Citrix SD-WAN

MCNを構成する

最初のステップは、新しい構成パッケージを開き、MCN サイトを新しい構成に追加します。

構成エディタ は、 MCN コンソール モードでのみ使用できます。ナビゲーションツリーの [Virtual WAN] ブランチで [Configuration Editor ] オプションが使用できない場合は 、管理 Web インターフェイスの MCN コンソールモードへの切り替えのセクションを参照してください。コンソールモードの変更手順については、を参照してください。

構成パッケージは頻繁に保存するか、構成内の重要なポイントに保存することをお勧めします。手順については、「MCN サイト設定の命名、保存、およびバックアップ」セクションに記載 されています。

警告

コンソールセッションがタイムアウトになったり、構成を保存する前に管理 Web Interface からログアウトした場合、保存されていない構成の変更はすべて失われます。その後、システムに再度ログインし、設定手順を最初から繰り返す必要があります。そのため、構成パッケージを作成または変更したり、その他の複雑なタスクを実行したりするときは、コンソールセッションのタイムアウト間隔を高い値に設定することをお勧めします。デフォルトは 60 分です。最大値は 9,999 分です。セキュリティ上の理由から、これらのタスクを完了した後、しきい値を下限値にリセットする必要があります。手順については、「コンソール・セッションのタイムアウト間隔の設定(オプション)」を参照してください。

MCNアプライアンスサイトを追加して構成を開始するには、次の手順を実行します。

  1. ナビゲーションツリーで、[ 仮想 WAN ] > [ 構成エディタ] に移動します。これにより、 構成エディタのメインページ (中央のペイン)が表示されます。
    ローカライズされた画像

  2. 新規」(New ) をクリックして、新しい構成の定義を開始します。[ 新しい 構成設定] ページが表示されます。 ローカライズされた画像

  3. [ サイト] バーの [+サイト ] をクリックして、MCN サイトの追加と構成を開始します。[ サイトの追加 ] ダイアログボックスが表示されます。 ローカライズされた画像

  4. サイト情報を入力します。

以下を実行します:

  1. サイト名とセキュアキーを入力します。
  2. アプライアンスの モデルを選択します。
  3. モードを選択します。
  4. モードとして プライマリ MCN を選択します。

モデル・ オプション・メニューには、サポートされているアプライアンス・モデルの汎用モデル名がリストされます。一般名には、Standard Edition モデルのサフィックスは含まれませんが、対応する SD-WAN アプライアンスモデルに対応しています。この SD-WAN アプライアンスモデルに対応するモデル番号を選択します。(たとえば、これが SD-WAN 4000-SE アプライアンスの場合は 4000 を選択します)。

エントリにはスペースを含めることはできません。また、Linux 形式である必要があります。

サイトを追加するには、次の手順に従います。

  1. [ 追加 ] をクリックしてサイトを追加します。これにより、新しいサイトが [サイト] ツリーに追加され、新しいサイトの[基本設定]構成フォームが表示されます。ローカライズされた画像 [ 適用] をクリックすると、追加のアクションが必要であることを示す監査警告が表示されます。赤い点または金色のデルタアイコンは、表示されるセクションにエラーを示します。これらの警告を使用して、エラーや不足している構成情報を識別できます。監査警告アイコンの上にカーソルを置くと、そのセクションのエラーの簡単な説明が表示されます。暗いグレーの 監査 ステータスバー (ページ下部) をクリックして、未解決の監査警告をすべて一覧表示することもできます。設定時にサイトレベルで設定可能なホスト ARP タイマー(ms)が追加されます。現在のデフォルト値は 1,000 ミリ秒です。設定可能な範囲は 1,000 ミリ秒から 18,000 ミリ秒です。ホスト ARP タイマーの設定は、管理ポートには適用されません。

  2. 新しいサイトの基本設定を入力するか、デフォルトをそのまま使用します。ゲートウェイやOne-ARMなどのCitrix SD-WAN展開では、ARP要求を頻繁に受信すると、トラフィックフローに影響するアクセスポイントが過負荷になります。ARP タイマーを設定して、特定のインターバル時間で ARP 要求を送信できるようになりました。時間間隔は秒単位で設定されます。ARPの間隔は、Citrix SD-WAN アプライアンスGUIの[ 基本設定 ]タブでデータセンターサイトを構成するときに設定できます。

