Citrix SD-WAN プラットフォーム

AWS の前哨で Citrix SD-WAN をデプロイする

AWS Outposts は、AWS インフラストラクチャ、AWS サービス、API、ツールを事実上あらゆるデータセンター、コロケーションスペース、オンプレミス施設に提供し、一貫したハイブリッドクラウド体験を実現する、完全に管理されたサービスです。コンピューティング、ストレージ、データベース、その他のサービスなどの AWS サービスはアウトポストでローカルで実行され、 リージョンで利用可能なすべての AWS サービスにアクセスして、 オンプレミスの構築、管理、 スケーリングを行うことができます。 使い慣れた AWS サービスとツールを使用したアプリケーション。

AWS サービスに AWS アウトポストが追加され、Citrix SD-WAN のお客様は、Citrix SD-WAN のハイブリッドクラウドソリューションを使用して、 AWS アウトポストインスタンスを既存の WAN インフラストラクチャに簡単に接続できるようになりました。この統合により、お客様は 、Citrix SD-WAN 管理ツールを使用して、 ブランチから AWS クラウドおよびアウトポストへの SD-WAN 接続を管理できるようになります。

  • Citrix SD-WAN VPX用のBYOLライセンス
  • VPXでは最低 40 GB のストレージ 、VPX-L 構成では最低 200 GB
  • m5 および c5 インスタンスの可用性
  • 伸縮自在な IP ( それぞれWANインターフェイスと管理インターフェイス用)

メモ

パブリック IP 経由で管理インターフェイスをホストしないことを選択することもできます。

ソリューション検証トポロジー/ネットワークアーキテクチャ

ソリューション検証ネットワークアーキテクチャ

AWS アウトポストで SD-WAN アプライアンスをプロビジョニングするためのステップバイステップの設定ガイドを次に示します。

前提条件

  1. アウトポスト AWS アカウントにログインします。
  2. AWS アウトポストの市場から Citrix SD-WAN AMI にアクセスできます。

注:

設定ガイドで提供されている AWS Outpost コンソールのスナップショットはすべて、AWS によって起動された新しいコンソールを使用して作成され、レガシー UI が選択されている場合、まったく同じに見えるとは限りません。

Citrix SD-WAN アプライアンスのアウトポストでの VPC の作成(VPXL タイプ)

  1. AWS アウトポスト VPC の CIDR ブロックを提供します。この設定では、192.168.100.0/22 の CIDR を使用します。
  2. その他の属性はすべてデフォルトのままにします。
  3. 必要に応じてタグ名を指定し、今後インスタンスリストからアプライアンスを識別します。

    VPC の設定

  4. VPC が作成され、IPv4 CIDR の詳細が更新され、作成されたリソースの VPC ID が取得されていることを確認します。
  5. ステータスは関連付けられる必要があります

    VPC の検証

  6. VPC が作成されると、VPC リストに、VPC AWS アウトポストサービスの [VPC] セクションに CIDR の詳細を使用して作成された新しい VPC が表示されます。

    あなたの vPC

インターネットゲートウェイの作成と VPC への関連付け(WAN のインターネットアクセスおよび SD-WAN の管理インターフェイス)

インターネットゲートウェイは、SD-WAN VPC 用に作成されます。これは、インターネット経由の管理接続を確保し、SD-WAN アプライアンスの WAN リンクがインターネット経由で仮想パスを形成できるようにするためです (Azure インスタンスはインターネットリンクをホストするため)

  • VPC AWS アウトポストサービスの「インターネットゲートウェイ」セクションを使用して、VPC 用の単一のインターネットゲートウェイインスタンスを作成します。

  • [ インターネットゲートウェイの作成] をクリックします。

VPC のインターネットゲートウェイを作成する

インターネットゲートウェイ VPC

  • インターネットゲートウェイは単なるリソース作成であり、特別な設定はありません。必要に応じて、今後リスト内の IGW の中からリソースを検索するように、name タグおよび関連するリソースタグを設定してください。

