Citrix SD-WAN Orchestrator

配送サービス

** 配信サービスを使用すると、インターネット、イントラネット、IPsec、LAN GRE などの配信サービスを構成できます。配信サービスはグローバルに定義され、必要に応じて個々のサイトの WAN リンクに適用されます。

各 WAN リンクは、関連するサービスのすべてまたはサブセットを適用し、すべての配信サービス間で帯域幅の相対共有(%)を設定できます。

仮想パスサービスは、デフォルトですべてのリンクで使用できます。その他のサービスは、必要に応じて追加できます。

デリバリーサービスは、Citrix SD-WAN で利用可能な配信メカニズムで、ビジネス意図に基づいて適切な配信方法を使用してさまざまなアプリケーションやトラフィックプロファイルを操作します。

デリバリーサービスは、大きく次のように分類できます。

  • 仮想パスサービス: SD-WAN アプライアンスまたは仮想インスタンスをホストする 2 つのサイト間で、安全で信頼性が高く、高品質の接続を提供するデュアルエンドオーバーレイ SD-WAN トンネル。

  • インターネットサービス: SD-WAN サイトとパブリックインターネット間の直接チャネル。SD-WAN カプセル化は不要です。Citrix SD-WAN は、複数のインターネットリンクにまたがるインターネット接続のトラフィックに対するセッション負荷分散機能をサポートしています。

  • Cloud Directサービス: ホスト環境に関係なく、インターネットへのすべてのトラフィックに対して SD-WAN 機能を提供するクラウドサービス。

  • イントラネットサービス: SD-WAN サイトから SD-WAN 以外のサイトへのアンダーレイリンクベースの接続。

    トラフィックはカプセル化されていないか、IPSec、GRE などの非仮想パスカプセル化を使用できます。複数のイントラネットサービスを設定できます。

サービスと帯域幅

[ サービスと帯域幅 ] タブでは、インターネットサービスがデフォルトで作成されているを表示できます。支店のトラフィックは、交通機関を使用してインターネットに到達します。このセクションでは、すべての配信サービスにおける新しい配信サービスとデフォルトの帯域幅割り当て割合(%)を定義できます。配信サービス間の帯域幅割り当てのニーズは、関連するリンクの種類によって異なります。

たとえば、複数の SaaS アプリケーションを使用している場合は、インターネットに直接ブレークアウトするために、 ** インターネットサービスのためのインターネットリンクの帯域幅の大部分を割り当てます。MPLS リンクで、SD-WAN サイトに他の SD-WAN サイトまたは非 SD-WAN** サイトへのトラフィックの大部分があるかどうかに応じて、**仮想パスサービスまたはイントラネットサービスの帯域幅を増やします。

要件に基づいて、各リンクタイプ(インターネットリンク、MPLS リンク、プライベートイントラネットリンク)について、配信サービス間のグローバル帯域幅共有デフォルトを定義できます。

サービス設定の帯域幅の詳細

デフォルト値は、個々のリンクで上書きできます。WAN リンクの設定時に、これらのグローバルデフォルトを使用するか、リンク固有のサービス帯域幅設定を構成するかを選択できます。リンク上で任意の配信サービスを有効にしてアクティブにするには、ゼロ以外の帯域幅共有の設定が必要です。

Cloud Directサービス

Cloud Directサービスは、ホスト環境(データセンター、クラウド、インターネット)に関係なく、インターネットへのすべてのトラフィックに対して、信頼性と安全な配信を通じて、SD-WAN機能をクラウドサービスとして提供します。

Cloud Directサービス:

  • ネットワークの可視性と管理性が向上します。
  • パートナーは、ビジネスクリティカルな SaaS アプリケーション用のマネージド SD-WAN サービスをエンドカスタマーに提供できます。

