à l'onglet Périphérique (Device) et ajoutez ce nouveau dispositif SD-WAN Edge à

une liste des Hubs.

Configurer et activer le site Silver 2

Cette étape vous aide à créer un site Silver, c'est-à-dire un site hybride qui dispose du dispositif
SD-WAN Edge derrière le routeur CE et de SD-WAN Edge qui est aussi le routeur par défaut
du réseau local. Vous trouverez ci-dessous un exemple d'informations de câblage et d'adresse IP
pour chaque matériel.

Connectez un PC au réseau LAN ou Wi-Fi du dispositif SD-WAN Edge et utilisez le navigateur

pour pointer vers [Link]

VMware, Inc. 505

Configurer le routage dynamique
à l'aide d'OSPF ou de BGP 20
Cette section décrit comment configurer le routage dynamique à l'aide d'OSPF ou de BGP.

SD-WAN Edge apprend les routes des routeurs adjacents via OSPF et BGP. Il envoie les routes
apprises à la passerelle/au contrôleur. La passerelle/le contrôleur agit comme un réflecteur de
route et envoie les routes apprises aux autres dispositifs SD-WAN Edge. Le contrôle de flux de
superposition (OFC, Overlay Flow Control) active la visibilité et le contrôle des routes à l'échelle de
l'entreprise pour faciliter la programmation et pour la superposition complète et partielle.

VMware prend en charge les filtres entrants/sortants pour les voisins OSPF, les types de
routes OE1/OE2 et l'authentification MD5. Les routes apprises via OSPF seront automatiquement
redistribuées vers le contrôleur hébergé dans le cloud ou sur site. La prise en charge des
filtres entrants/sortants BGP et le filtre peuvent être définis sur Refuser (Deny) ou vous pouvez
éventuellement ajouter/modifier l'attribut BGP pour influencer la sélection du chemin, c'est-à-dire
la communauté RFC 1998, MED et la préférence locale.

Note Pour plus d'informations sur les redistributions OSPF et BGP, reportez-vous à la section
Redistribution OSPF/BGP.

Note Dans la version 3.2, BGP et OSPF peuvent être activés dans un dispositif SD-WAN Edge à
la fois.

Ce chapitre contient les rubriques suivantes :

n Activer OSPF

n Configurer BGP

n Redistribution OSPF/BGP

n Paramètres BFD

n Contrôle des flux de superposition

Activer OSPF
Vous ne pouvez activer OSPF (Open Shortest Path First) que sur une interface LAN en
tant qu'interface passive. Le dispositif Edge n'annonce que le préfixe associé à ce port de
commutateur LAN. Pour obtenir la fonctionnalité OSPF complète, vous devez l'utiliser dans des
interfaces routées.

VMware, Inc. 506

Guide d'administration de VMware SD-WAN

Pour activer OSPF, suivez les étapes de cette procédure :

1 Configurez OSPF pour les profils VPN.

a Accédez à Configurer (Configure) > Profil (Profile).

b Cliquez sur l'icône Périphérique (Device) correspondant au profil VPN pour lequel vous
souhaitez configurer OSPF.

L'écran Configurer les segments (Configure Segments) s'affiche.

c Dans la section Zones OSPF (OSPF Areas), activez le bouton Zones OSPF (OSPF Areas).

d Configurez les paramètres de redistribution pour les zones OSPF.

1 Dans le menu déroulant Route par défaut (Default Route), choisissez un type de route
OSPF (E1 ou E2) à utiliser pour la route par défaut.

2 Dans le menu déroulant Annoncer (Advertise), choisissez Toujours (Always) ou

Conditionnel (Conditional). (Si vous choisissez Toujours (Always), cela signifie que la
route par défaut est toujours annoncée. Si vous choisissez Conditionnel (Conditional),
cela signifie que la route par défaut est redistribuée uniquement lorsque le dispositif
Edge apprend via superposition ou sous-couche). Vous devez cocher l'option
« Préfixes de superposition » (Overlay Prefixes) pour utiliser la route conditionnelle
par défaut.

3 Le cas échéant, cochez la case Préfixes de superposition (Overlay Prefixes).

VMware, Inc. 507

Guide d'administration de VMware SD-WAN

4 Pour activer éventuellement l'injection de routes BGP dans OSPF, cochez la case BGP.
Vous pouvez redistribuer les routes BGP dans OSPF. Si cela s'applique, entrez ou
choisissez les options de configuration comme suit :

a Dans la zone de texte Définir la mesure (Set Metric), entrez la mesure. (Il s'agit de
la mesure qu'OSPF place dans ses autorités de sécurité locale (LSA, Local Security
Authority) externes qu'il génère à partir des routes redistribuées). La mesure par
défaut est 20.

b Dans le menu déroulant Définir le type de mesure (Set Metric Type), choisissez un
type de mesure. (Il s'agit du type E1 ou E2 [type de LSA externe OSPF]) ; le type
par défaut est E2).

5 Dans la zone de texte ID, entrez un ID de zone OSPF (OSPF Area ID).

6 Dans la zone de texte Nom (Name), entrez un nom descriptif pour votre zone.

7 Par défaut, le type Normale (Normal) est sélectionné. Seul le type Normale (Normal)
est pris en charge à ce stade.

8 Ajoutez des zones supplémentaires, si nécessaire, en cliquant sur .

2 Configurez les paramètres de l'interface routée pour le périphérique Edge activé pour OSPF.

Note SD-WAN Orchestrator prend en charge le mode réseau Point à point (Point to Point)
OSPF au niveau du dispositif Edge et du profil.

a Dans l'écran Configurer les segments (Configure Segments), faites défiler la liste vers le
bas jusqu'à la zone Paramètres du périphérique (Device Settings) du périphérique Edge
pour lequel vous souhaitez configurer les paramètres OSPF et de l'interface.

b Cliquez sur l'icône de développement correspondant au dispositif Edge.

c Dans la zone Paramètres de l'interface (Interface Settings), cliquez sur le lien Modifier
(Edit) de votre interface. L'écran Paramètres de l'interface (Interface Settings) du
périphérique Edge s'affiche.

VMware, Inc. 508

Guide d'administration de VMware SD-WAN

d Cochez la case OSPF.

e Dans le menu déroulant Zone OSPF (OSPF Area), sélectionnez une zone OSPF.

f Pour configurer les paramètres OSPF avancés, cliquez sur le lien Basculer les paramètres
OSPF avancés (Toggle advance ospf settings).

1 Créez des filtres pour Apprentissage de route entrante (Inbound Route Learning) et
Annonce de route (Route Advertisement). Pour plus d'informations, reportez-vous à
la section Filtres de route.

2 Cliquez sur l'onglet Paramètres personnalisés (Custom Settings) et configurez les

paramètres OSPF suivants.

a Dans la zone de texte Hello Timer, entrez l'intervalle de temps OSPF Hello en
secondes. La plage autorisée est comprise entre 1 et 255.

VMware, Inc. 509

Guide d'administration de VMware SD-WAN

b Dans la zone de texte Dead Timer, entrez l'intervalle de temps OSPF Dead en
secondes. La plage autorisée est comprise entre 1 et 65 535.

c Sélectionnez Activer BFD (Enable BFD) pour activer l'abonnement à une session
BFD existante pour OSPF.

d Cochez la case Activer l'authentification MD5 (Enable MD5 Authentication) pour

activer l'authentification MD5.

e Dans la zone de texte Coût du chemin d'accès de l'interface (Interface Path Cost),
entrez le coût OSPF du chemin de l'interface.

f Dans la zone de texte MTU, entrez la valeur Unité de transmission maximale (MTU,
Maximum Transmission Unit) de l'interface.

g Dans le menu déroulant Mode, Sélectionnez Diffusion (Broadcast) ou Point à point

(Point to Point) comme mode de type réseau OSPF. Le mode OSPF par défaut est
Diffusion (Broadcast).

h Cochez la case Passif (Passive) pour activer le mode OSPF passif.

i Cliquez sur le bouton Mettre à jour (Update).

3 Cliquez sur Enregistrer les modifications (Save Changes).

La boîte de dialogue Confirmer les modifications (Confirm Changes) s'affiche et vous

demande de confirmer les zones OSPF à activer. Elle affiche également le nombre de
dispositifs Edge affectés.

Note Si des dispositifs Edge ne sont pas associés à la configuration OSPF au niveau du profil,
vous devez les configurer au niveau du dispositif Edge dans la zone Configurer (Configure)
> Dispositifs Edge (Edges) > Périphérique (Device) > Paramètres de l'interface (Interface
Settings).

Filtres de route
Il existe deux types de routage différents : entrant et sortant.

n Le routage entrant comprend des préférences qui peuvent être apprises ou ignorées depuis
OSPF et installées dans l'Overlay Flow Control.

n Le routage sortant indique quels préfixes peuvent être redistribués dans OSPF.

VMware, Inc. 510

Guide d'administration de VMware SD-WAN

Configurer BGP
Par défaut, la fonctionnalité BGP de routage est activée pour une entreprise. Vous pouvez
configurer le protocole BGP par segment pour un profil ou un dispositif Edge.

VMware prend en charge le BGP du numéro de système autonome (ASN, Autonomous System
Number) 4 octets comme suit :

n Comme ASN de SD-WAN Edge.

n Effectuez une liaison avec un voisin disposant d'un ASN 4 octets.

n Acceptez les ASN 4 octets dans les annonces de route.

Pour activer BGP :

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles)..

2 Cliquez sur l'icône Périphérique (Device) d'un profil, ou sélectionnez ce dernier et cliquez sur
l'onglet Périphérique (Device).

VMware, Inc. 511

Guide d'administration de VMware SD-WAN

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section
Paramètres BGP (BGP Settings), cliquez sur le curseur pour passer en position Actif (ON),
puis cliquez sur Modifier (Edit).

VMware, Inc. 512

Guide d'administration de VMware SD-WAN

4 Dans la fenêtre Éditeur BGP (BGP Editor), configurez les paramètres suivants :

a Cliquez sur Ajouter un filtre (Add Filter) pour créer un ou plusieurs filtres. Ces filtres sont
appliqués au voisin pour refuser ou modifier les attributs de la route. Vous pouvez utiliser
le même filtre pour plusieurs voisins.

Dans la fenêtre Créer un filtre BGP (Create BGP Filter), définissez les règles du filtre.

Option Description

Nom du filtre (Filter Name) Entrez un nom descriptif pour le filtre BGP.

Type de correspondance et valeur (Match Type and Choisissez le type des routes à faire correspondre
Value) avec le filtre :
n Préfixe (Prefix) : choisissez une correspondance
avec un préfixe et entrez l'adresse IP du préfixe
dans le champ Valeur (Value).
n Communauté (Community) : choisissez une
correspondance avec une communauté et entrez
la chaîne de communauté dans le champ Valeur
(Value).

Correspondance exacte (Exact Match) L'action de filtre n'est effectuée que lorsque les
routes BGP correspondent exactement au préfixe ou
à la chaîne de communauté spécifié. Cette option est
activée par défaut.

Type d'action (Action Type) Choisissez l'action à exécuter lorsque les routes
BGP correspondent au préfixe ou à la chaîne de
communauté spécifié. Vous pouvez autoriser ou
refuser le trafic.

Définir (Set) Lorsque les routes BGP correspondent aux critères

spécifiés, vous pouvez définir la valeur pour
acheminer le trafic vers un réseau en fonction des
attributs du chemin. Sélectionnez l'une des options
suivantes dans la liste déroulante :

VMware, Inc. 513

Guide d'administration de VMware SD-WAN

Option Description

n Aucun (None) : les attributs des routes

correspondantes restent identiques.
n Préférence locale (Local Preference) : le trafic
correspondant est acheminé vers le chemin avec
la préférence locale spécifiée.
n Communauté (Community) : les routes
correspondantes sont filtrées selon la chaîne de
communauté spécifiée. Vous pouvez également
cocher la case Additif de la communauté
(Community Additive) pour activer l'option
d'additif, ce qui ajoute la valeur de communauté
aux communautés existantes.
n Mesure (Metric) : le trafic correspondant est
acheminé vers le chemin avec la valeur de mesure
spécifiée.
n Préfixe de chemin AS (AS-Path-Prepend) :
autorise l'ajout d'un préfixe à plusieurs entrées du
système autonome (AS) à une route BGP.

Cliquez sur l'icône Plus (+) pour ajouter des règles de correspondance supplémentaires
pour le filtre.
Cliquez sur OK.
Répétez la procédure pour créer davantage de filtres BGP.

Les filtres configurés s'affichent dans la fenêtre Éditeur BGP (BGP Editor).

b Dans la fenêtre Éditeur BGP (BGP Editor), configurez les paramètres BGP suivants :

VMware, Inc. 514

Guide d'administration de VMware SD-WAN

Option Description

ASN local (Local ASN) Entrez le numéro de système autonome (ASN) local

Adresse IP du voisin (Neighbor IP) Entrez l'adresse IP du voisin BGP

ASN Entrez l'ASN du voisin

Filtre entrant (Inbound Filter) Sélectionner un filtre entrant dans la liste déroulante

Filtre sortant (Outbound Filter) Sélectionnez un filtre sortant dans la liste déroulante

Options supplémentaires (Additional Options) : cliquez sur le lien Tout afficher (View all) pour configurer les
paramètres supplémentaires suivants :

Indicateur de voisin (Neighbor Flag) Marque le type de voisin. Choisissez l'une des options
suivantes dans la liste déroulante :
n Aucun (None) : le voisin n'est pas marqué.
n Liaison montante (Uplink) : sélectionnez cette
option si la liaison montante est utilisée comme
superposition WAN vers MPLS. Elle est utilisée
comme indicateur pour décider si le site
deviendra un site de transit (par exemple,
Hub) en propageant des routes apprises via la
superposition SD-WAN à la liaison WAN vers
MPLS. Si vous devez créer un site de transit,
cochez la case Préfixes de superposition via la
liaison montante (Overlay Prefixes over Uplink)
disponible dans la section Avancé (Advanced).

Autoriser AS (Allow AS) Cochez cette case pour autoriser la réception et le

traitement des routes BGP, même si le dispositif Edge
détecte son propre ASN dans le chemin AS.

Route par défaut (Default Route) La route par défaut est une route statique qui prend
effet lorsqu'aucune autre route n'est disponible pour
une adresse IP de destination. Cochez cette case
pour annoncer une route par défaut au voisin.

Activer BFD (Enable BFD) Active l'abonnement à une session BFD existante
pour le voisin BGP. Pour plus d'informations,
reportez-vous à la section Paramètres BFD.

Survie (Keep Alive) Entrez le temporisateur de survie en secondes, qui

correspond à la durée entre les messages de survie
envoyés à l'homologue. La plage est comprise entre 0
et 65 535 secondes. La valeur par défaut est de
60 secondes.

Temporisateur de retenue (Hold Timer) Entrez le temporisateur de retenue en secondes.

Lorsque le message de survie n'est pas reçu pendant
la période spécifiée, l'homologue est considéré
comme inactif. La plage est comprise entre 0
et 65 535 secondes. La valeur par défaut est de
180 secondes.

VMware, Inc. 515

Guide d'administration de VMware SD-WAN

Option Description

Connecter (Connect) Entrez l'intervalle de temps en secondes pour tester

une nouvelle connexion TCP avec l'homologue s'il
détecte que la session TCP n'est pas passive. La
valeur par défaut est de 120 secondes.

Authentification MD5 (MD5 Auth) Cochez cette case pour activer l'authentification MD5
de BGP. Cette option est utilisée dans un réseau
hérité ou fédéral, et l'utilisation de l'authentification
MD5 de BGP comme protection de la sécurité pour
l'appairage BGP est courante.

Mot de passe MD5 (MD5 Password) Entrez un mot de passe pour l'authentification MD5.

Cliquez sur l'icône Plus (+) pour ajouter d'autres voisins BGP.

VMware, Inc. 516

Guide d'administration de VMware SD-WAN

c Cliquez sur Avancé (Advanced) pour configurer les paramètres avancés suivants, qui sont
appliqués globalement à tous les voisins BGP.

Option Description

ID de routeur (Router ID) Entrez l'ID de routeur BGP global. Si vous ne spécifiez
aucune valeur, l'ID est automatiquement attribué.

Survie (Keep Alive) Entrez le temporisateur de survie en secondes, qui

correspond à la durée entre les messages de survie
envoyés à l'homologue. La plage est comprise entre 0
et 65 535 secondes. La valeur par défaut est de
60 secondes.

Temporisateur de retenue (Hold Timer) Entrez le temporisateur de retenue en secondes.

Lorsque le message de survie n'est pas reçu pendant
la période spécifiée, l'homologue est considéré
comme inactif. La plage est comprise entre 0
et 65 535 secondes. La valeur par défaut est de
180 secondes.

Communauté de liaison montante (Uplink Community) Entrez la chaîne de communauté à traiter comme
routes de liaison montante.

VMware, Inc. 517

Guide d'administration de VMware SD-WAN

Option Description

La liaison montante fait référence à la liaison

connectée au routeur PE (Provider Edge). Les routes
entrantes vers le dispositif Edge correspondant à la
valeur de communauté spécifiée sont traitées comme
routes de liaison montante. Le Hub/dispositif Edge
n'est pas considéré comme le propriétaire de ces
routes.
Entrez la valeur au format numérique comprise entre 1
et 4 294 967 295 ou au format AA:NN.

Préfixe de superposition (Overlay Prefix) Cochez cette case pour redistribuer les préfixes
appris de la superposition.

Désactiver la transmission AS-Path (Disable AS-Path Par défaut, cette option reste décochée. Cochez
carry over) cette case pour désactiver la transmission AS-PATH.
Dans certaines topologies, la désactivation de la
transmission AS-PATH influence l'AS-PATH sortant
pour que les routeurs L3 optent pour un chemin vers
un dispositif Edge ou un Hub.

Avertissement Lorsque l'option Transmission AS-

PATH (AS-PATH Carry Over) est désactivée, réglez
votre réseau pour éviter les boucles de routage.

Routes connectées (Connected Routes) Cochez cette case pour redistribuer tous les sous-
réseaux de l'interface connectée.

OSPF Cochez cette case pour activer la redistribution OSPF

dans BGP.

Définir la mesure (Set Metric) Lorsque vous activez OSPF, entrez la mesure BGP
pour les routes OSPF redistribuées. La valeur par
défaut est de 20.

Route par défaut (Default Route) Cochez cette case pour redistribuer la route par
défaut uniquement lorsque le dispositif Edge apprend
les routes BGP via la superposition ou la sous-couche.
Lorsque vous sélectionnez l'option Route par défaut
(Default Route), l'option Annoncer (Advertise) est
disponible avec l'état Conditionnel (Conditional).

Préfixes de superposition via la liaison montante Cochez cette case pour propager les routes apprises
(Overlay Prefixes over Uplink) à partir de la superposition vers le voisin avec
l'indicateur de liaison montante.

Réseaux (Networks) Entrez l'adresse réseau que BGP annoncera aux

homologues. Cliquez sur l'icône Plus (+) pour ajouter
d'autres adresses réseau.

Lorsque vous activez l'option Route par défaut (Default Route), les routes BGP sont
annoncées en fonction de la sélection globale de la route par défaut et par voisin BGP,
comme indiqué dans le tableau suivant :

VMware, Inc. 518

Guide d'administration de VMware SD-WAN

Sélection de la route par défaut

Global Par voisin BGP Options d'annonce

Oui Oui La configuration par voisin BGP

remplace la configuration globale
et, par conséquent, la route par
défaut est toujours annoncée à
l'homologue BGP.

Oui Non BGP redistribue la route par

défaut vers son voisin uniquement
lorsque le dispositif Edge apprend
une route par défaut explicite via
le réseau de superposition ou de
sous-couche.

Non Oui La route par défaut est toujours

annoncée à l'homologue BGP.

Non Non La route par défaut n'est pas

annoncée à l'homologue BGP.

d Cliquez sur OK.

Résultats

La section Paramètres BGP (BGP Settings) affiche les paramètres de configuration BGP.

Cliquez sur Enregistrer les modifications (Save Changes) dans l'écran Périphérique (Device)
pour enregistrer la configuration.

VMware, Inc. 519

Guide d'administration de VMware SD-WAN

Lorsque vous configurez des paramètres BGP pour un profil, les paramètres de configuration sont
automatiquement appliqués aux dispositifs Edge associés au profil. Si nécessaire, vous pouvez
remplacer la configuration d'un dispositif Edge spécifique comme suit :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou cliquez sur le lien
d'accès à un dispositif Edge, puis cliquez sur l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section
Paramètres BGP (BGP Settings).

4 Cochez la case Activer le remplacement au niveau du dispositif Edge (Enable Edge

Override).

5 Cliquez sur Modifier (Edit) pour modifier les paramètres de configuration BGP du dispositif
Edge sélectionné.

6 Cliquez sur Enregistrer les modifications (Save Changes) sur la page Périphérique (Device)
pour enregistrer la configuration modifiée.

Redistribution OSPF/BGP
Vous pouvez activer chacun des protocoles de routage OSPF et BGP indépendamment et le
modèle antérieur permettant d'activer un seul protocole de routage sur le système a été supprimé
avec cette version. Cette version permet également de redistribuer OSPF dans BGP ou BGP dans
OSPF (ou les deux simultanément), avec d'autres sources de routes possibles, par exemple les
préfixes appris sur la superposition, les routes connectées, les routes statiques, etc.

VMware, Inc. 520

Guide d'administration de VMware SD-WAN

En outre, avec la version 3.2, nous normalisons actuellement le comportement de redistribution

selon des voies plus traditionnelles (semblables à celles des autres fournisseurs de routage). Par
exemple, si plusieurs routes sont disponibles pour le même préfixe, seule la meilleure route pour
ce préfixe dans la base d'informations de routage (RIB, Routing Information Base) du système
est redistribuée vers le protocole de destination si la configuration de ce dernier autorise la
redistribution pour ce type de route.

Prenez, par exemple, la redistribution du préfixe [Link]/24 dans BGP. Supposons que les
routes vers le préfixe [Link]/24 sont disponibles localement, appris par le protocole OSPF
et appris séparément comme préfixe de superposition. Supposons également qu'entre l'ordre de
flux OFC pour le préfixe et les mesures de route et la préférence de route, la route OSPF se
classe devant (mieux) que la route de superposition apprise pour ce même préfixe. Ensuite, la
route OSPF est redistribuée dans BGP si la redistribution OSPF a été activée dans BGP. Notez
que du fait que le préfixe de superposition appris n'est pas la meilleure route pour ce préfixe dans
la RIB du système, elle n'est pas redistribuée dans BGP même si la redistribution des préfixes de
superposition a été activée dans BGP.

Dans des cas comme ci-dessus, l'utilisateur peut activer la redistribution pour le type de route
spécifique qui est la meilleure route dans le système afin de faciliter la redistribution de la
meilleure route pour un préfixe dans un protocole de destination donné.

Si l'utilisateur préfère plutôt redistribuer une autre source de route pour ce préfixe dans le
protocole de destination, il peut contrôler la priorité relative de la route dans la RIB du système à
l'aide de l'installation d'Overlay Flow Control fournie par l'interface de gestion ou en modifiant la
mesure de route.

Pour plus d'informations, reportez-vous aux sections Activer OSPF et Configurer BGP.

Paramètres BFD
La détection de transfert bidirectionnel (BFD) est un protocole Hello simple semblable à des
composants de détection de protocoles de routage bien connus. Une paire de systèmes transmet
périodiquement des paquets BFD sur chaque chemin entre les deux systèmes. Si un système
cesse de recevoir des paquets BFD pendant un temps suffisamment long, le système voisin est
alors présumé être en panne.

Une session BFD est établie en fonction des besoins de l'application qui utilise BFD. L'utilisateur
doit configurer explicitement l'adresse et les paramètres de la session BFD et les abonnés/
applications (BGP/OSPF) de la session, car il n'existe aucun mécanisme de détection dans BFD.

Les protocoles de routage tels que BGP ou OSPF échangent les routes apprises entre les
dispositifs Edge et les routeurs. Ces protocoles échangent des routes et détectent les pannes
de route à l'aide de leur propre mécanisme. En général, les pannes de route sont détectées
en fonction du mécanisme de keep-alive dans lequel une entité répond à une autre entité sur
un intervalle configuré fréquent, c'est-à-dire la durée de keep-alive. Ces protocoles de routage
disposent de temporisateurs de keep-alive supérieurs, ce qui entraîne une durée de détection plus
longue des pannes de route. BFD détecte les pannes de route entre deux entités connectées plus
rapidement avec une capacité supplémentaire faible lors de la détection des pannes.

VMware, Inc. 521

Guide d'administration de VMware SD-WAN

Vous trouverez ci-après les avantages de la mise en œuvre de BFD avec des protocoles de
routage.

n Détection rapide des pannes de route avec une durée de reconvergence faible.

n Diminution de la capacité supplémentaire de détection des pannes de route.

n Taux uniforme de détection des pannes de route dans les protocoles de routage.

BFD peut être défini comme service simple. Les primitives de service fournies par BFD sont la
création, la destruction et la modification d'une session, en fonction de l'adresse de destination et
d'autres paramètres. BFD fournit en retour un signal aux clients indiquant quand la session BFD
s'active ou se désactive.

Il existe deux modes de fonctionnement pour BFD, le mode asynchrone et le mode de

demande. VMware prend en charge le mode asynchrone. Dans ce mode, les systèmes envoient
périodiquement des paquets de contrôle BFD à d'autres systèmes. Si plusieurs paquets
consécutifs ne sont pas reçus par un système, la session est alors déclarée inactive.

Note Le mode BFD Echo n'est pas pris en charge.

VMware prend en charge BFD pour les protocoles de routage suivants :

n BGP sur les dispositifs Edge et les passerelles de partenaires

n OSPF sur les dispositifs Edge

Configurer BFD
VMware permet de configurer des sessions BFD pour détecter les pannes de route entre deux
entités connectées.

Pour configurer une session BFD :

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles)..

2 Cliquez sur l'icône Périphérique (Device) d'un profil, ou sélectionnez ce dernier et cliquez sur
l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section Règles
BFD (BFD Rules) et cliquez sur le curseur pour passer en position Actif (ON).

VMware, Inc. 522

Guide d'administration de VMware SD-WAN

4 Configurez les paramètres suivants :

a Adresse de l'homologue (Peer Address) : entrez l'adresse IP de l'homologue distant pour

initier une session BFD.

b Adresse locale (Local Address) : entrez une adresse IP configurée localement pour
l'écouteur de l'homologue. Cette adresse est utilisée pour l'envoi de paquets.

c Multiplicateur de détection (Detect Multiplier) : entrez le multiplicateur de temps de

détection. L'intervalle de transmission à distance est multiplié par cette valeur pour
déterminer le temporisateur de détection pour la perte de connexion. La plage est
comprise entre 3 et 50, et la valeur par défaut est de 3.

d Intervalle de réception (Receive Interval) : entrez l'intervalle de temps minimal, en

millisecondes, pendant lequel le système peut recevoir les paquets de contrôle de
l'homologue BFD. La plage est comprise entre 300 et 60 000 millisecondes, et la valeur
par défaut est de 300 millisecondes.

e Intervalle de transmission (Transmit Interval) : entrez l'intervalle de temps minimal, en

millisecondes, pendant lequel le système local peut envoyer les paquets de contrôle BFD.
La plage est comprise entre 300 et 60 000 millisecondes, et la valeur par défaut est de
300 millisecondes.

5 Cliquez sur l'icône Plus (+) pour ajouter des détails d'homologues supplémentaires.

6 Cliquez sur Enregistrer les modifications (Save Changes).

Résultats

Lorsque vous configurez des règles BFD pour un profil, les règles sont automatiquement
appliquées aux dispositifs Edge associés au profil. Si nécessaire, vous pouvez remplacer la
configuration d'un dispositif Edge spécifique comme suit :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou cliquez sur le lien
d'accès à un dispositif Edge, puis cliquez sur l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section Règles
BFD (BFD Rules).

4 Cochez la case Activer le remplacement au niveau du dispositif Edge (Enable Edge

Override) pour modifier les paramètres de configuration BFD du dispositif Edge sélectionné.

VMware, Inc. 523

Guide d'administration de VMware SD-WAN

Étape suivante

VMware prend en charge la configuration de BFD pour BGP et OSPF.

n Pour activer BFD pour BGP, reportez-vous à la section Configurer BFD pour BGP.

n Pour activer BFD pour OSPF, reportez-vous à la section Configurer BFD pour OSPF.

n Pour afficher les sessions BFD, reportez-vous à la section Surveiller les sessions BFD.

n Pour afficher les événements BFD, reportez-vous à la section Surveiller les événements BFD.

n Pour dépanner et déboguer BFD, reportez-vous à la section Dépannage de BFD.

Configurer BFD pour BGP

Vous pouvez configurer BFD pour BGP sur les dispositifs Edge.

Par défaut, BFD est désactivé dans le voisin BGP. Vous pouvez activer BFD pour une session BGP
afin de vous abonner aux mises à jour des sessions BFD.

L'activation de BFD pour un voisin BGP ne crée aucune session BFD. Vous devez configurer
explicitement une session BFD. Reportez-vous à la section Configurer BFD.

La procédure suivante décrit comment activer BFD pour une session BGP déjà configurée sur un
dispositif Edge. Pour configurer les paramètres BGP, reportez-vous à la section Configurer BGP.

Pour activer BFD pour BGP sur des passerelles de partenaires, vous devez être super utilisateur
opérateur. Pour plus d'informations, reportez-vous à la section Configurer le transfert aux
partenaires (Configure Partner Handoff) du Guide de l'opérateur de VMware SD-WAN.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles)..

2 Cliquez sur l'icône Périphérique (Device) d'un profil, ou sélectionnez ce dernier et cliquez sur
l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section
Paramètres BGP (BGP Settings) et cliquez sur Modifier (Edit).

VMware, Inc. 524

Guide d'administration de VMware SD-WAN

4 Dans la fenêtre Éditeur BGP (BGP Editor), cliquez sur Tout afficher (View all) dans la colonne
Options supplémentaires (Additional Options) d'un voisin BGP et cochez la case Activer BFD
(Enable BFD). Vous pouvez activer l'abonnement BFD pour plusieurs voisins BGP.

5 Configurez les autres paramètres au besoin et cliquez sur OK.

Résultats

Lorsque vous activez BFD pour les paramètres BGP dans un profil, le paramètre est
automatiquement appliqué aux dispositifs Edge associés au profil. Si nécessaire, vous pouvez
remplacer la configuration d'un dispositif Edge spécifique comme suit :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou cliquez sur le lien
d'accès à un dispositif Edge, puis cliquez sur l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section
Paramètres BGP (BGP Settings).

VMware, Inc. 525

Guide d'administration de VMware SD-WAN

4 Cochez la case Activer le remplacement au niveau du dispositif Edge (Enable Edge

Override) et modifiez les paramètres BGP du dispositif Edge sélectionné.

Lorsqu'un voisin BGP reçoit une mise à jour indiquant que la session BFD est inactive, la session
BGP correspondante s'arrête immédiatement et les routes apprises via l'homologue BGP sont
vidées sans attendre l'expiration du temporisateur de survie.

Configurer BFD pour OSPF

Vous pouvez configurer BFD pour OSPF sur les dispositifs Edge.

Par défaut, BFD est désactivé dans OSPF. Vous pouvez activer BFD pour OSPF afin de vous
abonner aux mises à jour des sessions BFD.

L'activation de BFD pour un voisin OSPF ne crée aucune session BFD. Vous devez configurer
explicitement une session BFD. Reportez-vous à la section Configurer BFD.

La procédure suivante décrit comment activer BFD pour une session OSPF déjà configurée sur
une interface de dispositif Edge. Pour configurer les paramètres OSPF, reportez-vous à la section
Activer OSPF. Pour configurer les paramètres de l'interface, reportez-vous à la section Configurer
les paramètres du périphérique.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Profils (Profiles)..

2 Cliquez sur l'icône Périphérique (Device) d'un profil, ou sélectionnez ce dernier et cliquez sur
l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section
Paramètres du périphérique (Device Settings) d'un dispositif Edge.

4 Dans la section Paramètres de l'interface (Interface Settings), cliquez sur l'option Modifier
(Edit) d'une interface.

5 Dans la fenêtre Interface, cochez la case OSPF et choisissez Zone OSPF (OSPF Area) dans la
liste déroulante.

VMware, Inc. 526

Guide d'administration de VMware SD-WAN

6 Cliquez sur Basculer les paramètres OSPF avancés (Toggle advance ospf settings) et dans
l'onglet Paramètres personnalisés (Custom Settings), cochez la case Activer BFD (Enable
BFD).

7 Configurez les autres paramètres si nécessaire et cliquez sur Mettre à jour (Update).

VMware, Inc. 527

Guide d'administration de VMware SD-WAN

Résultats

Lorsque vous activez BFD pour une zone OSPF dans un profil, le paramètre est automatiquement
appliqué aux dispositifs Edge correspondants associés au profil. Si nécessaire, vous pouvez
remplacer la configuration d'un dispositif Edge spécifique comme suit :

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Cliquez sur l'icône Périphérique (Device) en regard d'un dispositif Edge ou cliquez sur le lien
d'accès à un dispositif Edge, puis cliquez sur l'onglet Périphérique (Device).

3 Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section
Paramètres du périphérique (Device Settings) et cliquez sur l'option Modifier (Edit) d'une
interface.

4 Dans la fenêtre Interface, cochez la case Interface de remplacement (Override Interface), et

vous pouvez modifier les paramètres de l'interface du dispositif Edge sélectionné.

VMware, Inc. 528

Guide d'administration de VMware SD-WAN

Lorsqu'un voisin OSPF reçoit une mise à jour indiquant que la session BFD est inactive, la session
OSPF correspondante s'arrête immédiatement et les routes sont vidées sans attendre l'expiration
du temporisateur de survie.

VMware, Inc. 529

Guide d'administration de VMware SD-WAN

Surveiller les sessions BFD

Vous pouvez surveiller les sessions BFD sur les dispositifs Edge et les passerelles.

Pour surveiller les sessions BFD :

1 Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Routage (Routing) > BFD.

2 La page affiche les sessions BFD sur le dispositif Edge et la passerelle.

La page affiche les détails suivants pour les dispositifs Edge et les passerelles :

n Nom du dispositif Edge ou de la passerelle (Name of the Edge or Gateway)

n Nom du segment (Segment name)

n Adresse IP de l'homologue (Peer IP address)

n Adresse IP locale (Local IP address)

n État de la session BFD (State of the BFD session)

n Temporisateurs distants et locaux (Remote and Local timers)

n Nombre d'événements (Number of Events)

n Durée de la session BFD (Duration of the BFD session)

Cliquez sur le lien d'accès à un numéro d'événement pour afficher les détails de
fractionnement des événements.

Vous pouvez également afficher les sessions BFD dans la nouvelle interface utilisateur
d'Orchestrator.

1 Dans le portail d'entreprise, cliquez sur Ouvrir la nouvelle interface utilisateur d'Orchestrator
(Open New Orchestrator UI).

VMware, Inc. 530

Guide d'administration de VMware SD-WAN

2 Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant
les options de surveillance.

3 Cliquez sur Routage (Routing) > BFD.

Surveiller les événements BFD

Vous pouvez afficher les événements liés aux sessions BFD.

Dans le portail d'entreprise, cliquez sur Surveiller (Monitor) > Événements (Events).

Pour afficher les événements associés à BFD, vous pouvez utiliser l'option Filtre (Filter). Cliquez
sur la flèche déroulante en regard de l'option Rechercher (Search) et choisissez de filtrer en
fonction de l'événement ou de la colonne Message.

Les événements suivants se produisent lorsqu'une session BFD est établie avec un dispositif Edge
ou avec un voisin de passerelle, ou lorsque le voisin BFD n'est pas disponible.

n Session BFD établie avec le voisin de dispositif Edge

n Session BFD établie avec le voisin de passerelle

n Voisin BFD de dispositif Edge indisponible

n Adresse IP locale incorrecte du dispositif Edge dans la configuration BFD

n Voisin BFD de passerelle non disponible

L'image suivante montre certains événements BFD.

VMware, Inc. 531

Guide d'administration de VMware SD-WAN

Vous pouvez également afficher les événements dans la nouvelle interface utilisateur
d'Orchestrator.

Cliquez sur Lancer la nouvelle interface utilisateur d'Orchestrator (Launch New Orchestrator
UI) dans la fenêtre contextuelle. L'interface utilisateur s'ouvre dans un nouvel onglet affichant les
options de surveillance.

Cliquez sur Événements (Events). Cliquez sur l'icône Filtre (Filter) dans l'option Rechercher
(Search) pour filtrer les événements BFD.

Dépannage de BFD
Vous pouvez exécuter des tests de diagnostics à distance pour afficher les journaux des sessions
BFD et utiliser les informations des journaux à des fins de dépannage.

Pour exécuter les tests de BFD :

1 Dans le portail d'entreprise, cliquez sur Tester et dépanner (Test & Troubleshoot) >
Diagnostics à distance (Remote Diagnostics).

2 La page Diagnostics à distance (Remote Diagnostics) affiche tous les dispositifs Edge actifs.

VMware, Inc. 532

Guide d'administration de VMware SD-WAN

3 Sélectionnez le dispositif Edge à dépanner. Le dispositif Edge passe en mode direct et affiche
tous les tests de diagnostics à distance possibles que vous pouvez exécuter sur le dispositif
Edge.

4 Pour dépanner BFD, faites défiler la liste jusqu'aux sections suivantes et exécutez les tests :

n Dépanner BFD - Afficher l'état des homologues BFD (Troubleshoot BFD - Show BFD
Peer Status) : choisissez le segment dans la liste déroulante. Entrez les adresses IP
d'homologues et locales d'une session BFD déjà configurée. Cliquez sur Exécuter (Run)
pour afficher les détails des homologues BFD.

n Dépanner BFD - Afficher les compteurs des homologues BFD (Troubleshoot BFD -
Show BFD Peer counters) : choisissez le segment dans la liste déroulante. Entrez les
adresses IP d'homologues et locales d'une session BFD déjà configurée. Cliquez sur
Exécuter (Run) pour afficher les détails des compteurs des homologues BFD.

n Dépanner BFD - Afficher le paramètre BFD (Troubleshoot BFD - Show BFD Setting) :
cliquez sur Exécuter (Run) pour afficher les détails des paramètres BFD.

VMware, Inc. 533

Guide d'administration de VMware SD-WAN

Contrôle des flux de superposition

L'écran Contrôle de flux de superposition (Overlay Flow Control) affiche une vue récapitulative
de toutes les routes de votre réseau.

Vous pouvez afficher et modifier les préférences de routage global et les actions d'annonce pour
les dispositifs Edge, les Hubs et les passerelles de partenaires.

Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Contrôle de flux de
superposition (Overlay Flow Control).

La page Contrôle de flux de superposition (Overlay Flow Control) affiche les détails suivants :

Option Description

Sorties VPN préférées (Preferred VPN Exits) Affiche la priorité des destinations vers lesquelles le trafic
doit être acheminé.

