オンプレミス向けCitrix SD-WAN Orchestrator 14.3

帯域内管理

Citrix SD-WAN Orchestrator サービスを使用すると、SD-WAN アプライアンスを帯域外管理と帯域内管理の 2 つの方法で管理できます。アウトオブバンド管理では、管理トラフィックだけを伝送する管理用に予約されたポートを使用して管理 IP を作成できます。インバンド管理では、SD-WAN データポートを管理に使用できます。追加の管理パスを設定することなく、データトラフィックと管理トラフィックの両方を伝送します。

インバンド管理では、仮想 IP アドレスが Web UI や SSH などの管理サービスに接続できます。IP サービスの使用が有効になっている信頼できるインターフェイスで、帯域内管理を有効にできます。管理 IP とインバンド仮想 IP を使用して、Web UI と SSH にアクセスできます。

Citrix SD-WAN Orchestrator サービスの帯域内管理は、Citrix SD-WAN 11.1.1 以降でサポートされています。

仮想 IP の帯域内管理を有効にするには、サイトレベルで [構成] > [ **サイト構成** ] > [ インターフェイス] に移動します。帯域内管理ポートとして使用する仮想 IP を選択します。 インバンド管理 IPまたはインバンド管理 IPv6 を使用して Web UI と SSH にアクセスできます。

帯域内管理は、LAN ポートだけでサポートされます。

帯域内管理

仮想 IP アドレスの設定手順の詳細については、「 インターフェイス」を参照してください。

帯域内管理 IP は、バックアップ管理 IP としても機能します。管理ポートにデフォルト Gateway が設定されていない場合、管理 IP アドレスとして使用されます。帯域内管理プレーンを介したすべての DNS 要求の転送先となる DNS プロキシを選択します 。DNS プロキシの設定については、「 DNS プロキシ」を参照してください。

Citrix SD-WAN Orchestratorサービスへのアプライアンス接続が管理ポートと帯域内ポートを切り替えるユースケースでは、Citrix SD-WANOrchestratorサービスの接続が中断されないようにインバンド管理DNSまたはインバンド管理DNS V6を構成します

帯域内Provisioning

SD-WAN アプライアンスを家庭や小規模の支店などのシンプルな環境に導入する必要性が大幅に高まっています。シンプルな展開のために個別の管理アクセスを構成すると、オーバーヘッドが増えます。ゼロタッチ導入とインバンド管理機能により、指定されたデータポートを介したProvisioning と設定管理が可能になります。ゼロタッチ配置は、指定されたデータポートでサポートされ、ゼロタッチ配置用に別の管理ポートを使用する必要はありません。

データポートまたは管理ポートをインターネットに接続することで、インバンドProvisioning をサポートする、出荷時の状態のアプライアンスをプロビジョニングできます。インバンド Provisioning をサポートするアプライアンスには、LAN および WAN 用の特定のポートがあります。工場出荷時の状態にリセットされたアプライアンスには、ゼロタッチデプロイメントサービスとの接続を確立できるデフォルト設定があります。LAN ポートは DHCP サーバーとして機能し、DHCP クライアントとして機能する WAN ポートにダイナミック IP を割り当てます。WAN リンクは、Quad 9 DNS サービスを監視して WAN 接続を決定します。

IP アドレスが取得され、ゼロタッチ展開サービスとの接続が確立されると、構成パッケージがダウンロードされ、アプライアンスにインストールされます。Citrix SD-WAN Orchestrator サービスを介したゼロタッチ展開については、「ゼロタッチ展開」を参照してください。

  • インバンドProvisioning はすべてのプラットフォームに適用されます。ただし、デフォルトの構成は、Citrix SD-WAN 110およびVPXプラットフォームでのみ有効になります。これは、他のプラットフォームには古いソフトウェアバージョンが付属しているためです。
  • データポートを介したSD-WANアプライアンスの日0Provisioning では、アプライアンスソフトウェアのバージョンがCitrix SD-WAN 11.1.1以降である必要があります。

工場出荷時リセット状態のアプライアンスのデフォルト設定には、次の設定が含まれます。

  • LANポート上のDHCPサーバ
  • WAN ポート上の DHCP クライアント
  • DNSのQUAD9構成
  • 工場出荷時のイメージを持つCitrix SD-WAN アプライアンスの場合、デフォルトのLAN IPは192.168.101.1/24です。
  • 工場出荷時のイメージを持つCitrix SD-WAN 110アプライアンスの場合、デフォルトのLAN IPは192.168.0.1/24です。
  • 35日間の猶予ライセンス

