Citrix SD-WAN

PBR モード(仮想インライン)

仮想インラインモードでは、ルータはポリシーベースのルーティングルールを使用して、着信および発信 WAN トラフィックをアプライアンスにリダイレクトし、アプライアンスは処理されたパケットをルータに転送します。

次の資料では、2 つの SD-WAN(SD-WAN SE)アプライアンスを構成する手順について説明します。

  • PBR モードのデータセンターアプライアンス(仮想インラインモード)

  • インラインモードのブランチアプライアンス

  • PBR は、コアスイッチで設定するか、ルータでさらにアップストリームに設定する必要があります。ルータは SD-WAN アプライアンスの健全性を監視し、障害が発生した場合にアプライアンスをバイパスできるようにする必要があります。

  • 仮想インラインモードでは、SD-WAN アプライアンスが物理的にパス外に配置されます(ワンアーム配置)。つまり、バイパスモードが Fail-to-Block(FTB)に設定されている単一のイーサネットインターフェイスだけが使用されます(例:インターフェイス 1/1)。

Citrix SD-WANアプライアンスは、トラフィックを適切なGateway に渡すように構成する必要があります。仮想パス用のトラフィックは SD-WAN アプライアンスに向けられ、カプセル化され、適切な WAN リンクに送信されます。

構成に関する情報の収集

  • ローカルサイトとリモートサイトの正確なネットワーク図(図の例を以下に示します)

    • ローカルおよびリモートの WAN リンクおよび両方向の帯域幅、サブネット、各リンク、ルート、VLAN からの仮想 IP アドレスおよびゲートウェイ。
  • デプロイメントテーブル(以下に示す図の例)

データセンターのトポロジ — PBR モード (仮想インラインモード)

ローカライズされた画像

ブランチトポロジ — インラインモード

ローカライズされた画像

サイト名 データセンターサイト ブランチサイト
アプライアンス名 SJC-DC SJC-BR
管理IP 172.30.2.10/24 172.30.2.20/24
セキュリティキー もしあれば もしあれば
モデル/エディション 4000 2000
モード PBR モード (仮想インラインモード) インライン
トポロジ 2 x WAN パス 2 x WAN パス
VIP アドレス 192.168.1.10/24 — MPLS, 192.168.1.11/24 — インターネット, パブリックIP w.x.y.z 10.17.0.9/24-MPLS, 10.18.0.9/24 — インターネット, パブリックIP a.b.c.d
Gateway MPLS 10.20.0.1 10.17.0.1
ゲートウェイ・インターネット 10.19.0.1 10.18.0.1
リンク速度 MPLS — 100 Mbps, インターネット — 20 Mbps MPLS — 10 Mbps, インターネット — 2 Mbps
ルート 任意の物理インターフェイス(Gi0/1 ~ 192.168.1.1、設定 > 仮想 WAN > 構成エディタ > SJC_DC > ルート)を介して LAN サブネット(10.10.11.0/24、10.10.12.0/24 など)に到達する方法について、SD-WAN SE アプライアンスにルートを追加する必要があります。この例では、インターフェイス 192.168.1.1 が使用されています。-n/w アドレス:10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24,-サービスタイプ:ローカル,-ゲートウェイ IP アドレス:192.168.1.1 追加のルートは追加されませんでした
VLAN なし (デフォルト 0) なし (デフォルト 0)

仮想インラインモードでサイトを構成する手順:

  • MCN 機能を有効にします。

  • 新しいサイトを作成します。

  • インターフェイスグループと仮想インターフェイスを作成します。

  • 仮想 IP アドレスを仮想インターフェイスに割り当てます。

  • WAN リンクを作成し、IP アドレスを割り当てます。

  • [ルートの追加]

  • トラブルシューティング。

  • PBR ルータでのポリシーベースルーティング設定

構成の前提条件

  • SD-WAN アプライアンスをマスターコントロールノードとして有効にします。

  • 構成は SD-WAN アプライアンスのマスターコントロールノード (MCN) でのみ行われます。

アプライアンスをマスター・コントロール・ノードとして有効にするには:

  1. SD-WAN Web管理インターフェイスで、[ 構成 ]>[ アプライアンスの設定 ]>[ 管理者インターフェイス ]> [その他]タブ >[スイッチコンソール]に移動します。

    「クライアントコンソールに切り替える」と表示されている場合、アプライアンスはすでに MCN モードになっています。SD-WAN ネットワークには、アクティブな MCN が 1 つだけ存在する必要があります。

  2. 仮想 WAN サービスを有効にします。[ 構成 ] > [ 仮想 WAN ] > [ フローの有効化/無効化/パージ] に移動します。

  3. [構成] > [ 仮想 WAN ] > [ 構成エディター] の順に選択して、構成を開始します。[ 新規 ] をクリックして設定を開始します。

    この操作により、Untitled_1 の初期設定ファイルが作成されます。このファイルは、後で [名前 を付けて保存 ] ボタンを使用して [オプション] に変更できます。

