Citrix SD-WAN

Citrix SD-WAN アプライアンスのオンプレミス構成用の Citrix SD-WAN オーケストレータ

オンプレミス向け Citrix SD-WAN Orchestrator は、Citrix SD-WAN Orchestrator サービスのオンプレミスソフトウェアバージョンです。オンプレミス向けCitrix SD-WAN Orchestrator は、Citrix パートナーが適切な役割ベースのアクセス制御を使用して、複数の顧客を一元管理するための単一ペイン管理プラットフォームを提供します。

Citrix SD-WAN アプライアンスとオンプレミス向けの Citrix SD-WAN Orchestrator 間の接続を確立するには、オーケストレータの接続を有効にし、オンプレミスアイデンティティ用にCitrix SD-WAN Orchestrator を指定します。

  • SD-WAN アプライアンスでのオンプレミス SD-WAN オーケストレータ構成機能が SD-WAN アプライアンスで構成されている場合、Cloud Orchestrator ゼロタッチ展開は機能しません。
  • Citrix SD-WAN Orchestrator リリース11.3.0で構成されたSD-WANアプライアンス上のオンプレミス構成用Citrix SD-WAN Orchestrator がリリース10.2.7にダウングレードされた場合、SD-WANアプライアンスのオンプレミス向けCitrix SD-WAN オーケストレータは失われます。リリース 11.3.0 からリリース 10.2.7 へのダウングレードはサポートされていません。回避策は、ダウングレード後にオンプレミスアイデンティティ用にCitrix SD-WAN Orchestratorを再構成することです。
  • SD-WANアプライアンスを11.3.0から11.1.1/11.2.0/10.2.7ソフトウェアバージョンにダウングレードした後、Citrix SD-WAN アプライアンスのUIでアイデンティティ設定を再度適用する必要があります。オンプレミス構成またはSD-WANアプライアンス接続用のCitrix SD-WAN Orchestratorに関連する問題がある場合は、オンプレミス接続用のCitrix SD-WAN Orchestrator を無効にしてから、Citrix SD-WAN Orchestrator をオンプレミス接続用に再度有効にします。

Citrix SD-WAN 11.2.1リリース以降のオンプレミス接続でCitrix SD-WAN オーケストレータを有効にするには:

  1. アプライアンス UI で、[ 構成 ] > [ 仮想 WAN ] > [ オンプレミス SD-WAN Orchestrator] に移動します。

  2. [ オンプレミSD-WAN Orchestrator 接続を有効にする ] チェックボックスをオンにします。

    注:

    Citrix SD-WAN 11.2.1 リリース以降、 SD-WAN アプライアンスおよびオンプレミSD-WAN Orchestrator 証明書、オンプレミSD-WAN Orchestrator ドメイン、認証タイプ、および詳細構成の各オプションが導入されました

    オンプレミス向けの Citrix SD-WAN Orchestrator の詳細設定

  3. オンプレミスIPアドレスまたはドメイン用のCitrix SD-WAN Orchestrator、または両方(IPアドレスとドメイン)を構成用に入力します。

    ドメインのみを構成する場合は、ローカル DNS サーバーに DNS レコードを追加し、SD-WAN アプライアンスに DNS サーバーの IP アドレスを構成する必要があります。構成するには、[ 構成] > [ネットワークアダプタ] > [IP アドレス] に移動します。

    たとえば、オンプレミスドメイン用のCitrix SD-WAN Orchestrator がcitrix.comとして構成されている場合は、次のFQDNのDNSサーバーとオンプレミスIPアドレス用のCitrix SD-WAN オーケストレータのDNSレコードを作成する必要があります。

    • download.citrix.com
    • sdwanzt.citrix.com
    • sdwan-home.citrix.com

    高度な構成では、次のようになります。

    例:オンプレミス用Citrix SD-WAN Orchestrator ドメインがcitrix.comとして構成されダウンロード管理サービスドメインがdownload.citrix.comとして構成され、統計管理サービスドメインがstatistics.citrix.comとして構成されている場合は、以下の FQDN と対応する IP アドレスの DNS サーバーの DNS レコード。

