Citrix SD-WAN

アプリケーションルート

一般的なエンタープライズネットワークでは、ブランチオフィスはオンプレミスデータセンター、クラウドデータセンター、または SaaS アプリケーション上のアプリケーションにアクセスします。アプリケーションルーティング機能により、ネットワークを介してアプリケーションを簡単かつコスト効率よく操作できます。たとえば、ブランチサイトのユーザーが SaaS アプリケーションにアクセスしようとすると、ブランチオフィスが最初にデータセンターを経由することなく、インターネット上の SaaS アプリケーションに直接アクセスできるように、トラフィックをルーティングできます。

Citrix SD-WANでは、次のサービスのアプリケーションルートを定義できます。

  • 仮想パス:このサービスは、仮想パスを通過するトラフィックを管理します。仮想パスは、2 つの WAN リンク間の論理リンクです。これは、2つのSD-WANノード間で高いサービス・レベル通信を提供するために結合されたWANパスの集合で構成されます。SD-WAN アプライアンスは、パス単位でネットワークを測定し、変化するアプリケーション需要や WAN 条件に適応します。仮想パスは、スタティック(常に存在)またはダイナミック(2 つの SD-WAN アプライアンス間のトラフィックが設定されたしきい値に達した場合のみ存在)のいずれかになります。
  • インターネット: このサービスは、エンタープライズサイトとパブリックインターネット上のサイト間のトラフィックを管理します。インターネットトラフィックはカプセル化されません。輻輳が発生すると、SD-WAN は、仮想パス、およびイントラネットトラフィックに対するレート制限によって、帯域幅を積極的に管理します。
  • イントラネット: このサービスは、仮想パス経由の送信用に定義されていないエンタープライズイントラネットトラフィックを管理します。イントラネットトラフィックはカプセル化されません。SD-WAN は、輻輳時にこのトラフィックを他のサービスタイプと比較してレート制限することにより、帯域幅を管理します。特定の条件下では、イントラネットフォールバックが仮想パス上に構成されている場合、通常は仮想パスを通過するトラフィックは、代わりにイントラネットトラフィックとして扱うことができます。
  • ローカル:このサービスは、他のサービスと一致しないサイトへのローカルトラフィックを管理します。SD-WAN は、ローカルルートを送信元および宛先とするトラフィックを無視します。
  • GRE トンネル: このサービスは、GRE トンネル宛の IP トラフィックを管理し、サイトで設定された LAN GRE トンネルと一致します。GRE トンネル機能を使用すると、LAN 上の GRE トンネルを終了するように SD-WAN アプライアンスを設定できます。サービスタイプ GRE Tunnel のルートの場合、Gateway はローカル GRE トンネルのトンネルサブネットの 1 つに存在する必要があります。
  • LAN IPsec トンネル: このサービスは、LAN IPsec トンネル宛の IP トラフィックを管理し、サイトで構成された LAN IPsec トンネルと一致します。LAN IPsec トンネル機能を使用すると、LAN または WAN 側で IPsec トンネルを終了するように SD-WAN アプライアンスを構成できます。

アプリケーションのサービスステアリングを実行するには、最初のパケット自体でアプリケーションを識別することが重要です。最初は、トラフィックが分類され、アプリケーションが認識されると、パケットは IP ルートを通過します。対応するアプリケーションルートが使用されます。最初のパケット分類は、アプリケーションオブジェクトに関連付けられた IP サブネットとポートを学習することによって達成されます。これらは、DPI 分類器の履歴分類結果とユーザ設定の IP ポート一致タイプを使用して取得されます。

アプリケーション・ルーティングを構成するには、次の手順に従います。

  1. 構成エディタで、「 接続 」>「 アプリケーションルート」に移動し、「+」をクリックします。

    アプリケーション・ステアリング1

  2. [ 追加] ページで、次のパラメータを設定します。

    • アプリケーション・オブジェクト: 操作するアプリケーション・オブジェクト。ここで作成したアプリケーションオブジェクトが一覧表示されます。詳細については、 アプリケーション分類トピックの「 アプリケーションオブジェクト 」セクションを参照してください。

      SD-WAN アプリケーションステアリング

    • ルーティングドメイン:アプリケーションルートで使用されるルーティングドメイン。設定済みのルーティングドメインの 1 つを選択します。
    • コスト: このルートのルート優先度を決定する重み。低コストのルートは、高コストのルートよりも優先されます。指定できる範囲は 1 ~ 65534 です。デフォルト値は5です。
    • サービスタイプ: 次のサービスのいずれかを選択します。これにより、アプリケーションがサービスにマッピングされます。

