オンプレミス向け Citrix SD-WAN Orchestrator 14.4

Citrix SD-WAN アプライアンスとの接続

オンプレミス用 Citrix SD-WAN Orchestrator でサイトを構成したら、オンプレミス用 Citrix SD-WAN Orchestratorがあるサイト上の Citrix SD-WAN アプライアンス間の接続を確立します。接続は次のいずれかの方法で確立できます。

  • 一方向認証:SD-WANアプライアンスは、オンプレミス用のCitrix SD-WAN Orchestrator を認証します。一方向認証を有効にする場合は、オンプレミス用 Citrix SD-WAN Orchestrator 証明書をダウンロードし、SD-WAN アプライアンスにアップロードする必要があります。

  • 双方向認証:SD-WAN は、交換された証明書を使用して相互に認証します。双方向認証を有効にする場合は、SD-WAN アプライアンス証明書をオンプレミス用 Citrix SD-WAN Orchestrator にアップロードし、SD-WAN アプライアンスの Citrix SD-WAN Orchestrator 証明書もアップロードする必要があります。

  • 認証なし:オンプレミス向けCitrix SD-WAN OrchestratorとSD-WANアプライアンス間の接続は、認証なしで確立されます。オンプレミス証明書には SD-WAN アプライアンスや Citrix SD-WAN Orchestrator を使用する必要はありません。MPLS などの安全なネットワークがある場合は、[認証なし] を使用できます。

注:

一方向認証または双方向認証のみを使用することをお勧めします 。認証がない場合は、安全なDNSサーバーを選択する必要があります。

各サイトとの接続を手動で設定することも、自動ゼロタッチ展開を使用することもできます。

Citrix SD-WAN 11.3.0は、アプライアンスをオンプレミス向けCitrix SD-WAN Orchestratorに接続するために必要な最低限のソフトウェアバージョンです。

ゼロタッチ展開

ゼロタッチデプロイメントは、アプライアンスとオンプレミス向けCitrix SD-WAN Orchestrator間の接続を自動構成するプロセスです。クラウド以外のゼロタッチデプロイメントまたはクラウド仲介ゼロタッチデプロイメント設定を使用して、接続を自動的に確立できます。

クラウド以外のゼロタッチ導入

クラウド以外のゼロタッチ展開設定により、SD-WANアプライアンス上のオンプレミス情報用にCitrix SD-WAN Orchestratorを構成できます。バックエンドで実行されるNITRO APIは、証明書のダウンロードとアップロードを処理します。オンプレミス用 Citrix SD-WAN Orchestrator から証明書をダウンロードし、SD-WAN アプライアンスにログインして、証明書をアップロードします。また、SD-WAN アプライアンス証明書をダウンロードして、オンプレミス用 Citrix SD-WAN Orchestrator にアップロードします。

注:

クラウド以外のゼロタッチデプロイメントは、11.3.0 リリース以降で実行されている SD-WAN アプライアンスでサポートされています。

ゼロタッチ導入では、 **一方向認証と双方向認証のみがサポートされます認証はサポートされていません** 。 管理 > **証明書認証ページで認証タイプを有効にすると** 、双方向認証が確立されます。 認証タイプが無効になっている場合 、一方向の認証が確立されます。

サイトを手動で追加することも、CSV ファイルをインポートして複数のサイトを同時に追加することもできます。

クラウド以外のゼロタッチデプロイメント設定を行うには、[ 管理 ] > [ ZTD 設定 ] > [ 非クラウド ZTD] に移動し、[ + サイト] をクリックします。

サイトゼロタッチ展開設定

また、 ネットワーク設定のホームページから、各サイトのクラウド以外のゼロタッチデプロイメント設定にアクセスすることもできます 。サイトのアクションアイコンをクリックし、 noncloud ZTDを選択します。

ネットワーク設定ホーム:クラウド以外のゼロタッチデプロイ

サイト名ドロップダウンリストからサイトを選択し 、Citrix SD-WAN アプライアンスの管理 IP アドレスを入力します。

ZTD インターフェイスを使用するオプションを有効にすると 、ZTD インターフェイスがオンプレミス用 SD-WAN Orchestrator で有効になっている場合、ZTD インターフェイスが非クラウド ZTD に確実に使用されます。

