ブランチノードの構成
新しいブランチサイトを「 サイト 」テーブルに追加してサイトの構成を開始するには、以下の手順を実行します。
注
新しい構成パッケージを作成して保存した後で MCN からログアウトした場合、続行する前に、再度ログインして設定を再度開く必要があります。これを行うには、 構成エディターのメニューバー (ページ領域の上部) の [ 開く ] をクリックします。これにより、変更する構成を選択するためのダイアログボックスが表示されます。
-
構成エディタで続行し、 サイトバーの [ 追加 ] をクリックして、新しいブランチサイトの追加と構成を開始します。[ サイトの追加 ] ダイアログボックスが表示されます。
-
次のサイト情報を入力します。
注
エントリにはスペースを含めることはできません。また、Linux 形式である必要があります。
- [サイト名 ] — サイトの名前を入力します。
- アプライアンス名 — アプライアンスに割り当てる名前を入力します。
- セキュアキー :これは、SD-WAN アプライアンスで暗号化およびメンバーシップの検証に使用される 8 ~ 32 桁の 16 進数キーです。デフォルトでは、このフィールドには自動的に生成されたセキュリティキーがあらかじめ入力されています。デフォルトをそのまま使用するか、カスタムキーイン16進形式を入力します。
- Model — ドロップダウンメニューからアプライアンスモデルを選択します。
- Mode :クライアントをモードとして選択します。
-
[ 追加 ] をクリックして、サイトを追加します。新しいサイトが [サイト] ツリーに追加され、 サイト の [ 基本設定] 構成フォームが開きます。
-
サイトの基本設定を入力し、[ 適用] をクリックします。
次のステップでは、新しいブランチサイトのインターフェイスグループを追加および設定します。
ブランチのインターフェイスグループの設定方法
インターフェイスグループを新しいブランチサイトに追加するには、次の手順を実行します。
-
構成エディタの [ サイト]ビューで、[サイト] ドロップダウンメニューからブランチサイトを選択します 。これにより、選択したサイトの構成ビューが開きます。
-
[ + ] をクリックして、 仮想インターフェイスグループを追加します。新しい空白の仮想インターフェイスグループエントリがテーブルに追加され、編集用に開きます。
-
[ 仮想インターフェイス ] の右側にある [ +] をクリックします。新しい空のグループエントリがテーブルに追加され、編集のために開きます。
-
グループに含める イーサネットインターフェイスを 選択します。
[ イーサネットインターフェイス(Ethernet Interfaces)] で、そのインターフェイスを含める/除外するインターフェイスをクリックします。グループに含めるインターフェイスはいくつでも選択できます。
-
ドロップダウンメニューから [ バイパスモード ] を選択します(デフォルトなし)。
バイパスモードは 、アプライアンスまたはサービスの障害または再起動が発生した場合に、仮想インターフェイスグループ内のブリッジペアインターフェイスの動作を指定します。オプションには、 **フェールツーワイヤまたはフェイルトゥブロックがあります**。
-
ドロップダウンメニューから [ セキュリティレベル ] を選択します。
仮想インターフェイスグループのネットワークセグメントのセキュリティレベルを指定します。オプションは、[信頼済み] または [ **信頼できない**] です。信頼できるセグメントはファイアウォールで保護されます(デフォルトは Trusted です)。
-
追加した仮想インターフェイスの左端にある [ + ] をクリックします。[ 仮想インターフェイス ] テーブルが表示されます。
-
[ 仮想インターフェイス ] の右側にある [ +] をクリックします。 名前、ファイアウォールゾーン、 および VLAN ID が表示されます。
-
この仮想インターフェイスグループの名前とVLAN ID を入力します。
-
[ Name ]:この仮想インターフェイスが参照される名前。
-
[Enable ]:デフォルトでは、すべての仮想インターフェイスに対して [ Enable ] チェックボックスがオンになっています。仮想インターフェイスを無効にする場合は、[ Enable ] チェックボックスをオフにします。
注
