ブランチノードの構成
新しいブランチサイトを「 サイト」(Sites) テーブルに追加し、サイトの構成を開始するには、次の手順を実行します。
注
新しい構成パッケージを作成して保存した後で MCN からログアウトした場合、続行する前に、再度ログインして設定を再度開く必要があります。これを行うには、 構成エディタの メニューバー(ページ領域の上部)で「開く」をクリックします。これにより、変更する構成を選択するためのダイアログボックスが表示されます。
- 構成エディタで続行し、 サイト バーの [ 追加 ] をクリックして、新しいブランチサイトの追加と構成を開始します。** [ サイトの **追加] ダイアログボックスが表示されます。
- 次のサイト情報を入力します。
注
エントリにはスペースを含めることはできません。また、Linux 形式である必要があります。
- 「サイト名」 — サイトの名前を入力します。
- 「アプライアンス名」 — アプライアンスに割り当てる名前を入力します。
- セキュアキー — これは、SD-WAN アプライアンスの暗号化とメンバーシップの検証に使用される 8 ~ 32 桁の 16 進キーです。デフォルトでは、このフィールドには自動的に生成されたセキュリティキーがあらかじめ入力されています。デフォルトをそのまま使用するか、カスタムキーイン16進形式を入力します。
- Model :ドロップダウン・メニューからアプライアンス・モデルを選択します。
- [ Mode] :モードとしてクライアントを選択します。
- [ 追加 ] をクリックして、サイトを追加します。新しいサイトが [サイト]ツリーに追加され、サイトの [ 基本設定] 構成フォームが開きます。
- サイトの基本設定を入力し、[ 適用] をクリックします。
次のステップでは、新しいブランチサイトのインターフェイスグループを追加および設定します。
ブランチのインターフェイスグループの設定方法
インターフェイスグループを新しいブランチサイトに追加するには、次の手順を実行します。
- Configuration Editor の [ **サイト] ビューを続行し、[サイトの **表示] ドロップダウンメニューからブランチサイトを選択します。選択したサイトの構成ビューが開きます。
-
[ + ] をクリックして、 仮想インターフェイスグループを追加します。新しい空の Virtual インターフェイスグループエントリがテーブルに追加され、編集用に開きます。
-
[ 仮想インターフェイス ] の右側にある [ +] をクリックします。新しい空のグループエントリがテーブルに追加され、編集のために開きます。
- グループに含めるイーサネットインターフェイスを選択します。
[ Ethernet Interfaces] で、そのインターフェイスを含める/除外するインターフェイスをクリックします。グループに含めるインターフェイスはいくつでも選択できます。
- ドロップダウンメニューから [ バイパスモード ] (Bypass Mode) を選択します (デフォルトはありません)。
バイパスモードは、アプライアンス、サービスの障害、または再起動時に、仮想インターフェイスグループ内のブリッジペアインターフェイスの動作 を指定します。オプションには、 フェールツーワイヤ または フェールツーブロックがあります。
- ドロップダウンメニューから [ セキュリティレベル ] を選択します。
仮想インターフェイスグループのネットワークセグメントのセキュリティレベルを指定します。オプションは、[信頼済み] または [ 信頼されていない]です。信頼できるセグメントはファイアウォールで保護されます(デフォルトは Trusted です)。
- 追加した仮想インターフェイスの左端にある [ + ] をクリックします。仮想インターフェイス テーブルが表示されます。
-
[ 仮想インターフェイス ] の右側にある [ +] をクリックします。名前、ファイアウォールゾーン、およびVLAN ID が表示されます。
-
この仮想インターフェイスグループ の名前 と VLAN ID を入力します。
-
[ Name] :この仮想インターフェイスが参照される名前。
-
ファイアウォールゾーン -ドロップダウンメニューからファイアウォールゾーンを選択します。
-
VLAN ID :仮想インターフェイスとの間で送受信されるトラフィックを識別およびマーキングするための ID。ネイティブ/タグなしトラフィックには、0(ゼロ)の ID を使用します。
-
[ ブリッジペア ] の右側にある [ +] をクリックします。新しい [ ブリッジペア] エントリが追加され、編集用に開きます。
-
ペアリングするイーサネットインターフェイスをドロップダウンメニューから選択します。ペアを追加するには、もう一度 [ **ブリッジペア] の横にある [ **+] をクリックします。
-
[ 適用] をクリックします。設定が適用され、テーブルの新しい仮想インターフェイスグループに追加されます。
注