Indicateurs d'annonce globale (Global Advertise Flags) Affiche les actions d'annonce des routes statiques,
connectées, internes, externes et de liaison montante.

n Modifier (Edit) : cliquez sur cette option pour mettre à jour les priorités et les actions
d'annonce. Reportez-vous à la section Configurer les préférences de routage global.

n Actualiser les routes (Refresh Routes) : cette option n'est disponible que lorsque la
fonctionnalité Calcul du coût distribué (Distributed Cost Calculation) est activée par
l'opérateur. Par défaut, Orchestrator est activement impliqué dans l'apprentissage des routes
dynamiques. Les dispositifs Edge et les passerelles reposent sur Orchestrator pour calculer
les préférences de routes initiales et les renvoyer au dispositif Edge et à la passerelle. La
fonctionnalité Calcul du coût distribué (Distributed Cost Calculation) permet de distribuer le
calcul du coût des routes aux dispositifs Edge et aux passerelles.

VMware, Inc. 534

Guide d'administration de VMware SD-WAN

Pour plus d'informations sur Calcul du coût distribué (Distributed Cost Calculation) reportez-
vous à la section Configurer le calcul du coût distribué du Guide de l'opérateur de VMware
SD-WAN disponible à l'adresse [Link]

Note Pour activer la fonctionnalité Calcul du coût distribué (Distributed Cost Calculation),
consultez votre partenaire de support. Si vous êtes directement pris en charge par VMware,
contactez l'équipe de support.

Cliquez sur Actualiser les routes (Refresh Routes) pour que les dispositifs Edge et les
passerelles recalculent les coûts des routes apprises et les renvoient à Orchestrator. En outre,
les modifications apportées au Contrôle de flux de superposition (Overlay Flow Control) sont
appliquées immédiatement sur les nouvelles routes apprises et les actuelles.

Lorsque vous actualisez les routes, l'entreprise du client a l'incidence suivante sur le réseau :

n Toutes les routes dynamiques locales sont actualisées, et la préférence et l'action

d'annonce de ces routes sont mises à jour. Ces informations mises à jour sont annoncées
à la passerelle, à Orchestrator et enfin à l'entreprise. Comme cela entraîne une mise à jour
dans la table de routage, cela a une brève incidence sur le trafic de tous les sites.

n Tout flux existant utilisant ces routes peut potentiellement être affecté par la modification
des entrées de routage.

Note Il est recommandé d'utiliser l'option Actualiser les routes (Refresh Routes) dans une
fenêtre de maintenance afin de minimiser l'incidence sur l'entreprise du client.

Le panneau inférieur de la fenêtre Contrôle de flux de superposition (Overlay Flow Control)

affiche les sous-réseaux. Vous pouvez hiérarchiser les destinations préférées pour les sous-
réseaux et épingler ou désépingler les préférences de routes apprises. Pour plus d'informations,
reportez-vous à la section Configurer les sous-réseaux.

Configurer les préférences de routage global

Dans la fenêtre Contrôle de flux de superposition (Overlay Flow Control), vous pouvez modifier
les préférences de routage global, les actions d'annonce et modifier les priorités des destinations
vers l'emplacement de routage du trafic.

VMware, Inc. 535

Guide d'administration de VMware SD-WAN

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Contrôle de flux de
superposition (Overlay Flow Control).

2 Sur la page Contrôle de flux de superposition (Overlay Flow Control), cliquez sur Modifier
(Edit), et la fenêtre Modifier les configurations globales (Edit Global Configs) s'affiche.

3 Vous pouvez mettre à jour les paramètres suivants :

a Dans la zone Sorties VPN préférées (Preferred VPN Exits), cliquez sur les flèches Haut
(UP) et Bas (DOWN) pour modifier les priorités.

b Dans la zone Indicateurs d'annonce globale (Global Advertise Flags), cochez les cases
appropriées pour modifier les actions d'annonce des routes.

c Cliquez sur Mettre à jour (Update) pour enregistrer les modifications.

Résultats

Les paramètres mis à jour s'affichent sur la page Contrôle de flux de superposition (Overlay Flow
Control).

VMware, Inc. 536

Guide d'administration de VMware SD-WAN

Configurer les sous-réseaux

Dans la fenêtre Overlay Flow Control, vous pouvez mettre à jour les priorités des destinations
pour les routes apprises dans les sous-réseaux.

Procédure

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Overlay Flow Control.

2 Le panneau inférieur de la fenêtre Overlay Flow Control affiche les sous-réseaux avec les
détails suivants :

Option Description

Modifier (Modify) Affiche l'option pour modifier le sous-réseau. L'option affiche un chiffre en
exposant, qui indique le nombre de dispositifs Edge et de passerelles qui ont
appris la route correspondante.

Segment Nom du segment.

Sous-réseau (Subnet) Réseau auquel la route correspond, ainsi qu'une liste des dispositifs Edge ayant
appris cette route.

Sorties VPN préférées Route par laquelle un autre site distant peut accéder au sous-réseau.
(Preferred VPN Exits)

Type de route (Route Type) Affiche le type de route, qui peut être l'un des suivants : Statique (Static),
Connectée (Connected) ou Apprise (Learned).

Dernière mise à jour (Last Date et heure de la dernière mise à jour de la sortie VPN préférée.
Update)

Créé le (Created On) Date et heure de création de la route.

Sélectionnez un ou plusieurs sous-réseaux et cliquez sur Actions pour effectuer les activités
suivantes :

n Modifier le sous-réseau (Edit Subnet) : modifiez les destinations préférées et hiérarchisez-

les.

n Épingler la préférence de route apprise (Pin Learned Route Preference) : épingle les
préférences de la route apprise sélectionnée.

VMware, Inc. 537

Guide d'administration de VMware SD-WAN

n Réinitialiser la préférence de route apprise (Reset Learned Route Preference) :

réinitialise la préférence de la route apprise sélectionnée aux paramètres par défaut.

n Supprimer les routes apprises (Delete Learned Routes) : supprime les routes apprises.
Cette option ne supprime pas les routes connectées, les routes statiques, les routes
du Overlay Flow Control et les routes de la table de routage des dispositifs Edge. Elle
est donc utilisée pour nettoyer les routes obsolètes. L'option est disponible uniquement
lorsque l'option Configurer le calcul du coût distribué (Configure Distributed Cost
Calculation) est désactivée.

3 Cliquez sur l'option Modifier (Edit) d'un sous-réseau pour modifier les priorités de la
destination préférée.

a Dans la fenêtre Sous-réseau (Subnet), vous pouvez déplacer les destinations de Sorties
VPN admissibles (Eligible VPN Exits) vers Sorties VPN préférées (Preferred VPN Exits)
et inversement.

b Dans le panneau Sorties VPN préférées (Preferred VPN Exits), cliquez sur les flèches
Haut (UP) et Bas (DOWN) pour modifier les priorités, puis cliquez sur Enregistrer (Save).

c Vous pouvez réinitialiser le calcul du coût des sous-réseaux lorsque des routes épinglées
sont disponibles. Cliquez sur Réinitialiser (Reset), ce qui permet à Orchestrator d'effacer
les routes épinglées, de recalculer le coût du sous-réseau sélectionné en fonction de la
stratégie et d'envoyer les résultats aux dispositifs Edge et aux passerelles.

Note L'option Réinitialiser (Reset) n'est disponible que lorsque l'option Calcul du coût
distribué (Distributed Cost Calculation) est activée.

Pour plus d'informations sur Calcul du coût distribué (Distributed Cost Calculation)
reportez-vous à la section Configurer le calcul du coût distribué du Guide de l'opérateur
de VMware SD-WAN disponible à l'adresse [Link]
WAN/[Link].

VMware, Inc. 538

Configurer les alertes
21
SD-WAN Orchestrator permet de configurer les alertes qui informent les opérateurs,
administrateurs d'entreprise ou d'autres utilisateurs du support technique lorsqu'un événement
se produit.

Note Si vous êtes connecté en tant qu'utilisateur disposant de privilèges de support client, vous
pouvez afficher les alertes et d'autres objets, mais vous ne pouvez pas les configurer.

Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Alertes et notifications (Alerts &
Notifications) pour configurer les alertes.

Sélectionnez les événements pour lesquels des alertes doivent être envoyées, puis entrez le délai
de notification en minutes sous Sélectionner les alertes (Select Alerts).

Vous pouvez utiliser l'événement EDIT_ALERT_CONFIGURATION pour enregistrer les modifications

apportées aux configurations des alertes d'entreprise.

VMware, Inc. 539

Guide d'administration de VMware SD-WAN

Sous Clients (Customers), les coordonnées des utilisateurs administrateurs existants s'affichent.
Vous pouvez cocher les cases relatives aux e-mails et aux SMS pour envoyer des alertes aux
utilisateurs correspondants.

Les alertes sont envoyées à la fois à l'équipe des opérateurs gérant l'intégralité de SD-WAN
Orchestrator et aux clients.

Les alertes envoyées aux opérateurs sont appelées alertes de notification préalable lorsqu'elles
sont envoyées immédiatement. Les alertes de client ou d'entreprise sont soumises aux retards tels
que configurés par l'administrateur d'entreprise.

Par exemple, une alerte de lien inactif peut être envoyée à la fois à une destination configurée
par un opérateur et aux destinations configurées par le client. Supposons qu'un lien soit inactif
pendant une minute et que le client configure le retard d'alerte de Lien inactif (Link Down)
pendant 2 minutes. Si les alertes de notification préalable sont activées pour ce lien, Orchestrator
envoie une alerte d'opérateur pour le lien inactif, mais le client ne reçoit aucune d'alerte, car elle
est rentrée dans le cadre du retard configuré.

VMware, Inc. 540

Guide d'administration de VMware SD-WAN

Interruptions SNMP (SNMP Traps)

Les interruptions SNMP (Simple Network Management Protocol) sont des notifications envoyées
à un agent SNMP pour indiquer qu'un événement s'est produit. SD-WAN Orchestrator envoie
les interruptions SNMP correspondant aux alertes existantes, telles que Edge Down et Edge Up.
Vous pouvez sélectionner la version SNMP et entrer les détails correspondants sous Interruptions
SNMP (SNMP Traps).

Note Actuellement, seuls les algorithmes SHA-1 et AES-128 sont pris en charge pour
l'interruption SNMP v3.

Webhooks
Les Webhooks fournissent des données à d'autres applications déclenchées par certaines alertes
via HTTP POST. Chaque fois qu'une alerte se produit, la source envoie une demande HTTP à
l'application cible configurée pour le Webhook.

SD-WAN Orchestrator prend en charge les Webhooks qui envoient automatiquement des
messages via HTTP POST aux applications cibles lorsqu'un événement se produit. Vous pouvez
définir l'URL cible dans le portail d'entreprise et automatiser les actions en réponse aux alertes
déclenchées par SD-WAN Orchestrator. Les destinataires Webhook doivent prendre en charge
HTTPS et disposer de certificats valides pour garantir la confidentialité des charges utiles d'alertes
potentiellement sensibles. Cela empêche également la falsification des charges utiles.

Configurer les Webhooks (Configure Webhooks)

Dans la fenêtre Configuration des alertes (Alert Configuration), vous pouvez entrer les
informations suivantes sous Webhooks.

Option Description

URL Entrez une URL HTTPS valide. Cette URL sert d'application
cible pour les Webhooks.

Code Entrez un code d'état de réponse HTTP attendu pour

chaque destinataire Webhook. Par défaut, SD-WAN
Orchestrator s'attend à ce que les destinataires Webhook
répondent aux demandes HTTP POST avec un code d'état
HTTP 200.
Lorsque SD-WAN Orchestrator reçoit un code d'état
inattendu d'un serveur de destinataire ou d'un serveur
proxy, il considère que la remise d'alerte a échoué et
génère un événement client ALERT_DELIVERY_FAILED. Cet
événement permet d'identifier le moment où un serveur
de destinataire Webhook peut ne pas fonctionner comme
prévu.

VMware, Inc. 541

Guide d'administration de VMware SD-WAN

Option Description

Secret Spécifiez un jeton secret pour chaque destinataire

Webhook configuré, qui est utilisé pour calculer un HMAC
pour chaque demande Webhook envoyée au destinataire
correspondant. Le HMAC est intégré dans un en-tête
HTTP X-Webhook-Signature, avec un paramètre de version
qui identifie l'algorithme de signature et un horodatage.

X-Webhook-Signature: v=<signature-
version>&t=<timestamp>&s=<hmac>

Le destinataire interprète les composants comme suit :

n v : version de l'algorithme utilisée pour générer la
signature. La seule valeur prise en charge est 1.
n t : horodatage d'époque de précision en millisecondes
correspondant à l'heure à laquelle la demande est
émise.
n s : HMAC calculé par SD-WAN Orchestrator. Le HMAC
est calculé comme suit : HMAC-SHA256(request-body +
'.' + timestamp, secret).

Le message utilisé pour calculer le HMAC est formé

par la concaténation du corps de la demande, d'une
période unique et de la valeur du paramètre d'horodatage
qui s'affiche dans l'en-tête de la signature. L'algorithme
HMAC spécifique utilisé pour générer le code est HMAC-
SHA256.
Après la réception d'une demande Webhook, le serveur
d'écoute peut vérifier l'authenticité de la demande en
calculant sa propre signature HMAC-SHA256 en fonction
du même algorithme et en comparant la signature
nouvellement calculée avec celle générée par SD-WAN
Orchestrator.

Modèle de charge utile JSON (JSON Payload Template) Ce champ est obligatoire.
SD-WAN Orchestrator fournit des notifications d'alerte
à chaque destinataire Webhook, via une charge utile
JSON contenue dans le corps d'une demande HTTP POST
sortante.
SD-WAN Orchestrator génère le contenu de la charge
utile de manière dynamique, car les notifications sont
envoyées en effectuant une interpolation variable. Les
variables d'espaces réservés prises en charge dans le
modèle de charge utile configurée par l'utilisateur sont
remplacées par des valeurs propres aux alertes.
Les modèles de charge utile Webhook prennent en charge
les variables d'espaces réservés suivantes :
n alertTime : heure à laquelle l'alerte a été déclenchée.
n alertType : type de l'alerte, comme EDGE_DOWN,
LINK_UP, VNF_VM_DEPLOYED.
n customer : nom du client auquel la notification est
envoyée.

VMware, Inc. 542

Guide d'administration de VMware SD-WAN

Option Description

n entityAffected : nom de l'entité, comme Dispositif

Edge, Liaison ou VNF, auquel l'alerte est appliquée.
n lastContact : heure à laquelle le dispositif Edge
concerné a communiqué le plus récemment avec SD-
WAN Orchestrator. Cela s'applique uniquement aux
alertes Edge.
n message : message bref décrivant l'événement qui a
déclenché l'alerte.
n VCO : nom d'hôte ou adresse IP publique de SD-WAN
Orchestrator d'où la notification est envoyée.

L'exemple suivant montre un exemple de modèle de charge utile JSON :

{
"alertTime": "{{alertTime}}",
"alertType": "{{alertType}}",
"customer": "{{customer}}",
"entityAffected": "{{entityAffected}}",
"lastContact": "{{lastContact}}",
"message": "{{message}}",
"vco": "{{vco}}"
}

Vous pouvez cliquer sur l'icône plus (+) pour ajouter d'autres URL cibles et les détails
correspondants.

Cliquez sur Tester (Test) pour vérifier les alertes Webhook.

Chaque fois qu'une alerte est déclenchée, un message d'alerte ainsi que des informations
pertinentes sont envoyés à l'URL cible.

VMware, Inc. 543

Test et dépannage
22
La fonctionnalité Tester et dépanner (Test & Troubleshoot) de SD-WAN Orchestrator fournit
des outils pour tester l'état des services de VMware, effectuer des actions à distance sur les
dispositifs Edge et collecter des informations de débogage pour un dispositif Edge.

Dans le portail d'entreprise, cliquez sur Tester et dépanner (Test & Troubleshoot) pour accéder
aux options de test et de dépannage.

Ce chapitre contient les rubriques suivantes :

n Diagnostics à distance

n Actions à distance

n Bundles de diagnostics

Diagnostics à distance
VMware SD-WAN prend en charge la communication bidirectionnelle avec le dispositif
VMware SD-WAN Edge à l'aide de connexions WebSocket. WebSocket est un protocole de
communication en duplex intégral sur une connexion TCP unique. Les WebSockets facilitent la
communication entre un navigateur Web (ou d'autres applications clientes) et un serveur Web
disposant d'une capacité supplémentaire beaucoup plus faible que l'interrogation HTTP. L'option
Diagnostics à distance (Remote Diagnostics) utilise une connexion WebSocket bidirectionnelle au
lieu du mécanisme de pulsations en mode direct pour améliorer la réactivité des diagnostics à
distance dans VMware SD-WAN Orchestrator.

La communication WebSocket implique les deux connexions WebSocket suivantes pour

transmettre des messages WebSocket d'un navigateur Web à un dispositif VMware SD-WAN
Edge et inversement :

n Une connexion WebSocket entre un navigateur Web (portail d'UI d'Orchestrator) et un

dispositif Orchestrator. Cette connexion est responsable de toutes les communications avec
le navigateur Web et de la configuration des propriétés système nécessaires à l'établissement
d'une connexion WebSocket.

n Une autre connexion WebSocket entre un dispositif Orchestrator et un dispositif Edge.

Cette connexion est persistante et configurée lors de l'activation du dispositif Edge pour le
traitement des pulsations à partir du dispositif Edge et le renvoi de réponses à Orchestrator.

VMware, Inc. 544

Guide d'administration de VMware SD-WAN

Lors de l'établissement de connexions WebSocket entre un navigateur Web et un dispositif Edge,

afin de garantir la sécurité Web contre les attaques par déni de service distribué (DDoS) et par
falsification de requête intersites (CSRF), l'adresse d'origine du navigateur permettant d'accéder à
l'UI d'Orchestrator est validée pour les demandes entrantes.

Dans la plupart des instances d'Orchestrator, l'adresse d'origine/le nom d'hôte DNS du navigateur
est identique à la valeur de la propriété système [Link]. Pour prendre
en charge les scénarios dans lesquels l'adresse permettant d'accéder à l'interface utilisateur
d'Orchestrator à partir du navigateur est différente de la valeur de la propriété système
[Link], les propriétés système suivantes ont été ajoutées récemment pour les
connexions WebSocket :

n [Link] : permet de définir une autre adresse/un autre nom

d'hôte DNS pour accéder à l'interface utilisateur à partir d'un navigateur, si l'adresse de celui-
ci est différente de la valeur de la propriété système [Link]. Par défaut, la
propriété système [Link] n'est pas définie.

n [Link] : Permet de définir la durée totale (en

secondes) pendant laquelle la connexion WebSocket du navigateur reste active même si elle
ne présente aucune activité. Par défaut, la connexion du navigateur WebSocket reste active
pendant 300 secondes même si elle ne présente aucune activité.

Pour exécuter des tests de diagnostics à distance sur un dispositif Edge, procédez comme suit.

Procédure

1 Dans le portail d'entreprise, cliquez sur Tester et dépanner (Test & Troubleshoot), puis
cliquez sur Diagnostics à distance (Remote Diagnostics). La page Diagnostics à distance
(Remote Diagnostics) affiche tous les dispositifs Edge actifs.

2 Recherchez un dispositif Edge à dépanner à l'aide de l'option Filtre (Filter), puis cliquez sur
Appliquer (Apply).

3 Sélectionnez un dispositif Edge à dépanner.

Le dispositif Edge passe en mode direct et affiche tous les tests de diagnostics à distance
possibles que vous pouvez exécuter sur le dispositif Edge.

VMware, Inc. 545

Guide d'administration de VMware SD-WAN

4 Choisissez un test de diagnostics à distance approprié à exécuter sur le dispositif Edge

et cliquez sur Exécuter (Run). Les informations de diagnostics sont extraites du dispositif
Edge et s'affichent dans l'écran Diagnostics à distance du dispositif Edge (Edge Remote
Diagnostics).

Pour plus d'informations sur tous les tests de diagnostics à distance pris en charge, reportez-
vous à la section Exécution de tests de diagnostics à distance.

Exécution de tests de diagnostics à distance

Décrit tous les tests de diagnostics à distance possibles que vous pouvez exécuter sur un dispositif
Edge pour obtenir des informations de diagnostics. Ces informations contiennent des journaux
spécifiques à un dispositif Edge à des fins d'analyse.

Vous trouverez ci-après les tests de diagnostics à distance pris en charge :

n Vidage de la table ARP (ARP Table Dump)

n Effacer le cache ARP (Clear ARP Cache)

n Test DNS (DNS Test)

n Redémarrage du service DNS/DHCP (DNS/DHCP Service Restart)

n Vider les sessions de pare-feu (Flush Firewall Sessions)

n Vider les flux (Flush Flows)

VMware, Inc. 546

Guide d'administration de VMware SD-WAN

n Vider la NAT (Flush NAT)

n Passerelle (Gateway)

n Informations sur HA (HA Info)

n État de l'interface (Interface Status)

n Répertorier les sessions de pare-feu actives (List Active Firewall Sessions)

n Répertorier les flux actifs (List Active Flows)

n Répertorier les clients (List Clients)

n Chemins de liste (List Paths)

n MIB pour un dispositif Edge (MIBs for Edge)

n Vidage de la table NAT (NAT Table Dump)

n Vidage NTP (NTP Dump)

n Test ping (Ping Test)

n Vidage de la table de routage (Route Table Dump)

n Informations système (System Information)

n Détermination de la route (Traceroute)

n Dépanner BFD - Afficher l'état des homologues BFD (Troubleshoot BFD - Show BFD Peer
Status)

n Dépanner BFD - Afficher les compteurs des homologues BFD (Troubleshoot BFD - Show BFD
Peer Counters)

n Dépanner BFD - Afficher le paramètre BFD (Troubleshoot BFD - Show BFD Setting)

n Dépanner BGP - Répertorier les routes redistribuées BGP

n Dépanner BGP - Répertorier les routes BGP

n Dépanner BGP - Répertorier les routes par préfixe

n Dépanner BGP - Afficher les routes annoncées du voisin BGP

n Dépanner BGP - Afficher les routes apprises du voisin BGP

n Dépanner BGP - Afficher les routes reçues du voisin BGP

n Dépanner BGP - Afficher les détails du voisin BGP

n Dépanner BGP - Afficher les routes BGP par préfixe

n Dépanner BGP - Afficher le résumé BGP

n Dépanner BGP - Afficher la table BGP

n Dépanner OSPF - Répertorier les routes redistribuées OSPF (Troubleshoot OSPF - List OSPF
Redistributed Routes)

VMware, Inc. 547

Guide d'administration de VMware SD-WAN

n Dépanner OSPF - Répertorier les routes OSPF (Troubleshoot OSPF - List OSPF Routes)

n Dépanner OSPF - Afficher la base de données OSPF (Troubleshoot OSPF - Show OSPF
Database)

n Dépanner OSPF - Afficher la base de données OSPF pour les routes E1 générées
automatiquement (Troubleshoot OSPF - Show OSPF Database for E1 Self-Originate Routes)

n Dépanner OSPF - Afficher les voisins OSPF (Troubleshoot OSPF - Show OSPF Neighbors)

n Dépanner OSPF - Afficher la table de routage OSPF (Troubleshoot OSPF - Show OSPF Route
Table)

n Dépanner OSPF - Afficher le paramètre OSPF (Troubleshoot OSPF - Show OSPF Setting)

n Test VPN (VPN Test)

n Test de bande passante de la liaison WAN (WAN Link Bandwidth Test)

Vidage de la table ARP (ARP Table Dump)

Exécutez ce test pour afficher le contenu de la table ARP. La sortie est limitée à l'affichage de
1 000 entrées ARP.

Effacer le cache ARP (Clear ARP Cache)

Exécutez ce test pour effacer les entrées du cache ARP pour l'interface spécifiée.

VMware, Inc. 548

Guide d'administration de VMware SD-WAN

Test DNS (DNS Test)

Exécutez ce test pour effectuer une recherche DNS du nom de domaine spécifié.

Redémarrage du service DNS/DHCP (DNS/DHCP Service Restart)

Exécutez ce test pour redémarrer le service DNS/DHCP. Cela peut servir d'étape de dépannage si
les demandes DHCP ou DNS échouent pour les clients.

Vider les sessions de pare-feu (Flush Firewall Sessions)

Exécutez ce test pour réinitialiser les sessions établies à partir du pare-feu. L'exécution de ce test
sur un dispositif Edge n'efface pas seulement les sessions de pare-feu, mais envoie activement un
RST TCP pour les sessions basées sur TCP.

Vider les flux (Flush Flows)

Exécutez ce test pour vider la table de flux, ce qui entraîne le reclassement du trafic utilisateur.
Utilisez les filtres d'adresses IP source et de destination pour vider des flux spécifiques.

VMware, Inc. 549

Guide d'administration de VMware SD-WAN

Vider la NAT (Flush NAT)

Exécutez ce test pour vider la table NAT.

Passerelle (Gateway)
Exécutez ce test en indiquant si le trafic du cloud doit ou non utiliser le service de passerelle
(Gateway Service).

Note Cela n'a aucune incidence sur le routage du trafic VPN.

Informations sur HA (HA Info)

Exécutez ce test pour afficher les informations de base et d'interface des dispositifs Edge actifs et
en veille lorsque la fonctionnalité HA est activée.

VMware, Inc. 550

Guide d'administration de VMware SD-WAN

État de l'interface (Interface Status)

Exécutez ce test pour afficher l'adresse MAC et l'état de connexion des interfaces physiques.

Répertorier les sessions de pare-feu actives (List Active Firewall Sessions)

Exécutez ce test pour afficher l'état actuel des sessions de pare-feu actives (1 000 sessions au
maximum). Vous pouvez limiter le nombre de sessions renvoyées à l'aide de filtres : adresse IP
source et de destination, port source et de destination et segment.

Note Vous ne pouvez pas voir les sessions qui ont été refusées, car il ne s'agit pas de sessions
actives. Pour dépanner ces sessions, vous devez vérifier les journaux de pare-feu.

VMware, Inc. 551

Guide d'administration de VMware SD-WAN

Le résultat des diagnostics à distance affiche les informations suivantes : Nom du segment
(Segment name), Adresse IP source (Source IP), Port source (Source Port), Adresse IP
de destination (Destination IP), Port de destination (Destination Port), Protocole (Protocol),
Application, Stratégie de pare-feu (Firewall Policy), état TCP actuel de tout flux, Octets reçus/
envoyés (Bytes Received/Sent) et Durée (Duration). Il existe 11 états TCP distincts, tels que définis
dans RFC 793 :

n LISTEN : représente l'attente d'une demande de connexion à partir de n'importe quel TCP et
port distant. (Cet état ne s'affiche pas dans les résultats de diagnostic à distance).

n SYN-SENT : représente l'attente d'une demande de connexion correspondante après avoir

envoyé une demande de connexion.

n SYN-RECEIVED : représente l'attente d'un accusé de réception de la demande de connexion

après avoir reçu et envoyé une demande de connexion.

n ESTABLISHED : représente une connexion ouverte, les données reçues peuvent être livrées à
l'utilisateur. État normal de la phase de transfert de données de la connexion.

n FIN-WAIT-1 : représente l'attente d'une demande d'arrêt de connexion à partir du TCP distant
ou un accusé de réception de la demande d'arrêt de connexion précédemment envoyée.

n FIN-WAIT-2 : représente l'attente d'une demande d'arrêt de connexion à partir du TCP

distant.

n CLOSE-WAIT : représente l'attente d'une demande d'arrêt de connexion de l'utilisateur local.

n CLOSING : représente l'attente d'un accusé de réception de demande d'arrêt de connexion à

partir du TCP distant.

n LAST-ACK : représente l'attente d'une confirmation de la demande d'arrêt de connexion

envoyée précédemment au TCP distant (ce qui inclut un accusé de réception de sa demande
d'arrêt de connexion).

n TIME-WAIT : représente un temps d'attente suffisant pour garantir que le TCP distant a reçu
l'accusé de réception de sa demande d'arrêt de connexion.

n CLOSED : ne représente aucun état de connexion.

Répertorier les flux actifs (List Active Flows)

Exécutez ce test pour répertorier les flux actifs dans le système. Utilisez les filtres d'adresses IP
source et de destination pour afficher les flux exacts que vous souhaitez voir. Cette sortie est
limitée à un maximum de 1 000 flux.

VMware, Inc. 552

Guide d'administration de VMware SD-WAN

Répertorier les clients (List Clients)

Exécutez ce test pour afficher la liste complète de clients.

Chemins de liste (List Paths)

Exécutez ce test pour afficher la liste des chemins actifs entre les liaisons WAN locales et chaque
homologue.

VMware, Inc. 553

Guide d'administration de VMware SD-WAN

MIB pour un dispositif Edge (MIBs for Edge)

Exécutez ce test pour vider les MIB d'un dispositif Edge.

Vidage de la table NAT (NAT Table Dump)

Exécutez ce test pour afficher le contenu de la table NAT. Utilisez le filtre d'adresses IP de
destination pour afficher les entrées exactes que vous souhaitez voir. Cette sortie est limitée à
un maximum de 1 000 entrées.

VMware, Inc. 554

Guide d'administration de VMware SD-WAN

Vidage NTP (NTP Dump)

Exécutez ce test pour afficher la date et l'heure actuelles sur le dispositif Edge et les informations
NTP.

Test ping (Ping Test)

Exécutez un test ping sur la destination spécifiée.

VMware, Inc. 555

Guide d'administration de VMware SD-WAN

Vidage de la table de routage (Route Table Dump)

Exécutez ce test pour afficher le contenu de la table de routage.

Informations système (System Information)

Exécutez ce test pour afficher des informations système telles que la charge du système, les
statistiques de stabilité WAN récentes et les services de surveillance. Les statistiques de stabilité
WAN incluent le nombre de fois où des tunnels VPN individuels et des liaisons WAN perdent la
connectivité pendant au moins 700 millisecondes.

VMware, Inc. 556

Guide d'administration de VMware SD-WAN

Détermination de la route (Traceroute)

Exécutez une détermination de la route via la passerelle ou directement via l'une des interfaces
WAN vers la destination spécifiée.

VMware, Inc. 557

Guide d'administration de VMware SD-WAN

Dépanner BFD - Afficher l'état des homologues BFD (Troubleshoot BFD - Show
BFD Peer Status)
Exécutez ce test pour afficher l'état complet des homologues BFD.

Dépanner BFD - Afficher les compteurs des homologues BFD (Troubleshoot

BFD - Show BFD Peer Counters)
Exécutez ce test pour afficher tous les compteurs des homologues BFD.

Dépanner BFD - Afficher le paramètre BFD (Troubleshoot BFD - Show BFD

Setting)
Exécutez ce test pour afficher le paramètre BFD et l'état du voisin.

Dépanner BGP - Répertorier les routes redistribuées BGP

Exécutez ce test pour afficher les routes redistribuées vers les voisins BGP.

VMware, Inc. 558

Guide d'administration de VMware SD-WAN

Dépanner BGP - Répertorier les routes BGP

Exécutez ce test pour afficher les routes BGP spécifiques à partir des voisins. Laissez le préfixe
vide pour tout afficher.

Dépanner BGP - Répertorier les routes par préfixe

Exécutez ce test pour afficher toutes les routes de superposition et de sous-couche pour un
préfixe et les détails associés.

VMware, Inc. 559

Guide d'administration de VMware SD-WAN

Dépanner BGP - Afficher les routes annoncées du voisin BGP

Exécutez ce test pour afficher les routes BGP annoncées à un voisin.

Dépanner BGP - Afficher les routes apprises du voisin BGP

Exécutez ce test pour afficher toutes les routes BGP acceptées apprises à partir d'un voisin après
les filtres.

VMware, Inc. 560

Guide d'administration de VMware SD-WAN

Dépanner BGP - Afficher les routes reçues du voisin BGP

Exécutez ce test pour afficher toutes les routes BGP apprises à partir d'un voisin avant les filtres.

Dépanner BGP - Afficher les détails du voisin BGP

Exécutez ce test pour afficher les détails du voisin BGP.

VMware, Inc. 561

Guide d'administration de VMware SD-WAN

Dépanner BGP - Afficher les routes BGP par préfixe

Exécutez ce test pour afficher toutes les routes BGP et leurs attributs pour le préfixe spécifié.

VMware, Inc. 562

Guide d'administration de VMware SD-WAN

Dépanner BGP - Afficher le résumé BGP

Exécutez ce test pour afficher le voisin BGP existant et les routes reçues.

Dépanner BGP - Afficher la table BGP

Exécutez ce test pour afficher la table BGP.

Dépanner OSPF - Répertorier les routes redistribuées OSPF (Troubleshoot

OSPF - List OSPF Redistributed Routes)
Exécutez ce test pour afficher toutes les routes redistribuées vers le voisin OSPF.

VMware, Inc. 563

Guide d'administration de VMware SD-WAN

Dépanner OSPF - Répertorier les routes OSPF (Troubleshoot OSPF - List OSPF
Routes)
Exécutez ce test pour afficher les routes OSPF à partir des voisins pour le préfixe spécifié. Affiche
toutes les routes OSPF à partir des voisins si le préfixe n'est pas spécifié.

Dépanner OSPF - Afficher la base de données OSPF (Troubleshoot OSPF - Show

OSPF Database)
Exécutez ce test pour afficher le résumé de la base de données de l'état de la liaison OSPF.

VMware, Inc. 564

Guide d'administration de VMware SD-WAN

Dépanner OSPF - Afficher la base de données OSPF pour les routes E1

générées automatiquement (Troubleshoot OSPF - Show OSPF Database for E1
Self-Originate Routes)
Exécutez ce test pour afficher les routes générées automatiquement par LSA E1 qui sont
annoncées au routeur OSPF par le dispositif Edge.

VMware, Inc. 565

Guide d'administration de VMware SD-WAN

Dépanner OSPF - Afficher les voisins OSPF (Troubleshoot OSPF - Show OSPF
Neighbors)
Exécutez ce test pour afficher tous les voisins OSPF et les informations associées.

Dépanner OSPF - Afficher la table de routage OSPF (Troubleshoot OSPF - Show

OSPF Route Table)
Exécutez ce test pour afficher la table de routage OSPF existante.

Dépanner OSPF - Afficher le paramètre OSPF (Troubleshoot OSPF - Show OSPF

Setting)
Exécutez ce test pour afficher le paramètre OSPF et l'état du voisin.

Test VPN (VPN Test)

Sélectionnez un segment dans le menu déroulant et cliquez Exécuter (Run) pour tester la
connectivité VPN à chaque homologue.

VMware, Inc. 566

Guide d'administration de VMware SD-WAN

Lors de l'exécution du test VPN, le dispositif Edge sélectionne les adresses IP source et de
destination et lance la demande de tunnel. Les adresses IP source et de destination doivent
répondre aux critères suivants :

n Il doit s'agir d'une adresse IP de route connectée

n Elle doit être accessible et les routes doivent être annoncées

Lorsque le dispositif Edge ne peut pas sélectionner une adresse IP valide comme adresse IP
source pour lancer la demande de tunnel, le test VPN échoue avec l'erreur suivante.

Branch-to-Branch vpn is disabled. Please enable it before running the test

Test de bande passante de la liaison WAN (WAN Link Bandwidth Test)

Exécutez le test de bande passante sur une liaison WAN spécifiée. Ainsi, les environnements à
liaisons multiples ne connaîtront pas de temps d'arrêt pour ce test. Seule la liaison en cours de
test est bloquée pour le trafic utilisateur. Cela signifie que vous pouvez réexécuter le test sur une
liaison spécifique et que la ou les autres liaisons continueront à servir le trafic utilisateur.

Comme le test de bande passante est exécuté lorsque le tunnel se reconnecte après une
certaine période d'instabilité, il peut arriver que la liaison ait été récupérée suffisamment pour
la connectivité de tunnel, mais pas suffisamment pour mesurer avec précision la bande passante
de la liaison WAN. Pour résoudre ces scénarios, si le test de bande passante échoue ou mesure
une valeur considérablement réduite, la dernière mesure « correcte » connue sera utilisée et un
nouveau test de la liaison sera programmé pendant 30 minutes après l'établissement du tunnel
pour garantir une mesure correcte.

Note Pour une liaison WAN de plus de 1 Gbit/s, il est recommandé que l'utilisateur définisse la
bande passante de la liaison WAN.

VMware, Inc. 567

Guide d'administration de VMware SD-WAN

Actions à distance
Le portail d'entreprise vous permet d'effectuer des actions telles que le redémarrage des services
ou le redémarrage ou la désactivation d'un dispositif Edge à distance.

Vous pouvez effectuer les actions à distance uniquement sur les dispositifs Edge qui ont l'état
Connecté (Connected).

1 Dans le portail d'entreprise, cliquez sur Tester et dépanner (Test & Troubleshoot) > Actions à
distance (Remote Actions).

2 La page Actions du dispositif Edge à distance (Edge Remote Actions) affiche tous les
dispositifs Edge connectés. Recherchez un dispositif Edge, si nécessaire, à l'aide de Filtre
(Filter), puis cliquez sur Appliquer (Apply).

3 Cliquez sur le lien d'accès un dispositif Edge connecté.

Dans la fenêtre Actions à distance de dispositifs Edge (Edge Remote Actions), cliquez sur
l'action appropriée. L'action est exécutée sur le dispositif Edge sélectionné.

4 Vous pouvez effectuer les actions suivantes :

Action Description

Identifier (Identify) Des voyants clignotent de manière aléatoire sur le dispositif Edge
sélectionné pour l'identifier.

Redémarrer le service (Restart Redémarre les services de VMware sur le dispositif Edge sélectionné.
Service)

Redémarrage (Reboot) Redémarre le dispositif Edge sélectionné.

Arrêt (Shutdown) Met le dispositif Edge sélectionné hors tension.

Désactiver (Deactivate) Rétablit l'état d'usine par défaut de la configuration du dispositif.

Note L'exécution des actions peut prendre jusqu'à une minute sur le périphérique.

VMware, Inc. 568

Guide d'administration de VMware SD-WAN

Bundles de diagnostics
Les bundles de diagnostics permettent aux utilisateurs opérateurs de collecter tous les fichiers de
configuration et les fichiers journaux dans un fichier compressé consolidé. Vous pouvez utiliser les
données disponibles dans les bundles de diagnostics à des fins de débogage.

Dans le portail d'entreprise, cliquez sur Test et dépannage (Test & Troubleshooting) > Bundles
de diagnostics (Diagnostic Bundles).

La fenêtre Bundles de diagnostics (Diagnostic Bundles) permet de demander les bundles

suivants :

n Bundle PCAP (PCAP Bundle) : le bundle de capture de paquets est un ensemble de données
de paquets du réseau. Les opérateurs, les administrateurs standard et le support client
peuvent demander des bundles PCAP. Reportez-vous à la section Demander la capture de
paquets.

n Bundle de diagnostics (Diagnostic Bundle) : le bundle de diagnostics est un ensemble de

toutes les configurations et des journaux d'un dispositif Edge spécifique. Seuls les opérateurs
peuvent demander des bundles de diagnostics. Reportez-vous à la section Demander le
bundle de diagnostics.

Les bundles générés s'affichent dans la fenêtre Bundles de diagnostics (Diagnostic Bundles).
Pour télécharger les fichiers de bundles, reportez-vous à la section Télécharger le bundle de
diagnostics.

