Citrix SD-WAN Center

Citrix SD-WANを使用したMicrosoft Azure Virtual WANへの接続

オンプレミスデバイスをAzureに接続するには、コントローラーが必要です。コントローラーはAzure APIを取り込み、Azure WANおよびハブとのサイト間接続を確立します。

Microsoft Azure Virtual WANには、次のコンポーネントとリソースが含まれています。

  • WAN:Microsoft Azureのネットワーク全体を表します。このWAN内に含めるすべてのハブへのリンクが含まれています。WANは互いに分離されており、共通のハブや、異なるWAN内の2つのハブ間の接続を含めることはできません。

  • サイト:オンプレミスVPNデバイスとその設定を表します。サイトは複数のハブに接続できます。Citrix SD-WANを使用すると、この情報をAzureに自動的にエクスポートする組み込みソリューションを使用できます。

  • ハブ:特定の地域におけるネットワークの中核を表します。ハブには、オンプレミスネットワークへの接続やその他のソリューションを可能にするさまざまなサービスエンドポイントが含まれています。サイト間接続は、サイト間でハブVPNエンドポイントに確立されます。

  • ハブ仮想ネットワーク接続:ハブネットワークは、Azure仮想WANハブを仮想ネットワークにシームレスに接続します。現在、同じ仮想HUBリージョン内にある仮想ネットワークへの接続が可能です。

  • ブランチ:ブランチはオンプレミスのCitrix SD-WANアプライアンスであり、顧客のオフィスの場所に存在します。SD-WANコントローラは、ブランチを集中管理します。接続はこれらのブランチの背後から始まり、Azureで終了します。SD-WANコントローラーは、これらのブランチとAzureハブに必要な構成を適用する役割を果たします。

次の図は、仮想WANコンポーネントについて説明しています。

Azure仮想WANコンポーネント

Microsoft Azure Virtual WANの仕組み

  1. SD-WAN Center は、Azure GUIで有効になっているサービスプリンシパル、プリンシパル、またはロールベースのアクセス機能を使用して認証されます。

  2. SD-WAN Center はAzure接続構成を取得し、ローカルデバイスを更新します。これにより、オンプレミスデバイスの構成のダウンロード、編集、更新が自動化されます。

  3. デバイスに正しいAzure構成が設定されると、Azure WANへのサイト間接続(2つのアクティブなIPsecトンネル)が確立されます。Azureでは、IKEv2設定をサポートするためにブランチデバイスコネクタが必要です。BGP構成はオプションです。

    注:IPsecトンネルを確立するためのIPsecパラメーターは標準化されています。

    IPsecプロパティ パラメーター
    Ike暗号化アルゴリズム AES 256
    Ike整合性アルゴリズム SHA 256
    Dhグループ DH2
    IPsec暗号化アルゴリズム GCM AES 256
    IPsec整合性アルゴリズム GCM AES 256
    PFSグループ なし

Azure Virtual WANは、ワークロード仮想ネットワークとハブ間の接続を自動化します。ハブ仮想ネットワーク接続を作成すると、プロビジョニングされたハブとワークロード仮想ネットワーク(VNET)の間に適切な構成が設定されます。

前提条件と要件

Azureハブに接続するブランチサイトを管理するためにAzureおよびSD-WANを構成する前に、次の要件をお読みください。

  1. 仮想WANのAzureサブスクリプションをホワイトリストに登録している。
  2. AzureリソースへのIPsecを確立するSD-WANアプライアンスなどのオンプレミスアプライアンスを用意します。
  3. パブリックIPアドレスとのインターネットリンクがあります。Azureへの接続を確立するには1つのインターネットリンクで十分ですが、同じWANリンクを使用するには2つのIPsecトンネルが必要です。
  4. SD-WANコントローラー–コントローラーは、Azureに接続するためのSD-WANアプライアンスの構成を担当するインターフェイスです。
  5. 少なくとも1つのワークロードを持つAzureのVNET。たとえば、サービスをホストしているVMです。次の点を考慮してください。
    1. 仮想ネットワークには、Azure VPNまたはExpress Routeゲートウェイ、またはネットワーク仮想アプライアンスがあってはなりません。
    2. 仮想ネットワークには、オンプレミスのブランチからアクセスされるワークロードのトラフィックを非仮想WAN仮想ネットワークにルーティングするユーザー定義のルートがあってはなりません。
    3. ワークロードにアクセスするための適切な権限を構成する必要があります。たとえば、ubuntu VMのポート22 SSHアクセス。