長所

Cloud Direct サービスには次の利点があります。

  • 冗長性: 複数のインターネット WAN リンクを使用し、シームレスなフェールオーバーを実現します。
  • リンクアグリゲーション: すべてのインターネット WAN リンクを同時に使用します。
  • さまざまなプロバイダーからのWAN接続間でのインテリジェントな負荷分散:
    • パケット損失、ジッター、スループットの測定。
    • カスタムアプリケーションの識別。
    • アプリケーション要件と回路パフォーマンスのマッチング(リアルタイムのネットワーク条件に適応)。
  • インターネット回線へのSLAグレードの動的QoS機能:
    • 変化する回路スループットに動的に適応します。
    • 入力エンドポイントと出力エンドポイントでのトンネルを介した適応
  • コールをドロップせずに、回線間でVOIPコールを再ルーティングする
  • エンドツーエンドの監視と可視性。

Cloud Directサービスのサイトを構成するには、顧客レベルから、[ 構成] > [配信サービス] > [サービスと帯域幅] の順に選択しCloud Directサービスの横にある設定アイコンをクリックします

Cloud Directサービス

[ + Cloud Directサービス] をクリックして、サイトを追加します。Cloud Directを使用して特定のアプリケーションを操作するには、 ** デフォルトのCloud Directアプリグループリンクから関連するアプリケーションを追加します。

Cloud Directサービスサイト

** 地域を選択し、それに応じてサイトを選択できます。

Cloud Directサービスリージョン

[ レビュー ] をクリックして選択したサイトを表示し、[ 保存] をクリックします

次の詳細を使用して、サイトが作成されたことがわかります。

  • [ サイトの状態]: サイトが展開されているかどうかを示すステータスが表示されます。展開されている場合、ステータスは Cloud Direct サイトがオンラインかどうかを示すものです。
  • [ サイト名]: Cloud Direct機能が展開されているサイト名が表示されます。
  • プラットフォーム: 選択したサイトについて、対応するアプライアンスモデル名が自動的に入力され、-210-SE のように表示されます。
  • 請求ステータス: 請求ステータスを表示します。
  • ライセンスCloud Direct帯域幅 (Mbps): Cloud Directサブスクリプションの帯域幅情報を表示します。サブスクリプション帯域幅は、Cloud Direct サービスのライセンスに関連付けられます。
  • [ 有効なリンク数]: このサービスで有効になっている WAN リンクの数を表示します。
  • アクション: この SD-WAN アプライアンス用に作成された Cloud Direct サイト構成を削除するか、Cloud Direct サイト構成と WAN リンクの詳細を読み取り専用モードで表示するかを選択できます。

Cloud Directサイト情報

サイトエントリをクリックすると、サブスクリプション帯域幅を編集し、このサービス用に選択されている WAN リンクに変更を加えることができます。また、選択した各 WAN リンクで Cloud Direct サービスの入力(アップロード)速度と出力(ダウンロード)速度を編集することもできます。

  • デフォルトでは、最初の 4 つのインターネット WAN リンクが選択されます。
  • Cloud Direct Ingress(アップロード)および出力(ダウンロード)速度の値は、サブスクリプション帯域幅の値より大きくすることはできません。

Cloud Directサイトの編集

アプリケーションベースのルートのアプリケーションオブジェクトを作成できます。対応するアプリケーションを含めて、アプリケーションルートを作成します。アプリケーションルートは、Cloud Direct サービスを介して操作する必要があります。詳細については、「 ルーティングポリシー」を参照してください

インターネットおよびイントラネットサービスには他にも設定があり、 ** 各サービスに対して表示される設定アイコンを使用してカスタマイズできます。

配送サービスの設定

[ + サービス ] をクリックし、 サービスタイプを選択します。作成するアドオン配信サービスに応じて、必要なサービスタイプを選択し、構成に進みます。

インターネットサービス

インターネットサービスは 、配信サービスの一部としてデフォルトでご利用いただけます。インターネットサービスのルートコストは、他の配信サービスに対して相対的に設定できます。関連するすべてのパスがダウンしている場合でも、リンクからインターネットへのルートを保持することもできます。