  • オンプレミス用 SD-WAN Orchestrator で ZTD インターフェイスが有効になっていない場合は、「ZTD インターフェイスを使用 」オプションを無視してください。
  • SD-WAN アプライアンスが ZTD インターフェイスの IP アドレスにはアクセスできるが管理 IP アドレスにはアクセスできない場合は、「ZTD インターフェイスを使用 」オプションを有効にします。
  • ZTD インターフェイスを有効にした後に [ZTD インターフェイスを使用 ] オプションを選択しなくても、SD-WAN アプライアンスとオンプレミス用 SD-WAN Orchestrator 間の通信に管理インターフェイスの IP アドレスが使用されるわけではありません。「ZTD インターフェイスを使用 」オプションは、Non-Cloud ZTD を使用するアプライアンスの初期設定にのみ使用されます。

アプライアンスのユーザー名とパスワードを入力します。 デフォルトのパスワードが変更されていない新しくプロビジョニングされたサイトを追加する場合は、「Freshly Provisioned」チェックボックスを選択します。 新しいパスワードを入力します。デフォルトのパスワードは、このゼロタッチ導入プロセス中に新しいパスワードに変更されます。

新しくプロビジョニングされたサイトでは、初回ログイン時にデフォルトパスワードを変更する必要があります。

クラウド以外のゼロタッチ導入用サイトを追加

サイトをさらに追加するには、[ + ] をクリックします。

CSV ファイルをインポートして、複数のサイトを同時に追加することもできます。ダウンロード可能なサンプルテンプレートが UI にあります。それをダウンロードして、サイトの詳細を提供してください。

サンプル CSV ファイルのダウンロード

サンプル CSV テンプレート

  • アプライアンス名: サイト構成中に構成されたサイト名。詳細については、「 サイト構成」を参照してください。
  • アプライアンスユーザー名:サイトアプライアンスで設定されているユーザー名。
  • アプライアンスパスワード: サイトアプライアンスに対応するパスワード。
  • パスワードの有効期限が切れているかどうか: アプライアンスが新しくプロビジョニングされたかどうかを判断します。値が Trueの場合は、 アプライアンスの新しいパスワードを入力します
  • アプライアンスの新しいパスワード: 新しくプロビジョニングされたアプライアンスのパスワード。 パスワードの有効期限が切れているかどうかの値がTrue の場合はアプライアンスの新しいパスワードを入力します
  • プライマリアプライアンスですか:高可用性 (HA) が設定されている場合、アクティブアプライアンスの値は True、スタンバイアプライアンスの値は False でなければなりません。HA が設定されていない場合、値は True でなければなりません。

[ インポート] をクリックし、CSV ファイルを選択して [ アップロード] をクリックします。

CSV ファイルのインポート

CSV ファイルをアップロードする

サイトの構成ステータスが表示されます。サイトを個別に削除するか、サイトがゼロタッチ展開に必要ない場合は [すべて削除] を選択できます。

ゼロタッチ導入構成ステータス

クラウド仲介によるゼロタッチ導入

クラウド仲介型ゼロタッチ展開では、オンプレミス向けCitrix SD-WAN OrchestratorとCitrix SD-WANアプライアンスの間のブローカーとしてCitrix SD-WAN Orchestratorサービスを使用します。オンプレミス向け Citrix SD-WAN Orchestrator は、クラウドゼロタッチ展開構成パッケージを Citrix SD-WAN Orchestrator サービスに送信します。クラウドゼロタッチデプロイメント設定パッケージは、次の情報で構成されています。

  • オンプレミスの ID 情報
  • 認証の種類
  • オンプレミス証明書
  • アプライアンスの詳細 (シリアル番号のリスト)

Citrix SD-WAN Orchestrator サービスは、Citrix SD-WAN Orchestrator から受信した情報をオンプレミス用に保存します。アプライアンスがシリアル番号を使用して Citrix SD-WAN Orchestrator サービスに接続すると、Citrix SD-WAN Orchestrator サービスの取得したインテリジェンスによって、アプライアンスはオンプレミス用 Citrix SD-WAN Orchestrator によって管理される必要があると判断されます。Citrix SD-WAN Orchestrator サービスは、オンプレミスの詳細について Citrix SD-WAN Orchestrator をアプライアンスに渡します。Citrix SD-WAN アプライアンスは証明書をOrchestratorサービスに送信します。Citrix SD-WAN Orchestrator サービスは、アプライアンス証明書を受信して保存します。

