Citrix SD-WAN WANOP 11.3

2つのデータセンター間にCloud Connectorトンネルを構成する

2つの異なるデータセンター間にCitrix Cloud Connectorトンネルを構成して、ネットワークを再構成せずに拡張し、2つのデータセンターの機能を活用できます。地理的に離れた2つのデータセンター間のCitrix Cloud Connectorトンネルを使用すると、冗長性を実装し、セットアップを障害から保護できます。Citrix Cloud Connectorトンネルは、2つのデータセンター間でインフラストラクチャとリソースの最適な利用を実現するのに役立ちます。2 つのデータセンターで利用可能なアプリケーションは、ユーザーに対してローカルとして表示されます。

データセンターを別のデータセンターに接続するには、SD-WAN WANOP間にCitrix Cloud コネクタトンネルを設定します 4000/5000 1つのデータセンターと別のSD-WAN WANOPに存在するアプライアンス 4000/5000 他のデータセンターにあるアプライアンス。

2つの異なるデータセンター間でCitrix Cloud Connectorトンネルがどのように構成されているかを理解するために、Citrixアプライアンス間にCloud Connectorトンネルが設定されている例を検討してください。 CB_4000/5000-1 データセンターDC1およびCitrixアプライアンス CB_4000/5000-2 データセンターDC2で。

ローカライズされた画像

両方のCB_4000/5000-1 そして CB_4000/5000-2 片腕モードで機能 (WCCP/PBR)。これにより、データセンター DC1 と DC2 のプライベートネットワーク間の通信が可能になります。たとえば、CB_4000/5000-1 そして CB_4000/5000-2 Citrix Cloud Connectorトンネルを介したデータセンターDC1のクライアントCL1とデータセンターDC2のサーバーS1間の通信を有効にします。クライアント CL1 とサーバー S1 は、異なるプライベートネットワーク上にあります。

CL1とS1の間の適切な通信のために、L3モードが有効になっています NS_VPX_CB_4000/5000-1 そして NS_VPX_CB_4000/5000-2, ルートは次のように構成されます。

  • ルータR1には、NS_VPX_CB_4000/5000-1経由でS1に到達するためのルートがあります。

  • NS_VPX_CB_4000/5000_1にはR1を介してNS_VPX-CB_4000/5000-2 に到達するためのルートがあります。

  • S1には、NS_VPX-CB_4000/5000-2経由でCL1に到達するルートが必要です。

  • NS_VPX-CB_4000/5000-2はR2を介してNS_VPX_CB_4000/5000-1に到達するためのルートがあります。

次の表に、データセンターDC1内CB_4000/5000-1 の設定を示します。

エンティティ 名前 詳細
クライアントCL1のIPアドレス   10.102.147.10
NATデバイスの設定NAT-Dev-1    
パブリック側のNAT IPアドレス   203.0.113.30 *
プライベート側のNAT IPアドレス   10.10.7.70
CB_4000/5000-1の設定    
CB_4000/5000-1の管理サービスIPアドレス   10.10.1.10
CB_4000/5000-1で実行中のNS_VPX_CB_4000/5000-1の設定    
NSIPアドレス   10.10.1.20
SNIPアドレス   10.10.5.30
Cloud Connector トンネル Cloud_Connector_DC1-DC2 Citrix Cloud ConnectorトンネルのローカルエンドポイントIPアドレス = 10.10.5.30、Citrix Cloud ConnectorトンネルのリモートエンドポイントIPアドレス = 203.0.210.30 *
    GREトンネルの詳細
    名前 = Cloud_Connector_DC1-DC2
    IPSecプロファイルの詳細
    名前 = Cloud_Connector_DC1-DC2, 暗号化アルゴリズム = AES、ハッシュアルゴリズム = HMAC SHA1
ポリシーベースのルート CBC_DC1_DC2_PBR ソースIP範囲 = datacenter1のサブネット = 10.102.147.0-10.102.147.255、宛先IP範囲 = datacenter2のサブネット = 10.20.20.0-10.20.20.255、ネクストホップタイプ = IPトンネル、IPトンネル名 = CBC_DC1_DC2

*パブリックIPアドレスである必要があります。

次の表に、データセンターDC2でCB-4000/5000-2の設定を示します。

エンティティ 名前 詳細
サーバーS1のIPアドレス   10.20.20.10
NATデバイスの設定NAT-Dev-2    
パブリック側のNAT IPアドレス   203.0.210.30 *
プライベート側のNAT IPアドレス   10.10.8.80
CB_4000/5000-2の設定    
CB_SDX-1の管理サービスIPアドレス   10.10.2.10
CB_4000/5000-2で実行中のNS_VPX_CB_4000/5000-2 の設定    
NSIPアドレス   10.10.2.20
SNIPアドレス   10.10.6.30
Citrix Cloud Connectorトンネル Cloud_Connector_DC1-DC2 Citrix Cloud ConnectorトンネルのローカルエンドポイントIPアドレス = 10.10.6.30、Citrix Cloud ConnectorトンネルのリモートエンドポイントIPアドレス = 203.0.113.30 *
    GREトンネルの詳細
    名前 = Cloud_Connector_DC1-DC2
    IPSecプロファイルの詳細
    名前 = Cloud_Connector_DC1-DC2, 暗号化アルゴリズム = AES、ハッシュアルゴリズム = HMAC SHA1
ポリシーベースのルート CBC_DC1_DC2_PBR ソースIP範囲 = datacenter2のサブネット = 10.20.20.0-10.20.20.255、宛先IP範囲 = datacenter1のサブネット = 10.102.147.0-10.102.147.255、ネクストホップタイプ = IPトンネル、IPトンネル名 = CBC_DC1_DC2

