サービス定義
配信チャネルは、サービス定義と帯域幅割り当てに大きく分類されます。
配信サービスは、Citrix SD-WANで利用できる配信メカニズムであり、ビジネスの目的に応じて適切な配信方法を使用してさまざまなアプリケーションやトラフィックプロファイルを制御します。インターネット、イントラネット、仮想パス、IPsec、LAN GRE などの配信サービスを構成できます。配信サービスはグローバルに定義され、必要に応じて個々のサイトの WAN リンクに適用されます。
各 WAN リンクは、関連するサービスのすべてまたはサブセットを適用し、すべての配信サービス間で帯域幅の相対共有(%)を設定できます。
仮想パスサービスは、デフォルトですべてのリンクで使用できます。その他のサービスは、必要に応じて追加できます。 デリバリーサービスを設定するには、顧客レベルで [ 設定 ] > [ 配信チャネル ] > [ サービス定義] に移動します。
デリバリーサービスは、大きく次のように分類できます。
-
仮想パスサービス:SD-WAN アプライアンスまたは仮想インスタンスをホストする 2 つのサイト間で、安全で信頼性が高く、高品質の接続を提供するデュアルエンドオーバーレイ SD-WAN トンネルです。各仮想パスの最小予約帯域幅を Kbps 単位で設定します。この設定は、ネットワーク内のすべてのサイトのすべての WAN リンクに適用されます。
- インターネットサービス:SD-WAN サイトとパブリックインターネット間の直接チャネル。SD-WAN カプセル化は必要ありません。Citrix SD-WANは、複数のインターネットリンクにわたるインターネットバウンドトラフィックのセッション負荷分散機能をサポートしています。
- イントラネットサービス:SD-WAN サイトから任意の非 SD-WAN サイトへのリンクベースの接続をアンダーレイします。トラフィックはカプセル化されていないか、IPSec、GRE などの非仮想パスカプセル化を使用できます。複数のイントラネットサービスを設定できます。
インターネットサービス
インターネットサービスは 、配信サービスの一部としてデフォルトで利用できます。インターネットサービスを設定するには、顧客レベルから [ 設定 ] > [ 配信チャネル ] > [ サービス定義] に移動します。 SD-WAN サービスセクションで 、 ダイレクトインターネットブレイクアウトタイルを選択し 、[ 追加] をクリックします。
次のインターネットサービスを構成できます。
- 関連するすべてのパスがダウンしても、リンクからインターネットへのルートを保存:インターネットサービスのルートコストを他の配信サービスと比較して設定できます。このサービスを使用すると、関連するすべてのパスがダウンしても、リンクからインターネットへのルートを維持できます。WAN リンクに関連付けられているパスがすべて停止した場合、SD-WAN アプライアンスはこのルートを使用してインターネットトラフィックを送受信します。
- ICMP プローブを使用して、リンクからインターネットへの到達可能性を判断する:インターネット上の明示的なサーバーへの特定のインターネット WAN リンクの ICMP プローブを有効にできます。ICMP プローブ設定を使用すると、SD-WAN アプライアンスは、リンクのメンバーパスが稼働しているか、サーバーから ICMP プローブ応答を受信したときに、インターネットリンクを起動中として扱います。
- IPv4 ICMPエンドポイントアドレス:宛先IPv4アドレスまたはサーバーアドレス。
- プローブ間隔 (秒単位): SD-WAN アプライアンスがインターネットに設定された WAN リンク上でプローブを送信する間隔。デフォルトでは、SD-WAN アプライアンスは 5 秒ごとに設定された WAN リンクにプローブを送信します。
- 再試行:WAN リンクが稼働しているかどうかを判断する前に試行できる再試行の回数。プローブが 3 回連続して失敗すると、WAN リンクは停止していると見なされます。最大リトライ回数は 10 回です。
サポートされている展開モード
インターネットサービスは、次の展開モードで利用できます。
- インライン展開モード(SD-WAN オーバーレイ)
Citrix SD-WANは、どのネットワークでもオーバーレイソリューションとして導入できます。オーバーレイソリューションとして、SD-WAN は通常、既存のEdgeルータやファイアウォールの背後に展開されます。SD-WAN がネットワークファイアウォールの背後に展開されている場合、インターフェイスを信頼できるものとして構成し、インターネットトラフィックをインターネットゲートウェイとしてファイアウォールに配信できます。
- EdgeモードまたはGatewayモード
