Citrix SD-WAN

帯域内およびバックアップ管理

帯域内管理

Citrix SD-WAN では、帯域外管理と帯域内管理の2つの方法でSD-WANアプライアンスを管理できます。帯域外管理では、管理用に予約されたポートを使用して管理 IP を作成できます。ポートは管理トラフィックだけを伝送します。帯域内管理では、管理に SD-WAN データポートを使用できます。追加の管理パスを設定することなく、データと管理トラフィックの両方を伝送します。

帯域内管理により、仮想 IP アドレスを Web UI や SSH などの管理サービスに接続できます。IP サービスに使用できるように有効になっている複数の信頼できるインターフェイスで、インバンド管理を有効にできます。管理 IP および帯域内仮想 IP を使用して、Web UI および SSH にアクセスできます。

仮想 IP で帯域内管理を有効にするには、次の手順を実行します。

  1. 構成エディタで、[ サイト ] > [ 仮想 IP アドレス] に移動します。
  2. 帯域内管理 を有効にする仮想 IP の [帯域内管理] を選択します。

    注:

    インターフェイスのセキュリティタイプが [ Trusted ] で、[ Identity ] が有効になっていることを確認します。

    帯域内管理

  3. [ 適用] をクリックします。

仮想 IP アドレスの設定手順の詳細については、仮想 IP の設定方法を参照してください。

帯域内管理のモニタリング

前の例では、172.170.10.78 仮想 IP でインバンド管理を有効にしました。この IP を使用して、Web UI と SSH にアクセスできます。

Web UI で、[ 監視 ] > [ ファイアウォール] に移動します。ポート 22 および 443 の仮想 IP を使用してアクセスする SSH および Web UI が [ 宛先 IP アドレス ] 列に表示されます。

帯域内管理のモニタリング

帯域内Provisioning

SD-WAN アプライアンスを家庭や小規模な支店などのシンプルな環境に導入する必要性が大幅に高まっています。シンプルな展開のために個別の管理アクセスを設定すると、オーバーヘッドが増えます。ZTD(ゼロタッチ展開)とインバンド管理機能により、指定されたデータ・ポートを介したProvisioning と構成管理が可能になります。指定されたデータ・ポートで ZTD がサポートされるようになり、ZTD 用に別の管理ポートを使用する必要はありません。また、Citrix SD-WAN では、データポートがダウンしたときに管理ポートにシームレスに管理トラフィックをフェイルオーバーできます。

帯域内Provisioning をサポートする工場出荷状態のアプライアンスは、データまたは管理ポートをインターネットに接続するだけでプロビジョニングできます。インバンド Provisioning をサポートするアプライアンスには、LAN および WAN 用のポートがあります。出荷時設定にリセットされた状態のアプライアンスは、ゼロタッチデプロイサービスとの接続を確立できるデフォルト設定になっています。LAN ポートは DHCP サーバとして機能し、DHCP クライアントとして機能する WAN ポートにダイナミック IP を割り当てます。WAN リンクは Quad 9 DNS サービスを監視して、WAN 接続を確認します。

帯域内Provisioning は、SD-WAN 110 SE および SD-WAN VPX プラットフォームにのみ適用されます。

IP アドレスを取得し、ゼロタッチデプロイサービスとの接続を確立すると、構成パッケージがアプライアンスにダウンロードされ、インストールされます。SD-WAN Centerによるゼロタッチ配置については、ゼロタッチ展開を参照してください。SD-WAN Orchestrator によるゼロタッチ展開の詳細については、ゼロタッチ展開を参照してください。

:データ・ポートを介した SD-WAN アプライアンスのday-0 Provisioning の場合、アプライアンス・ソフトウェア・バージョンは SD-WAN 11.1.0 以上である必要があります。

工場出荷時のリセット状態のアプライアンスのデフォルト設定には、次の設定が含まれます。

  • LANポート上のDHCPサーバ
  • WAN ポート上の DHCP クライアント
  • DNS用のQUAD9構成
  • デフォルトの LAN IP は 192.168.0.1 です。
  • 35日間の猶予ライセンス。

アプライアンスがプロビジョニングされると、デフォルト設定が無効になり、ゼロタッチデプロイサービスから受け取った設定によって上書きされます。アプライアンスライセンスまたは猶予ライセンスの有効期限が切れると、アプライアンスがゼロタッチデプロイサービスに接続したまま、ゼロタッチデプロイサービスによって管理されるライセンスを受け取るために、デフォルトの設定が有効になります。

フォールバックの設定

フォールバック設定により、リンクの障害、設定の不一致、またはソフトウェアの不一致が発生した場合でも、アプライアンスはゼロタッチ展開サービスに接続したままになります。フォールバック設定は、デフォルトの構成プロファイルを持つアプライアンスではデフォルトで有効になっています。既存の LAN ネットワーク設定に従って、フォールバック設定を編集することもできます。