  • Citrix SD-WAN 11.1.0 以降では、 自動イントラネットサービスの作成が Azure Virtua WAN 構成に使用されます。10.x から 11.1.x にアップグレードする場合は、以前の Azure 仮想 WAN 構成を削除します。
  • VPN サイトハブ関連付けの一部として、SD-WAN サイトに複数の WAN リンクが構成されている場合は、Azure Portal で事前定義された事前共有キー (数字とアルファベットのみ) を使用します。この VPN サイトに接続されているすべてのハブで、同じ事前共有キーを使用する必要があります。

次の図は、Microsoft Azureに2つのサイトと2つの仮想ネットワークがあるネットワークを示しています。

Azureクラウドのワークロード図

Microsoft Azure Virtual WANを設定する

オンプレミスのSD-WANブランチがAzureに接続し、IPsecトンネルを介してリソースにアクセスするには、次の手順を完了する必要があります。

  1. WANリソースの構成。
  2. SDsec-WANブランチがIPsecトンネルを使用してAzureに接続できるようにします。

SD-WANアプライアンスに接続するために必要なAzureリソースが事前に利用可能である必要があるため、SD-WANネットワークを構成する前にAzureネットワークを構成します。ただし、必要に応じて、Azureリソースを構成する前にSD-WAN構成を構成できます。このトピックでは、SD-WANアプライアンスを構成する前に、まずAzure仮想WANネットワークをセットアップする方法について説明します。 https://microsoft.com Azure virtual-wan

WANリソースを作成する

仮想WAN機能を使用してオンプレミスのブランチアプライアンスをAzureに接続するには:

  1. Azure仮想WANに移動します。Microsoft Azureにサインインし、[ WANの作成]を選択します 。

    WANリソースAzureポータルを作成する

  2. WANの名前を入力し、WANに使用するサブスクリプションを選択します。 WANを作成する

  3. 既存のリソースグループを選択するか、新しいリソースグループを作成します。リソースグループは論理的な構造であり、リソースグループ間のデータ交換は常に可能です。
  4. リソースグループを配置する場所を選択します。WANは、場所を持たないグローバルリソースです。ただし、WANリソースのメタデータを含むリソースグループの場所を入力する必要があります。

  5. [作成] をクリックします。これにより、設定を検証して展開するプロセスが開始されます。

サイトを作成

優先ベンダーを使用してサイトを作成できます。優先ベンダーは、デバイスとサイトに関する情報をAzureに送信するか、デバイスを自分で管理することを決定できます。デバイスを管理する場合は、Azure Portalでサイトを作成する必要があります。

SD-WANネットワークとMicrosoft Azure仮想WANワークフロー

SD-WANアプライアンスを構成します。

  1. Citrix SD-WANアプライアンスのプロビジョニング
    • SD-WANブランチアプライアンスをMCNアプライアンスに接続します。
  2. SD-WANアプライアンスを構成する
    • アクティブ/アクティブ接続用のイントラネットサービスを構成します。

SD-WAN Center を構成します。

  • SD-WAN Center を構成してMicrosoft Azureに接続します。

Azure設定を構成する:

  • テナントID、クライアントID、セキュアキー、サブスクライバーID、およびリソースグループを提供します。

WANアソシエーションへのブランチサイトの構成:

  1. 1つのWANリソースをブランチに関連付けます。同じサイトを複数のWANに接続することはできません。
  2. [ 新規] をクリックして、サイトとWANの関連付けを構成します。
  3. Azure Wan-resourcesを選択します。
  4. サイトの[ サービス (イントラネット)]を選択します 。Active-Standbyサポート用に2つのサービスを選択します。
  5. WANリソースに関連付ける サイト名 を選択します 。
  6. [ デプロイ] をクリックして、関連付けを確認します。
  7. ステータスが[ Tunnels Deployed]に変わるのを待って、IPsecトンネル 設定を表示します。
  8. SD-WAN Center レポートビューを使用して、それぞれのIPsecトンネルのステータスを確認します。

Citrix SD-WANネットワークを構成する

MCN:

MCNは、初期システム構成およびその後の構成変更の配布ポイントとして機能します。仮想WANに存在できるアクティブなMCNは1つだけです。 デフォルトでは、アプライアンスにはクライアントの役割が事前に割り当てられています。アプライアンスをMCNとして確立するには、まずサイトをMCNとして追加して構成する必要があります。ネットワーク構成GUIは、サイトがMCNとして構成された後に使用可能になります。アップグレードおよび構成の変更は、MCNまたはSD-WAN Centerからのみ実行する必要があります。

