Citrix SD-WANを使用したMicrosoft Azure Virtual WANへの接続
オンプレミスデバイスをAzureに接続するには、コントローラーが必要です。コントローラーはAzure APIを取り込み、Azure WANおよびハブとのサイト間接続を確立します。
Microsoft Azure Virtual WANには、次のコンポーネントとリソースが含まれています。
-
WAN:Microsoft Azureのネットワーク全体を表します。このWAN内に含めるすべてのハブへのリンクが含まれています。WANは互いに分離されており、共通のハブや、異なるWAN内の2つのハブ間の接続を含めることはできません。
-
サイト:オンプレミスVPNデバイスとその設定を表します。サイトは複数のハブに接続できます。Citrix SD-WANを使用すると、この情報をAzureに自動的にエクスポートする組み込みソリューションを使用できます。
-
ハブ:特定の地域におけるネットワークの中核を表します。ハブには、オンプレミスネットワークへの接続やその他のソリューションを可能にするさまざまなサービスエンドポイントが含まれています。サイト間接続は、サイト間でハブVPNエンドポイントに確立されます。
-
ハブ仮想ネットワーク接続:ハブネットワークは、Azure仮想WANハブを仮想ネットワークにシームレスに接続します。現在、同じ仮想HUBリージョン内にある仮想ネットワークへの接続が可能です。
-
ブランチ:ブランチはオンプレミスのCitrix SD-WANアプライアンスであり、顧客のオフィスの場所に存在します。SD-WANコントローラは、ブランチを集中管理します。接続はこれらのブランチの背後から始まり、Azureで終了します。SD-WANコントローラーは、これらのブランチとAzureハブに必要な構成を適用する役割を果たします。
次の図は、仮想WANコンポーネントについて説明しています。
Microsoft Azure Virtual WANの仕組み
-
SD-WAN Center は、Azure GUIで有効になっているサービスプリンシパル、プリンシパル、またはロールベースのアクセス機能を使用して認証されます。
-
SD-WAN Center はAzure接続構成を取得し、ローカルデバイスを更新します。これにより、オンプレミスデバイスの設定のダウンロード、編集、および更新が自動化されます。
-
デバイスに正しいAzure構成が設定されると、Azure WANへのサイト間接続(2つのアクティブなIPsecトンネル)が確立されます。Azureでは、IKEv2設定をサポートするためにブランチデバイスコネクタが必要です。BGP構成はオプションです。
注:IPsecトンネルを確立するためのIPsecパラメーターは標準化されています。
IPsecプロパティ パラメーター Ike暗号化アルゴリズム AES 256 Ike整合性アルゴリズム SHA 256 Dhグループ DH2 IPsec暗号化アルゴリズム GCM AES 256 IPsec整合性アルゴリズム GCM AES 256 PFSグループ なし
Azure Virtual WANは、ワークロード仮想ネットワークとハブ間の接続を自動化します。ハブ仮想ネットワーク接続を作成すると、プロビジョニングされたハブとワークロード仮想ネットワーク(VNET)の間に適切な構成が設定されます。
前提条件と要件
Azureハブに接続するブランチサイトを管理するためにAzureおよびSD-WANを構成する前に、次の要件をお読みください。
- 仮想WANのAzureサブスクリプションをホワイトリストに登録している。
- SD-WAN アプライアンスなどのオンプレミスアプライアンスを使用して、Azure リソースに IPsec を確立します。
- パブリックIPアドレスとのインターネットリンクがあります。Azureへの接続を確立するには1つのインターネットリンクで十分ですが、同じWANリンクを使用するには2つのIPsecトンネルが必要です。
- SD-WANコントローラー–コントローラーは、Azureに接続するためのSD-WANアプライアンスの構成を担当するインターフェイスです。
- 少なくとも1つのワークロードを持つAzureのVNET。たとえば、サービスをホストしているVMです。次の点を考慮してください。
- 仮想ネットワークには、Azure VPNまたはExpress Routeゲートウェイ、またはネットワーク仮想アプライアンスがあってはなりません。
- 仮想ネットワークには、オンプレミスのブランチからアクセスされるワークロードのトラフィックを非仮想WAN仮想ネットワークにルーティングするユーザー定義のルートがあってはなりません。