アプライアンスがプロビジョニングされると、デフォルトの構成は無効になり、ゼロタッチデプロイメントサービスから受信した設定によって上書きされます。アプライアンスライセンスまたは猶予ライセンスの有効期限が切れると、デフォルト設定がアクティブ化され、アプライアンスがゼロタッチ展開サービスに接続されたままになり、ライセンス管理されたサービスを受け取るようになります。

フォールバック構成

フォールバック設定により、リンク障害、設定の不一致、またはソフトウェアの不一致が発生した場合でも、アプライアンスはゼロタッチ展開サービスに接続したままになります。フォールバック構成は、デフォルト構成プロファイルを持つアプライアンスではデフォルトで有効になっています。また、既存の LAN ネットワーク設定に従ってフォールバック構成を編集することもできます。

フォールバック構成では、次のシナリオでは、アプライアンスの帯域内管理IPおよびCitrix SD-WAN Orchestratorサービスを介したアプライアンスへの接続が維持されます。

  • t2_app がクラッシュする場所
  • 設定のリセットを実行しようとしています

アプライアンスに帯域内管理が設定されていて、手動で設定リセットを実行した場合、またはユーザー構成が原因で t2_app が120秒間に4回以上クラッシュするシナリオの場合。このようなフレームワークでは、サービスが無効になるため、Citrix SD-WAN Orchestrator サービスとアプライアンスへの接続が失われます。

しかし、フォールバック設定を有効にしている場合は、以下の機能が得られます。

  • 管理機能(Web UI/SSH/SNMP)への基本的な帯域内アクセス
  • アプライアンスが帯域内ポートを介して外部サービスに接続する機能(Citrix SD-WAN Orchestrator サービス/ZTD)

このようなシナリオでは、サービスを無効にする代わりに、アプライアンスはサービスを有効にしたフォールバック構成に戻ります。インバンド管理 IP を介した Citrix SD-WAN Orchestrator サービスとアプライアンスへの接続は、リンクがインターネットに接続されている限りそのまま残ります。

アプライアンスの初回プロビジョニング後に、ゼロタッチ導入サービス接続のフォールバック構成が有効になっていることを確認します。

フォールバック構成が無効になっている場合は、Citrix SD-WAN Orchestratorサービスを介してサイトレベルで有効にするには、[ 構成 ]>[ アプライアンス設定] >[ フォールバック]に移動し、[フォールバック構成を有効にする** ]をクリックします。

フォールバック設定の有効化

LAN ネットワークに従ってフォールバック構成をカスタマイズするには、ネットワーク要件に従って次の LAN 設定の値を編集します。これは、ゼロタッチ展開サービスとの接続を確立するために必要な最小構成です。

  • VLAN ID: LANポートをグループ化する必要があるVLAN ID。
  • IP アドレス:LAN ポートに割り当てられた仮想 IP アドレス。
  • DHCPサーバーを有効にする:LANポートをDHCPサーバーとして有効にします。DHCP サーバーは、ダイナミック IP アドレスを WAN ポートに割り当てます。
  • DHCPの開始とDHCP終了:DHCPがWANポートにIPを動的に割り当てるために使用するIPアドレスの範囲。
  • ダイナミックDNSサーバー:LANポートをドメインネームサーバーとして有効にします。
  • DNS サーバー:プライマリ DNS サーバーの IP アドレス。
  • 代替DNS サーバー:セカンダリ DNS サーバーの IP アドレス。
  • インターネットアクセス: 他のフィルタリングを行わずに、すべての LAN クライアントへのインターネットアクセスを許可します。

フォールバック設定

各ポートのモードを設定します。ポートは LAN ポートまたは WAN ポートにすることも、無効にすることもできます。表示されるポートは、アプライアンスのモデルによって異なります。また、ポートバイパスモードを Fail-to-Block または Fail-to-Wireに設定します。

次の表に、異なるプラットフォームでのフォールバック構成用に事前に指定された WAN ポートおよび LAN ポートの詳細を示します。

プラットフォーム WAN ポート LANポート
110 1/2 1/1
110-LTE 1/2、LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