MCNの役割:

MCNは、SD-WANネットワークのコントローラーとして機能する中央ノードであり、クライアントノードの中央管理ポイントです。ファームウェアパッケージの準備とクライアントへの配布に加えて、すべての構成アクティビティはMCNで構成されます。また、監視情報はMCNでのみ利用できます。MCNはSD-WANネットワーク全体を監視できますが、クライアントノードはローカルイントラネットとそれらが接続されているクライアントの一部の情報のみを監視できます。MCNの主な目的は、エンタープライズサイト間通信のためにSD-WANネットワーク全体に配置された1つ以上のクライアントノードとのオーバーレイ接続(仮想パス)を確立することです。MCNは、複数のクライアントノードを管理し、仮想パスを持つことができます。複数のMCNを設定できますが、一度にアクティブにできるのは1つだけです。次の図は、小規模な2サイトネットワークのMCNおよびクライアント(ブランチノード)アプライアンスの基本的な図を示しています。

MCNブランチのワークフロー

SD-WANアプライアンスをMCNとして構成する

MCNを追加して構成するには、まずMCNとして指定しているアプライアンスの管理Webインターフェイスにログインし、管理WebインターフェイスをMCNコンソールモードに切り替える必要があります。MCNコンソールモードでは、現在接続しているManagement Web Interfaceの構成エディターにアクセスできます。その後、構成エディターを使用してMCNサイトを追加および構成できます。

管理WebインターフェイスをMCNコンソールモードに切り替えるには、次の手順を実行します。

  1. MCNとして構成するアプライアンスのSD-WAN管理Webインターフェイスにログインします。
  2. Management Web Interfaceのメイン画面のメインメニューバー(ページ上部の青いバー)で[ 構成 ]をクリックします。
  3. ナビゲーションツリー(左側のペイン)で、 [アプライアンスの設定]ブランチ を開き、[ 管理者インターフェイス]をクリックします。
  4. その他」 タブを選択します。その他の管理設定ページが開きます。

    ローカライズされた画像

    [その他]タブページの下部には、[クライアントへの切り替え、MCNコンソール]セクションがあります。**[]このセクションには、アプライアンスのコンソールモードを **切り替える ための[ Switch Console ]ボタンが含まれています。

セクション見出しは、次のように現在のコンソールモードを示します。

  • クライアントコンソールモード(デフォルト)の場合、セクションの見出しは[MCNコンソールに切り替え]です。
  • MCNコンソールモードでは、セクションの見出しは[クライアントコンソールに切り替え]です。

デフォルトでは、新しいアプライアンスはクライアントコンソールモードです。MCNコンソールモードでは、ナビゲーションツリーの構成エディタービューが有効になります。構成エディターはMCNアプライアンスでのみ使用できます。

MCNを構成する

MCNアプライアンスサイトを追加して構成を開始するには、次の手順を実行します。

  1. SD-WANアプライアンスGUIで、 仮想WAN > 構成エディターに移動します。

    MCNを構成する

  2. クリック + サイト バーのサイトをクリックして、MCNサイトの追加と構成を開始します。[ サイト の追加 ]ダイアログボックスが表示されます。

    サイトMCN

  3. アプライアンスの地理的な場所と役割を決定できるサイト名を入力します (DC/secondary DC)。正しいアプライアンスモデルを選択します。ハードウェアプラットフォームは処理能力とライセンスの点で互いに異なるため、正しいアプライアンスを選択することが重要です。このアプライアンスをプライマリヘッドエンドアプライアンスとして構成しているため、モードをプライマリMCNとして選択し、[ 追加] をクリックします。

  4. これにより、サイトツリーに新しいサイトが追加され、デフォルトビューには、以下に示すような基本設定の構成ページが表示されます。

    サイトMCNの詳細

  5. 場所、サイト名などの基本設定を入力します。

  6. からのトラフィックを受け入れることができるようにアプライアンスを構成します Internet/MPLS/Broadband. リンクが終端するインターフェースを定義します。これは、アプライアンスがオーバーレイモードかアンダーレイモードかによって異なります。
  7. [ インターフェースグループ] をクリックして、インターフェースの定義を開始します。