    • 仮想パス:アプリケーショントラフィックを仮想パストラフィックとして識別し、仮想パスルールに基づいて仮想パスを照合します。[ Next Hop Site ] フィールドに、仮想パスパケットの送信先となるネクストホップリモートサイトを入力します。

      仮想パスアプリケーションルートに到達するフローは、ダイナミック仮想パスを通過しません。

    • インターネット:アプリケーショントラフィックをインターネットトラフィックとして識別し、インターネットサービスと照合します。

    • [イントラネット]: アプリケーショントラフィックをイントラネットトラフィックとして識別し、イントラネットルールに基づいてイントラネットサービスと照合します。[ イントラネットサービス ] フィールドで、ルートに使用するイントラネットサービスを選択します。

    • [ローカル]: アプリケーショントラフィックをサイトに対してローカルとして識別し、サービスと一致しません。ローカルルートをソースおよび宛先とするトラフィックは無視されます。

      ローカルサービスタイプの場合、DPI 分類が完了すると、設定された IP ルートがルーティング決定を行います。

    • GRE トンネル:アプリケーショントラフィックが GRE トンネルの宛先であると識別され、サイトで設定された LAN GRE トンネルと一致します。[ Gateway IP Address ] フィールドに、LAN GRE トンネルのサブネット内にある必要のあるゲートウェイの IP アドレスを入力します。ゲートウェイに到達できないときにルートがトラフィックを受信しないようにするには、[ゲートウェイに基づく適格性 ] を選択します。

    • LAN IPsec トンネル:アプリケーショントラフィックが LAN IPsec トンネル宛てであると識別され、サイトで構成された LAN IPsec トンネルと一致します。[ IPSec Tunnel ] フィールドで、設定済みの IPSec トンネルの 1 つを選択します。トンネルに到達できないときにルートがトラフィックを受信しないようにするには、[トンネルに基づく適格性 ] を選択します。

      カスタムアプリケーションのサービスを選択したら、そのサービスを変更しないでください。

    • [パスに基づく適格性]: 指定したパスがダウンしたときにルートがトラフィックを受信しないようにする場合に選択します。[ Path ] フィールドで、ルートの適格性の決定に使用するパスを指定します。
  3. [適用] をクリックします。

SD-WAN アプライアンスに構成されているアプリケーションルートを表示する。SD-WAN GUI で、[ 設定 ] > [ 仮想 WAN ] > [ 設定の表示] に移動します。[ 表示 ] ドロップダウンメニューから [ アプリケーションルート ] を選択します。

SD-WAN ステアリング

アプリケーション・ルートの統計データを表示する手順は、次のとおりです。

  1. SD-WAN GUI で、[ モニタリング ] > [ 統計] に移動します。

  2. [ 表示 ] ドロップダウンリストから、[ アプリケーションルート] を選択します。

    SD-WAN ステアリング

次の統計を表示できます。

  • アプリケーション・オブジェクト: アプリケーション・オブジェクトの名前。
  • Gateway IP アドレス:GRE トンネルサービスタイプのアプリケーションオブジェクトで使用されるゲートウェイ IP アドレス。
  • サービス: アプリケーション・オブジェクトにマップされたサービス・タイプ。
  • ファイアウォールゾーン:このルートが属するファイアウォールゾーン。
  • 到達可能: アプリケーションルートのステータス。
  • サイト: サイトの名前。
  • [ Type]: ルートが静的か動的かを示します。
  • コスト: ルートの優先度。
  • Hit Count:トラフィックを処理するためにアプリケーションルートが使用される回数。
  • 適格:アプリケーションルートがトラフィックを送信できるかどうかを示します。
  • 適格タイプ: この工順に適用される工順適格条件のタイプ。適格性タイプは、パス、ゲートウェイ、またはトンネルです。
  • 適格値: 工順適格条件に対して指定された値。

現在のリリースでは、アプリケーションファミリに属するアプリケーションオブジェクト (アプリケーションオブジェクトで定義されているマッチタイプ) は操作できません。

トラブルシューティング

アプリケーションルートを作成したら、[ Monitoring ] セクションを使用して、目的のサービスにアプリケーションが正しくルーティングされていることを確認できます。

アプリケーションが目的のサービスに正しくルーティングされているかどうかを確認するには、次のページに移動します。

  • モニタリング > 統計 > アプリケーションルート
  • モニタリング > フロー
  • モニタリング > ファイアウォール

予期しないルーティング動作が発生した場合は、問題が発生している間にSTS診断バンドルを収集し、Citrixサポートチームと共有します。

STS バンドルは、 [構成] > [システムメンテナンス] > [診断] > [診断情報]を使用して作成およびダウンロードできます。

アプリケーションルート