Citrix SD-WAN Center

Citrix SD-WANを使用したMicrosoft Azure Virtual WANへの接続

オンプレミスデバイスをAzureに接続するには、コントローラーが必要です。コントローラーはAzure APIを取り込み、Azure WANおよびハブとのサイト間接続を確立します。

Microsoft Azure Virtual WANには、次のコンポーネントとリソースが含まれています。

  • WAN:Microsoft Azureのネットワーク全体を表します。このWAN内に含めるすべてのハブへのリンクが含まれています。WANは互いに分離されており、共通のハブや、異なるWAN内の2つのハブ間の接続を含めることはできません。

  • サイト:オンプレミスVPNデバイスとその設定を表します。サイトは複数のハブに接続できます。Citrix SD-WANを使用すると、この情報をAzureに自動的にエクスポートする組み込みソリューションを使用できます。

  • ハブ:特定の地域におけるネットワークの中核を表します。ハブには、オンプレミスネットワークへの接続やその他のソリューションを可能にするさまざまなサービスエンドポイントが含まれています。サイト間接続は、サイト間でハブVPNエンドポイントに確立されます。

  • ハブ仮想ネットワーク接続:ハブネットワークは、Azure仮想WANハブを仮想ネットワークにシームレスに接続します。現在、同じ仮想HUBリージョン内にある仮想ネットワークへの接続が可能です。

  • ブランチ:ブランチはオンプレミスのCitrix SD-WANアプライアンスであり、顧客のオフィスの場所に存在します。SD-WANコントローラは、ブランチを集中管理します。接続はこれらのブランチの背後から始まり、Azureで終了します。SD-WANコントローラーは、これらのブランチとAzureハブに必要な構成を適用する役割を果たします。

次の図は、仮想WANコンポーネントについて説明しています。

ローカライズされた画像

Microsoft Azure Virtual WANの仕組み

  1. SD-WAN Center は、Azure GUIで有効になっているサービスプリンシパル、プリンシパル、またはロールベースのアクセス機能を使用して認証されます。

  2. SD-WAN Center はAzure接続構成を取得し、ローカルデバイスを更新します。これにより、オンプレミスデバイスの構成のダウンロード、編集、更新が自動化されます。

  3. デバイスに正しいAzure構成が設定されると、Azure WANへのサイト間接続(2つのアクティブなIPsecトンネル)が確立されます。Azureでは、IKEv2設定をサポートするためにブランチデバイスコネクタが必要です。BGP構成はオプションです。

    注:IPsecトンネルを確立するためのIPsecパラメーターは標準化されています。

    IPsecプロパティ パラメーター
    Ike暗号化アルゴリズム AES 256
    Ike整合性アルゴリズム SHA 256
    Dhグループ DH2
    IPsec暗号化アルゴリズム GCM AES 256
    IPsec整合性アルゴリズム GCM AES 256
    PFSグループ なし

Azure Virtual WANは、ワークロード仮想ネットワークとハブ間の接続を自動化します。ハブ仮想ネットワーク接続を作成すると、プロビジョニングされたハブとワークロード仮想ネットワーク(VNET)の間に適切な構成が設定されます。

前提条件と要件

Azureハブに接続するブランチサイトを管理するためにAzureおよびSD-WANを構成する前に、次の要件をお読みください。

  1. 仮想WANのAzureサブスクリプションをホワイトリストに登録している。
  2. AzureリソースへのIPsecを確立するSD-WANアプライアンスなどのオンプレミスアプライアンスを用意します。
  3. パブリックIPアドレスとのインターネットリンクがあります。Azureへの接続を確立するには1つのインターネットリンクで十分ですが、同じWANリンクを使用するには2つのIPsecトンネルが必要です。
  4. SD-WANコントローラー–コントローラーは、Azureに接続するためのSD-WANアプライアンスの構成を担当するインターフェイスです。
  5. 少なくとも1つのワークロードを持つAzureのVNET。たとえば、サービスをホストしているVMです。次の点を考慮してください。
    1. 仮想ネットワークには、Azure VPN または Express Route ゲートウェイ、またはネットワーク仮想アプライアンスを持つべきではありません。
    2. 仮想ネットワークには、オンプレミスのブランチからアクセスされるワークロードに対して、トラフィックを非仮想 WAN 仮想ネットワークにルーティングするユーザ定義ルートを使用しないでください。
    3. ワークロードにアクセスするための適切な権限を構成する必要があります。たとえば、ubuntu VMのポート22 SSHアクセス。

