ADC

Citrix ADCのMicrosoft Direct Access展開のサポート

Microsoft Direct Access は、リモートユーザーが別の VPN 接続を確立しなくても、企業の内部ネットワークにシームレスかつ安全に接続できるようにするテクノロジーです。接続の開閉にユーザーの操作を必要とする VPN 接続とは異なり、Direct Access 対応のクライアントは、クライアントがインターネットに接続するたびに企業の内部ネットワークに自動的に接続します。

Manage-Out は Microsoft Direct Access の機能で、企業ネットワーク内の管理者がネットワーク外の Direct Access クライアントに接続して管理 (たとえば、サービス更新のスケジュール設定などの管理タスクの実行、リモートサポートの提供など) を行うことができます。

Direct Access環境では、NetScalerアプライアンスは高い可用性、スケーラビリティ、高パフォーマンス、およびセキュリティを提供します。NetScalerの負荷分散機能は、クライアントトラフィックを最適なサーバー経由で送信します。アプライアンスは、Manage-Outトラフィックを正しいパスで転送してクライアントに到達することもできます。

アーキテクチャ

Microsoft Direct Access環境のアーキテクチャは、ダイレクトアクセス対応のクライアント、ダイレクトアクセスサーバー、アプリケーションサーバー、および内部および外部のNetScalerアプライアンスで構成されています。クライアントは、Direct Access サーバーを介してアプリケーションサーバーに接続します。外部のNetScalerアプライアンスはDirect Accessサーバーへのクライアントトラフィックの負荷分散を行い、内部NetScalerアプライアンスはDirect Accessサーバーから宛先のアプリケーションサーバーにクライアントトラフィックを転送します。ダイレクトアクセスは、IPv4ネットワークを介してクライアントのIPv6トラフィックをトンネリングするために使用されます。外部NetScalerアプライアンス上のIPv4負荷分散仮想サーバーは、クライアントのトンネリングされたトラフィックをいずれかのDirect Accessサーバーにロードバランシングします。ダイレクトアクセスサーバーは、受信したクライアントのIPv4パケットからIPv6パケットを抽出し、内部のNetScalerアプライアンスを介して宛先アプリケーションサーバーに送信します。内部NetScalerアプライアンスには、Direct Access Serverからのクライアントのトラフィックに関するレイヤー2およびレイヤー3の接続情報を保存するためのソースルートキャッシュオプションを有効にした転送セッションルールがあります。NetScalerアプライアンスは、ソースルートキャッシュテーブルと呼ばれるテーブルに次のレイヤー2およびレイヤー3の情報を保存します。

  • 受信したパケットの送信元 IP アドレス
  • パケットを送信したダイレクトアクセスサーバーの MAC アドレス
  • パケットを受信したNetScalerアプライアンスのVLAN ID
  • パケットを受信したNetScalerアプライアンスのインターフェイスID

NetScalerアプライアンスは、クライアントに到達するためのトンネリング情報を持っているため、ソースルートキャッシュテーブルの情報を使用して同じDirect Accessサーバーに応答を転送します。また、内部アプライアンスはソースルートキャッシュテーブルを使用して、アプリケーションサーバーの管理アウトトラフィックを適切なダイレクトアクセスサーバーに転送し、特定のクライアントに到達します。

ローカライズされた画像

Microsoftダイレクトアクセス環境における内部NetScalerアプライアンスの構成

アプリケーションサーバーの応答と管理トラフィックを適切なDirect Access Gatewayに転送するように内部NetScalerアプライアンスを構成するには、転送セッションルールを構成します。各ルールで、ソースルートキャッシュパラメータを ENABLED に設定します。

CLIを使用して転送セッションルールを作成するには:

コマンドプロンプトで入力します。

  • add forwardingSession <name> ((<network> [\<netmask>]) | -acl6name <string> | -aclname <string>) -sourceroutecache ( ENABLED | DISABLED ]
  • show forwardingsession <name>

設定例:

次の例では、転送セッションルールMS-DA-FW-1が内部のNetScalerアプライアンスに作成されます。転送セッションでは、送信元 IPv6 プレフィクス 2001:DB8:: /96 と一致するダイレクトアクセスサーバからの着信 IPv6 パケットのレイヤ 2 およびレイヤ 3 情報が格納されます。

> add forwardingSession MS-DA-FW-1 2001:DB8::/96 -sourceroutecache -ENABLED
 Done

ソースルートキャッシュテーブルの表示

ソースルートキャッシュテーブルを表示して、ダイレクトアクセスサーバーとアプリケーションサーバー間の不要な接続を監視または検出できます。

CLI を使用してソースルートキャッシュテーブルを表示するには:

コマンドプロンプトで入力します。

  • ソースルートキャッシュテーブルを表示

例:

> show sourceroutecachetable
SOURCEIP            MAC                 VLAN    INTERFACE
2001:DB8:5001:10    56:53:24:3d:02:eb    30        1/2
2001:DB8:5003:30    60:54:35:3e:04:bd    60        1/3
Done

ソースルートキャッシュテーブルのクリア

NetScalerアプライアンスのソースルートキャッシュテーブルからすべてのエントリを消去できます。

CLI を使用してソースルートキャッシュテーブルをクリアするには:

コマンドプロンプトで入力します。

  • NS ソースルートキャッシュテーブルをフラッシュ
Citrix ADCのMicrosoft Direct Access展開のサポート