- ワークロードにアクセスするための適切な権限を構成する必要があります。たとえば、ubuntu VMのポート22 SSHアクセス。
次の図は、Microsoft Azureに2つのサイトと2つの仮想ネットワークがあるネットワークを示しています。
Microsoft Azure Virtual WANを設定する
オンプレミスの SD-WAN ブランチが Azure に接続し、IPsec トンネル経由でリソースにアクセスするには、次の手順を完了する必要があります。
- WANリソースの構成。
- SDsec-WANブランチがIPsecトンネルを使用してAzureに接続できるようにします。
SD-WANアプライアンスに接続するために必要なAzureリソースが事前に利用可能である必要があるため、SD-WANネットワークを構成する前にAzureネットワークを構成します。ただし、必要に応じて、Azureリソースを構成する前にSD-WAN構成を構成できます。このトピックでは、SD-WAN アプライアンスを構成する前に、まず Azure 仮想 WAN ネットワークをセットアップする方法について説明します。 https://microsoft.com Azure 仮想 WAN。
WANリソースを作成する
仮想 WAN 機能を使用し、オンプレミスのブランチアプライアンスを Azure に接続するには、次の手順を実行します。
-
Azure Marketplaceにサインインし、仮想 WAN アプリに移動して、[ WAN の作成] を選択します。
-
WANの名前を入力し、WANに使用するサブスクリプションを選択します。
- 既存のリソースグループを選択するか、新しいリソースグループを作成します。リソースグループは論理的な構造であり、リソースグループ間のデータ交換は常に可能です。
-
リソースグループを配置する場所を選択します。WANは、場所を持たないグローバルリソースです。ただし、WANリソースのメタデータを含むリソースグループの場所を入力する必要があります。
- [Create] をクリックします。これにより、設定を検証して展開するプロセスが開始されます。
サイトを作成
優先ベンダーを使用してサイトを作成できます。優先ベンダーは、デバイスとサイトに関する情報をAzureに送信するか、デバイスを自分で管理することを決定できます。デバイスを管理する場合は、Azure Portalでサイトを作成する必要があります。
SD-WANネットワークとMicrosoft Azure仮想WANワークフロー
SD-WANアプライアンスを構成します。
- Citrix SD-WANアプライアンスのプロビジョニング
- SD-WANブランチアプライアンスをMCNアプライアンスに接続します。
- SD-WANアプライアンスを構成する
- アクティブ/アクティブ接続用のイントラネットサービスを構成します。
SD-WAN Center を構成します。
- SD-WAN Center を構成してMicrosoft Azureに接続します。
Azure設定を構成する:
- テナントID、クライアントID、セキュアキー、サブスクライバーID、およびリソースグループを提供します。
WANアソシエーションへのブランチサイトの構成:
- 1つのWANリソースをブランチに関連付けます。同じサイトを複数のWANに接続することはできません。
- [ 新規] をクリックして、サイトとWANの関連付けを構成します。
- Azure Wan-resourcesを選択します。
- サイトの[ サービス (イントラネット)]を選択します 。Active-Standbyサポート用に2つのサービスを選択します。
- WANリソースに関連付ける サイト名 を選択します 。
- [ デプロイ] をクリックして、関連付けを確認します。
- ステータスが[ Tunnels Deployed]に変わるのを待って、IPsecトンネル 設定を表示します。
- SD-WAN Center レポートビューを使用して、それぞれのIPsecトンネルのステータスを確認します。
Citrix SD-WANネットワークを構成する
MCN:
MCNは、初期システム構成およびその後の構成変更の配布ポイントとして機能します。仮想WANに存在できるアクティブなMCNは1つだけです。 デフォルトでは、アプライアンスにはクライアントの役割が事前に割り当てられています。アプライアンスをMCNとして確立するには、まずサイトをMCNとして追加して構成する必要があります。ネットワーク構成GUIは、サイトがMCNとして構成された後に使用可能になります。アップグレードおよび構成の変更は、MCNまたはSD-WAN Centerからのみ実行する必要があります。