L'option Bundles de diagnostics (Diagnostic Bundles) n'est disponible que pour un utilisateur
opérateur. Si vous êtes un utilisateur partenaire ou un utilisateur d'entreprise, vous pouvez
demander un bundle de PCAP.

Dans le portail d'entreprise, cliquez sur Test et dépannage (Test & Troubleshooting) > Capture
de paquets (Packet Capture).

Cliquez sur Demander le bundle de PCAP (Request PCAP Bundle) pour générer le bundle de
capture de paquets, qui est un ensemble de données de paquets du réseau. Reportez-vous à la
section Demander la capture de paquets.

VMware, Inc. 569

Guide d'administration de VMware SD-WAN

Demander la capture de paquets

Le bundle Capture de paquets (Packet Capture) collecte les données des paquets d'un réseau.
Ces fichiers sont utilisés pour analyser les caractéristiques du réseau. Vous pouvez utiliser ces
données pour déboguer un dispositif Edge.

Si vous êtes un utilisateur opérateur, dans le portail d'entreprise, cliquez sur Test et dépannage
(Test & Troubleshooting) > Bundles de diagnostics (Diagnostic Bundles).

Si vous êtes un utilisateur partenaire ou un utilisateur d'entreprise, cliquez sur Test & Dépannage
(Test & Troubleshooting) > Capture de paquets (Packet Capture).

1 Cliquez sur Demander le bundle de PCAP (Request PCAP Bundle).

2 Dans la fenêtre Demander le bundle de PCAP (Request PCAP Bundle) qui s'affiche,
configurez les paramètres suivants :

n Cible (Target) : choisissez le dispositif Edge cible dans la liste déroulante. Les paquets sont
collectés à partir du dispositif Edge sélectionné.

n Interface : choisissez une interface ou un VLAN dans la liste déroulante. Les paquets sont
collectés sur l'interface sélectionnée.

n Durée (Duration) : choisissez la durée en secondes. Les paquets sont collectés pour la
durée sélectionnée.

n Motif de la génération (Reason for Generation) : vous pouvez éventuellement entrer la

raison pour laquelle vous générez le bundle.

3 Cliquez sur Envoyer (Submit).

La fenêtre affiche les détails du bundle généré, ainsi que l'état. Pour télécharger le bundle généré,
reportez-vous à la section Télécharger le bundle de diagnostics.

VMware, Inc. 570

Guide d'administration de VMware SD-WAN

Demander le bundle de diagnostics

Un bundle de diagnostics est un ensemble de fichiers de configuration, de journaux et
d'événements associés provenant d'un dispositif Edge spécifique.

Dans le portail d'entreprise, cliquez sur Test et dépannage (Test & Troubleshooting) > Bundles
de diagnostics (Diagnostic Bundles).

Note L'option Bundles de diagnostics (Diagnostic Bundles) n'est disponible que pour un
utilisateur opérateur.

1 Cliquez sur Demander le bundle de diagnostics (Request Diagnostic Bundle).

2 Dans la fenêtre Demander le bundle de diagnostics (Request Diagnostic Bundle), configurez

les paramètres suivants :

n Cible (Target) : sélectionnez le dispositif Edge cible dans la liste déroulante. Les données
sont collectées à partir du dispositif Edge sélectionné.

n Motif de la génération (Reason for Generation) : vous pouvez éventuellement entrer la

raison pour laquelle vous générez le bundle.

n Si nécessaire, cliquez sur le bouton Avancé (Advanced) et choisissez une valeur dans la
liste déroulante Limite de cœurs (Core Limit). La limite de cœurs est utilisée pour réduire
la taille du bundle chargé lorsque la connectivité Internet rencontre des problèmes.

3 Cliquez sur Envoyer (Submit).

VMware, Inc. 571

Guide d'administration de VMware SD-WAN

La fenêtre Bundles de diagnostics (Diagnostic Bundles) affiche les détails du bundle en cours
de génération, ainsi que l'état. Pour télécharger le bundle généré, reportez-vous à la section
Télécharger le bundle de diagnostics.

Télécharger le bundle de diagnostics

Si vous êtes un utilisateur opérateur, dans le portail d'entreprise, cliquez sur Test et dépannage
(Test & Troubleshooting) > Bundles de diagnostics (Diagnostic Bundles).

Si vous êtes un utilisateur partenaire ou un utilisateur d'entreprise, cliquez sur Test & Dépannage
(Test & Troubleshooting) > Capture de paquets (Packet Capture).

Les bundles générés s'affichent dans la fenêtre.

Pour télécharger un bundle généré, cliquez sur le lien Terminé (Complete) ou sélectionnez le
bundle et cliquez sur Actions > Télécharger le bundle de diagnostics (Download Diagnostic
Bundle). Le bundle est téléchargé sous la forme d'un fichier ZIP.

Vous pouvez envoyer le bundle téléchargé à un représentant du support VMware pour déboguer
les données.

Supprimer le bundle de diagnostics

Si vous êtes un utilisateur opérateur, dans le portail d'entreprise, cliquez sur Test et dépannage
(Test & Troubleshooting) > Bundles de diagnostics (Diagnostic Bundles).

Si vous êtes un utilisateur partenaire ou un utilisateur d'entreprise, cliquez sur Test & Dépannage
(Test & Troubleshooting) > Capture de paquets (Packet Capture).

Les bundles terminés sont supprimés automatiquement à la date affichée dans la colonne Date de
nettoyage (Cleanup Date). Vous pouvez cliquer sur le lien d'accès à la date de nettoyage pour
modifier celle-ci.

VMware, Inc. 572

Guide d'administration de VMware SD-WAN

Dans la fenêtre Mettre à jour la date de nettoyage (Update Cleanup Date), choisissez la date de
suppression du bundle sélectionné.

Si vous souhaitez conserver le bundle, cochez la case Conserver indéfiniment (Keep Forever) afin
de ne pas supprimer automatiquement le bundle.

Pour supprimer un bundle manuellement, sélectionnez-le et cliquez sur Actions > Supprimer le
bundle de diagnostics (Delete Diagnostic Bundle).

VMware, Inc. 573

Administration d'entreprise
23
L'option Administration sur le portail d'entreprise permet de configurer les paramètres système,
les informations d'authentification, de créer des utilisateurs Admin et de gérer des licences Edge.

Sur le portail d'entreprise, cliquez sur Administration pour configurer les éléments suivants :

n Paramètres système (System Settings) : configurez les informations sur l'utilisateur et

l'authentification d'entreprise. Reportez-vous à la section Paramètres système.

n Administrateurs (Administrators) : créez ou modifiez des utilisateurs Admin disposant de

privilèges de rôle différents. Reportez-vous à la section Gérer les utilisateurs Admin.

n Gestion des licences Edge (Edge Licensing) : affichez et générez un rapport sur les licences
Edge. Reportez-vous à la section Gestion des licences Edge.

Ce chapitre contient les rubriques suivantes :

n Paramètres système

n Gérer les utilisateurs Admin

n Personnalisation des rôles

n Gestion des licences Edge

Paramètres système
L'option Paramètres système (System Settings) permet de configurer les paramètres de
l'administrateur ainsi que les informations sur l'authentification.

Sur le portail d'entreprise, cliquez sur Administration > Paramètres système (System Settings)
pour configurer les éléments suivants :

n Informations générales (General Information) : configurez les informations sur l'utilisateur,

activez les mises à jour de la configuration du dispositif Edge, configurez les paramètres
de confidentialité et entrez les coordonnées. Reportez-vous à la section Configurer les
informations d'entreprise.

n Authentification (Authentication) : configurez le mode d'authentification et affichez les jetons

d'API. Reportez-vous à la section Configurer l'authentification de l'entreprise.

VMware, Inc. 574

Guide d'administration de VMware SD-WAN

Configurer les informations d'entreprise

Vous pouvez configurer les informations utilisateur, les images logicielles, les mises à jour du
dispositif Edge, les paramètres de confidentialité et les coordonnées des utilisateurs d'entreprise
dans l'onglet Informations générales (General Information) sous Administration > Paramètres
système (System Settings).

Dans le portail de l'entreprise, cliquez sur Gérer les clients (Manage Customers) et sélectionnez
un client d'entreprise. Ensuite, accédez à Administration > Paramètres système (System
Settings). La page Paramètres système (System Settings) s'affiche. Vous pouvez configurer les
éléments suivants dans l'onglet Informations générales (General Information).

VMware, Inc. 575

Guide d'administration de VMware SD-WAN

VMware, Inc. 576

Guide d'administration de VMware SD-WAN

Informations générales (General Information)

Option Description

Nom (Name) Le nom d'utilisateur existant s'affiche. Si nécessaire, vous

pouvez le modifier.

Numéro de compte (Account Number) Le numéro de compte existant s'affiche. Si nécessaire,

vous pouvez le modifier.

Domaine (Domain) Le nom de domaine existant s'affiche et vous pouvez

modifier le domaine, si nécessaire.

Description Entrez une description pour le client.

Activer l'authentification à deux facteurs (Enable Two Cochez la case pour activer l'authentification à deux
Factor Authentication) facteurs par SMS pour les opérateurs, les MSP et les
entreprises. Vous pouvez activer l'authentification au
niveau du client/MSP ou au niveau de l'opérateur.
Assurez-vous d'avoir fourni les numéros de téléphone
portable valides de tous les utilisateurs admin avant
d'activer l'authentification à deux facteurs. Vous
pouvez entrer les numéros de téléphone portable en
sélectionnant les utilisateurs dans l'écran Administration
> Administrateurs (Administrators). Reportez-vous
également à la section Gérer les utilisateurs Admin.

Exiger l'authentification à deux facteurs (Require Two Cochez la case pour rendre obligatoire la connexion
Factor Authentication) de l'utilisateur à l'aide de l'authentification à deux
facteurs. Après l'activation de l'authentification à deux
facteurs, lorsque vous tentez de vous connecter avec
vos informations d'identification d'utilisateur, vous devez
également entrer le code PIN à six chiffres que vous
recevez par SMS sur votre téléphone portable.

Activer la réinitialisation du mot de passe en libre-service Cette option est sélectionnée par défaut, ce qui vous
(Enable Self Service Password Reset) permet de réinitialiser votre mot de passe sur la page de
connexion d'Orchestrator.
Lorsque vous tentez de réinitialiser votre mot de passe
sur la page de connexion, vous êtes invité à entrer un
nom d'utilisateur. Assurez-vous d'entrer une adresse e-
mail valide comme nom d'utilisateur. Une fois que vous
avez envoyé le nom d'utilisateur, vous recevez un e-mail
contenant un lien pour réinitialiser le mot de passe.
Cliquez sur le lien pour configurer un nouveau mot de
passe.

VMware, Inc. 577

Guide d'administration de VMware SD-WAN

Option Description

Exiger l'authentification à deux facteurs pour la Sélectionnez cette option pour activer l'authentification à
réinitialisation du mot de passe (Require Two Factor deux facteurs afin de réinitialiser votre mot de passe. Vous
Authentication for Password Reset) pouvez cocher cette case uniquement si l'option Activer
l'authentification à deux facteurs (Enable Two Factor
Authentication) est déjà sélectionnée.
Si cette option est activée, lorsque vous tentez de
réinitialiser votre mot de passe sur la page de connexion
d'Orchestrator, vous êtes redirigé vers une page
d'authentification. La page authentification vous invite à
entrer le code à usage unique que vous recevez par SMS
sur votre téléphone portable. Après avoir validé le code,
vous êtes redirigé vers la page Mot de passe (Password)
pour configurer un nouveau mot de passe.

Activer les notifications préalables (Enable Pre- Cochez la case pour activer les alertes de notification
Notifications) préalable.

Activer les alertes (Enable Alerts) Cochez la case pour activer les alertes. Vous pouvez
configurer les types d'alertes à l'aide de l'option Chapitre
21 Configurer les alertes.

Authentification Edge par défaut (Default Edge Choisissez l'option par défaut dans la liste déroulante pour
Authentication) authentifier les dispositifs Edge associés au client.
n Certificat désactivé (Certificate Disabled) : Edge
utilise un mode d'authentification par clé prépartagée.
n Acquisition de certificat (Certificate Acquire) : cette
option est sélectionnée par défaut et demande au
dispositif Edge d'obtenir un certificat auprès de
l'autorité de certification de SD-WAN Orchestrator,
en générant une paire de clés et en envoyant une
demande de signature de certificat à Orchestrator.
Une fois le certificat acquis, le dispositif Edge
l'utilise pour l'authentification auprès de SD-WAN
Orchestrator et pour l'établissement de tunnels VCMP.

Note Après l'acquisition du certificat, l'option peut

être mise à jour sur Certificat requis (Certificate
Required).
n Certificat requis (Certificate Required) : le dispositif
Edge utilise le certificat PKI. Les opérateurs peuvent
modifier la fenêtre de temps de renouvellement
du certificat pour les dispositifs Edge à l'aide
des propriétés système. Pour plus d'informations,
contactez votre opérateur.

VMware, Inc. 578

Guide d'administration de VMware SD-WAN

Image logicielle
Affiche un tableau d'images logicielles associées à une entreprise. L'une de ces images logicielles
est sélectionnée par défaut. Dans la liste des images disponibles, vous pouvez modifier l'image
logicielle par défaut en sélectionnant la case d'option correspondant à l'image souhaitée.

Note Les images logicielles associées à une entreprise s'affichent uniquement si la fonctionnalité
de gestion des images d'un dispositif Edge est activée pour l'entreprise.

Des informations sont affichées pour l'image sélectionnée par défaut, telles que la Version
logicielle (Software Version), le Type de configuration (Configuration Type), l'Adresse
d'Orchestrator (Orchestrator Address), l'Intervalle de pulsation (Heartbeat Interval), l'Intervalle de
tranche horaire (Time Slice Interval) et l'Intervalle de chargement des statistiques (Stats Upload
Interval).

Une fois que vous avez modifié l'image par défaut et cliqué sur Enregistrer les modifications
(Save Changes), un message de confirmation répertoriant les dispositifs Edge affectés s'affiche.
Cliquez sur Confirmer (Confirm) pour mettre à niveau les dispositifs Edge affectés avec l'image
par défaut que vous venez de sélectionner.

Note Si une entreprise (dont la fonctionnalité de gestion des images Edge est activée) utilise
une image logicielle obsolète, le message d'avertissement suivant s'affiche en haut de la page
Paramètres système (System Settings) de l'entreprise.

Cette entreprise utilise une image logicielle obsolète (This enterprise is using a deprecated
software image)

Configuration du dispositif Edge

Choisissez les options suivantes pour communiquer les mises à jour des configurations Edge à un
dispositif Edge :

n Activé (Enabled) : sélectionnez cette option pour communiquer les mises à jour de
configuration à un dispositif Edge lors de la prochaine pulsation. Les modifications apportées
à la configuration peuvent redémarrer le logiciel dans le dispositif Edge correspondant. Cette
option est sélectionnée par défaut.

n Activé lors de la mise à niveau d'Orchestrator (Enabled on Orchestrator Upgrade) :

sélectionnez cette option pour communiquer les mises à jour des configurations aux dispositifs
Edge lors de la mise à niveau d'Orchestrator. Cela peut redémarrer le logiciel sur les dispositifs
Edge correspondants.

VMware, Inc. 579

Guide d'administration de VMware SD-WAN

Paramètres de confidentialité
n Accès au support (Support access) : choisissez les options suivantes pour accorder l'accès à
l'équipe de support.

n Accorder l'accès au support de VeloCloud (Grant Access to VeloCloud Support) :

sélectionnez cette option pour accorder l'accès au support de VMware afin d'afficher, de
configurer et de dépanner les dispositifs Edge connectés au client. Pour des raisons de
sécurité, le support ne peut pas accéder aux informations identifiables de l'utilisateur ni les
afficher.

n Accorder l'accès à la gestion des utilisateurs au support de VeloCloud (Grant User

Management Access to VeloCloud Support) : sélectionnez cette option pour permettre
au support de VMware de vous apporter une assistance au niveau de la gestion des
utilisateurs. Cette dernière comporte des options pour créer des utilisateurs, réinitialiser
le mot de passe et configurer d'autres paramètres. Dans ce cas, le support a accès aux
informations identifiables de l'utilisateur.

n Appliquer PCI (Enforce PCI) : sélectionnez cette option pour empêcher les opérations non
autorisées pour des raisons de conformité PCI. Actuellement, la seule opération que cette
option empêche est la possibilité de demander des bundles de diagnostics PCAP à partir du
dispositif Edge.

Coordonnées
Les coordonnées existantes s'affichent dans cette section. Si nécessaire, vous pouvez les modifier.

Configurer l'authentification de l'entreprise

Dans l'onglet Authentification (Authentication), vous pouvez configurer le mode
d'authentification pour les entreprises et afficher les jetons d'API existants.

Dans le portail d'entreprise, cliquez sur Administration > Paramètres système (System Settings)
> Authentification (Authentication) pour configurer les éléments suivants :

VMware, Inc. 580

Guide d'administration de VMware SD-WAN

Authentification de l'entreprise (Enterprise Authentication)

Choisissez l'une des options suivantes dans le Mode d'authentification (Authentication Mode) :

n NATIVE : il s'agit du mode d'authentification par défaut qui permet aux utilisateurs de se
connecter à l'entreprise à l'aide du nom d'utilisateur et du mot de passe natifs. Ce mode ne
nécessite aucune configuration.

n SSO : Single Sign On (SSO) est un service d'authentification d'utilisateur et de session qui
permet aux utilisateurs de se connecter à l'entreprise à l'aide d'un ensemble d'informations
d'identification pour accéder à plusieurs applications. Pour plus d'informations, reportez-vous
aux sections Présentation de Single Sign On et Configurer l'authentification unique pour
l'utilisateur d'entreprise.

API Tokens (Jetons d'API)

Vous pouvez accéder aux API Orchestrator à l'aide de l'authentification basée sur les jetons, quel
que soit le mode d'authentification. Vous pouvez afficher les jetons d'API existants dans cette
section.

Le super utilisateur opérateur ou l'utilisateur associé à un jeton d'API peut révoquer le jeton.
Sélectionnez le jeton et cliquez sur Actions > Révoquer (Revoke). Pour créer et télécharger les
jetons d'API, reportez-vous à la section Jetons d'API.

Présentation de Single Sign On

SD-WAN Orchestrator prend en charge un nouveau type d'authentification d'utilisateur appelé
Single Sign On (SSO) pour tous les types d'utilisateurs Orchestrator : Opérateur, Partenaire et
Entreprise.

Single Sign-On (SSO) est un service d'authentification d'utilisateur et de session qui permet aux
utilisateurs SD-WAN Orchestrator de se connecter à SD-WAN Orchestrator avec un ensemble
d'informations d'identification pour accéder à plusieurs applications. L'intégration du service
SSO à SD-WAN Orchestrator améliore la sécurité de l'authentification des utilisateurs SD-WAN
Orchestrator et permet à SD-WAN Orchestrator d'authentifier les utilisateurs à partir d'autres
fournisseurs d'identité basés sur OpenID Connect (OIDC). Les fournisseurs d'identité suivants sont
actuellement pris en charge :

n Okta

n OneLogin

n PingIdentity

n AzureAD

n VMwareCSP

Configurer l'authentification unique pour l'utilisateur d'entreprise

Pour configurer l'authentification unique (Single Sign-On, SSO) pour l'utilisateur d'entreprise,
suivez les étapes de cette procédure.

VMware, Inc. 581

Guide d'administration de VMware SD-WAN

Conditions préalables

n Assurez-vous de disposer de l'autorisation de super utilisateur d'entreprise.

n Avant de configurer l'authentification unique, assurez-vous d'avoir configuré les rôles, les
utilisateurs et l'application OpenID Connect (OIDC) pour SD-WAN Orchestrator sur le site Web
de votre fournisseur d'identité préféré. Pour plus d'informations, reportez-vous à la section
Configurer un IDP pour l'authentification unique.

Procédure

1 Connectez-vous à une application SD-WAN Orchestrator en tant que super utilisateur

d'entreprise à l'aide de vos informations d'identification.

2 Cliquez sur Administration > Paramètres système (System Settings).

L'écran Paramètres système (System Settings) s'affiche.

3 Cliquez sur l'onglet Informations générales (General Information) et, dans la zone de texte
Domaine (Domain), entrez le nom de domaine de votre entreprise, s'il n'est pas déjà défini.

Note Pour activer l'authentification unique pour SD-WAN Orchestrator, vous devez
configurer le nom de domaine de votre entreprise.

VMware, Inc. 582

Guide d'administration de VMware SD-WAN

4 Cliquez sur l'onglet Authentification (Authentication) et, dans le menu déroulant Mode
d'authentification (Authentication Mode), sélectionnez SSO.

5 Dans le menu déroulant Modèle de fournisseur d'identité (Identity Provider template),

sélectionnez votre fournisseur d'identité (IDP) préféré que vous avez configuré pour Single
Sign On.

Note Si vous sélectionnez VMwareCSP comme fournisseur d'identité préféré, veillez

à indiquer votre ID d'organisation au format suivant : /csp/gateway/am/api/orgs/<full
organization ID>.
Lorsque vous vous connectez à la Console VMware CSP (VMware CSP console), vous
pouvez afficher l'ID d'organisation avec lequel vous êtes connecté en cliquant sur votre nom
d'utilisateur. Une version abrégée de l'ID s'affiche sous le nom de l'organisation. Cliquez sur
l'ID pour afficher l'ID d'organisation complet.

Vous pouvez également configurer manuellement vos propres fournisseurs d'identité en

sélectionnant Autres (Others) dans le menu déroulant Modèle de fournisseur d'identité
(Identity Provider template).

6 Dans la zone de texte URL de configuration connue d'OIDC (OIDC well-known config URL),
entrez l'URL de configuration OpenID Connect (OIDC) pour votre fournisseur d'identité. Par
exemple, le format de l'URL d'Okta sera : [Link]
configuration.

7 L'application SD-WAN Orchestrator renseigne automatiquement les informations du point

de terminaison, par exemple l'émetteur, le point de terminaison d'autorisation, le point de
terminaison de jeton et le point de terminaison d'informations utilisateur de votre fournisseur
d'identité.

8 Dans la zone de texte ID de client (Client Id), entrez l'identifiant du client fourni par votre
fournisseur d'identité.

VMware, Inc. 583

Guide d'administration de VMware SD-WAN

9 Dans la zone de texte Clé secrète client (Client Secret), entrez le code secret client fourni par
votre fournisseur d'identité, qui est utilisé par le client pour échanger un code d'autorisation
pour un jeton.

10 Pour déterminer le rôle de l'utilisateur dans SD-WAN Orchestrator, sélectionnez l'une des
options suivantes :

n Utiliser le rôle par défaut (Use Default Role) : permet à l'utilisateur de configurer un rôle
statique par défaut à l'aide de la zone de texte Rôle par défaut (Default Role) qui s'affiche
en sélectionnant cette option. Les rôles pris en charge sont les suivants : super utilisateur
de l'entreprise, administrateur standard de l’entreprise, support de l'entreprise et lecture
d'entreprise uniquement.

Note Dans une configuration SSO, si l'option Utiliser le rôle par défaut (Use Default
Role) est sélectionnée et qu'un rôle d'utilisateur par défaut est défini, ce rôle par défaut
est attribué à tous les utilisateurs SSO. Plutôt que d'attribuer le rôle par défaut à un
utilisateur, un super utilisateur administrateur standard ou un administrateur standard
peut préenregistrer un utilisateur spécifique en tant qu'utilisateur non natif et définir
un rôle d'utilisateur spécifique en cliquant sur Administration > onglet Administrateurs
(Administrators) du portail de l'entreprise. Pour connaître les étapes de configuration d'un
nouvel utilisateur administrateur, reportez-vous à la section Créer un utilisateur Admin.

n Utiliser les rôles de fournisseur d'identité (Use Identity Provider Roles) : utilise les rôles
configurés dans le fournisseur d'identité.

11 Lorsque vous sélectionnez l'option Utiliser les rôles de fournisseur d'identité (Use Identity
Provider Roles), dans la zone de texte Attribut de rôle (Role Attribute), entrez le nom de
l'attribut défini dans le fournisseur d'identité pour renvoyer les rôles.

12 Dans la zone Mappage de rôle (Role Map), mappez les rôles fournis par le fournisseur
d'identité à chacun des rôles de SD-WAN Orchestrator, séparés par des virgules.

Les rôles de VMware CSP suivent le format suivant : external/<uuid de définition de service>/
<nom de rôle de service mentionné lors de la création du modèle de service>.
13 Mettez à jour les URL de redirection autorisées sur le site Web du fournisseur OIDC à l'aide de
l'URL de SD-WAN Orchestrator ([Link] URL>/login/ssologin/openidCallback).

14 Pour enregistrer la configuration SSO, cliquez sur Enregistrer les modifications (Save
Changes).

VMware, Inc. 584

Guide d'administration de VMware SD-WAN

15 Cliquez sur Tester la configuration (Test Configuration) pour valider la configuration OpenID
Connect (OIDC) entrée.

L'utilisateur accède au site Web du fournisseur d'identité et est autorisé à entrer les
informations d'identification. Lors de la vérification du fournisseur d'identité et de la
redirection réussie vers le rappel de test SD-WAN Orchestrator, un message signalant la
réussite de la validation s'affiche.

Résultats

La configuration de l'authentification unique est terminée.

Étape suivante

Chapitre 5 Se connecter à VMware SD-WAN Orchestrator à l'aide de SSO pour l'utilisateur

d'entreprise.

Configurer un IDP pour l'authentification unique

Pour activer l'authentification unique (Single Sign On, SSO) pour SD-WAN Orchestrator, vous
devez configurer un partenaire d'identité (IDP) avec les détails de SD-WAN Orchestrator.
Actuellement, les IDP suivants sont pris en charge : Okta, OneLogin, PingIdentity, AzureAD et
VMware CSP.

Pour obtenir des instructions pas à pas de configuration d'une application OpenID Connect (OIDC)
pour SD-WAN Orchestrator dans différents IDP, reportez-vous aux sections suivantes :

n Configurer Okta pour l'authentification unique

n Configurer OneLogin pour l'authentification unique

n Configurer PingIdentity pour l'authentification unique

n Configurer Azure Active Directory pour l'authentification unique

n Configurer VMware CSP pour l'authentification unique

Configurer Okta pour l'authentification unique

Pour prendre en charge l'authentification unique (SSO, Single Sign On) basée sur OpenID Connect
(OIDC) à partir d'Okta, vous devez d'abord configurer une application dans Okta. Pour configurer
une application basée sur OIDC dans Okta pour SSO, suivez les étapes de cette procédure.

Conditions préalables

Assurez-vous de disposer d'un compte Okta pour vous connecter.

VMware, Inc. 585

Guide d'administration de VMware SD-WAN

Procédure

1 Connectez-vous à votre compte Okta en tant qu'utilisateur admin.

L'écran d'accueil Okta s'affiche.

Note Si vous vous trouvez dans la vue de la console pour les développeurs, vous devez
basculer vers la vue de l'interface utilisateur classique en sélectionnant Interface utilisateur
classique (Classic UI) dans la liste déroulante Console pour les développeurs (Developer
Console).

2 Pour créer une application :

a Dans la barre de navigation supérieure, cliquez sur Applications > Ajouter une application
(Add Application).

L'écran Ajouter une application (Add Application) s'affiche.

b Cliquez sur Créer une application (Create New App).

La boîte de dialogue Créer une intégration d'application (Create a New Application

Integration) s'affiche.

c Dans le menu déroulant Plate-forme (Platform), sélectionnez Web.

VMware, Inc. 586

Guide d'administration de VMware SD-WAN

d Sélectionnez OpenID Connect comme méthode de connexion, puis cliquez sur Créer
(Create).

L'écran Créer une intégration OpenID Connect (Create OpenID Connect Integration)
s'affiche.

e Sous la zone Paramètres généraux (General Settings), dans la zone de texte Nom de
l'application (Application name), entrez le nom de votre application.

f Sous la zone de texte CONFIGURE OPENID CONNECT, dans la zone de texte URI de
direction de connexion (Login redirect URIs), entrez l'URL de redirection que votre
application SD-WAN Orchestrator utilise comme point de terminaison de rappel.

Dans l'application SD-WAN Orchestrator, en bas de l'écran Configurer l'authentification

(Configure Authentication), vous trouverez le lien d'URL de direction. Idéalement, l'URL
de direction de SD-WAN Orchestrator est au format suivant : [Link] URL>/
login/ssologin/openidCallback.

g Cliquez sur Enregistrer (Save). La page de l'application qui vient d'être créée s'affiche.

VMware, Inc. 587

Guide d'administration de VMware SD-WAN

h Dans l'onglet Général (General), cliquez sur Modifier (Edit) et sélectionnez Actualiser le
jeton (Refresh Token) pour les types d'autorisations autorisés, puis cliquez sur Enregistrer
(Save).

Notez les informations d'identification de client (ID de client et clé secrète de client) qui
seront utilisées lors de la configuration SSO dans SD-WAN Orchestrator.

i Cliquez sur l'onglet Connexion (Sign On) et, dans la zone Jeton d'identificateur OpenID
Connect (OpenID Connect ID Token), cliquez sur Modifier (Edit).

j Dans le menu déroulant Type de réclamation des groupes (Groups claim type),
sélectionnez Expression. Par défaut, le type de réclamation des groupes est défini sur
Filtre (Filter).

VMware, Inc. 588

Guide d'administration de VMware SD-WAN

k Dans la zone de texte Expression de réclamation des groupes (Groups claim expression),
entrez le nom de la réclamation qui sera utilisée dans le jeton et une instruction
d'expression d'entrée Okta qui évalue le jeton.

l Cliquez sur Enregistrer (Save).

L'application est configurée dans l'IDP. Vous pouvez attribuer des groupes d'utilisateurs et
des utilisateurs à votre application SD-WAN Orchestrator.

VMware, Inc. 589

Guide d'administration de VMware SD-WAN

3 Pour attribuer des groupes et des utilisateurs à votre application SD-WAN Orchestrator :

a Accédez à Application > Applications et cliquez sur le lien de votre application SD-WAN
Orchestrator.

b Dans l'onglet Attributions (Assignments), dans le menu déroulant Attribuer (Assign),

sélectionnez Attribuer à des groupes (Assign to Groups) ou Attribuer à des personnes
(Assign to People).

La boîte de dialogue Attribuer <Application Name> à des groupes (Assign <Application

Name> to Groups) ou Attribuer <Application Name> à des personnes (Assign
<Application Name> to People) s'affiche.

c Cliquez sur Attribuer (Assign) en regard des groupes d'utilisateurs ou des utilisateurs
disponibles auxquels vous souhaitez attribuer l'application SD-WAN Orchestrator, puis
cliquez sur Terminé (Done).

Les utilisateurs ou les groupes d'utilisateurs attribués à l'application SD-WAN Orchestrator

seront affichés.

Résultats

Vous avez terminé la configuration d'une application basée sur OIDC dans Okta pour SSO.

Étape suivante

Configurez l'authentification unique dans SD-WAN Orchestrator.

Créer un groupe d'utilisateurs dans Okta
Pour créer un groupe d'utilisateurs, suivez les étapes de cette procédure.

Procédure

1 Cliquez sur Annuaire (Directory) > Groupes (Groups).

VMware, Inc. 590

Guide d'administration de VMware SD-WAN

2 Cliquez sur Ajouter un groupe (Add Group).

La boîte de dialogue Ajouter un groupe (Add Group) s'affiche.

3 Entrez le nom et la description du groupe, puis cliquez sur Enregistrer (Save).

Créer un utilisateur dans Okta
Pour ajouter un nouvel utilisateur, suivez les étapes de cette procédure.

Procédure

1 Cliquez sur Annuaire (Directory) > People.

2 Cliquez sur Ajouter une personne (Add Person).

La boîte de dialogue Ajouter une personne (Add Person) s'affiche.

3 Entrez toutes les informations obligatoires, telles que le prénom, le nom de famille et l'ID
d'e-mail de l'utilisateur.

4 Pour définir le mot de passe, sélectionnez Définir par utilisateur (Set by user) dans le menu
déroulant Mot de passe (Password) et activez Envoyer l'e-mail d'activation de l'utilisateur
maintenant (Send user activation email now).

5 Cliquez sur Enregistrer (Save).

Un e-mail de lien d'activation sera envoyé à votre ID d'e-mail. Cliquez sur le lien de l'e-mail
pour activer votre compte d'utilisateur Okta.

Configurer OneLogin pour l'authentification unique

Pour configurer une application basée sur OpenID Connect (OIDC) dans OneLogin pour
l'authentification unique (SSO, Single Sign-On), suivez les étapes de cette procédure.

Conditions préalables

Assurez-vous de disposer d'un compte OneLogin pour vous connecter.

Procédure

1 Connectez-vous à votre compte OneLogin en tant qu'utilisateur admin.

L'écran d'accueil OneLogin s'affiche.

VMware, Inc. 591

Guide d'administration de VMware SD-WAN

2 Pour créer une application :

a Dans la barre de navigation supérieure, cliquez sur Applications (Apps) > Ajouter des
applications (Add Apps).

b Dans la zone de texte Rechercher des applications (Find Applications), recherchez

« OpenId Connect » ou « OIDC », puis sélectionnez l'application OpenId Connect (OIDC).

L'écran Ajouter OpenId Connect (OIDC) [Add OpenId Connect (OIDC)] s'affiche.

c Dans la zone de texte Nom d'affichage (Display Name), entrez le nom de votre application
et cliquez sur Enregistrer (Save).

d Dans l'onglet Configuration, entrez l'URI de direction que SD-WAN Orchestrator utilise
comme point de terminaison de rappel et cliquez sur Enregistrer (Save).

Dans l'application SD-WAN Orchestrator, au bas de l'écran Authentification

(Authentication), se trouve le lien d'URL de direction. Idéalement, l'URL de direction de
SD-WAN Orchestrator est au format suivant : [Link] URL>/login/ssologin/
openidCallback.

VMware, Inc. 592

Guide d'administration de VMware SD-WAN

e Dans l'onglet Paramètres (Parameters), sous OpenId Connect (OIDC), double-cliquez sur
Groupes (Groups).

La fenêtre contextuelle Modifier les groupes de champs (Edit Field Groups) s'affiche.

f Configurez les rôles d'utilisateur avec la valeur « --Aucune transformation--(Sortie à valeur

unique) [No transform--(Single value output)] » à envoyer dans l'attribut groupes (groups),
puis cliquez sur Enregistrer (Save).

g Dans l'onglet SSO, dans le menu déroulant Type d'application (Application Type),
sélectionnez Web.

VMware, Inc. 593

Guide d'administration de VMware SD-WAN

h Dans le menu déroulant Méthode d'authentification (Authentication Method),

sélectionnez POST comme point de terminaison du jeton, puis cliquez sur Enregistrer
(Save).

Notez également les informations d'identification client (ID de client et clé secrète de
client) à utiliser lors de la configuration SSO dans SD-WAN Orchestrator.

i Dans l'onglet Accès (Access), choisissez les rôles qui seront autorisés à se connecter, puis
cliquez sur Enregistrer (Save).

3 Pour ajouter des rôles et des utilisateurs à votre application SD-WAN Orchestrator :

a Cliquez sur Utilisateurs (Users) > Utilisateurs (Users) et sélectionnez un utilisateur.

b Dans l'onglet Application, dans le menu déroulant Rôles (Roles), sur la gauche,
sélectionnez un rôle à mapper à l'utilisateur.

c Cliquez sur Enregistrer les utilisateurs (Save Users).

Résultats

Vous avez terminé la configuration d'une application basée sur OIDC dans OneLogin pour SSO.

VMware, Inc. 594

Guide d'administration de VMware SD-WAN

Étape suivante

Configurez l'authentification unique dans SD-WAN Orchestrator.

Créer un rôle dans OneLogin
Pour créer un rôle, suivez les étapes de cette procédure.

Procédure

1 Cliquez sur Utilisateurs (Users) > Rôles (Roles).

2 Cliquez sur Nouveau rôle (New Role).

3 Entrez un nom pour le rôle.

Lorsque vous configurez un rôle pour la première fois, l'onglet Applications affiche toutes les
applications dans le catalogue de votre entreprise.

4 Cliquez sur une application pour la sélectionner, puis cliquez sur Enregistrer (Save) pour
ajouter les applications sélectionnées au rôle.
Créer un utilisateur dans OneLogin
Pour créer un utilisateur, suivez les étapes de cette procédure.

Procédure

1 Cliquez sur Utilisateurs (Users) > Utilisateurs (Users) > Nouvel utilisateur (New User).

L'écran Nouvel utilisateur (New User) s'affiche.

2 Entrez toutes les informations obligatoires, telles que le prénom, le nom de famille et l'ID
d'e-mail de l'utilisateur, puis cliquez sur Enregistrer l'utilisateur (Save User).

Configurer PingIdentity pour l'authentification unique

Pour configurer une application basée sur OpenID Connect (OIDC) dans PingIdentity pour
l'authentification unique (SSO, Single Sign-On), suivez les étapes de cette procédure.

Conditions préalables

Assurez-vous de disposer d'un compte PingOne pour vous connecter.

Note Actuellement, SD-WAN Orchestrator prend en charge PingOne en tant que partenaire
d'identité (IDP). Cependant, tous les produits PingIdentity prenant en charge OIDC peuvent être
facilement configurés.

Procédure

1 Connectez-vous à votre compte PingOne en tant qu'utilisateur admin.

L'écran d'accueil PingOne s'affiche.

VMware, Inc. 595

Guide d'administration de VMware SD-WAN

2 Pour créer une application :

a Dans la barre de navigation supérieure, cliquez sur Applications.

b Dans l'onglet Mes applications (My Applications), sélectionnez OIDC, puis cliquez sur
Ajouter une application (Add Application).

La fenêtre contextuelle Ajouter une application OIDC (Add OIDC Application) s'affiche.

c Fournissez des détails de base tels que le nom, une description courte et la catégorie de
l'application, puis cliquez sur Suivant (Next).

d Sous AUTHORIZATION SETTINGS, sélectionnez Code d'autorisation (Authorization

Code) comme types d'attributions autorisés et cliquez sur Suivant (Next).

Notez également l'URL de découverte et les informations d'identification de client (ID

de client et clé secrète de client) à utiliser lors de la configuration SSO dans SD-WAN
Orchestrator.

VMware, Inc. 596

Guide d'administration de VMware SD-WAN

e Sous SSO FLOW AND AUTHENTICATION SETTINGS, fournissez des valeurs valides pour
l'URL de démarrage SSO (Start SSO URL) et l'URL de redirection (Redirect URL), puis
cliquez sur Suivant (Next).

Dans l'application SD-WAN Orchestrator, en bas de l'écran Configurer l'authentification

(Configure Authentication), vous trouverez le lien d'URL de direction. Idéalement, l'URL
de direction de SD-WAN Orchestrator est au format suivant : [Link] URL>/
login/ssologin/openidCallback. L'URL de démarrage SSO est au format suivant : https://
<Orchestrator URL>/<domain name>/login/doEnterpriseSsoLogin.

f Sous DEFAULT USER PROFILE ATTRIBUTE CONTRACT, cliquez sur Ajouter un attribut
(Add Attribute) pour ajouter des attributs de profil d'utilisateur supplémentaires.

g Dans la zone de texte Nom d'attribut (Attribute Name), entrez group_membership, puis
cochez la case Requis (Required) et sélectionnez Suivant (Next).

