Citrix SD-WAN

アプリケーションルート

一般的な企業ネットワークでは、支店はオンプレミスのデータセンター、クラウドデータセンター、または SaaS アプリケーションのアプリケーションにアクセスします。アプリケーションルーティング機能により、ネットワークを介してアプリケーションを簡単かつコスト効率よく操作できます。たとえば、ブランチサイトのユーザーが SaaS アプリケーションにアクセスしようとすると、ブランチオフィスがインターネット上の SaaS アプリケーションに直接アクセスできるように、まずデータセンターを経由しなくても、トラフィックをルーティングできます。

Citrix SD-WAN では、次のサービスのアプリケーションルートを定義できます。

  • 仮想パス:このサービスは、仮想パスを通過するトラフィックを管理します。仮想パスは、2 つの WAN リンク間の論理リンクです。これは、2 つの SD-WAN ノード間で高いサービスレベルの通信を提供するために、組み合わせた WAN パスの集合で構成されます。SD-WAN アプライアンスは、パス単位でネットワークを測定し、変化するアプリケーションの需要と WAN 条件に適応します。仮想パスは、静的(常に存在)または動的(2 つの SD-WAN アプライアンス間のトラフィックが設定されたしきい値に達した場合にだけ存在)にすることができます。
  • インターネット: このサービスは、エンタープライズサイトとパブリックインターネット上のサイト間のトラフィックを管理します。インターネットトラフィックはカプセル化されません。輻輳が発生すると、SD-WAN は、仮想パスおよびイントラネットトラフィックに対するインターネットトラフィックのレート制限によって、帯域幅をアクティブに管理します。
  • イントラネット: このサービスは、仮想パス経由の送信用に定義されていないエンタープライズイントラネットトラフィックを管理します。イントラネットトラフィックはカプセル化されません。SD-WAN は、輻輳時に他のサービスタイプに対してこのトラフィックをレート制限することにより、帯域幅を管理します。特定の条件下では、イントラネットフォールバックが仮想パス上に構成されている場合、通常は仮想パスを通過するトラフィックは、代わりにイントラネットトラフィックとして扱うことができます。
  • ローカル:このサービスは、他のサービスと一致しないサイトへのローカルトラフィックを管理します。SD-WAN は、送信元およびローカルルート宛てのトラフィックを無視します。
  • GRE トンネル: このサービスは、GRE トンネル宛の IP トラフィックを管理し、サイトで設定された LAN GRE トンネルと一致します。GRE トンネル機能を使用すると、LAN 上の GRE トンネルを終了するように SD-WAN アプライアンスを設定できます。サービスタイプ GRE Tunnel のルートの場合、Gateway はローカル GRE トンネルのトンネルサブネットの 1 つに存在する必要があります。
  • LAN IPsec トンネル: このサービスは、LAN IPsec トンネル宛の IP トラフィックを管理し、サイトで構成された LAN IPsec トンネルと一致します。LAN IPsec トンネル機能を使用すると、LAN または WAN 側で IPsec トンネルを終了するように SD-WAN アプライアンスを設定できます。

アプリケーションのサービスステアリングを実行するには、最初のパケット自体でアプリケーションを識別することが重要です。最初は、トラフィックが分類され、アプリケーションが既知になると、パケットは IP ルートを通過します。対応するアプリケーションルートが使用されます。最初のパケット分類は、アプリケーションオブジェクトに関連付けられた IP サブネットとポートを学習することによって実現されます。これらは、DPI 分類子の履歴分類結果、およびユーザが設定した IP ポート一致タイプを使用して取得されます。

アプリケーション・ルーティングを構成するには、次の手順に従います。

  1. 構成エディタで、「 接続 」>「 アプリケーションルート」に移動し、「+」をクリックします。

    ローカライズされた画像

  2. [ 追加] ページで、次のパラメータを設定します。

    • アプリケーション・オブジェクト: 操作するアプリケーション・オブジェクト。作成したアプリケーションオブジェクトがここに表示されます。詳細については、 アプリケーション分類トピックの「 アプリケーションオブジェクト 」セクションを参照してください。