PBR 展開モードで Datacenter サイトを構成するための高レベルの構成手順を次に示します。

  1. DC サイトを作成します。

  2. 接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。

  3. 仮想インターフェイスごとに仮想 IP アドレスを設定します。

  4. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

  5. LAN インフラストラクチャにさらにサブネットがある場合は、Routes を設定します。

データセンターサイトの PBR モードの設定

DC サイトを作成する

  1. [ 構成エディタ ] > [ サイト] に移動し、[ + サイト ] ボタンをクリックします。

  2. 以下に示すようにフィールドに入力します。

  3. 変更するように指示されない限り、デフォルト設定を保持します。

    ローカライズされた画像

接続されたイーサネットインターフェイスに基づくインターフェイスグループの設定

  1. 構成エディターで、[サイト] > [ **サイト 名] > [ インターフェイスグループ ]に移動します。[ **+ ] をクリックして、使用するインターフェイスを追加します。PBR モードでは、単一のイーサネットインターフェイス上の設定だけが使用されます。つまり、PBR ポリシーの影響を提供するアップストリームルータを接続するインターフェイスです(例:Interface 1/1)。VLAN ID 10 および 20 の MPLS およびインターネット仮想インターフェイスをそれぞれ設定します。

  2. バイパスモードは fail-to-block に設定されます。これは、仮想インターフェイスごとに 1 つのイーサネット/物理インターフェイスだけが使用されるためです。ブリッジペアもありません。

  3. この例では、[仮想インターフェイス +] オプションを展開し、仮想インターフェイスを設定します。

    ローカライズされた画像

各仮想インターフェイスの仮想 IP(VIP)アドレスを作成

各 WAN リンクの適切なサブネット上に 仮想 IP アドレスを 作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。

ローカライズされた画像

インターネット WAN リンクの作成

インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定するには、次の手順を実行します。

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。

  2. 以下に示すように、提供されたパブリック IP アドレスなど、インターネットリンクの詳細を入力します。MCN として設定された SD-WAN アプライアンスでは、 パブリック IP の自動検出 は選択できません。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、インターネットリンクに固有のインターフェイス詳細を追加します。

  4. 以下に示すように、IP アドレスとGateway アドレスのアクセスインターフェイスを設定します。プロキシ ARP では、イーサネットインターフェイスが 2 つ未満の場合はチェックされません。

    ローカライズされた画像

    ローカライズされた画像

MPLS リンクの作成

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして、MPLS リンクの WAN リンクを追加します。

  2. 次に示すように、MPLS リンクの詳細を入力します。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、MPLS リンクに固有のインターフェイス詳細を追加します。

  4. 次に示すように、MPLS 仮想 IP アドレスおよびGateway アドレスのアクセスインターフェイスを設定します。

    ローカライズされた画像

    プロキシ ARP は、イーサネットインターフェイスが 2 つ未満の場合はチェックされません。

ルートを設定する

データセンターサイトで、SD-WAN SEE アプライアンスにルートを追加して、物理インターフェイスを通じて LAN サブネット(10.10.11.0/24、10.10.12.0/24、10.10.10.13.0/24 など)に到達します。

VLAN 10 上の 0/1/0.1 — 192.168.1.1

VLAN 20 上の 0/1/0.2 — 192.168.2.1

ローカライズされた画像

ローカライズされた画像

ブランチサイトのインライン展開設定

次に、インライン展開用にブランチサイトを構成するための高レベルの構成手順を示します。

  1. ブランチサイトを作成します。

  2. 接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。

  3. 各仮想インターフェイスの仮想 IP アドレスを作成します。

  4. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

    • ブリッジペア 1/3 および 1/4 に設定された仮想インターフェイス「インターネット」

    • 仮想インターフェイス「MPLS」設定済みブリッジペア 1/1 および 1/2

  5. LAN インフラストラクチャにさらにサブネットがある場合は、Routes を設定します。

ブランチサイトの作成

ローカライズされた画像

接続されたイーサネットインターフェイスに基づくインターフェイスグループの設定

  1. 構成エディターで、[サイト] > [クライアント **サイト 名] > [ インターフェイスグループ ]に移動します。「+**」をクリックして、使用するインターフェイスを追加します。インラインモード設定では、インターフェイスペア 1/3、1/4、インターフェイスペア 1/1 および 1/2 の 4 つのイーサネットインターフェイスが使用されます。

  2. 仮想インターフェイスごとに 2 つのイーサネット/物理インターフェイスが使用されるため、バイパスモードは Fail-to-Wire に設定されています。ブリッジペアは 2 つあります。

  3. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

    • ブリッジペア 1/3 および 1/4 に設定された仮想インターフェイス「インターネット」

    • 仮想インターフェイス「MPLS」設定詐欺ブリッジペア 1/1 と 1/2.