  3. (オプション、推奨)進行中の構成を保存します。

1 つのセッションで設定を完了できない場合は、いつでも保存できるため、後で再び設定を完了できます。構成は、ローカルアプライアンスのWorkspace に保存されます。保存した構成での作業を再開するには、 構成エディタの メニューバー(ページ上部)の「 開く 」をクリックします。これにより、変更する構成を選択するためのダイアログボックスが表示されます。

余分な予防策として、間違った構成パッケージを上書きしないように、[保存] ではなく [名前を付けて保存]を使用することをお勧めします。

現在の構成パッケージを保存するには、次の手順を実行します。

  1. 名前を付けて保存 ]をクリックします([ 構成エディタ ]の中央ペインの上部にある)。[ 名前を付けて保存 ] ダイアログボックスが表示されます。 ローカライズされた画像

  2. 構成パッケージ名を入力します。構成を既存のパッケージに保存する場合は、保存する前に [ 上書きを許可 ] を選択してください。

  3. [保存] をクリックします。

MCN のインターフェイスグループの設定方法

新しい MCN サイトを追加した後、次の手順では、サイトの仮想インターフェイスグループを作成して設定します。

次に、仮想インターフェイスグループの設定に関する注意事項をいくつか示します。

  • グループに最も適した論理名を使用します。

  • 信頼できるネットワークは、ファイアウォールの背後に保護されるネットワークです。

  • 仮想インターフェイスは、インターフェイスを Fail to Wire (FTW) ペアに関連付けます。

  • 単一の WAN インターフェイスを FTW ペアにすることはできません。

仮想インターフェイスグループの設定に関する注意事項および詳細については、「仮想ルーティングおよび転送」の項を参照してください。

新しい MCN サイトに仮想インターフェイスグループを追加するには、次の手順を実行します。

  1. 構成エディタの[サイト]ビューで、[サイトの 表示]ドロップダウンメニューからサイト を選択します。これにより、選択したサイトの構成ビューが開きます。 ローカライズされた画像

  2. [ + ] をクリックして、 仮想インターフェイスグループを追加します。これにより、新しい空の Virtual インターフェイスグループエントリがテーブルに追加され、編集用に開きます。 ローカライズされた画像

  3. [ 仮想インターフェイス ] の右側にある [ +] をクリックします。これにより、新しい空のグループエントリがテーブルに追加され、編集用に開きます。 ローカライズされた画像

  4. グループに含める イーサネットインターフェイスを 選択します。[ Ethernet Interfaces] で、そのインターフェイスを含める/除外するインターフェイスをクリックします。グループに含めるインターフェイスはいくつでも選択できます。 ローカライズされた画像

  5. ドロップダウンメニューから [ バイパスモード ] を選択します(デフォルトなし)。バイパスモード は、アプライアンスまたはサービスの障害または再起動が発生した場合に、仮想インターフェイスグループ内のブリッジペアインターフェイスの動作を指定します。オプションは、[ 配線失敗 ] または [ ブロック失敗] です。

  6. ドロップダウンメニューから [ セキュリティレベル ] を選択します。仮想インターフェイスグループのネットワークセグメントのセキュリティレベルを指定します。オプションは、[信頼済み] または [ 信頼できない] です。信頼できるセグメントはファイアウォールで保護されます(デフォルトは Trusted です)。

  7. 追加した仮想インターフェイスの左端にある [ + ] をクリックします。[ 仮想インターフェイス ] テーブルが表示されます。 ローカライズされた画像

  8. [ 仮想インターフェイス ] の右側にある [ +] をクリックします。これにより、 名前、ファイアウォールゾーン、VLAN ID ID が表示されます。 ローカライズされた画像