Note L'attribut group_membership est requis pour récupérer des rôles à partir de
PingOne.

h Sous CONNECT SCOPES, sélectionnez les étendues qui peuvent être demandées pour
votre application SD-WAN Orchestrator pendant l'authentification, puis cliquez sur Suivant
(Next).

i Sous Mappage d'attributs (Attribute Mapping), mappez vos attributs de référentiel

d'identités aux réclamations disponibles pour votre application SD-WAN Orchestrator.

Note Les mappages minimaux requis pour que l'intégration fonctionne sont email,
given_name, family_name, phone_number, sub et group_membership (mappés à
memberOf).

j Sous Accès des groupes (Group Access), sélectionnez tous les groupes d'utilisateurs qui
doivent avoir accès à votre application SD-WAN Orchestrator, puis cliquez sur Terminé
(Done).

L'application est ajoutée à votre compte et elle sera disponible sur l'écran Mon application
(My Application).

Résultats

Vous avez terminé la configuration d'une application basée sur OIDC dans PingOne pour SSO.

Étape suivante

Configurez l'authentification unique dans SD-WAN Orchestrator.

Créer un groupe d'utilisateurs dans PingIdentity
Pour créer un groupe d'utilisateurs, suivez les étapes de cette procédure.

Procédure

1 Cliquez sur Utilisateurs (Users) > Annuaire d'utilisateurs (User Directory).

VMware, Inc. 597

Guide d'administration de VMware SD-WAN

2 Dans l'onglet Groupes (Groups), cliquez sur Ajouter un groupe (Add Group)

L'écran Nouveau groupe (New Group) s'affiche.

3 Dans la zone de texte Nom (Name), entrez un nom pour le groupe et cliquez sur Enregistrer
(Save).
Créer un utilisateur dans PingIdentity
Pour ajouter un nouvel utilisateur, suivez les étapes de cette procédure.

Procédure

1 Cliquez sur Utilisateurs (Users) > Annuaire d'utilisateurs (User Directory).

2 Dans l'onglet Utilisateurs (Users), cliquez sur le menu déroulant Ajouter des utilisateurs (Add
Users), puis sélectionnez Créer un utilisateur (Create New User).

L'écran Utilisateur (User) s'affiche.

3 Entrez toutes les informations obligatoires, telles que le nom d'utilisateur, le mot de passe et
l'ID d'e-mail de l'utilisateur.

4 Sous Appartenances au groupe (Group Memberships), cliquez sur Ajouter (Add).

La fenêtre contextuelle Ajouter une appartenance au groupe (Add Group Membership)

s'affiche.

5 Recherchez et ajoutez l'utilisateur à un groupe, puis cliquez sur Enregistrer (Save).

Configurer Azure Active Directory pour l'authentification unique

Pour configurer une application basée sur OpenID Connect (OIDC) dans Microsoft Azure Active
Directory (AzureAD) pour l'authentification unique (Single Sign On, SSO), suivez les étapes de
cette procédure.

Conditions préalables

Assurez-vous de disposer d'un compte AzureAD pour vous connecter.

Procédure

1 Connectez-vous à votre compte Microsoft Azure en tant qu'utilisateur admin.

L'écran d'accueil Microsoft Azure s'affiche.

VMware, Inc. 598

Guide d'administration de VMware SD-WAN

2 Pour créer une application :

a Recherchez le service Azure Active Directory et sélectionnez-le.

b Accédez à Inscription d'application (App registration) > Nouvelle inscription (New

registration).

L'écran Inscrire une application (Register an application) s'affiche.

c Dans le champ Nom (Name), entrez le nom de votre application SD-WAN Orchestrator.

d Dans le champ URL de direction (Redirect URL), entrez l'URL de direction que votre
application SD-WAN Orchestrator utilise comme point de terminaison de rappel.

Dans l'application SD-WAN Orchestrator, en bas de l'écran Configurer l'authentification

(Configure Authentication), vous trouverez le lien d'URL de direction. Idéalement, l'URL
de direction de SD-WAN Orchestrator est au format suivant : [Link] URL>/
login/ssologin/openidCallback.

VMware, Inc. 599

Guide d'administration de VMware SD-WAN

e Cliquez sur Inscrire (Register).

Votre application SD-WAN Orchestrator sera inscrite et affichée dans les onglets Toutes
les applications (All applications) et Applications détenues (Owned applications).
Assurez-vous de noter l'ID de client/l'ID de l'application à utiliser lors de la configuration
de l'authentification unique dans SD-WAN Orchestrator.

f Cliquez sur Points de terminaison (Endpoints) et copiez l'URL de configuration connue

d'OIDC à utiliser lors de la configuration de l'authentification unique dans SD-WAN
Orchestrator.

g Pour créer une clé secrète de client pour votre application SD-WAN Orchestrator, dans
l'onglet Applications détenues (Owned applications), cliquez sur votre application SD-
WAN Orchestrator.

h Accédez à Certificats et secrets (Certificates & secrets) > Nouvelle clé secrète de client
(New client secret).

L'écran Ajouter une clé secrète de client (Add a client secret) s'affiche.

i Fournissez des détails tels que la description et la valeur d'expiration de la clé secrète, puis
cliquez sur Ajouter (Add).

La clé secrète de client sera créée pour l'application. Notez la nouvelle valeur de la clé
secrète de client à utiliser lors de la configuration de l'authentification unique dans SD-
WAN Orchestrator.

VMware, Inc. 600

Guide d'administration de VMware SD-WAN

j Pour configurer les autorisations de votre application SD-WAN Orchestrator, cliquez sur
l'application SD-WAN Orchestrator et accédez à Autorisations d'API (API permissions) >
Ajouter une autorisation (Add a permission).

L'écran Demander des autorisations d'API (Request API permissions) s'affiche.

k Cliquez sur Microsoft Graph et sélectionnez Autorisations d'application (Application

permissions) comme type d'autorisation pour votre application.

l Sous Sélectionner les autorisations (Select permissions), dans le menu déroulant

Annuaire (Directory), sélectionnez [Link] et dans le menu déroulant
Utilisateur (User), sélectionnez [Link].

m Cliquez sur Ajouter des autorisations (Add permissions).

VMware, Inc. 601

Guide d'administration de VMware SD-WAN

n Pour ajouter et enregistrer des rôles dans le manifeste, cliquez sur votre application SD-
WAN Orchestrator et, dans l'écran Présentation (Overview) de l'application, cliquez sur
Manifeste (Manifest).

Un éditeur de manifeste Web s'ouvre, ce qui vous permet de modifier le manifeste dans
le portail. Vous pouvez également sélectionner Télécharger (Download) pour modifier
le manifeste localement, puis utiliser Charger (Upload) pour le réappliquer à votre
application.

o Dans le manifeste, recherchez le groupe appRoles, ajoutez un ou plusieurs objets de rôle

comme indiqué dans l'exemple suivant, puis cliquez sur Enregistrer (Save).

Exemples d'objets de rôle

{
"allowedMemberTypes": [
"User"
],
"description": "Standard Administrator who will have sufficient privilege
to manage resource",
"displayName": "Standard Admin",
"id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1",
"isEnabled": true,
"lang": null,
"origin": "Application",
"value": "standard"
},
{
"allowedMemberTypes": [
"User"
],
"description": "Super Admin who will have the full privilege on SD-WAN
Orchestrator",
"displayName": "Super Admin",
"id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75",
"isEnabled": true,
"lang": null,
"origin": "Application",
"value": "superuser"
}

VMware, Inc. 602

Guide d'administration de VMware SD-WAN

Note Assurez-vous de définir id sur une valeur de GUID (Global Unique Identifier)
nouvellement générée. Vous pouvez générer des GUID en ligne à l'aide d'outils Web (par
exemple, [Link] ou en exécutant les commandes suivantes :

n Linux/OSX - uuidgen

n Windows - powershell [guid]::NewGuid()

3 Pour attribuer des groupes et des utilisateurs à votre application SD-WAN Orchestrator :

a Accédez à Azure Active Directory > Applications d'entreprise (Enterprise applications).

b Recherchez votre application SD-WAN Orchestrator et sélectionnez-la.

c Cliquez sur Utilisateurs et groupes (Users and groups) et attribuez des utilisateurs et des
groupes à l'application.

d Cliquez sur Envoyer (Submit).

Résultats

Vous avez terminé la configuration d'une application basée sur OIDC dans AzureAD pour SSO.

Étape suivante

Configurez l'authentification unique dans SD-WAN Orchestrator.

Créer un utilisateur invité dans AzureAD
Pour créer un utilisateur invité, suivez les étapes de cette procédure.

Procédure

1 Accédez à Azure Active Directory > Utilisateurs (Users) > Tous les utilisateurs (All users).

VMware, Inc. 603

Guide d'administration de VMware SD-WAN

2 Cliquez sur Nouvel utilisateur invité (New guest user).

La fenêtre contextuelle Nouvel utilisateur invité (New guest user) s'affiche.

3 Dans la zone de texte Adresse e-mail (Email address), entrez l'adresse e-mail de l'utilisateur
invité, puis cliquez sur Inviter (Invite).

L'utilisateur invité reçoit immédiatement une invitation personnalisable qui lui permet de se
connecter à son panneau d'accès.

4 Les utilisateurs invités dans l'annuaire peuvent être attribués à des applications ou à des
groupes.

Configurer VMware CSP pour l'authentification unique

Pour configurer VMware Cloud Services Platform (CSP) pour l'authentification unique (SSO, Single
Sign On), suivez les étapes de cette procédure.

Conditions préalables

Connectez-vous à la console VMware CSP [VMware CSP console] (environnement de transfert

ou de production) à l'aide de votre ID de compte VMware. Si vous êtes un nouvel utilisateur de
VMware Cloud et que vous ne disposez pas encore d'un compte VMware, vous pouvez en créer
un au fur et à mesure de votre inscription. Pour plus d'informations, reportez-vous à la section sur
les modalités d'inscription à VMware CSP dans la documentation Utilisation de VMware Cloud.

Procédure

1 Contactez le fournisseur de prise en charge VMware pour recevoir un lien d'URL pour
l'invitation de service afin d'inscrire votre application SD-WAN Orchestrator sur VMware
CSP. Pour savoir comment contacter le fournisseur de prise en charge, reportez-vous aux
pages [Link] et [Link]
us_support.html.

Le fournisseur de prise en charge VMware crée et partage les éléments suivants :

n une URL d'invitation de service qui doit être récupérée dans votre organisation cliente ;

n un UUID de définition de service et un nom de rôle de service à utiliser pour le mappage

de rôle dans Orchestrator.

2 Récupérez cette URL pour votre organisation client existante ou créez une organisation client
en suivant les étapes de l'écran de l'interface utilisateur.

Vous devez être propriétaire de l'organisation pour récupérer l'URL d'invitation de service
dans votre organisation cliente existante.

VMware, Inc. 604

Guide d'administration de VMware SD-WAN

3 Après la récupération de l'invitation de service, lors de la connexion à la console VMware CSP

(VMware CSP console), vous voyez votre vignette d'application sous la section Mes services
(My Services) sur la page VMware Cloud Services.

L'organisation à laquelle vous êtes connecté s'affiche sous votre nom d'utilisateur dans la
barre de menus. Notez l'ID de l'organisation en cliquant sur votre nom d'utilisateur. Vous
l'utiliserez lors de la configuration d'Orchestrator. Une version abrégée de l'ID s'affiche sous le
nom de l'organisation. Cliquez sur l'ID pour afficher l'ID d'organisation complet.

4 Connectez-vous à la console VMware CSP et créez une application OAuth. Pour connaître
les étapes, reportez-vous à la section Utiliser OAuth 2.0 pour les applications Web. Veillez
à définir l'URI de redirection sur l'URL affichée dans l'écran Configurer l'authentification
(Configure Authentication) d'Orchestrator.

Une fois que l'application OAuth est créée dans la console VMware CSP, notez les détails de
l'intégration IDP, tels que l'ID de client et la clé secrète client. Ces détails seront nécessaires à
la configuration SSO dans Orchestrator.

5 Connectez-vous à votre application SD-WAN Orchestrator en tant que super utilisateur admin
et configurez SSO en utilisant les détails de l'intégration IDP de la façon suivante.

a Cliquez sur Administration > Paramètres système (System Settings).

L'écran Paramètres système (System Settings) s'affiche.

b Cliquez sur l'onglet Informations générales (General Information) et, dans la zone de
texte Domaine (Domain), entrez le nom de domaine de votre entreprise, s'il n'est pas déjà
défini.

Note Pour activer l'authentification unique pour SD-WAN Orchestrator, vous devez
configurer le nom de domaine de votre entreprise.

c Cliquez sur l'onglet Authentification (Authentication) et, dans le menu déroulant Mode
d'authentification (Authentication Mode), sélectionnez SSO.

d Dans le menu déroulant Modèle de fournisseur d'identité (Identity Provider template),

sélectionnez VMwareCSP.

e Dans la zone de texte ID de l'organisation (Organization Id), entrez l'ID de l'organisation

(que vous avez noté à l'étape 3) au format suivant : /csp/gateway/am/api/orgs/<full
organization ID>.
f Dans la zone de texte URL de configuration connue d'OIDC (OIDC well-known
config URL), entrez l'URL de configuration OpenID Connect (OIDC) (https://
[Link]/csp/gateway/am/api/.well-known/openid-configuration) pour
votre IDP.

L'application SD-WAN Orchestrator renseigne automatiquement les informations du point

de terminaison, par exemple l'émetteur, le point de terminaison d'autorisation, le point
de terminaison de jeton et le point de terminaison d'informations utilisateur de votre
fournisseur d'identité.

VMware, Inc. 605

Guide d'administration de VMware SD-WAN

g Dans la zone de texte ID de client (Client Id), entrez l'ID de client que vous avez noté à
l'étape de création de l'application OAuth.

h Dans la zone de texte Clé secrète client (Client Secret), entrez le code secret client que
vous avez noté à l'étape de création de l'application OAuth.

i Pour déterminer le rôle de l'utilisateur dans SD-WAN Orchestrator, sélectionnez Utiliser

le rôle par défaut (Use Default Role) ou Utiliser les rôles de fournisseur d'identité (Use
Identity Provider Roles).

j Lorsque vous sélectionnez l'option Utiliser les rôles de fournisseur d'identité (Use
Identity Provider Roles), dans la zone de texte Attribut de rôle (Role Attribute), entrez le
nom de l'attribut défini dans VMware CSP pour renvoyer les rôles.

k Dans la zone Mappage de rôle (Role Map), mappez les rôles fournis par VMwareCSP à
chacun des rôles SD-WAN Orchestrator, séparés par des virgules.

Les rôles dans VMware CSP sont au format suivant : external/<service definition uuid>/
<service role name mentioned during service template creation>. Utilisez le même UUID
de définition de service et nom de rôle de service que ceux que vous avez reçus de votre
fournisseur de prise en charge.

6 Pour enregistrer la configuration SSO, cliquez sur Enregistrer les modifications (Save
Changes).

7 Cliquez sur Tester la configuration (Test Configuration) pour valider la configuration OpenID
Connect (OIDC) entrée.

L'utilisateur accède au site Web de VMware CSP et est autorisé à entrer les informations
d'identification. Lors de la vérification du fournisseur d'identité et de la redirection réussie
vers le rappel de test SD-WAN Orchestrator, un message signalant la réussite de la validation
s'affiche.

VMware, Inc. 606

Guide d'administration de VMware SD-WAN

Résultats

Vous avez terminé l'intégration de l'application SD-WAN Orchestrator dans VMware CSP pour
SSO et vous pouvez accéder à l'application SD-WAN Orchestrator en vous connectant à la console
VMware CSP.

Étape suivante

n Au sein de l'organisation, gérez les utilisateurs en ajoutant les nouveaux utilisateurs et en

attribuant le rôle approprié aux utilisateurs. Pour plus d'informations, reportez-vous à la
section Gestion des identités et des accès de la documentation Utilisation de VMware Cloud.

Gérer les utilisateurs Admin

La page Administrateurs (Administrators) affiche les utilisateurs Admin existants. Les
superutilisateurs administrateurs standard et les administrateurs standard peuvent créer des
utilisateurs Admin avec des privilèges de rôle différents et configurer des jetons d'API pour
chaque utilisateur Admin.

Sur le portail d'entreprise, cliquez sur Administration > Administrateurs (Administrators).

Cliquez sur Actions pour effectuer les activités suivantes :

n Nouvel administrateur (New Admin) : crée des utilisateurs Admin. Reportez-vous à la section
Créer un utilisateur Admin.

n Modifier l'administrateur (Modify Admin) : modifie les propriétés de l'utilisateur Admin

sélectionné. Vous pouvez également cliquer sur le lien vers le nom d'utilisateur pour modifier
les propriétés. Reportez-vous à la section Configurer les utilisateurs admin.

n Réinitialisation du mot de passe (Password Reset) : envoie à l'utilisateur sélectionné un e-mail

contenant un lien pour réinitialiser le mot de passe.

n Supprimer l'administrateur (Delete Admin) : supprime les utilisateurs sélectionnés.

Créer un utilisateur Admin

Les superutilisateurs administrateurs standard et les administrateurs standard peuvent créer des
utilisateurs Admin.

Sur le portail d'entreprise, cliquez sur Administration > Administrateurs (Administrators).

Procédure

1 Vous pouvez créer des utilisateurs Admin en cliquant sur Nouvel administrateur (New Admin)
ou Actions > Nouvel administrateur (New Admin).

VMware, Inc. 607

Guide d'administration de VMware SD-WAN

2 Dans la fenêtre Nouvel administrateur (New Admin), entrez les détails suivants :

a Entrez les informations de l'utilisateur, comme le nom d'utilisateur, le mot de passe,

le nom, l'e-mail et les numéros de téléphone. Le nom d'utilisateur doit être au format
de l'adresse e-mail, comme user@[Link]. Le mot de passe doit répondre aux
exigences suivantes :

n Le nombre de caractères doit être compris entre 8 et 32.

n Doit contenir au moins un caractère minuscule.

n Doit contenir au moins un chiffre.

b Si vous avez choisi le mode d'authentification Natif dans Configurer l'authentification

de l'entreprise, le type d'utilisateur Natif est sélectionné. Si vous avez choisi un autre
mode d'authentification, vous pouvez choisir le type de l'utilisateur. Si vous décidez que
l'utilisateur ne doit pas être natif, l'option Mot de passe (Password) n'est pas disponible,
car il est hérité du mode d'authentification.

c Rôle de compte (Account Role) : choisissez le rôle d'utilisateur dans les options
disponibles.

3 Cliquez sur Créer (Create).

Résultats

Les informations sur l'utilisateur s'affichent sur la page Administrateurs (Administrators).

Configurer les utilisateurs admin

Vous pouvez configurer des propriétés supplémentaires et créer des jetons d'API pour un
utilisateur admin.

Dans le portail d'entreprise, cliquez sur Administration > Administrateurs (Administrators). Pour
configurer un utilisateur Admin, cliquez sur le lien vers un nom d'utilisateur, ou sélectionnez
l'utilisateur et cliquez sur Actions > Modifier l'administrateur (Modify Admin).

VMware, Inc. 608

Guide d'administration de VMware SD-WAN

Les propriétés existantes de l'utilisateur sélectionné s'affichent et, si nécessaire, vous pouvez
ajouter ou modifier les éléments suivants :

État
Par défaut, l'état est Activé (Enabled). Si vous choisissez Désactivé (Disabled), l'utilisateur est
déconnecté de toutes les sessions actives.

Type
Si vous avez choisi le mode d'authentification Natif (Native) dans la section Configurer
l'authentification de l'entreprise, le type de l'utilisateur est sélectionné comme Natif (Native). Si
vous avez choisi un autre mode d'authentification, vous pouvez choisir le type de l'utilisateur. Si
vous choisissez l'utilisateur Non natif (Non-Native), vous ne pouvez pas réinitialiser le mot de
passe ni modifier le rôle d'utilisateur.

Propriétés
Les informations de contact existantes de l'utilisateur s'affichent. Si nécessaire, vous pouvez
modifier ces informations et choisir de réinitialiser le mot de passe. Si vous cliquez sur
Réinitialisation du mot de passe (Password Reset), un e-mail contenant un lien est envoyé à
l'utilisateur pour réinitialiser le mot de passe.

VMware, Inc. 609

Guide d'administration de VMware SD-WAN

Rôle
Le type existant du rôle d'utilisateur s'affiche. Si nécessaire, vous pouvez choisir un autre rôle pour
l'utilisateur. Les privilèges du rôle sont modifiés en conséquence.

Jetons d'API
Les utilisateurs peuvent accéder aux API Orchestrator à l'aide de jetons au lieu d'une
authentification basée sur une session. En tant que super utilisateur opérateur, vous pouvez gérer
les jetons d'API pour les clients. Vous pouvez créer plusieurs jetons d'API pour un utilisateur.

Pour les utilisateurs en lecture seule d'entreprise et les utilisateurs experts commerciaux MSP,
l'authentification par jeton n'est pas activée.

Configurer des jetons d'API

Tout utilisateur peut créer des jetons en fonction des privilèges auxquels ils ont été attribués à
leurs rôles d'utilisateur, à l'exception des utilisateurs en lecture seule d'entreprise et les utilisateurs
experts commerciaux MSP.

Les utilisateurs peuvent effectuer les actions suivantes, en fonction de leurs rôles :

n Les utilisateurs d'entreprise peuvent créer, télécharger et révoquer des jetons pour eux-
mêmes.

n Les super utilisateurs opérateurs peuvent gérer des jetons d'autres utilisateurs opérateurs
et des utilisateurs d'entreprise, si l'utilisateur d'entreprise a délégué des autorisations
d'utilisateur à l'opérateur.

n Les super utilisateurs d'entreprise peuvent gérer les jetons de tous les utilisateurs de cette
entreprise.

n Les utilisateurs ne peuvent télécharger que leurs propres jetons.

n Les super utilisateurs ne peuvent créer et révoquer que les jetons pour d'autres utilisateurs.

Gérer les jetons d'API

n Dans la section Jetons d'API (API Tokens), cliquez sur Actions > Nouveau jeton d'API (New
API Token), pour créer un jeton.

n Dans la fenêtre Nouveau jeton d'API (New API Token), entrez un Nom (Name) et une
Description pour le jeton, puis choisissez Durée de vie (Lifetime) dans le menu déroulant.

VMware, Inc. 610

Guide d'administration de VMware SD-WAN

n Cliquez sur Créer (Create) et le nouveau jeton s'affiche dans la grille Jetons d'API (API
Tokens).

n Initialement, l'état du jeton affiché est En attente (Pending). Pour télécharger le jeton,
sélectionnez-le, puis cliquez sur Actions > Télécharger le jeton d'API (Download API Token).
L'état passe à Activé (Enabled), ce qui signifie que le jeton d'API peut être utilisé pour l'accès
à l'API.

n Pour désactiver un jeton, sélectionnez-le, puis cliquez sur Actions > Révoquer le jeton d'API
(Revoke API Token). L'état du jeton affiché est Révoqué (Revoked).

n Lorsque la durée de vie du jeton est écoulée, l'état passe à Expiré (Expired).

Seul l'utilisateur associé à un jeton peut le télécharger et ensuite, seul l'ID du jeton s'affiche. Vous
ne pouvez télécharger un jeton qu'une seule fois.

Après le téléchargement du jeton, l'utilisateur peut l'envoyer comme partie intégrante de l'en-tête
d'autorisation de la demande pour accéder à l'API Orchestrator.

L'exemple suivant montre un exemple d'extrait de code permettant d'accéder à une API.

curl -k -H "Authorization: Token <Token>"

-X POST [Link]
-d '{ "id": 1, "jsonrpc": "2.0", "method": "enterprise/getEnterpriseUsers", "params":
{ "enterpriseId": 1 }}'

Après avoir modifié les paramètres et les jetons d'API, cliquez sur Enregistrer les modifications
(Save Changes).

Personnalisation des rôles

SD-WAN Orchestrator se compose de rôles d'utilisateur disposant d'un ensemble de privilèges
différent. En tant que super utilisateur d'entreprise, vous pouvez attribuer un rôle prédéfini à
d'autres utilisateurs d'entreprise. La personnalisation des rôles vous permet de personnaliser
l'ensemble de privilèges existant pour les rôles d'utilisateur. La personnalisation est appliquée à
tous les utilisateurs disponibles au sein de l'entreprise.

Seul un super utilisateur opérateur peut activer la personnalisation de rôle pour un super
utilisateur d'entreprise. Si l'option Personnalisation des rôles (Role Customization) n'est pas
disponible pour vous, contactez votre opérateur.

Dans le portail d'entreprise, cliquez sur Personnalisation des rôles (Role Customization).

Vous pouvez effectuer les opérations suivantes :

n Afficher les privilèges actuels (Show Current Privileges) : affiche les privilèges de rôle
d'utilisateur actuels. Vous pouvez afficher les privilèges de tous les rôles d'utilisateur et les
télécharger au format CSV.

n Nouveau module (New Package) : permet de créer un module avec des privilèges de rôle
personnalisés. Reportez-vous à la section Créer un module personnalisé.

VMware, Inc. 611

Guide d'administration de VMware SD-WAN

n Rétablir les valeurs système par défaut (Reset to System Default) : permet de réinitialiser
les privilèges de rôle actuels aux paramètres par défaut. Seuls les privilèges personnalisés
appliqués aux rôles d'utilisateur dans le portail d'entreprise sont réinitialisés aux paramètres
par défaut.

Cliquez sur Actions pour effectuer les activités suivantes :

n Charger le module (Upload Package) : permet de charger un module personnalisé. Reportez-

vous à la section Télécharger un module personnalisé.

n Cloner le module (Clone Package) : permet de créer une copie du module sélectionné.

n Modifier le module (Modify Package) : permet de modifier les paramètres de personnalisation

du module sélectionné. Vous pouvez également cliquer sur le lien d'accès au module pour
modifier les paramètres.

n Supprimer le module (Delete Package) : supprime le module sélectionné. Vous ne pouvez

pas supprimer un module s'il est déjà utilisé.

n Appliquer le module (Apply Package) : applique la personnalisation disponible dans le

module sélectionné aux rôles d'utilisateur existants. Cette option modifie les privilèges de
rôle uniquement au niveau actuel. Si des personnalisations sont disponibles au niveau de
l'entreprise ou à un niveau inférieur pour le même rôle, le niveau inférieur est prioritaire.

Vous pouvez également cliquer sur l'icône de téléchargement, située devant le nom du module,
pour télécharger le module sous la forme d'un fichier JSON.

Note Les modules de personnalisation des rôles dépendent de la version. Un module créé
sur une instance d'Orchestrator à l'aide d'une version logicielle antérieure ne sera alors pas
compatible avec une instance d'Orchestrator utilisant une version ultérieure. Par exemple, un
module de personnalisation des rôles créé sur un dispositif Orchestrator exécutant la version 3.4.x
ne fonctionne pas correctement si Orchestrator est mis à niveau vers une version 4.x. En outre, un
module de personnalisation des rôles créé sur un dispositif Orchestrator exécutant la version 3.4.x
ne fonctionne pas correctement lorsqu'Orchestrator est mis à niveau vers une version 4.x.x. Dans
ce cas, l'utilisateur doit vérifier et recréer le module de personnalisation des rôles pour la nouvelle
version afin de garantir une application appropriée de tous les rôles.

Créer un module personnalisé

Vous pouvez créer un module personnalisé et l'appliquer aux rôles d'utilisateur existants dans
SD-WAN Orchestrator.

Procédure

1 Dans le portail d'entreprise, cliquez sur Personnalisation des rôles (Role Customization).

2 Cliquez sur Nouveau module (New Package).

VMware, Inc. 612

Guide d'administration de VMware SD-WAN

3 Dans la fenêtre Éditeur de modules de personnalisation des rôles (Role Customization

Package Editor), entrez les informations suivantes :

a Remplissez les champs Nom (Name) et Description pour le nouveau module personnalisé.

b Dans le volet Rôles (Roles), sélectionnez un rôle d'utilisateur et cliquez sur Ajouter/
Supprimer des privilèges (Add/Remove Privileges) pour personnaliser les privilèges du
rôle sélectionné.

Note Vous pouvez uniquement ajouter ou supprimer les privilèges de refus, c'est-à-dire
retirer les privilèges de la valeur par défaut système. Vous ne pouvez pas accorder de
privilèges supplémentaires à un rôle à l'aide de cette option.

Dans la fenêtre Attribuer des privilèges (Assign Privileges), sélectionnez des

fonctionnalités dans le volet Privilèges de refus disponibles (Available Deny Privileges) et
déplacez-les vers le volet Privilèges de refus sélectionnés (Selected Deny Privileges).

VMware, Inc. 613

Guide d'administration de VMware SD-WAN

Note Vous pouvez attribuer uniquement des privilèges Refuser (Deny) aux rôles
d'utilisateur.

Cliquez sur OK.

4 Dans la fenêtre Éditeur de modules de personnalisation des rôles (Role Customization

Package Editor), continuez à attribuer des privilèges aux rôles d'utilisateur.

5 Cochez la case Afficher les modifications (Show Modified) pour filtrer et afficher les privilèges
personnalisés. Les modifications apportées aux privilèges sont mises en surbrillance dans une
couleur différente.

6 Cliquez sur Créer (Create). Vous pouvez cliquer sur CSV pour télécharger les privilèges du
rôle d'utilisateur sélectionné au format CSV.

7 Les informations sur le nouveau module s'affichent dans la fenêtre Modules de

personnalisation des rôles (Role Customization Packages).

8 Pour modifier les privilèges, cliquez sur le lien d'accès au module ou sélectionnez ce dernier
et cliquez sur Actions > Modifier le module (Modify Package). Dans la fenêtre Éditeur de
modules de personnalisation des rôles (Role Customization Package Editor) qui s'affiche,
ajoutez ou supprimez des privilèges de refus aux rôles d'utilisateur du module, puis cliquez sur
OK.

VMware, Inc. 614

Guide d'administration de VMware SD-WAN

Étape suivante

Sélectionnez le module personnalisé et cliquez sur Actions > Appliquer le module (Apply
Package) pour appliquer la personnalisation disponible dans le module sélectionné aux rôles
d'utilisateur existants dans l'ensemble de SD-WAN Orchestrator.

Si nécessaire, vous pouvez modifier les privilèges de refus dans un module appliqué. Après avoir
modifié les privilèges dans la fenêtre Éditeur de modules de personnalisation des rôles (Role
Customization Package Editor), cliquez sur OK pour enregistrer les modifications et les appliquer
aux rôles d'utilisateur.

Note Vous pouvez télécharger les privilèges de rôle d'utilisateur personnalisés en tant que fichier
JSON et télécharger le module personnalisé vers une autre instance d'Orchestrator. Pour plus
d'informations, reportez-vous à la section Télécharger un module personnalisé.

Télécharger un module personnalisé

Vous pouvez télécharger un module avec des privilèges de rôle personnalisés attribués à
différents ensembles de rôles d'utilisateur dans SD-WAN Orchestrator.

Vous pouvez télécharger les privilèges de rôle d'utilisateur déjà personnalisés en tant que module
et télécharger le module dans un autre dispositif Orchestrator.

Procédure

1 Dans le portail d'entreprise, cliquez sur Personnalisation des rôles (Role Customization).

2 Cliquez sur l'icône Télécharger (Download), située devant le nom d'un module, pour
télécharger le module sous la forme d'un fichier JSON.

3 Accédez au dispositif Orchestrator vers lequel vous souhaitez charger le module personnalisé.

4 Cliquez sur Actions > Charger le module (Upload Package).

5 Choisissez le fichier JSON que vous avez téléchargé ; le module est alors téléchargé
automatiquement.

6 Le module chargé s'affiche dans la fenêtre Modules de personnalisation des rôles (Role
Customization Packages).

VMware, Inc. 615

Guide d'administration de VMware SD-WAN

7 Vous pouvez afficher les privilèges du module chargé et ajouter d'autres privilèges de refus.
Cliquez sur le lien vers le module ou sélectionnez le module et cliquez sur Actions > Modifier
le module (Modify Package). Dans la fenêtre Éditeur de modules de personnalisation des
rôles (Role Customization Package Editor) qui s'affiche, ajoutez ou supprimez des privilèges
de refus aux rôles d'utilisateur du module, puis cliquez sur OK. Pour plus d'informations sur
l'Éditeur de modules de personnalisation des rôles (Role Customization Package Editor),
reportez-vous à la section Créer un module personnalisé.

Étape suivante

Sélectionnez le module personnalisé et cliquez sur Actions > Appliquer le module (Apply
Package) pour appliquer la personnalisation disponible dans le module sélectionné aux rôles
d'utilisateur existants dans l'ensemble de SD-WAN Orchestrator.

Si nécessaire, vous pouvez modifier les privilèges de refus dans un module appliqué. Après avoir
modifié les privilèges dans la fenêtre Éditeur de modules de personnalisation des rôles (Role
Customization Package Editor), cliquez sur OK pour enregistrer les modifications et les appliquer
aux rôles d'utilisateur.

Gestion des licences Edge

La gestion des licences Edge permet à un client de lier un abonnement logiciel à un dispositif
Edge. Un abonnement logiciel est défini en fonction de la bande passante, de l'édition du logiciel
Edge, de la géolocalisation régionale de la passerelle et de la durée de l'abonnement.

Types de licence Edge

SD-WAN Orchestrator fournit différents types de licences pour les dispositifs Edge. Ces types
de licence représentent les entreprises de la validation technique où aucun abonnement n'a
été acheté et les déploiements de production où un grand nombre de types de licences sont
disponibles pour être alignés sur les abonnements achetés du client.

Déploiements de la validation technique

Si une entreprise est déployée en tant que déploiement de validation technique (POC), choisissez
la licence de validation technique. Il n'y a qu'un type de licence de validation technique disponible
comme suit :

POC | 10 Gbits/s | Amérique du Nord, Europe, Moyen-Orient et Afrique, Asie-Pacifique et

Amérique latine | 60 mois.

Il s'agit de la seule licence qui doit être choisie pour une entreprise de validation technique et la
seule licence utilisée par les dispositifs Edge dans l'entreprise de validation technique. En cas de
choix d'une licence de validation technique, Orchestrator n'autorisera pas la sélection de licences
supplémentaires.

Déploiements de production

VMware, Inc. 616

Guide d'administration de VMware SD-WAN

Lorsqu'un dispositif Edge est déployé dans une entreprise de production, le type de licence
attribué doit s'aligner sur l'abonnement logiciel acheté. Par exemple, si la SKU d'abonnement
NB-VC100M-PRE-HO-HG-L34S312P-C a été achetée pour une utilisation avec le dispositif Edge
configuré, le type de licence approprié serait :

PREMIUM | 100 Mbits/s | <Région de géolocalisation de la passerelle> | 12 mois selon les

sections mises en surbrillance de la SKU.

Attribution d'un type de licence Edge à un nouveau dispositif Edge

Lorsqu'un nouveau dispositif Edge est provisionné, l'écran de configuration Provisionner un
nouveau dispositif Edge inclut un menu déroulant Licence Edge. Ce menu fournit une liste des
types de licences Edge disponibles pouvant être attribués au dispositif Edge récemment créé et
inclut une zone de recherche pour faciliter la localisation de la licence appropriée.

Pour en savoir plus sur le provisionnement d'un nouveau dispositif Edge, reportez-vous à la
section Provisionner un nouveau dispositif Edge.

Note À partir de la version 4.0.0, la gestion des licences Edge est activée par défaut et elle
est obligatoire pour qu'un utilisateur attribue un type de licence Edge lors de la création d'un
dispositif Edge. Cette exigence permet à VMware de suivre les abonnements des clients et de
simplifier et de normaliser le rapport d'activation Edge envoyé par les partenaires.

Attribution d'un type de licence Edge à un dispositif Edge existant

Pour attribuer une licence à un dispositif Edge existant :

n Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

VMware, Inc. 617

Guide d'administration de VMware SD-WAN

n Pour attribuer une licence à chaque dispositif Edge, cliquez sur le lien vers le dispositif Edge
et sélectionnez la licence dans la page Présentation du dispositif Edge (Edge Overview).
Vous pouvez également sélectionner le dispositif Edge et cliquer sur Actions > Attribuer une
licence Edge (Assign Edge License) pour attribuer la licence.

n Pour attribuer une licence à plusieurs dispositifs Edge, sélectionnez les dispositifs Edge
appropriés, cliquez sur Actions > Attribuer une licence Edge (Assign Edge License) et
sélectionnez la licence.

Si le type de licence approprié n'est pas affiché pour un abonnement, contactez le partenaire de
support pour attribuer la licence à l'entreprise. Si le partenaire ne parvient pas à localiser le type
de licence approprié ou si l'entreprise est gérée directement par VMware, contactez le support
VMware SD-WAN. Tant que le type de licence approprié n'est pas disponible, un autre type de
licence peut être attribué temporairement. Le type de licence approprié doit être attribué une fois
qu'il est mis à disposition.

Le choix d'un type de licence Edge incorrect aura pour conséquence un rapport d'activation de
cette entreprise incorrect et une attribution de la licence non alignée avec les achats du client. Un
audit permettrait de signaler ces incohérences de licence.

Rapports sur les licences Edge

Les superutilisateurs administrateurs standard, les administrateurs standard, les experts
commerciaux et les utilisateurs de support technique peuvent afficher et générer un rapport des
licences attribuées à leur entreprise.

Dans le portail de l'entreprise, cliquez sur Administration > Gestion des licences Edge (Edge
Licensing).

Cliquez sur Rapport (Report) pour générer un rapport sur les licences et les dispositifs Edge
associés au format CSV.

Exemple de gestion des licences Edge

L'exemple suivant décrit comment attribuer des licences d'abonnement aux dispositifs Edge
conformément à la commande.

Supposons que l'utilisateur d'entreprise ait acheté les éléments suivants :

VMware, Inc. 618

Guide d'administration de VMware SD-WAN

Produit Description Quantité

VC-510-HO-36-P Dispositif VMware SD-WAN 11

Edge 510, déploiement : instance
d'Orchestrator hébergée pendant
3 ans

VC-610-HO-36-P Dispositif VMware SD-WAN 1

Edge 610, déploiement : instance
d'Orchestrator hébergée pendant
3 ans

VC100M-STD-HO-L34S1-36P Abonnement au service standard 11

VMware SD-WAN 100 Mbits/s
pendant 3 ans, prépayé, instance
d'Orchestrator hébergée, seconde
ligne du support de base (L3-4)

VC350M-STD-HO-L34S1-36P Abonnement au logiciel standard 1

VMware SD-WAN 350 Mbits/s
pendant 3 ans, prépayé, instance
d'Orchestrator hébergée, seconde
ligne du support de base VMware
(L 3-4)

L'achat comporte 12 dispositifs Edge et 12 licences d'abonnement. Vous pouvez activer

12 dispositifs Edge et attribuer les éléments suivants :

n STANDARD | 100 Mbits/s | <Gateway Geolocation Region> | 36 mois pour 11 dispositifs Edge
(11 Edges)

n STANDARD | 350 Mbits/s | <Gateway Geolocation Region> | 36 mois pour 1 dispositif Edge (1
Edge)

Suivez le processus ci-dessous pour attribuer le type de licence à un dispositif Edge.