次の図は、Microsoft Azureに2つのサイトと2つの仮想ネットワークがあるネットワークを示しています。

ローカライズされた画像

Microsoft Azure Virtual WANを設定する

オンプレミスの SD-WAN ブランチが Azure に接続し、IPSec トンネル経由でリソースにアクセスする場合は、次の手順を完了する必要があります。

  1. WANリソースの構成。
  2. SDsec-WANブランチがIPsecトンネルを使用してAzureに接続できるようにします。

SD-WANアプライアンスに接続するために必要なAzureリソースが事前に利用可能である必要があるため、SD-WANネットワークを構成する前にAzureネットワークを構成します。ただし、必要に応じて、Azureリソースを構成する前にSD-WAN構成を構成できます。このトピックでは、SD-WANアプライアンスを構成する前に、まずAzure仮想WANネットワークをセットアップする方法について説明します。 https://microsoft.com 紺碧バーチャルワン

WANリソースを作成する

仮想WAN機能を使用してオンプレミスのブランチアプライアンスをAzureに接続するには:

  1. Azure仮想WANに移動します。Microsoft Azureにサインインし、[ WANの作成]を選択します 。

    ローカライズされた画像

  2. WANの名前を入力し、WANに使用するサブスクリプションを選択します。 ローカライズされた画像

  3. 既存のリソースグループを選択するか、新しいリソースグループを作成します。リソースグループは論理的な構造であり、リソースグループ間のデータ交換は常に可能です。
  4. リソースグループを配置する場所を選択します。WANは、場所を持たないグローバルリソースです。ただし、WAN リソースのメタデータを含むリソースグループの場所を入力する必要があります。

  5. [作成] をクリックします。これにより、設定を検証して展開するプロセスが開始されます。

サイトを作成

優先ベンダーを使用してサイトを作成できます。優先ベンダーは、デバイスとサイトに関する情報をAzureに送信するか、デバイスを自分で管理することを決定できます。デバイスを管理する場合は、Azure Portalでサイトを作成する必要があります。

SD-WANネットワークとMicrosoft Azure仮想WANワークフロー

SD-WANアプライアンスを構成します。

  1. Citrix SD-WANアプライアンスのプロビジョニング
    • SD-WANブランチアプライアンスをMCNアプライアンスに接続します。
  2. SD-WANアプライアンスを構成する
    • アクティブ/アクティブ接続用のイントラネットサービスを構成します。

SD-WAN Center を構成します。

  • SD-WAN Center を構成してMicrosoft Azureに接続します。

Azure設定を構成する:

  • テナントID、クライアントID、セキュアキー、サブスクライバーID、およびリソースグループを提供します。

WANアソシエーションへのブランチサイトの構成:

  1. 1つのWANリソースをブランチに関連付けます。同じサイトを複数のWANに接続することはできません。
  2. [ 新規] をクリックして、サイトとWANの関連付けを構成します。
  3. Azure Wan-resourcesを選択します。
  4. サイトの[ サービス (イントラネット)]を選択します 。Active-Standbyサポート用に2つのサービスを選択します。
  5. WANリソースに関連付ける サイト名 を選択します 。
  6. [ デプロイ] をクリックして、関連付けを確認します。
  7. ステータスが[ Tunnels Deployed]に変わるのを待って、IPsecトンネル 設定を表示します。
  8. SD-WAN Center レポートビューを使用して、それぞれのIPsecトンネルのステータスを確認します。

Citrix SD-WANネットワークを構成する

MCN:

MCNは、初期システム構成およびその後の構成変更の配布ポイントとして機能します。仮想WANに存在できるアクティブなMCNは1つだけです。 デフォルトでは、アプライアンスにはクライアントの役割が事前に割り当てられています。アプライアンスをMCNとして確立するには、まずサイトをMCNとして追加して構成する必要があります。ネットワーク構成GUIは、サイトがMCNとして構成された後に使用可能になります。アップグレードおよび構成の変更は、MCNまたはSD-WAN Centerからのみ実行する必要があります。