    インターフェイスグループMCN

  8. クリック + 仮想インターフェイスグループを追加します。これにより、新しい仮想インターフェースグループが追加されます。仮想インターフェースの数は、アプライアンスで処理するリンクによって異なります。アプライアンスが処理できるリンクの数は、アプライアンスモデルによって異なり、最大リンク数は最大8です。

    仮想IP MCN

  9. クリック + 以下に示すように、仮想インターフェイスの右側にある画面を表示します。

    仮想インターフェイスMCN

  10. この仮想インターフェイスの一部を形成する イーサネットインターフェイスを選択します。プラットフォームモデルに応じて、アプライアンスには事前に構成されたフェイルツーワイヤーインターフェイスのペアがあります。アプライアンスでワイヤーフェイルを有効にする場合は、正しいインターフェイスのペアを選択していることを確認し、 バイパスモード 列でワイヤーフェイルを選択していることを確認してください。
  11. ドロップダウンリストからセキュリティレベルを選択します。インターフェイスがMPLSリンクを提供している場合は信頼モードが選択され、それぞれのインターフェイスでインターネットリンクが使用されている場合は非信頼モードが選択されます。
  12. クリック + 仮想インターフェースという名前のラベルの右側。名前、ファイアウォールゾーン、VLAN IDが表示されます。この仮想インターフェイスグループの 名前とVLAN ID を入力します 。VLAN IDは、仮想インターフェースとの間のトラフィックの識別とマーキングに使用され、0(ゼロ)を使用して native/untagged トラフィック。

    VLAN ID MCN

  13. 配線に失敗したインターフェイスを設定するには、[ブリッジペア]をクリックします。これにより、新しいブリッジペアが追加され、編集が可能になります。[ 適用] をクリックして、これらの設定を確認します。
  14. さらに仮想インターフェイスグループを追加するには、 + インターフェースグループの右側に分岐し、上記のように進みます。
  15. インターフェイスを選択したら、次のステップはこれらのインターフェイスにIPアドレスを設定することです。Citrix SD-WAN用語では、これはVIP(仮想IP)と呼ばれます。
  16. サイトビューで続行し、仮想IPアドレスをクリックして、VIPを構成するためのインターフェイスを表示します。

    VIP MCNを構成する

  17. IPアドレスを入力してください / プレフィックス情報を入力し、アドレスが関連付けられている 仮想インターフェイス を選択します。仮想IPアドレスには、完全なホストアドレスとネットマスクを含める必要があります。ファイアウォールゾーン、ID、プライベート、セキュリティなど、仮想IPアドレスに必要な設定を選択します。[Apply] をクリックします。これにより、サイトにアドレス情報が追加され、サイトの仮想IPアドレステーブルに含まれます。さらに仮想IPアドレスを追加するには、 + 仮想IPアドレスの右側に、上記のように進みます。

  18. サイトセクションに進み、サイトのWANリンクを構成します。

    WANリンクMCN

  19. 右側のパネルの上部にある[ リンクを追加]をクリックします。これによりダイアログボックスが開き、設定するリンクのタイプを選択できます。

    リンクMCNを追加

  20. 公衆インターネットは Internet/broadband/DSL/ADSL プライベートMPLSはMPLSリンク用です。プライベートイントラネットもMPLSリンク用です。プライベートMPLSとプライベートイントラネットリンクの違いは、プライベートMPLSではMPLSリンクのQoSポリシーを保持できることです。
  21. パブリックインターネットを選択していて、IPがDHCP経由で割り当てられている場合は、IPの自動検出オプションを選択します。
  22. WANリンク構成ページで[ アクセスインターフェイス] を選択します。これにより、サイトのアクセスインターフェイスビューが開きます。以下に示すように、各リンクのVIPおよびゲートウェイIPを追加して構成します。

    アクセスインターフェイスMCN

  23. クリック + インターフェースを追加します。**これにより、テーブルに空白のエントリが追加され、編集用に開かれます。

  24. このインターフェイスに割り当てる名前を入力します。リンクの種類と場所に基づいて名前を付けることができます。ネットワークを分離してインターフェイスにIPを割り当てない場合は、ルーティングドメインをデフォルトのままにします。
  25. リンクがインターネットリンクの場合はパブリックに到達可能なゲートウェイIPアドレスを、リンクがMPLSリンクの場合はプライベートIPを指定してください。このパスが仮想パスを形成するために必要なので、仮想パスモードをプライマリのままにします。