Citrix SD-WANをEdgeデバイスとして展開し、既存のEdgeルーターやファイアウォールデバイスを置き換えることができます。オンボードファイアウォール機能により、SD-WAN は直接インターネット接続からネットワークを保護できます。このモードでは、パブリックインターネットリンクに接続されているインターフェイスが信頼できないように設定され、暗号化が強制的に有効になり、ファイアウォールとダイナミック NAT 機能が有効になり、ネットワークを保護します。
イントラネットサービス
複数のイントラネットサービスを作成できます。イントラネットサービスを追加するには、顧客レベルから [ 構成 ] > [ 配信チャネル ] > [ サービス定義] に移動します。[ イントラネットサービス ] セクションで、[ 追加] をクリックします。
イントラネットサービスをグローバルレベルで作成したら、WAN リンクレベルで参照できます。 サービス名を入力し、 **目的のルーティングドメインとファイアウォールゾーンを選択します**。ネットワーク上のすべてのイントラネット IP アドレスを追加します。このアドレスは、ネットワーク内の他のサイトが相互作用する可能性があります。関連するすべてのパスがダウンしている場合でも、リンクからイントラネットへのルートを保持することもできます。
GRE サービス
LAN 上の GRE トンネルを終了するように SD-WAN アプライアンスを設定できます。
GREサービスを追加するには、顧客レベルから [ 設定 ] > [ 配信チャネル ] > [ サービス定義] に移動します。また、設定 > セキュリティからGRE サービス設定ページに移動することもできます**。
「 IPsec と GRE 」セクションで、「 IPsec サービス 」に移動し、「 追加」をクリックします。
GRE の詳細:
- サービスタイプ:GRE トンネルが使用するサービスを選択します。
- 名前:LAN GRE サービスの名前。
- ルーティングドメイン:GRE トンネルのルーティングドメイン。
- ファイアウォールゾーン:トンネル用に選択されたファイアウォールゾーン。デフォルトでは、トンネルは Default_LAN_Zone に配置されます。
- MTU: 最大伝送単位 — 特定のリンクを介して転送できる最大IPデータグラムのサイズ。指定できる範囲は 576 ~ 1500 です。デフォルト値は 1500 です。
- キープアライブ:キープアライブメッセージを送信する間隔。0 に設定すると、キープアライブパケットは送信されませんが、トンネルはアップ状態のままです。
- キープアライブ再試行:Citrix SD-WANアプライアンスがトンネルをダウンさせる前に応答なしでキープアライブパケットを送信する回数。
- チェックサム:トンネルのGREヘッダーのチェックサムを有効または無効にします。
サイトバインディング:
- サイト名:GRE トンネルをマッピングするサイト。
- 送信元 IP: トンネルの送信元 IP アドレス。これは、このサイトで構成されている仮想インターフェイスの 1 つです。選択したルーティングドメインによって、使用可能な送信元 IP アドレスが決まります。
- パブリックソース IP: トンネルトラフィックが NAT を通過する場合の送信元 IP。
- 宛先 IP: トンネルの宛先 IP アドレス。
- トンネル IP/プレフィックス:GRE トンネルの IP アドレスとプレフィックス。
- トンネルゲートウェイ IP: トンネルトラフィックをルーティングするネクストホップ IP アドレス。
- LAN ゲートウェイ IP: LAN トラフィックをルーティングするネクストホップ IP アドレス。
IPSec サービス
Citrix SD-WANアプライアンスは、LANまたはWAN側のサードパーティのピアと固定IPSecトンネルをネゴシエートできます。トンネルのエンドポイントを定義し、サイトをトンネルエンドポイントにマッピングできます。
セキュリティプロトコルと IPsec 設定を定義する IPsec セキュリティプロファイルを選択して適用することもできます。
仮想パス IPsec 設定を構成するには、次の手順を実行します。
- FIPS 準拠が必要なすべての仮想パスに対して、仮想パス IPSec トンネルを有効にします。
- IPsec モードを AH または ESP+認証に変更してメッセージ認証を構成し、FIPS 承認ハッシュ機能を使用します。SHA1 は FIPS によって受け入れられますが、SHA256 を強く推奨します。
- IPsec ライフタイムは、8 時間(28,800 秒)以下に設定する必要があります。
Citrix SD-WANは、事前共有キーを備えたIKEバージョン2を使用して、次の設定を使用して仮想パスを介したIPSecトンネルをネゴシエートします。
- DH グループ 19: キーネゴシエーションのための ECP256 (256 ビット楕円曲線)
- 256 ビット AES-CBC暗号化
- メッセージ認証のための SHA256 ハッシュ
- メッセージの整合性のための SHA256 ハッシュ
