Citrix SD-WAN

ベストプラクティス

この記事では、Citrix SD-WANソリューションの導入のベストプラクティスについて説明します。以下のCitrix SD-WAN展開モードの一般的なガイダンス、利点、ユースケースについて説明します。

Edge/Gatewayモード

推奨事項

ゲートウェイモードの展開に関する推奨事項を次に示します

  1. ゲートウェイモードは、ルータの統合が実行され、お客様が SD-WAN をエッジデバイス終端接続にできる状態にある SD-WAN 支店に最適です。

  2. プロジェクトをゼロから構築すると、優れたネットワークアーキテクチャを綿密な設計でレンダリングすることができます。

注:

ゲートウェイモードは、インフラストラクチャが一部の中断を伴う既存のプロジェクトに対して、データセンター側で使用できます。

アドバンテージ/ユースケース

ゲートウェイモード展開の利点と使用例を次に示します。

  1. 顧客支社でのルータ/ファイアウォール/ネットワーク要素の統合に最適な使用例

  2. DHCPによるシンプルで簡単なLANホスト管理。

    • SD-WAN をネクストホップにして、データポート用のすべての LAN ホストに DHCP ベースの IP アドレッシングを提供できるようにします。
  3. すべての接続は SD-WAN エッジ/ゲートウェイで終了し、管理が容易になります。

  4. SD-WAN はエッジルーティングの焦点であり、すべてのトラフィックを操舵します。帯域幅/容量のアカウンティングを含め、ブレークアウト、バックホール、またはオーバーレイにエッジ上で決定が行われます。

  5. LAN ホストとしてのすべての LAN サブネットホストは、SD-WAN LAN VIP をネクストホップとして使用できます。SD-WAN LAN がコアスイッチに接続されている場合は、ダイナミックルーティングを実行して、すべての LAN サブネットを可視化できます。

  6. 高可用性(HA)のための優れた柔軟性-サイトがアクティブ/スタンバイモードで動作するように、Gateway モードに対する厳格な推奨事項。また、SD-WAN デバイスがダウンした場合のトラフィックのブラックホールを防ぐのに役立ちます。

    • ブランチで使用可能なスイッチ-パラレル高可用性は、Gateway モードで動作します。

    • ブランチでは使用できないスイッチ-SD-WAN は、SD-WAN エッジ高可用性モード(フェールツーワイヤ高可用性モード)でも動作できます。このモードでは、2 つの SD-WAN ボックスがデイジーチェーン接続され、フェールツーワイヤポートを使用してコンバージド高可用性ペアとして機能します。

  7. インターネットを UNTRUSTED インターフェイスとして定義できます。これにより、ブレークアウト用のダイナミック NAT が自動的に作成され、接続元 NAT によって応答が SD-WAN に戻されます。

  8. 4980 上の ICMP/ARP/UDP 制御パケットだけが許可されるという点では、 信頼できないインターフェイスに対するセキュリティ上の考慮事項は当然暗黙的に示されています

注意事項

ゲートウェイモードで注意する必要がある情報は、次のとおりです。

  • 慎重な設計とネットワークアーキテクチャ -ゲートウェイモードでは、ブランチ/エッジネットワーク全体が SD-WAN にあるため、慎重な設計とネットワークに関する考慮事項が必要になる場合があります。ブロックするもの、ルーティングするもの、ネットワークLANの方法、WANの終端方法など。

  • デバイスの障害 -エッジモードでは、Failto Wire 機能を使用できません。デバイスがダウンすると、ブランチ全体がダウンします。

  • セキュリティポスチャー -ルーティングはエッジで管理されるため、ファイアウォール、ブレークアウト/バックホールの考慮事項などのセキュリティ姿勢は極めて重要であり、お客様との認識が必要です。

  • 高可用性 :Fail-to-Wire の高可用性には、ポートアベイラビリティに関する考慮事項がいくつか必要であり、配置によっては設計が難しい場合があります。

    • SD-WAN 110 は、フェイル・トゥ・ワイヤ・ポートを持たないため、オプションではありません。

たとえば、2 つの WAN リンクを動作させる必要がある場合は、LAN インターフェイスを含む高可用性インターフェイス用の専用ポートを含む 5 つのポートが必要です。

インライン・モード:フェイル・トゥ・ワイヤ/フェイル・トゥ・ブロック

推奨事項

インラインモード展開の推奨事項を次に示します

  1. インラインモードは、既存のインフラストラクチャを変更せず、SD-WAN が LAN セグメントに対して透過的にインラインに配置されているブランチに最適です。

  2. また、データセンターのワークロードがデバイスのダウン/クラッシュによってブラックホールにならないようにすることが非常に重要であるため、データセンターでは、インライン・フェイル・トゥ・ワイヤまたはインライン・パラレル高可用性を採用することもできます。