MCNの役割:

MCNは、SD-WANネットワークのコントローラーとして機能する中央ノードであり、クライアントノードの中央管理ポイントです。すべての設定作業、およびファームウェアパッケージの準備とクライアントへの配布は、MCN 上で設定されます。また、監視情報はMCNでのみ利用できます。MCNはSD-WANネットワーク全体を監視できますが、クライアントノードはローカルイントラネットとそれらが接続されているクライアントの一部の情報のみを監視できます。MCNの主な目的は、エンタープライズサイト間通信のためにSD-WANネットワーク全体に配置された1つ以上のクライアントノードとのオーバーレイ接続(仮想パス)を確立することです。MCNは、複数のクライアントノードを管理し、仮想パスを持つことができます。複数のMCNを設定できますが、一度にアクティブにできるのは1つだけです。次の図は、小規模な2サイトネットワークのMCNおよびクライアント(ブランチノード)アプライアンスの基本的な図を示しています。

ローカライズされた画像

SD-WANアプライアンスをMCNとして構成する

MCNを追加して構成するには、まずMCNとして指定しているアプライアンスの管理Webインターフェイスにログインし、管理WebインターフェイスをMCNコンソールモードに切り替える必要があります。MCNコンソールモードでは、現在接続しているManagement Web Interfaceの構成エディターにアクセスできます。その後、構成エディターを使用してMCNサイトを追加および構成できます。

管理WebインターフェイスをMCNコンソールモードに切り替えるには、次の手順を実行します。

  1. MCNとして構成するアプライアンスのSD-WAN管理Webインターフェイスにログインします。
  2. Management Web Interfaceのメイン画面のメインメニューバー(ページ上部の青いバー)で[ 構成 ]をクリックします。
  3. ナビゲーションツリー(左側のペイン)で、 [アプライアンスの設定]ブランチ を開き、[ 管理者インターフェイス]をクリックします。
  4. その他」 タブを選択します。その他の管理設定ページが開きます。

    ローカライズされた画像

    [その他]タブページの下部には、[クライアントへの切り替え、MCNコンソール]セクションがあります。**[]このセクションには、アプライアンスのコンソールモードを **切り替える ための[ Switch Console ]ボタンが含まれています。

セクション見出しは、次のように現在のコンソールモードを示します。

  • クライアントコンソールモード(デフォルト)の場合、セクションの見出しは[MCNコンソールに切り替え]です。
  • MCNコンソールモードでは、セクションの見出しは[クライアントコンソールに切り替え]です。

デフォルトでは、新しいアプライアンスはクライアントコンソールモードです。MCNコンソールモードでは、ナビゲーションツリーの構成エディタービューが有効になります。構成エディターはMCNアプライアンスでのみ使用できます。

MCNを構成する

MCNアプライアンスサイトを追加して構成を開始するには、次の手順を実行します。

  1. SD-WANアプライアンスGUIで、 仮想WAN > 構成エディターに移動します。

    ローカライズされた画像

  2. クリック + サイト バーのサイトをクリックして、MCNサイトの追加と構成を開始します。[ サイト の追加 ]ダイアログボックスが表示されます。

    ローカライズされた画像

  3. アプライアンスの地理的な場所と役割を決定できるサイト名を入力します (DC/secondary DC)。正しいアプライアンスモデルを選択します。ハードウェアプラットフォームは処理能力とライセンスの点で互いに異なるため、正しいアプライアンスを選択することが重要です。このアプライアンスをプライマリヘッドエンドアプライアンスとして構成しているため、モードをプライマリMCNとして選択し、[ 追加] をクリックします。

  4. これにより、サイトツリーに新しいサイトが追加され、デフォルトビューには、以下に示すような基本設定の構成ページが表示されます。

    ローカライズされた画像

  5. 場所、サイト名などの基本設定を入力します。

  6. からのトラフィックを受け入れることができるようにアプライアンスを構成します Internet/MPLS/Broadband. リンクが終端するインターフェースを定義します。これは、アプライアンスがオーバーレイモードかアンダーレイモードかによって異なります。
  7. [ Interface groups ] をクリックして、インターフェイスの定義を開始します。