オンプレミス用 Citrix SD-WAN Orchestrator は、Citrix SD-WAN Orchestrator サービスからアプライアンス証明書を定期的に取得します。オンプレミス用 Citrix SD-WAN Orchestrator とアプライアンスとの間に安全な接続が確立されると、オンプレミス用 Citrix SD-WAN Orchestrator は構成と関連ファイルをアプライアンスにプッシュします。

クラウド仲介型のゼロタッチ導入設定は、顧客管理型セットアップのお客様のみが使用できます。プロバイダー管理セットアップは、クラウドブローカーのゼロタッチデプロイ設定をサポートしていません。

前提条件

  • Citrix SD-WAN Orchestrator サービスとの接続を確立するには、アプライアンスが次のドメイン名にアクセスする必要があります。
    • sdwanzt.citrixnetworkapi.net
    • download.citrixnetworkapi.net
    • trust.citrixnetworkapi.net
    • sdwan-home.citrixnetworkapi.net
  • オンプレミス用 Citrix SD-WAN Orchestrator が常に Citrix SD-WAN Orchestrator サービスに接続して SD-WAN アプライアンスをオンボーディングするようにしてください。
  • 最初のオンボーディングプロセス中、およびSD-WANアプライアンスで工場出荷時設定へのリセットが行われた場合は、Citrix SD-WANアプライアンスがSD-WAN Orchestratorサービスに接続できることを確認します。

クラウドブローカーのゼロタッチデプロイメント設定を構成するには:

  1. オンプレミス向け Citrix SD-WAN Orchestrator では、ガイド付きワークフローを使用してサイトを作成および定義します。詳しくは、「 サイト構成」を参照してください。

  2. デプロイメントトラッカーを使用して設定を検証し、コンパイルします。詳細については、「 ネットワーク設定 」トピックの「Deployment Tracker」セクションを参照してください。

  3. [ 管理] > [ZTD 設定] > [クラウドブローカー ZTD ] に移動し、[ + サイト] をクリックします。

    クラウドゼロタッチ導入

  4. ドロップダウンリストからサイト名を選択し、[ 追加] をクリックします。サイトは構成に基づいて一覧表示されます。1 つのサイトまたは複数のサイトを選択できます。

    クラウドゼロタッチデプロイメントにサイトを追加

  5. クラウドゼロタッチ展開構成が作成され、Citrix SD-WAN Orchestrator サービスに送信されます。

    クラウドゼロタッチ導入構成ステータス

  6. データセンターとブランチサイトの SD-WAN アプライアンスをケーブルで接続し、電源を入れます。

  7. アプライアンスは、シリアル番号を使用して Citrix SD-WAN Orchestrator サービスに連絡します。

  8. Citrix SD-WAN Orchestrator サービスは、オンプレミス用 Citrix SD-WAN Orchestrator とアプライアンスの間の仲介役として機能します。これにより、証明書の交換が可能になり、Citrix SD-WAN アプライアンスはオンプレミス用 Citrix SD-WAN Orchestrator との安全な接続を確立します。ゼロタッチ展開が成功すると、構成されたサイトがオンラインになり、[構成] >[ネットワーク構成ホーム ]の[ Orchestrator接続]列に表示されます。

  9. **構成をアクティブ化してステージングし** 、構成とソフトウェアをアプライアンスにプッシュします。

  10. 構成/ソフトウェアが適用されると、仮想パスが確立され、[構成] > [ネットワーク構成ホーム ] の [ 可用性 ] 列が適切な仮想パスのステータスに更新されます。

注:

オンプレミス用 Citrix SD-WAN Orchestrator がアプライアンス証明書を取得してアプライアンスを完全にオンボーディングするまでに約 30 分かかります。アプライアンス証明書をすぐに(30分待たずに) プルするには、「アプライアンス証明書をプル配信」をクリックします。

必要に応じて、「 Cloud Brokered ZTD 設定の削除」をクリックすることもできます。すべてのサイトに関連する情報を削除します。特定のサイト情報を削除する必要がある場合は、そのサイトに対応する削除アイコンをクリックします。

クラウドゼロタッチデプロイメントの設定を削除

制限事項

  • SD-WAN アプライアンスは、クラウドログイン認証情報を共有するオンプレミス用 Citrix SD-WAN Orchestrator の複数のインスタンスに接続することはできません。たとえば、SD-WAN アプライアンスは、初めて構成されたオンプレミス用 Citrix SD-WAN Orchestrator に接続されたままになります。次に構成されるオンプレミス用 Citrix SD-WAN Orchestrator の詳細は、SD-WAN アプライアンスにプッシュされません。