- 仮想インターフェイスを無効にするオプションは、WAN リンクアクセスインターフェイスで使用されていない場合にのみ使用できます。仮想インターフェイスが WAN リンクアクセスインターフェイスで使用されている場合、チェックボックスは読み取り専用で、デフォルトでオンになっています。
- 有効になっている仮想インターフェイスとともに、他の機能を設定する際に、[ WAN リンクのアクセスインターフェイス] の下を除き、無効化された仮想インターフェイスも表示されます。無効にした仮想インターフェイスを選択した場合でも、仮想インターフェイスは考慮されず、ネットワーク設定には影響しません。
-
ファイアウォールゾーン -ドロップダウンメニューからファイアウォールゾーンを選択します。
-
VLAN ID :仮想インターフェイスとの間で送受信されるトラフィックを識別およびマーキングするための ID。ネイティブ/タグなしトラフィックには、0(ゼロ)の ID を使用します。
-
-
[ ブリッジペア ] の右側にある [ +] をクリックします。新しい Bridge Pairs エントリが追加され、編集用に開きます。
-
ペアリングするイーサネットインターフェイスをドロップダウンメニューから選択します。さらにペアを追加するには、[ ブリッジペア ] の横にある [ + ] をもう一度クリックします。
-
[Apply] をクリックします。設定が適用され、テーブルの新しい仮想インターフェイスグループに追加されます。
注
この段階では、新しい仮想インターフェイスグループエントリの右側に、黄色の Delta Audit Alert アイコンが表示されます。これは、サイトの仮想 IP アドレス (VIP) をまだ構成していないためです。現時点では、このアラートは、サイトの仮想 IP を正しく構成すると自動的に解決されるため、無視できます。
-
仮想インターフェイスグループをさらに追加するには、[Interface Groups ] ブランチの右側にある [ + ] をクリックし、上記の手順を実行します。
ブランチサイトの仮想 IP アドレスを構成する方法
次の手順では、サイトの仮想 IP アドレスを構成し、適切なグループに割り当てます。
-
新しいブランチサイトの [サイト ] ビューで続行し、仮想 IP アドレスの左側にある[ +] をクリックします。これにより、新しいサイトの仮想 IP アドリステーブルが表示されます 。
-
[ 仮想 IP アドレス ] の右側にある [ + ] をクリックして、アドレスを追加します。新しい仮想 IP アドレスを追加および設定するためのフォームが表示されます。
-
IP アドレス / プレフィックス 情報を入力し、アドレスが関連付けられている 仮想インターフェイスを 選択します。仮想IPアドレスには、完全なホストアドレスとネットマスクを含める必要があります。
-
[ファイアウォールゾーン]、[ID]、[プライベート]、[セキュリティ] など、仮想 IP アドレスの設定を選択します。
-
仮想 IP アドレスが Web UI や SSH などの管理サービスに接続できるようにするには、[ インバンド管理(Inband Mgmt )] を選択します。
注:
インターフェイスは、セキュリティタイプが Trusted で Identity を有効にする必要があります。
-
バックアップ管理ネットワークとして仮想IPを選択します。これにより、管理ポートにデフォルト Gateway が設定されていない場合に、管理に仮想 IP アドレスを使用できます。
-
[Apply] をクリックします。サイトへのアドレス情報が追加され、 サイトの仮想 IP アドレステーブルに追加されます。
-
さらに仮想 IP アドレスを追加するには、[ 仮想 IP アドレス ] の右側にある [ +] をクリックし、上記の手順を実行します。
ブランチの WAN リンクを構成する方法
次のステップでは、サイトの WAN リンクを構成します。
-
新しいブランチサイトの [サイト ] ビューで続行し、[ WAN リンク ] ラベルをクリックします。
-
[ W AN リンク ] の右側にある [Add Link] をクリックして、新しい WAN リンクを追加します。[ Add ] ダイアログボックスが表示されます。
-
(オプション)デフォルトを使用しない場合は、WAN リンクの名前を入力します。
デフォルトはサイト名で、次のサフィックスを付加します。