この段階では、新しい仮想インターフェイスグループエントリの右側に、黄色の Delta Audit Alert アイコンが表示されます。これは、サイトの仮想 IP アドレス (VIP) をまだ構成していないためです。現時点では、このアラートは、サイトの仮想 IP を正しく構成すると自動的に解決されるため、無視できます。
- さらに仮想インターフェイスグループを追加するには、[Interface Groups]ブランチの右側にある [ **+ ] をクリックし、上記の手順に進みます。**
ブランチサイトの仮想 IP アドレスを構成する方法
次の手順では、サイトの仮想 IP アドレスを構成し、適切なグループに割り当てます。
-
新しいブランチ サイトの [サイト] ビューを続行し、仮想 IP アドレスの左側にある [ +] をクリックします。これにより、新しいサイトの仮想 IP アドレス テーブルが表示されます。
-
[ 仮想 IP アドレス ] の右側にある [ + ] をクリックしてアドレスを追加します。新しい仮想 IP アドレスを追加および設定するためのフォームが表示されます。
-
IP アドレス / プレフィックス 情報を入力し、アドレスが関連付けられている 仮想インターフェイスを 選択します。仮想IPアドレスには、完全なホストアドレスとネットマスクを含める必要があります。
-
[ファイアウォールゾーン]、[ID]、[プライベート]、[セキュリティ] など、仮想 IP アドレスの設定を選択します。
-
[ Inband Mgmt ] を選択すると、仮想 IP アドレスが Web UI や SSH などの管理サービスに接続できるようになります。
注:
インターフェイスは、セキュリティタイプが [ 信頼済み] で、[ ID] が有効になっている必要があります。
- バックアップ管理ネットワークとして仮想IPを選択します。これにより、管理ポートにデフォルト Gateway が設定されていない場合に、管理に仮想 IP アドレスを使用できます。
-
[ 適用] をクリックします。サイトのアドレス情報が追加され、サイトの [ 仮想 IP アドレス ] テーブルに追加されます。
-
さらに仮想 IP アドレスを追加するには、仮 想 IP アドレスの右側にある [ **+ ] をクリックし**、上記の手順に進みます。
ブランチの WAN リンクを構成する方法
次のステップでは、サイトの WAN リンクを構成します。
-
新しいブランチ サイトの [サイト] ビューを続行し、[ WAN リンク] ラベルをクリックします。
-
[ WAN リンク ] の右側にある [ Add Link ]をクリックして、新しい WAN リンクを追加します。[ **追加 ] ダイアログボックスが表示されます。
- (オプション)デフォルトを使用しない場合は、WAN リンクの名前を入力します。
デフォルトはサイト名で、次のサフィックスを付加します。
-WL-<number>
<number> は、このサイトの WAN リンクの数で、1 ずつ増加します。
- ドロップダウン・メニューから「 アクセス・タイプ 」を選択します。
オプションは、[ パブリックインターネット ]、[プライベートイントラネット]、または [ プライベートマルチプロトコルラベルスイッチング ] です。
- [ 追加] をクリックします。[ WAN リンク の基本設定] 設定ページが表示され、未構成の新しい WAN リンクがページに追加されます。
- 新しい WAN リンクのリンクの詳細を入力します。LANからWAN、WANから LANへの 設定を構成します。
いくつかのガイドラインは次のとおりです。
-
一部のインターネットリンクは非対称である場合があります。許可された速度を誤って設定すると、そのリンクのパフォーマンスに悪影響を及ぼす可能性があります。
-
認定レートを超えるバースト速度は使用しないでください。
-
インターネット WAN リンクの場合は、必ずパブリック IP アドレスを追加してください。
- グレーの [ 詳細設定]セクションバーをクリックします。これにより、リンクの [ 詳細設定] フォームが開きます。
- リンクの [ ** 詳細設定] を入力します。
-
[ Provider ID] :(オプション)一意の ID 番号 1 ~ 100 を入力して、同じサービスプロバイダーに接続されている WAN リンクを指定します。仮想 WAN は、重複パケットを送信するときにプロバイダー ID を使用してパスを区別します。
-
[ Frame Cost (bytes)] :各パケットに追加するヘッダー/トレーラーのサイズ(バイト単位)を入力します。たとえば、追加されたイーサネット IPG または AAL5 トレーラーのバイト単位のサイズ。
-
[ 輻輳しきい値] :輻輳しきい値(マイクロ秒)を入力します。このしきい値を超えると、WAN リンクがパケット送信を抑制して輻輳を回避できます。
-
[ MTU Size (bytes)] :フレームコストを含まない、最大の raw パケットサイズ(バイト単位)を入力します。
-
グレーの [ 適格] セクションバーをクリックします。これにより、リンクの [ 適格性の 設定] フォームが開きます。
-