- DH Group 2: MODP-1024 Perfect Forward Secrecy
サードパーティの IPsec トンネルを設定するには:
- FIPS 承認済みの DH グループを構成します。グループ 2 と 5 は FIPS では許可されますが、グループ 14以降を強く推奨します。
- FIPS 承認ハッシュ関数を設定します。SHA1 は FIPS によって受け入れられますが、SHA256 を強くお勧めします。
- IKEv2 を使用する場合は、FIPS 承認の整合性機能を設定します。SHA1 は FIPS によって受け入れられますが、SHA256 を強くお勧めします。
- IKE ライフタイムおよび最大ライフタイムを 24 時間(86,400 秒)以下に設定します。
- IPSec モードを AH または ESP+認証に変更して IPSec メッセージ認証を構成し、FIPS 承認ハッシュ機能を使用します。SHA1 は FIPS によって受け入れられますが、SHA256 を強く推奨します。
- IPSec ライフタイムおよび最大ライフタイムを 8 時間(28,800 秒)以内に設定します。
IPsec トンネルの設定
顧客レベルから、[ 設定 ] > [ 配信チャネル ] > [ サービス定義] に移動します。[ 構成] > [セキュリティ ] から [ IPsec サービス] ページに移動することもできます。
[ IPsec & GRE ] > [ IPsec サービス ] セクションで、[ 追加] をクリックします。「 IPsec サービスの編集 」ページが表示されます。
-
サービスの詳細を指定します。
- サービス名:IPsec サービスの名前。
- サービスタイプ:IPsec トンネルが使用するサービスを選択します。
- ルーティングドメイン:LAN 上の IPsec トンネルの場合は、ルーティングドメインを選択します。IPsec トンネルがイントラネットサービスを使用する場合、イントラネットサービスはルーティングドメインを決定します。
- ファイアウォールゾーン:トンネルのファイアウォールゾーン。デフォルトでは、トンネルは Default_LAN_Zone に配置されます。
- ECMPを有効にする:「 ECMPを有効にする 」チェック・ボックスを選択すると、IPsecトンネルのECMP負荷分散が有効になります。
- ECMPタイプ:必要に応じてECMP負荷分散メカニズムのタイプを選択します。ECMP タイプの詳細については、「 ECMP 負荷分散」を参照してください。
-
トンネルエンドポイントを追加します。
- 名前: サービスタイプがイントラネットの場合は 、トンネルが保護するイントラネットサービスを選択します。それ以外の場合は、サービスの名前を入力します。
- ピア IP: リモートピアの IP アドレス。
- IPsec プロファイル:セキュリティプロトコルと IPsec 設定を定義する IPsec セキュリティプロファイル。
- 事前共有キー: IKE 認証に使用される事前共有キー。
- ピア事前共有キー:IKEv2 認証に使用される事前共有キー。
- IDデータ: 手動IDまたはユーザーFQDNタイプを使用する場合に、ローカルIDとして使用されるデータ。
- ピア ID データ:手動 ID またはユーザ FQDN タイプを使用している場合に、ピア ID として使用されるデータ。
- 証明書:IKE 認証として [証明書(Certificate)] を選択した場合は、設定された証明書から選択します。
-
サイトをトンネルエンドポイントにマッピングします。
- エンドポイントの選択:サイトにマッピングされるエンドポイント。
- サイト名:エンドポイントにマップされるサイト。
- 仮想インターフェイス名:エンドポイントとして使用されるサイトの仮想インターフェイス。
- ローカル IP: ローカルトンネルエンドポイントとして使用するローカル仮想 IP アドレス。
- ゲートウェイ IP: ネクストホップの IP アドレス。
-
保護されたネットワークを作成します。
- 送信元ネットワーク IP/Prefix: IPsec トンネルが保護するネットワークトラフィックの送信元 IP アドレスとプレフィックス。
- 宛先ネットワーク IP/プレフィックス:IPsec トンネルが保護するネットワークトラフィックの宛先 IP アドレスとプレフィックス。
-
IPsec 構成がピアアプライアンスにミラーリングされていることを確認します。
FIPS コンプライアンスの詳細については、「 ネットワークセキュリティ」を参照してください。
注
オンプレミス向けCitrix SD-WAN Orchestratorは、IPsecを介したOracleクラウドインフラストラクチャ(OCI)への接続をサポートします。
IPSec 暗号化プロファイル