    ローカライズされた画像

  8. クリック + 仮想インターフェイスグループを追加します。これにより、新しい仮想インターフェースグループが追加されます。仮想インターフェースの数は、アプライアンスで処理するリンクによって異なります。アプライアンスが処理できるリンクの数は、アプライアンスモデルによって異なり、最大リンク数は最大8です。

    ローカライズされた画像

  9. クリック + 以下に示すように、仮想インターフェイスの右側にある画面を表示します。

    ローカライズされた画像

  10. この仮想インターフェイスの一部を形成する イーサネットインターフェイスを選択します。プラットフォームモデルに応じて、アプライアンスには事前に構成されたフェイルツーワイヤーインターフェイスのペアがあります。アプライアンスでワイヤーフェイルを有効にする場合は、正しいインターフェイスのペアを選択していることを確認し、 バイパスモード 列でワイヤーフェイルを選択していることを確認してください。
  11. ドロップダウンリストからセキュリティレベルを選択します。インターフェイスがMPLSリンクを提供している場合は信頼モードが選択され、それぞれのインターフェイスでインターネットリンクが使用されている場合は非信頼モードが選択されます。
  12. クリック + 仮想インターフェースという名前のラベルの右側。名前、ファイアウォールゾーン、VLAN IDが表示されます。この仮想インターフェイスグループの 名前とVLAN ID を入力します 。VLAN IDは、仮想インターフェースとの間のトラフィックの識別とマーキングに使用され、0(ゼロ)を使用して native/untagged トラフィック。

    ローカライズされた画像

  13. ワイヤに失敗したインターフェイスを設定するには、[Bridge pais] をクリックします。これにより、新しいブリッジペアが追加され、編集が可能になります。[ 適用] をクリックして、これらの設定を確認します。
  14. さらに仮想インターフェイスグループを追加するには、 + インターフェースグループの右側に分岐し、上記のように進みます。
  15. インターフェイスを選択したら、次のステップはこれらのインターフェイスにIPアドレスを設定することです。Citrix SD-WAN用語では、これはVIP(仮想IP)と呼ばれます。
  16. サイトビューで続行し、Virtual IP アドレスをクリックして、VIP を設定するためのインターフェイスを表示します。

    ローカライズされた画像

  17. IPアドレスを入力してください / プレフィックス情報を入力し、アドレスが関連付けられている 仮想インターフェイス を選択します。仮想IPアドレスには、完全なホストアドレスとネットマスクを含める必要があります。ファイアウォールゾーン、ID、プライベート、セキュリティなど、仮想IPアドレスに必要な設定を選択します。[Apply] をクリックします。これにより、サイトにアドレス情報が追加され、サイトの仮想IPアドレステーブルに含まれます。さらに仮想IPアドレスを追加するには、 + 仮想IPアドレスの右側に、上記のように進みます。

  18. サイトセクションに進み、サイトのWANリンクを構成します。

    ローカライズされた画像

  19. 右側のパネルの上部にある[ リンクを追加]をクリックします。これによりダイアログボックスが開き、設定するリンクのタイプを選択できます。

    ローカライズされた画像

  20. 公衆インターネットは Internet/broadband/DSL/ADSL プライベートMPLSはMPLSリンク用です。プライベートイントラネットもMPLSリンク用です。プライベートMPLSとプライベートイントラネットリンクの違いは、プライベートMPLSではMPLSリンクのQoSポリシーを保持できることです。
  21. パブリックインターネットを選択していて、IPがDHCP経由で割り当てられている場合は、IPの自動検出オプションを選択します。
  22. WANリンク構成ページで[ アクセスインターフェイス] を選択します。これにより、サイトのアクセスインターフェイスビューが開きます。以下に示すように、各リンクのVIPおよびゲートウェイIPを追加して構成します。