MCNの役割:
MCNは、SD-WANネットワークのコントローラーとして機能する中央ノードであり、クライアントノードの中央管理ポイントです。ファームウェアパッケージの準備とクライアントへの配布に加えて、すべての構成アクティビティはMCNで構成されます。また、監視情報はMCNでのみ利用できます。MCNはSD-WANネットワーク全体を監視できますが、クライアントノードはローカルイントラネットとそれらが接続されているクライアントの一部の情報のみを監視できます。MCNの主な目的は、エンタープライズサイト間通信のためにSD-WANネットワーク全体に配置された1つ以上のクライアントノードとのオーバーレイ接続(仮想パス)を確立することです。MCNは、複数のクライアントノードを管理し、仮想パスを持つことができます。複数のMCNを設定できますが、一度にアクティブにできるのは1つだけです。次の図は、小規模な2サイトネットワークのMCNおよびクライアント(ブランチノード)アプライアンスの基本的な図を示しています。
SD-WANアプライアンスをMCNとして構成する
MCNを追加して構成するには、まずMCNとして指定しているアプライアンスの管理Webインターフェイスにログインし、管理WebインターフェイスをMCNコンソールモードに切り替える必要があります。MCN コンソールモードでは 、現在接続している管理 Web インターフェイスの設定エディタにアクセスできます。その後、 構成エディターを使用して MCN サイトを追加および構成できます。
管理 Web インターフェイスを MCN コンソールモードに切り替えるには 、次の手順を実行します。
- MCNとして構成するアプライアンスのSD-WAN管理Webインターフェイスにログインします。
- Management Web Interface のメイン画面のメインメニューバー (ページ上部の青いバー) で、[ 構成 ] をクリックします。
- ナビゲーション・ツリー (左側のペイン) で、「 アプライアンスの設定」ブランチを開き 、「 管理者インタフェース」をクリックします。
-
[ その他 ] タブを選択します。その他の管理設定ページが開きます。
[その他]タブページの下部には、[クライアントへの切り替え、MCNコンソール]セクションがあります。**[]このセクションには、 **アプライアンスのコンソールモードを切り替えるための [Switch Console] ボタンがあります。
セクション見出しは、次のように現在のコンソールモードを示します。
- クライアントコンソールモード (デフォルト) の場合、セクション見出しは [ MCN コンソールに切り替え] です。
- MCN コンソールモードの場合 、セクション見出しは [ クライアントコンソールに切り替える] です。
デフォルトでは、新しいアプライアンスはクライアントコンソールモードです。MCNコンソールモードでは、ナビゲーションツリーの構成エディタービューが有効になります。 設定エディタは MCN アプライアンスでのみ使用できます。
MCN の設定
MCNアプライアンスサイトを追加して構成を開始するには、次の手順を実行します。
-
SD-WANアプライアンスGUIで、 仮想WAN > 構成エディターに移動します。
-
サイトバーの [ + サイト ] をクリックして、MCN サイトの追加と構成を開始します。[ サイト の追加 ]ダイアログボックスが表示されます。
-
アプライアンスの地理的な場所と役割を決定できるサイト名を入力します (DC/secondary DC)。正しいアプライアンスモデルを選択します。ハードウェアプラットフォームは処理能力とライセンスの点で互いに異なるため、正しいアプライアンスを選択することが重要です。このアプライアンスをプライマリヘッドエンドアプライアンスとして構成しているため、モードをプライマリMCNとして選択し、[ 追加] をクリックします。
-
これにより、サイトツリーに新しいサイトが追加され、デフォルトビューには、以下に示すような基本設定の構成ページが表示されます。
-
場所、サイト名などの基本設定を入力します。
- からのトラフィックを受け入れることができるようにアプライアンスを構成します Internet/MPLS/Broadband. リンクが終端するインターフェースを定義します。これは、アプライアンスがオーバーレイモードかアンダーレイモードかによって異なります。
-
[ インターフェースグループ] をクリックして、インターフェースの定義を開始します。
-
クリック + 仮想インターフェイスグループを追加します。これにより、新しい仮想インターフェイスグループが追加されます。仮想インターフェイスの数は、アプライアンスが処理するリンクによって異なります。アプライアンスが処理できるリンクの数は、アプライアンスモデルによって異なり、最大リンク数は最大8です。