  • [ インターネットゲートウェイの作成] をクリックします。

インターネットゲートウェイの作成

インターネットゲートウェイが作成されたら、作成した特定の VPC にインターネットゲートウェイを関連付けます。

  • IGW リソースをクリックし、アクションフィールドで [Attach to VPC] を選択します

    [VPC にアタッチ] を選択します

  • [VPC へのアタッチ] をクリックしたら、ステップ 1 で作成した SD-WAN 用の VPC を選択します。
  • [利用可能な VPC] ドロップダウンリストをクリックし、作成した SD-WAN VPC を選択します。
  • [ インターネットゲートウェイの接続] をクリックします。

VPC をインターネットゲートウェイに関連付ける

VPC1 をアタッチ

VPC2 をアタッチ

Citrix SD-WAN VPXLアプライアンス用のLAN、WAN、および管理サブネットの作成

SD-WAN スタンドアロンアプライアンスは、一般に 3 つのインターフェイスをホストします。

  1. 管理インターフェイス
  2. LANインターフェイス
  3. WAN インターフェイス

インターフェイスの関連付けの順序も重要であり、関連付けられる最初のインターフェイスは管理、LAN、WAN サブネットの順に続きます。

管理サブネット

  • VPC の下の [サブネット] をクリックします。
  • [サブネットの作成] をクリックします。

管理サブネット

  • サブネット作成ウィンドウで、ステップ 1 のように SD-WAN 用に作成された VPC を選択し、関連付けます。
  • 任意のアベイラビリティーゾーンを選択します。
  • VPC CIDR からのサブネットプレフィックスを管理インターフェイスに提供します。
  • この設定ガイドでは、管理インターフェイスは 192.168.102.0/24 に設定されます。
  • [作成] をクリックします。

サブネットの作成 1

サブネットの作成 2

サブネットの作成3

LANサブネット

  1. サブネット作成ウィンドウで、ステップ 1 のように SD-WAN 用に作成された VPC を選択し、関連付けます。
  2. 任意のアベイラビリティーゾーンを選択します。
  3. VPC CIDR からサブネットプレフィックスをLANインターフェイスに提供します。
  4. この設定ガイドでは、LAN インターフェイスは 192.168.100.0/24 に設定されます。
  5. [作成] をクリックします。

    サブネットの作成4

    サブネットの作成5

WAN サブネット

  1. サブネット作成ウィンドウで、ステップ 1 のように SD-WAN 用に作成された VPC を選択し、関連付けます。
  2. 任意のアベイラビリティーゾーンを選択します。
  3. VPC CIDR からサブネットプレフィックスをLANインターフェイスに提供します。
  4. この設定ガイドでは、WAN インターフェイスは 192.168.101.0/24 で設定されます。
  5. [作成] をクリックします。

    サブネットを作成6

    サブネットの作成 7

LAN/WAN/MGMT サブネットのルートテーブルの定義

ルートテーブルは、各サブネットのルーティングを示すのに有用であり、インターネットアクセスと他の関連ルートは、インターネットゲートウェイを設定して構成できるように、私たちは、管理とWANテーブルのルートテーブルを作成する必要があります。

管理サブネットルートテーブル

  • [VPC] の [ルートテーブル] をクリックします。
  • [ルートテーブルを作成] をクリックします。
  • ステップ 1 で SD-WAN 用に作成された VPC を選択します。
  • [作成] をクリックします。
  1. 管理ルートテーブルを作成します。

    管理ルートテーブル

  2. VPC を管理ルートテーブルに関連付けます。

    ルートテーブルを作成 1

    ルートテーブルを作成 2

    次のステップでは、作成した管理サブネットにルートテーブルを関連付けます。

    • リストから管理ルートテーブルを選択します。
    • [アクション] ドロップダウンリストをクリックします。
    • [ サブネットの関連付けの編集] を選択します。
    • IP 192.168.102.0/24をホストするルートテーブルに、管理サブネットを関連付けます。
  3. 管理ルートテーブルのサブネットの関連付けを編集します。

    ルートテーブルの作成 3

    ルートテーブルの作成 4

  4. 管理サブネットのルートを追加します(IGW経由のデフォルト)。

    次のステップは、パブリックアクセスのためにインターネットに到達するために管理にルートを追加することです。

    • 管理ルートテーブルを選択します。
    • [ルートを編集] をクリックします。
    • ステップ 2 で作成した IGW インスタンスを介して、新しい DEFAULT ルート 0.0.0.0/0 を指定します。
    • ルートを保存します。