リンクの [ 適格性 ] 設定を選択します。
-
グレーの [ 従量制課金リンク] セクションバーをクリックします。これにより、リンクの [ 従量制課金リンク 設定] フォームが開きます。
-
(オプション)[メータリング ** を有効にする] を選択して、このリンクのメータリングを有効にします。[メータリング **を有効にする] 設定フィールドが表示されます。
- リンクのメータリング設定を構成します。次のように入力します:
- [ Data Cap (MB)] :リンクのデータ上限割り当てを MB 単位で入力します。
- [ 請求サイクル] — ドロップダウンメニューから [ 毎月] または [毎週 ] を選択します。
- [ 開始元] — 請求サイクルの開始日を入力します。
- 「最後のリゾートを設定」(Set Last Resort) — 他のすべての使用可能なリンクに障害が発生した場合に、このリンクを最後の手段のリンクとして有効にするには、これを選択します。通常の WAN 条件下では、仮想 WAN は、リンクステータスを確認するために、従量制課金リンクを介して最小限のトラフィックだけを送信します。ただし、障害が発生した場合、SD-WAN は本番トラフィックを転送するための最後の手段として、アクティブな従量制課金リンクを使用できます。
- [ 適用] をクリックします。これにより、指定した設定が新しい WAN リンクに適用されます。
次のステップでは、新しい WAN リンクのアクセスインターフェイスを設定します。アクセスインターフェイスは、特定の WAN リンクのインターフェイスとしてまとめて定義された、仮想インターフェイス、WAN エンドポイント IP アドレス、ゲートウェイ IP アドレス、および仮想パスモードで構成されます。各 WAN リンクには、少なくとも 1 つのアクセスインターフェイスが必要です。
注
リモート帯域幅を考慮して共有を自動プロビジョニングするオプションが追加され、WAN リンクが設定されます。[リモート帯域幅を使用してProvisioning を設定] オプションを使用すると、大規模なネットワークと多様な帯域幅構成を持つユーザーは、データセンターサイトの帯域幅プロビジョニングを動的に管理できます。
- リンクの** [WAN リンク] 設定ページで [ アクセスインターフェイス] を選択します。これにより、サイトの [ **アクセスインターフェイス ] ビューが開きます。
- インターフェイスを追加** するには、[ +] をクリックします。テーブルに空白のエントリが追加され、編集のために開きます。リンクの [ **アクセスインターフェイス ] 設定を入力します。
注
各 WAN リンクには、少なくとも 1 つのアクセスインターフェイスが必要です。
- 次のように入力します:
-
名前:このアクセス・インタフェースが参照される名前です。新しいアクセスインターフェイスの名前を入力するか、デフォルトをそのまま使用します。デフォルトでは、次の命名規則が使用されます。
WAN_link_name-AI-number
WAN_link_name は、このインターフェイスに関連付ける WAN リンクの名前、number は、このリンクに現在設定されているアクセスインターフェイスの数で、1 ずつ増加します。
注
名前が切り捨てられた場合は、フィールドにカーソルを置き、クリックしたままマウスを右または左に回転すると、切り捨てられた部分が表示されます。
- 仮想インターフェイス :このアクセスインターフェイスが使用する仮想インターフェイス。このブランチサイト用に構成された Virtual Interfaces のドロップダウンメニューからエントリを選択します。
- IP アドレス — アプライアンスから WAN へのアクセスインターフェイスエンドポイントの IP アドレス。
- Gateway IPアドレス -ゲートウェイルーター用のIPアドレスです。
- 仮想パスモード :この WAN リンク上の仮想パストラフィックのプライオリティ。オプションは、[ プライマリ]、[ セカンダリ]、または [ 除外]です。[ 除外] に設定すると、このアクセスインターフェイスはインターネットおよびイントラネットトラフィックにのみ使用されます。
- [ Proxy ARP] :有効にするチェックボックスを選択します。有効にすると、Gateway に到達できない場合に、仮想 WAN アプライアンスはゲートウェイ IP アドレスの ARP 要求に応答します。
- [ 適用] をクリックします。
これで、新しい WAN リンクの設定が完了しました。この手順を繰り返して、サイトに追加の WAN リンクを追加および構成します。
次のステップでは、サイトのルートを追加および構成します。
ブランチのルートを構成する方法
サイトのルートを追加および構成するには、次の手順を実行します。
-
新しいブランチサイトの [ 接続]ビューをクリックし、[ ルート] を選択します。これにより、サイトの [ ルート ] ビューが表示されます。
-
ルート を追加するには、[ルート] の右側にある [ **+] をクリックします。[ **ルート] ダイアログボックスが開き、編集できるようになります。
