Citrix SD-WAN

ゾーン

ネットワーク内のゾーンを構成し、トラフィックがゾーンに出入りする方法を制御するポリシーを定義できます。デフォルトでは、次のゾーンが作成されます。

  • Zone
    • 信頼されたインターフェイスを使用するインターネットサービスとの間で送受信されるトラフィックに適用されます。
  • Untrusted_Internet_Zone

    • 信頼できないインターフェイスを使用するインターネットサービスとの間で送受信されるトラフィックに適用されます。
  • Default_LAN_Zone

    • ゾーンが設定されていない設定可能なゾーンを持つオブジェクトへのトラフィックまたはオブジェクトからのトラフィックに適用されます。

独自のゾーンを作成し、次のタイプのオブジェクトに割り当てることができます。

  • 仮想ネットワークインターフェイス(VNI)

  • イントラネットサービス

  • GREトンネル

  • LAN IPsec トンネル

パケットの宛先ゾーンは、宛先ルートの一致に基づいて決定されます。SD-WAN アプライアンスがルートテーブルで宛先サブネットを検索すると、パケットはルートと一致します。ルートにはゾーンが割り当てられています。

  • ソースゾーン

    • 非仮想パス:で受信した仮想ネットワークインターフェイスパケットを介して決定されます。

    • 仮想パス:パケットフローヘッダーのソースゾーンフィールドを介して決定されます。

    • 仮想ネットワークインターフェイス-送信元サイトでパケットを受信しました。

  • 宛先ゾーン

    • パケットの宛先ルート検索により決定。

SD-WAN 内のリモートサイトと共有されるルートは、ダイナミックルーティングプロトコル(BGP、OSPF)を通じて学習されたルートなど、宛先ゾーンに関する情報を保持します。このメカニズムを使用すると、ゾーンは SD-WAN ネットワークでグローバルな重要性を獲得し、ネットワーク内でエンドツーエンドのフィルタリングを可能にします。ゾーンを使用すると、ネットワーク管理者は、顧客、事業部門、または部門に基づいてネットワークトラフィックを効率的にセグメント化できます。

SD-WAN ファイアウォールの機能を使用すると、次の図に示すように、1 つのゾーン内のサービス間のトラフィックをフィルタリングしたり、異なるゾーン内のサービス間で適用できるポリシーを作成したりできます。以下の例では、Zone_A と Zone_B があり、それぞれに LAN 仮想ネットワークインターフェイスがあります。

ローカライズされた画像

ゾーン

この記事の概要