IPsec 暗号化プロファイルを追加するには、顧客レベルで [ 設定 ] > [ 配信チャネル ] > [ サービス定義] に移動します。[構成] > [セキュリティ] からIPsec 暗号化プロファイルの設定ページに移動することもできます**。
「 IPsec & GRE 」セクションで、「 暗号化 IPsec プロファイルの管理」を選択します。
IPsec は安全なトンネルを提供します。Citrix SD-WANはIPsec仮想パスをサポートし、 サードパーティデバイスがCitrix SD-WAN WANアプライアンスのLAN側またはWAN側でIPsec VPNトンネルを終了できるようにします。140-2 レベル 1 FIPS 認定の IPSec 暗号化バイナリを使用して、SD-WAN アプライアンスで終端するサイト間の IPSec トンネルを保護できます。
また、Citrix SD-WANは、差別化された仮想パストンネリングメカニズムを使用した耐障害性IPSecトンネリングもサポートします。
IPsec プロファイルは、IPsec サービスを配信サービスセットとして構成するときに使用されます。IPsec セキュリティプロファイルページで、次の IPsec 暗号化プロファイル、IKE 設定、 および IPsec 設定に必要な値を入力します。
監査エラーを確認するには、「構成を確認 」をクリックします。
IPSec 暗号化プロファイル情報:
- プロファイル名:プロファイル名を入力します。
- MTU: IKE または IPsec の最大パケットサイズをバイト単位で入力します。
- Keep Alive: チェックボックスを選択してトンネルをアクティブに保ち、ルートの適格性を有効にします。
-
IKE バージョン:ドロップダウンリストから IKE プロトコルバージョンを選択します。
IKE設定
-
モード:IKE フェーズ 1 ネゴシエーションモードのドロップダウンリストから [メインモード] または [アグレッシブモード] を選択します。
- メイン:ネゴシエーション中に潜在的な攻撃者に情報が公開されることはありませんが、アグレッシブモードよりも遅くなります。メインモードは FIPS に準拠しています。
- Aggressive:ネゴシエーション中に一部の情報(ネゴシエーションピアのアイデンティティなど)が潜在的な攻撃者に公開されますが、メインモードよりも高速です。アグレッシブモードは FIPS に準拠していません。
- 認証:ドロップダウンメニューから [証明書] または [事前共有キー] として認証タイプを選択します。
- ピア認証:ドロップダウンリストからピア認証タイプを選択します。
- ID: ドロップダウンリストから識別方法を選択します。
- ピアアイデンティティ:ドロップダウンリストからピアアイデンティティの方法を選択します。
- DH グループ:IKE キー生成に使用できる Diffie-Hellman (DH) グループを選択します。
- DPDタイムアウト:VPN接続のデッドピア検出タイムアウト (秒単位) を入力します。
- ハッシュアルゴリズム:ドロップダウンリストからハッシュアルゴリズムを選択し、IKE メッセージを認証します。
- 整合性アルゴリズム:HMAC 検証に使用する IKEv2 ハッシュアルゴリズムを選択します。
- 暗号化モード:ドロップダウンリストから IKE メッセージの暗号化モードを選択します。
- セキュリティアソシエーションの有効期間:IKE セキュリティアソシエーションが存在するまでの時間を秒単位で入力します。
- セキュリティアソシエーションの最大有効期間:IKE セキュリティアソシエーションが存続できる最大時間を秒単位で入力します。
IPSec の設定
-
トンネルタイプ:ドロップダウンリストからトンネルのカプセル化タイプとして ESP、 ESP+Auth、ESP+NULL、またはAH を選択します。これらは、FIPS 準拠と非FIPS準拠のカテゴリの下にグループ化されています。
- ESP: ユーザーデータのみを暗号化します
- ESP+Auth: ユーザーデータを暗号化し、HMAC を含めます
- ESP+NULL: パケットは認証されるが暗号化されていない
- AH: HMACのみが含まれています
- PFS グループ:パーフェクトフォワードシークレットキー生成に使用する Diffie-Hellman グループをドロップダウンメニューから選択します。
- 暗号化モード:ドロップダウンメニューから IPsec メッセージの暗号化モードを選択します。
- ハッシュアルゴリズム:MD5、SHA1、および SHA-256 ハッシュアルゴリズムは、HMAC 検証に使用できます。
- ネットワークの不一致:パケットがIPsecトンネルの保護対象ネットワークと一致しない場合に実行するアクションをドロップダウンメニューから選択します。
- セキュリティアソシエーションの有効期間:IPsec セキュリティアソシエーションが存在するまでの時間 (秒単位) を入力します。