- 新しいルートのルート設定情報を入力します。
-
「ネットワークIPアドレス」 —「ネットワークIPアドレス」を入力します。
-
[ Cost] :このルートのルートプライオリティを決定するために、1 ~ 15 の重みを入力します。低コストのルートは、高コストのルートよりも優先されます。デフォルト値は5です。
-
[ Service Type] :このフィールドのドロップダウンメニューからルートのサービスタイプを選択します。使用できるオプションは、次のとおりです。
-
仮想パス — このサービスは、仮想パスのトラフィックを管理します。仮想パスは、2 つの WAN リンク間の論理リンクです。これは、2つのSD-WANノード間で高いサービス・レベル通信を提供するために結合されたWANパスの集合で構成されます。これは、変化するアプリケーション需要とWAN条件を常に測定し、適応させることによって行われます。SD-WAN アプライアンスは、パス単位でネットワークを測定します。仮想パスは、スタティック(常に存在)またはダイナミック(2 つの SD-WAN アプライアンス間のトラフィックが設定されたしきい値に達した場合のみ存在)のいずれかになります。
-
インターネット — このサービスは、エンタープライズサイトとパブリックインターネット上のサイト間のトラフィックを管理します。このタイプのトラフィックはカプセル化されません。輻輳時には、SD-WAN は、仮想パスに対するレート制限によるインターネットトラフィックと、管理者が確立した SD-WAN 構成に従ってイントラネットトラフィックによって、帯域幅を積極的に管理します。
-
イントラネット — このサービスは、仮想パスを経由する送信用に定義されていないエンタープライズイントラネットトラフィックを管理します。インターネットトラフィックと同様に、カプセル化されていないままであり、SD-WAN は、輻輳時にこのトラフィックを他のサービスタイプと比較してレート制限することで、帯域幅を管理します。特定の条件下では、仮想パス上のイントラネットフォールバック用に構成されている場合、通常は仮想パスとともに移動するトラフィックは、代わりにイントラネットトラフィックとして扱われ、ネットワークの信頼性を維持できます。
-
パススルー — このサービスは、仮想 WAN を通過するトラフィックを管理します。パススルーサービスに送信されるトラフィックには、ブロードキャスト、ARP、その他の非 IPv4 トラフィック、および Virtual WAN アプライアンスのローカルサブネット、構成済みサブネット、またはネットワーク管理者が適用したルール上のトラフィックが含まれます。このトラフィックは、SD-WAN によって遅延、シェーピング、または変更されません。したがって、SD-WAN アプライアンスが他のサービスで使用するように構成されている WAN リンク上で、パススルートラフィックが実質的なリソースを消費しないようにする必要があります。
-
ローカル :このサービスは、他のサービスと一致しないサイトに対してローカルな IP トラフィックを管理します。SD-WAN は、ローカルルートを送信元および宛先とするトラフィックを無視します。
-
GRE トンネル :このサービスは、GRE トンネル宛ての IP トラフィックを管理し、サイトに設定された LAN GRE トンネルに一致します。GRE トンネル機能を使用すると、LAN 上の GRE トンネルを終了するように SD-WAN アプライアンスを設定できます。サービスタイプ GRE Tunnel のルートの場合、Gateway はローカル GRE トンネルのトンネルサブネットの 1 つに存在する必要があります。
-
LAN IPsec トンネル — このサービスは、IPsec トンネル宛ての IP トラフィックを管理します。
-
インタールーティング -このサービスは、サイト内または異なるサイト間でルーティングドメイン間でルート漏洩を有効にします。これにより、エッジルータがルートリークを処理する必要がなくなります。
-
-
[ ゲートウェイ IP アドレス]:このルートのゲートウェイ IP アドレスを入力します。
-
[ パスに基づく適格性] (チェックボックス):(オプション)有効の場合、選択したパスがダウンしても、ルートはトラフィックを受信しません。
-
[ Path] : ルートの適格性を判断するために使用するパスを指定します。
- [ 適用] をクリックします。
注
[ 適用] をクリックすると、さらに操作が必要であることを示す監査警告が表示されることがあります。赤い点または金色のデルタアイコンは、表示されるセクションにエラーを示します。これらの警告を使用して、エラーや不足している構成情報を識別できます。監査警告アイコンの上にカーソルを置くと、そのセクションのエラーの簡単な説明が表示されます。濃いグレーの [ 監査 ステータス] バー (ページ下部) をクリックして、すべての監査警告の完全なリストを表示することもできます。
以下に示すように、設定済みのルートを編集することもできます。