  4. 上記の「リモートサイトインラインモード」トポロジのサンプルを参照し、次に示すように [Interface Groups] フィールドに入力します。

    ローカライズされた画像

各仮想インターフェイスの仮想 IP(VIP)アドレスを作成

各 WAN リンクの適切なサブネット上に仮想 IP アドレスを作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。

ローカライズされた画像

インターネット WAN リンクの作成

インターネットリンクを使用してバースト速度ではなく、物理レートに基づいて WAN リンクを設定するには

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。

  2. 次に示すように、 AutoDetect パブリック IP アドレスを 含むインターネットリンクの詳細を入力します。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、インターネットリンクに固有のインターフェイス詳細を追加します。

  4. 以下に示すように、仮想 IP アドレスとGateway のアクセスインターフェイスを設定します。

    ローカライズされた画像

    ローカライズされた画像

MPLS リンクの作成

  1. [ WAN リンク] に移動し、 [ + ] ボタンをクリックして MPLS リンクの WAN リンクを追加します。

  2. 次に示すように、MPLS リンクの詳細を入力します。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、MPLS リンクに固有のインターフェイス詳細を追加します。

  4. 以下に示すように、仮想 IP アドレスとGateway のアクセスインターフェイスを設定します。

    ローカライズされた画像

    ローカライズされた画像

ルートを設定する

ルートは、上記の設定に基づいて自動作成されます。このリモートブランチオフィスに固有のサブネットが増える場合は、それらのバックエンドサブネットに到達するためにトラフィックを誘導するGateway を特定する特定のルートを追加する必要があります。

ローカライズされた画像

監査エラーの解決

DC サイトとブランチサイトの構成が完了すると、DC サイトと BR サイトの両方で監査エラーを解決するように警告が表示されます。この例では、プライベートイントラネット WAN リンク [SJC_DC-MPLS] に関連する監査エラーを解決します。

デフォルトでは、アクセスタイプ [パブリックインターネット] (強調表示) として定義された WAN リンクのパスが生成されます。

ローカライズされた画像

ローカライズされた画像

ローカライズされた画像

アクセスタイプが [プライベートインターネット] の WAN リンクでは、自動パスグループ機能を使用するか、手動でパスを有効にする必要があります。MPLS リンクのパスは、緑の四角形にある Add 演算子をクリックすることで有効にできます。

ローカライズされた画像

自動パスグループを作成します

  1. グローバル 」タブにナビゲートします。[ [自動パスグループ]] の横にある [ +] 記号をクリックします。

  2. 要件に従って作成された自動パスグループを構成し、[ 適用] をクリックします。

    ローカライズされた画像

  3. 自動パスグループの名前を変更します(オプション)。

  4. Autopath グループを、各サイトのイントラネット WAN リンクの仮想パスにマッピングします。

    2つのAutopath Groupをデフォルトとしてマークすることはできません。マークを付けると、監査エラーになります。

Autopath GroupをイントラネットWANの仮想パスにマッピングした後、パスが自動的に入力される(強調表示される)必要があります。

ローカライズされた画像

アクセスタイプの [プライベートイントラネット] で WAN リンクを手動で追加する

  1. 各サイトの [WAN リンク] で [仮想パス] を選択します。自動パスグループはマップされません。

  2. 仮想パスを手動で追加するには、[パス] の横の [自動パスグループ] 記号をクリックします。

    ローカライズされた画像

  3. 各サイトの仮想パス WAN リンクを選択します。

    ローカライズされた画像

    アクセスタイプが [プライベートイントラネット] の WAN リンクの仮想パスを手動で追加すると、[パス (強調表示)] の下に表示されます。

    上記の手順をすべて完了したら、MCN トピックのSD-WAN アプライアンスパッケージの準備に進みます。

PBR ルータでのポリシーベースのルーティング設定

LAN に接続されたインターフェイス

  • ルータ番号端末の設定

  • ルータ(config)# インターフェイスファストイーサネット 0/1

  • ルータ(config-if)# 説明 ToLan

  • ルータ(設定-if)# IP アドレス 10.10.11.1 255.255.255.0

  • ルータ(config-if)#デュプレックス自動

  • ルータ(config-if)#スピードオート

インターフェイスが MPLS WAN リンクに接続

  • ルータ番号端末の設定

  • ルータ(config)# インターフェイスギガビットイーサネット0/0

  • ルータ(config-if)# 説明 to-MPLS-WAN

  • ルータ(設定-if)# IP アドレス 10.20.0.2 255.255.255.0

  • ルータ(config-if)#デュプレックス自動

  • ルータ(config-if)#スピードオート

INET WAN リンクに接続されたインターフェイス

  • ルータ番号端末の設定

  • ルータ(config)# インターフェイスギガビットイーサネット0/2/0

  • ルータ(config-if)# 説明 to-inet-WAN

  • ルータ(設定-if)# IP アドレス 10.19.0.2 255.255.255.0

  • ルータ(config-if)#デュプレックス自動

  • ルータ(config-if)#スピードオート

PBR ルータ上のインターフェイス GigabitEthernet0/1 は SD-WAN ポート 1/1 に接続されており、1 アームモードであり、この 1 つのポートは MPLS および INET リンクのトラフィックを処理します。