- セキュリティアソシエーションの最大有効期間:IPsec セキュリティアソシエーションが存在できる最大時間 (秒単位) を入力します。
- セキュリティアソシエーションの有効期間 (KB): IPsec セキュリティアソシエーションが存在するデータ量 (KB 単位) を入力します。
- セキュリティアソシエーションの最大有効期間 (KB): IPsec セキュリティアソシエーションが存在できる最大データ量 (KB 単位) を入力します。
静的仮想パス
仮想パスの設定は、グローバルな WAN リンク自動パス設定から継承されます。これらの構成を上書きし、メンバーパスを追加または削除できます。サイトおよび適用された QoS プロファイルに基づいて、仮想パスをフィルタリングすることもできます。WAN リンクの状態を判断するために ping を送信できる WAN リンクのトラッキング IP アドレスを指定します。逆方向パスの状態を特定するために ping を実行できるリバースパスのリバーストラッキング IP を指定することもできます。
静的仮想パスを設定するには、顧客レベルで [ 構成 ] > [ 配信チャネル] に移動し、[ 静的仮想パス ] タイルをクリックします。
サポートされている設定の一部を次に示します。
-
オンデマンド帯域幅リスト:
- グローバルオンデマンド帯域幅制限の上書き:有効にすると、グローバル帯域幅制限値がサイト固有の値に置き換えられます。
- 仮想パス内の非スタンバイ WAN リンクが提供する帯域幅のパーセンテージで表した WAN-to-LAN の最大帯域幅 (%): 最大帯域幅制限を% で更新します。
-
リンクごとのグローバルデフォルト:仮想パス間の相対帯域幅Provisioning:
- 仮想パス全体にわたる自動帯域幅Provisioning を有効にする:有効にすると、リモートサイトで消費される帯域幅の大きさに応じて、すべてのサービスの帯域幅が自動的に計算され、適用されます。
- 各仮想パスの最小予約帯域幅 (Kbps): すべてのWANリンク上の各サービス専用に予約される最大帯域幅。
動的仮想パスの設定
グローバル動的仮想パス設定を使用すると、管理者はネットワーク全体で動的仮想パスのデフォルトを構成できます。
動的仮想パスは、2 つのサイト間で動的にインスタンス化され、中間 SD-WAN ノードホップなしで直接通信が可能になります。同様に、動的仮想パス接続も動的に削除されます。動的仮想パスの作成と削除は、帯域幅のしきい値と時間設定に基づいてトリガーされます。
動的仮想パスを設定するには、顧客レベルから [ 設定 ] > [ 配信チャネル ] > [ サービス定義] に移動し、[ 動的仮想パス ] タイルをクリックします。
サポートされている設定の一部を次に示します。
- ネットワーク経由の動的仮想パスを有効または無効にするためのプロビジョニング
- 動的仮想パスのルートコスト
- 使用する QoS プロファイル — デフォルトでは標準 。
-
動的仮想パス作成基準:
- 測定間隔 (秒): 2つのサイト間 (この場合は特定のブランチとコントロールノードの間) に動的仮想パスを作成する必要があるかどうかを判断するために、パケット数と帯域幅を測定する時間です。
- スループットしきい値 (kbps): 動的仮想パスがトリガーされる測定間隔で測定された、2つのサイト間の合計スループットのしきい値。この場合、しきい値はコントロールノードに適用されます。
- スループットしきい値 (pps) - 動的仮想パスがトリガーされる測定間隔で測定された、2つのサイト間の合計スループットのしきい値。
-
動的仮想パス削除基準:
- 測定間隔(分): 2つのサイト間(この場合は特定のブランチとコントロールノードの間)で動的仮想パスを削除する必要があるかどうかを判断するために、パケット数と帯域幅を測定する時間。
- スループットしきい値 (kbps) - 測定間隔で測定された2 つのサイト間の合計スループットのしきい値。このしきい値に達すると、動的仮想パスは削除されます。
- スループットしきい値 (pps) - 測定間隔で測定された2 つのサイト間の合計スループットのしきい値。このしきい値に達すると、動的仮想パスは削除されます。
-
タイマー
- 使用されていない仮想パスをフラッシュするまでの待機時間 (m): 使用していない動的仮想パスが削除されるまでの時間。
- 使用されていない仮想パスを再作成するまでの待機時間 (m): 使用停止状態になったために削除された動的仮想パスを再作成できるようになるまでの時間。
- オンデマンド帯域幅リスト
- グローバルオンデマンド帯域幅制限の上書き:有効にすると、グローバル帯域幅制限値がサイト固有の値に置き換えられます。
- 仮想パス内の非スタンバイ WAN リンクが提供する帯域幅のパーセンテージで表した WAN-to-LAN の最大帯域幅 (%): 最大帯域幅制限を% で更新します。
監査エラーを確認するには、「構成を確認 」をクリックします。