これで、クライアントサイトの構成に必要な手順が完了しました。また、展開の次のフェーズに進む前に、完了するように選択できる、追加のオプションの手順もいくつかあります。これらの手順のリストと手順へのリンクを以下に示します。これらの機能を今すぐ構成しない場合は、「MCN での SD-WAN アプライアンスパッケージの 準備」に直接進んでください。
オプションの手順は次のとおりです。
-
高可用性の構成 — 高可用性は、1 つのサイトにある 2 つの仮想 WAN アプライアンスがアクティブ/スタンバイパートナーシップ容量で冗長性を実現する構成です。このサイトに高可用性を実装していない場合は、この手順を省略できます。手順については、「ブランチサイトの高可用性 (高可用性) の 構成 (オプション)」を参照してください。
-
新しいブランチサイトのクローン — 構成したブランチサイトのクローンを作成し、別のサイトを追加するためのテンプレートとして使用することもできます。元のサイトとクローンのアプライアンスモデルは、同じである必要があります。手順については、「ブランチサイトの クローン作成 (オプション)」を参照してください。
-
WAN最適化の構成 — Citrix SD-WAN Virtual WANライセンスにWAN最適化機能が含まれている場合は 、これらの機能を有効にして構成に追加できます。これを行うには、 構成エディタ の「 最適化」セクションを完了し、変更した構成を保存する必要があります。
構成の保存
次のステップでは、完了したサイト構成を保存します。構成は、ローカルアプライアンスのWorkspace に保存されます。
警告
コンソールセッションがタイムアウトになったり、構成を保存する前に管理 Web Interface からログアウトした場合、保存されていない構成の変更はすべて失われます。その後、システムに再度ログインし、設定手順を最初から繰り返す必要があります。そのため、構成パッケージを頻繁に保存するか、構成内の重要なポイントに保存することをお勧めします。注
現在のバージョン(8.1.x、9.1.x、9.2.x)から9.3.xにアップグレードするには、 .tar.gz を使用するか、.zip パッケージをシングルステップでアップグレードする必要がありますか?
構成ファイルを保存した後、管理 Web Interface からログアウトし、後で構成プロセスを続行するオプションがあります。ただし、ログアウトした場合は、再開時に保存した設定を再度開く必要があります。手順については、「MCN の設定」、「保存された構成パッケージを構成エディタにロードする」のセクションを参照してください。
現在の構成パッケージを保存するには、次の手順を実行します。
- [ 名前を付けて保存](Configuration Editorの中央ペインの上部にある) をクリックします。[ 名前を付けて保存] ダイアログボックスが表示されます。
- 構成パッケージ名を入力します。[ 保存] をクリックします。
注
構成を既存の構成パッケージに保存する場合は、保存** する前に必ず [上書き **を許可] を選択してください。
次の手順では、MCN とクライアントサイト間の仮想パスと仮想パスサービスを構成します。手順については、「MCN サイトとクライアントサイト間の仮想パスサービスの 構成」を参照してください。
ブランチサイトの名前変更
ブランチサイトの名前を変更した後、新しい構成パッケージをネットワークにアップロードする必要があります。
-
MCN から、名前が変更されたブランチサイトを含む新しい構成を持つステージネットワーク。
-
名前を変更したブランチサイトのステージングパッケージをダウンロードします。
-
MCN で、[ステージングされた** ネットワークの **アクティブ化] を選択します。これにより、名前を変更したサイトが無効になり、サイトが使用できなくなります。
-
ブランチの「 ローカル変更管理」 ページにナビゲートします。
-
先にダウンロードしたパッケージをアップロードします。[ 次へ] をクリックし、[ アクティブ化] をクリックします。
高可用性を使用したブランチサイトの名前の変更
高可用性を有効にしたブランチサイトの名前を変更した後に新しい設定をアップロードするには、次の手順を実行します。
-
MCN から、名前が変更されたブランチサイトを含む新しい構成でネットワークをステージングします。
-
ブランチサイトの名前を変更したアクティブアプライアンスと高可用性アプライアンスの両方のステージングパッケージをダウンロードします。
-
MCN で、[ネットワークのステージング ** をアクティブ化] を選択します。これにより、名前を変更したサイトが無効になり、サイトが使用できなくなります。
-
ブランチでアクティブなアプライアンスにナビゲートします。「 ローカル変更管理 」ページに移動します。
-
先にダウンロードしたパッケージをアップロードします。[ 次へ] をクリックし、[ アクティブ化] をクリックします。
-
スタンバイアプライアンスに対して、手順 4 (a) と 4 (b) を繰り返します。