-WL-<number>
<number>このサイトの WAN リンクの数は 1 増分したものはどこです。
-
ドロップダウンメニューから [ アクセスタイプ ] を選択します。
オプションは、[ パブリックインターネット]、[プライベートイントラネット]、または [ プライベートマルチプロトコルラベルスイッチング] です。
-
[追加] をクリックします。[ WAN リンク基本設定 ] 設定ページが表示され、新しい未設定の WAN リンクがページに追加されます。
-
新しい WAN リンクのリンクの詳細を入力します。LAN から WAN、WAN から LAN への設定を構成します。
いくつかのガイドラインは次のとおりです。
-
一部のインターネットリンクは非対称である場合があります。許可された速度を誤って設定すると、そのリンクのパフォーマンスに悪影響を及ぼす可能性があります。
-
認定レートを超えるバースト速度は使用しないでください。
-
インターネット WAN リンクの場合は、必ずパブリック IP アドレスを追加してください。
-
-
グレーの [ 詳細設定]セクションバーをクリックします。リンクの [ 詳細設定] フォームが開きます。
-
リンクの [詳細設定] を入力します。
-
Provider ID:(オプション)同じサービスプロバイダーに接続されている WAN リンクを指定する一意の ID 番号 1 ~ 100 を入力します。仮想 WAN は、重複パケットを送信するときにプロバイダー ID を使用してパスを区別します。
-
Frame Cost (bytes) — 各パケットに追加されるヘッダー/トレーラーのサイズ (バイト単位) を入力します。たとえば、追加されたイーサネット IPG または AAL5 トレーラーのバイト単位のサイズ。
-
[輻輳しきい値(Congestion Threshold)]:輻輳しきい値(マイクロ秒単位)を入力します。このしきい値を超えると、WAN リンクはパケット送信を抑制して、それ以上の輻輳を回避します。
-
[MTU Size (bytes) ]:フレームコストを含まない、最大の raw パケットサイズ(バイト単位)を入力します。
-
-
灰色の [ 適格性 ] セクションバーをクリックします。リンクの [ 適格性設定 ] フォームが開きます。
-
リンクの「 適格 」設定を選択します。
-
グレーの [ 従量制課金リンク ] セクションバーをクリックします。これにより、リンクの [ 従量制課金リンク設定 ] フォームが開きます。
-
(オプション) このリンクのメータリングを有効にするには 、[メータリングを有効にする] を選択します。これにより、[ メータリング設定を有効にする ] フィールドが表示されます。
-
リンクのメータリング設定を構成します。次のように入力します:
- [Data Cap (MB) ]:リンクのデータキャップ割り当てを MB 単位で入力します。
- [請求サイクル ] — ドロップダウンメニューから [ 毎月] または [毎週 ] を選択します。
- [ 開始日] — 請求サイクルの開始日を入力します。
- [最後のリゾートを設定 ]:他のすべての利用可能なリンクに障害が発生した場合に、このリンクをラストリゾートリンクとして有効にするには、このオプションを選択します。通常の WAN 条件下では、仮想 WAN は、リンクステータスを確認するために、従量制課金リンクを介して最小限のトラフィックだけを送信します。ただし、障害が発生した場合、SD-WAN は本番トラフィックを転送するための最後の手段として、アクティブな従量制課金リンクを使用できます。
-
[Apply] をクリックします。これにより、指定した設定が新しい WAN リンクに適用されます。
次のステップでは、新しい WAN リンクのアクセスインターフェイスを設定します。アクセスインターフェイスは、特定の WAN リンクのインターフェイスとしてまとめて定義された、仮想インターフェイス、WAN エンドポイント IP アドレス、Gateway IP アドレス、および仮想パスモードで構成されます。各 WAN リンクには、少なくとも 1 つのアクセスインターフェイスが必要です。
注
リモート帯域幅を考慮して共有を自動プロビジョニングするオプションが追加され、WAN リンクが設定されます。[リモート帯域幅を使用してProvisioning を設定] オプションを使用すると、大規模なネットワークと多様な帯域幅構成を持つユーザーは、データセンターサイトの帯域幅プロビジョニングを動的に管理できます。