    ルートテーブルの作成 5

    ルートテーブルの作成 6

    ルートテーブルの作成 7

WAN サブネットのルートテーブルの定義

  1. WAN インターフェイスのルートテーブルを作成する

    • [VPC] の [ルートテーブル] をクリックします。
    • [ルートテーブルを作成] をクリックします。
    • ステップ 1 で SD-WAN 用に作成された VPC を選択します。
    • [ 作成] をクリックします。

    ルートテーブルの作成 8

  2. VPC を WAN ルーティングテーブルに関連付けます。

    ルートテーブルの作成 9

    ルートテーブルの作成 10

  3. WAN ルートテーブルのサブネット関連付けを編集します。

    次のステップでは、作成された WAN サブネットにルートテーブルを関連付けます。

    • リストから WAN ルートテーブルを選択します。
    • [アクション] ドロップダウンリストをクリックします。
    • [ サブネットの関連付けの編集] を選択します。
    • IP 192.168.101.0/24をホストするルートテーブルに WAN サブネットを関連付けます。

    ルートテーブルを作成11

    サブネットの関連付けの編集

  4. WAN サブネットのルートを追加します(IGW経由のデフォルト)。

    次のステップは、パブリックアクセスのためにインターネットに到達するために、WANにルートを追加することです。

    • WAN ルートテーブルを選択します。
    • [ルートを編集] をクリックします。
    • ステップ 2 で作成した IGW インスタンスを介して、新しい DEFAULT ルート 0.0.0.0/0 を指定します。
    • ルートを保存します。

    ルートテーブルの作成 12

    route1 を編集

    route12を編集する

LAN サブネットのルートテーブルの定義

  1. LAN インターフェイスのルートテーブルを作成する

    • [VPC] の [ルートテーブル] をクリックします。
    • [ルートテーブルを作成] をクリックします。
    • ステップ 1 で SD-WAN 用に作成された VPC を選択します。
    • [ 作成] をクリックします。

    ルートテーブルの作成 13

  2. LAN ルーティングテーブルを VPC に関連付けます。

    ルートテーブルの作成 14

    ルートテーブルの作成 15

  3. LAN ルートテーブルのサブネット関連付けを編集します。

    次のステップでは、作成された LAN サブネットにルートテーブルを関連付けます。

    • リストから WAN ルートテーブルを選択します。
    • [アクション] ドロップダウンリストをクリックします。
    • [ サブネットの関連付けの編集] を選択します。
    • IP 192.168.100.0/24 をホストするルートテーブルに LAN サブネットを関連付けます。

    ルートテーブルの作成 16

    ルートテーブルの作成17

AMI インスタンスのプロビジョニング/デプロイのアウトポスト

AMI インスタンスの起動(プライベート)

  1. 共有 AMI をアウトポストにアップロードして、プライベート AMI を選択します(Marketplace にまだ公開されていない場合)。

    AMI を選択

  2. 適切なインスタンスのタイプ(VPXL — M5.2xLarge)を選択します。

    インスタンスタイプの選択

    • VPC ネットワーク、サブネットなどのインスタンスの詳細を設定します。
    • ネットワークでインスタンス用に作成された VPC を選択します。
    • プライマリインターフェイスとして MGMT サブネットを選択します。
    • [パブリック IP の自動割り当て] で [ 有効 ] を選択します。
    • インスタンスの詳細ページの下部にある管理インターフェイスと同様に、カスタムプライベート IP を指定します。

