Citrix SD-WAN

ゲートウェイモード

Gateway モードでは、SD-WAN アプライアンスが物理的にパスに配置されます(ツーアーム配置)。SD-WAN アプライアンスをそのサイトの LAN ネットワーク全体のデフォルトゲートウェイにするには、既存のネットワークインフラストラクチャを変更する必要があります。新しいネットワークとルータの交換に使用されるゲートウェイモード。ゲートウェイモードでは、SD-WAN アプライアンスが次のようになります。

  • WAN との間で送受信されるすべてのトラフィックを表示するには
  • ローカルルーティングを実行するには

ゲートウェイモード

ゲートウェイモードで展開された SD-WAN は、レイヤ 3 デバイスとして機能し、フェールツーワイヤを実行できません。関連するすべてのインターフェイスが Fail-to-Block用に設定されます。アプライアンスに障害が発生すると、サイトのデフォルト Gateway も失敗し、アプライアンスとデフォルト Gateway が復元されるまで停止します。  

インラインモードでは 、SD-WAN アプライアンスはイーサネットブリッジのように見えます。SD-WAN アプライアンスモデルのほとんどは、インラインモード用の フェールツーワイヤ (イーサネットバイパス)機能を備えています。電源が故障すると、リレーが閉じ、入力ポートと出力ポートが電気的に接続され、イーサネット信号がポート間で通過できるようになります。Fail-to-Wire モードでは、SD-WAN アプライアンスは 2 つのポートを接続するクロスオーバーケーブルのように見えます。すでに定義されたネットワークに統合するために使用されるインラインモード。

インラインモードワークフロー

この記事では、ネットワーク設定のサンプルで SD-WAN アプライアンスをゲートウェイモードで構成する手順を順を追って説明します。インライン展開は、ブランチ側で設定を完了するためにも説明されています。Inline デバイスが削除されても、ネットワークは引き続き機能しますが、Gateway デバイスが削除されるとすべてのアクセスが失われます。

トポロジ

次の図は、SD-WAN ネットワークでサポートされるトポロジを示しています。

Gateway 導入におけるデータセンター

データセンター Gateway モード

インライン展開でのブランチ

ブランチインライン展開

導入の要件

構成を構築する際に役立つように、展開の要件と関連情報を以下に説明します。

| サイト名 | データ・センター・サイト | ブランチサイト | | ——— | ———— | ———- | | アプライアンス名 | A_DC1 | A_BR1 | | 管理IP | 172.30.2.10/24 | 172.30.2.20/24 | | セキュリティキー | もしあれば | もしあれば | | モデル/エディション | 4000 | 2000 | | モード | Gateway | インライン | | トポロジ | 2 x WAN パス | 2 x WAN パス | | VIP アドレス | 192.168.10.9/24 — MPLS, 10.0.10.9/24 — インターネット (Public IP — A.B.C.D), 192.168.30.1/24-LAN | 192.168.20.9/24-MPLS, 10.0.20.9/24 — インターネット (パブリック IP — W.X.Y.Z) | | Gateway MPLS | 192.168.10.1 | 192.168.20.1 | | ゲートウェイ・インターネット | 10.0.10.1 | 10.0.20.1 | | リンク速度 | MPLS — 100 Mbps、|インターネット — 20 Mbps | MPLS — 10 Mbps、インターネット — 2 Mbps | | ルート | ネットワーク IP アドレス-192.168.31.0/24、サービスタイプ-ローカル、ゲートウェイ IP アドレス-192.168.30.2 | もしあれば | VLAN | 存在する場合 | | 存在する場合 | |

構成の前提条件

  • SD-WAN アプライアンスをマスターコントロールノードとして有効にします。

  • 構成は SD-WAN アプライアンスのマスターコントロールノード (MCN) でのみ行われます。

アプライアンスをマスター・コントロール・ノードとして有効にするには:

  1. SD-WAN Web管理インターフェイスで、[ 構成 ]>[ アプライアンスの設定 ]>[ 管理者インターフェイス ]> [その他]タブ >[スイッチコンソール]に移動します。

    「クライアントコンソールに切り替える」と表示されている場合、アプライアンスはすでに MCN モードになっています。SD-WAN ネットワークには、アクティブな MCN が 1 つだけ存在する必要があります。

  2. [構成] > [ 仮想 WAN ] > [ 構成エディター] の順に選択して、構成を開始します。[ 新規] をクリックして、設定を開始します。

データセンターサイト Gateway モードの設定

データセンターサイトゲートウェイの展開を構成するための高レベルの構成手順を次に示します。

  1. DC サイトを作成します。

  2. 接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。

  3. 各仮想インターフェイスの仮想 IP アドレスを作成します。

  4. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。  

  5. LAN インフラストラクチャにさらにサブネットがある場合は、Routes を設定します。

DC サイトを作成するには

  1. [ 構成エディタ ]-[ サイト] に移動し、[ +] [追加] ボタンをクリックします。

  2. 以下に示すようにフィールドに入力します。

  3. 変更するように指示されない限り、デフォルト設定を保持します。

    MCN サイト展開の追加

    MCN 基本設定ビュー

接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定するには

  1. 構成エディタで、[ サイト] > [ サイトの表示] >[サイト名** ]> [ **インターフェイスグループ] に移動します。「+」 をクリックして、使用するインターフェイスを追加します。ゲートウェイモードでは、各インターフェイスグループに 1 つのイーサネットインターフェイスが割り当てられます。

  2. 仮想インターフェイスごとに 1 つのイーサネット/物理インターフェイスだけが使用されるため、バイパスモードは Failto Block に設定されます。ブリッジペアもありません。

  3. この例では、3 つのインターフェイスグループが作成されます。1 つが LAN に面し、もう 2 つは各 WAN リンクに面しています。上記の「DC ゲートウェイモード」トポロジのサンプルを参照し、次に示すように [Interface Groups] フィールドに入力します。

    インターフェイスグループ SD-WAN Gateway モード

仮想インターフェイスごとに仮想 IP(VIP)アドレスを作成するには

  1. WAN リンクごとに適切なサブネットに VIP を作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。

  2. LAN ネットワークのゲートウェイアドレスとして使用する仮想 IP アドレスを作成します。

    VIP Gateway モード

インターネットリンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定するには、次の手順を実行します。

  1. [ WAN リンク] に移動し、 [+ リンクの追加] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。

  2. 以下に示すように、提供されたパブリック IP アドレスなど、インターネットリンクの詳細を入力します。自動検出 パブリック IP は、MCN として設定された SD-WAN アプライアンスでは選択できません。

  3. セクションのドロップダウンメニューから [ Access Interfaces] に移動し、 [+ 追加] ボタンをクリックして、インターネットリンクに固有のインターフェイスの詳細を追加します。

  4. 以下に示すように、IP アドレスとGateway アドレスのアクセスインターフェイスを設定します。

    WAN リンク Gateway モード

    アクセスインターフェイス Gateway モード

MPLS リンクを作成するには

  1. [ WAN リンク] に移動し、[+] ボタンをクリックして、MPLS リンクの WAN リンクを追加します。

  2. 次に示すように、MPLS リンクの詳細を入力します。

  3. [ アクセスインターフェイス] に移動し、 [+] ボタンをクリックして、MPLS リンクに固有のインターフェイスの詳細を追加します。

  4. 以下に示すように、IP アドレスとGateway アドレスのアクセスインターフェイスを設定します。

    MPLS Gateway モード WAN リンク

    MPLS アクセスインターフェイス Gateway モード

ルートを設定するには

ルートは、上記の設定に基づいて自動作成されます。上記の DC LAN サンプルトポロジには、 192.168.31.0/24という追加の LAN サブネットがあります。このサブネットのルートを作成する必要があります。ゲートウェイ IP アドレスは、次に示すように DC LAN VIP と同じサブネット内に存在する必要があります。