  9. この仮想インターフェイスグループ の名前VLAN ID を入力します。 - Name — この仮想インターフェイスが参照される名前です。 - ファイアウォールゾーン -ドロップダウンメニューからファイアウォールゾーンを選択します。
    - VLAN ID :これは、仮想インターフェイスとの間で送受信されるトラフィックを識別およびマーキングするための ID です。ネイティブ/タグなしトラフィックには、0(ゼロ)の ID を使用します。

  10. [ ブリッジペア ] の右側にある [ +] をクリックします。これにより、新しい Bridge Pairs エントリが追加され、編集用に開きます。

  11. ペアリングするイーサネットインターフェイスをドロップダウンメニューから選択します。さらにペアを追加するには、[ ブリッジペア ] の横にある [ + ] をもう一度クリックします。

  12. [適用] をクリックします。これにより、設定が適用され、新しい仮想インターフェイスグループがテーブルに追加されます。この段階では、新しい仮想インターフェイスグループエントリの右側に、黄色の Delta Audit Alert アイコンが表示されます。これは、サイトの仮想 IP アドレス (VIP) をまだ構成していないためです。現時点では、このアラートは、サイトの仮想 IP を正しく構成すると自動的に解決されるため、無視できます。

  13. さらに仮想インターフェイスグループを追加するには、[Interface Group s ] ブランチの右側にある [ + ] をクリックし、上記の手順に進みます。

MCN の仮想 IP アドレスを設定する方法

次の手順では、サイトの仮想 IP アドレスを構成し、適切なグループに割り当てます。

  1. 新しい MCN サイト の [サイト] ビューで、[ 仮想 IP アドレス ] の左にある [ +] をクリックします。これにより、新しいサイトの 仮想 IP アドレス テーブルが表示されます。

  2. [ 仮想 IP アドレス ] の右側にある [ + ] をクリックして、アドレスを追加します。これにより、新しい仮想 IP アドレスを追加および構成するためのフォームが開きます。 ローカライズされた画像 ローカライズされた画像

  3. IP アドレス / プレフィクス 情報を入力し、アドレスが関連付けられている 仮想インターフェイスを 選択します。仮想IPアドレスには、完全なホストアドレスとネットマスクを含める必要があります。

  4. [ファイアウォールゾーン]、[ID]、[プライベート]、[セキュリティ] など、仮想 IP アドレスの設定を選択します。

  5. [適用] をクリックします。これにより、アドレス情報がサイトに追加され、サイトの 仮想 IP アドレス テーブルに含められます。

  6. さらに仮想 IP アドレスを追加するには、[ 仮想 IP アドレス ] の右側にある [ +] をクリックし、上記の手順を実行します。

MCN の WAN リンクの設定方法

次のステップでは、サイトの WAN リンクを構成します。

  1. 新しい MCN サイト の [サイト] ビューで、[ WAN リンク ] ラベルをクリックします。 ローカライズされた画像

  2. [ W AN リンク ] の右側にある [Add Link] をクリックして、新しい WAN リンクを追加します。[ 追加 ] ダイアログボックスが表示されます。
    ローカライズされた画像

  3. (オプション)デフォルトを使用しない場合は、WAN リンクの名前を入力します。デフォルトはサイト名で、次のサフィックス「WL-」が付加されます。<number> ここで、<number> はこのサイトの WAN リンクの数を 1 ずつ増やします。

  4. ドロップダウンメニューから「 アクセスタイプ 」を選択します。オプションは、[ パブリックインターネット]、[プライベートイントラネット]、または [ プライベート MPLS] です。

  5. [追加] をクリックします。これにより、[ WAN リンク の基本設定] 設定ページが表示され、新しい未設定の WAN リンクがページに追加されます。 ローカライズされた画像

帯域幅消費の自動学習

自動学習は、システムの起動時に実行され、正常な結果が観察されるまで 5 分ごとに繰り返されます。自動学習は、設定エディタから WAN リンク設定の変更が行われた後にも実行されます。

テストは手動で実行することも、SD-WAN GUI でスケジュールすることもできます。テストが成功し、自動学習が有効になっている場合、これらのテストの結果は、許可されたレートにも適用されます。