      ローカライズされた画像

    • ルーティングドメイン:アプリケーションルートで使用されるルーティングドメイン。設定済みのルーティングドメインの 1 つを選択します。
    • コスト: このルートのルート優先度を決定する重み。低コストのルートは、高コストのルートよりも優先されます。指定できる範囲は 1 ~ 65534 です。デフォルト値は5です。
    • サービスタイプ: 次のサービスのいずれかを選択します。これにより、アプリケーションがサービスにマップされます。

    • 仮想パス:アプリケーショントラフィックを仮想パストラフィックとして識別し、仮想パスルールに基づいて仮想パスを照合します。[ Next Hop Site ] フィールドに、仮想パスパケットの送信先となるネクストホップリモートサイトを入力します。

      仮想パスアプリケーションルートに到達するフローは、ダイナミック仮想パスを通過しません。

    • インターネット:アプリケーショントラフィックをインターネットトラフィックとして識別し、インターネットサービスと照合します。

    • [イントラネット]: アプリケーショントラフィックをイントラネットトラフィックとして識別し、イントラネットルールに基づいてイントラネットサービスと照合します。[ イントラネットサービス ] フィールドで、ルートに使用するイントラネットサービスを選択します。

    • [ローカル]: アプリケーショントラフィックをサイトに対してローカルとして識別し、サービスと一致しません。送信元およびローカルルート宛てのトラフィックは無視されます。

      ローカルサービスタイプでは、DPI 分類が完了すると、設定された IP ルートがルーティングの決定を行います。

    • GRE トンネル:アプリケーショントラフィックが GRE トンネルの宛先であると識別され、サイトで設定された LAN GRE トンネルと一致します。[ Gateway IP Address ] フィールドに、LAN GRE トンネルのサブネット内にある必要のあるゲートウェイの IP アドレスを入力します。ゲートウェイに到達できないときにルートがトラフィックを受信しないようにするには、[ゲートウェイに基づく適格性 ] を選択します。

    • LAN IPsec トンネル:アプリケーショントラフィックが LAN IPsec トンネル宛てであると識別され、サイトで構成された LAN IPsec トンネルと一致します。[ IPSec Tunnel ] フィールドで、設定済みの IPSec トンネルの 1 つを選択します。トンネルに到達できないときにルートがトラフィックを受信しないようにするには、[トンネルに基づく適格性 ] を選択します。

      カスタムアプリケーションのサービスを選択した後は、変更しないでください。

    • [パスに基づく適格性]: 指定したパスがダウンしたときにルートがトラフィックを受信しないようにする場合に選択します。[ Path ] フィールドで、ルートの適格性の決定に使用するパスを指定します。
  3. [適用] をクリックします。

SD-WAN アプライアンスに構成されているアプリケーションルートを表示します。SD-WAN GUI で、[ 設定 ] > [ 仮想 WAN ] > [ 設定の表示] に移動します。[ 表示 ] ドロップダウンメニューから [ アプリケーションルート ] を選択します。 ローカライズされた画像

アプリケーション・ルートの統計情報データを表示するには、次のステップを実行します。

  1. SD-WAN GUI で、[ モニタリング ] > [ 統計] に移動します。

  2. [ 表示 ] ドロップダウンリストから、[ アプリケーションルート] を選択します。

    ローカライズされた画像

次の統計を表示できます。

  • アプリケーション・オブジェクト: アプリケーション・オブジェクトの名前。
  • Gateway IP アドレス:GRE トンネルサービスタイプのアプリケーションオブジェクトで使用されるゲートウェイ IP アドレス。
  • サービス: アプリケーション・オブジェクトにマップされたサービス・タイプ。
  • ファイアウォールゾーン:このルートが属するファイアウォールゾーン。
  • 到達可能: アプリケーションルートのステータス。
  • サイト: サイトの名前。
  • [ Type]: ルートが静的か動的かを示します。
  • コスト: ルートの優先度。
  • Hit Count:トラフィックを処理するためにアプリケーションルートが使用される回数。
  • 適格:アプリケーションルートがトラフィックを送信できるかどうかを示します。
  • 適格タイプ: この工順に適用される工順適格条件のタイプ。資格の種類は、パス、ゲートウェイ、またはトンネルです。
  • 適格値: 工順適格条件に対して指定された値。

現在のリリースでは、アプリケーションファミリに属するアプリケーションは、アプリケーションオブジェクトで定義されている一致型は、ステアリングできません。

アプリケーションルート