    注意: ゲートウェイに到達できない場合、アプライアンスはゲートウェイIPアドレスのARP要求に応答するため、プロキシARPを有効にします。

  26. 適用」 をクリックして、WANリンクの構成を完了します。さらにWANリンクを構成する場合は、別のリンクに対して手順を繰り返します。
  27. サイトのルートを構成します。[接続]ビューをクリックして、ルートを選択します。
  28. クリック + ルートを追加するには、次のようなダイアログボックスを開きます。

    ルートMCNを追加

  29. 新しいルートで利用できる次の情報を入力します。

    • ネットワークIPアドレス
    • コスト–コストは、他のルートよりも優先されるルートを決定します。低コストのパスは、高コストのルートよりも優先されます。デフォルト値は5です。
    • サービスの種類–サービスを選択します。サービスは次のいずれかです。
      • 仮想パス
      • イントラネット
      • インターネット
      • パススルー
      • ローカル
      • GREトンネル
      • LAN IPsecトンネル
  30. [Apply] をクリックします。

サイトのルートをさらに追加するには、 + ルート分岐の右側にあり、上記のように進みます。詳しくは、「MCNを構成する」を参照してください。

MCNとブランチサイト間の仮想パスを構成する

MCNとブランチノード間の接続を確立します。これを行うには、これら2つのサイト間に仮想パスを構成します。構成エディターの構成ツリーの「 接続」 タブにナビゲートします。

  1. 構成セクションの[ 接続 ]タブをクリックします。これにより、構成ツリーの接続セクションが表示されます。
  2. 接続 セクションページの[サイトを表示]ドロップダウンメニューから MCN を選択します。

    MCNビュー

  3. [接続]タブの下から仮想パスを選択して、MCNとブランチサイトの間に仮想パスを作成します。

    仮想パスブランチ

  4. 仮想パスセクションの静的仮想パスの名前の横にある[ 仮想パスの追加]を クリックします。これにより、次のようなダイアログボックスが開きます。仮想パスを構成するブランチを選択します。これは、リモートサイトというラベルで構成する必要があります。このドロップダウンリストからブランチノードを選択し、チェックボックス[ 逆も同様]をクリックします。

    仮想パスブランチを追加する

    トラフィックの分類とステアリングは、仮想パスの両方のサイトでミラーリングされます。これが完了したら、以下に示すように、セクションというラベルの下のドロップダウンメニューからパスを選択します。

    交通支店

  5. クリック + [パスの追加]ダイアログボックスを表示するパステーブルの上に 追加し ます。仮想パスを構成する必要があるエンドポイントを指定します。次に、[ 追加 ] をクリックしてパスを作成し、[ 逆も同様] チェックボックスをクリックします 。

    注意: Citrix SD-WANは、双方向のリンク品質を測定します。つまり、ポイントAからポイントBは1つのパスであり、ポイントBからポイントAは別のパスです。リンク状態の単方向測定を利用して、SD-WANはトラフィックを送信するための最適なルートを選択できます。これは、レイテンシを測定するための双方向メトリックであるRTTなどの測定とは異なります。たとえば、ポイントAとポイントBの間の1つの接続は2つのパスとして表示され、それぞれについてリンクパフォーマンスメトリックが個別に計算されます。

この設定は、MCNとブランチの間の仮想パスを起動するのに十分です。他の構成オプションも使用できます。詳細については、 MCNとクライアントサイト間の仮想パスサービスを構成するを参照してください。

MCN構成を展開する

次のステップは、構成をデプロイすることです。これには、次の2つの手順が含まれます。

  1. SD-WAN構成パッケージを変更管理にエクスポートします。

    • アプライアンスパッケージを生成する前に、完成した構成パッケージを 構成エディター からMCNのグローバル 変更管理 ステージング受信トレイにエクスポートする必要があります。「変更管理を実行する」セクションに記載されている手順を参照してください。
  2. アプライアンスパッケージを生成してステージングします。

    • 新しい構成パッケージを変更管理の受信ボックスに追加したら、ブランチサイトでアプライアンスパッケージを生成してステージングできます。これを行うには、MCNの管理Webインターフェイスで変更管理ウィザードを使用します。「ステージアプライアンスパッケージ」セクションに記載されている手順を参照してください。