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

2 Dans l'écran Dispositifs Edge (Edges), cliquez sur Nouveau dispositif Edge (New Edge).

3 Dans la fenêtre Provisionner un nouveau dispositif Edge (Provision New Edge), configurez
un nouveau dispositif Edge et attribuez le type de licence.

VMware, Inc. 619

Guide d'administration de VMware SD-WAN

4 Répétez la configuration des nouveaux dispositifs Edge et attribuez les licences Edge
correspondantes.

Note Pour les dispositifs Edge activés avec la haute disponibilité, le dispositif Edge en veille
est attribué avec le même type de licence que le dispositif Edge actif.

5 Pour afficher la liste des licences Edge et les dispositifs Edge attribués, cliquez sur
Administration > Gestion des licences Edge (Edge Licensing).

L'image ci-dessus affiche un rapport des licences Edge attribuées à 12 dispositifs Edge. Vous
pouvez cliquer sur Rapport (Report) pour générer un rapport sur les licences et les dispositifs
Edge associés au format CSV.

VMware, Inc. 620

Configurer la haute disponibilité
de SD-WAN Edge 24
Cette section décrit comment activer la haute disponibilité sur SD-WAN Edge.

Ce chapitre contient les rubriques suivantes :

n Présentation de SD-WAN Edge HA

n Conditions préalables

n Options de haute disponibilité

n Condition Split-Brain

n Détection et prévention de Split-Brain

n Scénarios de panne

n Prise en charge de BGP sur la liaison HA

n Critères de sélection pour déterminer l'état Actif et En veille

n Trafic avec balise VLAN sur la liaison HA

n Configurer HA

n Détails de l'événement HA

n Déploiement de HA sur VMware ESXi

Présentation de SD-WAN Edge HA

SD-WAN Edge est le composant du plan de données VMware qui est déployé à l'emplacement
de la branche d'un utilisateur final. Les instances de SD-WAN Edges configurées en mode Haute
disponibilité (HA) sont des images miroir de chacune. Elles s'affichent sur SD-WAN Orchestrator
en tant qu'instance de SD-WAN Edge unique.

Deux options sont disponibles lors de la configuration en mode HA :

1 Option 1 de HA : HA standard

2 Option 2 de HA : HA améliorée

Pour obtenir une description des deux options, reportez-vous à la section Options de haute
disponibilité (HA).

VMware, Inc. 621

Guide d'administration de VMware SD-WAN

Ce document décrit les étapes nécessaires à l'activation de la haute disponibilité (HA) et la mise
en place d'une deuxième instance de SD-WAN Edge en tant que périphérique en veille sur un
dispositif Edge activé.

Conditions préalables
Cette section décrit les conditions requises HA qui doivent être réunies avant de configurer une
instance de SD-WAN Edge en veille.

n Les deux instances de SD-WAN Edges doivent être du même modèle.

n Une seule instance de SD-WAN Edge doit être provisionnée sur SD-WAN Orchestrator.

n Aucune configuration ne doit exister sur l'instance SD-WAN Edge en veille.

n Veillez à ne pas utiliser 169.254.2.x pour l'interface de gestion.

Options de haute disponibilité

Vous pouvez installer les dispositifs Edge en tant que périphérique autonome unique ou couplé
avec un autre dispositif Edge pour assurer la prise en charge de la haute disponibilité (HA).
Toutefois, la configuration HA n'est prise en charge que sur des connexions WAN filaires.

Lorsque vous configurez les dispositifs Edge en mode HA, les dispositifs Edge sélectionnent
automatiquement l'une des options suivantes :

n HA standard (Standard HA) : cette option est sélectionnée lorsque les dispositifs Edge actif et
en veille sont connectés aux mêmes liaisons WAN.

n HA améliorée (Enhanced HA) : cette option est sélectionnée lorsque les dispositifs Edge sont
connectés à des liaisons WAN différentes.

Les deux options HA sont prises en charge sur toutes les plates-formes SD-WAN Edge suivantes :

510, 520, 520v, 540, 610, 620, 640, 680, 840, 2000, 3400, 3800 et dispositif Edge virtuel.

HA n'est pris en charge qu'entre des modèles de plates-formes SD-WAN Edge identiques.
Pour plus d'informations sur les modèles de plates-formes de dispositifs Edge, reportez-vous à
l'adresse [Link]

HA standard
Cette section décrit la haute disponibilité (HA) standard.

Présentation de la topologie de HA standard

La figure suivante montre une présentation conceptuelle de HA standard.

VMware, Inc. 622

Guide d'administration de VMware SD-WAN

ISP1 ISP2

W2 W2
W1 W1

Actif L1 L1 En veille

L2 Lien de L2
basculement

Les dispositifs Edge, l'un actif et l'autre en veille, sont connectés par des ports L1 pour établir une
liaison de basculement. Le dispositif SD-WAN Edge en veille bloque tous les ports, à l'exception
du port L1 dédié à la liaison de basculement.

Conditions préalables à HA standard

n Les commutateurs côté LAN dans les descriptions de configuration suivantes doivent être
compatibles et configurés avec STP.

n En outre, vous devez connecter les ports LAN et WAN de SD-WAN Edge à des
commutateurs L2 différents. S'il est nécessaire de connecter les ports au même commutateur,
vous devez isoler les ports LAN et WAN.

n Les deux instances de SD-WAN Edges doivent disposer de connexions WAN et LAN
physiques en miroir.

Types de déploiement pour HA standard

HA standard dispose de deux types de déploiements possibles :

n Type de déploiement 1 : haute disponibilité (HA) utilisant des commutateurs L2

n Type de déploiement 2 : haute disponibilité (HA) utilisant des commutateurs L2 et L3

Les sections suivantes décrivent ces deux types de déploiement.

Type de déploiement 1 : HA utilisant des commutateurs L2

La figure suivante montre les connexions réseau utilisant uniquement des commutateurs L2.

VMware, Inc. 623

Guide d'administration de VMware SD-WAN

ISP1 ISP2

Routeur
Internet/CPE

Commutateur
L2

W1 W2

L1 L1

Commutateur
L2

W1 et W2 sont des connexions WAN utilisées pour la liaison au commutateur L2 afin de fournir
une connectivité WAN aux deux fournisseurs de services Internet. La liaison L1 connecte les deux
instances de SD-WAN Edges et est utilisée pour le keep-alive et la communication entre les
instances de SD-WAN Edges pour la prise en charge de HA. Les connexions LAN de SD-WAN
Edge sont utilisées pour la liaison aux commutateurs L2 de la couche d'accès.

VMware, Inc. 624

Guide d'administration de VMware SD-WAN

Considérations relatives au déploiement HA utilisant des commutateurs L2

n La même liaison de fournisseur de services Internet doit être connectée au même port sur les
deux dispositifs Edge.

n Utilisez le commutateur L2 pour que la même liaison de fournisseur de services Internet soit
disponible pour les deux dispositifs Edge.

n L'instance de SD-WAN Edge en veille n'interfère pas avec le trafic en bloquant tous ses ports,
à l'exception de la liaison de basculement (port L1).

n Les informations de session sont synchronisées entre les instances de SD-WAN Edges active
et en veille via la liaison de basculement.

n Si le dispositif Edge actif détecte une perte de liaison LAN, il bascule également vers le mode
Veille s'il dispose d'une liaison LAN active.

Type de déploiement 2 : HA utilisant des commutateurs L2 et L3

La figure suivante montre les connexions réseau utilisant des commutateurs L2 et L3.

ISP1 ISP2

Routeur
Internet/CPE

Commutateur
L2

W1 W2

L1 L1

HSRP/VRRP
Commutateur
L3

Commutateur
L2

VMware, Inc. 625

Guide d'administration de VMware SD-WAN

Les connexions WAN (W1 et W2) de SD-WAN Edge sont utilisées pour la liaison à des
commutateurs L2 pour fournir une connexion WAN à ISP1 et ISP2 respectivement. Les
connexions L1 sur les instances de SD-WAN Edges sont reliées pour fournir une liaison
de basculement pour la prise en charge de HA. Les connexions LAN des dispositifs Edge
VMware sont utilisées pour relier des commutateurs L2, qui disposent de plusieurs périphériques
d'utilisateurs finaux connectés.

Considérations relatives au déploiement HA utilisant des commutateurs L2 et L3

n HSRP/VRRP est requis sur la paire de commutateurs L3.

n Le route statique de SD-WAN Edge pointe vers l'adresse IP virtuelle HSRP des
commutateurs L3 comme next-hop pour accéder aux stations finales derrière les
commutateurs L2.

n La même liaison de fournisseur de services Internet doit être connectée au même port sur
les deux dispositifs SD-WAN Edges. Le commutateur L2 doit rendre la même liaison de
fournisseur de services Internet disponible pour les deux dispositifs Edge.

n L'instance de SD-WAN Edge en veille n'interfère pas avec le trafic en bloquant tous ses ports,
à l'exception de la liaison de basculement (port L1).

n Les informations de session sont synchronisées entre les instances de SD-WAN Edges active
et en veille via la liaison de basculement.

n La paire HA effectue également un basculement du mode Actif vers Veille lors de la détection
de la perte de L1 de liaisons LAN/WAN.

n Si les instances Active et En veille disposent du même nombre de liaisons LAN actives,
mais que l'instance en veille dispose d'un plus grand nombre de liaisons WAN actives, un
basculement vers l'instance en veille se produit.

n Si le dispositif Edge en veille dispose d'un plus grand nombre de liaisons LAN actives et
d'au moins une liaison WAN active, un basculement vers le mode Veille se produit. Dans
ce cas, il est supposé que le dispositif Edge en veille dispose d'un plus grand nombre
d'utilisateurs côté LAN que le dispositif Edge actif, et que le mode Veille permet à un
plus grand nombre d'utilisateurs côté LAN de se connecter au WAN, étant donné que la
connectivité WAN est disponible.

HA améliorée
Cette section décrit la haute disponibilité (HA) améliorée.

HA améliorée évite de devoir utiliser les commutateurs L2 côté WAN des dispositifs Edge.
L'option HA améliorée (Enhanced HA) est choisie lorsque le dispositif Edge actif détecte la ou
les différentes liaisons WAN connectées au dispositif Edge en veille par rapport à une ou plusieurs
liaisons interconnectées.

La figure suivante montre une présentation conceptuelle de HA améliorée.

VMware, Inc. 626

Guide d'administration de VMware SD-WAN

Les dispositifs Edge, l'un actif et l'autre en veille, sont connectés par des ports L1 pour établir une
liaison de basculement. Le dispositif SD-WAN Edge en veille bloque tous les ports, à l'exception
du port L1 dédié à la liaison de basculement. Comme illustré sur la figure, le dispositif Edge actif
établit des tunnels de superposition sur les deux liaisons WAN (interconnectées et connectées au
dispositif Edge en veille).

Note Les deux instances de SD-WAN Edges ne doivent pas disposer de connexions WAN
physiques en miroir. Comme illustré sur la figure, si VCE1 dispose de GE2 comme liaison WAN,
GE2 ne peut pas faire partie de VCE2 comme liaison WAN.

Pour exploiter la liaison WAN connectée au dispositif Edge en veille, le dispositif Edge actif établit
le tunnel de superposition via la liaison HA. Le trafic du LAN est transféré vers le dispositif Edge
actif. La stratégie d'entreprise de la branche définit la distribution de trafic dans les tunnels de
superposition.

Condition Split-Brain
Lorsque la liaison HA est déconnectée ou lorsque les dispositifs Edge Actif et En veille ne
parviennent pas à communiquer entre eux, les deux dispositifs Edge assument le rôle Actif. Par
conséquent, les deux dispositifs Edge commencent à répondre aux demandes ARP sur leurs
interfaces LAN. Cela entraîne le transfert du trafic LAN vers les deux dispositifs Edge, ce qui peut
entraîner des boucles Spanning Tree sur le LAN.

VMware, Inc. 627

Guide d'administration de VMware SD-WAN

En général, les commutateurs exécutent le protocole Spanning Tree pour éviter les boucles dans
le réseau. Dans cette condition, le commutateur bloque le trafic vers un ou les deux dispositifs
Edge. Cela entraîne une perte totale du trafic via la paire de dispositifs Edge.

Note Sur un déploiement à haute disponibilité améliorée (dans le cas où aucun commutateur
de couche 2 n'est connecté aux interfaces WAN du dispositif Edge), la connectivité à la
passerelle principale est requise pour la détection de Split-Brain. Pour plus d'informations sur
la fonctionnalité de détection de Split-Brain, reportez-vous à la section Détection et prévention de
Split-Brain.

Détection et prévention de Split-Brain

Cette section couvre les mécanismes utilisés pour détecter et empêcher un état Split-Brain dans
un déploiement de dispositif Edge à l'aide d'une topologie à haute disponibilité.

Il existe deux mécanismes pour détecter et empêcher une condition Split-Brain dans un
déploiement à haute disponibilité (dans lequel les deux dispositifs Edge HA deviennent actifs).

Le premier mécanisme implique l'envoi de pulsations de diffusion de couche 2 entre les deux
dispositifs Edge HA lorsque le lien de pulsation HA entre les périphériques est perdu. Une
pulsation de diffusion de couche 2 (EtherType 0x9999) est envoyée à partir du dispositif Edge
actif sur toutes ses interfaces WAN afin de rechercher le dispositif Edge passif dans ce réseau de
diffusion. Lorsque le dispositif Edge passif reçoit ce paquet, il l'interprète comme une indication
pour maintenir son état passif actuel. Ce mécanisme est utilisé par un déploiement à haute
disponibilité héritée dans lequel les ports WAN des deux dispositifs Edge HA sont connectés au
même commutateur de couche 2.

Le second mécanisme utilisé pour détecter et empêcher les conditions Split-Brain exploite la
passerelle principale utilisée par les dispositifs Edge HA. Ce mécanisme est le seul moyen
de détecter et d'empêcher la condition Split-Brain dans un déploiement à haute disponibilité
améliorée, car cette topologie ne connecte pas les deux dispositifs Edge HA à un commutateur de
couche 2 montant.

La passerelle principale dispose d'une connexion préexistante au dispositif Edge actif (VCE1).
Dans une condition Split-Brain, le dispositif Edge passif (VCE2) passe à l'état Actif (Active) et
tente d'établir un tunnel avec la passerelle principale (VCG). Celle-ci envoie une réponse au
dispositif Edge passif (VCE2) lui indiquant de passer à l'état Passif (Standby) et n'autorise pas
l'établissement du tunnel. Celle-ci dispose toujours de tunnels depuis le dispositif Edge actif
uniquement.

VMware, Inc. 628

Guide d'administration de VMware SD-WAN

Dès que le lien HA tombe en panne, le dispositif VCE2 passe à l'état Actif (Active) et active les
ports LAN/WAN, puis tente d'établir des tunnels avec la passerelle principale. Si le dispositif VCE1
dispose toujours de tunnels, la passerelle principale demande au dispositif VCE2 de revenir à
l'état Passif (Standby) et, par conséquent, le dispositif VCE2 bloque ses ports LAN. Seules les
interfaces LAN restent bloquées (tant que le câble HA est défectueux). Comme illustré sur la
figure suivante, la passerelle indique au dispositif VCE2 de passer à l'état Passif (Standby). Cette
opération empêche logiquement le scénario Split-Brain de se produire.

Note Le basculement du mode actif vers passif dans un scénario Split-Brain est différent
d'un basculement normal dans lequel le dispositif Edge actif est tombé en panne. La
convergence d'un basculement correctif Split-Brain peut prendre quelques millisecondes/
secondes supplémentaires.

Note Lors de la configuration des paramètres de l'interface WAN pour un dispositif Edge, si
vous sélectionnez « PPPoE » dans le champ « Type d'adressage », le dispositif Edge ne peut
pas envoyer de paquet de pulsation par diffusion à partir de l'interface WAN configurée comme
« PPPoE ».

MPLS Internet

WAN1 VCG WAN2

Notifier VCE2
Routeur CE de passer Modem
l'état à Passif
(Standby)

Dispositif Dispositif
Edge Edge
Actif passif
VCE1 VCE2

Réponse
ARP

LAN

VMware, Inc. 629

Guide d'administration de VMware SD-WAN

Scénarios de panne
Cette section décrit les scénarios suivants qui peuvent déclencher un basculement d'un dispositif
Edge actif vers un dispositif Edge en veille.

n Panne de liaison WAN

n Panne de liaison LAN

n Fonctions du dispositif Edge qui ne répondent pas

n Blocage, redémarrage ou absence de réponse du dispositif Edge

Prise en charge de BGP sur la liaison HA

En cas de basculement des dispositifs Edge vers l'option HA améliorée, l'instance de SD-WAN
Edge active échange les routes BGP sur la liaison HA. BGP sur le dispositif Edge actif peut
désormais établir un voisinage avec un homologue connecté uniquement à la liaison WAN du
dispositif Edge en veille.

Cela permet au dispositif Edge actif d'apprendre les routes de la ou des liaisons WAN connectées
au dispositif Edge en veille. Le démon de routage sur l'instance en veille n'est impliqué dans
aucune des fonctionnalités. Le dispositif Edge en veille se contente d'effectuer un relais.

Note Les routes ne sont pas synchronisées entre les dispositifs Edge actif et en veille. Par
conséquent, dans le scénario ci-dessus, s'il existe un basculement et si un dispositif Edge en veille
devient actif, le démon BGP sur le dispositif Edge récemment actif établit un nouveau voisinage
avec le même homologue BGP.

Critères de sélection pour déterminer l'état Actif et En veille

Cette section décrit les critères de sélection utilisés pour déterminer l'état Actif et En veille.

n Vérifiez que le dispositif Edge dispose d'interfaces LAN de numéro supérieur (L2 et L3). Le
dispositif Edge ayant le plus grand nombre d'interfaces LAN est choisi comme actif. Notez que
l'interface utilisée pour la liaison HA n'est pas comptabilisée comme interface LAN.

n Si les deux dispositifs Edge disposent du même nombre d'interfaces LAN, le dispositif Edge
ayant le plus grand nombre d'interfaces WAN est choisi comme actif.

Note Il n'existe aucune préemption si les deux dispositifs Edge disposent du même nombre
d'interfaces LAN et WAN.

n Matrice de prise en charge supplémentaire :

n Les liaisons statiques/DHCP/PPPoE sont prises en charge.

n Plusieurs liaisons WAN marquées individuellement d'un ID de VLAN distinct sur une
interface unique (par exemple, les sous-interfaces) sont prises en charge.

VMware, Inc. 630

Guide d'administration de VMware SD-WAN

n Les modems USB ne sont pas recommandés sur HA. L'interface n'est pas utilisée
lorsqu'elle est présente dans le dispositif Edge en veille.

Trafic avec balise VLAN sur la liaison HA

Cette section décrit le trafic avec balise VLAN sur une liaison HA.

n Le trafic Internet d'ISP2 comporte une balise VLAN.

n Le client dispose de VLAN distincts pour le trafic de l'entreprise et le trafic DIA.

n La liaison WAN sur le dispositif en veille dispose de sous-interfaces pour transporter le trafic
Internet.

n Segments multiples

Configurer HA
Pour configurer la haute disponibilité, configurez les dispositifs Edge actifs et en veille.

Activer la haute disponibilité

Vous pouvez activer la haute disponibilité (HA) sur une paire de dispositifs Edge pour garantir la
redondance.

1 Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositifs Edge (Edges).

VMware, Inc. 631

Guide d'administration de VMware SD-WAN

2 Sélectionnez le dispositif SD-WAN Edge dans la liste et cliquez sur l'onglet Périphérique
(Device).

3 Faites défiler la liste vers le bas jusqu'à la section Haute disponibilité (High Availability), puis
cliquez sur Paire Actif-En veille (Active Standby Pair).

Par défaut, l'interface HA pour connecter la paire est sélectionnée comme suit :

n Pour les dispositifs Edge 520, 520v et 540 : le port LAN1 est utilisé comme interface HA et
DPDK n'est pas activé sur ces plates-formes.

n Pour les dispositifs Edge 510, 610, 620, 640, 680, 840, 2000, 3400 et 3800 : le port GE1 est
utilisé comme interface HA et DPDK est activé sur ces plates-formes.

Note Les interfaces HA ci-dessus sont sélectionnées automatiquement et vous ne pouvez pas
configurer une interface HA manuellement.

Attendez que l'instance de SD-WAN Edge remplisse le rôle Actif

Après l'activation de la fonctionnalité de haute disponibilité sur SD-WAN Orchestrator, attendez
que l'instance de SD-WAN Edge existante remplisse un rôle Actif, puis attendez que les
événements de SD-WAN Orchestrator affichent Haute disponibilité en cours d'activation (High
Availability Going Active).

Connecter l'instance de SD-WAN Edge en veille au dispositif Edge

actif

1 Mettez sous tension l'instance de SD-WAN Edge en veille sans connexion réseau.

2 Après le démarrage, connectez l'interface LAN1/GE1 (comme indiqué dans l'onglet

Périphérique [Device]) à la même interface sur l'instance de SD-WAN Edge active.

VMware, Inc. 632

Guide d'administration de VMware SD-WAN

3 Attendez que l'instance de SD-WAN Edge active détecte et active automatiquement l'instance
de SD-WAN Edge en veille. Les événements de SD-WAN Orchestrator affichent Instance en
veille HA activée (HA Standby Activated) lorsque SD-WAN Orchestrator active l'instance de
SD-WAN Edge en veille.

Le dispositif Edge en veille commence alors à se synchroniser avec l'instance de SD-WAN Edge
active et redémarre automatiquement pendant le processus.

Note La synchronisation de l'instance de SD-WAN Edge en veille et la mise à niveau de son

logiciel peuvent prendre jusqu'à 10 minutes avec le dispositif Edge actif.

Connecter les interfaces LAN et WAN sur l'instance de SD-WAN

Edge en veille
Connectez les interfaces LAN et WAN sur l'instance de SD-WAN Edge en veille en mettant en
miroir la connectivité réseau sur le dispositif Edge actif.

Les événements de SD-WAN Orchestrator affichent Mise à jour logicielle du périphérique en

attente terminée (Standby device software update completed). L'état de HA (HA State) sur la
page Surveiller (Monitor) > Dispositifs Edge (Edges) s'affiche en vert une fois prêt.

Détails de l'événement HA
Cette section décrit les événements HA.
Événement HA (HA Event) Description

HA_GOING_ACTIVE Une instance de SD-WAN Edge en veille prend le relais en tant qu'active, car elle n'a reçu
aucune pulsation de l'homologue.

HA_STANDBY_ACTIVATED Lorsqu'une nouvelle instance en veille est détectée par l'instance active, cette dernière
tente d'activer le dispositif Edge en envoyant cet événement à SD-WAN Orchestrator.
Lors d'une réponse réussie, l'instance active synchronise les configurations et synchronise
les données.

VMware, Inc. 633

Guide d'administration de VMware SD-WAN

HA_FAILED Se produit généralement lorsque la paire HA est formée et que l'instance de SD-WAN
Edge active ne reçoit plus l'instance de SD-WAN Edge en veille. Par exemple, si l'instance
de SD-WAN Edge en veille redémarre, vous recevez ce message.

HA_READY Signifie que l'instance de SD-WAN Edge active reçoit désormais l'instance de SD-WAN
Edge en veille. Une fois que l'instance de SD-WAN Edge se reconnecte et rétablit la
pulsation, vous recevez ce message.

HA_TERMINATED Lorsque la configuration HA est désactivée et qu'elle est appliquée sur les dispositifs
Edge, cet événement est généré.

HA_ACTIVATION_FAILURE Si SD-WAN Orchestrator ne parvient pas à vérifier l'activation HA, il génère cet
événement. Les exemples incluent :
n SD-WAN Orchestrator ne parvient pas à générer un certificat ;
n la haute disponibilité a été désactivée (rare).

Déploiement de HA sur VMware ESXi

Vous pouvez déployer VMware SD-WAN HA sur VMware ESXi à l'aide des topologies prises en
charge.

Lors du déploiement de HA sur VMware ESXi, tenez compte des limitations suivantes :

Limitations de VMware ESXi

n Les commutateurs virtuels ne prennent pas en charge la fonctionnalité de transfert de perte
de liaison. Cette fonctionnalité garantit que les pannes sur l'interface physique sont propagées
aux interfaces virtuelles du vSwitch, ce qui prend en charge les défaillances de niveau de
liaison. Étant donné que les commutateurs virtuels ne prennent pas en charge cette option,
même si un adaptateur physique tombe en panne, les dispositifs Edge VMware verront la
liaison active et ne seront pas basculés.

n Les commutateurs virtuels ne permettent pas de configurer des VLAN spécifiques sur un
groupe de ports si vous souhaitez autoriser plus d'un VLAN. Au lieu des VLAN spécifiques,
vous devez configurer 4095, ce qui signifie l'autorisation de tous les VLAN.

Limitations de VMware SD-WAN HA

n Il n'existe pas de méthode de détection de panne générique qui fonctionnera sur toutes les
plates-formes matérielles, virtuelles et uCPE.

VMware SD-WAN prend en charge les topologies suivantes lors du déploiement de HA sur
VMware ESXi :

Topologie 1 : HA héritée avec des liaisons WAN

L'image suivante illustre une topologie avec HA héritée, ainsi que des liaisons WAN qui ont été
acheminées à l'aide d'un adaptateur physique unique et d'un réseau LAN routé ou d'un réseau
LAN de jonction via un adaptateur physique unique.

VMware, Inc. 634

Guide d'administration de VMware SD-WAN

Commutateur à glissière WAN

VLAN 100, VLAN 100,

VLAN 200 VLAN 200

vmnic1 vmnic1

vSwitch3 vSwitch3

WAN1 WAN2 WAN1 WAN2

VLAN 100 VLAN 200 VLAN 100 VLAN 200

Liaison br-HA
VMware SD-WAN Edge1 VMware SD-WAN Edge2
VLAN vSwitch 1 vSwitch 1 VLAN
4095 4095

4095 4095

vSwitch2 vSwitch2

vmnic2 vmnic2

Commutateur LAN L2 ou
Commutateur L3
VLAN 30, VLAN 30,
VLAN 40 VLAN 40

Topologie 2 : HA améliorée avec des liaisons WAN

La topologie suivante affiche HA améliorée avec trois liaisons WAN.

VMware, Inc. 635

Guide d'administration de VMware SD-WAN

VLAN 100 VLAN 300

VLAN 200

vmnic1 vmnic3 vmnic4

vSwitch3 vSwitch 4 vSwitch3

WAN1 WAN3 WAN2

VLAN 100 VLAN 300 VLAN 4095

Liaison br-HA
VMware SD-WAN Edge1 VMware SD-WAN Edge2
VLAN vSwitch 1 vSwitch 1 VLAN
4095 4095

4095 4095

vSwitch2 vSwitch2

vmnic2 vmnic2

Commutateur LAN L2 ou
Commutateur L3
VLAN 30, VLAN 30,
VLAN 40 VLAN 40

Topologie 3 : HA améliorée avec des sous-interfaces

VMware, Inc. 636

Guide d'administration de VMware SD-WAN

L'image suivante montre HA améliorée avec les sous-interfaces sur les

interfaces WAN avec l'ID de VLAN 4095 sur le groupe de ports.

VLAN 100 VLAN 300

VLAN 130 VLAN 304 VLAN 200
VLAN 135 VLAN 306

vmnic1 vmnic3 vmnic4

vSwitch3 vSwitch 4 vSwitch3

WAN1 WAN3 WAN2

VLAN 4095 VLAN 4095 VLAN 4095

Liaison br-HA
VMware SD-WAN Edge1 VMware SD-WAN Edge2
VLAN vSwitch 1 vSwitch 1 VLAN
4095 4095

4095 4095

vSwitch2 vSwitch2

vmnic2 vmnic2

Commutateur LAN L2 ou
Commutateur L3
VLAN 30, VLAN 30,
VLAN 40 VLAN 40

Topologie 4 : Dell IT

L'image suivante montre Dell IT à l'aide du matériel VEP.

VMware, Inc. 637

Guide d'administration de VMware SD-WAN

liaison active liaison en veille liaison active liaison en veille

vmnic1 vmnic2 vmnic1 vmnic2

vSwitch1 vSwitch2

WAN1 WAN2 WAN1 WAN2

VLAN 100 VLAN 200 LAN 4095 VLAN 100 VLAN 200 LAN 4095

Liaison br-HA
VMware SD-WAN Edge1 VLAN vSwitch 1 vSwitch 1 VLAN VMware SD-WAN Edge2
4095 4095

VMware, Inc. 638

Déploiement du dispositif virtuel
VMware 25
Le dispositif Edge virtuel est disponible en tant que machine virtuelle pouvant être installée
sur des hyperviseurs standard. Cette section décrit les conditions préalables et la procédure
d'installation pour déployer un dispositif Edge virtuel VMware sur des hyperviseurs KVM et
VMware ESXi.

Ce chapitre contient les rubriques suivantes :

n Conditions préalables au déploiement d'un dispositif Edge virtuel VMware

n Considérations spéciales pour le déploiement du dispositif Edge virtuel VMware

n Création de cloud-init

n Installer le dispositif virtuel VMware

Conditions préalables au déploiement d'un dispositif Edge

virtuel VMware
Décrit les exigences liées au déploiement d'un dispositif Edge virtuel VMware.

Conditions requises d'un dispositif Edge virtuel

Gardez à l'esprit la configuration requise suivante avant de déployer le dispositif Edge virtuel :

n Prend en charge l'attribution de 2, 4, 8 et 10 vCPU.

2 vCPU 4 vCPU 8 vCPU 10 vCPU

Mémoire minimale (DRAM) 8 Go 16 Go 32 Go 32 Go

Stockage minimal (disque virtuel) 8 Go 8 Go 16 Go 16 Go

n La capacité du CPU AES-NI doit être transmise au dispositif Edge virtuel.

n Jusqu'à 8 vNIC (par défaut, les ports LAN GE1 et GE2, ainsi que les ports WAN GE3 à GE8).

Attention Le surabonnement des ressources du dispositif Edge virtuel telles que le CPU, la
mémoire et le stockage n'est pas pris en charge.

VMware, Inc. 639

Guide d'administration de VMware SD-WAN

Spécifications de serveur recommandées

Chipset de carte réseau Matériel Spécification

Intel 82599/82599ES HP DL380G9 [Link]

ComputeEra/HP_ProLiantDL380_DataSheet.pdf

Intel X710/XL710 Dell [Link]

PowerEdge R640 n Modèle de CPU et cœurs - Double socket Intel(R) Xeon(R)
Gold 5218 CPU à 2,30 GHz avec 16 cœurs chacun
n Mémoire - 384 Go de RAM

Intel X710/XL710 Supermicro [Link]

SYS-6018U-TRTP+ SYS-6018U-TRTP_.cfm
n Modèle de CPU et cœurs - Double socket Intel(R) Xeon(R) CPU
E5-2630 v4 à 2,20 GHz avec 10 cœurs chacun
n Mémoire - 256 Go de RAM

Spécifications de carte réseau recommandées

Version du Pilote d'hôte pour Pilote d'hôte
Fabricant du matériel microprogramme Ubuntu 16.04/18.04 pour ESXi 6.7

Contrôleur Ethernet Intel Corporation 6.80 2.7.11 1.7.17

double port XL710 pour 40 Go E QSFP+

Contrôleur Ethernet Intel Corporation 6.80 2.7.11 1.7.17

double port X710 pour 10 Go E SFP+

Contrôleur Ethernet Intel Corporation 6.80 2.7.11 1.7.17

quatre port X710 pour 10 Go E SFP+

Systèmes d'exploitation pris en charge

n Ubuntu 16.04

n VMware vSphere ESXi 6.7, et à partir de la version 4.3 et versions ultérieures VMware vSphere
ESXi 6.7 et 7.0

Configuration requise pour le pare-feu/dispositif NAT

Si le dispositif Edge virtuel VMware est déployé derrière le pare-feu et/ou un périphérique NAT,
les conditions requises suivantes s'appliquent :

n Le pare-feu doit autoriser le trafic sortant du dispositif Edge virtuel VMware vers TCP/443
(pour la communication avec SD-WAN Orchestrator).

n Le pare-feu doit autoriser le trafic sortant vers Internet sur les ports UDP/2426 (VCMP).

Exigences des indicateurs de CPU

Pour obtenir des informations détaillées sur les exigences des indicateurs de CPU pour déployer
le dispositif Edge virtuel, reportez-vous à la section Considérations spéciales pour le déploiement
du dispositif Edge virtuel VMware.

VMware, Inc. 640

Guide d'administration de VMware SD-WAN

Considérations spéciales pour le déploiement du dispositif

Edge virtuel VMware
Décrit les considérations spéciales pour le déploiement du dispositif Edge virtuel VMware.

n Le dispositif SD-WAN Edge est une application sensible à la latence. Pour ajuster la machine
virtuelle (VM) en tant qu'application sensible à la latence, reportez-vous à la documentation de
VMware.

n Paramètres d'hôte recommandés :

n Paramètres BIOS pour obtenir des performances optimales :

n CPU à 2.0 GHz au minimum

n Activer la technologie de virtualisation Intel (Intel VT)

n Désactiver l'hyper-threading

n Le dispositif Edge virtuel prend en charge la carte réseau virtuelle paravirtualisée

VMXNET 3 et la carte réseau virtuelle relais SR-IOV :

n Lorsque vous utilisez VMXNET3, désactivez SR-IOV sur le BIOS de l'hôte et ESXi

n Lorsque vous utilisez SR-IOV, activez SR-IOV sur le BIOS de l'hôte et ESXi

n Pour activer SR-IOV sur VMware et KVM, reportez-vous à :

n KVM : Activer SR-IOV sur KVM

n VMware : Activer SR-IOV sur VMware

n Désactiver les économies d'énergie sur le BIOS du CPU pour obtenir des performances
optimales

n Activer le turbo du CPU

n Le CPU doit prendre en charge les jeux d'instructions AES-NI, SSSE3, SSE4, RDTSC,
RDSEED et RDRAND

n Recommander la réservation de 2 cœurs pour les charges de travail de l'hyperviseur

Par exemple, pour un système de CPU à 10 cœurs, recommandez l'exécution d'un

dispositif Edge virtuel à 8 cœurs ou deux dispositifs virtuels à 4 cœurs et réservez
2 cœurs pour les processus de l'hyperviseur.

n Pour un système hôte à double socket, assurez-vous que l'hyperviseur attribue des
adaptateurs réseau, de la mémoire et des ressources de CPU qui se trouvent dans la
même limite de socket (NUMA) que les vCPU attribués.

n Paramètres de VM recommandés :

n Le CPU doit être défini sur « réservé à 100 % »

n Les parts de CPU doivent être définies sur Élevé

n La mémoire doit être définie sur « réservée à 100 % »

VMware, Inc. 641

Guide d'administration de VMware SD-WAN

n La sensibilité de latence doit être définie sur Élevée

n Le nom d'utilisateur par défaut de la console SSH du dispositif SD-WAN Edge est root.

Création de cloud-init
Cloud-init est un module Linux responsable de la gestion de l'initialisation précoce des instances.
S'il est disponible dans les distributions, il permet la configuration de nombreux paramètres
communs de l'instance directement après l'installation. Cela crée une instance entièrement
fonctionnelle configurée en fonction d'une série d'entrées. La configuration de cloud-init se
compose de deux fichiers de configuration principaux, du fichier de métadonnées et du fichier
de données utilisateur. Les métadonnées contiennent la configuration réseau du dispositif Edge
alors que les données utilisateur contiennent la configuration du logiciel Edge. Le fichier cloud-
init fournit des informations qui identifient l'instance du dispositif Edge VMware virtuel en cours
d'installation.

Vous pouvez configurer le comportement de cloud-init via user-data. Les données utilisateur
peuvent être fournies par l'utilisateur au moment du lancement de l'instance. Pour ce faire,
attachez un disque secondaire au format ISO que cloud-init recherche au premier démarrage. Ce
disque contient toutes les données de configuration initiale qui sont appliquées à ce moment-là.

Le dispositif Edge VMware virtuel prend en charge cloud-init et toutes les configurations
essentielles packagées dans une image ISO.

Créer les fichiers de données utilisateur et de métadonnées de cloud-

init
Les options de configuration de l'installation finale sont définies à l'aide d'une paire de fichiers
de configuration de cloud-init. Le premier fichier de configuration de l'installation contient les
métadonnées. Créez ce fichier à l'aide d'un éditeur de texte et appelez-le meta-data. Ce fichier
fournit des informations qui identifient le dispositif Edge VMware virtuel en cours d'installation.
L'ID de l'instance peut être n'importe quel nom d'identification et le nom d'hôte local doit être un
nom d'hôte conforme aux normes de votre site.

1 Créez le fichier de métadonnées qui contient l'instance de :

[Link]-id: vedge1

local-hostname: vedge1

2 Ajoutez la section network-interfaces affichée ci-dessous pour spécifier la configuration

WAN. Seules les interfaces WAN nécessitant un adressage IP statique doivent être spécifiées.
Par défaut, toutes les interfaces WAN du dispositif SD-WAN Edge sont configurées pour
DHCP. Plusieurs interfaces peuvent être spécifiées.

root@ubuntu# cat meta-data

instance-id: Virtual-Edge
local-hostname: Virtual-Edge
network-interfaces:

VMware, Inc. 642

Guide d'administration de VMware SD-WAN

GE1:
mac_address: [Link]
GE2:
mac_address: [Link]
GE3:
type: static
ipaddr: [Link]
mac_address: [Link]
netmask: [Link]
gateway: [Link]
GE4:
type: static
ipaddr: [Link]
mac_address: [Link]
netmask: [Link]
gateway: [Link]

3 Créez le fichier user-data. Ce fichier contient trois modules principaux : SD-WAN

Orchestrator, Code d'activation (Activation Code) et Ignorer les erreurs de certificats (Ignore
Certificates Errors).

Module Description

vco Adresse IP/URL de SD-WAN Orchestrator.

activation_code Code d'activation du dispositif Edge virtuel. Le code d'activation est généré lors de la
création d'une instance Edge sur SD-WAN Orchestrator.

vco_ignore_cert_errors Option permettant de vérifier ou d'ignorer les erreurs de validité du certificat.

Le code d'activation est généré lors de la création d'une instance Edge sur SD-WAN
Orchestrator.

Important Par défaut, il n'y a pas de mot de passe par défaut dans l'image du dispositif
SD-WAN Edge. Le mot de passe doit être fourni dans cloud-config :

#cloud-config
password: passw0rd
chpasswd: { expire: False }
ssh_pwauth: True
velocloud:
vce:
vco: [Link]
activation_code: F54F-GG4S-XGFI
vco_ignore_cert_errors: true

VMware, Inc. 643

Guide d'administration de VMware SD-WAN

Créer le fichier ISO

Après avoir terminé vos fichiers, vous devez les packager dans une image ISO. Cette image ISO
est utilisée comme CD de configuration virtuel avec la machine virtuelle. Cette image ISO (appelée
[Link] dans l'exemple ci-dessous) est créée à l'aide de la commande suivante sur le système
Linux :

genisoimage -output [Link] -volid cidata -joliet -rock user-data meta-data network-data

L'ajout de la section network-interfaces est facultative. Si la section est absente, l'option DHCP
est utilisée par défaut.