    ローカライズされた画像

  23. クリック + インターフェースを追加します。**これにより、テーブルに空白のエントリが追加され、編集用に開かれます。

  24. このインターフェイスに割り当てる名前を入力します。リンクの種類と場所に基づいて名前を付けることができます。ネットワークを分離してインターフェイスにIPを割り当てない場合は、ルーティングドメインをデフォルトのままにします。
  25. リンクがインターネットリンクの場合は、パブリックにアクセス可能なゲートウェイ IP アドレス、リンクが MPLS リンクの場合は、プライベート IP アドレスを指定してください。このパスが仮想パスを形成するために必要なので、仮想パスモードをプライマリのままにします。

    注意: ゲートウェイに到達できない場合、アプライアンスはゲートウェイIPアドレスのARP要求に応答するため、プロキシARPを有効にします。

  26. 適用」 をクリックして、WANリンクの構成を完了します。さらにWANリンクを構成する場合は、別のリンクに対して手順を繰り返します。
  27. サイトのルートを構成します。[接続] ビューをクリックし、ルートを選択します。
  28. クリック + ルートを追加するには、次のようなダイアログボックスを開きます。

    ローカライズされた画像

  29. 新しいルートで利用できる次の情報を入力します。

    • ネットワークIPアドレス
    • コスト–コストは、他のルートよりも優先されるルートを決定します。低コストのパスは、高コストのルートよりも優先されます。デフォルト値は5です。
    • サービスの種類–サービスを選択します。サービスは次のいずれかです。
      • 仮想パス
      • イントラネット
      • インターネット
      • パススルー
      • ローカル
      • GREトンネル
      • LAN IPsecトンネル
  30. [Apply] をクリックします。

サイトのルートをさらに追加するには、 + ルート分岐の右側にあり、上記のように進みます。詳しくは、「MCNを構成する」を参照してください。

MCNとブランチサイト間の仮想パスを構成する

MCNとブランチノード間の接続を確立します。これを行うには、これら2つのサイト間に仮想パスを構成します。構成エディターの構成ツリーの「 接続」 タブにナビゲートします。

  1. 構成セクションの[ 接続 ]タブをクリックします。これにより、構成ツリーの接続セクションが表示されます。
  2. 接続 セクションページの[サイトを表示]ドロップダウンメニューから MCN を選択します。

    ローカライズされた画像

  3. [接続]タブの下から仮想パスを選択して、MCNとブランチサイトの間に仮想パスを作成します。

    ローカライズされた画像

  4. 仮想パスセクションの静的仮想パスの名前の横にある[ 仮想パスの追加]を クリックします。これにより、次のようなダイアログボックスが開きます。仮想パスを構成するブランチを選択します。これは、リモートサイトという名前のラベルの下で構成する必要があります。このドロップダウンリストからブランチノードを選択し、[ ReverseAs] チェックボックスをクリックします。

    ローカライズされた画像

    トラフィックの分類とステアリングは、仮想パスの両方のサイトでミラーリングされます。これが完了したら、以下に示すように、セクションというラベルの下のドロップダウンメニューからパスを選択します。

    ローカライズされた画像

  5. クリック + [パスの追加]ダイアログボックスを表示するパステーブルの上に 追加し ます。仮想パスを構成する必要があるエンドポイントを指定します。次に、[ 追加 ] をクリックしてパスを作成し、[ 逆も同様] チェックボックスをクリックします 。

    注意: Citrix SD-WANは、双方向のリンク品質を測定します。つまり、ポイントAからポイントBは1つのパスであり、ポイントBからポイントAは別のパスです。リンク状態の単方向測定を利用して、SD-WANはトラフィックを送信するための最適なルートを選択できます。これは、レイテンシを測定するための双方向メトリックであるRTTなどの測定とは異なります。たとえば、ポイントAとポイントBの間の1つの接続は2つのパスとして表示され、それぞれについてリンクパフォーマンスメトリックが個別に計算されます。

この設定は、MCNとブランチの間の仮想パスを起動するのに十分です。他の構成オプションも使用できます。詳細については、 MCNとクライアントサイト間の仮想パスサービスを構成するを参照してください。

MCN構成を展開する

次のステップは、構成をデプロイすることです。これには、次の2つの手順が含まれます。

  1. SD-WAN構成パッケージを変更管理にエクスポートします。

    • アプライアンスパッケージを生成する前に、完成した構成パッケージを 構成エディター からMCNのグローバル 変更管理 ステージング受信トレイにエクスポートする必要があります。「変更管理を実行する」セクションに記載されている手順を参照してください。
  2. アプライアンスパッケージを生成してステージングします。