  • LTE経由で接続されたSD-WANアプライアンスは、プライベートネットワークでホストされているオンプレミス向けCitrix SD-WAN Orchestratorとの接続を確立できません。

ZTD インターフェイス設定

オンプレミス用 SD-WAN Orchestrator でゼロタッチデプロイ (ZTD) インターフェイスを有効にできます。双方向認証によって保護された ZTD インターフェイスは、SD-WAN アプライアンスとオンプレミスの SD-WAN Orchestrator に安全な通信インターフェイスを提供します。

ZTD インターフェイスを有効にすると、非クラウド ZTD およびクラウドブローカー ZTD を介してデプロイされた新しい D-WAN アプライアンスは、ZTD インターフェイス IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator と通信します。

前提条件として、オンプレミス仮想マシン用 SD-WAN Orchestrator に、管理インターフェイスとは別に追加のインターフェイスがあることを確認します。

Citrix Hypervisor 上の ZTD インターフェイス

VMware ESXi 仮想マシンの場合は、ZTD 用のインターフェイスを追加した後に仮想マシンを再起動してください。

Citrix Hypervisor 上の ZTD インターフェイス

ZTD インターフェイスの有効化

オンプレミス GUI 用 SD-WAN Orchestrator で、[ 管理 ] > [ ZTD 設定 ] に移動し、[ ZTD インターフェイスを有効にする ] を選択して ZTD インターフェイスを有効にします。ZTD インターフェイスの IP アドレス、サブネットマスク、およびゲートウェイ IP アドレスを指定します。

非クラウド ZTD または Cloud Brokered-ZTD を介して既にデプロイされている SD-WAN アプライアンスが、 管理インターフェイス IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator に引き続き接続できるようにするには、[既存のサイトに管理インターフェイスを使用 ] を選択します。

警告

[ 既存のサイトに管理インターフェイスを使用 ] が選択されていない場合、非クラウド ZTD または Cloud Brokered-ZTD を介して既にデプロイされている SD-WAN アプライアンスは、オンプレミス用 SD-WAN Orchestrator への接続を失います。

ZTD インターフェイス設定

ZTD インターフェイスを使用した非クラウド ZTD の設定

既存のサイトに管理インターフェイスを使用 」オプションが選択されている場合、Non-Cloud ZTD を使用してすでにデプロイされているアプライアンスは、引き続き管理インターフェイスの IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator に接続します。アプライアンスで非クラウド ZTD を起動し、ZTD インターフェイス IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator との接続を確立します。

すべての SD-WAN アプライアンスが ZTD インターフェイス IP アドレスを介してオンプレミス用 SD-WAN Orchestrator との接続を確立したら、[既存のサイトの管理インターフェイスを使用] オプションを無効にできます。

[ 既存のサイトに管理インターフェイスを使用 ] オプションが選択されていない場合、非クラウド ZTD を使用して既にデプロイされている SD-WAN アプライアンスは、オンプレミス用 SD-WAN Orchestrator への接続を失います。SD-WAN アプライアンスで非クラウド ZTD を起動し、ZTD インターフェイス IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator との接続を復元します。

ZTD インターフェイスを使用したクラウドブローカー ZTD の設定

既存のサイトに管理インターフェイスを使用 」オプションを選択すると、Cloud Brokered ZTD を使用してすでにデプロイされているアプライアンスは、引き続き管理インターフェイスの IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator に接続します。 ZTD インターフェイスの IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator との接続を確立するには、次のいずれかを実行します。

  • SD-WAN アプライアンスで、オンプレミス用 SD-WAN Orchestrator の IP アドレスと証明書を更新します。

    証明書が手動で再生成された場合にのみ証明書を更新してください。アプライアンスにすでに証明書がある場合は、証明書を更新する必要はありません。

  • 工場出荷時の状態にリセットし、アプライアンスで Cloud Brokered-ZTD を起動し、ZTD インターフェイス IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator との接続を確立します。

すべての SD-WAN アプライアンスが ZTD インターフェイス IP アドレスを介してオンプレミス用 SD-WAN Orchestrator との接続を確立したら、[既存のサイトの管理インターフェイスを使用 ] オプションを無効にできます。