インターネットサービス

イントラネットサービス

複数のイントラネットサービスを作成できます。イントラネットサービスをグローバルレベルで作成したら、WAN リンクレベルで参照できます。サービス名を入力し**目的のルーティングドメインとファイアウォールゾーンを選択します**。ネットワーク上のすべてのイントラネット IP アドレスを追加します。このアドレスは、ネットワーク内の他のサイトが相互作用する可能性があります。関連するすべてのパスがダウンしている場合でも、リンクからイントラネットへのルートを保持することもできます。

イントラネットサービスの構成

GRE サービス

LAN 上の GRE トンネルを終了するように SD-WAN アプライアンスを設定できます。

GRE

GREの詳細

  • サービスタイプ:GRE トンネルが使用するサービスを選択します。
  • 名前: LAN GRE サービスの名前。
  • ルーティングドメイン:GRE トンネルのルーティングドメイン。
  • ファイアウォールゾーン:トンネル用に選択されたファイアウォールゾーン。デフォルトでは、トンネルは Default_LAN_Zone に配置されます。
  • MTU: 最大伝送単位 — 特定のリンクを介して転送できる最大の IP データグラムのサイズ。指定できる範囲は 576 ~ 1500 です。デフォルト値は 1500 です。
  • キープアライブ:キープアライブメッセージを送信する間隔。0 に設定すると、キープアライブパケットは送信されませんが、トンネルはアップ状態のままです。
  • キープアライブ再試行:Citrix SD-WAN アプライアンスが応答なしでキープアライブパケットを送信した回数で、トンネルがダウンします。
  • チェックサム:トンネルの GRE ヘッダーのチェックサムを有効または無効にします。

サイトバインディング

  • サイト名:GRE トンネルをマッピングするサイト。
  • 送信元 IP:トンネルの送信元 IP アドレス。これは、このサイトで構成されている仮想インターフェイスの 1 つです。選択したルーティングドメインによって、使用可能な送信元 IP アドレスが決まります。
  • パブリック送信元 IP:トンネルトラフィックが NAT を通過する場合の送信元 IP。
  • 宛先 IP:トンネルの宛先 IP アドレス。
  • トンネル IP/プレフィックス:GRE トンネルの IP アドレスおよびプレフィクス。
  • トンネルGateway IP: トンネルトラフィックをルーティングするネクストホップ IP アドレス。
  • LAN Gateway IP: LAN トラフィックをルーティングするネクストホップ IP アドレス。

Zscaler サービス

Zscaler クラウドセキュリティプラットフォームは、世界中の 100 を超えるデータセンターに一連のセキュリティチェック投稿を提供しています。インターネットトラフィックをZscalerサービスにリダイレクトするだけで、ストア、支店、リモートロケーションをすぐに保護できます。

Citrix SD-WAN Orchestrator は、Zscaler Cloud にパートナー認証を提供します。認証するには、[ 配信サービス]列の下に表示されている Zscaler の横にある [ 設定] アイコンをクリックします。

Zscalerの設定

  • **ユーザ名とパスワードを入力します**。

  • クラウド名: 管理者が Zscaler サービスにログインするために使用する URL で使用できるクラウド名。次の例では、help.zscaler.com は URL で、ZScaler.com はクラウド名です。

    クラウド名

    運用効率を最大化するために、Zscaler は高いスケーラビリティを備えたグローバルなマルチクラウドインフラストラクチャを構築しました。組織には、管理ポータルにログインするために、特定の Zscaler クラウドへのアクセスが提供されます。また、同じZscalerクラウドがその組織から開始されたトラフィックを処理する責任があります。

