Citrix SD-WAN プラットフォーム

ルーターの構成

ルーターの構成

仮想インラインモードをサポートするには、ルーターは着信および発信WANトラフィックをSD-WANアプライアンスに転送する必要があります。アプライアンスがトラフィックを処理した後、ルーターはアプライアンスからの着信トラフィックをLANに転送し、アプライアンスからの発信トラフィックをWANに転送する必要があります。ルーティングループを回避するには、ポリシーベースのルールを構成する必要があります。さらに、ルーターはアプライアンスの状態を監視して、アプライアンスに障害が発生した場合にアプライアンスをバイパスできるようにする必要があります。

ルータがリバースパスフォワーディング機能をサポートしている場合は、アプライアンスに接続されているインターフェイスを含む SD-WAN アプライアンスにトラフィックをリダイレクトするポリシーを持つインターフェイスでこの機能を無効にする必要があります。それ以外の場合、ルーターは断続的にトラフィックをドロップします。デフォルトでは、ルータでリバースパスフォワーディング機能が有効になっています。

注意: ネットワークに2つのルーターがある場合は、ワークシートで特定された適切なIPアドレスを使用して、ルーターごとに次の手順を構成します。

ポリシーベースのルール

仮想インラインモードでは、ルーティングルールがアプライアンスによって転送されたパケットと転送されていないパケットを区別しない場合、パケット転送方法によってルーティングループが作成される可能性があります。その区別をする任意の方法を使用できます。

一般的な方法では、ルーターのイーサネットポートの1つをアプライアンス専用にし、パケットが到着するイーサネットポートに基づいてルーティングルールを作成します。アプライアンス専用のインターフェイスに到着したパケットがアプライアンスに転送されることはありませんが、他のインターフェイスに到着したパケットは転送される可能性があります。

すべてのWANトラフィックがアプライアンスを通過しない限り、トラフィックシェーピングは効果的ではありません。基本的なルーティングアルゴリズムは次のとおりです。

  • アプライアンスからアプライアンスにパケットを転送しないでください。
  • パケットがWANから到着した場合は、パケットをアプライアンスに転送します。
  • パケットがWAN宛ての場合は、パケットをアプライアンスに転送します。
  • LAN-to-LANトラフィックをアプライアンスに転送しないでください。

サーバー ヘルス監視

アプライアンスに障害が発生した場合、データをアプライアンスにルーティングしないでください。デフォルトでは、Ciscoポリシーベースルーティングはヘルスモニタリングを実行しません。ヘルスモニタリングを有効にするには、アプライアンスの可用性をモニタリングするルールを定義し、「setipnext-hop」コマンドに「verify-availability」オプションを指定します。この構成では、アプライアンスが使用できない場合、ルートは適用されず、アプライアンスはバイパスされます。

:仮想インラインモードは、ヘルスモニタリングとともに使用する場合のみお勧めします。ポリシーベースのルーティングをサポートする多くのルーターは、ヘルスチェックをサポートしていません。ヘルスモニタリング機能は比較的新しいものです。これは、Cisco IOSリリース12.3(4)Tで最初に利用可能になりました。

以下は、IOSソフトウェアバージョンでCiscoルータモデル7600を使用してアプライアンスの可用性を監視するためのルールの例です。

``` pre codeblock !- Use a ping (ICMP echo) to see if appliance is in the connected track 123 rtr 1 reachability ! rtr 1 type echo protocol IpIcmpecho 17.17.17.2 schedule 1 life forever start-time now


このルールは、17.17.17.2でアプライアンスに定期的にpingを実行します。123に対してテストして、ユニットが稼働しているかどうかを確認できます。

## ルーター構成の例

次に、仮想インラインモード用にCiscoルータを設定する例を示します。

``` pre codeblock
!
! For health-checking to work, do not forget to start
! the monitoring process.
!
! Original configuration is in normal type.
! appliance-specific configuration is in bold.
!
ip cef
!
interface FastEthernet0/0
ip address 10.200.51.0   255.255.255.0
ip policy route-map server_side_map
!
interface FastEthernet0/1
ip address 17.17.17.1   255.255.255.0!
interface FastEthernet1/0
ip address 192.168.1.5 255.255.255.0
ip policy route-map wan_side_map
!
ip classless
ip route 0.0.0.0 0.0.0.0 171.68.1.1
!
ip access-list extended server_side
permit ip 10.100.51.0 0.0.0.255 10.20.20.0 0.0.0.255
ip access-list extended wan_side
permit ip 10.20.20.0 0.0.0.255 10.100.51.0 0.0.0.255
!
route-map wan_side_map permit 20
match ip address wan_side
!-  Now set the appliance as the next hop, if it’s up.
set ip next-hop verify-availability 17.17.17.1   20 track 123
!
route-map client_side_map permit 10
match ip address client_side
set ip next-hop verify-availability 17.17.17.1   10 track 123
<!--NeedCopy-->

この例では、アクセスリストをルートマップに適用し、ルートマップをインターフェイスに添付します。アクセスリストは、一方の高速サイトで発信され、もう一方のサイトで終了するすべてのトラフィックを識別します(送信元IPアドレス 10.100.51.0/24 および宛先IPアドレス 10.20.20.0/24 または逆に)。アクセスリストとルートマップの詳細については、ルーターのドキュメントを参照してください。

この構成は、一致するすべてのIPトラフィックをアプライアンスにリダイレクトします。TCPトラフィックのみをリダイレクトする場合は、アクセスリストの設定を次のように変更できます(リモート側の設定のみがここに表示されます)。

pre codeblock ! ip access-list extended server_side permit tcp 10.200.51.0 0.0.0.255 10.20.20.0 0.0.0.255 ip access-list extended wan_side permit tcp 10.20.20.0 0.0.0.255 10.200.51.0 0.0.0.255 ! <!--NeedCopy-->

高可用性セットアップでのルータの設定

ルータ間の高可用性を設定するには、ルータ固有の高可用性設定マニュアルを参照してください。

ルーターの構成