Une fois l'image ISO générée, transférez-la vers une banque de données sur la machine hôte.

Installer le dispositif virtuel VMware

Vous pouvez installer le dispositif virtuel VMware sur KVM et VMware ESXi à l'aide d'un fichier de
configuration cloud-init. La configuration de cloud-init contient des configurations d'interface et la
clé d'activation du dispositif Edge.

Conditions préalables

Vérifiez que vous avez créé les fichiers meta-data et user-data de cloud-init et que vous avez
packagé les fichiers dans un fichier image ISO. Pour obtenir des instructions, reportez-vous à la
section Création de cloud-init.

KVM offre plusieurs méthodes pour la mise en réseau des machines virtuelles. VMware
recommande les options suivantes :

n SR-IOV

n Pont Linux

n Pont OpenVSwitch

Si vous décidez d'utiliser le mode SR-IOV, activez SR-IOV sur KVM et VMware. Pour les étapes,
reportez-vous aux sections suivantes :

n Activer SR-IOV sur KVM

n Activer SR-IOV sur VMware

Pour installer le dispositif virtuel VMware :

n Sur KVM, reportez-vous à la section Installer le dispositif Edge virtuel sur KVM.

n Sur VMware ESXi, consultez la section Installer le dispositif Edge virtuel sur VMware ESXi.

Activer SR-IOV sur KVM

Pour activer le mode SR-IOV sur KVM, procédez comme suit.

VMware, Inc. 644

Guide d'administration de VMware SD-WAN

Conditions préalables
Cela nécessite une carte réseau spécifique. Les chipsets suivants sont certifiés par VMware pour
être compatibles avec SD-WAN Gateway et SD-WAN Edge.

n Intel 82599/82599ES

n Intel X710/XL710

Note Avant d'utiliser les cartes Intel X710/XL710 en mode SR-IOV sur KVM, vérifiez que les
versions de microprogrammes et de pilotes prises en charge spécifiées dans la section Conditions
préalables au déploiement sont installées correctement.

Note Le mode SR-IOV n'est pas pris en charge si le dispositif Edge virtuel KVM est déployé avec
une topologie haute disponibilité. Pour les déploiements à haute disponibilité, assurez-vous que
SR-IOV n'est pas activé pour cette paire de dispositifs Edge KVM.

Pour activer SR-IOV sur KVM :

1 Activez SR-IOV dans le BIOS. Cette opération dépend de votre BIOS. Connectez-vous à la
console du BIOS et recherchez la prise en charge/l'accès direct à la mémoire (DMA, Direct
Memory Access) SR-IOV. Vous pouvez vérifier la prise en charge à l'invite en vérifiant qu'Intel
dispose de l'indicateur de CPU approprié.

cat /proc/cpuinfo | grep vmx

2 Ajoutez les options sur Bboot (dans /etc/default/grub).

GRUB_CMDLINE_LINUX="intel_iommu=on"

a Exécutez les commandes suivantes : update-grub et update-initramfs -u.

b Redémarrage (Reboot)

c Vérifiez que l'unité de gestion de mémoire des entrées/sorties (IOMMU, Input/Output

Memory Management Unit) est activée.

velocloud@KVMperf3:~$ dmesg | grep -i IOMMU

[ 0.000000] Command line: BOOT_IMAGE=/vmlinuz-3.13.0-107-generic root=/dev/mapper/qa--
multiboot--002--vg-root ro intel_iommu=on splash quiet [Link]=7
[ 0.000000] Kernel command line: BOOT_IMAGE=/vmlinuz-3.13.0-107-generic root=/dev/
mapper/qa--multiboot--002--vg-root ro intel_iommu=on splash quiet [Link]=7
[ 0.000000] Intel-IOMMU: enabled
….
velocloud@KVMperf3:~$

3 En fonction du chipset de la carte réseau utilisé, ajoutez un pilote comme suit :

n Pour les cartes Intel 82599/82599ES en mode SR-IOV :

1 Téléchargez et installez le pilote ixgbe sur le site Web Intel.

VMware, Inc. 645

Guide d'administration de VMware SD-WAN

2 Définissez le fichier de configuration ixgbe (tar et sudo make install).

velocloud@KVMperf1:~$ cat /etc/modprobe.d/[Link]

3 Si le fichier de configuration xgbe n'existe pas, vous devez le créer comme suit.

options ixgbe max_vfs=32,32

options ixgbe allow_unsupported_sfp=1
options ixgbe MDD=0,0
blacklist ixgbevf

4 Exécutez la commande update-initramfs -u et redémarrez le serveur.

5 Utilisez la commande modinfo pour vérifier si l'installation a réussi.

velocloud@KVMperf1:~$ modinfo ixgbe and ip link

filename: /lib/modules/4.4.0-62-generic/updates/drivers/net/ethernet/intel/ixgbe/
[Link]
version: 5.0.4
license: GPL
description: Intel(R) 10GbE PCI Express Linux Network Driver
author: Intel Corporation, <[Link]@[Link]>
srcversion: BA7E024DFE57A92C4F1DC93

n Pour les cartes Intel X710/XL710 en mode SR-IOV :

1 Téléchargez et installez le pilote i40e sur le site Web Intel.

2 Créez les fonctions virtuelles (VF).

echo 4 > /sys/class/net/device name/device/sriov_numvfs

3 Pour rendre les fonctions virtuelles persistantes après un redémarrage, ajoutez la

commande de l'étape précédente au fichier "/etc/rc.d/[Link]".

4 Désactivez le pilote VF.

echo “blacklist i40evf” >> /etc/modprobe.d/[Link]

5 Exécutez la commande update-initramfs -u et redémarrez le serveur.

Validation de SR-IOV (facultatif)

Vous pouvez vérifier rapidement si SR-IOV est activé sur votre machine hôte à l'aide de la
commande suivante :

lspci | grep -i Ethernet

Vérifiez que vous disposez de fonctions virtuelles :

01:10.0 Ethernet controller: Intel Corporation 82599 Ethernet Controller Virtual Function(rev
01)

VMware, Inc. 646

Guide d'administration de VMware SD-WAN

Installer le dispositif Edge virtuel sur KVM

Décrit comment installer et activer le dispositif Edge virtuel sur KVM à l'aide d'un fichier de
configuration cloud-init.

Si vous décidez d'utiliser le mode SR-IOV, activez SR-IOV sur KVM. Pour obtenir des instructions,
reportez-vous à la section Activer SR-IOV sur KVM.

Note Le mode SR-IOV n'est pas pris en charge si le dispositif Edge virtuel KVM est déployé avec
une topologie haute disponibilité. Pour les déploiements à haute disponibilité, assurez-vous que
SR-IOV n'est pas activé pour cette paire de dispositifs Edge KVM.

Pour exécuter le dispositif Edge virtuel VMware sur KVM à l'aide de libvirt :

1 Utilisez gunzip pour extraire le fichier qcow2 à l'emplacement de l'image (par

exemple, /var/lib/libvirt/images).

2 Créez les pools de réseaux que vous allez utiliser pour le périphérique, à l'aide de SR-IOV et
d'OpenVswitch.

Utilisation de SR-IOV (Using SR-IOV)

Voici un exemple de modèle d'interface réseau spécifique des cartes réseau Intel X710/XL710
utilisant SR-IOV.

<interface type='hostdev' managed='yes'>

<mac address='[Link]'/>
<driver name='vfio'/>
<source>
<address type='pci' domain='0x0000' bus='0x83' slot='0x0a' function='0x0'/>
</source>
<model type='virtio'/>
</interface>

Utilisation d'OpenVSwitch (Using OpenVSwitch)

<network>
<name>passthrough</name>
<model type='virtio'/>
<forward mode="bridge"/>
<bridge name="passthrough"/>
<virtualport type='openvswitch'>
</virtualport>
<vlan trunk='yes'>
<tag id='33' nativeMode='untagged'/>
<tag id='200'/>
<tag id='201'/>
<tag id='202'/>
</vlan>
</network>
Bridge
<network>
<name>passthrough</name>

VMware, Inc. 647

Guide d'administration de VMware SD-WAN

<model type='virtio'/>
<forward mode="bridge"/>
</network>
<domain type='kvm'>
<name>vedge1</name>
<memory unit='KiB'>4194304</memory>
<currentMemory unit='KiB'>4194304</currentMemory>
<vcpu placement='static'>2</vcpu>
<resource>
<partition>/machine</partition>
</resource>
<os>
<type arch='x86_64' machine='pc-i440fx-trusty'>hvm</type>
<boot dev='hd'/>
</os>
<features>
<acpi/>
<apic/>
<pae/>
</features>
<!--
Set the CPU mode to host model to leverage all the available features on the host CPU
-->
<cpu mode='host-model'>
<model fallback='allow'/>
</cpu>
<clock offset='utc'/>
<on_poweroff>destroy</on_poweroff>
<on_reboot>restart</on_reboot>
<on_crash>restart</on_crash>
<devices>
<emulator>/usr/bin/kvm-spice</emulator>
<!--
Below is the location of the qcow2 disk image
-->
<disk type='file' device='disk'>
<driver name='qemu' type='qcow2'/>
<source file='/var/lib/libvirt/images/edge-VC_KVM_GUEST-x86_64-2.3.0-18- R23-20161114-GA-
updatable-ext4.qcow2'/>
<target dev='sda' bus='sata'/>
<address type='drive' controller='0' bus='0' target='0' unit='0'/>
</disk>
<!--
If using cloud-init to boot up virtual edge, attach the 2nd disk as CD-ROM
-->
<disk type='file' device='cdrom'>
<driver name='qemu' type='raw'/>
<source file='/home/vcadmin/cloud-init/vedge1/[Link]'/>
<target dev='sdb' bus='sata'/>
<readonly/>
<address type='drive' controller='1' bus='0' target='0' unit='0'/>
</disk>
<controller type='usb' index='0'>
<address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x2'/>
</controller>

VMware, Inc. 648

Guide d'administration de VMware SD-WAN

<controller type='pci' index='0' model='pci-root'/>

<controller type='sata' index='0'>
<address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x0'/>
</controller>
<controller type='ide' index='0'>
<address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x1'/>
</controller>
<!--
The first two interfaces are for the default L2 interfaces, NOTE VLAN support just for
SR-IOV and OpenvSwitch
-->
< interfacetype='network'>
< modeltype='virtio'/>
< sourcenetwork='LAN1'/>
< vlan>< tagid='#hole2_vlan#'/></ vlan>
< aliasname=LAN1/>
< addresstype='pci' domain='0x0000' bus='0x00' slot='0x12' function='0x0'/>
</ interface>
< interfacetype='network'>
< modeltype='virtio'/>
< sourcenetwork=LAN2/>
< vlan>< tagid='#LAN2_VLAN#'/></ vlan>
< aliasname='hostdev1'/>
< addresstype='pci' domain='0x0000' bus=' 0x00' slot='0x13' function='0x0'/>
</ interface>
<!--
The next two interfaces are for the default L3 interfaces. Note that additional 6 routed
interfaces
are supported for a combination of 8 interfaces total
-->
< interfacetype='network'>
< modeltype='virtio'/>
< sourcenetwork=WAN1/>
< vlan>< tagid='#hole2_vlan#'/></ vlan>
< aliasname=LAN1/>
< addresstype='pci' domain='0x0000' bus='0x00' slot='0x12' function='0x0'/>
</ interface>
< interfacetype='network'>
< modeltype='virtio'/>
< source network=LAN2/>
< vlan>< tag id='#LAN2_VLAN#'/></ vlan>
< aliasname='hostdev1'/>
< addresstype='pci' domain='0x0000' bus='0x00' slot='0x13' function='0x0'/>
</ interface>
<serial type='pty'>
<target port='0'/>
</serial>
<console type='pty'>
<target type='serial' port='0'/>
</console>
<input type='mouse' bus='ps2'/>
<input type='keyboard' bus='ps2'/>
<graphics type='vnc' port='-1' autoport='yes' listen='[Link]'>
<listen type='address' address='[Link]'/>
</graphics>

VMware, Inc. 649

Guide d'administration de VMware SD-WAN

<sound model='ich6'>
<address type='pci' domain='0x0000' bus='0x00' slot='0x04' function='0x0'/>
</sound>
<video>
<model type='cirrus' vram='9216' heads='1'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x02' function='0x0'/>
</video>
<memballoon model='virtio'>
<address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/>
</memballoon>
</devices>
</domain>

3 Enregistrez le fichier XML du domaine qui définit la VM (par exemple, [Link] créé à
l'étape 2).

4 Lancez la machine virtuelle en procédant comme suit :

a Créez une VM.

virsh define [Link]

b Démarrez la machine virtuelle.

virsh start vedge1

Note vedge1 est le nom de la VM définie dans l'élément <name> du fichier XML de domaine.
Remplacez vedge1 par le nom que vous spécifiez dans l'élément <name>.

5 Si vous utilisez le mode SR-IOV, après le lancement de la machine virtuelle, définissez les
éléments suivants sur les fonctions virtuelles utilisées :

a Désactivez la vérification de l'usurpation d'identité.

ip link set eth1 vf 0 spoofchk off

b Activez le mode Approuvé (Trusted).

ip link set dev eth1 vf 0 trust on

c Définissez le VLAN, si nécessaire.

ip link set eth1 vf 0 vlan 3500

Note L'étape de configuration des fonctions virtuelles ne s'applique pas au mode

OpenVSwitch (OVS).

VMware, Inc. 650

Guide d'administration de VMware SD-WAN

6 Accédez à la machine virtuelle.

virsh list
Id Name State
----------------------------------------------------
25 test_vcg running
velocloud@KVMperf2$ virsh console 25
Connected to domain test_vcg
Escape character is ^]

Le fichier cloud-init comprend déjà la clé d'activation, qui a été générée lors de la création d'un
dispositif Edge virtuel sur SD-WAN Orchestrator. Le dispositif Edge virtuel est configuré avec les
paramètres de configuration à partir du fichier cloud-init. Cela permet de configurer les interfaces
lors du démarrage du dispositif Edge virtuel. Une fois que le dispositif Edge virtuel est en ligne,
il est activé avec SD-WAN Orchestrator à l'aide de la clé d'activation. L'adresse IP et la clé
d'activation de SD-WAN Orchestrator ont été définies dans le fichier cloud-init.

Activer SR-IOV sur VMware

L'activation de SR-IOV sur VMware est facultative, mais elle est nécessaire pour tirer pleinement
parti de DPDK afin d'améliorer les performances de traitement des paquets.

Conditions préalables
Cela nécessite une carte réseau spécifique. Les chipsets suivants sont certifiés par VMware pour
être compatibles avec SD-WAN Gateway.

n Intel 82599/82599ES

n Intel X710/XL710

Note Avant d'utiliser les cartes Intel X710/XL710 en mode SR-IOV sur VMware, vérifiez que les
versions de microprogrammes et de pilotes prises en charge décrites dans la section Conditions
préalables au déploiement sont installées correctement.

Pour activer SR-IOV sur VMware :

1 Vérifiez que votre carte réseau prend en charge SR-IOV. Consultez la liste de compatibilité
matérielle VMware (HCL) à l'adresse [Link]
[Link]?deviceCategory=io

Nom de la marque : Intel

Type de périphérique d'E/S : réseau

Fonctionnalités : SR-IOV

VMware, Inc. 651

Guide d'administration de VMware SD-WAN

L'article de la base de connaissances VMware suivant fournit des informations sur l'activation
de SR-IOV sur la carte réseau prise en charge : [Link]

2 Une fois que vous disposez d'une carte réseau de support, accédez à l'hôte VMware
spécifique, sélectionnez l'onglet Configurer (Configure), puis choisissez Adaptateurs
physiques (Physical adapters).

3 Sélectionnez Modifier les paramètres (Edit Settings). Remplacez État (Status) par Activé
(Enabled) et spécifiez le nombre de fonctions virtuelles requises. Ce nombre varie selon le
type de carte réseau.

4 Redémarrez l'hyperviseur.

5 Si SR-IOV est activé, le nombre de fonctions virtuelles (VF) s'affiche sous la carte réseau
particulière après le redémarrage d'ESXi.

VMware, Inc. 652

Guide d'administration de VMware SD-WAN

Installer le dispositif Edge virtuel sur VMware ESXi

Décrit comment installer le dispositif Edge virtuel sur VMware ESXi.

Si vous décidez d'utiliser le mode SR-IOV, activez SR-IOV sur VMware. Pour obtenir des
instructions, reportez-vous à la section Activer SR-IOV sur VMware.

Pour installer le dispositif Edge virtuel sur VMware ESXi :

1 Utilisez vSphere Client pour déployer un modèle OVF, puis sélectionnez le fichier OVA du
dispositif Edge.

2 Sélectionnez un modèle OVF dans une URL ou un fichier local.

3 Sélectionnez un nom et un emplacement pour la machine virtuelle.

4 Sélectionnez une ressource.

5 Vérifiez les informations du modèle.

VMware, Inc. 653

Guide d'administration de VMware SD-WAN

6 Sélectionnez l'emplacement de stockage des fichiers du modèle de déploiement.

7 Configurez les réseaux pour chacune des interfaces.

Note Ignorez cette étape si vous utilisez un fichier cloud-init pour provisionner le dispositif
Edge virtuel sur ESXi.

VMware, Inc. 654

Guide d'administration de VMware SD-WAN

8 Personnalisez le modèle en spécifiant les propriétés de déploiement. L'image suivante est

mise en surbrillance :

a Dans l'interface utilisateur de SD-WAN Orchestrator, récupérez l'URL/l'adresse IP. Vous

aurez besoin de cette adresse pour l'étape c ci-dessous.

b Créez un dispositif Edge virtuel pour l'entreprise. Ensuite, copiez la clé d'activation. Vous
aurez besoin de la clé d'activation pour l'étape c ci-dessous.

c Sur la page Personnaliser le modèle (Customize template) affichée sur l'image ci-dessous,
entrez le code d'activation que vous avez récupéré à l'étape b ci-dessus et l'URL/
l'adresse IP de SD-WAN Orchestrator récupérée à l'étape a ci-dessus, dans les champs
correspondants.

VMware, Inc. 655

Guide d'administration de VMware SD-WAN

9 Vérifiez les données de configuration.

VMware, Inc. 656

Guide d'administration de VMware SD-WAN

10 Mettez sous tension le dispositif Edge virtuel.

Après la mise sous tension du dispositif Edge, ce dernier établit la connectivité à SD-WAN
Orchestrator.

VMware, Inc. 657

Automatisation de SD-WAN
Gateway et d'Azure Virtual WAN 26
SD-WAN Orchestrator prend en charge l'intégration et l'automatisation d'Azure Virtual WAN et
de SD-WAN Gateway afin d'activer la connectivité branche-vers-VPN.

Ce chapitre contient les rubriques suivantes :

n Présentation de l'automatisation de SD-WAN Gateway et d'Azure Virtual WAN

n Configuration d'Azure préalable

n Configurer Azure Virtual WAN pour la connectivité VPN branche-vers-Azure

n Configurer SD-WAN Orchestrator pour la connectivité du VPN branche-vers-Azure

Présentation de l'automatisation de SD-WAN Gateway et

d'Azure Virtual WAN
Azure Virtual WAN est un service réseau qui facilite la connectivité optimisée et automatisée du
réseau privé virtuel (VPN) à partir d'emplacements de branches d'entreprise à Microsoft Azure
ou via celui-ci. Les abonnés Azure provisionnent des Hubs virtuels correspondant à des régions
Azure et connectent des branches (qui peuvent ou non être activées par SD-WAN) via des
connexions VPN IPSec.

SD-WAN Orchestrator prend en charge l'intégration et l'automatisation d'Azure Virtual WAN

et de SD-WAN Gateway en tirant parti de l'infrastructure principale d'Azure pour établir une
connectivité VPN branche-vers-Azure via SD-WAN Gateway comme indiqué dans le diagramme
suivant.

VMware, Inc. 658

Guide d'administration de VMware SD-WAN

WAN
virtuel
NSX SD-WAN Azure
Orchestrator
et NSX SD-WAN
Controller
Portail
Azure
Hub du
WAN virtuel
Azure du ClientA

NSX SD-WAN
Gateway

Branche du
ClientA

NSX
SD-WAN
Edge

Les sections suivantes décrivent les procédures de configuration de SD-WAN Orchestrator et

d'Azure pour activer la connectivité VPN branche-vers-Azure via SD-WAN Gateway :

n Configurer Azure Virtual WAN pour la connectivité VPN branche-vers-Azure

n Configurer SD-WAN Orchestrator pour la connectivité du VPN branche-vers-Azure

Configuration d'Azure préalable

Les administrateurs de réseau d'entreprise doivent effectuer les tâches de configuration
préalables suivantes sur le portail Azure pour vérifier que l'application SD-WAN Orchestrator peut
fonctionner en tant que principal de service (identité pour l'application) à des fins d'intégration de
SD-WAN Gateway et du WAN virtuel Azure.

n Inscrire l'application SD-WAN Orchestrator

n Attribuer l'application SD-WAN Orchestrator au rôle Contributeur

n Inscrire un fournisseur de ressources

n Créer une clé secrète client

Inscrire l'application SD-WAN Orchestrator

Décrit comment enregistrer une nouvelle application dans Azure Active Directory (AD).

Pour enregistrer une nouvelle application dans Azure AD :

VMware, Inc. 659

Guide d'administration de VMware SD-WAN

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

L'écran d'accueil Microsoft Azure s'affiche.

2 Cliquez sur Tous les services (All Services) et recherchez Azure Active Directory.

3 Sélectionnez Azure Active Directory et accédez à Inscriptions d'applications (App

registrations) > Nouvelle inscription (New registration).

L'écran Inscrire une application (Register an application) s'affiche.

4 Dans le champ Nom (Name), entrez le nom de votre application SD-WAN Orchestrator.

5 Sélectionnez un type de compte pris en charge, qui détermine qui peut utiliser l'application.

VMware, Inc. 660

Guide d'administration de VMware SD-WAN

6 Cliquez sur Inscrire (Register).

Résultats

Votre application SD-WAN Orchestrator est enregistrée et affichée dans les onglets Toutes les
applications (All applications) et Applications détenues (Owned applications).

Veillez à noter l'ID d'annuaire (locataire) et l'ID d'application (client) à utiliser lors de la
configuration de SD-WAN Orchestrator pour l'abonnement IaaS.

Étape suivante

n Attribuer l'application SD-WAN Orchestrator au rôle Contributeur

n Créer une clé secrète client

Attribuer l'application SD-WAN Orchestrator au rôle Contributeur

Pour accéder aux ressources de votre abonnement Azure, vous devez attribuer l'application à un
rôle. Vous pouvez définir l'étendue au niveau de l'abonnement, du groupe de ressources ou de la
ressource. Les autorisations sont héritées à des niveaux d'étendue inférieurs.

Pour attribuer un rôle Contributeur à l'étendue de l'abonnement :

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

Procédure

1 Cliquez sur Tous les services (All Services) et recherchez Abonnements (Subscriptions).

2 Dans la liste des abonnements, sélectionnez l'abonnement auquel vous souhaitez attribuer
votre application. Si vous ne voyez pas l'abonnement que vous recherchez, sélectionnez Filtre
d'abonnements global (global subscriptions filter). Assurez-vous que l'abonnement que vous
souhaitez est sélectionné pour le portail.

3 Cliquez sur Contrôle d'accès (IAM) [Access control (IAM)].

4 Cliquez sur +Ajouter (+Add) > Ajouter une attribution de rôle (Add role assignment).

La boîte de dialogue Ajouter une attribution de rôle (Add role assignment) s'affiche.

VMware, Inc. 661

Guide d'administration de VMware SD-WAN

5 Dans le menu déroulant Rôle (Role), sélectionnez le rôle Contributeur (Contributor) à

attribuer à l'application.

Pour permettre à l'application d'exécuter des actions telles que le redémarrage (reboot),
le démarrage (start) et l'arrêt (stop) d'instances, il est recommandé que les utilisateurs
attribuent le rôle Contributeur (Contributor) lors de l'inscription de l'application.

6 Dans le menu déroulant Attribuer l'accès à (Assign access to), sélectionnez Utilisateur,
groupe ou principal de service Azure AD (Azure AD user, group, or service principal).

Par défaut, les applications Azure AD ne s'affichent pas dans les options disponibles. Pour
trouver une application, recherchez son nom et sélectionnez-la.

7 Sélectionnez Enregistrer (Save).

Résultats

L'application est attribuée au rôle Contributeur et s'affiche dans la liste des utilisateurs attribués à
un rôle pour cette étendue.

Étape suivante

n Créer une clé secrète client

n Configurer Azure Virtual WAN pour la connectivité VPN branche-vers-Azure

Inscrire un fournisseur de ressources

Pour télécharger des configurations de réseau privé virtuel (VPN) d'un WAN virtuel, SD-WAN
Orchestrator nécessite un compte de stockage d'objets blob qui agit comme une banque de
données intermédiaire à partir de laquelle vous pouvez télécharger les configurations. SD-WAN
Orchestrator vise à créer une expérience utilisateur transparente en provisionnant un compte de

VMware, Inc. 662

Guide d'administration de VMware SD-WAN

stockage temporaire pour chaque tâche de téléchargement. Pour télécharger des configurations
de site VPN, vous devez enregistrer manuellement le fournisseur de ressources [Link]
dans votre abonnement Azure. Par défaut, le fournisseur de ressources [Link] n'est
pas enregistré dans les abonnements Azure.

Pour enregistrer un fournisseur de ressources pour votre abonnement :

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

n Vérifiez que vous disposez de l'autorisation des rôles Contributeur ou Propriétaire.

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

2 Cliquez sur Tous les services (All Services) et recherchez Abonnements (Subscriptions).

3 Dans la liste des abonnements, sélectionnez votre abonnement.

4 Sous l'onglet Paramètres (Settings), sélectionnez Fournisseurs de ressources (Resource

providers).

5 Dans la liste des fournisseurs de ressources disponibles, sélectionnez [Link]. Puis,

cliquez sur Inscrire (Register).

Résultats

Le fournisseur de ressources est inscrit et configure également votre abonnement pour qu'il soit
compatible avec lui.

VMware, Inc. 663

Guide d'administration de VMware SD-WAN

Étape suivante

Vous pouvez créer les ressources dans Azure. Pour obtenir les étapes, reportez-vous à la section
Configurer Azure Virtual WAN pour la connectivité VPN branche-vers-Azure.

Créer une clé secrète client

Décrit comment créer une clé secrète client dans Azure AD à des fins d'authentification.

Pour créer une clé secrète client dans Azure AD :

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

L'écran d'accueil Microsoft Azure s'affiche.

2 Sélectionnez Azure Active Directory > Inscriptions d'applications (App registrations).

3 Dans l'onglet Applications détenues (Owned applications), cliquez sur l'application SD-WAN
Orchestrator enregistrée.

4 Accédez à Certificats et secrets (Certificates & secrets) > Nouvelle clé secrète de client (New
client secret).

L'écran Ajouter une clé secrète de client (Add a client secret) s'affiche.

5 Fournissez des détails tels que la description et la valeur d'expiration de la clé secrète, puis
cliquez sur Ajouter (Add).

VMware, Inc. 664

Guide d'administration de VMware SD-WAN

Résultats

La clé secrète client est créée pour l'application enregistrée.

Note Copiez et enregistrez la nouvelle valeur de clé secrète client à utiliser lors de l'abonnement
IaaS dans SD-WAN Orchestrator.

Étape suivante

n Configurer Azure Virtual WAN pour la connectivité VPN branche-vers-Azure

n Configurer SD-WAN Orchestrator pour la connectivité du VPN branche-vers-Azure

Configurer Azure Virtual WAN pour la connectivité VPN

branche-vers-Azure
Cette section décrit les procédures de configuration d'Azure pour l'intégration d'Azure Virtual
WAN et de SD-WAN Gateway afin d'activer la connectivité VPN branche-vers-Azure.

Avant de commencer à configurer Azure Virtual WAN et les autres ressources Azure :

n Vérifiez qu'aucun des sous-réseaux de votre réseau sur site ne chevauche les réseaux virtuels
existants auxquels vous souhaitez vous connecter. Votre réseau virtuel n'a pas besoin d'un
sous-réseau de passerelle et ne peut pas avoir de passerelles de réseau virtuel. Pour connaître
les étapes de création d'un réseau virtuel, reportez-vous à la section Créer un réseau virtuel.

n Obtenez une plage d'adresses IP pour votre région de Hub et assurez-vous qu'elle ne
chevauche pas l'un des réseaux virtuels existants auxquels vous vous connectez.

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre.

Pour obtenir des instructions pas à pas sur les différentes procédures à effectuer dans le portail
Azure pour l'intégration d'Azure Virtual WAN et de SD-WAN Gateway, reportez-vous aux sections
suivantes :

n Créer un groupe de ressources

n Créer un WAN virtuel

n Créer un Hub virtuel

n Créer un réseau virtuel

n Créer une connexion virtuelle entre le réseau virtuel et le Hub

Créer un groupe de ressources

Décrit comment créer un groupe de ressources dans Azure.

Pour créer un groupe de ressources dans Azure :

VMware, Inc. 665

Guide d'administration de VMware SD-WAN

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

L'écran d'accueil Microsoft Azure s'affiche.

2 Cliquez sur Tous les services (All Services) et recherchez Groupes de ressources (Resource
groups).

3 Sélectionnez Groupes de ressources (Resource groups), puis cliquez sur +Ajouter (+Add).

L'écran Créer un groupe de ressources (Create a resource group) s'affiche.

4 Dans le menu déroulant Abonnement (Subscription), sélectionnez votre abonnement

Microsoft Azure.

VMware, Inc. 666

Guide d'administration de VMware SD-WAN

5 Dans la zone de texte Groupe de ressources (Resource group), entrez un nom unique pour
votre nouveau groupe de ressources.

Un nom de groupe de ressources peut inclure des caractères alphanumériques, des points
(.), des traits de soulignement (_), des tirets (-) et des parenthèses (), mais il ne peut pas se
terminer par un point.

6 Dans le menu déroulant Région (Region), sélectionnez l'emplacement de votre groupe de

ressources, dans lequel la majorité de vos ressources réside.

7 Cliquez sur Vérifier + créer (Review + create), puis sur Créer (Create).

Résultats

Un groupe de ressources est créé et s'affiche sur le tableau de bord du portail Azure.

Étape suivante

Créez un réseau WAN virtuel Azure. Pour obtenir des instructions, reportez-vous à la section
Créer un WAN virtuel.

Créer un WAN virtuel

Décrit comment créer un WAN virtuel dans Azure.

Pour créer un réseau WAN virtuel dans Azure :

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

n Veillez à créer un groupe de ressources pour ajouter le WAN virtuel.

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

L'écran d'accueil Microsoft Azure s'affiche.

2 Cliquez sur Tous les services (All Services) et recherchez WAN virtuels (Virtual WANs).

VMware, Inc. 667

Guide d'administration de VMware SD-WAN

3 Sélectionnez WAN virtuels (Virtual WANs), puis cliquez sur +Ajouter (+Add).

L'écran Créer un WAN (Create WAN) s'affiche.

4 Dans le menu déroulant Abonnement (Subscription), sélectionnez votre abonnement

Microsoft Azure.

5 Dans le menu déroulant Groupe de ressources (Resource group), sélectionnez votre groupe
de ressources pour ajouter le WAN virtuel.

6 Dans le menu déroulant Emplacement du groupe de ressources (Resource group

location), sélectionnez l'emplacement dans lequel les métadonnées associées au WAN virtuel
résideront.

7 Dans la zone de texte Nom (Name), entrez le nom unique de votre WAN virtuel.

8 Dans le menu déroulant Type, sélectionnez Standard comme type de WAN virtuel.

9 Cliquez sur Créer (Create).

Résultats

Un WAN virtuel est créé et s'affiche sur le tableau de bord du portail Azure.

Étape suivante

Créez des Hubs virtuels. Pour obtenir des instructions, reportez-vous à la section Créer un Hub
virtuel.

VMware, Inc. 668

Guide d'administration de VMware SD-WAN

Créer un Hub virtuel

Décrit comment créer un Hub virtuel dans Azure.

Pour créer un Hub virtuel dans Azure :

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

n Vérifiez que vous disposez d'un groupe de ressources créé pour ajouter les ressources Azure.

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

L'écran d'accueil Microsoft Azure s'affiche.

2 Accédez à Toutes les ressources (All resources) et, dans la liste des ressources disponibles,
sélectionnez le WAN virtuel que vous avez créé.

3 Sous la zone Architecture du WAN virtuel (Virtual WAN architecture), cliquez sur Hubs.

4 Cliquez sur +Nouveau Hub (+New Hub).

L'écran Créer un Hub virtuel (Create Virtual Hub) s'affiche.

VMware, Inc. 669

Guide d'administration de VMware SD-WAN

5 Dans l'onglet Notions de base (Basics), entrez les informations suivantes du Hub virtuel.

a Dans le menu déroulant Région (Region), sélectionnez l'emplacement du Hub virtuel.

b Dans la zone de texte Nom (Name), entrez le nom unique de votre Hub.

c Dans la zone de texte Espace d'adresses privées du Hub (Hub private address space),
entrez la plage d'adresses du Hub en notation CIDR (Classless Inter-Domain Routing).

6 Cliquez sur Suivant (Next) : Intersite (Site to site) > et activez la fonctionnalité intersite
(passerelle VPN) avant de vous connecter aux sites VPN en sélectionnant Oui (Yes).

Note Une passerelle VPN est nécessaire au bon fonctionnement de l'automatisation du

tunnel. Sinon, il n'est pas possible de créer des connexions VPN.

a Dans le menu déroulant Unités d'échelle de la passerelle (Gateway scale units),

sélectionnez une valeur de mise à l'échelle.

7 Cliquez sur Vérifier + créer (Review + create).

Résultats

Un Hub virtuel est créé et s'affiche sur le tableau de bord du portail Azure.

Étape suivante

n Créez une connexion virtuelle entre les Hubs et les réseaux virtuels (VNet). Pour obtenir des
instructions, reportez-vous à la section Créer une connexion virtuelle entre le réseau virtuel et
le Hub.

n Si vous ne disposez d'aucun réseau virtuel existant, vous pouvez en créer un en suivant les
étapes de la section Créer un réseau virtuel.

Créer un réseau virtuel

Décrit comment créer un réseau virtuel dans Azure.

Pour créer un réseau virtuel dans Azure :

VMware, Inc. 670

Guide d'administration de VMware SD-WAN

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

L'écran d'accueil Microsoft Azure s'affiche.

2 Cliquez sur Tous les services (All Services) et recherchez Réseau virtuels (Virtual networks).

3 Sélectionnez Réseau virtuels (Virtual networks), puis cliquez sur +Ajouter (+Add).

L'écran Créer un réseau virtuel (Create virtual network) s'affiche.

4 Dans la zone de texte Nom (Name), entrez le nom unique pour votre réseau virtuel.

5 Dans la zone de texte Espace d'adresses (Address space), entrez la plage d'adresses du
réseau virtuel en notation CIDR (Classless Inter-Domain Routing).

VMware, Inc. 671

Guide d'administration de VMware SD-WAN

6 Dans le menu déroulant Abonnement (Subscription), sélectionnez votre abonnement

Microsoft Azure.

7 Dans le menu déroulant Groupe de ressources (Resource group), sélectionnez votre groupe
de ressources pour ajouter le réseau virtuel.

8 Dans le menu déroulant Emplacement (Location), sélectionnez l'emplacement dans lequel

réside le réseau virtuel.

9 Sous la zone Sous-réseau (Subnet), entrez le nom et la plage d'adresses du sous-réseau.

N'apportez aucune modification aux autres paramètres par défaut de la protection contre les
attaques DDoS (Distributed Denial of Service), des points de terminaison de service et du
pare-feu.

10 Cliquez sur Créer (Create).

Résultats

Un réseau virtuel est créé et s'affiche sur le tableau de bord du portail Azure.

Étape suivante

Créez une connexion virtuelle entre les Hubs et les réseaux virtuels (VNet). Pour obtenir des
instructions, reportez-vous à la section Créer une connexion virtuelle entre le réseau virtuel et le
Hub.

Créer une connexion virtuelle entre le réseau virtuel et le Hub

Décrit comment créer une connexion virtuelle entre les réseaux virtuels (VNet) et le Hub virtuel
dans une région Azure spécifique.

Pour créer une connexion entre un réseau virtuel et un Hub virtuel dans une région Azure
spécifique :

Conditions préalables

n Assurez-vous de disposer d'un abonnement Azure. Si ce n'est pas le cas, créez un compte
libre (free account).

n Vérifiez que les Hubs virtuels et les réseaux virtuels sont créés.

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

L'écran d'accueil Microsoft Azure s'affiche.

2 Accédez à Toutes les ressources (All resources) et, dans la liste des ressources disponibles,
sélectionnez le WAN virtuel que vous avez créé.

3 Sous la zone Architecture du WAN virtuel (Virtual WAN architecture), cliquez sur
Connexions du réseau virtuel (Virtual network connections).

VMware, Inc. 672

Guide d'administration de VMware SD-WAN

4 Cliquez sur +Ajouter une connexion (+Add connection).

L'écran Ajouter une connexion (Add connection) s'affiche.

5 Dans la zone de texte Nom de la connexion (Connection name), entrez le nom unique de la
connexion virtuelle.

6 Dans le menu déroulant Hubs, sélectionnez le Hub à associer à cette connexion.

7 Dans le menu déroulant Abonnement (Subscription), sélectionnez votre abonnement

Microsoft Azure.

8 Dans le menu déroulant Réseau virtuel (Virtual network), sélectionnez le réseau virtuel à
connecter à ce Hub.

9 Cliquez sur OK.

Résultats

Une connexion d'appairage est établie entre le réseau virtuel sélectionné et le Hub.

Étape suivante

n Configurer SD-WAN Orchestrator pour la connectivité du VPN branche-vers-Azure

Configurer SD-WAN Orchestrator pour la connectivité du

VPN branche-vers-Azure
Vous pouvez configurer SD-WAN Orchestrator pour l'intégration d'Azure Virtual WAN et de
SD-WAN Gateway afin d'activer la connectivité du VPN branche-vers-Azure.

Note Par défaut, la fonctionnalité Azure Virtual WAN est désactivée. Si vous souhaitez l'activer,
vous devez définir la propriété système [Link] sur true.

VMware, Inc. 673

Guide d'administration de VMware SD-WAN

Avant de commencer la configuration de SD-WAN Orchestrator pour l'automatisation Azure

Virtual WAN - SD-WAN Gateway, assurez-vous d'avoir effectué toutes les étapes décrites dans
les sections Configuration d'Azure préalable et Configurer Azure Virtual WAN pour la connectivité
VPN branche-vers-Azure.

