Citrix SD-WAN WANOP

展開モード

一般的なCitrix SD-WAN WANOP展開では、Citrix SD-WAN WANOP アプライアンスはブランチオフィスおよびデータセンター間でペアになります。VDAなどの共有リソースをデータセンターにインストールします。次の図に示すように、さまざまなブランチオフィスのクライアントは、Citrix Receiverを使用してデータセンターリソースにアクセスします。

典型的なCitrix SD-WAN WANOP展開トポロジ

ローカライズされた画像

クライアントは、Citrix Receiver for HTML5などのCitrix Receiverソフトウェア製品をローカルコンピューターにインストールし、それを使用してデータセンターのリソースにアクセスします。Citrix SD-WAN WANOP アプライアンスのペアを介した接続が最適化されます。

クライアントとサーバー間で交換されるメッセージを理解する

他のタイプのネットワーク接続と同様に、Citrix Receiver for HTML5を使用するクライアントはサーバーとさまざまなメッセージを交換します。次の図は、クライアントとサーバー間で接続が確立されたときの、クライアントとサーバー間のメッセージの一般的なフローを示しています。

ローカライズされた画像

上の図に示すように、ブランチオフィスのクライアントがデータセンターサーバーリソースにアクセスする場合、次の一連のメッセージがクライアントとサーバー間で交換されます。

  1. クライアントはCitrix Receiver for HTML5を使用して、TCP接続要求をポート8008でVDAに送信します。

  2. TCP接続を確立した後、クライアントはWebSocketアップグレード要求をVDAに送信します。

  3. VDAはアップグレード要求に応答し、WebSocketプロトコルに切り替えます。

  4. クライアントとVDAはWebSocket認証をネゴシエートします。

  5. クライアントはWebSocket接続要求をVDAに送信します。

  6. VDAはWebSocket接続要求に応答します。

  7. VDAは、クライアントとのICAネゴシエーションを開始します。

  8. ICAネゴシエーション後、VDAはICAデータの送信を開始します。

  9. VDAはパケット終了メッセージを送信します。

  10. クライアントはパケット終了メッセージで応答します。

    上記の例は、WebSocketを介してICAと交換されるサンプルメッセージを示しています。Common Gateway Protocol(CGP)を介してICAを使用している場合、クライアントとサーバーはWebSocketではなくCGPをネゴシエートします。ただし、ICA over TCPの場合、クライアントとサーバーはICAをネゴシエートします。

ネットワークに展開したコンポーネントに応じて、接続はさまざまなポイントで終了します。前の図は、ネットワーク上に追加のコンポーネントが展開されていないトポロジを表しています。その結果、クライアントはポート8008でVDAと直接通信します。ただし、データセンターにCitrix Gatewayなどのゲートウェイをインストールした場合は、ゲートウェイとの接続が確立され、VDAがプロキシされます。ゲートウェイがWebSocket承認をネゴシエートするまで、VDAとの通信はありません。ゲートウェイはWebSocket承認をネゴシエートした後、VDAとの接続を開きます。その後、ゲートウェイは仲介者として機能し、クライアントからVDAにメッセージを渡します。

同様に、クライアントにインストールされているCitrix GatewayプラグインとデータセンターにインストールされたCitrix Gatewayの間にVPNトンネルが作成された場合、ゲートウェイはすべてのクライアントメッセージを透過的に転送します(TCP接続を確立するとすぐに、その逆も同様です)。

エンドツーエンドのSSL暗号化を必要とする接続を最適化するために、VDAのポート443でTCP接続が確立されます。

サポートされている展開モード

Citrix SD-WAN WANOPアプライアンスを構成してCitrix Receiver for HTML5を最適化する場合は、ネットワーク要件に応じて、次のいずれかの展開モードを検討できます。HTML5接続用にCitrix Receiverを最適化するために、Citrix SD-WAN WANOPアプライアンスは次の展開モードをサポートしています。

  • 直接アクセス

  • エンドツーエンドSSL暗号化による直接アクセス

  • ICAプロキシモード

  • エンドツーエンドSSL暗号化を使用したICAプロキシモード

  • フル仮想プライベートネットワーク(VPN)モード

  • エンドツーエンドSSL暗号化を備えた完全仮想プライベートネットワーク(VPN)モード

直接アクセス:

次の図は、直接アクセスモードでクライアントにインストールされたCitrix Receiver for HTML5の展開トポロジを示しています。

直接アクセスモードで展開されたCitrix SD-WAN WANOP アプライアンス

ローカライズされた画像

ダイレクトアクセスモードでは、Citrix SD-WAN WANOPアプライアンスのペアがブランチオフィスとデータセンターにインラインモードでインストールされます。クライアントは、プライベートWANを介してCitrix Receiver for HTML5を介してVDAリソースにアクセスします。クライアントからVDAリソースへの接続は、ICAレベルの暗号化を使用して保護されます。クライアントとVDAの間で交換されるメッセージについては、「クライアントとサーバーの間で交換されるメッセージについて」で説明されています。

クライアントとVDAデータセンターの間にインストールされたCitrix SD-WAN WANOPアプライアンスは、それらの間に確立されたHTML5接続用にCitrix Receiverを最適化します。

直接アクセス展開は、クライアントがCitrix Gatewayやその他のファイアウォールを使用せずに接続する企業イントラネットに適しています。Citrix SD-WAN WANOPアプライアンスがインラインモードで展開され、プライベートWANからのクライアントがVDAリソースに接続する場合は、直接アクセスを使用してセットアップを展開します。

エンドツーエンドSSL暗号化による直接アクセス:

次の図は、エンドツーエンドのSSL暗号化で保護されたダイレクトアクセスモードでクライアントにインストールされたCitrix Receiver for HTML5の展開トポロジを示しています。

エンドツーエンドのSSL暗号化で保護された直接アクセスモードで展開されたCitrix SD-WAN WANOPアプライアンス

ローカライズされた画像

エンドツーエンドSSL暗号化モードでの直接アクセスは直接アクセスモードに似ていますが、クライアントとVDAリソース間の接続がSSL暗号化によって保護され、接続にポート8008ではなくポート443を使用する点が異なります。

この展開では、Citrix SD-WAN WANOP アプライアンスのペア間の通信は、2 つのアプライアンスをセキュリティで保護したパートナーにすることで、セキュリティで保護されます。この展開は、クライアントとVDAリソース間の接続がSSL暗号化によって保護されている企業ネットワークに適しています。

安全なパートナーを作成するには、アプライアンスで適切な証明書を構成する必要があります。安全なパートナー関係の詳細については、安全なピアリングを参照してください。

ICAプロキシモード:

次の図は、ICAプロキシモードでクライアントにインストールされたCitrix Receiver for HTML5の展開トポロジを示しています。

ICAプロキシモードで展開されたCitrix SD-WAN WANOPアプライアンス

ローカライズされた画像

ICAプロキシモードでは、Citrix SD-WAN WANOP アプライアンスのペアがブランチオフィスとデータセンターにまたがってインラインモードでインストールされます。さらに、VDAプロキシであるCitrix Gatewayをデータセンターにインストールします。クライアントは、パブリックWANを介してCitrix Receiver for HTML5を介してVDAリソースにアクセスします。ゲートウェイはVDAをプロキシするため、クライアントとCitrix Gateway間のSSL接続と、Citrix GatewayとVDA間のICAで保護された接続という2つの接続が確立されます。Citrix Gatewayは、クライアントに代わってVDAリソースとの接続を確立します。ゲートウェイからVDAリソースへの接続は、ICAレベルでの暗号化によって保護されます。

クライアントとVDAの間で交換されるメッセージについては、「クライアントとサーバーの間で交換されるメッセージについて」で説明されています。ただし、この場合、接続はCitrix Gatewayで終了します。ゲートウェイはVDAをプロキシし、ゲートウェイがWebSocket承認をネゴシエートした後にのみVDAへの接続を開きます。次に、ゲートウェイはクライアントからVDAに、またはその逆にメッセージを透過的に渡します。