-
クリック + 以下に示すように、仮想インターフェイスの右側にある画面を表示します。
- この仮想インターフェイスの一部を形成する イーサネットインターフェイスを選択します。プラットフォームモデルに応じて、アプライアンスには事前に構成されたフェイルツーワイヤーインターフェイスのペアがあります。アプライアンスでワイヤーフェイルを有効にする場合は、正しいインターフェイスのペアを選択していることを確認し、 バイパスモード 列でワイヤーフェイルを選択していることを確認してください。
- ドロップダウンリストからセキュリティレベルを選択します。インターフェイスがMPLSリンクを提供している場合は信頼モードが選択され、それぞれのインターフェイスでインターネットリンクが使用されている場合は非信頼モードが選択されます。
-
クリック + 仮想インターフェースという名前のラベルの右側。名前、ファイアウォールゾーン、VLAN IDが表示されます。この仮想インターフェイスグループの 名前とVLAN ID を入力します 。VLAN IDは、仮想インターフェースとの間のトラフィックの識別とマーキングに使用され、0(ゼロ)を使用して native/untagged トラフィック。
- 配線に失敗したインターフェイスを設定するには、[ブリッジペア]をクリックします。これにより、新しいブリッジペアが追加され、編集が可能になります。[ 適用] をクリックして、これらの設定を確認します。
- さらに仮想インターフェイスグループを追加するには、 + インターフェースグループの右側に分岐し、上記のように進みます。
- インターフェイスを選択したら、次のステップはこれらのインターフェイスにIPアドレスを設定することです。Citrix SD-WAN用語では、これはVIP(仮想IP)と呼ばれます。
-
サイトビューで続行し、仮想IPアドレスをクリックして、VIPを構成するためのインターフェイスを表示します。
-
IP アドレス/プレフィックス情報を入力し、 アドレスが関連付けられている仮想インターフェイスを選択します 。仮想IPアドレスには、完全なホストアドレスとネットマスクを含める必要があります。ファイアウォールゾーン、ID、プライベート、セキュリティなど、仮想IPアドレスに必要な設定を選択します。[適用] をクリックします。これにより、アドレス情報がサイトに追加され、 サイトの仮想 IP アドレステーブルに追加されます。さらに仮想 IP アドレスを追加するには、[ 仮想 IP アドレス ] の右側にある [ +] をクリックし、上記の手順を実行します。
-
サイトセクションに進み、サイトのWANリンクを構成します。
-
右側のパネルの上部にある[ リンクを追加]をクリックします。これによりダイアログボックスが開き、設定するリンクのタイプを選択できます。
- 公衆インターネットは Internet/broadband/DSL/ADSL プライベートMPLSはMPLSリンク用です。プライベートイントラネットもMPLSリンク用です。プライベートMPLSとプライベートイントラネットリンクの違いは、プライベートMPLSではMPLSリンクのQoSポリシーを保持できることです。
- パブリックインターネットを選択していて、IPがDHCP経由で割り当てられている場合は、IPの自動検出オプションを選択します。
-
WANリンク構成ページで[ アクセスインターフェイス] を選択します。これにより、サイトの [ アクセスインターフェイス ] ビューが開きます。以下に示すように、各リンクのVIPおよびゲートウェイIPを追加して構成します。
-
[ + ] をクリックして、インターフェイスを追加します。これにより、テーブルに空白のエントリが追加され、編集用に開かれます。
- このインターフェイスに割り当てる名前を入力します。リンクの種類と場所に基づいて名前を付けることができます。ネットワークを分離してインターフェイスにIPを割り当てない場合は、ルーティングドメインをデフォルトのままにします。
-
リンクがインターネットリンクの場合はパブリックに到達可能なゲートウェイIPアドレスを、リンクがMPLSリンクの場合はプライベートIPを指定してください。このパスが仮想パスを形成するために必要なので、仮想パスモードをプライマリのままにします。
注意: ゲートウェイに到達できない場合、アプライアンスはゲートウェイIPアドレスのARP要求に応答するため、プロキシARPを有効にします。
- 「 適用」 をクリックして、WANリンクの構成を完了します。さらにWANリンクを構成する場合は、別のリンクに対して手順を繰り返します。
