Citrix SD-WAN

帯域内およびバックアップ管理

帯域内管理

Citrix SD-WANでは、帯域外管理と帯域内管理の2つの方法でSD-WANアプライアンスを管理できます。アウトオブバンド管理では、管理トラフィックだけを伝送する管理用に予約されたポートを使用して管理 IP を作成できます。インバンド管理では、SD-WAN データポートを管理に使用できます。追加の管理パスを設定することなく、データトラフィックと管理トラフィックの両方を伝送します。

インバンド管理では、仮想 IP アドレスが Web UI や SSH などの管理サービスに接続できます。IP サービスに使用できるように有効になっている複数の信頼できるインターフェイスで、インバンド管理を有効にできます。管理 IP とインバンド仮想 IP を使用して、Web UI と SSH にアクセスできます。

仮想 IP で帯域内管理を有効にするには、次の手順を実行します。

  1. 構成エディタで、[ サイト ] > [ 仮想 IP アドレス] に移動します。
  2. 帯域内管理 を有効にする仮想 IP の [帯域内管理] を選択します。

    注:

    インターフェイスのセキュリティタイプが [ Trusted ] で、[ Identity ] が有効になっていることを確認します。

    帯域内管理

  3. [ 適用] をクリックします。

仮想 IP アドレスの設定手順の詳細については、仮想 IP の設定方法を参照してください。

帯域内管理のモニタリング

前の例では、172.170.10.78 仮想 IP でインバンド管理を有効にしました。この IP を使用して、Web UI と SSH にアクセスできます。

Web UI で、[ 監視 ] > [ ファイアウォール] に移動します。ポート 22 および 443 の仮想 IP を使用してアクセスする SSH および Web UI が [ 宛先 IP アドレス ] 列に表示されます。

帯域内管理のモニタリング

帯域内Provisioning

SD-WAN アプライアンスを家庭や小規模の支店などのシンプルな環境に導入する必要性が大幅に高まっています。シンプルな展開のために個別の管理アクセスを構成すると、オーバーヘッドが増えます。ゼロタッチ導入(ZTD)とインバンド管理機能により、指定されたデータポートを介したProvisioning と構成管理が可能になります。ZTD は指定されたデータポートでサポートされるようになり、ZTD 用に別の管理ポートを使用する必要はありません。また、Citrix SD-WANでは、データポートがダウンした場合に、管理トラフィックを管理ポートにシームレスにフェイルオーバーできます。

帯域内Provisioning をサポートする工場出荷状態のアプライアンスは、データまたは管理ポートをインターネットに接続するだけでプロビジョニングできます。インバンド Provisioning をサポートするアプライアンスには、LAN および WAN 用の特定のポートがあります。工場出荷時リセット状態のアプライアンスには、ゼロタッチデプロイメントサービスとの接続を確立できるデフォルト設定があります。LAN ポートは DHCP サーバーとして機能し、DHCP クライアントとして機能する WAN ポートにダイナミック IP を割り当てます。WAN リンクは、Quad 9 DNS サービスを監視して WAN 接続を決定します。

インバンド Provisioning は、SD-WAN 110 SE および SD-WAN VPX プラットフォームにのみ適用されます。

IP アドレスが取得され、ゼロタッチ展開サービスとの接続が確立されると、構成パッケージがダウンロードされ、アプライアンスにインストールされます。SD-WAN Centerによるゼロタッチ配置については、ゼロタッチ展開を参照してください。SD-WAN Orchestrator によるゼロタッチ展開の詳細については、ゼロタッチ展開を参照してください。

:データ・ポートを介した SD-WAN アプライアンスのday-0 Provisioning の場合、アプライアンス・ソフトウェア・バージョンは SD-WAN 11.1.0 以上である必要があります。

工場出荷時リセット状態のアプライアンスのデフォルト設定には、次の設定が含まれます。

  • LANポート上のDHCPサーバ
  • WAN ポート上の DHCP クライアント
  • DNSのQUAD9構成
  • デフォルトの LAN IP は 192.168.0.1 です。
  • 35日間の猶予ライセンス

アプライアンスがプロビジョニングされると、デフォルトの設定は無効になり、ゼロタッチデプロイメントサービスから受信した設定によって上書きされます。アプライアンスのライセンスまたは猶予ライセンスの有効期限が切れると、デフォルト構成がアクティブになります。これにより、アプライアンスはゼロタッチデプロイメントサービスに接続したままになり、ゼロタッチデプロイメントで管理されたライセンスを受け取ることができます。

フォールバック構成

フォールバック構成により、リンク障害、構成の不一致、またはソフトウェアの不一致が発生しても、アプライアンスはゼロタッチ展開サービスに接続したままになります。フォールバック構成は、デフォルト構成プロファイルを持つアプライアンスではデフォルトで有効になっています。また、既存の LAN ネットワーク設定に従ってフォールバック構成を編集することもできます。