  • ルータ番号端末の設定

  • ルータ(config)# インターフェイスギガビットイーサネット 0/1

  • ルータ(config-if)# 説明-SDWAN リンク

  • ルータ(コンフィグ-if)#IPアドレス192.168.1.1 255.255.255.0

スタティックルート設定(クライアント/リモートサブネットへのルート)

  • ネクストホップ WAN ルータ経由の MPLS 10.17.0.0/24 MPLS 10.20.0.1

  • NET 10.18.0.0/24 経由ネクストホップ WAN ルータ/FW INET 10.19.0.1

  • ルータ番号端末の設定

  • Router(config)# ip route 10.17.0.0 255.255.255.0 10.20.0.1

  • Router(config)# ip route 10.18.0.0 255.255.255.0 10.19.0.1

ルートマップ定義:

アクセスコントロールリストの設定:

ACL を設定して、SD-WAN アプライアンスとの間で送受信されるトラフィックを定義します。

  1. LAN から SD-WAN アプライアンスへ

    トポロジーごとに、LAN サブネットは 10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 などです。LAN から SD-WAN にトラフィックを送信するには、単方向 ACL(LAN から任意の)を設定します。

    -  Router# configure terminal

    -  Router(config)# ip access-list extended server_side

    -  Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
  1. SD-WAN アプライアンスから物理 WAN リンクへ
    -  Router# configure terminal

    -  Router(config)# ip access-list extended MPLS_Link

    -  Router(config)# permit ip 192.168.1.10 0.0.0.0 any

    -  Router# configure terminal

    -  Router(config)# ip access-list extended INET_Link

    -  Router(config)# permit ip 192.168.1.11 0.0.0.0 any

<!--NeedCopy-->

ルートマップの設定:

ACL に一致するルートマップを定義します。

LAN トラフィックのルートマップ:

ネクストホップは、任意の SD-WAN 仮想 IP(VIP)になります。

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

この場合、ネクストホップとして MPLS VIP 192.168.1.10 を選択し、ヘルスチェックを追加して、SD-WAN に障害が発生した場合にトラフィックがルーティングされないことを確認しました。

-  Router# configure terminal

-  Router(config)# route-map server_side_VW_PBR permit 10

-  Router(config-route-map)# match ip address server_side

-  Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123

<!--NeedCopy-->

上記のコマンドは、追跡対象オブジェクトの到達可能性を確認するようにルートマップを設定します。トラッキングプロセスでは、ICMP ping 到達可能性、ルーティング隣接、リモートデバイスで実行されているアプリケーション、Routing Information Base(RIB; ルーティング情報ベース)内のルートなど、個々のオブジェクトを追跡したり、インターフェイスラインプロトコルの状態を追跡したりできます。

WAN トラフィックのルートマップ:

ネクストホップは、各 WAN リンクの MPLS ルータとファイアウォールになります。

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 20

-  Router(config-route-map)# match ip address MPLS_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 30

-  Router(config-route-map)# match ip address INET_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125

<!--NeedCopy-->

インターフェイスにルートマップを適用します。

-  Router# configure terminal

-  Router(config)# interface FastEthernet0/1

-  Router(config-if)# ip policy route-map server_side_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

-  Router# configure terminal

-  Router(config)# interface GigabitEthernet0/1

-  Router(config-if)# ip policy route-map WAN_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

<!--NeedCopy-->

MPLS ルータの設定(ゲートウェイ 10.20.0.1)

  • MPLS ルータにルートを追加して、データセンターの MPLS VWAN VIP に到達します。

  • ネクストホップ PBR ルータ MPLS リンク 10.20.0.2 を介した MPLS VIP サブネット 192.168.1.0/24

  • ルータ番号端末の設定

  • ルータ (config) # ip route 192.168.1.0 255.255.255.0 10.20.0.2

ファイアウォールの設定(ゲートウェイ 10.19.0.1):

ファイアウォール上にルートを追加して、データセンターの INET VWAN VIP に到達します。

ネクストホップ PBR ルータ INET リンク 10.19.0.2 経由の INET VIP サブネット 192.168.1.0/24

-  Router# configure terminal

-  Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->
PBR モード(仮想インライン)