- サイトのルートを構成します。[接続]ビューをクリックして、ルートを選択します。
-
クリック + ルートを追加するには、次のようなダイアログボックスを開きます。
-
新しいルートで利用できる次の情報を入力します。
- ネットワークIPアドレス
- コスト–コストは、他のルートよりも優先されるルートを決定します。低コストのパスは、高コストのルートよりも優先されます。デフォルト値は5です。
- サービスの種類–サービスを選択します。サービスは次のいずれかです。
- 仮想パス
- イントラネット
- インターネット
- パススルー
- ローカル
- GREトンネル
- LAN IPsecトンネル
- [適用] をクリックします。
サイトのルートをさらに追加するには、 + ルート分岐の右側にあり、上記のように進みます。詳細については、「 MCN の構成」を参照してください。
MCNとブランチサイト間の仮想パスを構成する
MCNとブランチノード間の接続を確立します。これを行うには、これら2つのサイト間に仮想パスを構成します。構成エディターの構成ツリーの「 接続」 タブにナビゲートします。
- 構成セクションの[ 接続 ]タブをクリックします。これにより、構成ツリーの接続セクションが表示されます。
-
接続 セクションページの[サイトを表示]ドロップダウンメニューから MCN を選択します。
-
[接続]タブの下から仮想パスを選択して、MCNとブランチサイトの間に仮想パスを作成します。
-
仮想パスセクションの静的仮想パスの名前の横にある[ 仮想パスの追加]を クリックします。これにより、次のようなダイアログボックスが開きます。仮想パスを構成するブランチを選択します。これは、リモートサイトというラベルで構成する必要があります。このドロップダウンリストからブランチノードを選択し、チェックボックス[ 逆も同様]をクリックします。
トラフィックの分類とステアリングは、仮想パスの両方のサイトでミラーリングされます。これが完了したら、以下に示すように、セクションというラベルの下のドロップダウンメニューからパスを選択します。
-
クリック + [パスの追加]ダイアログボックスを表示するパステーブルの上に 追加し ます。仮想パスを構成する必要があるエンドポイントを指定します。次に、[ 追加 ] をクリックしてパスを作成し、[ 逆も同様] チェックボックスをクリックします 。
注意: Citrix SD-WANは、双方向のリンク品質を測定します。つまり、ポイントAからポイントBは1つのパスであり、ポイントBからポイントAは別のパスです。リンク状態の単方向測定を利用して、SD-WANはトラフィックを送信するための最適なルートを選択できます。これは、レイテンシを測定するための双方向メトリックであるRTTなどの測定とは異なります。たとえば、ポイントAとポイントBの間の1つの接続は2つのパスとして表示され、それぞれについてリンクパフォーマンスメトリックが個別に計算されます。
この設定は、MCNとブランチの間の仮想パスを起動するのに十分です。他の構成オプションも使用できます。詳細については、「 MCN サイトとクライアントサイト間の仮想パスサービスの構成」を参照してください。
MCN構成を展開する
次のステップは、構成をデプロイすることです。これには、次の2つの手順が含まれます。
-
SD-WAN構成パッケージを変更管理にエクスポートします。
- アプライアンスパッケージを生成する前に、まず、 完成した構成パッケージを構成エディタから MCN のグローバル変更管理ステージングインボックスにエクスポートする必要があります 。「 変更管理の実行」セクションに記載されている手順を参照してください。
-
アプライアンスパッケージを生成してステージングします。
- 新しい構成パッケージを変更管理の受信ボックスに追加したら、ブランチサイトでアプライアンスパッケージを生成してステージングできます。これを行うには、MCNの管理Webインターフェイスで変更管理ウィザードを使用します。「 アプライアンスパッケージのステージング」セクションに記載されている手順を参照してください。
Azure WANリソースと接続するようにイントラネットサービスを構成する
-
SD-WANアプライアンスGUIで、[ 構成エディター]に移動し、[ 接続] タイルに移動します。クリック + サービス を追加して、そのサイトのイントラネットサービスを追加します。
-
イントラネットサービスの 基本設定 には、WANリンクが使用できないときにイントラネットサービスをどのように動作させるかについて、いくつかのオプションがあります。