    • 新しい構成パッケージを変更管理の受信ボックスに追加したら、ブランチサイトでアプライアンスパッケージを生成してステージングできます。これを行うには、MCNの管理Webインターフェイスで変更管理ウィザードを使用します。「ステージアプライアンスパッケージ」セクションに記載されている手順を参照してください。

Azure WANリソースと接続するようにイントラネットサービスを構成する

  1. SD-WANアプライアンスGUIで、[ 構成エディター]に移動し、[ 接続] タイルに移動します。クリック + サービス を追加して、そのサイトのイントラネットサービスを追加します。 ローカライズされた画像

  2. イントラネットサービスの 基本設定 には、WANリンクが使用できないときにイントラネットサービスをどのように動作させるかについて、いくつかのオプションがあります。

    • プライマリ再利用を有効にする –選択したプライマリリンクがフェイルオーバー後に起動したときに引き継ぐ場合は、このボックスをオンにします。ただし、このオプションをオンにしない場合は、セカンダリリンクがトラフィックを送信し続けます。
    • WANリンクステータスを無視する –このオプションを有効にすると、構成要素のWANリンクが利用できない場合でも、このイントラネットサービス宛てのパケットは引き続きこのサービスを使用します。 ローカライズされた画像
  3. 基本設定を構成したら、次のステップは、このサービスの構成WANリンクを選択することです。1つのイントラネットサービスに対して最大2つのリンクが選択されます。WANリンクを選択するには、セクションというラベルのドロップダウンからWANリンクオプションを選択してください。WANリンクはプライマリモードとセカンダリモードで機能し、1つのリンクのみがプライマリWANリンクとして選択されます。

    注意: 2番目のイントラネットサービスを作成するときは、プライマリとセカンダリのwan-linkマッピングが必要です。

    ローカライズされた画像

  4. ブランチサイト固有のルールを使用できるので、グローバルなデフォルトセットで構成されている一般的な設定をオーバーライドして、各ブランチサイトをカスタマイズできます。モードには、特定のWANリンクを介した望ましい配信や、フィルタリングされたトラフィックのパススルーまたは破棄を可能にする上書きサービスとしての配信が含まれます。たとえば、イントラネットサービスを通過したくないトラフィックがある場合は、そのトラフィックを破棄するか、別のサービス(インターネットまたはパススルー)経由で送信するルールを記述できます。

    ローカライズされた画像

  5. サイトでイントラネットサービスを有効にすると、 プロビジョニング タイルが利用可能になり、双方向(LANからWANへ)が可能になります / WAN to LAN)WANリンクを利用するさまざまなサービス間でのWANリンクの帯域幅の分配。「 サービス」 セクションでは、帯域幅の割り当てをさらに微調整できます。さらに、公平配分を有効にして、公平配分が実施される前にサービスが最小予約帯域幅を受信できるようにすることができます。

    ローカライズされた画像

SD-WAN Center の構成

次の図は、SD-WAN センターと Azure 仮想 WAN 接続の高レベルのワークフローを説明します。

ローカライズされた画像

Azure設定を構成する:

  • テナントID、クライアントID、セキュアキー、サブスクライバーID、およびリソースグループを提供します。

WANアソシエーションへのブランチサイトの構成:

  • ブランチサイトに 1 つの WAN リソースを関連付けます。同じサイトを複数のWANに接続することはできません。
  • [ 新規] をクリックして、サイトとWANの関連付けを構成します。
  • Azure Wan-resourcesを選択します。
  • サイトの[ サービス (イントラネット)]を選択します 。アクティブ/スタンバイのサポートには、2 つのサービスを選択する必要があります。
  • WANリソースに関連付ける サイト名 を選択します 。
  • [ デプロイ] をクリックして、関連付けを確認します。
  • IPSec トンネル設定を表示するには 、ステータスが「ダウンロード済み」に変わるのを待ちます。
  • SD-WAN Center レポートビューを使用して、それぞれのIPsecトンネルのステータスを確認します。データトラフィックが流れるには、IPSec トンネルのステータスは GREEN である必要があります。