-
リンクの [WAN リンク] 設定ページで [ アクセスインターフェイス ] を選択します。これにより、サイトの [ アクセスインターフェイス ] ビューが開きます。
-
[ + ] をクリックして、インターフェイスを追加します。テーブルに空白のエントリが追加され、編集のために開きます。リンクの [ アクセスインターフェイス ] 設定を入力します。
注
各 WAN リンクには、少なくとも 1 つのアクセスインターフェイスが必要です。
-
次のように入力します:
-
名前:これは、このアクセスインタフェースが参照される名前です。新しいアクセスインターフェイスの名前を入力するか、デフォルトをそのまま使用します。デフォルトでは、次の命名規則が使用されます。
WAN_link_name-AI-number
WAN_LINK_name は、このインターフェイスに関連付ける WAN リンクの名前です。数字は、このリンクに現在設定されているアクセスインターフェイスの数で、1 ずつ増加します。
注
名前が切り捨てられた場合は、フィールドにカーソルを置き、クリックしたままマウスを右または左に回転すると、切り捨てられた部分が表示されます。
- 仮想インターフェイス :このアクセスインターフェイスが使用する仮想インターフェイス。このブランチサイト用に構成された Virtual Interfaces のドロップダウンメニューからエントリを選択します。
- [IP Address ]:アプライアンスから WAN へのアクセスインターフェイスエンドポイントの IP アドレス。
- Gateway IP アドレス -これはGatewayルータの IP アドレスです。
- 仮想パスモード :この WAN リンク上の仮想パストラフィックのプライオリティ。オプションは、[ プライマリ]、[ セカンダリ]、または [除外] [ 除外] に設定すると、このアクセスインターフェイスはインターネットおよびイントラネットトラフィックにのみ使用されます。
- プロキシ ARP — 有効にするには、このチェックボックスをオンにします。有効にすると、Gateway に到達できない場合に、仮想 WAN アプライアンスはGateway IP アドレスの ARP 要求に応答します。
-
-
[Apply] をクリックします。
これで、新しい WAN リンクの設定が完了しました。この手順を繰り返して、サイトに追加の WAN リンクを追加および構成します。
次のステップでは、サイトのルートを追加および構成します。
ブランチのルートを構成する方法
サイトのルートを追加および構成するには、次の手順を実行します。
-
新しいブランチサイトの [ 接続 ] ビューをクリックし、[ ルート] を選択します。これにより、サイトの [ ルート ] ビューが表示されます。
-
[ ルート ] の右側にある [ + ] をクリックして、ルートを追加します。これにより、編集用の [ ルート ] ダイアログボックスが開きます。
-
新しいルートのルート設定情報を入力します。
-
[ネットワーク IP アドレス ] — ネットワーク IP アドレスを入力します。
-
[Cost ]:このルートのルートプライオリティを決定するための重みを 1 ~ 15 で入力します。低コストのルートは、高コストのルートよりも優先されます。デフォルト値は5です。
-
[サービスタイプ (Service Type)]:このフィールドのドロップダウンメニューからルートのサービスタイプを選択します。使用できるオプションは、次のとおりです。
-
仮想パス — このサービスは、仮想パス間のトラフィックを管理します。仮想パスは、2 つの WAN リンク間の論理リンクです。これは、2つのSD-WANノード間で高いサービス・レベル通信を提供するために結合されたWANパスの集合で構成されます。これは、変化するアプリケーション需要とWAN条件を常に測定し、適応させることによって行われます。SD-WAN アプライアンスは、パス単位でネットワークを測定します。仮想パスは、スタティック(常に存在)またはダイナミック(2 つの SD-WAN アプライアンス間のトラフィックが設定されたしきい値に達した場合のみ存在)のいずれかになります。
-