*パブリックIPアドレスである必要があります。

Citrix Cloud Connectorトンネルのトラフィックフローは次のとおりです。

  1. クライアントCL1はサーバーS1に要求を送信します。

  2. リクエストはCitrix SD-WAN WANOPアプライアンスCB_4000/5000-1で実行 されているCitrix仮想アプライアンスNS_VPX_CB_4000/5000-1に到達します。

  3. NS_VPX_CB_4000/5000-1 は、Citrix SD-WAN WANOPアプライアンスCB_DC-1 WAN最適化用で実行されているSD-WAN WANOPインスタンスの1つにパケットを転送します 。パケットを処理した後、SD-WAN WANOPインスタンスはパケットを NS_VPX_CB_4000/5000-1に返します。

  4. 要求パケットは、PBRエンティティで指定された条件に一致します CBC_DC1_DC2_PBR (で構成 NS_VPX_CB_4000/5000-1), 要求パケットの送信元IPアドレスと宛先IPアドレスは、それぞれ、CBC_DC1_DC2_PBRで設定された送信元IP範囲と宛先IP範囲に属しているためです。

  5. トンネルだから CBC_DC1_DC2_PBR にバインドされています CBC_DC1_DC2_PBR, アプライアンスは、Cloud_Connector_DC1-DC2 トンネル。を介して送信されるパケットを準備します

  6. NS_VPX_CB_4000/5000-1 GREプロトコルを使用して、GREヘッダーとGRE IPヘッダーをパケットに追加することにより、各要求パケットをカプセル化します。GRE IPヘッダーでは、宛先IPアドレスはCloud Connectorトンネル(Cloud_Connector_DC1-DC2) データセンターDC2のエンドポイントのアドレスです。

  7. Cloud Connectorトンネルの場合 Cloud_Connector_DC1-DC2, NS_VPX_CB_4000/5000-1 そして NS_VPX_CB_4000/5000-2.の間で合意されたように、NS_VPX_CB_4000/5000-1 はアウトバウンドパケットを処理するためにstoredIPSecセキュリティアソシエーション(SA)パラメータをチェックしますのIPSecカプセル化セキュリティペイロード(ESP)プロトコル NS_VPX_CB_4000/5000-1 アウトバウンドパケットにこれらのSAパラメータを使用して、GREカプセル化パケットのペイロードを暗号化します。

  8. ESPプロトコルは、HMACハッシュ関数とCitrix Cloud ConnectorトンネルCloud_Connector_DC1-DC2に指定された暗号化アルゴリズムを使用して、パケットの整合性と機密性を保証します。ESPプロトコルは、GREペイロードを暗号化してHMACを計算した後、ESPヘッダーとESPトレーラーを生成し、暗号化されたGREペイロードの前と最後にそれぞれ挿入します。

  9. NS_VPX_CB_4000/5000-1は 結果のパケットNS_VPX_CB_4000/5000-2を送信します

  10. CB_DC-1 そして NS_VPX-AWS Cloud Connectorトンネル用 Cloud_Connector_DC1-DC2で合意されたとおり、NS_VPX_CB_4000/5000-2は受信パケットを処理するために、保存されているIPSecセキュリティアソシエーション(SA)パラメータをチェックします。上のIPSecESPプロトコル NS_VPX_CB_4000/5000-2 インバウンドパケットにこれらのSAパラメータを使用し、要求パケットのESPヘッダーを使用して、パケットを復号化します。

  11. NS_VPX_CB_4000/5000-2 次に、GREヘッダーを削除してパケットのカプセル化を解除します。

  12. NS_VPX_CB_4000/5000-2 結果のパケットをCB_VPX_CB_4000/5000-2に転送します。これは、WAN最適化関連の処理をパケットに適用します。CB_VPX_CB_4000/5000-2は 次に、結果のパケットをNS_VPX_CB_4000/5000-2に返します。

  13. 結果のパケットは、CB_VPX_CB_4000/5000-2 ステップ2で受信されたものと同じです。このパケットの宛先IPアドレスは、サーバーS1のIPアドレスに設定されています。NS_VPX_CB_4000/5000-2 このパケットをサーバーS1に転送します。

  14. S1は要求パケットを処理し、応答パケットを送信します。応答パケットの宛先IPアドレスはクライアントCL1のIPアドレスであり、送信元IPアドレスはサーバーS1のIPアドレスです。

2つのデータセンター間にCloud Connectorトンネルを構成する