SD-WAN Center のプロビジョニング:

SD-WAN Centerは、Citrix SD-WANの管理およびレポートツールです。仮想WANに必要な構成は、SD-WAN Center で実行されます。SD-WANセンターは仮想フォームファクタ(VPX)としてのみ使用でき、VMware ESXiまたはXenServerハイパーバイザーにインストールする必要があります。SD-WAN Centerアプライアンスの構成に必要な最小リソースは、8 GBのRAMと4つのCPUコアです。SD-WAN Center VMを インストール および 構成、設定 する手順は次のとおりです。

Azure接続用にSD-WAN Center を構成する

必要なサイトのイントラネットサービスが構成され、Azure ポータルのサービスポリシー情報が SDWAN センターで構成されていることを確認します。上記のセクションで説明されている手順を参照してください。SD-WAN センターを使用して Azure WAN リソースに接続する前に、Azure でサードパーティアプリケーション (この場合は SD-WAN センター) を認証するために使用されるサービスプリンシパルを作成する必要があります。 サービスプリンシパルを作成する 詳細については読んでください。

Azure で SD-WAN センターを正常に認証するには、次のパラメーターが使用できる必要があります。

  • テナント ID
  • クライアント ID
  • セキュアキー
  • サブスクライバーID

必要なサイトのイントラネットサービスが構成され、Azure ポータルのサービスポリシー情報が SDWAN センターで構成されていることを確認します。上記のセクションで説明されている手順を参照してください。

SD-WAN Center の認証:

SD-WAN センター UI で、[ 構成 ] > [ クラウド接続] に移動します。Azure接続設定を構成します。Azure VPN接続の構成の詳細については、次のリンクを参照してください。 Azure Resource Manager

ローカライズされた画像

テナント ID、セキュアキー、サブスクライバ ID、およびアプリケーション ID を入力します。この手順は、AzureでSD-WAN Centerを認証するために必要です。上記で入力した資格情報が正しくない場合、認証は失敗し、それ以上のアクションは許可されません。[Apply] をクリックします。

ローカライズされた画像

[ ストレージアカウント] フィールドは、Azureで作成したストレージアカウントを指します。ストレージアカウントを作成していない場合、[ 適用]をクリックすると、サブスクリプションに新しいストレージアカウントが自動的に作成されます。

Azure Virtual WANリソースを取得する:

認証が成功すると、Citrix SD-WANはAzureをポーリングして、Azureポータルにログインした後の最初のステップで作成したAzure仮想WANリソースのリストを取得します。WAN リソースは、ブランチサイトから開始された IPSec トンネルを終了するためのエンドポイントまたはハブです。このリソースは、Azure のネットワーク全体を表します。このWAN内に含めるすべてのハブへのリンクが含まれています。WANは互いに分離されており、共通のハブや、異なるWANリソースの2つの異なるハブ間の接続を含めることはできません。

ローカライズされた画像

ブランチサイトとAzure WANリソースを関連付けるには:

IPsec トンネルを確立するには、ブランチサイトを Azure WAN リソースに関連付ける必要があります。1 つのブランチを複数の Azure 仮想 WAN リソースに接続でき、1 つの Azure 仮想 WAN リソースを複数のオンプレミスのブランチサイトに接続できます。

複数のサイトを追加するには:

一度に複数のサイトを追加し、それらを Azure WAN リソースに関連付けることができます。

  1. [ Add Multiple ] をクリックして、同じサービスセットを持つすべてのサイトを追加し、選択した WAN リソースに関連付けます。

    ローカライズされた画像

  2. Azure WAN リソースのドロップダウンリスト (以下を参照) には、Azure アカウントに属するリソースが事前に入力されています。WAN リソースが作成されていない場合、このリストは空になり、リソースを作成するには Azure ポータルに移動する必要があります。リストにWANリソースが入力されている場合は、ブランチサイトの接続先となる Azure WANリソース を選択します。

    ローカライズされた画像

  3. 作成したイントラネットサービスを選択します。このフィールドでは、2つのイントラネットサービスを選択できます。サービスは、SD-WAN 構成を使用して作成したイントラネットサービスに対応します。