  • API キー: パートナー統合Citrix SD-WAN キー。

Zscaler

[ + サイト ] をクリックして Zscaler サービスのサイトを追加します。IPSec トンネルは、Zscaler のクラウドネットワーク内の SD-WAN サイトと ZScaler 強制ノード (Zens) の間に確立されます。Zens はトラフィックを双方向で検査し、セキュリティポリシーとコンプライアンスポリシーを適用します。

  • 自動ポップ選択: 選択すると、SD-Orchestrator は、WAN リンクの IP アドレスの地理位置検索に基づいて、サイトに最も近いプライマリおよびセカンダリ ZEN を自動的に選択します。オフにすると、Zens を手動で選択します。

  • プライマリZscalerリージョン: プライマリZenが属するリージョン。

  • プライマリZscaler Pop: プライマリZen.

  • セカンダリZscalerリージョン: セカンダリZenが属するリージョン。

  • セカンダリZscaler ポップ: セカンダリZEN.

  • **リージョンとサイトを選択します**。

Zscaler

**** 設定を確認して保存します。サイトを正常に追加したら、構成の確認、ステージ設定、およびアクティブ化を行います。IPSec トンネルは、設定を正常にアクティブ化すると展開されます。** 情報アイコンは、Zscaler トンネルの構成とステータスの詳細を示します。Zscaler ネットワークへの接続またはサイトの追加に失敗した場合は、[ **更新 ] をクリックして接続を再試行します。

Zscaler サービスの帯域幅を割り当てます。Zscaler サービスのリンク固有の WAN リンク構成では、グローバル割り当て以外の異なる帯域幅割り当てを指定できます。

[ アクション] 列を使用して 、 サイト固有のZscaler構成を編集または削除できます。Zscaler 構成済みのすべてのサイトを一度に削除するには、[すべて削除] をクリックします

Zscaler

IPSec サービス

Citrix SD-WANアプライアンスは、LANまたはWAN側のサードパーティのピアと固定IPSecトンネルをネゴシエートできます。トンネルのエンドポイントを定義し、サイトをトンネルエンドポイントにマッピングできます。

セキュリティプロトコルと IPsec 設定を定義する IPsec セキュリティプロファイルを選択して適用することもできます。

IPSec トンネルを設定するには、次の手順を実行します。

  1. サービスの詳細を指定します。
  • [ サービス名]: IPSec サービスの名前。
  • サービスタイプ: IPSec トンネルが使用するサービスを選択します。
  • ルーティングドメイン:LAN 経由の IPSec トンネルの場合は、ルーティングドメインを選択します。IPsec トンネルがイントラネットサービスを使用する場合、イントラネットサービスはルーティングドメインを決定します。
  • ファイアウォールゾーン:トンネルのファイアウォールゾーン。デフォルトでは、トンネルは Default_LAN_Zone に配置されます。
  1. トンネルエンドポイントを追加します。
  • 名前: [ サービスタイプ] が [イントラネット] の場合は、トンネルが保護するイントラネットサービスを選択します。それ以外の場合は、サービスの名前を入力します。
  • ピア IP:リモートピアの IP アドレス。
  • IPsec プロファイル: セキュリティプロトコルと IPsec 設定を定義する IPsec セキュリティプロファイル。
  • 事前共有キー: IKE 認証に使用される事前共有キー。
  • ピア事前共有キー:IKEv2 認証に使用される事前共有キー。
  • ID データ: 手動の ID またはユーザー FQDN タイプを使用する場合に、ローカル ID として使用されるデータ。
  • ピア ID データ: 手動の ID またはユーザー FQDN タイプを使用する場合に、ピア ID として使用されるデータ。
  • 証明書:IKE 認証として [証明書] を選択した場合は、設定済みの証明書から選択します。
  1. サイトをトンネルエンドポイントにマッピングします。
  • [ エンドポイント] を選択します。サイトにマップするエンドポイント。
  • サイト名: エンドポイントにマップされるサイト。
  • 仮想インターフェイス名:エンドポイントとして使用するサイトの仮想インターフェイス。
  • ローカル IP:ローカルトンネルエンドポイントとして使用するローカル仮想 IP アドレス。
  • Gateway IP: ネクストホップ IP アドレス。
  1. 保護されたネットワークを作成します。
  • 送信元ネットワーク IP/プレフィックス:IPSec トンネルが保護するネットワークトラフィックの送信元 IP アドレスおよびプレフィックス。
  • 宛先ネットワーク IP/プレフィックス:IPsec トンネルが保護するネットワークトラフィックの宛先 IP アドレスとプレフィックス。
  1. IPsec 構成がピアアプライアンスにミラーリングされていることを確認します。