大規模なネットワークで自動学習を使用する場合、config change が再起動すると、すべてのサイトが MCN で同時にテストを実行し、帯域幅の使用率が高くなり、結果が不正確になります。帯域幅テストは、1 日 1 ~ 2 回(通常はトラフィック量が少ない場合)にスケジュールすることをお勧めします。 ローカライズされた画像

  1. 新しい WAN リンクのリンクの詳細を入力します。LANからWAN、WANから LAN への設定を構成します。いくつかのガイドラインは次のとおりです。
    • 一部のインターネットリンクは非対称である場合があります。
    • 許可された速度を誤って設定すると、そのリンクのパフォーマンスに悪影響を及ぼす可能性があります。
    • 認定レートを超えるバースト速度は使用しないでください。
    • インターネット WAN リンクの場合は、必ずパブリック IP アドレスを追加してください。
  2. グレーの [ 詳細設定]セクションバーをクリックします。リンクの [ 詳細設定] フォームが開きます。 ローカライズされた画像

  3. リンクの [詳細設定] を入力します。
    • [Prov ider ID ]:(オプション)同じサービスプロバイダーに接続されている WAN リンクを指定するための一意の ID 番号 1 ~ 100 を入力します。仮想 WAN は、重複パケットを送信するときにプロバイダー ID を使用してパスを区別します。
    • [Frame C ost (bytes) ]:各パケットに追加するヘッダー/トレーラのサイズ(バイト単位)を入力します。たとえば、追加されたイーサネット IPG または AAL5 トレーラーのバイト単位のサイズ。
    • 輻輳 しきい値 :輻輳しきい値(マイクロ秒単位)を入力します。このしきい値は、WAN リンクがパケット転送を抑制し、それ以上の輻輳を回避します。
    • [MTU Size (bytes) ]:フレームコストを含まない、最大の raw パケットサイズ(バイト単位)を入力します。
  4. グレーの「 適格 」セクション・バーをクリックします。リンクの [ 適格 設定] フォームが開きます。

  5. リンクの「 適格 」設定を選択します。 ローカライズされた画像

  6. グレーの [ 従量制課金リンク ] セクションバーをクリックします。リンクの [ 従量制課金リンク 設定] フォームが開きます。

  7. (オプション)このリンクの メータリング を有効にするには、[メータリングを有効にする] を選択します。これにより、[ メータリング設定を有効にする ] フィールドが表示されます。 ローカライズされた画像 ローカライズされた画像

  8. リンクのメータリング設定を構成します。以下のコマンドを実行します。
  • 「データ上 限 (MB) 」— リンクに対するデータ上限割り当てをメガバイト単位で入力します。

  • 「請求 サイクル 」— ドロップダウンメニューから「 月次」または「週次 」を選択します。

  • 開始日 — 請求サイクルの開始日を入力します。

  • 「Set Last Resort 」— 他のすべての使用可能なリンクに障害が発生した場合に、このリンクを最後の手段のリンクとして有効にする場合に選択します。通常の WAN 条件下では、仮想 WAN は、リンクステータスを確認するために、従量制課金リンクを介して最小限のトラフィックだけを送信します。ただし、障害が発生した場合、SD-WAN は本番トラフィックを転送するための最後の手段として、アクティブな従量制課金リンクを使用できます。

[適用] をクリックします。これにより、指定した設定が新しい WAN リンクに適用されます。

次のステップでは、新しい WAN リンクのアクセスインターフェイスを設定します。アクセスインターフェイスは、特定の WAN リンクのインターフェイスとしてまとめて定義された、仮想インターフェイス、WAN エンドポイント IP アドレス、ゲートウェイ IP アドレス、および仮想パスモードで構成されます。各 WAN リンクには、少なくとも 1 つのアクセスインターフェイスが必要です。

アクセスインターフェイスの設定方法

  1. リンクの [WAN リンク] 設定ページで [ アクセスインターフェイス ] を選択します。これにより、サイトの [ アクセスインターフェイス ] ビューが開きます。 ローカライズされた画像 ローカライズされた画像

  2. [ + ] をクリックして、インターフェイスを追加します。これにより、テーブルに空白のエントリが追加され、編集用に開かれます。リンクの [ アクセスインターフェイス ] 設定を入力します。各 WAN リンクには、少なくとも 1 つのアクセスインターフェイスが必要です。 ローカライズされた画像