利点とユースケース

インラインモード展開の利点と使用例を次に示します。

  1. したがって、MPLS ルータを維持することは素晴らしい機能です。Fail-to-Wire対応デバイスにより、ボックスがダウンした場合にインフラストラクチャをアンダーレイにシームレスにフェイルオーバーできます。

    • デバイスが Fail-to-WAN(SD-WAN 210 以上)をサポートしている場合、これにより、SD-WAN がクラッシュまたはダウンしたときに、1 つの SD-WAN をハードウェアにインラインで配置して、カスタマーエッジルータへの LAN トラフィックをバイパスできます。

    • お客様の LAN/イントラネットに自然な拡張をもたらす MPLS リンクが存在する場合、Fail-to-Wire ブリッジ-pair ポートが最良の選択肢(Fail-to-Wire 対応ペア)であり、デバイスがクラッシュまたはダウンしたときに LAN トラフィックがカスタマーエッジルータにハードウェアがバイパスされます(次のホップ)。

  2. ネットワークはシンプルです。

  3. SD-WAN は、インラインモードを介してすべてのトラフィックを認識するため、適切な帯域幅/キャパシティアカウンティングの最適なシナリオです。

  4. L2セグメントのIPのみを必要とするため、統合要件はほとんどありません。LAN セグメントは、LAN インターフェイスに腕があるためよく知られています。コアスイッチに接続する場合は、ダイナミックルーティングを実行して、すべての LAN サブネットを可視化することもできます。

  5. お客様の期待は、SD-WANが新しいネットワークノードとして既存のインフラストラクチャに溶け込む必要があることです(他に何も変わりません)。

  6. プロキシ ARP :インラインモードでは、ゲートウェイがダウンした場合、またはネクストホップへの SD-WAN インターフェイスがダウンした場合、SD-WAN が ARP 要求を LAN ネクストホップにプロキシすることが祝福されます。

    • 一般に、複数の WAN 接続(MPLS/インターネット)を持つブリッジペア(Fail-to-Block または Fail-to-Wire)を使用するインラインモードでは、LAN ホストをネクストホップ Gateway に接続するブリッジペアインターフェイスに対してプロキシ ARP を有効にすることを推奨します。

    • 何らかの理由で、ネクストホップがダウンしているか、ネクストホップへの SD-WAN インターフェイスがダウンしてGateway に到達不能になっている場合、SD-WAN は ARP 要求のプロキシとして機能し、LAN ホストはパケットをシームレスに送信し、仮想パスを維持する残りの WAN 接続を使用できます。

  7. 高可用性 :Failto-Wire がオプションでない場合、デバイスを並列高可用性(アクティブ/スタンバイ用の共通の LAN および WAN インターフェイス)デバイスに配置して、冗長性を実現できます。

    • SD-WAN 110 のように、アプライアンスが Fail-to-Wire をサポートしていない場合は、プライマリがダウンした場合に、スタンバイデバイスを起動できるインライン並列高可用性を実現する必要があります。

注意事項

インラインモードで注意する必要がある情報は次のとおりです

  • SD-WAN (LAN と WAN 側) に 2 つのアームを持つ配管ネットワーク, ネットワークは 2 つのアームで配管する必要があるため、いくつかのダウンタイムを必要とします.

  • Failto Wire が使用されている場合、セキュリティが侵害されないように、 信頼ゾーン内のカスタマーエッジルータ/ファイアウォールの背後にあることを確認する必要があります

  • MPLS QoS は、以前の QoS ポリシーが送信元 IP アドレスまたは DSCP ベースに依存していた可能性があるため、この点では少し変化します。これは、オーバーレイのためにマスクされるためです。

  • SD-WAN の QoS がトラフィックの優先順位付けを処理し、優先順位の高いアプリケーションをすぐに他のクラスを送信するように、適切に設計された SD-WAN 固有の予約帯域幅を使用して MPLS ルータを再利用するように注意する必要があります(ただし、MPLS ルータ上の SD-WAN 用に予約された帯域幅)。MPLS キューは、自動パスグループに 1 つの DSCP が設定された代替または MPLS で、これを処理できます。

  • カスタマーエッジルータでリンクが終端しているためにインターネットインターフェイスが信頼されている場合は 、インターネットサービスを使用するには、アプライアンスからのインターネットブレークアウトを有効にする排他的なダイナミック NAT ルールを作成する必要があります。

  • インターネットリンクが WAN 接続だけであり、カスタマーエッジルータで終端している場合でも、カスタマーエッジルータが既存のアンダーレイインフラストラクチャを介してパケットを操縦するための予防措置を講じている場合は、接続をバイパスしても問題ありません。