Azure WANリソースと接続するようにイントラネットサービスを構成する

  1. SD-WANアプライアンスGUIで、[ 構成エディター]に移動し、[ 接続] タイルに移動します。クリック + サービス を追加して、そのサイトのイントラネットサービスを追加します。 インターネットサービスAzure

  2. イントラネットサービスの 基本設定 には、WANリンクが使用できないときにイントラネットサービスをどのように動作させるかについて、いくつかのオプションがあります。

    • プライマリ再利用を有効にする –選択したプライマリリンクがフェイルオーバー後に起動したときに引き継ぐ場合は、このボックスをオンにします。ただし、このオプションをオンにしない場合は、セカンダリリンクがトラフィックを送信し続けます。
    • WANリンクステータスを無視する –このオプションを有効にすると、構成要素のWANリンクが利用できない場合でも、このイントラネットサービス宛てのパケットは引き続きこのサービスを使用します。 WANリンクイントラネットサービス
  3. 基本設定を構成したら、次のステップは、このサービスの構成WANリンクを選択することです。1つのイントラネットサービスに対して最大2つのリンクが選択されます。WANリンクを選択するには、セクションというラベルの付いたドロップダウンリストからWANリンクオプションを選択してください。WANリンクはプライマリモードとセカンダリモードで機能し、1つのリンクのみがプライマリWANリンクとして選択されます。

    注意: 2番目のイントラネットサービスを作成するときは、プライマリとセカンダリのwan-linkマッピングが必要です。

    WANリンクマッピング

  4. ブランチサイト固有のルールを使用できるので、グローバルなデフォルトセットで構成されている一般的な設定をオーバーライドして、各ブランチサイトをカスタマイズできます。モードには、特定のWANリンクを介した望ましい配信や、フィルタリングされたトラフィックのパススルーまたは破棄を可能にする上書きサービスとしての配信が含まれます。たとえば、イントラネットサービスを経由したくないトラフィックがある場合、そのトラフィックを破棄するか、別のサービス(インターネットまたはパススルー)を介して送信するルールを作成できます。

    ブランチサイトルール

  5. サイトでイントラネットサービスを有効にすると、 プロビジョニング タイルが利用可能になり、双方向(LANからWANへ)が可能になります / WAN to LAN)WANリンクを利用するさまざまなサービス間でのWANリンクの帯域幅の分配。「 サービス」 セクションでは、帯域幅の割り当てをさらに微調整できます。さらに、公平配分を有効にして、公平配分が実施される前にサービスが最小予約帯域幅を受信できるようにすることができます。

    LAN WAN

SD-WAN Center の構成

次の図は、SD-WAN Center とAzure Virtual WAN接続の高レベルのワークフロー、および対応するデプロイメントの状態遷移を示しています。

AVWAN状態図

Azure設定を構成する:

  • AzureテナントID、アプリケーションID、シークレットキー、およびサブスクリプションID(サービスプリンシパルとも呼ばれる)を提供します。

WANアソシエーションへのブランチサイトの構成:

  • ブランチサイトをWANリソースに関連付けます。同じサイトを複数のWANに接続することはできません。
  • [ 新規] をクリックして、サイトとWANの関連付けを構成します。
  • [ Azure WAN-resources]を選択します 。
  • WANリソースに関連付ける サイト名 を選択します。
  • [ デプロイ] をクリックして、関連付けを確認します。トンネルの展開に使用されるWANリンクは、リンク容量が最適なもので自動的に読み込まれます。
  • ステータスが「展開された トンネル 」に変わるのを待って、 IPsecトンネル設定を表示します。
  • SD-WAN Center レポートビューを使用して、それぞれのIPsecトンネルのステータスを確認します。データトラフィックが流れるには、接続がアクティブであることを示すIPsecトンネルステータスが緑である必要があります。

SD-WAN Center のプロビジョニング:

SD-WAN Centerは、Citrix SD-WANの管理およびレポートツールです。仮想WANに必要な構成は、SD-WAN Center で実行されます。SD-WAN Centerは仮想フォームファクター(VPX)としてのみ利用可能であり、VMware ESXiまたはXenServerハイパーバイザーにインストールする必要があります。SD-WAN Centerアプライアンスの構成に必要な最小リソースは、8 GBのRAMと4つのCPUコアです。SD-WAN Center VMを インストール および 構成、設定 する手順は次のとおりです。