- プライマリ再利用を有効にする –選択したプライマリリンクがフェイルオーバー後に起動したときに引き継ぐ場合は、このボックスをオンにします。ただし、このオプションをオンにしない場合は、セカンダリリンクがトラフィックを送信し続けます。
- WANリンクステータスを無視する –このオプションを有効にすると、構成要素のWANリンクが利用できない場合でも、このイントラネットサービス宛てのパケットは引き続きこのサービスを使用します。
-
基本設定を構成したら、次のステップは、このサービスの構成WANリンクを選択することです。1つのイントラネットサービスに対して最大2つのリンクが選択されます。WANリンクを選択するには、セクションというラベルの付いたドロップダウンリストからWANリンクオプションを選択してください。WANリンクはプライマリモードとセカンダリモードで機能し、1つのリンクのみがプライマリWANリンクとして選択されます。
注意: 2番目のイントラネットサービスを作成するときは、プライマリとセカンダリのwan-linkマッピングが必要です。
-
ブランチサイト固有のルールを使用できるので、グローバルなデフォルトセットで構成されている一般的な設定をオーバーライドして、各ブランチサイトをカスタマイズできます。モードには、特定のWANリンクを介した望ましい配信や、フィルタリングされたトラフィックのパススルーまたは破棄を可能にする上書きサービスとしての配信が含まれます。たとえば、イントラネットサービスを経由したくないトラフィックがある場合、そのトラフィックを破棄するか、別のサービス(インターネットまたはパススルー)を介して送信するルールを作成できます。
-
サイトに対してイントラネットサービスを有効にすると、[ プロビジョニング ] タイルが使用可能になり、WAN リンクを使用するさまざまなサービス間で WAN リンクの帯域幅を双方向 (LAN から WAN または WAN から LAN) に分散できます。「 サービス」 セクションでは、帯域幅の割り当てをさらに微調整できます。さらに、公平配分を有効にして、公平配分が実施される前にサービスが最小予約帯域幅を受信できるようにすることができます。
SD-WAN Center の構成
次の図は、SD-WAN Center とAzure Virtual WAN接続の高レベルのワークフロー、および対応するデプロイメントの状態遷移を示しています。
Azure設定を構成する:
- AzureテナントID、アプリケーションID、シークレットキー、およびサブスクリプションID(サービスプリンシパルとも呼ばれる)を提供します。
WANアソシエーションへのブランチサイトの構成:
- ブランチサイトをWANリソースに関連付けます。同じサイトを複数のWANに接続することはできません。
- [ 新規] をクリックして、サイトとWANの関連付けを構成します。
- [ Azure WAN-resources]を選択します 。
- WANリソースに関連付ける サイト名 を選択します。
- [ デプロイ] をクリックして、関連付けを確認します。トンネルの展開に使用されるWANリンクは、リンク容量が最適なもので自動的に読み込まれます。
- ステータスが「Tunnels Deployed」に変わるのを待って、 IPsec トンネルの設定を表示します 。
- SD-WAN Center レポートビューを使用して、それぞれのIPsecトンネルのステータスを確認します。データトラフィックが流れるには、接続がアクティブであることを示すIPsecトンネルステータスが緑である必要があります。
SD-WAN Center のプロビジョニング:
SD-WAN Centerは、Citrix SD-WANの管理およびレポートツールです。仮想WANに必要な構成は、SD-WAN Center で実行されます。SD-WAN Centerは仮想フォームファクター(VPX)としてのみ利用可能であり、VMware ESXiまたはXenServerハイパーバイザーにインストールする必要があります。SD-WAN Centerアプライアンスの構成に必要な最小リソースは、8 GBのRAMと4つのCPUコアです。SD-WAN [センター仮想マシンをインストールして構成する手順は次のとおりです](https://docs.citrix.com/en-us/netscaler-sd-wan-center/10/common-configuration.html) 。
Azure接続用にSD-WAN Center を構成する
詳細については 、「サービスプリンシパルの作成 」を参照してください。
AzureでSD-WAN Centerを正常に認証するには、次のパラメーターを使用できる必要があります。
- ディレクトリ(テナントID)