    • インターネット接続のあるブリッジペア経由で LAN トラフィックをバイパスする流れや、アプライアンスがダウンしているときの流れを考慮する必要があります。これは機密性の高い企業イントラネットトラフィックであるため、障害発生前夜には、その処理方法を知っている必要があります。

仮想インライン/ワンアームモード

推奨事項

仮想インラインモードの展開に関する推奨事項を次に示します

  1. 仮想インラインモードは、SD-WAN ネットワーク配管を並列処理しながら、データセンターが既存のインフラストラクチャを使用して既存のワークロードを処理できるため、データセンターのネットワークに最適です。

  2. SD-WAN はワンアームインターフェイスにあり、VIP の SLA トラッキングで管理されます。トラッキングが停止すると、トラフィックは既存のアンダーレイインフラストラクチャを介してルーティングを再開します。

  3. ブランチは仮想インラインモードでデプロイすることもできますが、インライン/ゲートウェイのデプロイの方が優勢です。

利点とユースケース

仮想インラインモード展開の利点/使用例を次に示します

  1. データセンターで SD-WAN をネットワーク化するための最も簡単で推奨される方法

    • 仮想インラインモードでは、ヘッドエンドコアルータと SD-WAN の並列ネットワークプラミングが可能になります。

    • 仮想インラインモードを使用すると、LAN トラフィックを迂回するために PBR を簡単に定義でき、SD-WAN を通過し、オーバーレイのメリットを得ることができます。

  2. SD-WAN に障害が発生した場合、基盤となるインフラストラクチャへのシームレスなフェイルオーバー、および通常の条件下では SD-WAN へのシームレスな転送により、オーバーレイのメリットが得られます。

  3. **ネットワークと統合のシンプルな要件** 。ヘッドエンドルータから仮想インラインの SD-WAN へのシングルワンアームインターフェイス。

  4. インポート専用モード (何もエクスポートしない)でダイナミックルーティングを簡単に展開でき、LAN サブネットをリモートの SD-WAN ピアアプライアンスに送信できます。

  5. 物理的なを選択する方法を示すために、ルータ上で PBR を簡単に定義できます(WAN VIP ごとに 1 つ)。

注意事項

仮想インラインモードで注意する必要がある情報は次のとおりです

  • 定義された WAN リンクの SD-WAN 論理 VIP を適切な物理インターフェイスに明確にマッピングするには、適切な注意が必要です(そうしないと、WAN メトリック評価および WAN パスの選択で望ましくない問題が発生する可能性があります)。

  • すべてのトラフィックが SD-WAN を介して転送されるか、特定のトラフィックだけ転送されるかを知るために、設計上の適切な考慮事項が必要です。

  • つまり、SD-WAN は、SD-WAN の容量が他の非 SD-WAN トラフィックによって使用されないように、インターフェイス上で設定する必要がある帯域幅の一部分だけ専用にする必要があります。

    • SD-WAN WAN リンク容量が正しく定義されていないと、帯域幅アカウンティングの問題や輻輳の問題が発生することがあります。
  • ダイナミックルーティングは、SD-WAN がデータセンターおよびブランチオフィスの VIP をヘッドエンドにエクスポートし、ルーティングが SD-WAN に対して影響される場合、オーバーレイパケットがループを開始し、望ましくない結果を引き起こすような設計が不適切に行われている場合、いくつかの問題を引き起こす可能性があります。

  • ダイナミックルーティングは、学習対象とアドバタイズ対象のすべての潜在的な要因を考慮して適切に管理する必要があります。

  • ワンアームの物理インターフェイスがボトルネックになることがあります。これらの回線では、アップロード/ダウンロードの両方に対応し、SD-WAN からの LAN と LAN から WAN/WAN から LAN へのトラフィックとしても機能するため、設計上の考慮事項が必要です。

  • 過剰なLANからLANへのトラフィックは、設計時に注意すべき点である可能性があります。

  • ダイナミックルーティングを使用しない場合、すべての LAN サブネットを管理する場合は、適切な注意が必要です。そうしないと、望ましくないルーティングの問題が発生する可能性があります。

  • 仮想インラインの SD-WAN にデフォルトルート(0.0.0.0/0)を定義して、ヘッドエンドルータを指すようにすると、ルーティングループの問題が発生する可能性があります。このような状況では、仮想パスがダウンした場合、データセンター LAN からのトラフィック(トラフィックのモニタリングなど)がヘッドエンドにループバックされ、SD-WAN に戻され、望ましくないルーティングの問題が発生します(仮想パスがダウンしている場合、 リモートブランチサブネットは到達可能になりません 。デフォルトルートはHITになり、ループの問題が発生します)。

ベストプラクティス