[ 既存のサイトに管理インターフェイスを使用 ] オプションが選択されていない場合、クラウドブローカー ZTD を使用して既にデプロイされている SD-WAN アプライアンスは、オンプレミス用 SD-WAN Orchestrator への接続を失います。ZTD インターフェイスの IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator との接続を復元するには、次のいずれかを実行します。

  • SD-WAN アプライアンスで、オンプレミス用 SD-WAN Orchestrator の IP アドレスと証明書を更新します。

  • 工場出荷時の状態にリセットし、アプライアンスで Cloud Brokered-ZTD を起動し、ZTD インターフェイス IP アドレスを使用してオンプレミス用 SD-WAN Orchestrator との接続を確立します。

手動接続設定

接続を手動で設定するときは、Citrix SD-WAN Orchestrator for On-Premises証明書をダウンロードして、ネットワーク内の各アプライアンスにアップロードする必要があります。証明書をアップロードするには、各アプライアンスに手動でログインする必要があります。

接続を手動で設定するには-

  1. [ 管理] > [証明書認証 ] に移動し、[ 認証タイプ]を有効にします。

    認証タイプが有効になっている場合、SD-WANアプライアンスは双方向認証を介してのみオンプレミス用のCitrix SD-WAN Orchestratorに接続できます。認証タイプが無効になっている場合、SD-WAN アプライアンスは、認証なし、一方向認証、または双方向認証のいずれかを使用して、オンプレミス用 Citrix SD-WAN Orchestrator に接続できます。

    注:

    プロバイダーが管理するセットアップでは、認証タイプを有効にして Citrix SD-WAN Orchestrator for On-Premises 証明書を再生成できるのはプロバイダーのみです。

  2. 「オンプレミス用 Citrix SD-WAN Orchestrator **証明書を再生成してダウンロードする** 」をクリックします。

  3. アプライアンス証明書セクションからアプライアンスを選択し 、SD-WAN アプライアンスからダウンロードした対応する証明書をアップロードします。アプライアンス証明書のダウンロードについて詳しくは、「SD-WAN アプライアンス上の Citrix SD-WAN Orchestrator オンプレミス構成」を参照してください。

    • .pem ファイルタイプのみがサポートされています。
    • アプライアンス証明書をアップロードできるのは顧客管理者だけです。
  4. SD-WAN アプライアンス UI にログオンし、[ 構成] > [仮想 WAN] > [オンプレミス SD-WAN Orchestrator] に移動します。オンプレミス用 Citrix SD-WAN Orchestrator からダウンロードした証明書をアップロードします。詳細については、「 SD-WAN アプライアンスでのオンプレミス構成用 Citrix SD-WAN Orchestrator」を参照してください。

証明書の認証

接続を確認

アプライアンスの接続ステータスを確認するには、[構成] > [ ネットワーク構成] > [ホーム] に移動し、サイトに対応する [ クラウド接続 ] 列を確認します。

接続を確認する

注:

[ インフラストラクチャ] > [Orchestrator管理] > [ソフトウェアイメージ] > [アプライアンス] で、必要なソフトウェアを公開してアプライアンスをアップグレードできます。詳しくは、「 ソフトウェアの公開」を参照してください。

フォールバック構成

フォールバック構成により、Citrix SD-WAN アプライアンスとの間で確立した Citrix SD-WAN Orchestrator for On-Premises 接続が、アプライアンスの帯域内管理 IP を介して確実に保持されます。

Citrix SD-WAN Orchestrator for On-Premises のフォールバック構成をサイトレベルで有効にするには、[ 構成 ] > [ アプライアンス設定 ] > [ フォールバック ] に移動し、[ フォールバック構成を有効にする] をクリックします。

フォールバック設定の有効化

フォールバック構成の詳細については、「 帯域内管理」を参照してください。

注:

Citrix SD-WAN 110 SE以外のアプライアンスを使用している場合は、デフォルトのフォールバック構成を有効にするには、SD-WAN 11.2以降のバージョンを実行していることを確認してください。

次の表に、異なるプラットフォームでのフォールバック構成用に事前に指定された WAN ポートおよび LAN ポートの詳細を示します。

プラットフォーム WAN ポート LANポート
110 1/2 1/1
110-LTE 1/2、LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

ポート設定

Citrix SD-WAN アプライアンスとの接続