    • download.citrix.com
    • sdwanzt.citrix.com
    • statistics.citrix.com

    オンプレミス向けCitrix SD-WAN Orchestrator の高度な構成の詳細

    オンプレミス向けCitrix SD-WAN Orchestrator は、大規模なネットワークのスケーラビリティを向上させるために、独立したサーバーインスタンスでのダウンロード、統計などのサービスの実行をサポートすることがあります。詳細構成を選択しダウンロード管理サービスと統計管理サービスを構成できます

    [ 詳細設定 ] チェックボックスをオンにして、次の詳細を入力します。

    • ダウンロード管理サービス IP/ドメイン: SD-WANソフトウェアおよび構成のダウンロードの側面を独立したサーバーインスタンスにオフロードするのに役立つ IP アドレス/ドメインを提供し、大規模ネットワークのスケーラビリティを向上させます。

    • 統計管理サービス IP/ドメイン: SD-WAN統計情報の収集と管理をデバイスから独立したサーバーインスタンスへオフロードできる IP アドレス/ドメインを提供し、大規模ネットワークのスケーラビリティを向上させます。

  4. [ 認証タイプ] を選択します。SD-WAN アプライアンスと Citrix SD-WAN Orchestrator 間でオンプレミス接続用にサポートされている認証の種類は次のとおりです。

    • 認証なし -オンプレミス用Citrix SD-WAN Orchestrator とSD-WANアプライアンス間の認証はなく、 **SD-WANアプライアンスまたはオンプレミスSD-WANオーケストレータ証明書を使用する必要はありません**。ただし、MPLS などのセキュアなネットワークがある場合は、このオプションを使用できます。

    • 一方向認証 - 一方向認証の種類を選択する際には 、オンプレミス証明書用のCitrix SD-WAN Orchestratorをアップロードする必要があります。オンプレミス向けCitrix SD-WAN Orchestrator から証明書をダウンロードし、[ アップロード]をクリックします。SD-WAN アプライアンスは、アップロードされた証明書を使用して、オンプレミス向け Citrix SD-WAN Orchestrator を信頼します。

    • 双方向認証 -オンプレミス証明書とアプライアンス証明書用のCitrix SD-WAN Orchestrator は相互に交換する必要があります。 双方向認証の場合、オンプレミス向け Citrix SD-WAN Orchestrator で SD-WAN アプライアンス証明書を再生成、ダウンロード、およびアップロードする必要があります。SD-WAN アプライアンスとオンプレミス向け Citrix SD-WAN Orchestrator は、交換された証明書を使用して相互に信頼します。

    注:

    一方向認証または双方向認証のみを使用することをお勧めします。[認証なし] の場合は、DNS が DNS 攻撃から保護されていることを確認します。

    オンプレミス認証タイプのCitrix SD-WAN Orchestrator が無効になっている場合、アプライアンスは、認証なし、 **一方向認証または双方向認証のいずれかのモードでオンプレミス向けCitrix** SD-WAN Orchestratorに接続できます。

    オンプレミス認証タイプのCitrix SD-WAN Orchestrator が有効になっている場合、アプライアンスは双方向認証を介してオンプレミス向けCitrix**SD-WAN Orchestrator にのみ接続できます。

    オンプレミス用 Citrix SD-WAN Orchestrator の認証タイプを有効状態から無効にすると 、一方向認証モードの既存のアプライアンスは切断状態になります。アプライアンスの認証タイプを双方向認証に変更し、SD-WANアプライアンス証明書をオンプレミス用Citrix SD-WAN Orchestratorにアップロードして接続する必要があります。

    • 生成される証明書は X509 自己署名証明書です。
    • 証明書の有効期限が切れたり、侵害されたりした場合は、証明書を再生成する必要があります。
    • 証明書の有効期間は10年です。
    • フィンガープリント、開始日、終了日などの証明書の詳細を表示できます。
    • お客様は、オンプレミス向け Citrix SD-WAN Orchestrator とオンプレミス向け Citrix SD-WAN Orchestrator とのアプライアンス接続が失われないように、オンプレミス向け Citrix SD-WAN Orchestrator との間で証明書が再生成および交換されていることを確認する必要があります。

