Citrix SD-WAN WANOP

Citrix Cloud Connector

Citrix SD-WAN WANOPアプライアンスのCitrix Cloud Connector機能は、エンタープライズデータセンターを外部クラウドおよびホスティング環境に接続し、クラウドをエンタープライズネットワークのセキュアな拡張にします。クラウドでホストされるアプリケーションは、1 つの連続したエンタープライズネットワークで実行されているかのように見えます。Citrix Cloud Connectorを使用すると、クラウドプロバイダーが提供する容量と効率でデータセンターを拡張できます。

Citrix Cloud Connectorを使用すると、アプリケーションをクラウドに移動して、コストを削減し、信頼性を高めることができます。

Citrix SD-WAN WANOPアプライアンスのWAN最適化機能は、トラフィックを高速化し、エンタープライズデータセンターとクラウドで実行されているアプリケーションにLANのようなパフォーマンスを提供します。

データセンターとクラウド間でCitrix Cloud Connectorを使用することに加えて、これを使用して2つのデータセンターを接続し、大容量の安全で高速なリンクを実現できます。

Citrix Cloud Connectorソリューションを実装するには、Citrix Cloud Connectorトンネルと呼ばれるトンネルを設定して、データセンターを別のデータセンターまたは外部クラウドに接続します。

データセンターを別のデータセンターに接続するには、各データセンターに1つずつ、2つのアプライアンス間にCitrix Cloud Connector トンネルを設定します。

データセンターを外部クラウド(Amazon AWSクラウドなど)に接続するには、データセンター内のCitrix SD-WAN WANOPアプライアンスとクラウド内にある仮想アプライアンス(VPX)の間にCitrix Cloud Connectorトンネルを設定します。リモートエンドポイントは、Citrix Cloud ConnectorまたはプラチナライセンスのCitrix VPXにすることができます。

次の図は、データセンターと外部クラウドの間に設定されたCitrix Cloud Connectorトンネルを示しています。

ローカライズされた画像

Citrix Cloud Connectorトンネルがセットアップされているアプライアンスは、Citrix Cloud Connectorトンネルの エンドポイント または ピア と呼ばれます。

Citrix Cloud Connectorトンネルは次のプロトコルを使用します。

  • 汎用ルーティングカプセル化(GRE)プロトコル

  • オープン標準の IPSec プロトコルスイート(トランスポートモード)

GRE プロトコルは、さまざまなネットワークプロトコルからのパケットをカプセル化し、別のプロトコル経由で転送するメカニズムを提供します。GRE は次の目的で使用されます。

  • 非 IP プロトコルおよびルーティング不可能なプロトコルを実行するネットワークを接続します。

  • ワイドエリアネットワーク (WAN) を経由するブリッジ。

  • 異なるネットワーク上で変更せずに送信する必要があるあらゆる種類のトラフィックに対して、トランスポートトンネルを作成します。

GRE プロトコルは、GRE ヘッダーと GRE IP ヘッダーをパケットに追加することによって、パケットをカプセル化します。

インターネットプロトコルセキュリティ(IPSec)プロトコルスイートは、Citrix Cloud Connectorトンネル内のピア間の通信を保護します。

Citrix Cloud Connectorトンネルでは、IPSecは次のことを保証します。

  • データの整合性

  • データ発信元認証

  • データの機密性 (暗号化)

  • リプレイ攻撃に対する保護

IPSec は、GRE カプセル化パケットが暗号化されるトランスポートモードを使用します。暗号化は、カプセル化セキュリティペイロード (ESP) プロトコルによって行われます。ESP プロトコルは、HMAC ハッシュ関数を使用してパケットの整合性を保証し、暗号化アルゴリズムを使用して機密性を保証します。パケットが暗号化され、HMAC が計算されると、ESP ヘッダーが生成されます。ESP ヘッダーは GRE IP ヘッダーの後に挿入され、ESP トレーラーは暗号化されたペイロードの最後に挿入されます。

Citrix Cloud Connectorトンネル内のピアは、次のように、インターネットキー交換バージョン(IKE)プロトコル(IPSecプロトコルスイートの一部)を使用して、安全な通信をネゴシエートします。