インターネット — このサービスは、エンタープライズサイトとパブリックインターネット上のサイト間のトラフィックを管理します。このタイプのトラフィックはカプセル化されません。輻輳時には、SD-WAN は、仮想パスに対するレート制限によるインターネットトラフィックと、管理者が確立した SD-WAN 構成に従ってイントラネットトラフィックによって、帯域幅を積極的に管理します。
-
イントラネット -このサービスは、仮想パスを介した伝送用に定義されていないエンタープライズイントラネットトラフィックを管理します。インターネットトラフィックと同様に、カプセル化されていないままであり、SD-WAN は、輻輳時にこのトラフィックを他のサービスタイプと比較してレート制限することで、帯域幅を管理します。特定の条件下では、仮想パス上のイントラネットフォールバック用に構成されている場合、通常は仮想パスとともに移動するトラフィックは、代わりにイントラネットトラフィックとして扱われ、ネットワークの信頼性を維持できます。
-
パススルー :このサービスは、仮想 WAN を通過するトラフィックを管理します。パススルーサービスに送信されるトラフィックには、ブロードキャスト、ARP、その他の非 IPv4 トラフィック、および Virtual WAN アプライアンスのローカルサブネット、構成済みサブネット、またはネットワーク管理者が適用したルール上のトラフィックが含まれます。このトラフィックは、SD-WAN によって遅延、シェーピング、または変更されません。したがって、SD-WAN アプライアンスが他のサービスで使用するように構成されている WAN リンク上で、パススルートラフィックが実質的なリソースを消費しないようにする必要があります。
-
ローカル :このサービスは、他のサービスと一致しないサイトにローカルな IP トラフィックを管理します。SD-WAN は、ローカルルートを送信元および宛先とするトラフィックを無視します。
-
GRE トンネル :このサービスは、GRE トンネルを宛先とする IP トラフィックを管理し、サイトで設定された LAN GRE トンネルと一致します。GRE トンネル機能を使用すると、LAN 上の GRE トンネルを終了するように SD-WAN アプライアンスを設定できます。サービスタイプ GRE Tunnel のルートの場合、Gateway はローカル GRE トンネルのトンネルサブネットの 1 つに存在する必要があります。
-
LAN IPsec トンネル — このサービスは、IPsec トンネル宛の IP トラフィックを管理します。
-
インタールーティング -このサービスは、サイト内のルーティングドメイン間または異なるサイト間のルーティングドメイン間でのルートリークを可能にします。これにより、エッジルータがルートリークを処理する必要がなくなります。
-
-
「Gateway IP アドレス」— このルートのGateway IP アドレスを入力します。
-
[パスに基づく適格性 ](チェックボックス):(オプション)有効の場合、選択したパスがダウンしているときにルートはトラフィックを受信しません。
-
「パス 」(Path) — ルートの適格性を判断するために使用するパスを指定します。
-
-
[Apply] をクリックします。
注
[ 適用] をクリックすると、追加のアクションが必要であることを示す監査警告が表示されることがあります。赤い点または金色のデルタアイコンは、表示されるセクションにエラーを示します。これらの警告を使用して、エラーや不足している構成情報を識別できます。監査警告アイコンの上にカーソルを置くと、そのセクションのエラーの簡単な説明が表示されます。暗いグレーの 監査 ステータスバー (ページ下部) をクリックして、すべての監査警告の一覧を表示することもできます。
以下に示すように、設定済みのルートを編集することもできます。
これで、クライアントサイトの構成に必要な手順が完了しました。また、展開の次のフェーズに進む前に、完了するように選択できる、追加のオプションの手順もいくつかあります。これらの手順のリストと手順へのリンクを以下に示します。ここでこれらの機能を設定しない場合は、 MCN での SD-WAN アプライアンスパッケージの準備に直接進むことができます。
オプションの手順は次のとおりです。
-