IPSec サービス

詳細については、「仮想パスおよびダイナミックパスの IPSec トンネルを構成する方法」を参照してください

動的仮想パスの設定

グローバル動的仮想パス設定を使用すると、管理者はネットワーク全体で動的仮想パスのデフォルトを構成できます。

動的仮想パスは、2 つのサイト間で動的にインスタンス化され、中間 SD-WAN ノードホップなしで直接通信が可能になります。同様に、動的仮想パス接続も動的に削除されます。動的仮想パスの作成と削除は、帯域幅のしきい値と時間設定に基づいてトリガーされます。

動的仮想パスの設定

[ 構成の確認] をクリックして 、監査エラーを検証します。

サポートされている設定の一部を次に示します。

  • ネットワーク経由の動的仮想パスを有効または無効にするためのプロビジョニング
  • 動的仮想パスのルートコスト
  • 使用する QoS プロファイル:デフォルトではStandard。
  • 動的仮想パス作成基準:

    • 測定間隔(秒):2つのサイト(この場合、特定のブランチとコントロールノード間)間で動的仮想パスを作成する必要があるかどうかを判断するために、パケット数と帯域幅を測定する時間。
    • スループットしきい値(kbps)動的仮想パスがトリガーされる測定間隔にわたって測定された、2つのサイト間の合計スループットのしきい値。この場合、しきい値はコントロールノードに適用されます。
    • スループットしきい値(pps)動的仮想パスがトリガーされる測定間隔にわたって測定される、2つのサイト間の合計スループットのしきい値。
  • 動的仮想パス削除基準:

    • 測定間隔(分): 2 つのサイト間(この場合、特定のブランチとコントロールノード間)の動的仮想パスを削除する必要があるかどうかを判断するために、パケット数と帯域幅を測定する時間。
    • スループットしきい値(kbps)動的仮想パスが削除される測定間隔にわたって測定された、2つのサイト間の合計スループットのしきい値。
    • スループットしきい値(pps) :動的仮想パスが削除される、 測定間隔にわたって測定された、2つのサイト間の合計スループットのしきい値。
  • タイマー

    • デッド仮想パスをフラッシュする待機時間(m):デッドダイナミック仮想パスが削除されるまでの時間。
    • デッド仮想パスの再作成までのホールド時間 (m): 動的仮想パスが DEAD として削除されてから再作成できる時間。

IPSec 暗号化プロファイル

IPSec 暗号化プロファイルを追加するには、[ 構成 ] > [ 配信サービス ] に移動し、[ IPsec 暗号化プロファイル] を選択します

IPSec 暗号化の操作

IPsec は安全なトンネルを提供します。Citrix SD-WANはIPsec 仮想パスをサポートしているため、サードパーティ製のデバイスが、Citrix SD-WANアプライアンスのLANまたはWAN側でIPsec VPNトンネルを終了できます。140-2 レベル 1 FIPS 認定の IPSec 暗号化バイナリを使用して、SD-WAN アプライアンスで終端するサイト間の IPSec トンネルを保護できます。

また、Citrix SD-WANは、差別化された仮想パストンネリングメカニズムを使用した耐障害性IPSecトンネリングもサポートします。

IPsec プロファイルは、IPsec サービスを配信サービスセットとして構成するときに使用されます。[IPSec セキュリティプロファイル] ページで、次の IPSec 暗号化プロファイル、IKE 設定、 および IPSec 設定に必要な値を入力します