  • 2 つのピアは、次の認証方法のいずれかを使用して、相互に認証を行います。

    • 事前共有キー認証。事前共有キーと呼ばれるテキスト文字列は、各ピアに手動で設定されます。ピアの事前共有キーは、認証のために相互に照合されます。したがって、認証を成功させるには、各ピアで同じ事前共有キーを設定する必要があります。

    • デジタル証明書認証。発信側(送信者)ピアは、秘密キーを使用してメッセージ交換データに署名し、もう一方の受信側ピアは送信者の公開キーを使用して署名を検証します。通常、公開キーは X.509v3 証明書を含むメッセージで交換されます。この証明書は、証明書に示されているピアのアイデンティティが特定の公開キーに関連付けられていることを保証します。

  • ピアは、次の上で合意に達するために交渉します。

    • 暗号化アルゴリズム。

    • 1 つのピアでデータを暗号化し、もう 1 つのピアでデータを復号化する暗号化キー。

セキュリティプロトコル、暗号化アルゴリズム、および暗号化キーに関する本契約は、セキュリティアソシエーション (SA) と呼ばれます。SA は一方向(単方向)です。たとえば、CB1 と CB2 の 2 つのピアがコネクタトンネルを介して通信している場合、CB1 には 2 つのセキュリティアソシエーションがあります。一方の SA は発信パケットの処理に使用され、もう一方の SA は着信パケットの処理に使用されます。

SA は、 ライフタイムと呼ばれる指定された時間が経過すると期限切れになります。2 つのピアは、インターネットキー交換(IKE)プロトコル(IPSec プロトコルスイートの一部)を使用して、新しい暗号化キーをネゴシエートし、新しい SA を確立します。限られた寿命の目的は、攻撃者が鍵をクラックするのを防ぐことです。

また、Citrix Cloud Connector トンネルエンドポイント上のCitrix SD-WAN WANOPインスタンスは、トンネルを介したWAN最適化を提供します。

Citrix Cloud Connectorトンネルを構成するための前提条件

AWSクラウドとデータセンターでワンアームモード用に構成されたCitrix SD-WAN WANOPアプライアンスの間にCitrix Cloud Connectorトンネルを設定する前に、次のタスクが完了していることを確認してください。

  1. データセンターのCitrix SD-WAN WANOPアプライアンスが正しくセットアップされていることを確認してください。WCCP/Virtual インラインプロトコルを使用するワンアームモードでのCitrix SD-WANアプライアンスの展開の詳細については、WANルーターが1つあるサイトを参照してください。

  2. AWSクラウドにCitrix仮想アプライアンス(VPXインスタンス)をインストール、設定、起動します。詳しくは、「AWSでのNetScaler VPXのインストール」を参照してください。

  3. AWSクラウドにCitrix SD-WAN WANOP仮想アプライアンス(VPX)のインスタンスをインストール、構成、および起動します。詳しくは、「AmazonAWSへのSD-WAN VPX SAMIのインストール」を参照してください。

  4. AWSで、AWS上のCitrix SD-WAN WANOP VPXインスタンスをAWS上のCitrix VPXインスタンスの負荷分散仮想サーバーにバインドします。このバインディングは、Citrix SD-WAN WANOP VPXインスタンスを介してトラフィックを送信し、Citrix Cloud Connectorトンネルを介してWANを最適化するために必要です。

コマンドラインインターフェイスを使用して負荷分散仮想サーバーを作成するには:

コマンドプロンプトで、次のように入力します。

  • ns モード l2 を有効にする

  • add lb vserver <cbvpxonaws_vs_name> ANY * * -l2Conn ON -m MAC</span>

AWSにCitrix SD-WAN WANOP VPXインスタンスをサービスとして追加し、コマンドラインインターフェイスを使用して負荷分散仮想サーバーにバインドするには:

コマンドプロンプトで、次のように入力します。

  • add service < cbvpxonaws_service_name> <cbvpxonaws_IP> ANY * -cltTimeout 14400 -svrTimeout 14400</span>

  • bind lb vserver <cbvpxonaws_vs_name> <cbvpxonaws_service_name></span>

Citrix Cloud Connector