    インスタンスの詳細を設定する

  3. デフォルトのストレージを選択します。

    デフォルトのストレージを選択

  4. 後でインスタンス検索/インデックス作成に関連するタグを追加します。

    タグを追加する

  5. インスタンスに関連するセキュリティグループを定義します。

    セキュリティグループの構成

  6. Citrix SD-WAN アウトポストインスタンスのネットワークセキュリティグループの概要。

    概要

  7. 後で使用するために、SSH 経由でインスタンス起動用のキーペアをダウンロードします。

    キーペア

  8. インスタンスの起動を開始します。

    リリース

    起動ステータス

  9. 起動後、EX2 ダッシュボードでインスタンスのステータスとそのヘルスチェックを確認します。

    Instances1

    Instances2

    Instances3

LAN/WANネットワークインターフェースおよびアソシエーションの作成

LAN ネットワークインターフェイス

  1. LAN ネットワークインターフェイスを作成します。

    インタフェースの作成 1

  2. LAN インターフェイスに関連するサブネットを関連付けます。

    インタフェースの作成 2

  3. カスタム LAN プライベート IP 192.168.100.5 を関連付けて、NSG(ネットワークセキュリティグループ)を関連付けます。

    インタフェースの作成 3

WAN ネットワークインターフェイス

  1. WAN ネットワークインターフェイスを作成します。

    インタフェースの作成4

  2. WAN サブネットをネットワークインターフェイスに関連付けます。

    インタフェースの作成5

  3. プライベートカスタム WAN IP を 192.168.101.5 として提供し、ネットワークセキュリティグループを関連付けます。

    インタフェースの作成 6

LAN/WAN/管理インターフェイスでの送信元/宛先チェックの変更

ソース/宛先を無効にします。[Check] 属性を使用すると、インターフェイスが EC2 インスタンス宛ではないネットワークトラフィックを処理できます。NetScaler SD-WAN AMIは、ネットワークトラフィックの移動間として機能するため、ソース/宛先です。正しく動作するには、チェック属性を無効にする必要があります。

管理インターフェイスによる SRC/DEST チェックの無効化

インタフェースの作成 7

インタフェースを作成8

LAN インターフェイスの SRC/DEST チェックを無効にする

インタフェースの作成9

WAN インターフェイスの SRC/DEST チェックを無効にする

インタフェースの作成 10

LAN/WANネットワークインターフェースをCitrix SD-WAN の前哨に接続する

LAN インターフェイスアソシエーション

  1. LAN ネットワークインターフェイスを SD-WAN に接続します。

LANネットワーク・インタフェース

ネットワークインターフェイスの接続

WAN インターフェイスのアソシエーション

  1. WAN ネットワークインターフェイスを SD-WAN に接続します。

WAN インターフェイス1

WANインターフェイス

注:

管理、LAN、および WAN をこの順序でアタッチすると、SD-WAN AMI の eth0、eth1、eth2 に接続されます。これは、プロビジョニングされた AMI のマッピングと一致し、AMI の再起動時にインターフェイスが正しく再割り当てされないようにします。

ELASTIC IP を作成し、前哨の Citrix SD-WAN の MGMT インターフェイスおよび WAN インターフェイスに関連付ける

管理 IP Elastic IP

  1. MGMT インターフェイス用に新しい ELASTIC IP を割り当てます。

    弾性IP1

    弾性IP2

    弾性IP3

  2. 新しく作成した ELASTIC IP を管理インターフェイスに関連付けます。

    管理Elastic IPは、アウトポストベースのCitrix SD-WANアプライアンスの80/443を超えるSSH/UIブラウジングに必要です。これにより、管理が簡単になります。

    ここでは、Elastic IP を管理ネットワークインターフェイス、さらに具体的には「192.168.102.11」である管理サブネットに関連付けられたプライベート IP にリンクします。

    • ネットワーク インターフェイスの選択
    • 管理ネットワークインターフェイスを選択します
    • プライベート IP アドレス「192.168.102.11」を割り当てる
    • 関連付け

    弾性IP4

    弾性IP5

WAN インターフェイス Elastic IP

  1. WAN インターフェイス用の新しい ELASTIC IP の割り当て

    弾性IP6

    弾性IP7

  2. 新しく作成した ELASTIC IP を WAN インターフェイスに関連付けます。

    WAN Elastic IPは、アウトポストベースのCitrix SD-WAN アプライアンスへの異なるサイト間のオーバーレイ通信を有効にし、外部世界へのIP接続を持つために必要です。これは、MCN またはブランチに提供する WAN リンクのパブリック IP になります。このIPは基本的にすべてのリモートアプライアンス/ピアが認識し、オーバーレイ制御/データ・チャネルの確立に役立ちます。 具体的には、Elastic IP を WAN ネットワークインターフェイス、さらに具体的には「192.168.102.11」である WAN サブネットに関連付けられたプライベート IP にリンクします。