[ 構成の確認] をクリックして 、監査エラーを検証します。

IPSec 暗号化プロファイル情報

  • プロファイル名: プロファイル名を指定します。
  • MTU:IKE または IPSec パケットの最大サイズをバイト単位で入力します。
  • Keep Alive:トンネルをアクティブに保ち、ルートの適格性を有効にするには、チェックボックスをオンにします。
  • [ IKE バージョン]: ドロップダウンリストから IKE プロトコルのバージョンを選択します。

    IPSec Prof 暗号化情報

IKE設定

  • [ Mode]:IKE フェーズ 1 ネゴシエーションモードのドロップダウンリストから [メインモード] または [アグレッシブモード] を選択します。
    • メイン: ネゴシエーション中に潜在的な攻撃者に情報は公開されませんが、攻撃モードよりも遅くなります。** メインモードは FIPS 準拠です。
    • アグレッシブ:ネゴシエーション中に潜在的な攻撃者にさらされる情報(ネゴシエーション中のピアの ID など)が、メインモードよりも高速です。** アグレッシブモードは FIPS に準拠していません。
  • 認証: ドロップダウンメニューから [証明書] または [事前共有キー] として認証タイプを選択します。
  • [ アイデンティティ]: ドロップダウンリストから識別方法を選択します。
  • ピアアイデンティティ:ドロップダウンリストからピア ID 方式を選択します。
  • DH グループ: IKE キー生成に使用できる Diffie-Hellman (DH) グループを選択します。
  • ハッシュアルゴリズム:IKE メッセージを認証するハッシュアルゴリズムをドロップダウンリストから選択します。
  • 暗号化モード:ドロップダウンリストから IKE メッセージの暗号化モードを選択します。
  • [ Lifetime (s)]:IKE セキュリティアソシエーションが存在するための優先期間(秒)を入力します。
  • [ Lifetime (s) Max]:IKE セキュリティアソシエーションが存在できる最大優先期間(秒単位)を入力します。
  • DPDタイムアウト:VPN接続のデッドピア検出タイムアウト(秒単位)を入力します。

    アイク設定

IPsec設定

  • [Tunnel Type]:ドロップダウンリストから、トンネルカプセル化タイプとして [ESP][ESP+Auth][ESP+NULL]、または [AH] を選択します。これらは、FIPS 準拠と非FIPS準拠のカテゴリの下にグループ化されています。

    • ESP: ユーザーデータのみを暗号化します
    • ESP+認証: ユーザーデータを暗号化し、HMACを含みます
    • ESP+NULL: パケットは認証されますが、暗号化されません。
    • AH: HMACのみが含まれています
  • PFS グループ: ドロップダウンメニューから、完全な前方秘密鍵生成に使用する Diffie-Hellman グループを選択します。
  • 暗号化モード: ドロップダウンメニューから IPSec メッセージの暗号化モードを選択します。
  • ハッシュアルゴリズム: MD5、SHA1、および SHA-256 ハッシュアルゴリズムは、HMAC 検証に使用できます。
  • ネットワーク不一致: パケットが IPSec トンネルの保護ネットワークと一致しない場合に実行するアクションをドロップダウンメニューから選択します。
  • ライフタイム:IPSec セキュリティアソシエーションが存在するまでの時間(秒)を入力します。
  • 最大ライフタイム:IPSec セキュリティアソシエーションが存在できる最大時間(秒単位)を入力します。
  • ライフタイム(KB):IPSec セキュリティアソシエーションが存在するためのデータ量(KB)を入力します。
  • 最大ライフタイム(KB):IPSec セキュリティアソシエーションが存在できるようにするデータの最大量(KB)を入力します。

    IPsec設定

配送サービス