ポート設定

WANポートは、DHCPクライアントを使用して独立したWANリンクとして構成し、Quad9 DNSサービスを監視してWAN接続を判断できます。DHCP がない場合、WAN ポートに WAN IP/スタティック IP を設定して、初期プロビジョニングにインバンド管理を使用できます。

イーサネットポートには固定 IP のみを設定できます。スタティック IP は、LTE-1 ポートおよび LTE-E1 ポートでは設定できません。LTE-1 ポートと LTE-E1 ポートを WAN として追加できますが、設定フィールドは編集できません。

WAN ポートを追加すると、デフォルトで [ DHCP を有効にする ] チェックボックスがオンになって [WAN 設定 (ポート:2) ] セクションに追加されます。DHCP モードチェックボックスが選択されている場合IP アドレスゲートウェイ IP アドレス、およびVLAN ID のテキストフィールドはグレー表示されます。固定 IP を設定する場合は、[ DHCP を有効にする ] チェックボックスをオフにします。

WAN ポート設定

デフォルトでは、 WAN トラッキング IP アドレスフィールドには 9.9.9.9 が自動的に入力されます。必要に応じて住所を変更できます。

Dynamic DNS Servers チェックボックスを選択する場合は、 DHCP モードを選択した状態で WAN ポートを少なくとも 1 つ追加/構成してください。

フォールバック設定をデフォルト設定にリセットするには、[ Reset] をクリックします。

LAN サブネットに接続された帯域内/管理ポート経由で Orchestrator に接続されているすべてのアプライアンスでフォールバック構成を有効にすることをお勧めします。デフォルトのフォールバック構成がネットワークサブネット要件に従って設定されていることを確認してください。

ポートのフェイルオーバー

Citrix SD-WAN Orchestratorサービスでは、データポートがダウンしたときや、その逆になったときに、管理トラフィックを管理ポートにシームレスにフェールオーバーすることもできます。アプライアンスが管理ポートと帯域内ポートの両方を使用してインターネットに接続できる場合、管理ポートはゼロタッチ展開用に選択されます。

アプライアンスを再起動すると、管理ポートではなく帯域内ポートを介してインターネットが使用できる場合、アプライアンスはすぐに Citrix SD-WAN Orchestrator サービスに接続されます。

接続が確立されると、アプライアンスで実行されているサービスエージェントが 10 秒ごとに Citrix SD-WAN Orchestrator サービスにハートビート情報を送信します。Citrix SD-WAN Orchestrator サービスがハートビートを 5 分間受信しない場合、帯域内ポートフェールオーバーがアクティブになります。Citrix SD-WAN Orchestrator サービスは、この期間中にアプライアンスがオフラインになったと報告します。

アプライアンスの再起動時に、管理ポートと帯域内ポートの両方でインターネットが利用できず、インターネット接続が再確立されると、サービスエージェントが再起動して接続の確立に約 5 分かかります。

ネットワークレベルで、[ 構成 ]>[ デリバリーサービス ]>[ インターネット]で[関連するすべてのパスがダウンしていてもリンクからインターネットへのルートを保存**]オプションが有効になっていることを確認します。仮想パスがダウンしていても、Citrix SD-WAN Orchestrator サービスへの接続が維持されるようにします。

インターネットへのルートを保持

構成可能な管理ポートまたはデータポート

インバンド管理により、データポートはデータトラフィックと管理トラフィックの両方を伝送できるため、専用の管理ポートは不要です。ローエンドアプライアンスの管理ポートは、すでに低いポート密度の低いエンドアプライアンスでは使用されません。Citrix SD-WANを使用すると、管理ポートをデータポートまたは管理ポートとして動作するように構成できます。

管理ポートをデータポートに変換できるのは、次のプラットフォームだけです。

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

サイトの構成時には、構成の管理ポートを使用します。構成がアクティブになると、管理ポートはデータポートに変換されます。

管理ポートを設定できるのは、アプライアンスの他の信頼できるインターフェイスでインバンド管理が有効になっている場合だけです。

管理インターフェイスを設定するには、サイトレベルで [構成] > [ **サイト構成** ] > [ インターフェイス ] に移動し、MGMT インターフェイスを選択します。インターフェイスグループの設定の詳細については、「 インターフェイス」を参照してください。

構成可能な管理ポート

管理機能を実行するように管理ポートを再設定するには、設定を削除します。管理ポートを使用せずに構成を作成し、アクティブにします。

帯域内管理