  3. 以下のコマンドを実行します。

  • [Name]:このアクセスインターフェイスが参照される名前です。新しいアクセスインターフェイスの名前を入力するか、デフォルトをそのまま使用します。デフォルトでは、次の命名規則が使用されます。 wan_link_name-AI番号: wan_link_name は、このインターフェイスに関連付ける WAN リンクの名前、number はこのリンクに現在設定されているアクセスインターフェイスの数で、1 ずつ増加します。

名前が切り捨てられた場合は、フィールドにカーソルを置き、クリックしたままマウスを右または左に回転すると、切り捨てられた部分が表示されます。

  • 仮想インターフェイス :このアクセスインターフェイスが使用する仮想インターフェイスです。このブランチサイト用に構成された Virtual Interfaces のドロップダウンメニューからエントリを選択します。

  • ルーティングドメイン -アクセスインターフェイス用に選択するルーティングドメイン。

  • IP アドレス — アプライアンスから WAN へのアクセスインターフェイスエンドポイントの IP アドレスです。

  • Gateway IP アドレス — ゲートウェイルータの IP アドレスです。

  • Virtual Path Mode :この WAN リンク上の仮想パストラフィックのプライオリティを指定します。オプションは、[ プライマリ]、[ セカンダリ]、または [ 除外] です。[ 除外] に設定すると、このアクセスインターフェイスはインターネットおよびイントラネットトラフィックにのみ使用されます。

  • プロキシARP 」— 有効にするチェックボックスを選択します。有効にすると、Gateway に到達できない場合に、仮想 WAN アプライアンスはゲートウェイ IP アドレスの ARP 要求に応答します。

  1. [適用] をクリックします。

これで、新しい WAN リンクの設定が完了しました。これらの手順を繰り返して、サイトの WAN リンクを追加および構成します。

次のステップでは、サイトのルートを追加および構成します。

MCN のルートを設定する方法

サイトのルートを追加および構成するには、次の手順を実行します。

  1. 新しい MCN サイトの [ 接続 ] ビューをクリックし、[ ルート] を選択します。これにより、サイトの [ ルート ] ビューが表示されます。
  2. ルート を追加するには、[ルート] の右側にある [ + ] をクリックします。これにより、編集用の [ ルート ] ダイアログボックスが開きます。 ローカライズされた画像

  3. 新しいルートのルート設定情報を入力します。以下のコマンドを実行します。
  • ネットワークIPアドレス 」— ネットワークIPアドレスを入力します。
  • Cost — このルートのルートプライオリティを決定するために、1 ~ 15 の重みを入力します。低コストのルートは、高コストのルートよりも優先されます。デフォルト値は5です。
  • [Service Type ] — このフィールドのドロップダウンメニューからルートのサービスタイプを選択します。