    • ネットワーク インターフェイスの選択
    • WANネットワークインターフェイスを選択します
    • プライベート IP アドレス「192.168.101.5」を割り当てる

    弾性IP8

    弾性IP9

VPXL SD-WAN 仮想マシンを MCN としてアウトポスト

MCNとしてのアウトポストのCitrix SD-WAN へのアクセス/構成

  1. 管理インターフェイス IP にアクセスします。

    管理インターフェイスの Elastic IP を書き留めて入力し、SD-WAN UI にアクセスします。 https://<elastic_ip_mgmt_interface>

    管理IPログイン画面

  2. 管理者資格情報で認証します。

    ユーザー名はadmin、パスワードはインスタンス ID(以下で強調表示)

    資格情報

  3. 前哨Citrix SD-WAN 仮想マシンの役割をMCN(マスターコントロールノード)として設定します。

    ワンタッチスタート1

    ワンタッチスタート2

  4. MCN(アウトポスト SD-WAN)の新しいサイトを追加します。

    サイトの追加

  5. LAN および WAN の Outpost VM (MCN) ネットワークインターフェイスグループを構成します。

    前哨の設定

  6. LANおよびWANのアウトポスト仮想仮想IPアドレス(MCN)を構成します。

    outpost2 を設定する

  7. アウトポスト仮想マシン(MCN)WAN リンクを設定します。

    • WAN リンク上の容量定義をダウンロード/アップロードします。

      outpost3 を設定する

      outpost4 を設定する

    • WAN リンクのアクセスインターフェイスとゲートウェイ IP を設定します。

      outpost5 を設定する

ホームユーザーブランチの SD-WAN としてのCitrix SD-WAN 210

210 Citrix SD-WAN をブランチとして構成する

  1. クライアントモードで 210 サイトをブランチとして追加します。

    サイト2を追加

  2. LAN および WAN 用の 210 ホームオフィスブランチネットワークインターフェイスグループを構成します。

    サイト2を追加

  3. LAN および WAN 用の 210 ホームオフィス支社の仮想 IP アドレス (VIP) を構成します。

    サイト3を追加

  4. 210 ホームオフィスブランチの WAN リンクを設定します。

    • WAN リンク上の容量定義をダウンロード/アップロードします。

      サイト4を追加

    • WAN リンクのアクセスインターフェイスとゲートウェイ IP を設定します。

      サイト5を追加

変更管理を実行し、アプライアンスに構成をステージングする

サイトを追加6

site7を追加

構成のアクティブ化

site8を追加

仮想パスの作成の確認

前哨の MCN VM で

MCN 仮想マシンをアウトポスト

210ホームブランチで

ホームブランチ

ホームブランチ2

前哨仮想マシンと210ブランチ間の仮想パス上のトラフィックを検証します。

  • ステップ 1 :210 ブランチとアウトポストの MCN 間で Ping を開始する
  • ステップ 2 — アップロード/ダウンロード方向で 210 および MCN VM の両方のフローをチェックし、トラフィックの処理に使用される SIP、DIP、IP プロトコル、およびサービスを検証する
  • ステップ 3 :アウトポスト MCN および 210 のファイアウォール接続をチェックし、2 つのサイト間の ICMP トラフィックを確認します。
  • 210 ブランチとアウトポスト MCN の間で開始された Ping トラフィックが仮想パス経由で処理されることを確認します

    • フローは、仮想パスとして適切なサービスタイプを介したフローを示す必要があります

      • アウトポスト MCN でのフローのチェック:SIP、DIP、IP プロトコルが一致している必要があります。仮想パスとしてのサービスを含めて
      • フロー内のパスをチェックし、使用中の最適なパスをチェックする — 利用可能なパスのリストで最適なパスのいずれかである必要があります
    • 210 ブランチでのフローのチェック-SIP、DIP、IP プロトコルは一致する必要があります。仮想パスとしてのサービスを含めて