  4. 1つまたはすべてのブランチサイトを選択して、IPsecトンネルの確立プロセスを開始します。選択したイントラネットサービスに基づいて、使用可能なブランチ情報が入力されます。必要なサービスを持つすべてのブランチが表示されます。

    ローカライズされた画像

    ローカライズされた画像

    ローカライズされた画像

単一のサイトを追加するには:

また、サイトを1つずつ(単一)追加し、ネットワークの拡大に合わせて追加することもできます。サイトごとの展開を実行している場合は、上記のように複数のサイトを追加することもできます。

  1. Add New Entry をクリックして、Site-Wanアソシエーションのサイト名を1つ選択します。[ Azureネットワーク へのサイトの構成]ダイアログボックスでサイトを追加します。

    ローカライズされた画像

    ローカライズされた画像

  2. SD-WAN 構成を使用して作成したイントラネットサービスは、[イントラネットサービス] (Tunnel1 および Tunnel2) で選択したサイトに基づいて設定されます。1 つまたは 2 つのイントラネットサービスを選択します。

  3. [ Azure Virtual WAN] ドロップダウンメニューから、サイトを関連付ける必要がある WAN リソースを選択します。

  4. [ デプロイ] をクリックして、関連付けを確認します。ステータス(「プッシュされていない」、「プッシュ済み」、「ダウンロード済み」)が更新され、プロセスについて通知されます。

デプロイプロセスには次のステータスが含まれます。

  • サイト情報をプッシュ
  • VPN構成を待機しています
  • 展開されたトンネル
  • Connection Active(IPsec Tunnel is up)またはConnection Down(IPsec Tunnel is down)

    ローカライズされた画像

IPsec トンネルの設定を表示するには 、[状態] が [接続アクティブ] に変わるまで待ちます。選択したサービスに関連付けられているIPsec設定を表示します。

ローカライズされた画像

SD-WAN Azure設定:

デフォルトでは、変更管理プロセスは自動化されています。つまり、Azure Virtual WANインフラストラクチャで新しい構成が利用可能になると、SD-WAN Center はそれを取得して、ブランチへの適用を自動的に開始します。ただし、ブランチに構成を適用する必要があるタイミングを制御する場合は、この動作は制御されます。自動変更管理を無効にする利点の1つは、この機能と他のSD-WAN機能の構成が個別に管理されることです。 ポーリング間隔オプションは、Azure 仮想 WAN インフラストラクチャの構成の更新を検索する間隔を制御します。ポーリング間隔の推奨時間は 2 分です。

  • ブランチ間の接続を 無効にする– Azure Virtual WANインフラストラクチャを介したブランチ間の通信を無効にします。デフォルトでは、このオプションは無効になっています。これを有効にすると、オンプレミスのブランチは、Azure の仮想 WAN インフラを通じて IPSec 経由で、ブランチ内のリソースと相互に通信できることを意味します。これは、SD-WAN仮想パスを介したブランチ間通信には影響を与えません。ブランチは相互に通信でき、それぞれのブランチと通信できます resources/end このオプションが無効になっている場合でも、仮想パスをポイントします。

  • デバッグレベル –接続の問題がある場合、ログをキャプチャしてデバッグすることができます。

ローカライズされた画像

WANリソースを更新する:

[ 更新 ]アイコンをクリックして、Azure Portalで更新したWANリソースの最新のセットを取得します。更新プロセスが完了すると、「WANリソースが正常に更新されました」というメッセージが表示されます。

ローカライズされた画像

サイトWAN リソースの関連付けの削除

削除を実行する1つまたは複数のマッピングを選択します。内部的には、SD-WANアプライアンスの変更管理プロセスがトリガーされ、成功するまで、[削除]オプションは無効になり、それ以上の削除は実行されません。マッピングを削除するには、Azureポータルで対応するサイトの関連付けを解除するか削除する必要があります。

ローカライズされた画像

ローカライズされた画像

ローカライズされた画像

IPsecトンネルの監視

[SD-WAN センターレポート] ビューに移動して、各 IPsec トンネルのステータスを確認します。データトラフィックが流れるには、トンネルのステータスは GREEN である必要があります。

ローカライズされた画像

Citrix SD-WANを使用したMicrosoft Azure Virtual WANへの接続