使用できるオプションは、次のとおりです。

  • 仮想パス — このサービスは、仮想パスを通過するトラフィックを管理します。仮想パスは、2 つの WAN リンク間の論理リンクです。これは、2つのSD-WANノード間で高いサービス・レベル通信を提供するために結合されたWANパスの集合で構成されます。これは、変化するアプリケーションの需要とWANの状態に常に測定し、適応することによって達成されます。SD-WAN アプライアンスは、パス単位でネットワークを測定します。仮想パスは、スタティック(常に存在)またはダイナミック(2 つの SD-WAN アプライアンス間のトラフィックが設定されたしきい値に達した場合のみ存在)のいずれかになります。
  • インターネット — このサービスは、エンタープライズサイトとパブリックインターネット上のサイト間のトラフィックを管理します。このタイプのトラフィックはカプセル化されません。輻輳時には、SD-WAN は、仮想パスに対するレート制限によるインターネットトラフィックと、管理者が確立した SD-WAN 構成に従ってイントラネットトラフィックによって、帯域幅を積極的に管理します。
  • イントラネット — このサービスは、仮想パス経由の送信用に定義されていないエンタープライズイントラネットトラフィックを管理します。インターネットトラフィックと同様に、カプセル化されていないままであり、SD-WAN は、輻輳時にこのトラフィックを他のサービスタイプと比較してレート制限することで、帯域幅を管理します。特定の条件下では、仮想パスでイントラネットフォールバック用に構成されている場合、通常は仮想パスで移動するトラフィックは、ネットワークの信頼性を維持するために、代わりにイントラネットトラフィックとして扱われることがあります。
  • パススルー — このサービスは、仮想 WAN を通過するトラフィックを管理します。パススルーサービスに送信されるトラフィックには、ブロードキャスト、ARP、その他の非 IPv4 トラフィック、および Virtual WAN アプライアンスのローカルサブネット、構成済みサブネット、またはネットワーク管理者が適用したルール上のトラフィックが含まれます。このトラフィックは、SD-WAN によって遅延、シェーピング、または変更されません。したがって、SD-WAN アプライアンスが他のサービスで使用するように構成されている WAN リンク上で、パススルートラフィックが実質的なリソースを消費しないようにする必要があります。
  • ローカル :このサービスは、他のサービスと一致しないサイトへのローカルな IP トラフィックを管理します。SD-WAN は、ローカルルートを送信元および宛先とするトラフィックを無視します。
  • GRE トンネル :このサービスは、GRE トンネル宛ての IP トラフィックを管理し、サイトで設定された LAN GRE トンネルと一致します。GRE トンネル機能を使用すると、LAN 上の GRE トンネルを終了するように SD-WAN アプライアンスを設定できます。サービスタイプ GRE Tunnel のルートの場合、Gateway はローカル GRE トンネルのトンネルサブネットの 1 つに存在する必要があります。
  • LAN IPsec トンネル — このサービスは、IPsec トンネル宛の IP トラフィックを管理します。
  • ゲートウェイIPアドレス 」— このルートの ゲートウェイIPアドレスを 入力します。
  • 適格性 -パスに基づく(チェックボックス):(オプション)有効の場合、選択したパスがダウンしているときにルートはトラフィックを受信しません。
  • パス 」(Path) — ルートの適格性を判断するために使用するパスを指定します。

「サービスタイプ」に応じて、次の設定が表示されます。

サービスの種類 サービスタイプ設定
仮想パス [Next Hop Site]:仮想パスパケットの送信先となるリモートサイトを示します。
インターネット ルートのエクスポート:ルートを他の接続されたサイトにエクスポートするには、有効/無効にします。パスに基づく適格性
イントラネット エクスポートルート、イントラネットサービス、パスに基づく適格性、トンネルに基づく適格性
パススルー パスに基づく適格性
ローカル エクスポートルート、サマリールート、パスに基づく適格性
GREトンネル エクスポートルート、パスに基づく適格性、ゲートウェイに基づく適格性
IPSec トンネル エクスポートルート、パスに基づく適格性、IPSec トンネル、トンネルに基づく適格性
破棄 エクスポートルート、サマリールート
  1. [適用] をクリックします。

[ 適用] をクリックすると、追加のアクションが必要であることを示す監査警告が表示されることがあります。赤い点または金色のデルタアイコンは、表示されるセクションにエラーを示します。これらの警告を使用して、エラーや不足している構成情報を識別できます。監査警告アイコンの上にカーソルを置くと、そのセクションのエラーの簡単な説明が表示されます。暗いグレーの 監査 ステータスバー (ページ下部) をクリックして、すべての監査警告の一覧を表示することもできます。

ローカライズされた画像

設定済みのルートを次のように編集することもできます。

ローカライズされた画像

サイトのルートを追加するには、[ルート] ブランチの右側にある [ **+ ] をクリックし、上記の手順を実行します。**

これで、新しい MCN サイトのプライマリ設定情報の入力が完了しました。次の 2 つのセクションでは、オプションの手順について説明します。

これらの機能を今すぐ設定したくない場合は、[MCN サイト設定の命名、保存、およびバックアップ]に進みます。(/en-us/citrix-sd-wan/10-2/configuration/set-up-master-control-node/manage-mcn-configuration.html)

MCNを構成する