      • フロー内のパスをチェックし、使用中の最適なパスをチェックする — 利用可能なパスのリストで最適なパスのいずれかである必要があります
    • ファイアウォールをチェックして接続を確認する

      • アウトポストの [ファイアウォール] をチェックする MCN には、アプリケーションとの接続情報を ICMP として応答する必要があります。SIP-SPORT(MCN)、DIP-DPORT(210)をソースサービス、およびローカルパスおよび仮想パスとして宛先サービスを含む
      • 接続元
      • 210ブランチ上のファイアウォールは、要求のためにICMPとしてアプリケーションとの接続情報を持っている必要があります。SIP-SPORT(210)、DIP-DPORT(MCN)を含むソースサービス、および宛先サービスをそれぞれローカルパスおよび仮想パスとして持つべき

エンドノートパソコンから 192.168.100.5(アウトポストの LAN 側VIP SD-WAN)に PING を開始する

  • コマンド — 192.168.100.5 ping
  • ラップトップの開始元のIPアドレス — 192.168.5.160
  • このトラフィックは、VP 経由で到達可能なプレフィクスとして 192.168.100.0/24 がインストールされたブランチにルーティングテーブルがインストールされているため、仮想パスを通過することを目的としています

エンドラップトップから192.168.100.5(SD-WANのLAN側VIP)へのPINGを開始

MCN(アウトポスト VM)と 210 ブランチの両方に、LAN から WAN および WAN から LAN への方向エントリが表示されていることのフローの確認

210 ホームブランチでのフローの確認

ホームブランチで

LAN から WAN(ブランチから MCN へ)

  • ソース IP — 192.168.5.160
  • 宛先 IP — 192.168.100.5
  • プロト/IPP — ICMP

WAN から LAN(MCN からブランチへ)

  • 宛先IP — 192.168.5.160
  • ソース IP — 192.168.100.5
  • プロト/IPP — ICMP

流れ

  • 使用されているサービスが仮想パスであり、サービス名が MCN(アウトポストVM)からブランチ210 の間にあることを確認します。

  • また、仮想パス(MCN 側の唯一の既存のリンクへの 210 の WL1 の WL1)を経由する ICMP トラフィックを通過している現在の最適パスが、パスに表示されることを確認します。

注:

以下のスナップショットの「パス」列で現在のパスを確認してください。

監視

MCN(アウトポスト仮想マシン)で確認

MCN アウトポスト VM 側で

WAN から LAN(ブランチから MCN へ)

  • ソース IP — 192.168.5.160
  • 宛先 IP — 192.168.100.5
  • プロト/IPP — ICMP

LAN から WAN(MCN からブランチへ)

  • 宛先IP — 192.168.5.160
  • ソース IP — 192.168.100.5
  • プロト/IPP — ICMP

Monitoring1

  • 使用されているサービスが仮想パスであり、サービス名が MCN(アウトポストVM)からブランチ210 の間にあることを確認します。

  • また、仮想パス(MCN 側の唯一の既存のリンクへの 210 の WL1 の WL1)を経由する ICMP トラフィックを通過している現在の最適パスが、パスに表示されることを確認します。

MCN(アウトポストVM)でのファイアウォールの詳細の確認

MCN(アウトポスト VM)でのフローについて、以下の詳細が検証されます。

  • アプリケーション — ICMP
  • ソースサービス:仮想パス(トラフィックはブランチ側からVP経由で送信される)
  • 宛先サービス:IPHOST(SD-WAN の IP に ping を送信しており、デバイスに対して使用されるため)
  • 状態-確立済み

サポートポリシーの詳細については、」 サポートとサービス

Monitoring2

210 ホームブランチでのファイアウォールの詳細の確認

以下の詳細は、210ブランチ側のフローについて検証されます。

  • アプリケーション — ICMP
  • ソースサービス:ローカル(210ブランチの後ろにあるホストから開始)
  • 宛先サービス:仮想パス(SD-WANの IP に対して ping を実行しており、デバイスを対象としており、仮想パスを介して伝送されるため)
  • 状態-確立済み

サポートポリシーの詳細については、 サポートとサービス Monitoring3

AWS の前哨で Citrix SD-WAN をデプロイする

この記事の概要