高可用性の設定 :高可用性は、サイトの 2 つの仮想 WAN アプライアンスが冗長性のためにアクティブ/スタンバイパートナーシップキャパシティで機能する設定です。このサイトに高可用性を実装していない場合は、この手順を省略できます。手順については、「 ブランチサイトの高可用性 (高可用性) の構成 (オプション)」を参照してください。
-
新しいブランチサイトのクローンを作成する — 構成したブランチサイトのクローンを作成し、別のサイトを追加するためのテンプレートとして使用するオプションがあります。元のサイトとクローンのアプライアンスモデルは、同じである必要があります。手順については、「 ブランチサイトのクローン作成 (オプション)」を参照してください。
-
WAN最適化の構成-Citrix SD-WAN仮想WANライセンスにWAN最適化機能が含まれている場合は 、これらの機能を有効にして構成に追加するオプションがあります。これを行うには、 設定エディタの [ 最適化] セクションを完了し、変更した設定を保存する必要があります。
構成の保存
次のステップでは、完成した サイト 構成を保存します。構成は、ローカルアプライアンスのWorkspace に保存されます。
警告
コンソールセッションがタイムアウトになったり、構成を保存する前に管理 Web Interface からログアウトした場合、保存されていない構成の変更はすべて失われます。その後、システムに再度ログインし、設定手順を最初から繰り返す必要があります。そのため、構成パッケージを頻繁に保存するか、構成内の重要なポイントに保存することをお勧めします。 注
追加の予防策として、 間違った構成パッケージが上書きされないように、 [保存] ではなく [名前を付けて保存]を使用することをお勧めします。
構成ファイルを保存した後、管理 Web Interface からログアウトし、後で構成プロセスを続行するオプションがあります。ただし、ログアウトした場合は、再開時に保存した設定を再度開く必要があります。手順については、「 MCN の設定、保存した設定パッケージを構成エディターに読み込む」のセクションを参照してください。
現在の構成パッケージを保存するには、次の手順を実行します。
-
[ 名前を付けて保存 ] ( 設定エディタの中央ペインの上部 ) をクリックします。これにより、[ 名前を付けて保存 ] ダイアログボックスが開きます。
-
構成パッケージ名を入力します。[ 保存] をクリックします。
注
構成を既存の構成パッケージに保存する場合は、必ず [ 上書きを許可 ] を選択してから保存してください。
次の手順では、MCN とクライアントサイト間の仮想パスと仮想パスサービスを構成します。手順は、 MCN とクライアントサイト間の仮想パスサービスの構成で説明されています。
ブランチサイトの名前変更
ブランチサイトの名前を変更したら、新しい構成パッケージをネットワークにアップロードする必要があります。
-
MCN から、名前が変更されたブランチサイトを含む新しい構成を持つステージネットワーク。
-
名前を変更したブランチサイトのステージングパッケージをダウンロードします。
-
MCNで、[ ステージングされたネットワークのアクティブ化 ] を選択します。これにより、名前を変更したサイトが無効になり、サイトが使用できなくなります。
-
ブランチの「 ローカル変更管理 」ページに移動します。
-
先にダウンロードしたパッケージをアップロードします。[ 次へ ] をクリックし、[ アクティブ化] をクリックします。
高可用性を使用したブランチサイトの名前の変更
高可用性が有効なブランチサイトの名前を変更した後に新しい設定をアップロードするには、次の手順に従います。
-
MCN から、名前が変更されたブランチサイトを含む新しい構成でネットワークをステージングします。
-
ブランチサイトの名前を変更したアクティブアプライアンスと高可用性アプライアンスの両方のステージングパッケージをダウンロードします。
-
MCNで、[ ネットワーク用にステージングを有効にする ] を選択します。これにより、名前を変更したサイトが無効になり、サイトが使用できなくなります。
-
ブランチでアクティブなアプライアンスにナビゲートします。[ ローカル変更管理 ] ページに移動します。
-
先にダウンロードしたパッケージをアップロードします。[ 次へ ] をクリックし、[ アクティブ化] をクリックします。
-
スタンバイアプライアンスに対して、手順 4 (a) と 4 (b) を繰り返します。