Citrix SD-WAN

ルーティング間ドメインサービス

Citrix SD-WANを使用すると、ルーティングドメインを使用してネットワークをセグメント化できるため、高いセキュリティと容易な管理が可能になります。ルーティングドメインを使用すると、トラフィックはオーバーレイネットワーク内で互いに隔離されます。各ルーティングドメインは、独自のルーティングテーブルを保持します。ルーティングドメインの詳細については、「 ルーティングドメイン」を参照してください

ただし、ルーティングドメイン間でトラフィックをルーティングする必要がある場合もあります。たとえば、プリンタ、スキャナ、メールサーバーなどの共有サービスが、個別のルーティングドメインとしてプロビジョニングされる場合などです。ルーティング間ドメインは、異なるルーティングドメインのユーザーが共有サービスにアクセスできるようにするために必要です。

Citrix SD-WANは静的ルーティング間ドメインサービスを提供し、サイト内または異なるサイト間のルーティングドメイン間のルート漏洩を可能にします。これにより、エッジルータがルートリークを処理する必要がなくなります。ルーティング間ドメインサービスは、さらにルート、ファイアウォールポリシー、および NAT ルールを設定するために使用できます。

新しいファイアウォールゾーン Inter_Routing_Domain_Zone がデフォルトで作成され、ルーティングとフィルタリングのルーティングドメインサービスのファイアウォールゾーンとして機能します。

Citrix SD-WAN PEアプライアンスは、ルーティング間ドメインパケットに対してWAN最適化機能を実行しません。

2 つのルーティングドメイン間でルーティングドメインサービスを構成します。

MCN と 2 つ以上のブランチを持つ SD-WAN ネットワークで、少なくとも 2 つのルーティングドメインをグローバルに設定したとします。デフォルトでは、すべてのルーティングドメインが MCN で有効になっています。他のサイトで必要なルーティングドメインを選択的に有効にします。ルーティングドメインの設定については、 「ルーティングドメインの設定」を参照してください

  1. SD-WAN 構成エディタで、[ 接続]> [サイトの選択] > [ ルーティング間ドメインサービス] に移動します

  2. [ +] をクリックし 、次のパラメータの値を入力します。

  • [ 名前]: ルーティング間ドメインサービスの名前。
  • ルーティングドメイン 1: ペアの最初のルーティングドメイン。
  • ルーティングドメイン 2: ペアの 2 番目のルーティングドメイン。
  • ファイアウォールゾーン:サービスのファイアウォールゾーン。
    • デフォルト:Inter_Routing_Domain_Zone ファイアウォールゾーンが割り当てられます。
    • [None]:ゾーンが選択されず、パケットの元のゾーンが保持されます。
    • ネットワーク内で構成されているすべてのゾーンが選択されることがあります。

    ルーティング間ドメインサービスの構成

  1. [ 適用 ] をクリックして、インタールーティングドメインサービスを作成します。作成したサービスを使用して、ルート、ファイアウォールポリシー、および NAT ポリシーを作成できます。

サイト上で有効になっていないルーティングドメインを使用して、インタールーティングドメインサービスを構成することはできません。

インタールーティングドメインサービスを使用してルートを作成するには、[サービスタイプ] を [ インタールーティングドメイン **サービス]としてルート** を作成し、ルーティング間ドメインサービスを選択します。ルートの設定の詳細については、「ルートの設定 方法」を参照してください

インタールーティングドメインサービスを使用してルートを構成する

また、他の Routing Domain ペアからルートを追加して、2 つのルーティングドメイン間の接続を確立します。

ファイアウォールポリシーを構成して、ルーティングドメイン間のトラフィックフローを制御することもできます。ファイアウォールポリシーで、送信元および宛先サービスに対して [Inter-Routing ドメインサービス] を選択し、必要なファイアウォールアクションを選択します。ファイアウォールポリシーの設定については、「 ポリシー」を参照してください

インタールーティングドメインサービスを使用したポリシーの構成

また、イントラネットサービスの種類を選択して、スタティック NAT ポリシーとダイナミック NAT ポリシーを構成することもできます。NAT ポリシーの設定の詳細については、「 ネットワークアドレス変換」を参照してください

ルーティング間ドメインサービスを使用した NAT の設定

監視

ルーティングドメインサービスを使用する接続の監視統計は、[ 監視] > [ **ファイアウォールの統計 ] > [ 接続 ] の下に表示されます**。

ルーティング間ドメインのモニタリング

ユースケース:ルーティングドメイン間でのリソースの共有

異なるルーティングドメインのユーザーがプリンタやネットワークストレージなどの共通資産にアクセスする必要があるシナリオを考えてみましょう。図に示すように、ブランチ RD1、RD2、および共有 RD には 3 つのルーティングドメインがあります。

ルーティングドメイン間で共有リソース

RD1 および RD2 のユーザーが共有 RD のリソースにアクセスできるようにするには、次の手順を実行します。

  1. RD1 と共有 RD の間にルーティング間ドメインサービス (たとえば、 InterR RD1) を作成します
  2. RD2 と共有 RD の間にルーティング間ドメインサービス (たとえば、 InterR RD2) を作成します

共有 RD

  1. RD1 および RD2 から共有 RD への静的ルートを構成します。RD1 で、ルート 172.168.2.0/24 を InterRD1 に追加します。

RD1にルートを追加する

  1. RD2 で、ルート 172.168.2.0/24 を InterRD2 に追加します。

RD2でルートを追加する

  1. 共有 RD の VIP を使用して InterRD1 にダイナミック NAT ルールを追加します。バインドレスポンダールートを有効に して、リバースルートが同じサービスタイプを使用するようにします。

RD1 のダイナミック NAT

  1. 共有 RD の VIP を使用して InterRD2 にダイナミック NAT ルールを追加します (たとえば、10.0.0.11)。バインドレスポンダールートを有効にして、リバースルートが同じサービスタイプを使用するようにします。

RD2 のダイナミック NAT

  1. フィルターを使用して、共有 RD 内のどのリソースが RD1/RD2 のユーザーからアクセスできるかを制限します。
ルーティング間ドメインサービス