    オンプレミス認証タイプの Citrix SD-WAN Orchestrator

  5. [ 設定の適用] をクリックします。

Citrix SD-WAN Orchestrator のオンプレミス接続を無効にするには、[ オンプレミスSD-WAN Orchestrator 接続を有効にする]オプションをオフにして 、[ 設定の適用]をクリックします。オンプレミスの管理対象ネットワーク用のCitrix SD-WAN OrchestratorをクラウドオーケストレータまたはMCN管理対象ネットワークに変換するには、オンプレミス接続用のCitrix SD-WAN Orchestratorを無効にし、構成のリセットを実行する必要があります。設定をリセットするには、[ 構成] > [システムメンテナンス] > [構成のリセット] に移動します。

オンプレミス向けCitrix SD-WAN オーケストレータを使用して、ソフトウェアバージョン10.2.7、11.1.1、または11.2.0で実行されているCitrix SD-WANアプライアンスを展開する

注:

ソフトウェアバージョン10.2.7、11.1.1、または11.2.0でCitrix SD-WANアプライアンスを展開するには、オンプレミスバージョン11.1以降用のCitrix SD-WAN Orchestratorが必要です。

  1. ソフトウェアバージョン10.2.7、11.1.1、または11.2.0のCitrix SD-WAN アプライアンスごとに、アプライアンスのWebインターフェイスにログインし、次の手順を実行します。
    1. [ 構成] > [仮想 WAN] > [オンプレミス SD-WAN Orchestrator ] に移動し、[ オンプレミス SD-WAN Orchestrator 接続を有効にする ] チェックボックスを選択します。
    2. オンプレミス用の Citrix SD-WAN Orchestrator の IP アドレスを入力します。
    3. [ 設定の適用] をクリックします。

    アプライアンスのオンプレミス接続

  2. オンプレミスの UI 用の Citrix SD-WAN Orchestrator にログインします。サイトを作成し、構成を構築します。それぞれのサイト構成内の各Citrix SD-WAN アプライアンスのシリアル番号を入力します。構成を保存します。

    アプライアンスは設定を作成する

  3. [ 管理] > [証明書認証 ] に移動し、[ 認証タイプ ] トグルを [ オフ] にします。[ はい、無効にする ] をクリックして、[ 無効な認証の種類 ] ポップアップを承認します。

    認証を無効にする

    証明書認証

  4. [ 構成] > [ネットワーク構成のホームページ ] ページで、SD-WAN アプライアンスは [ クラウド接続 ] 列に [ オンライン ] と表示されます。これは、オンプレミス用のCitrix SD-WAN Orchestrator および適切なIPアドレスを使用したオンプレミス接続用のCitrix SD-WAN Orchestrator orに対して有効になっているSD-WANアプライアンスで証明書認証が無効になっているためです。デバイスがオンラインとして報告されるまで、数分かかります。

    オンライン状態のアプライアンス

  5. 公開されているソフトウェアのバージョン (11.3.0 以上) を選択し、[ 構成/ソフトウェアの展開] をクリックします。公開されているソフトウェアバージョンの選択の詳細については、「 ソフトウェア」を参照してください。**サイトをステージングしてアクティブ化します** 。アクティベーション後、アプライアンスの[ オンライン ]列に[ いいえ ]と表示されます。

    オフライン状態のアプライアンス

  6. [ 管理] > [ZTD 設定] > [非クラウド ZTD] に移動します。[ + サイト ] をクリックし、サイトを追加します。各アプライアンスの管理 IP およびログインクレデンシャルを入力します。[ + ] をクリックして、サイトをさらに追加します。[追加] をクリックします。

    ゼロタッチ展開設定ページ

  7. [ Refresh ] をクリックして、構成のステータスを監視します。サイトが正常に構成されると、 [構成ステータス] 列に[ サイトは正常に構成されました]と表示されます。

    サイトは正常に構成されました

  8. 設定 > ネットワーク設定のホームページに移動します 。正常に構成されたサイトは、[ オーケストレータの接続 ] 列に [ オンライン ] と表示されます。

    ゼロタッチ導入後にアプライアンスをオンラインにする

  9. 同じプロセスに従って、サイトを追加します。上記の手順を実行しても、既存のサイト展開には影響しません。
Citrix SD-WAN アプライアンスのオンプレミス構成用の Citrix SD-WAN オーケストレータ