Azure接続用にSD-WAN Center を構成する

詳細については、 サービスプリンシパルを作成する をご覧ください。

AzureでSD-WAN Centerを正常に認証するには、次のパラメーターを使用できる必要があります。

  • ディレクトリ(テナントID)
  • アプリケーション(クライアントID)
  • セキュアキー(クライアントシークレット)
  • サブスクライバーID

SD-WAN Center の認証:

SD-WAN Center UIで、 構成> クラウド接続 > Azure > 仮想WAN に移動します 。Azure接続設定を構成します。Azure VPN接続の構成の詳細については、次のリンクを参照してください。 Azure Resource Manager

SDWANランディングページ

11.1.0 リリースでは、Azure 仮想 WAN 統合のためのプライマリおよびセカンダリ WAN リンク構成がサポートされています。セカンダリWANリンクを追加する主な理由は、Citrix SD-WANサイトに冗長性を持たせるためです。

以前の実装では、WANリンクに障害が発生すると、トラフィックが中断し、Azure Virtual WANへの接続が失われる可能性があります。現在の実装では、プライマリWANリンクがダウンしていても、サイトからAzureへの仮想WAN接続は維持されます。

サブスクリプションIDテナントIDアプリケーションID 、および セキュアキーを入力します。この手順は、AzureでSD-WAN Centerを認証するために必要です。上記で入力した資格情報が正しくない場合、認証は失敗し、それ以上のアクションは許可されません。[Apply] をクリックします。

Azureの設定

[ ストレージアカウント] フィールドは、Azureで作成したストレージアカウントを指します。ストレージアカウントを作成していない場合、[ 適用]をクリックすると、サブスクリプションに新しいストレージアカウントが自動的に作成されます。

Azure Virtual WANリソースを取得する:

認証が成功すると、Citrix SD-WANはAzureをポーリングして、Azureポータルにログインした後の最初のステップで作成したAzure仮想WANリソースのリストを取得します。WANリソースは、Azure内のネットワーク全体を表します。このWAN内に含めるすべてのハブへのリンクが含まれています。WANは互いに分離されており、共通のハブや、異なるWANリソースの2つの異なるハブ間の接続を含めることはできません。

SDWANセンタークラウド接続

ブランチサイトとAzure WANリソースを関連付けるには:

IPsecトンネルを確立するには、ブランチサイトをAzure WANリソースに関連付ける必要があります。1つのブランチはAzure仮想WANリソース内の複数のハブに接続でき、1つのAzure仮想WANリソースは複数のオンプレミスブランチサイトに接続できます。各ブランチからAzureへの仮想WANリソースデプロイメントの単一行を作成します。

複数のサイトを追加するには:

それぞれのサイトをすべて追加して、選択した単一のWANリソースに関連付けることができます。

  1. [ 複数追加]を クリックして、選択したWANリソースに関連付ける必要のあるすべてのサイトを追加します。

    複数のリンクを追加する

  2. Azure WANリソースのドロップダウンリスト(下に表示)には、Azureアカウントに属するリソースが事前に入力されています。WANリソースが作成されていない場合、このリストは空であるため、Azureポータルに移動してリソースを作成する必要があります。リストにWANリソースが入力されている場合は、ブランチサイトの接続先となる Azure WANリソース を選択します。

  3. 1つまたはすべてのブランチサイトを選択して、IPsecトンネルの確立プロセスを開始します。サイトの最高容量のパブリックインターネットWANリンクが自動的に選択され、Azure VPN GatewayへのIPsecトンネルが確立されます。

    AVWAN追加マルチ

単一のサイトを追加するには:

また、サイトを1つずつ(単一)追加し、ネットワークの拡大に合わせて追加することもできます。サイトごとの展開を実行している場合は、上記のように複数のサイトを追加することもできます。

  1. Add New Entry をクリックして、Site-Wanアソシエーションのサイト名を1つ選択します。[ Azureネットワーク へのサイトの構成]ダイアログボックスでサイトを追加します。

    AVWAN追加サイト

    AVWANは追加サイトを構成します

  2. Azure Virtual WANネットワークに構成するブランチサイトを選択します。

  3. サイトに関連付けられているWANリンクを選択します(パブリックインターネットタイプのリンクは、物理リンクの容量が大きい順にリストされています)

  4. Azure Virtual WANs ドロップダウンメニューから、サイトを関連付ける必要があるWANリソースを選択します。

  5. [ デプロイ] をクリックして、関連付けを確認します。ステータス(「初期化サイト情報」「プッシュされたサイト情報」 & 「VPN構成を待機しています」)が更新され、プロセスについて通知されます。