- アプリケーション(クライアントID)
- セキュアキー(クライアントシークレット)
- サブスクライバーID
SD-WAN Center の認証:
SD-WAN Center UIで、 構成> クラウド接続 > Azure > 仮想WAN に移動します 。Azure接続設定を構成します。Azure VPN 接続、 Azure Resource Managerの設定の詳細については、次のリンクを参照してください。
11.1.0以降のリリースでは、Azure Virtual WAN統合のプライマリおよびセカンダリWANリンク構成がサポートされています。セカンダリWANリンクを追加する主な理由は、Citrix SD-WANサイトに冗長性を持たせるためです。
以前の実装では、WANリンクに障害が発生すると、トラフィックが中断し、Azure Virtual WANへの接続が失われる可能性があります。現在の実装では、プライマリWANリンクがダウンしていても、サイトからAzureへの仮想WAN接続は維持されます。
サブスクリプションID、 テナントID、 アプリケーションID 、および セキュアキーを入力します。この手順は、AzureでSD-WAN Centerを認証するために必要です。上記で入力した資格情報が正しくない場合、認証は失敗し、それ以上のアクションは許可されません。[適用] をクリックします。
[ ストレージアカウント] フィールドは、Azureで作成したストレージアカウントを指します。ストレージアカウントを作成していない場合、[ 適用]をクリックすると、サブスクリプションに新しいストレージアカウントが自動的に作成されます。
Azure Virtual WANリソースを取得する:
認証が成功すると、Citrix SD-WANはAzureをポーリングして、Azureポータルにログインした後の最初のステップで作成したAzure仮想WANリソースのリストを取得します。WANリソースは、Azure内のネットワーク全体を表します。このWAN内に含めるすべてのハブへのリンクが含まれています。WANは互いに分離されており、共通のハブや、異なるWANリソースの2つの異なるハブ間の接続を含めることはできません。
ブランチサイトとAzure WANリソースを関連付けるには:
IPsecトンネルを確立するには、ブランチサイトをAzure WANリソースに関連付ける必要があります。1 つのブランチを Azure 仮想 WAN リソース内の複数の Hub に接続でき、1 つの Azure 仮想 WAN リソースを複数のオンプレミスのブランチサイトに接続できます。各ブランチからAzureへの仮想WANリソースデプロイメントの単一行を作成します。
複数のサイトを追加するには:
それぞれのサイトをすべて追加して、選択した単一のWANリソースに関連付けることができます。
-
[ 複数追加]を クリックして、選択したWANリソースに関連付ける必要のあるすべてのサイトを追加します。
-
Azure WANリソースのドロップダウンリスト(下に表示)には、Azureアカウントに属するリソースが事前に入力されています。WANリソースが作成されていない場合、このリストは空であるため、Azureポータルに移動してリソースを作成する必要があります。リストにWANリソースが入力されている場合は、ブランチサイトの接続先となる Azure WANリソース を選択します。
-
1つまたはすべてのブランチサイトを選択して、IPsecトンネルの確立プロセスを開始します。サイトの最高容量のパブリックインターネットWANリンクが自動的に選択され、Azure VPN GatewayへのIPsecトンネルが確立されます。
単一のサイトを追加するには:
また、サイトを1つずつ(単一)追加し、ネットワークの拡大に合わせて追加することもできます。サイトごとの展開を実行している場合は、上記のように複数のサイトを追加することもできます。
-
Add New Entry をクリックして、Site-Wanアソシエーションのサイト名を1つ選択します。[ Azureネットワーク へのサイトの構成]ダイアログボックスでサイトを追加します。
-
Azure Virtual WANネットワークに構成するブランチサイトを選択します。
-
サイトに関連付けられているWANリンクを選択します(パブリックインターネットタイプのリンクは、物理リンクの容量が大きい順にリストされています)
-
Azure Virtual WANs ドロップダウンメニューから、サイトを関連付ける必要があるWANリソースを選択します。
-
[ デプロイ] をクリックして、関連付けを確認します。ステータス (「初期化サイト情報」「プッシュ済みサイト情報」&「VPN 設定待ち」) が更新され、プロセスについて通知されます。