ユーザーがパブリックWANからVDAリソースにアクセスすることを期待している場合は、ICAプロキシモードの設定を展開することを検討できます。

安全なパートナーを作成するには、アプライアンスで適切な証明書を構成する必要があります。安全なパートナー関係の詳細については、安全なピアリングを参照してください。

エンドツーエンドSSL暗号化を使用したICAプロキシモード:

次の図は、エンドツーエンドのSSL暗号化で保護されたICAプロキシモードでクライアントにインストールされたCitrix Receiver for HTML5の展開トポロジを示しています。

エンドツーエンドのSSL暗号化で保護されたICAプロキシモードで展開されたCitrix SD-WAN WANOPアプライアンス

ローカライズされた画像

エンドツーエンドSSL暗号化モードのICAプロキシモードは、通常のICAプロキシモードに似ていますが、Citrix GatewayとVDA間の接続は、ICAで保護された接続を使用する代わりにSSL暗号化によって保護される点が異なります。このシナリオでは、Citrix SD-WAN WANOPアプライアンスおよびVDAに適切な証明書をインストールする必要があります。Citrix GatewayとVDA間の接続では、通常のICAプロキシモードの場合と同様に、ポート8008の代わりにポート443が使用されます。

この展開は、Citrix GatewayとVDA間の接続を含む、クライアントとVDA間のエンドツーエンド通信をセキュリティで保護する必要があるネットワークに適しています。

フル仮想プライベートネットワーク(VPN)モード:

次の図は、完全な仮想プライベートネットワーク(VPN)モードでクライアントにインストールされたCitrix Receiver for HTML5の展開トポロジを示しています。

VPNモードで展開されたCitrix SD-WAN WANOPアプライアンス

ローカライズされた画像

完全VPNモードでは、Citrix SD-WAN WANOP アプライアンスのペアがブランチオフィスとデータセンターにまたがってインラインモードでインストールされます。Citrix Receiver for HTML5に加えて、Citrix Gatewayプラグインをクライアントにインストールし、データセンターで外部ネットワークに接続するCitrix Gatewayをインストールします。クライアント上のCitrix Gatewayプラグインとデータセンター上のCitrix Gatewayは、接続を確立するときに、ネットワーク経由でSSLトンネルまたはVPNを作成します。その結果、クライアントはCitrix SD-WAN WANOPアプライアンスを介した透過的な接続により、VDAリソースに直接セキュアにアクセスできます。Citrix Gatewayでクライアント接続が終了すると、ゲートウェイはVDAのポート8008への透過的な接続を開きます。

クライアントとVDAの間で交換されるメッセージについては、「クライアントとサーバーの間で交換されるメッセージについて」セクションで説明されています。ただし、この場合、接続はCitrix Gatewayで終了します。ゲートウェイはVDAをプロキシし、ポート8008でVDAへの透過的な接続を開き、クライアントからVDAへ、またはその逆にすべてのメッセージを透過的に渡します。

Citrix SD-WAN WANOPプラグインを使用すると、クライアントはクライアントの場所に関係なく、リソースにアクセスできます。クライアントがデスクトップ以外の場所からVDAリソースにアクセスする必要があると予想される場合は、セットアップを完全仮想プライベートネットワーク(VPN)モードで展開できます。

この展開は、従業員が出張中にリソースにアクセスすることを期待している組織に適しています。

エンドツーエンドSSL暗号化を備えた完全仮想プライベートネットワーク(VPN)モード:

次の図は、エンドツーエンドのSSL暗号化で保護されたフルVPNモードでクライアントにインストールされたCitrix Receiver for HTML5の展開トポロジを示しています。

エンドツーエンドのSSL暗号化で保護されたVPNモードで展開されたCitrix SD-WAN WANOPアプライアンス

ローカライズされた画像

エンドツーエンドのSSL暗号化展開による完全仮想プライベートネットワーク(VPN)モードは、通常の完全VPNモードに似ていますが、Citrix GatewayとVDA間の通信はSSL暗号化によって保護され、ポート8008の代わりにポート443を使用する点が異なります。

この展開は、出張中の従業員がアクセスするリソースに対してエンドツーエンドのSSL暗号化を必要とする組織に適しています。

展開モード