Pour obtenir des instructions pas à pas sur les différentes procédures à effectuer du côté de SD-
WAN Orchestrator pour l'intégration d'Azure Virtual WAN et de SD-WAN Gateway, reportez-vous
aux sections suivantes :

n Configurer un service réseau d'abonnement IaaS

n Configurer un Non VMware SD-WAN Site de type Microsoft Azure

n Synchroniser la configuration VPN

Configurer un service réseau d'abonnement IaaS

Décrit comment configurer un abonnement IaaS (infrastructure en tant que fournisseur de
services) dans SD-WAN Orchestrator.

Pour configurer un abonnement IaaS dans SD-WAN Orchestrator :

Conditions préalables

Assurez-vous d'avoir inscrit l'application SD-WAN Orchestrator et créé la clé secrète de client
dans le portail Azure. Pour connaître les étapes à suivre, reportez-vous à la section Configuration
d'Azure préalable.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Abonnements IaaS (Iaas Subscriptions), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Configurer l'abonnement IaaS (Configure IaaS Subscription) s'affiche.

VMware, Inc. 674

Guide d'administration de VMware SD-WAN

3 Dans le menu déroulant Type d'abonnement (Subscription Type), sélectionnez Abonnement

Microsoft Azure (Microsoft Azure Subscription).

4 Entrez l'ID de locataire Active Directory, l'ID de client et la clé secrète de client correspondant
à l'inscription de votre application SD-WAN Orchestrator.

5 Cliquez sur le bouton Obtenir les abonnements (Get Subscriptions) afin de récupérer la liste
des abonnements Azure pour lesquels l'inscription de l'application s'est vu attribuer un rôle
IAM.

6 Cliquez sur Enregistrer les modifications (Save Changes).

Étape suivante

Configurez un Non VMware SD-WAN Site de type Hub virtuel Microsoft Azure. Pour plus
d'informations, reportez-vous à la section Configurer un Non VMware SD-WAN Site de type
Microsoft Azure.

Configurer un Non VMware SD-WAN Site de type Microsoft Azure

Décrit comment configurer un Non VMware SD-WAN Site de type Hub virtuel Microsoft Azure
dans SD-WAN Orchestrator.

Pour configurer un Non VMware SD-WAN Site de type Hub virtuel Microsoft Azure (Microsoft
Azure Virtual Hub) dans SD-WAN Orchestrator :

Conditions préalables

n Assurez-vous d'avoir configuré un abonnement IaaS. Pour connaître les étapes, reportez-vous
à la section Configurer un service réseau d'abonnement IaaS.

n Assurez-vous de créer des Hubs et des Virtual WAN dans Azure. Pour obtenir des
instructions, reportez-vous à la section Configurer Azure Virtual WAN pour la connectivité
VPN branche-vers-Azure.

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Services réseau (Network Services).

L'écran Services s'affiche.

2 Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via
Gateway), cliquez sur le bouton Nouveau (New).

La boîte de dialogue Nouvelles destinations non-SD-WAN via une passerelle (New Non
SD-WAN Destinations via Gateway) s'affiche.

VMware, Inc. 675

Guide d'administration de VMware SD-WAN

3 Dans la zone de texte Nom (Name), entrez le nom du Non VMware SD-WAN Site.

4 Dans le menu déroulant Type, sélectionnez Hub virtuel Microsoft Azure (Microsoft Azure
Virtual Hub).

5 Dans le menu déroulant Abonnement (Subscription), sélectionnez un abonnement.

L'application extrait tous les Virtual WAN disponibles dynamiquement à partir d'Azure.

6 Dans le menu déroulant Virtual WAN, sélectionnez un réseau étendu virtuel.

L'application remplit automatiquement le groupe de ressources auquel le WAN virtuel est

associé.

7 Dans le menu déroulant Hub virtuel (Virtual Hub), sélectionnez un Hub virtuel.

L'application remplit automatiquement la région Azure correspondant au Hub

8 Cochez la case Activer le ou les tunnels [Enable Tunnel(s)] pour permettre aux passerelles
VPN VMware d'initier des connexions VPN au Hub virtuel cible, dès que le site est provisionné
correctement.

Note Les passerelles VPN VMware ne lancent pas la négociation IKE tant que ce Non
VMware SD-WAN Site n'est pas configuré sur au moins un profil.

Note Pour le Non VMware SD-WAN Site Microsoft Azure, la valeur d'ID d'authentification
locale utilisée par défaut est Adresse IP publique d'interface (Interface Public IP) de SD-WAN
Gateway.

9 Cliquez sur Suivant (Next).

SD-WAN Orchestrator lance automatiquement le déploiement, provisionne les sites VPN

Azure, télécharge la configuration de site VPN pour les sites que vous venez de configurer
et stocke la configuration dans la base de données de configuration du Non VMware SD-WAN
Site de SD-WAN Orchestrator.

VMware, Inc. 676

Guide d'administration de VMware SD-WAN

Résultats

Une fois les sites VPN Azure provisionnés du côté de SD-WAN Orchestrator, vous pouvez afficher
les sites VPN (principaux et redondants) dans le portail Azure en accédant à Virtual WAN >
Architecture du WAN virtuel (Virtual WAN architecture) > Sites VPN (VPN sites).

Étape suivante

n Associez le Non VMware SD-WAN Site Azure Microsoft à un profil afin d'établir un tunnel
entre une branche et un Hub virtuel Azure. Pour plus d'informations, reportez-vous à la
section Associer un Non VMware SD-WAN Site à un profil.

n Vous devez ajouter manuellement des routes SD-WAN dans le réseau Azure. Pour plus
d'informations, reportez-vous à la section Modifier un site VPN.

Associer un Non VMware SD-WAN Site à un profil

Après la configuration d'un Non VMware SD-WAN Site de type Hub virtuel Microsoft Azure
(Microsoft Azure Virtual Hub) dans SD-WAN Orchestrator, vous devez associer le Non VMware
SD-WAN Site au profil souhaité afin d'établir les tunnels entre les passerelles SD-WAN Gateways
et le Hub virtuel Microsoft Azure.

Pour associer un Non VMware SD-WAN Site à un profil, procédez comme suit :

Procédure

1 Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) >

Profils (Profiles).

La page Profils de configuration (Configuration Profiles) s'affiche.

VMware, Inc. 677

Guide d'administration de VMware SD-WAN

2 Sélectionnez un profil que vous souhaitez associer à votre Non VMware SD-WAN Site de
type Hub virtuel Microsoft Azure (Microsoft Azure Virtual Hub) et cliquez sur l'icône sous la
colonne Périphérique (Device).

La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.

3 Accédez à la zone VPN cloud (Cloud VPN) et activez le VPN cloud en définissant le bouton
bascule sur Actif (On).

4 Sous Branche vers destinations non-SD-WAN via une passerelle (Branch to Non SD-WAN
Destinations via Gateway), cochez la case Activer (Enable).

5 Dans le menu déroulant, sélectionnez votre Non VMware SD-WAN Site de type Hub virtuel
Microsoft Azure (Microsoft Azure Virtual Hub) pour établir une connexion VPN entre la
branche et l'instance de Non VMware SD-WAN Site Microsoft Azure.

6 Cliquez sur Enregistrer les modifications (Save Changes).

Résultats

Un tunnel est établi entre la branche et l'instance de Non VMware SD-WAN Site Microsoft Azure.
Pour plus d'informations, reportez-vous à la section Configurer un tunnel entre une branche et des
destinations non SD-WAN via une passerelle.

VMware, Inc. 678

Guide d'administration de VMware SD-WAN

Modifier un site VPN

Décrit comment ajouter manuellement des routes SD-WAN au réseau Azure.

Pour ajouter manuellement des routes SD-WAN au réseau Azure :

Conditions préalables

Vérifiez que vous avez terminé le provisionnement des sites VPN Azure côté SD-WAN
Orchestrator.

Procédure

1 Connectez-vous à votre compte Microsoft Azure.

L'écran d'accueil Microsoft Azure s'affiche.

2 Accédez à Toutes les ressources (All resources) et, dans la liste des ressources disponibles,
sélectionnez le WAN virtuel que vous avez créé.

3 Sous la zone Architecture du WAN virtuel (Virtual WAN architecture), cliquez sur Sites VPN
(VPN sites).

4 Dans la liste disponible des sites VPN, sélectionnez votre site VPN (par exemple, Non VMware
SD-WAN [Link]), qui est ajouté suite à l'étape de provisionnement Non VMware
SD-WAN Site à l'aide de SD-WAN Orchestrator.

5 Cliquez sur le nom du site VPN sélectionné et, en haut de l'écran suivant, sélectionnez Site.

6 Dans la zone de texte Espace d'adresses privées (Private address space), entrez la plage
d'adresses des routes SD-WAN.

VMware, Inc. 679

Guide d'administration de VMware SD-WAN

7 Cliquez sur Confirmer (Confirm).

De même, vous pouvez modifier votre site VPN redondant en suivant les étapes ci-dessus.

Note Actuellement, Azure vWAN prend en charge uniquement le mode tunnel Actif/Actif
(Active/Active), et il n'a pas la possibilité de spécifier le tunnel prioritaire ou principal vers le
site VPN (sites principal et redondant). Par conséquent, l'équilibrage de charge est effectué
par Azure sur un routage à chemins multiples de même coût. Cela peut entraîner un flux
de trafic asymétrique et peut augmenter la latence de ces flux. La solution pour éviter le
flux asymétrique consiste à supprimer la redondance de la passerelle SD-WAN Gateway sur
le tunnel NVS du Hub vWAN Azure. Cependant, la suppression d'un tunnel de passerelle
redondant peut ne pas être acceptable pour tous les déploiements et doit être traitée avec
précaution.

Synchroniser la configuration VPN

Une fois le provisionnement de Non VMware SD-WAN Site réussi, en cas de modifications
de l'adresse IP du point de terminaison du Hub Azure ou des routes statiques, vous devez
resynchroniser les configurations du Hub virtuel Azure et de Non VMware SD-WAN Site. Si
vous cliquez sur le bouton Resynchroniser la configuration (Resync configuration) dans la
zone Sites non-VeloCloud (Non-VeloCloud Sites), cela extrait automatiquement les informations
de configuration VPN sur le portail Azure et met à jour la configuration locale de SD-WAN
Orchestrator.

Supprimer une instance de Non VMware SD-WAN Site

Décrit les étapes de suppression de Non VMware SD-WAN Site correspondant au Hub virtuel
d'Azure et assure ainsi que l'état du déploiement du WAN virtuel est cohérent entre SD-WAN
Orchestrator et Azure après la suppression.

Procédure

1 Supprimez les connexions VPN d'Azure associées aux sites VPN ciblés pour la suppression.

2 Supprimez les sites VPN d'Azure provisionnés pour le compte de l'instance de Non VMware
SD-WAN Site SD-WAN Gateways sélectionnées pour ce Hub virtuel à l'aide d'une API Azure.

Note La suppression des sites VPN d'Azure échoue si les connexions VPN associées aux sites
VPN (ciblées pour la suppression) ne sont pas supprimées.

VMware, Inc. 680

Annexe
27
Ce chapitre contient les rubriques suivantes :

n Alertes et événements d'Orchestrator au niveau de l'entreprise

n Événements VMware SD-WAN Edge pris en charge par les serveurs Syslog

Alertes et événements d'Orchestrator au niveau de

l'entreprise
Décrit un résumé des alertes et des événements générés dans VMware SD-WAN Orchestrator au
niveau de l'entreprise.

Ce document fournit des détails sur tous les événements d'Orchestrator au niveau de l'entreprise.
Bien que ces événements soient stockés dans SD-WAN Orchestrator et affichés sur l'interface
utilisateur d'Orchestrator, la plupart d'entre eux sont générés par un dispositif VMware SD-
WAN Edge ou une passerelle VMware SD-WAN Gateway et/ou l'un de ses composants en
cours d'exécution (MGD, EDGED, PROCMON, etc.), à l'exception de quelques-uns générés par
Orchestrator lui-même. Vous pouvez configurer des notifications/alertes pour des événements
dans Orchestrator uniquement.

Le tableau suivant fournit une explication pour chacune des colonnes du tableau « Événements
d'Orchestrator au niveau de l'entreprise » :

Nom de la colonne Détails

ÉVÉNEMENT Nom unique de l'événement

AFFICHÉ SUR L'INTERFACE Spécifie le mode d'affichage de l'événement sur Orchestrator.

UTILISATEUR COMME

GRAVITÉ Gravité avec laquelle cet événement est généralement généré.

GÉNÉRÉ PAR Le composant VMware SD-WAN générant la notification peut être l'un des suivants :
n SD-WAN Orchestrator
n SD-WAN Edge (MGD)
n SD-WAN Edge (EDGED)
n SD-WAN Edge (PROCMON)

VMware, Inc. 681

Guide d'administration de VMware SD-WAN

Nom de la colonne Détails

GÉNÉRÉ LORSQUE Raison(s) technique(s) et circonstances dans lesquelles cet événement est généré.

OBSOLÈTE Spécifie si l'événement est obsolète à partir d'une version spécifique.

VMware, Inc. 682

Guide d'administration de VMware SD-WAN

Événements d'Orchestrator au niveau de l'entreprise

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_UP Dispositif ALERTE SD-WAN Le dispositif

Edge actif Orchestrator Edge est
rétabli après
une perte de
connectivité
avec SD-WAN
Orchestrator
via des
pulsations. Le
dispositif Edge
émet
2 pulsations
consécutives.
L'état de SD-
WAN
Orchestrator
passe alors à
EDGE_UP.
SD-WAN
Orchestrator
exécute un
moniteur
toutes les
15 secondes
qui met à jour
l'état de tous
les dispositifs
Edge.

EDGE_DOWN Dispositif ALERTE SD-WAN Le dispositif

Edge inactif Orchestrator Edge perd la
connectivité
avec SD-WAN
Orchestrator
et échoue
lorsqu'il
effectue au
moins
2 pulsations
consécutives.
SD-WAN
Orchestrator
exécute un
moniteur
toutes les
15 secondes

VMware, Inc. 683

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

qui met à jour

l'état de tous
les dispositifs
Edge.

LINK_UP Lien actif ALERTE SD-WAN L'état de

Orchestrator fonctionneme
nt d'un lien
WAN
redevient
normal.

LINK_DOWN Lien inactif ALERTE SD-WAN Un lien WAN

Orchestrator est
déconnecté
du dispositif
Edge ou
lorsque le lien
ne peut pas
communiquer
avec le service
Edge.

VPN_TUNNEL Tunnel VPN ALERTE SD-WAN Le tunnel

_DOWN inactif Orchestrator IPSec
configuré à
partir du
service Edge
vers votre
passerelle
VPN ne peut
pas être établi
ou si le tunnel
est abandonné
et ne peut pas
être rétabli.

EDGE_HA_FAI Basculement ALERTE SD-WAN Un dispositif

LOVER HA du Orchestrator Edge HA
dispositif Edge bascule vers
son mode
passif.

VMware, Inc. 684

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_SERVIC Service Edge ALERTE SD-WAN Le service

E_DOWN inactif Orchestrator Edge
s'exécutant
sur le
dispositif SD-
WAN Edge
peut être
inactif. Cela
peut indiquer
une panne du
périphérique
Edge ou une
panne de
connectivité
réseau.

EDGE_CSS_TU Tunnel CSS du ALERTE SD-WAN Un tunnel de

NNEL_UP dispositif Edge Orchestrator service de
actif sécurité cloud
depuis le
dispositif Edge
est actif.

EDGE_CSS_TU Tunnel CSS du ALERTE SD-WAN Un tunnel de

NNEL_DOWN dispositif Edge Orchestrator service de
inactif sécurité cloud
depuis le
dispositif Edge
est inactif.

NVS_FROM_E Tunnel NVS ALERTE SD-WAN Un tunnel NSD

DGE_TUNNEL depuis le Orchestrator via le dispositif
_DOWN dispositif Edge Edge est
inactif inactif.

NVS_FROM_E Tunnel NVS ALERTE SD-WAN Un tunnel NSD

DGE_TUNNEL depuis le Orchestrator via le dispositif
_UP dispositif Edge Edge est actif.
actif

VNF_VM_DEP VM VNF ALERTE SD-WAN Une machine

LOYED déployée Orchestrator virtuelle VNF
du dispositif
Edge est
déployée sur
ce dernier.

VMware, Inc. 685

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

VNF_VM_PO VM VNF sous ALERTE SD-WAN Une machine

WERED_ON tension Orchestrator virtuelle VNF
du dispositif
Edge est
déployée sur
ce dernier et
est mise sous
tension.

VNF_VM_PO VM VNF hors ALERTE SD-WAN Une machine

WERED_OFF tension Orchestrator virtuelle VNF
du dispositif
Edge est mise
hors tension.

VNF_VM_DEP VM VNF ALERTE SD-WAN Une machine

LOYED_AND_ déployée et Orchestrator virtuelle VNF
POWERED_OF hors tension du dispositif
F Edge est
déployée sur
ce dernier et
est
immédiateme
nt mise sous
tension.

VNF_VM_DEL VM VNF ALERTE SD-WAN Une machine

ETED supprimée Orchestrator virtuelle VNF
du dispositif
Edge est
supprimée de
ce dernier.

VNF_VM_ERR Erreur de VM ALERTE SD-WAN Une erreur se

OR VNF Orchestrator produit lors du
déploiement
d'une machine
virtuelle VNF
du dispositif
Edge.

VNF_INSERTIO Insertion de la ALERTE SD-WAN L'insertion

N_ENABLED VNF activée Orchestrator d'une machine
virtuelle VNF
du dispositif
Edge est
activée sur ce
dernier.

VMware, Inc. 686

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

VNF_INSERTIO Insertion de la ALERTE SD-WAN L'insertion

N_DISABLED VNF Orchestrator d'une machine
désactivé virtuelle VNF
du dispositif
Edge est
désactivée sur
ce dernier.

VNF_IMAGE_ Téléchargeme ALERTE SD-WAN Un

DOWNLOAD_I nt de l'image Orchestrator téléchargeme
N_PROGRESS VNF en cours nt d'image de
machine
virtuelle VNF
du dispositif
Edge est en
cours.

VNF_IMAGE_ Téléchargeme ALERTE SD-WAN Un

DOWNLOAD_ nt de l'image Orchestrator téléchargeme
COMPLETED VNF terminé nt d'image de
machine
virtuelle VNF
du dispositif
Edge est
terminé.

VNF_IMAGE_ Échec du ALERTE SD-WAN Échec du

DOWNLOAD_ téléchargeme Orchestrator téléchargeme
FAILED nt de l'image nt d'une
VNF image de
machine
virtuelle VNF
du dispositif
Edge sur ce
dernier.

EDGE_BFD_N Session BFD INFO SD-WAN Une session

EIGHBOR_UP établie avec le Orchestrator BFD a été
neighbor de établie avec le
dispositif Edge neighbor de
dispositif
Edge.

EDGE_BFD_N BFD Neighbor INFO SD-WAN Une session

EIGHBOR_DO de dispositif Orchestrator BFD n'a pas
WN Edge été établie
indisponible avec le
neighbor de
dispositif
Edge.

VMware, Inc. 687

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

PKI_PROMOTI Mode PKI de INFO SD-WAN Le mode PKI

ON point de Orchestrator d'un dispositif
terminaison Edge est
promu passé de
facultatif à
obligatoire.

CERTIFICATE_ Certificat INFO SD-WAN La révocation

REVOCATION révoqué Orchestrator d'un certificat
de dispositif
Edge se
produit
intentionnelle
ment ou en
raison d'un
certificat
expiré (cette
dernière
situation
devrait
rarement se
produire,
étant donné
que les
certificats de
dispositifs
Edge sont
renouvelés
automatiquem
ent après
30 jours au
cours de la
période de
90 jours).

CERTIFICATE_ Demande de INFO SD-WAN Le certificat de

RENEWAL renouvelleme Orchestrator dispositif Edge
nt de certificat est
automatiquem
ent renouvelé
après 30 jours
au cours de la
période de
90 jours.

VMware, Inc. 688

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

UPDATE_EDG Mettre à jour INFO SD-WAN Active/

E_IMAGE_MA la gestion des Orchestrator désactive la
NAGEMENT images du gestion des
dispositif Edge images
logicielles du
dispositif Edge
d'un client.

SET_EDGE_SO Image INFO SD-WAN Une nouvelle

FTWARE logicielle du Orchestrator image
dispositif Edge logicielle est
mise à jour attribuée au
dispositif Edge
en raison
d'une
réattribution
ou d'une
modification
de l'image
logicielle dans
le profil
d'opérateur.

UNSET_EDGE Désactiver INFO SD-WAN Désactivation

_SOFTWARE l'image Orchestrator de l'image
logicielle logicielle
remplacée du remplacée
dispositif Edge pour le
dispositif Edge
et attribuée à
la place dans
l'image
logicielle par
défaut
associée au
profil
d'opérateur.

ADD_OPERAT Profil INFO SD-WAN Un nouveau

OR_PROFILE d'opérateur Orchestrator profil
ajouté d'opérateur a
été associé à
cette
entreprise.

REMOVE_OPE Profil INFO SD-WAN Un profil

RATOR_PROFI d'opérateur Orchestrator d'opérateur
LE supprimé existant a été
supprimé de
cette
entreprise.

VMware, Inc. 689

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

ADD_SOFTWA Image INFO SD-WAN Lorsqu'une

RE_IMAGE logicielle Orchestrator nouvelle
ajoutée image
logicielle est
associée au
profil
d'opérateur
pour cette
entreprise.

MODIFY_ASSI Modification INFO SD-WAN La liste des

GNED_OPERA de la liste des Orchestrator profils
TOR_PROFILE profils d'opérateur
_LIST d'opérateur associés à
attribués l'entreprise a
été modifiée.

MODIFY_ASSI Modification INFO SD-WAN La liste des

GNED_SOFTW de la liste Orchestrator images
ARE_IMAGE_L d'images logicielles
IST logicielles associées à
attribuées l'entreprise a
été modifiée.

CLOUD_SECU Sécurité du INFO SD-WAN La sécurité du

RITY_ENABLE cloud activée Orchestrator cloud est
activée dans le
profil de
l'entreprise ou
le profil
spécifique au
dispositif Edge

CLOUD_SECU Sécurité cloud INFO SD-WAN La sécurité

RITY_DISABLE désactivée Orchestrator cloud est
désactivée
dans le profil
de l'entreprise

CLOUD_SECU Fournisseur INFO SD-WAN Le fournisseur

RITY_PROVIDE de sécurité Orchestrator de sécurité
R_DELETED cloud cloud associé
supprimé au profil d'une
entreprise a
été supprimé.

VMware, Inc. 690

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

CLOUD_SECU Modification INFO SD-WAN Le protocole

RITY_TUNNELI du protocole Orchestrator de tunneling
NG_PROTOCO de tunneling de sécurité
L_CHANGE de sécurité cloud change
cloud (d'IPSec à
GRE ou
inversement)
dans le profil
d'une
entreprise

CLOUD_SECU CLOUD_SEC INFO SD-WAN Le fournisseur

RITY_PROVIDE URITY_PROVI Orchestrator de sécurité
R_ADDED DER_ADDED cloud associé
à un profil
spécifique au
dispositif Edge
a été ajouté.

CLOUD_SECU CLOUD_SEC INFO SD-WAN Le fournisseur

RITY_PROVIDE URITY_PROVI Orchestrator de sécurité
R_REMOVED DER_REMOV cloud associé
ED à un profil
spécifique au
dispositif Edge
a été
supprimé.

CLOUD_SECU CLOUD_SEC INFO SD-WAN Le

RITY_OVERRID URITY_OVER Orchestrator remplacement
E_ENABLED RIDE_ENABL de la sécurité
ED cloud a été
activé dans un
profil
spécifique au
dispositif
Edge.

CLOUD_SECU CLOUD_SEC INFO SD-WAN Le

RITY_OVERRID URITY_OVER Orchestrator remplacement
E_DISABLED RIDE_DISABL de la sécurité
ED cloud a été
désactivé dans
un profil
spécifique au
dispositif
Edge.

VMware, Inc. 691

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

CREATE_CLOU Création du INFO SD-WAN Une tâche

D_SERVICE_SI site de service Orchestrator d'automatisati
TE de sécurité on de l'API
cloud en file pour créer un
d'attente tunnel de
service de
sécurité cloud
à partir du
dispositif Edge
a été mise en
file d'attente.

UPDATE_CLO Mise à jour du INFO SD-WAN Une tâche

UD_SERVICE_ site du service Orchestrator d'automatisati
SITE de sécurité on de l'API
cloud en file pour mettre à
d'attente jour un tunnel
du service de
sécurité cloud
à partir du
dispositif Edge
a été mise en
file d'attente.

DELETE_CLOU Suppression INFO SD-WAN Une tâche

D_SERVICE_SI du site de Orchestrator d'automatisati
TE service de on de l'API
sécurité cloud pour
en file supprimer un
d'attente tunnel du
service de
sécurité cloud
du dispositif
Edge a été
mise en file
d'attente.

ZSCALER_SUB Action Edge INFO SD-WAN Un travail

LOCATION_AC de sous- Orchestrator d'automatisati
TION_ENQUE emplacement on de l'API
UED Zscaler en file pour le sous-
d'attente emplacement
Zscaler du
service de
sécurité cloud
a été mis en
file d'attente.

VMware, Inc. 692

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_NVS_T Tunnel IPsec INFO SD-WAN Un tunnel de

UNNEL_UP direct du Orchestrator service de
dispositif Edge sécurité cloud
actif ou un tunnel
NSD via le
dispositif Edge
sont actifs.

EDGE_NVS_T Tunnel IPsec INFO SD-WAN Un tunnel du

UNNEL_DOW direct du Orchestrator service de
N dispositif Edge sécurité cloud
inactif ou un tunnel
NSD via le
dispositif Edge
sont inactifs.

DIAGNOSTIC_ Nouvelle INFO SD-WAN Un nouveau

REQUEST demande de Orchestrator bundle de
bundle de diagnostics du
diagnostics dispositif Edge
est demandé
par une
entreprise ou
un utilisateur
opérateur.

EDGE_DIRECT Site direct du INFO SD-WAN Un tunnel NSD

_SITE_DELETE dispositif Edge Orchestrator via le dispositif
D supprimé Edge a été
supprimé.

EDGE_DIRECT Tunnels INFO SD-WAN NSD via le

_TUNNELS_DI directs du Orchestrator dispositif Edge
SABLED dispositif Edge désactivée
désactivé dans les
paramètres du
périphérique
de profil.

EDGE_DIRECT Tunnels INFO SD-WAN NSD via le

_TUNNELS_E directs du Orchestrator dispositif Edge
NABLED dispositif Edge activée dans
activés les paramètres
du
périphérique
de profil.

VMware, Inc. 693

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_DIRECT Fournisseur INFO SD-WAN Le fournisseur

_TUNNEL_PR de tunnel Orchestrator NSD via le
OVIDER_DELE direct du dispositif Edge
TED dispositif Edge associé au
supprimé profil d'une
entreprise a
été supprimé.

CREATE_NVS Création d'un INFO SD-WAN Une tâche

_FROM_EDGE site de NSD Orchestrator d'automatisati
_SITE via lun on de l'API
dispositif Edge pour créer un
en file tunnel NSD via
d'attente le dispositif
Edge a été
mise en file
d'attente.

UPDATE_NVS Mise à jour du INFO SD-WAN Une tâche

_FROM_EDGE site de NSD Orchestrator d'automatisati
_SITE via un on de l'API
dispositif Edge pour mettre à
jour un tunnel
NSD via le
dispositif Edge
a été mise en
file d'attente.

DELETE_NVS_ Suppression INFO SD-WAN Une tâche

FROM_EDGE_ du site de Orchestrator d'automatisati
SITE NSD via un on de l'API
dispositif Edge pour
en file supprimer un
d'attente tunnel NSD via
le dispositif
Edge a été
mise en file
d'attente.

ENTERPRISE_ Afficher les INFO SD-WAN Une entreprise

ENABLE_VIEW privilèges de Orchestrator accorde des
_SENSITIVE_D données privilèges à
ATA sensibles son MSP ou à
accordés l'opérateur
pour afficher
les
informations
de données
(clés).

VMware, Inc. 694

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

ENTERPRISE_ Gestion des INFO SD-WAN Une entreprise

ENABLE_OPE utilisateurs Orchestrator a délégué
RATOR_USER déléguée à l'accès à
_MGMT l'opérateur l'opérateur
pour gérer ses
utilisateurs.

ENTERPRISE_ Accès de INFO SD-WAN Une entreprise

DISABLE_OPE gestion des Orchestrator révoque
RATOR_ACCES utilisateurs l'accès
S révoqué précédemmen
depuis t délégué à
l'opérateur l'opérateur
pour gérer ses
entités.

ENTERPRISE_ Accès délégué INFO SD-WAN Une entreprise

ENABLE_OPE à l'opérateur Orchestrator a délégué
RATOR_ACCES l'accès à
S l'opérateur
pour gérer ses
entités.

ENTERPRISE_ Accès révoqué INFO SD-WAN Une entreprise

ENABLE_PRO depuis Orchestrator a délégué
XY_ACCESS l'opérateur l'accès au
partenaire
pour gérer ses
entités.

ENTERPRISE_ Accès délégué INFO SD-WAN Une entreprise

DISABLE_PRO au partenaire Orchestrator révoque
XY_ACCESS l'accès
précédemmen
t délégué au
partenaire
pour gérer ses
entités.

EDGE_TO_ED VPN entre INFO SD-WAN Le VPN entre

GE_VPN_DISA deux Orchestrator deux
BLE dispositifs dispositifs
Edge Edge associé
désactivé à un
périphérique
Edge ou à son
profil
correspondant
a été
désactivé.

VMware, Inc. 695

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_TO_ED VPN entre INFO SD-WAN Le VPN entre

GE_VPN_ENA deux Orchestrator deux
BLE dispositifs dispositifs
Edge activé Edge associé
à un
périphérique
Edge ou à son
profil
correspondant
a été activé.

VPN_DISABLE VPN cloud INFO SD-WAN Les

désactivé Orchestrator paramètres
VPN de cloud
associés à un
périphérique
Edge ou à son
profil
correspondant
ont été
désactivés.

VPN_ENABLE VPN cloud INFO SD-WAN Lorsque les

activé Orchestrator paramètres
VPN de cloud
associés à un
périphérique
Edge ou à son
profil
correspondant
ont été
activés.

VPN_UPDATE VPN cloud mis INFO SD-WAN Lorsque les

à jour Orchestrator paramètres
VPN cloud
associés à un
périphérique
Edge ou à son
profil
correspondant
ont été mis à
jour avec une
nouvelle
modification.

REMOTE_ACTI Action à INFO SD-WAN Une action à

ON distance du Orchestrator distance est
dispositif Edge effectuée sur
un dispositif
Edge en ligne.

VMware, Inc. 696

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

RECURRING_R Erreur de ERREUR SD-WAN En cas

EPORT_ERRO rapport Orchestrator d'échec du
R récurrent rapport
récurrent.

EDGE_BGP_N Session BGP INFO SD-WAN Généré

EIGHBOR_UP établie avec Edge lorsqu'un peer
Edge BGP établit un
Neighbor tunnel avec un
dispositif SD-
WAN Edge.

EDGE_BGP_N BGP Neighbor INFO SD-WAN Généré

EIGHBOR_DO de dispositif Edge lorsque le
WN Edge non peer BGP du
disponible dispositif Edge
perd le tunnel
avec le
dispositif
Edge.

GATEWAY_BG Session BGP INFO SD-WAN Lorsqu'un

P_NEIGHBOR_ établie avec le Gateway peer BGP
UP Neighbor de établit un
passerelle tunnel avec
une
passerelle.

GATEWAY_BG BGP Neighbor INFO SD-WAN Lorsque le

P_NEIGHBOR_ de passerelle Gateway peer BGP
DOWN non disponible d'une
passerelle
perd le tunnel
avec une
passerelle.

MGD_EMERG_ Redémarrage CRITIQUE SD-WAN Le dispositif

REBOOT d'urgence du Edge est redémarré
service de (PROCMON) pour
gestion récupérer à
partir de
processus
bloqués par
vc_procmon.

EDGE_LED_SE Service LED AVERTISSEM SD-WAN Service LED

RVICE_DISABL du panneau ENT, Edge désactivé.
ED avant du CRITIQUE (PROCMON)
dispositif Edge
désactivé

VMware, Inc. 697

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_LED_SE Échec du ERREUR SD-WAN Échec du

RVICE_FAILED service LED Edge service LED.
du panneau (PROCMON)
avant du
dispositif Edge

EDGE_MGD_S Service de CRITIQUE SD-WAN Le service de

ERVICE_DISAB gestion Edge gestion ne
LED désactivé (PROCMON) peut pas
s'activer en
raison d'un
trop grand
nombre
d'échecs.

EDGE_MGD_S Échec du ERREUR SD-WAN Échec du

ERVICE_FAILE service de Edge service de
D gestion (PROCMON) gestion.

EDGE_SERVIC Service de AVERTISSEM SD-WAN Le service de

E_DISABLED plan de ENT Edge plan de
données du (PROCMON) données du
dispositif Edge dispositif Edge
désactivé est désactivé.

EDGE_SERVIC Service de AVERTISSEM SD-WAN Le service de

E_ENABLED plan de ENT Edge plan de
données du (PROCMON) données du
dispositif Edge dispositif Edge
activé est activé par
l'utilisateur à
partir de
l'interface
utilisateur
locale.

EDGE_SERVIC Échec du ERREUR SD-WAN Échec du

E_FAILED service de Edge service de
plan de (PROCMON) plan de
données du données du
dispositif Edge dispositif
Edge.

EDGE_VNFD_ AVERTISSEM SD-WAN Service VNFD

SERVICE_DISA ENT Edge du dispositif
BLED (PROCMON) Edge
désactivé.

EDGE_VNFD_ ERREUR SD-WAN Échec du

SERVICE_FAIL Edge service VNFD
ED (PROCMON) du dispositif
Edge.

VMware, Inc. 698

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_DOT1X_ Service AVERTISSEM SD-WAN Le service SD-

SERVICE_DISA Edge 802.1x ENT, Edge WAN
BLED désactivé CRITIQUE (PROCMON) Edge 802.1x
est désactivé.

EDGE_DOT1X_ Échec du ERREUR SD-WAN Échec du

SERVICE_FAIL service Edge service SD-
ED Edge 802.1x (PROCMON) WAN
Edge 802.1x.

EDGE_NYANS ERREUR SD-WAN Échec du

A_SYSLOG_SE Edge service Syslog
RVICE_FAILED (PROCMON) Nyansa.

EDGE_NYANS AVERTISSEM SD-WAN Service Syslog

A_SYSLOG_SE ENT Edge Nyansa
RVICE_DISABL (PROCMON) désactivé.
ED

EDGE_NYANS ERREUR SD-WAN Échec du

A_AMOND_SE Edge service
RVICE_FAILED (PROCMON) Amond
Nyansa.

EDGE_NYANS AVERTISSEM SD-WAN Service

A_AMOND_SE ENT Edge Amond
RVICE_DISABL (PROCMON) Nyansa
ED désactivé.

EDGE_NYANS ERREUR SD-WAN Échec du

A_SNMP_TRA Edge service
PD_SERVICE_ (PROCMON) d'interruption
FAILED SNMP
Nyansa.

EDGE_NYANS AVERTISSEM SD-WAN Service

A_SNMP_TRA ENT Edge d'interruption
PD_SERVICE_ (PROCMON) SNMP Nyansa
DISABLED désactivé.

EDGE_NYANS ERREUR SD-WAN Échec du

A_SNMP_REA Edge service de
DER_SERVICE (PROCMON) lecteur SNMP
_FAILED Nyansa.

EDGE_NYANS AVERTISSEM SD-WAN Service de

A_SNMP_REA ENT Edge lecteur SNMP
DER_SERVICE (PROCMON) Nyansa
_DISABLED désactivé.

VMware, Inc. 699

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

VNF_VM_EVE Événement de INFO SD-WAN Généré

NT VM VNF Edge (MGD) lorsque la
VNF est mise
sous tension,
hors tension,
supprimée ou
déployée. Le
détail de
l'événement
permet de
différencier le
type.

VNF_INSERTIO Événement ALERTE SD-WAN L'insertion de

N_EVENT d'insertion de Edge (MGD) la VNF est
la VNF activée ou
désactivée. Le
détail de
l'événement
permet de
différencier le
type.

VNF_IMAGE_ Événement de INFO SD-WAN Le

DOWNLOAD_ téléchargeme Edge (MGD) téléchargeme
EVENT nt d'image nt de la VNF
VNF est en cours,
terminé ou a
échoué. Le
détail de
l'événement
permet de
différencier le
type.

MGD_START En ligne INFO SD-WAN Le démon de

Edge (MGD) gestion sur le
dispositif Edge
a démarré.

MGD_EXITING Arrêt en cours INFO SD-WAN Le service de

Edge (MGD) gestion sur un
dispositif SD-
WAN Edge est
en cours
d'arrêt pour
un
redémarrage.

VMware, Inc. 700

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

MGD_SET_CE Définition du INFO SD-WAN Un nouveau

RT_SUCCESS certificat Edge (MGD) certificat PKI
réussie pour la
communicatio
n
d'Orchestrator
a été installé
sur un
dispositif SD-
WAN Edge.

MGD_SET_CE Échec de la ERREUR SD-WAN Échec de

RT_FAIL définition du Edge (MGD) l'installation
certificat d'un nouveau
certificat PKI
pour la
communicatio
n
d'Orchestrator
sur un
dispositif SD-
WAN Edge.

MGD_CONF_A Configuration INFO SD-WAN Modification

PPLIED appliquée Edge (MGD) de la
(Configuration configuration
Applied) effectuée sur
Orchestrator a
été transférée
vers SD-WAN
Edge et a été
appliquée.

MGD_CONF_P Nouvelle INFO SD-WAN Une nouvelle

ENDING configuration Edge (MGD) configuration
en attente est en attente
d'application
(cet
événement
n'est
actuellement
généré nulle
part)

VMware, Inc. 701

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

MGD_CONF_R Configuration CRITIQUE SD-WAN Une stratégie

OLLBACK incorrecte Edge (MGD) de
restaurée configuration
envoyée à
partir
d'Orchestrator
devait être
restaurée, car
elle
déstabilisait le
dispositif SD-
WAN Edge.

MGD_CONF_F Échec de ERREUR SD-WAN Le dispositif

AILED l'application Edge (MGD) n'a pas pu
de la appliquer une
configuration modification
de la
configuration
effectuée sur
Orchestrator.

MGD_CONF_U Configuration AVERTISSEM SD-WAN Un profil

PDATE_INVALI de la mise à ENT Edge (MGD) d'opérateur a
D jour logicielle été attribué à
non valide un dispositif
Edge avec une
image
logicielle non
valide que le
dispositif Edge
ne peut pas
utiliser.

MGD_DEVICE AVERTISSEM SD-WAN Des

_CONFIG_WA ENT Edge (MGD) paramètres
RNING incompatibles
du
périphérique
sont détectés.
MGD continue
avec des
avertissement
s.

MGD_DEVICE ERREUR SD-WAN Des

_CONFIG_ERR Edge (MGD) paramètres de
OR périphérique
non valides
sont détectés
par MGD.

VMware, Inc. 702

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

MGD_SWUP_I Mise à jour INFO SD-WAN Une mise à

GNORED_UPD logicielle Edge (MGD) jour logicielle
ATE ignorée est ignorée au
moment de
l'activation,
car SD-WAN
Edge exécute
déjà cette
version.