デプロイプロセスには次のステータスが含まれます。

  • サイト情報をプッシュ
  • VPN構成を待機しています
  • 展開されたトンネル
  • Connection Active(IPsec Tunnel is up)またはConnection Down(IPsec Tunnel is down)

    AVWAN導入の成功

Associate Site Wan Resource Mappings(Azureポータル):

Azureポータルにデプロイされたサイトを、Azure仮想WANリソースの下に作成された仮想HUBに関連付けます。1つ以上の仮想HUBをブランチサイトに関連付けることができます。各仮想HUBは特定のリージョンに作成され、仮想ネットワーク接続を作成することにより、特定のワークロードを仮想HUBに関連付けることができます。ブランチサイトと仮想HUBの関連付けが成功した後にのみ、VPN構成がダウンロードされ、サイトからVPN GatewayへのそれぞれのIPsecトンネルが確立されます。

ステータスが[展開されたトンネル]または[接続がアクティブ]に変わるのを待って、 IPsecトンネル 設定を表示します。選択したサービスに関連付けられているIPsec設定を表示します。

AVWAN接続がアクティブ

AVWANトンネルのプロパティ

SD-WAN Azure設定:

  • SD-WAN変更管理を無効にする –デフォルトでは、変更管理プロセスは自動化されています。つまり、Azure Virtual WANインフラストラクチャで新しい構成が利用可能になると、SD-WAN Center はそれを取得して、ブランチへの適用を自動的に開始します。ただし、構成をブランチに適用する必要がある場合を制御する場合は、この動作が制御されます。自動変更管理を無効にする利点の1つは、この機能と他のSD-WAN機能の構成が個別に管理されることです。

  • SDWANポーリングを無効にする–すべてのSD-WAN Azureの新しい展開と既存の展開でのポーリングを無効にします。

  • ポーリング間隔 - ポーリング間隔オプションは、Azure仮想WANインフラストラクチャで構成の更新を検索する間隔を制御します。ポーリング間隔の推奨時間は1時間です。

  • ブランチ間の接続を 無効にする– Azure Virtual WANインフラストラクチャを介したブランチ間の通信を無効にします。デフォルトでは、このオプションは無効になっています。これを有効にすると、オンプレミスのブランチが相互に通信でき、Azureの仮想WANインフラを介してIPsecを介してブランチの背後にあるリソースと通信できるようになります。これは、SD-WAN仮想パスを介したブランチ間通信には影響を与えません。ブランチは相互に通信でき、それぞれのブランチと通信できます resources/end このオプションが無効になっている場合でも、仮想パスをポイントします。

  • BGPを無効にする – BGP over IPを無効にします。デフォルトでは無効になっています。有効にすると、サイトルートがBGPを介してアドバタイズされます。

  • デバッグレベル –接続の問題がある場合、ログをキャプチャしてデバッグすることができます。

SDWAN Azure設定

WANリソースを更新する:

[ 更新 ]アイコンをクリックして、Azure Portalで更新したWANリソースの最新のセットを取得します。更新プロセスが完了すると、「WANリソースが正常に更新されました」というメッセージが表示されます。

AVWANリフレッシュWAN

サイトWANリソースの関連付けを削除する

削除を実行する1つまたは複数のマッピングを選択します。内部的には、SD-WANアプライアンスの変更管理プロセスがトリガーされ、成功するまで、[削除]オプションは無効になり、それ以上の削除は実行されません。マッピングを削除するには、Azureポータルで対応するサイトの関連付けを解除するか削除する必要があります。ユーザーはこの操作を手動で実行する必要があります。

AVWAN削除確認

トンネルが作成されると、MCNに作成された2つのイントラネットサービスが表示されます。

2つのイントラネットサービス

各イントラネットサービスは、ピアIP(Azure仮想WANエンドポイントIP)で作成されたIPsecトンネルに対応しています。

ピアIP

イントラネットサービスで、[ セクション]ドロップダウンリストから[ WANリンク] を選択すると、指定したプライマリとセカンダリの両方のWANリンクが表示されます。デフォルトでは、モードは Autoに設定されています。

自動モード

IPsecトンネルの監視

SD-WAN Center UIで、 レポート > IPsec でIPsecトンネルのステータスをチェックする。データトラフィックが流れるためには、トンネルステータスが緑である必要があります。

AVWANモニタリング

Citrix SD-WANを使用したMicrosoft Azure Virtual WANへの接続