MPLS ルート Gateway モード

ブランチサイトのインライン展開設定

次に、インライン展開用にブランチサイトを構成するための高レベルの構成手順を示します。

  1. ブランチサイトを作成します。

  2. 接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。

  3. 各仮想インターフェイスの仮想 IP アドレスを作成します。

  4. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。  

  5. LAN インフラストラクチャにさらにサブネットがある場合は、Routes を設定します。

ブランチサイトを作成するには

  1. [ 構成エディタ ]-[ サイト] に移動し、[+] [追加] ボタンをクリックします。

  2. 以下に示すようにフィールドに入力します。

  3. 変更するように指示されない限り、デフォルト設定を保持します。

    ブランチサイト Gateway モードの追加

    ブランチサイト設定Gateway モード

接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定するには

  1. 構成エディタで、[ サイト] > [サイトの表示]**[クライアントサイト名]**> [ インタフェースグループ] に移動します。[ + ] をクリックして、使用するインターフェイスを追加します。インラインモードの場合、各インターフェイスグループには 2 つのイーサネットインターフェイスが割り当てられます。

  2. バイパスモードが Failto Wireに設定され、2 つのイーサネットインターフェイスを使用してブリッジペアが作成されます。

  3. 上記の「リモートサイトインラインモード」トポロジのサンプルを参照し、次に示すように [Interface Groups] フィールドに入力します。

    ブランチサイトインターフェイスグループ Gateway モード

仮想インターフェイスごとに仮想 IP(VIP)アドレスを作成するには

  1. 各 WAN リンクの適切なサブネット上に仮想 IP アドレスを作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。

    仮想 IP アドレス Gateway モード

インターネットリンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定するには、次の手順を実行します。

  1. [ WAN リンク] に移動し、 [+] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。

  2. 以下に示すように、自動検出パブリック IP アドレスなど、インターネットリンクの詳細を入力します。

  3. [ Access Interfaces] に移動し、[ +] ボタンをクリックして、インターネットリンクに固有のインターフェイスの詳細を追加します。

  4. 以下に示すように、IPアドレスとGateway のアクセスインタフェースを設定します。

    WAN リンク Gateway モード

    アクセスインターフェイス Gateway モードブランチ

MPLS リンクを作成するには

  1. [WAN リンク] に移動し、 [+] ボタンをクリックして、MPLS リンクの WAN リンクを追加します。

  2. 次に示すように、MPLS リンクの詳細を入力します。

  3. [Access Interfaces] に移動し、[ +] ボタンをクリックして、MPLS リンクに固有のインターフェイスの詳細を追加します。

  4. 以下に示すように、IPアドレスとGateway のアクセスインタフェースを設定します。

    MPLS Gateway モード WAN リンクブランチ

    MPLS アクセスインターフェイスブランチ

ルートを設定するには

ルートは、上記の設定に基づいて自動作成されます。このリモートブランチオフィスに固有のサブネットが増える場合は、それらのバックエンドサブネットに到達するためにトラフィックを誘導するGateway を特定する特定のルートを追加する必要があります。  

MPLS ルート Gateway モードブランチ

監査エラーを解決する

DC サイトとブランチサイトの構成が完了すると、DC サイトと BR サイトの両方で監査エラーを解決するように警告が表示されます。  

デフォルトでは、アクセスタイプ [パブリックインターネット] として定義された WAN リンクのパスが生成されます。アクセスタイプが [プライベートインターネット] の WAN リンクでは、自動パスグループ機能を使用するか、手動でパスを有効にする必要があります。MPLS リンクのパスは、緑の四角形にある [Add operator] をクリックして有効にすることができます。  

デフォルトの WAN リンク

上記の手順をすべて完了したら、SD-WAN アプライアンスパッケージの準備に進みます。