:最初のアプライアンスをProvisioning した後、フォールバック構成でゼロタッチデプロイメントサービス接続が有効になっていることを確認します。

フォールバック構成が無効になっている場合は、[構成] > [ **仮想 WAN ] > [ フローの有効化/無効化/パージ ] > [ フォールバック構成の有効化/無効化 ] の順に選択し、[ 有効 ] をクリックします。**

次の表に、異なるプラットフォームでのフォールバック構成用に事前に指定された WAN ポートおよび LAN ポートの詳細を示します。

プラットフォーム WAN ポート LANポート
110 1/2 1/1
110-LTE 1/2、LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

フォールバック設定の有効化

LAN ネットワークに従ってフォールバック構成をカスタマイズするには、次の手順を実行します。

  1. 構成 」>「 アプライアンスの設定 」>「 フォールバック構成」に移動します。
  2. ネットワーク要件に従って、次の LAN 設定の値を編集します。これは、ゼロタッチ展開サービスとの接続を確立するために必要な最小構成です。

    • VLAN ID: LAN ポートをグループ化する必要がある VLAN ID。
    • IPアドレス:LANポートに割り当てられた仮想IPアドレス。
    • DHCP 有効:LAN ポートを DHCP サーバとして有効にします。DHCP サーバは、LAN ポート上のクライアントにダイナミック IP アドレスを割り当てます。
    • DHCP 開始および DHCP 終了: DHCP が LAN ポート上のクライアントに IP を動的に割り当てるために使用する IP アドレスの範囲。
    • DNS サーバー: プライマリ DNS サーバー の IP アドレス。
    • 代替DNSサーバ:セカンダリDNSサーバの IPアドレス。
    • インターネットアクセス: 他のフィルタリングを行わずに、すべての LAN クライアントへのインターネットアクセスを許可します。

    フォールバック設定の有効化

  3. 各ポートのモードを設定します。ポートは、LAN ポートまたは WAN ポートのどちらでもかまいません。また、無効にすることもできます。表示されるポートは、アプライアンスのモデルによって異なります。また、ポートバイパスモードを Fail-to-Block または F ail-to-Wireに設定します。

フォールバック設定をデフォルト設定にリセットするには、[ Reset] をクリックします。

フォールバック設定の有効化

構成可能な管理ポートまたはデータポート

インバンド管理により、データポートはデータトラフィックと管理トラフィックの両方を伝送できるため、専用の管理ポートは不要です。これにより、すでにポート密度が低いローエンドアプライアンスでは管理ポートが使用されないままになります。Citrix SD-WANを使用すると、管理ポートをデータポートまたは管理ポートとして動作するように構成できます。

管理ポートをデータポートに変換できるのは、次のプラットフォームだけです。

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

設定エディタで、設定内の管理ポートを使用します。構成がアクティブになると、管理ポートはデータポートに変換されます。

管理ポートを設定できるのは、アプライアンスの他の信頼できるインターフェイスでインバンド管理が有効になっている場合だけです。

管理インターフェイスを構成するには、構成エディタで [サイト] に移動し、 サイトを選択して [ Interface Groups] をクリックします。MGMT インターフェイスは設定可能です。インターフェイスグループの設定の詳細については、インターフェイスグループの設定方法を参照してください。

インターフェイスグループ

管理機能を実行するように管理ポートを再設定するには、設定を削除します。管理ポートを使用せずに構成を作成し、アクティブにします。

バックアップ管理ネットワーク

仮想 IP アドレスをバックアップ管理ネットワークとして設定できます。管理ポートにデフォルト Gateway が設定されていない場合、管理 IP アドレスとして使用されます。

サイトに 1 つのルーティングドメインで構成されたインターネットサービスがある場合、既定では、ID が有効な信頼できるインターフェイスがバックアップ管理ネットワークとして選択されます。

仮想IPをバックアップ管理ネットワークとして選択するには、以下の手順に従ってください。

  1. 構成エディタで、[ サイト ] > [ 仮想 IP アドレス] に移動します。

  2. バックアップ管理ネットワークとして仮想 IP アドレスを選択します。

    バックアップ管理

  3. インバンドおよびバックアップ管理プレーンを介したすべての DNS 要求の転送先の DNS プロキシを選択します。

    DNS プロキシは、インバンド管理とバックアップ管理ネットワークの両方が仮想 IP に対して有効になっている場合にのみ選択できます。

  4. [適用] をクリックします。

仮想 IP アドレスの構成手順の詳細については、「仮想 IP アドレスを設定する方法」を参照してください

バックアップ管理の監視

前の例では、バックアップ管理ネットワークとして 172.170.10.78 の仮想 IP を選択しています。管理 IP アドレスがデフォルト Gateway で設定されていない場合は、この IP を使用して Web UI と SSH にアクセスできます。

Web UI で、[ 監視 ] > [ ファイアウォール] に移動します。この仮想 IP アドレスは、SSH および Web UI アクセスの送信元 IP アドレスとして確認できます。

バックアップ管理の監視

帯域内およびバックアップ管理