MGD_SWUP_I Mise à jour AVERTISSEM SD-WAN Le module de

NVALID_SWU logicielle non ENT Edge (MGD) mise à jour
PDATE valide logicielle reçu
d'Orchestrator
n'est pas
valide.

MGD_SWUP_ Échec du ERREUR SD-WAN Échec du

DOWNLOAD_ téléchargeme Edge (MGD) téléchargeme
FAILED nt du logiciel nt d'une
image de mise
à jour
logicielle du
dispositif
Edge.

MGD_SWUP_ Échec de la ERREUR SD-WAN Le dispositif

UNPACK_FAIL décompressio Edge (MGD) Edge n'a pas
ED n de la mise à pu
jour logicielle décompresser
le module de
mise à jour
logicielle
téléchargé.

MGD_SWUP_I Échec de ERREUR SD-WAN Échec de

NSTALL_FAILE l'installation Edge (MGD) l'installation
D de la mise à de la mise à
jour logicielle jour logicielle
du dispositif
Edge.

MGD_SWUP_I Mise à jour INFO SD-WAN La mise à jour

NSTALLED logicielle Edge (MGD) logicielle a été
téléchargée et
installée.

VMware, Inc. 703

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

MGD_SWUP_ Redémarrer INFO SD-WAN Le dispositif

REBOOT après la mise à Edge (MGD) est en cours
jour logicielle de
redémarrage
après une
mise à jour
logicielle.

MGD_SWUP_S Mise à jour INFO SD-WAN Le dispositif

TANDBY_UPD logicielle du Edge (MGD) Edge envoie
ATE_START périphérique un message
passif de mise à
démarrée niveau au
dispositif
passif lorsqu'il
détecte que la
version
logicielle du
peer est
différente de
celle du
dispositif Edge
actif ou que
celui-ci a reçu
une
commande de
mise à niveau
de SD-WAN
Orchestrator.

MGD_SWUP_S Échec de la ERREUR SD-WAN Échec de la

TANDBY_UPD mise à jour Edge (MGD) mise à niveau
ATE_FAILED logicielle du du dispositif
périphérique passif pour le
passif rapport du
dispositif Edge
actif s'il ne
parvient pas à
envoyer la
commande de
mise à niveau
du peer ou si
le dispositif
passif ne
parvient pas à
effectuer une
mise à niveau
pendant plus
de 5 minutes

VMware, Inc. 704

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

MGD_SWUP_S Mise à jour INFO SD-WAN Lorsque le

TANDBY_UPD logicielle du Edge (MGD) dispositif Edge
ATED périphérique actif détecte
en attente que le
terminée dispositif
passif démarre
avec la version
de l'image
attendue

MGD_VCO_AD Impossible de AVERTISSEM SD-WAN Échec de la

DR_RESOLV_ résoudre ENT Edge (MGD) résolution
FAILED l'adresse DNS de
d'Orchestrator l'adresse
d'Orchestrator
.

MGD_DIAG_R Redémarrage INFO SD-WAN Le dispositif

EBOOT initié par Edge (MGD) Edge est
l'utilisateur redémarré par
une action à
distance
depuis
Orchestrator.

MGD_DIAG_R Services INFO SD-WAN Le service de

ESTART redémarrés Edge (MGD) plan de
données sur le
dispositif SD-
WAN Edge est
redémarré par
une action à
distance
depuis
Orchestrator.

MGD_SHUTDO Hors tension INFO SD-WAN Arrêt du

WN Edge (MGD) diagnostic du
dispositif Edge
selon la
demande de
l'utilisateur.

MGD_HARD_R Rétablir les INFO SD-WAN Le dispositif

ESET paramètres Edge (MGD) Edge est
d'usine restauré vers
son logiciel et
sa
configuration
par défaut
d'usine.

VMware, Inc. 705

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

MGD_DEACTIV Désactivé INFO SD-WAN Le dispositif

ATED Edge (MGD) Edge est
désactivé en
fonction de la
demande de
l'utilisateur par
MGD.

MGD_NETWO Paramètres INFO SD-WAN Les

RK_SETTINGS réseau mis à Edge (MGD) paramètres
_UPDATED jour réseau sont
appliqués à un
dispositif SD-
WAN Edge.

MGD_NETWO ALERTE SD-WAN Le réseau de

RK_MGMT_IF Edge (MGD) gestion n'est
_BROKEN pas configuré
correctement.

MGD_NETWO AVERTISSEM SD-WAN Le réseau est

RK_MGMT_IF ENT Edge (MGD) redémarré
_FIXED deux fois pour
corriger
l'incohérence
du réseau de
gestion.

MGD_INVALID Adresse AVERTISSEM SD-WAN Une adresse

_VCO_ADDRE d'Orchestrator ENT Edge (MGD) non valide
SS non valide pour
Orchestrator a
été envoyée
dans une mise
à jour de
stratégie de
plan de
gestion et a
été ignorée.

MGD_ACTIVAT Activation INFO SD-WAN Le dispositif

ION_PARTIAL incomplète Edge (MGD) Edge est
activé
partiellement,
mais une mise
à jour
logicielle a
échoué.

MGD_ACTIVAT Activé INFO SD-WAN Le dispositif

ION_SUCCESS Edge (MGD) Edge a été
activé.

VMware, Inc. 706

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

MGD_ACTIVAT Échec de ERREUR SD-WAN Échec de

ION_ERROR l'activation Edge (MGD) l'activation du
dispositif
Edge. Le lien
d'activation
était incorrect
ou la
configuration
n'a pas été
téléchargée
sur le
dispositif
Edge.

MGD_HA_TER HA désactivée INFO SD-WAN Le dispositif

MINATED sur le Edge (MGD) Edge passif
dispositif Edge envoie cet
événement
lorsque HA est
désactivé.

EDGE_INTERF Interface du INFO SD-WAN Généré par

ACE_DOWN dispositif Edge Edge (MGD) des scripts
inactive d'enfichage à
chaud lorsque
l'interface est
inactive.

EDGE_INTERF Interface du INFO SD-WAN Généré par

ACE_UP dispositif Edge Edge (MGD) des scripts
active d'enfichage à
chaud lorsque
l'interface est
active.

VMware, Inc. 707

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_KERNEL ALERTE SD-WAN Le système

_PANIC Edge (MGD) d'exploitation
du dispositif
Edge a
rencontré une
exception
critique et doit
redémarrer le
dispositif Edge
à des fins de
récupération.
Un
redémarrage
du dispositif
Edge peut
perturber le
trafic client
pendant 2
à 3 minutes
lorsque le
dispositif Edge
termine le
redémarrage.

EDGE_OSPF_ Événement INFO SD-WAN Le dispositif

NSM NSM OSPF du Edge (EDGED) Edge envoie
dispositif Edge cet événement
lorsque l'état
du neighbor
OSPF change.

IP_SLA_PROB Sonde SLA IP INFO SD-WAN Le dispositif

E Edge (EDGED) Edge est
généré
lorsque l'état
d'IPSLA
change.

IP_SLA_RESP Répondeur ALERTE, INFO SD-WAN Lorsque l'état

ONDER SLA IP Edge (EDGED) du répondeur
IPSLA passe
d'actif à inactif
et
inversement.

ALL_CSS_DO ALL_CSS_DO ALERTE SD-WAN Lorsque tous

WN WN Edge (EDGED) les chemins
CSS se
désactivent.

VMware, Inc. 708

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

CSS_UP CSS_UP ALERTE SD-WAN Lorsqu'au

Edge (EDGED) moins un
chemin CSS
est actif.

LINK_MTU MTU de lien INFO SD-WAN MTU de lien

détectée Edge (EDGED) détectée. La
passerelle a
détecté la
MTU pour ce
lien WAN et
tout le trafic
envoyé sur ce
lien prendra
en compte
cette lecture
de MTU. Pour
les
versions 3.2.x
et antérieures,
le logiciel
VeloCloud
utilise la
détection MTU
du chemin
RFC 1191, qui
repose sur la
réception
d'une erreur
ICMP
(fragmentation
nécessaire) à
partir d'un
périphérique
montant afin
de détecter la
MTU. Dans la
version 3.3.x
et ultérieures,
la détection
MTU du
chemin a été
améliorée
pour utiliser la
détection MTU
du chemin
d'accès de la
couche de
paquets
(RFC 4821).

VMware, Inc. 709

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

PORT_SCAN_ Analyse de INFO SD-WAN Si le pare-feu

DETECTED port détectée Edge (EDGED) avec état
détecte
l'analyse de
l'hôte, cet
événement est
consigné avec
l'adresse IP et
le numéro de
port.

PEER_UNUSA Peer ALERTE SD-WAN Le peer est Obsolète

BLE inutilisable Edge (EDGED) inutilisable.

PEER_USABLE Peer utilisable INFO SD-WAN Le peer est Obsolète

Edge (EDGED) utilisable.

BW_UNMEAS Erreur lors de ALERTE SD-WAN Échec de la

URABLE la mesure de Edge (EDGED) mesure de
la bande bande
passante passante sur la
passerelle
principale.
Retentez la
mesure dans
30 minutes.
Cela peut être
dû à un
problème de
qualité du lien,
tel qu'une
perte ou une
latence
excessive. Ce
message ne
doit s'afficher
que sur les
dispositifs
Edge utilisant
la version 3.1.x
ou antérieure,
car il a été
supprimé à
partir d'Edge
version 3.2.0.

VMware, Inc. 710

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

SLOW_START La bande NOTICE SD-WAN Limite de

_CAP_MET passante Edge (EDGED) démarrage
mesurée lent de la
dépasse le mesure de
plafond de bande
démarrage passante de
lent. Passage 175 Mbits/s
au mode dépassée. Le
rafale. lien sera
remesuré en
mode rafale
pour garantir
la mesure
correcte d'un
lien WAN de
plus de
175 Mbits/s.

EDGE_BFD_C INFO SD-WAN BFD configuré

ONFIG Edge (EDGED) avec une
adresse locale
incorrecte.

FLOOD_ATTA INFO SD-WAN Généré

CK_DETECTED Edge (EDGED) lorsqu'un hôte
malveillant
sature le
dispositif SD-
WAN Edge
avec de
nouvelles
connexions.

LINK_ALIVE Lien actif INFO SD-WAN Lorsque l'état

Edge (EDGED) du lien
(link_fsm)
devient actif.

LINK_DEAD Lien inactif ALERTE SD-WAN Lorsque l'état

Edge (EDGED) du lien
(link_fsm)
devient inactif.

LINK_USABLE Lien utilisable INFO SD-WAN Lorsque l'état

Edge (EDGED) du lien
(link_fsm)
devient
utilisable.

VMware, Inc. 711

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

LINK_UNUSAB Lien ALERTE SD-WAN Lorsque l'état

LE inutilisable Edge (EDGED) du lien
(link_fsm)
devient
inutilisable.

VPN_DATACE Modification INFO, SD-WAN Modification

NTER_STATUS de l'état du ERREUR Edge (EDGED) de l'état du
tunnel VPN tunnel VPN.

INTERFACE_C Erreur de ALERTE SD-WAN

ONFIG_ERROR configuration Edge (EDGED)
de l'interface

HA_STANDBY HA Passif INFO SD-WAN Lorsque le

_ACTIVATED activé Edge (EDGED) dispositif Edge
actif détecte
que le peer
passif envoie
cet événement
à SD-WAN
Orchestrator
pour activer le
dispositif Edge
passif.

HA_INTF_STA État de ALERTE SD-WAN L'interface HA

TE_CHANGED l'interface HA Edge (EDGED) a été
modifié désactivée/
activée.

HA_GOING_A Haute INFO SD-WAN Transition du

CTIVE disponibilité Edge (EDGED) dispositif Edge
en cours passif vers le
d'activation dispositif Edge
actif après la
détection
d'aucune
pulsation
pendant plus
de 700 ms.

HA_FAILED État du peer INFO SD-WAN Le dispositif

haute Edge (EDGED) Edge actif ne
disponibilité détecte ni
inconnu pulsation, ni
activité du
dispositif Edge
passif pendant
plus de
700 millisecon
des.

VMware, Inc. 712

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

HA_READY Haute INFO SD-WAN Le dispositif

disponibilité Edge (EDGED) Edge actif
prête détecte le
peer passif
activé.

MGD_UNREAC Proxy de URGENCE SD-WAN Le plan de

HABLE gestion Edge (EDGED) données n'a
inaccessible pas pu
communiquer
avec le proxy
du plan de
gestion.

VRRP_INTO_ HA VRRP INFO SD-WAN VRRP passe à

MASTER_STAT mise à jour Edge (EDGED) l'état Principal
E vers l'état (Primary)
Principal
(Primary)

VRRP_OUT_O HA VRRP INFO SD-WAN VRRP sort de

F_MASTER_ST mise à jour à Edge (EDGED) l'état Principal
ATE partir de l'état (Primary).
Principal
(Primary)

VRRP_FAIL_IN Échec de INFO SD-WAN Échec de

FO VRRP Edge (EDGED) VRRP.

EDGE_HEALT Alerte de URGENCE SD-WAN Le plan de

H_ALERT santé du Edge (EDGED) données ne
dispositif Edge peut pas
allouer les
ressources
nécessaires au
traitement des
paquets.

EDGE_STARTU Démarrage du INFO SD-WAN Le dispositif

P service Edge Edge (EDGED) Edge
s'exécute en
mode de
gestion
uniquement.

EDGE_DHCP_ Option DHCP AVERTISSEM SD-WAN SD-WAN

BAD_OPTION non valide ENT Edge (EDGED) Edge est
configuré avec
une option
DHCP non
valide.

VMware, Inc. 713

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_NEW_U Nouvel INFO SD-WAN Utilisateur

SER utilisateur Edge (EDGED) client nouveau
client détecté ou mis à jour
détecté sur
une adresse
MAC donnée.

EDGE_NEW_D Nouveau INFO SD-WAN Un nouveau

EVICE périphérique Edge (EDGED) périphérique
client détecté est détecté
lors de
l'exécution de
DHCP.

INVALID_JSO CRITIQUE SD-WAN Le dispositif

N Edge (EDGED) Edge a reçu
des données
JSON non
valides de
MGD.

QOS_OVERRID Remplacemen INFO SD-WAN Des

E t de QoS Edge (EDGED) diagnostics à
distance sont
effectués pour
inverser le
trafic cloud à
router en
fonction de la
business
policy OU
pour l'envoyer
à la passerelle
OU pour
contourner la
passerelle.

EDGE_L2_LO Boucle L2 de ERREUR SD-WAN Boucle L2 de

OP_DETECTED dispositif Edge Edge (EDGED) dispositif Edge
détectée détectée.

EDGE_TUNNE Avertissement AVERTISSEM SD-WAN Le dispositif

L_CAP_WARN CAP de tunnel ENT Edge (EDGED) Edge a atteint
ING du dispositif sa capacité de
Edge tunnel
maximale.

EDGE_LOCAL Connexion de INFO SD-WAN Connexion

UI_LOGIN l'interface Edge réussie de
utilisateur l'interface
locale du utilisateur
dispositif Edge LOCALE pour
un utilisateur.

VMware, Inc. 714

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_MEMOR Utilisation ERREUR SD-WAN Le processus

Y_USAGE_ER critique de la Edge Moniteur de
ROR mémoire ressources
détecte que
l'utilisation de
la mémoire du
dispositif Edge
a dépassé les
seuils définis
et qu'il a
atteint le seuil
de 70 %. Le
moniteur de
ressources
attend
90 secondes
pour
permettre au
processus
Edge de
récupérer à
partir d'un
éventuel pic
temporaire
d'utilisation de
la mémoire. Si
celle-ci
persiste à un
niveau d'au
moins 70 %
pendant plus
de
90 secondes,
le dispositif
Edge génère
ce message
d'erreur et
envoie cet
événement à
Orchestrator.

VMware, Inc. 715

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_MEMOR Avertissement AVERTISSEM SD-WAN Le processus

Y_USAGE_WA relatif à ENT Edge Moniteur de
RNING l'utilisation de ressources
la mémoire détecte que
l'utilisation de
la mémoire du
dispositif Edge
est d'au moins
50 % de la
mémoire
disponible.
Cet
événement est
envoyé à
Orchestrator
toutes les
60 minutes
jusqu'à ce que
l'utilisation de
la mémoire
tombe au-
dessous du
seuil de 50 %.

EDGE_RESTAR Redémarrage AVERTISSEM SD-WAN L'utilisateur

TING du service ENT Edge lance un
Edge initié par redémarrage
l'utilisateur du service
Edge.

EDGE_REBOO Redémarrage AVERTISSEM SD-WAN L'utilisateur

TING du dispositif ENT Edge lance un
Edge initié par redémarrage
l'utilisateur du dispositif
Edge.

EDGE_HARD_ Réinitialisation AVERTISSEM SD-WAN Réinitialisation

RESET matérielle du ENT Edge matérielle du
dispositif Edge dispositif Edge
initiée par
l'utilisateur

VMware, Inc. 716

Guide d'administration de VMware SD-WAN

AFFICHÉ SUR
L'INTERFACE
UTILISATEUR GÉNÉRÉ
ÉVÉNEMENT COMME GRAVITÉ GÉNÉRÉ PAR LORSQUE OBSOLÈTE

EDGE_DEACTI Dispositif AVERTISSEM SD-WAN La

VATED Edge ENT Edge configuration
désactivé de SD-WAN
Edge est
effacée et
n'est associé à
aucun site
client. La build
du logiciel
reste
inchangée.

EDGE_CONSO Connexion de INFO SD-WAN Connexion de

LE_LOGIN la console du Edge SD-WAN
dispositif Edge Edge via le
port de
console.

EDGE_COMMA Commande de INFO SD-WAN Généré par un

ND dispositif Edge Edge dispositif SD-
WAN Edge au
cours des
diagnostics à
distance lors
de l'exécution
des
commandes
du dispositif
Edge.

EDGE_BIOS_U BIOS du INFO SD-WAN Généré par le

PDATED dispositif Edge Edge script 12-
mis à jour upgrade-
[Link]
lorsque le
BIOS du
dispositif SD-
WAN Edge est
mis à jour.

EDGE_BIOS_U Échec de la ERREUR SD-WAN Généré par le

PDATE_FAILE mise à jour du Edge script 12-
D BIOS du upgrade-
dispositif Edge [Link] en cas
d'échec de la
mise à jour du
BIOS du
dispositif SD-
WAN Edge.

VMware, Inc. 717

Guide d'administration de VMware SD-WAN

Événements VMware SD-WAN Edge pris en charge par les

serveurs Syslog
Le tableau suivant décrit tous les événements possibles du dispositif VMware SD-WAN Edge qui
peuvent être exportés vers des collecteurs Syslog.

Événements Gravité Description

BW_UNMEASURABLE ALERTE Généré par un dispositif SD-WAN Edge

lorsque la bande passante de chemin
n'est pas mesurable.

EDGE_BIOS_UPDATE_FAILED ERREUR Généré par le script [Link]

lorsque le BIOS du dispositif SD-WAN
Edge est mis à jour.

EDGE_BIOS_UPDATED INFO Généré par le script [Link]

en cas d'échec de la mise à jour du
BIOS du dispositif SD-WAN Edge.

EDGE_CONSOLE_LOGIN INFO Généré par un dispositif SD-WAN Edge

lors de la connexion via le port de la
console.

EDGE_DEACTIVATED AVERTISSEMENT Généré lorsque toute la configuration

d'un dispositif SD-WAN Edge est
effacée et qu'il n'est pas associé à un
site client. La build du logiciel reste
inchangée.

EDGE_DHCP_BAD_OPTION AVERTISSEMENT Généré lorsque le dispositif SD-WAN

Edge est configuré avec une option
DHCP non valide.

EDGE_DISK_IO_ERROR AVERTISSEMENT Généré par un dispositif SD-WAN Edge

lorsque l'erreur d'E/S du disque s'est
produite lors de la mise à niveau/
rétrogradation.

EDGE_DISK_READONLY CRITIQUE Généré par un dispositif SD-WAN

Edge lorsqu'un disque passe en lecture
seule.

EDGE_DNSMASQ_FAILED ERREUR Généré en cas d'échec du service

Dnsmasq.

EDGE_DOT1X_SERVICE_DISABLED AVERTISSEMENT, CRITIQUE Généré par vc_procmon lorsque le

service 802.1x du dispositif SD-WAN
Edge est désactivé.

EDGE_DOT1X_SERVICE_FAILED ERREUR Généré par vc_procmon en cas

d'échec du service 802.1x du dispositif
SD-WAN Edge.

EDGE_HARD_RESET AVERTISSEMENT Généré lorsque l'utilisateur a lancé une

réinitialisation matérielle du dispositif
SD-WAN Edge.

VMware, Inc. 718

Guide d'administration de VMware SD-WAN

Événements Gravité Description

EDGE_HEALTH_ALERT URGENCE Généré par le dispositif SD-WAN Edge

lorsque le plan de données ne peut pas
allouer les ressources nécessaires au
traitement des paquets.

EDGE_INTERFACE_DOWN INFO Généré par des scripts d'enfichage à

chaud lorsque l'interface est inactive.

EDGE_INTERFACE_UP INFO Généré par des scripts d'enfichage à

chaud lorsque l'interface est active.

EDGE_KERNEL_PANIC ALERTE Généré par un dispositif SD-WAN

Edge lorsque le système d'exploitation
du dispositif Edge a rencontré
une exception critique et qu'il doit
redémarrer le dispositif Edge à des
fins de récupération. Un redémarrage
du dispositif Edge peut perturber le
trafic client pendant 2 à 3 minutes
lorsque le dispositif Edge termine le
redémarrage.

EDGE_L2_LOOP_DETECTED ERREUR Généré lorsque la boucle L2 du

dispositif SD-WAN Edge est détectée.

EDGE_LED_SERVICE_DISABLED AVERTISSEMENT, CRITIQUE Généré par vc_procmon lorsque le

service LED de SD-WAN Edge est
désactivé.

EDGE_LED_SERVICE_FAILED ERREUR Généré par vc_procmon en cas

d'échec du service LED de SD-WAN
Edge.

EDGE_LOCALUI_LOGIN INFO Généré en cas de connexion réussie de

l'interface utilisateur LOCALE pour un
utilisateur.

EDGE_MEMORY_USAGE_ERROR ERREUR Généré par un dispositif SD-WAN

Edge lorsque le processus Moniteur
de ressources détecte que l'utilisation
de la mémoire du dispositif Edge a
dépassé les seuils définis et qu'il a
atteint le seuil de 70 %. Le moniteur
de ressources attend 90 secondes
pour permettre au processus Edge
de récupérer à partir d'un éventuel
pic temporaire d'utilisation de la
mémoire. Si celle-ci persiste à un
niveau d'au moins 70 % pendant plus
de 90 secondes, le dispositif Edge
génère ce message d'erreur et envoie
cet événement à Orchestrator.

VMware, Inc. 719

Guide d'administration de VMware SD-WAN

Événements Gravité Description

EDGE_MEMORY_USAGE_WARNING AVERTISSEMENT Généré par un dispositif SD-WAN

Edge lorsque le processus Moniteur
de ressources détecte que l'utilisation
de la mémoire du dispositif Edge
est d'au moins 50 % de la mémoire
disponible. Cet événement est envoyé
à Orchestrator toutes les 60 minutes
jusqu'à ce que l'utilisation de la
mémoire tombe au-dessous du seuil de
50 %.

EDGE_MGD_SERVICE_DISABLED CRITIQUE, AVERTISSEMENT Généré par vc_procmon lorsque mgd

ne peut pas démarrer ou qu'il est
désactivé en raison d'un trop grand
nombre de pannes.

EDGE_MGD_SERVICE_FAILED ERREUR Généré par vc_procmon en cas

d'échec du service mgd.

EDGE_NEW_DEVICE INFO Généré lorsqu'un nouveau client DHCP

est identifié en traitant la demande
DHCP.

EDGE_NEW_USER INFO Généré lors de l'ajout d'un nouvel

utilisateur client.

EDGE_OSPF_NSM INFO Généré par le dispositif SD-WAN Edge

lorsque l'état de la machine à états du
Neighbor (NSM) OSPF s'est produit.

EDGE_REBOOTING AVERTISSEMENT Généré lorsqu'un utilisateur a initié

le redémarrage du dispositif SD-WAN
Edge.

EDGE_RESTARTING AVERTISSEMENT Généré lorsqu'un utilisateur a initié

le redémarrage du service SD-WAN
Edge.

EDGE_SERVICE_DISABLED AVERTISSEMENT Généré lorsque le service de plan de

données du dispositif SD-WAN Edge
est désactivé.

EDGE_SERVICE_ENABLED AVERTISSEMENT Généré lorsque le service de plan de

données du dispositif SD-WAN Edge
est activé.

EDGE_SERVICE_FAILED ERREUR Généré en cas d'échec du service de

plan de données du dispositif SD-WAN
Edge.

EDGE_SHUTTING_DOWN AVERTISSEMENT Généré lorsqu'un dispositif SD-WAN

Edge est en cours d'arrêt.

EDGE_STARTUP INFO Généré lorsqu'un dispositif SD-WAN

Edge s'exécute en mode de gestion
uniquement.

VMware, Inc. 720

Guide d'administration de VMware SD-WAN

Événements Gravité Description

EDGE_SSH_LOGI INFO Généré par un dispositif SD-WAN Edge

lors de la connexion via le protocole
SSH.

EDGE_TUNNEL_CAP_WARNING AVERTISSEMENT Généré lorsqu'un dispositif SD-WAN

Edge a atteint sa capacité de tunnel
maximale.

EDGE_VNFD_SERVICE_DISABLED AVERTISSEMENT, CRITIQUE Généré par vc_procmon lorsque le

service VNFD du dispositif Edge est
désactivé.

EDGE_VNFD_SERVICE_FAILED ERREUR Généré par vc_procmon en cas

d'échec du service VNFD du dispositif
Edge.

FLOOD_ATTACK_DETECTED INFO Généré lorsqu'un hôte malveillant

sature le dispositif SD-WAN Edge avec
de nouvelles connexions.

HA_FAILED INFO État du peer HA inconnu-généré

lorsque le dispositif Edge en veille n'a
envoyé aucune réponse de pulsation et
qu'un seul des deux dispositifs Edge
HA communique avec Orchestrator et
les passerelles.

HA_GOING_ACTIVE INFO Basculement HA. Généré lorsque le

dispositif Edge haute disponibilité (HA)
actif a été marqué comme étant inactif
et que celui en veille est affiché comme
étant inactif.

HA_INTF_STATE_CHANGED ALERTE Généré lorsque l'état de l'interface HA

devient actif.

HA_READY INFO Généré lorsque les dispositifs Edge

actifs et en veille sont opérationnels et
synchronisés.

HA_STANDBY_ACTIVATED INFO Généré lorsque le dispositif Edge HA

Passif a accepté la clé d'activation,
téléchargé sa configuration et mis à
jour sa build de logiciel.

HA_TERMINATED INFO Généré lorsque HA a été désactivé sur

un dispositif SD-WAN Edge.

INVALID_JSON CRITIQUE Généré lorsqu'un dispositif SD-WAN

Edge a reçu une réponse non valide de
MGD.

IP_SLA_PROBE Actif = INFO, Inactif = ALERTE Généré en cas de modification de l'état

de la sonde ICMP IP.

IP_SLA_RESPONDER Actif = INFO, Inactif = ALERTE Généré en cas de modification de l'état

du répondeur ICMP IP.

LINK_ALIVE INFO Généré lorsqu'une liaison WAN n'est

plus INACTIVE.

VMware, Inc. 721

Guide d'administration de VMware SD-WAN

Événements Gravité Description

LINK_DEAD ALERTE Généré lorsque tous les tunnels

établis sur la liaison WAN n'ont reçu
aucun paquet pendant au moins sept
secondes.

LINK_MTU INFO Généré lorsque la MTU de liaison WAN

est détectée.

LINK_UNUSABLE ALERTE Généré lorsque la liaison WAN passe à

un état INUTILISABLE.

LINK_USABLE INFO Généré lorsque la liaison WAN passe à

un état UTILISABLE.

MGD_ACTIVATION_ERROR ERREUR Généré en cas d'échec de l'activation

d'un dispositif SD-WAN Edge. Le
lien d'activation était incorrect ou la
configuration n'a pas été téléchargée
sur le dispositif Edge.

MGD_ACTIVATION_PARTIAL INFO Généré lorsqu'un dispositif SD-WAN

Edge est activé partiellement, mais
qu'une mise à jour logicielle a échoué.

MGD_ACTIVATION_SUCCESS INFO Généré lorsqu'un dispositif SD-WAN

Edge a été activé.

MGD_CONF_APPLIED INFO Généré lorsqu'une modification de

la configuration effectuée sur
Orchestrator a été transférée vers le
dispositif SD-WAN Edge et a été
appliquée.

MGD_CONF_FAILED INFO Généré lorsque le dispositif SD-

WAN Edge n'a pas pu appliquer
une modification de la configuration
effectuée sur Orchestrator.

MGD_CONF_ROLLBACK INFO Généré lorsqu'une stratégie de

configuration envoyée à partir
d'Orchestrator devait être restaurée,
car elle déstabilisait le dispositif SD-
WAN Edge.

MGD_CONF_UPDATE_INVALID INFO Généré lorsqu'un profil d'opérateur a

été attribué à un dispositif SD-WAN
Edge avec une image logicielle non
valide que le dispositif Edge ne peut
pas utiliser.

MGD_DEACTIVATED INFO Généré lorsqu'un dispositif SD-WAN

Edge est désactivé en fonction de la
demande de l'utilisateur par mgd.

MGD_DEVICE_CONFIG_WARNING/ AVERTISSEMENT, INFO Généré lorsqu'un paramètre de

ERROR périphérique incohérent/non valide est
détecté.

VMware, Inc. 722

Guide d'administration de VMware SD-WAN

Événements Gravité Description

MGD_DIAG_REBOOT INFO Généré lorsqu'un dispositif SD-WAN

Edge est redémarré par une action à
distance depuis Orchestrator.

MGD_DIAG_RESTART INFO Généré lorsque le service de plan

de données sur le dispositif SD-WAN
Edge est redémarré par une action à
distance depuis Orchestrator.

MGD_EMERG_REBOOT CRITIQUE Généré lorsqu'un dispositif SD-WAN

Edge est redémarré pour récupérer
à partir de processus bloqués par
vc_procmon.

MGD_ENTER_LIVE_MODE DÉBOGAGE Généré lorsque le service de gestion

sur un dispositif SD-WAN Edge entre
en mode DIRECT.

MGD_EXIT_LIVE_MODE DÉBOGAGE Généré lorsque le service de gestion

sur un dispositif SD-WAN Edge quitte
le mode DIRECT.

MGD_EXITING INFO Généré lorsque le service de gestion

sur un dispositif SD-WAN Edge est en
cours d'arrêt pour un redémarrage.

MGD_EXTEND_LIVE_MODE DÉBOGAGE Généré par un dispositif SD-WAN Edge

lorsque le mode direct est étendu.

MGD_FLOW_STATS_PUSH_FAILED DÉBOGAGE Généré par un dispositif SD-WAN

Edge en cas d'échec du transfert de
statistiques sur les flux à Orchestrator.

MGD_FLOW_STATS_PUSH_SUCCEE DÉBOGAGE Généré par un dispositif SD-WAN

DED Edge en cas de transfert réussi des
statistiques sur les flux à Orchestrator.

MGD_FLOW_STATS_QUEUED INFO Généré par un dispositif SD-WAN Edge

en cas de mise en file d'attente des
statistiques sur les flux transférées à
Orchestrator.

MGD_HARD_RESET INFO Généré lorsqu'un dispositif SD-WAN

Edge est restauré vers son logiciel et
sa configuration par défaut d'usine.

MGD_HEALTH_STATS_PUSH_FAILE DÉBOGAGE Généré par un dispositif SD-WAN

D Edge en cas d'échec du transfert des
statistiques de santé à Orchestrator.

MGD_HEALTH_STATS_PUSH_SUCC DÉBOGAGE Généré par un dispositif SD-WAN

EEDED Edge en cas de transfert réussi des
statistiques de santé à Orchestrator.

MGD_HEALTH_STATS_QUEUED INFO Généré par un dispositif SD-WAN Edge

en cas de mise en file d'attente des
statistiques de santé transférées à
Orchestrator.

VMware, Inc. 723

Guide d'administration de VMware SD-WAN

Événements Gravité Description

MGD_HEARTBEAT INFO Généré par un dispositif SD-WAN Edge

en cas de génération d'une pulsation
vers Orchestrator.

MGD_HEARTBEAT_FAILURE INFO Généré par un dispositif SD-WAN Edge

en cas d'échec de la pulsation générée
vers Orchestrator.

MGD_HEARTBEAT_SUCCESS INFO Généré par un dispositif SD-WAN Edge

en cas de réussite de la pulsation
générée vers Orchestrator.

MGD_INVALID_VCO_ADDRESS AVERTISSEMENT Généré lorsqu'une adresse non valide

pour Orchestrator a été envoyée dans
une mise à jour de stratégie de plan de
gestion et qu'elle a été ignorée.

MGD_LINK_STATS_PUSH_FAILED DÉBOGAGE Généré par un dispositif SD-WAN

Edge en cas d'échec du transfert des
statistiques de liaison à Orchestrator.

MGD_LINK_STATS_PUSH_SUCCEED DÉBOGAGE Généré par un dispositif SD-WAN

ED Edge en cas de transfert réussi des
statistiques de liaison à Orchestrator.

MGD_LINK_STATS_QUEUED INFO Généré par un dispositif SD-WAN Edge

en cas de mise en file d'attente des
statistiques de liaison transférées à
Orchestrator.

MGD_LIVE_ACTION_FAILED DÉBOGAGE Généré par un dispositif SD-WAN Edge

en cas d'échec d'une action en direct.

MGD_LIVE_ACTION_REQUEST DÉBOGAGE Généré par un dispositif SD-WAN Edge

en cas de demande d'une action en
direct.

MGD_LIVE_ACTION_SUCCEEDED DÉBOGAGE Généré par un dispositif SD-WAN Edge

en cas de réussite d'une action en
direct.

MGD_NETWORK_MGMT_IF_BROKE ALERTE Généré lorsque la configuration du

N réseau de gestion est incorrecte.

MGD_NETWORK_MGMT_IF_FIXED AVERTISSEMENT Généré lorsqu'un réseau est redémarré

deux fois pour corriger l'incohérence
du réseau de gestion.

MGD_NETWORK_SETTINGS_UPDAT INFO Généré lorsque de nouveaux

ED paramètres de réseau sont appliqués à
un dispositif SD-WAN Edge.

MGD_SET_CERT_FAIL ERREUR Généré en cas d'échec de l'installation

d'un nouveau certificat PKI pour la
communication d'Orchestrator sur un
dispositif SD-WAN Edge.

VMware, Inc. 724

Guide d'administration de VMware SD-WAN

Événements Gravité Description

MGD_SET_CERT_SUCCESS INFO Généré en cas de l'installation réussie

d'un nouveau certificat PKI pour la
communication d'Orchestrator sur un
dispositif SD-WAN Edge.

MGD_SHUTDOWN INFO Généré lors de l'arrêt du diagnostic du

dispositif SD-WAN Edge en fonction de
la demande de l'utilisateur.

MGD_START INFO Généré lorsque le démon de gestion

sur le dispositif SD-WAN Edge a
démarré.

MGD_SWUP_DOWNLOAD_FAILED ERREUR Généré en cas d'échec du

téléchargement d'une image de mise à
jour logicielle du dispositif Edge.

MGD_SWUP_DOWNLOAD_SUCCEE DÉBOGAGE Généré en cas de téléchargement

DED réussi d'une image de mise à jour
logicielle du dispositif Edge.

MGD_SWUP_IGNORED_UPDATE INFO Généré lorsqu'une mise à jour logicielle

est ignorée au moment de l'activation,
car SD-WAN Edge exécute déjà cette
version.

MGD_SWUP_INSTALL_FAILED ERREUR Généré en cas de l'échec de

l'installation d'une mise à jour logicielle.

MGD_SWUP_INSTALLED INFO Généré lorsqu'une mise à jour logicielle

a été téléchargée et installée.

MGD_SWUP_INVALID_SWUPDATE AVERTISSEMENT Généré lorsqu'un module de mise à

jour logicielle reçu d'Orchestrator n'est
pas valide.

MGD_SWUP_REBOOT INFO Généré lorsque le dispositif SD-WAN

Edge est en cours de redémarrage
après une mise à jour logicielle.

MGD_SWUP_STANDBY_UPDATE_F ERREUR Généré en cas d'échec d'une mise à

AILED jour logicielle du dispositif Edge HA en
veille.

MGD_SWUP_STANDBY_UPDATE_S INFO Généré lorsque la mise à jour logicielle

TART de HA Passif a démarré.

MGD_SWUP_STANDBY_UPDATED INFO Généré lorsqu'une mise à jour logicielle

du dispositif Edge HA a démarré.

MGD_SWUP_UNPACK_FAILED ERREUR Généré lorsqu'un dispositif Edge n'a

pas pu décompresser le module de
mise à jour logicielle téléchargé.

MGD_SWUP_UNPACK_SUCCEEDED INFO Généré lorsqu'un dispositif Edge a

réussi à décompresser le module de
mise à jour logicielle téléchargé.

VMware, Inc. 725

Guide d'administration de VMware SD-WAN

Événements Gravité Description

MGD_UNREACHABLE URGENCE Généré lorsque le processus du plan de

données n'a pas pu communiquer avec
le proxy du plan de gestion.

MGD_VCO_ADDR_RESOLV_FAILED AVERTISSEMENT Généré en cas d'échec de la résolution

DNS de l'adresse d'Orchestrator.

MGD_WEBSOCKET_INIT DÉBOGAGE Généré lorsqu'une communication

WebSocket est lancée avec
Orchestrator.

MGD_WEBSOCKET_CLOSE DÉBOGAGE Généré lorsqu'une communication

WebSocket avec Orchestrator est
fermée.

PEER_UNUSABLE ALERTE Généré lorsque la connectivité de

superposition à un homologue tombe
en panne lors de la transmission des
statistiques d'homologue.

PEER_USABLE INFO Généré lorsque la connectivité de

superposition à un homologue
reprend après une certaine période
d'inutilisation.

PORT_SCAN_DETECTED INFO Généré lors de la détection d'une

analyse de ports.

QOS_OVERRIDE INFO Généré pour inverser le chemin du

trafic (passerelle ou direct).

SLOW_START_CAP_MET NOTICE Généré lorsque la limite du plafond

de démarrage lent de la mesure de la
bande passante est dépassée. Elle est
effectuée en mode Rafale

VPN_DATACENTER_STATUS INFO, ERREUR Généré lors d'une modification de l'état

du tunnel VPN.

VRRP_FAIL_INFO INFO Généré lors de l'échec de VRRP.

VRRP_INTO_MASTER_STATE INFO Généré lorsque VRRP passe à l'état

Principal (Primary).

VRRP_OUT_OF_MASTER_STATE INFO Généré lorsque VRRP sort de l'état

Principal (Primary).

VMware, Inc. 726