:最初のアプライアンスをProvisioning した後、フォールバック構成でゼロタッチデプロイメントサービス接続が有効になっていることを確認します。

フォールバック構成が無効になっている場合は、[構成] > [ **仮想 WAN ] > [ フローの有効化/無効化/パージ ] > [ フォールバック構成の有効化/無効化 ] の順に選択し、[ 有効 ] をクリックします。**

フォールバック設定の有効化

LANネットワークごとにフォールバック設定をカスタマイズするには:

  1. 構成 」>「 アプライアンスの設定 」>「 フォールバック構成」に移動します。
  2. ネットワーク要件に従って、次の LAN 設定の値を編集します。これは、ゼロタッチデプロイサービスとの接続を確立するために必要な最小設定です。

    • VLAN ID: LAN ポートをグループ化する必要がある VLAN ID。
    • IPアドレス:LANポートに割り当てられた仮想IPアドレス。
    • DHCP 有効:LAN ポートを DHCP サーバとして有効にします。DHCP サーバは、ダイナミック IP アドレスを WAN ポートに割り当てます。
    • DHCP 開始および DHCP 終了: DHCP が WAN ポートに IP を動的に割り当てるために使用する IP アドレスの範囲。
    • DNS サーバー: プライマリ DNS サーバー の IP アドレス。
    • 代替DNSサーバ:セカンダリDNSサーバの IPアドレス。
    • インターネットアクセス: 他のフィルタリングを行わずに、すべての LAN クライアントへのインターネットアクセスを許可します。

    フォールバック設定の有効化

  3. 各ポートのモードを設定します。ポートは、LAN ポートまたは WAN ポートのどちらでもかまいません。また、無効にすることもできます。表示されるポートは、アプライアンスのモデルによって異なります。また、ポートバイパスモードを Fail-to-Block または F ail-to-Wireに設定します。

フォールバック設定をデフォルト設定にリセットするには、[ Reset] をクリックします。

フォールバック設定の有効化

構成可能な管理ポートまたはデータ・ポート

帯域内管理により、データポートはデータおよび管理トラフィックの両方を伝送できるため、専用の管理ポートは不要です。これにより、すでに低いポート密度のローエンドのアプライアンスでは、管理ポートが使用されないままになります。Citrix SD-WAN では、管理ポートをデータポートまたは管理ポートとして動作するように構成できます。

管理ポートをデータポートに変換できるのは、次のプラットフォームのみです。

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

構成エディタで、構成の管理ポートを使用します。構成がアクティブになると、管理ポートはデータポートに変換されます。

管理ポートを構成できるのは、アプライアンスの他の信頼できるインターフェイスで帯域内管理が有効になっている場合だけです。

管理インターフェイスを構成するには、構成エディタで [サイト] に移動し、 サイトを選択して [ Interface Groups] をクリックします。MGMT インターフェイスは設定可能です。インターフェイスグループの設定の詳細については、インターフェイスグループの設定方法を参照してください。

インターフェイスグループ

管理機能を実行するように管理ポートを再設定するには、設定を削除します。管理ポートを使用せずに構成を作成し、アクティブにします。

バックアップ管理ネットワーク

仮想 IP アドレスをバックアップ管理ネットワークとして構成できます。管理ポートにデフォルト Gateway が設定されていない場合は、管理 IP アドレスとして使用されます。

サイトに 1 つのルーティングドメインで構成されたインターネットサービスがある場合、デフォルトで ID が有効な信頼できるインターフェイスがバックアップ管理ネットワークとして選択されます。

仮想IPをバックアップ管理ネットワークとして選択するには、以下の手順に従ってください。

  1. 構成エディタで、[ サイト ] > [ 仮想 IP アドレス] に移動します。

  2. バックアップ管理ネットワークとして仮想 IP アドレスを選択します。

    バックアップ管理

  3. インバンドおよびバックアップ管理プレーンを介したすべての DNS 要求の転送先の DNS プロキシを選択します。

    DNS プロキシは、帯域内管理とバックアップ管理ネットワークの両方が仮想 IP に対して有効になっている場合にのみ選択できます。

  4. [適用] をクリックします。

仮想 IP アドレスの構成手順の詳細については、「仮想 IP アドレスを設定する方法」を参照してください

バックアップ管理の監視

前の例では、172.170.10.78 の仮想 IP をバックアップ管理ネットワークとして選択しています。管理 IP アドレスがデフォルト Gateway で設定されていない場合は、この IP を使用して Web UI と SSH にアクセスできます。

Web UI で、[ 監視 ] > [ ファイアウォール] に移動します。この仮想 IP アドレスは、SSH および Web UI アクセスの送信元 IP アドレスとして確認できます。

バックアップ管理の監視

帯域内およびバックアップ管理