デプロイプロセスには次のステータスが含まれます。
- サイト情報をプッシュ
- VPN構成を待機しています
- 展開されたトンネル
-
Connection Active(IPsec Tunnel is up)またはConnection Down(IPsec Tunnel is down)
Associate Site Wan Resource Mappings(Azureポータル):
Azureポータルにデプロイされたサイトを、Azure仮想WANリソースの下に作成された仮想HUBに関連付けます。1つ以上の仮想HUBをブランチサイトに関連付けることができます。各仮想HUBは特定のリージョンに作成され、仮想ネットワーク接続を作成することにより、特定のワークロードを仮想HUBに関連付けることができます。ブランチサイトと仮想HUBの関連付けが成功した後にのみ、VPN構成がダウンロードされ、サイトからVPN GatewayへのそれぞれのIPsecトンネルが確立されます。
ステータスが[展開されたトンネル]または[接続がアクティブ]に変わるのを待って、 IPsecトンネル 設定を表示します。選択したサービスに関連付けられているIPsec設定を表示します。
SD-WAN Azure設定:
-
SD-WAN変更管理を無効にする –デフォルトでは、変更管理プロセスは自動化されています。つまり、Azure Virtual WANインフラストラクチャで新しい構成が利用可能になると、SD-WAN Center はそれを取得して、ブランチへの適用を自動的に開始します。ただし、構成をブランチに適用する必要がある場合を制御する場合は、この動作が制御されます。自動変更管理を無効にする利点の1つは、この機能と他のSD-WAN機能の構成が個別に管理されることです。
-
SDWANポーリングを無効にする–すべてのSD-WAN Azureの新しい展開と既存の展開でのポーリングを無効にします。
-
ポーリング間隔 - ポーリング間隔オプションは、Azure仮想WANインフラストラクチャで構成の更新を検索する間隔を制御します。ポーリング間隔の推奨時間は1時間です。
-
ブランチ間の接続を 無効にする– Azure Virtual WANインフラストラクチャを介したブランチ間の通信を無効にします。デフォルトでは、このオプションは無効になっています。これを有効にすると、オンプレミスのブランチは、Azure の Virtual WAN Infra を介して IPsec 経由でブランチ間の相互およびブランチの背後にあるリソースと通信できるようになります。これは、SD-WAN仮想パスを介したブランチ間通信には影響を与えません。ブランチは相互に通信でき、それぞれのブランチと通信できます resources/end このオプションが無効になっている場合でも、仮想パスをポイントします。
-
BGPを無効にする – BGP over IPを無効にします。デフォルトでは無効になっています。有効にすると、サイトルートがBGPを介してアドバタイズされます。
-
デバッグレベル –接続の問題がある場合、ログをキャプチャしてデバッグすることができます。
WANリソースを更新する:
[ 更新 ]アイコンをクリックして、Azure Portalで更新したWANリソースの最新のセットを取得します。更新プロセスが完了すると、「WAN リソースが正常に更新されました」というメッセージが表示されます。
サイトWANリソースの関連付けを削除する
削除を実行する1つまたは複数のマッピングを選択します。内部的には、SD-WANアプライアンスの変更管理プロセスがトリガーされ、成功するまで、[削除]オプションは無効になり、それ以上の削除は実行されません。マッピングを削除するには、Azureポータルで対応するサイトの関連付けを解除するか削除する必要があります。ユーザーはこの操作を手動で実行する必要があります。
トンネルが作成されると、MCNに作成された2つのイントラネットサービスが表示されます。
各イントラネットサービスは、ピアIP(Azure仮想WANエンドポイントIP)で作成されたIPsecトンネルに対応しています。
イントラネットサービスで、[ セクション]ドロップダウンリストから[ WANリンク] を選択すると、指定したプライマリとセカンダリの両方のWANリンクが表示されます。デフォルトでは、モードは Autoに設定されています。
IPsecトンネルの監視
SD-WAN Center UIで、 レポート > IPsec でIPsecトンネルのステータスをチェックする。データトラフィックが流れるためには、トンネルステータスが緑である必要があります。