Citrix SD-WAN

ルーティング間ドメインサービス

Citrix SD-WAN では、ルーティングドメインを使用してネットワークをセグメント化し、高いセキュリティと容易な管理を実現します。Routing Domain を使用すると、オーバーレイネットワーク内でトラフィックが互いに分離されます。各ルーティングドメインは、独自のルーティングテーブルを保持します。ルーティングドメインの詳細については、仮想ルーティングと転送を参照してください。

しかし、時には我々は、ルーティングドメイン間でトラフィックをルーティングする必要があります。たとえば、プリンター、スキャナー、メールサーバーなどの共有サービスが個別のルーティングドメインとしてプロビジョニングされている場合などです。VRF 間ルーティングは、異なるルーティングドメインのユーザが共有サービスにアクセスできるようにするために必要です。

Citrix SD-WAN は、静的ルーティング間ドメインサービスを提供し、サイト内のルーティングドメイン間または異なるサイト間のルート漏洩を可能にします。これにより、エッジルータがルートリークを処理する必要がなくなります。さらに、Inter-VRF ルーティングサービスを使用して、ルート、ファイアウォールポリシー、および NAT 規則を設定できます。

新しいファイアウォールゾーン Inter_Routing_Domain_Zone がデフォルトで作成され、ルーティングとフィルタリングのためのルーティング間ドメインサービスのファイアウォールゾーンとして機能します。

Citrix SD-WAN PEアプライアンスは、ルーティング間ドメインパケットでWAN最適化機能を実行しません。

2 つのルーティングドメイン間でルーティング間ドメインサービスを構成します。

MCN と 2 つ以上のブランチがあり、少なくとも 2 つのルーティングドメインがグローバルに設定されている SD-WAN ネットワークを考えてみましょう。デフォルトでは、すべてのルーティングドメインが MCN で有効になっています。他のサイトで必要なルーティングドメインを選択的に有効にします。ルーティングドメインの設定については、ルーティングドメインの設定を参照してください。

  1. SD-WAN 構成エディタで、[ 接続 ] > [サイトの選択] > [ ルーティング間ドメインサービス] に移動します。

  2. [ + ] をクリックし、次のパラメータの値を入力します。

  • 名前: ルーティング間ドメインサービスの名前。
  • ルーティングドメイン 1: ペアの最初のルーティングドメイン。
  • ルーティングドメイン 2: ペアの 2 番目のルーティングドメイン。
  • ファイアウォールゾーン:サービスのファイアウォールゾーン。
    • デフォルト:Inter_Routing_Domain_Zone ファイアウォールゾーンが割り当てられます。
    • [なし]: ゾーンが選択されず、パケットの元のゾーンが保持されます。
    • ネットワーク内で構成されているすべてのゾーンを選択できます。

    ルーティング間ドメインサービスを構成する

  1. [ 適用 ] をクリックして、ルーティング間ドメインサービスを作成します。作成したサービスを使用して、ルート、ファイアウォールポリシー、および NAT ポリシーを作成できます。

注:

サイト上で有効になっていないルーティングドメインを使用して、ルーティング間ドメインサービスを構成することはできません。

ルーティング間ドメインサービスを使用してルートを作成するには、サービス タイプInter-Routing Domain Service としてルートを作成し、ルーティング間ドメインサービスを選択します。ルートの設定の詳細については、ルートの設定方法を参照してください。

ルーティング間ドメインサービスを使用したルートの設定

また、他の Routing Domain ペアからルートを追加して、2 つのルーティングドメイン間の接続を確立します。

また、ファイアウォールポリシーを設定して、ルーティングドメイン間のトラフィックフローを制御することもできます。ファイアウォールポリシーで、送信元サービスと宛先サービスの Inter-Routing ドメインサービスを選択し、必要なファイアウォールアクションを選択します。ファイアウォールポリシーの設定については、ポリシーを参照してください。

ルーティング間ドメインサービスを使用したポリシーの構成

イントラネットサービスタイプを選択して、スタティック NAT ポリシーとダイナミック NAT ポリシーを構成することもできます。NAT ポリシーの設定の詳細については、ネットワークアドレス変換を参照してください。

ルーティング間ドメインサービスを使用した NAT の設定

監視

[監視] > [ ファイアウォールの統計] > [接続] で、ルーティング間ドメインサービスを使用する **接続のモニタリング 統計情報**を表示できます。

ルーティング間ドメインのモニタリング

ユースケース:ルーティングドメイン間でのリソースの 共有

異なるルーティングドメインのユーザーが共通の資産(プリンタやネットワークストレージなど)にアクセスする必要があるシナリオを考えてみましょう。図に示すように、ブランチ RD1、RD2、および共有 RD には 3 つのルーティングドメインがあります。

ルーティングドメイン間での共有リソース

RD1 および RD2 のユーザーが共有 RD のリソースにアクセスできるようにするには、次の手順を実行します。

  1. RD1 と共有 RD の間にルーティング間ドメインサービスを作成します。たとえば、 Inter RD1です。
  2. RD2 と共有 RD 間のルーティング間ドメインサービス (たとえば、 Inter-RD2)を作成します。

    共有 RD

  3. RD1 および RD2 から共有 RD への静的ルートを構成します。RD1 で、RD1 にルート 172.168.2.0/24 を追加します。

    RD1 にルートを追加

  4. RD2 で、RD2 にルート 172.168.2.0/24 を追加します。

    RD2 にルートを追加

  5. 共有 RD の VIP を使用して InterRD1 にダイナミック NAT ルールを追加します。リバース ルートが同じサービスタイプを使用するようにするには、「レスポンダールートのバインド 」を有効にします。

    RD1 のダイナミック NAT

  6. 共有 RD の VIP を使用して InterRD2 にダイナミック NAT ルールを追加します。たとえば、10.0.0.11 です。リバースルートが同じサービスタイプを使用するようにするには、「レスポンダールートのバインド」を有効にします。

    RD2 のダイナミック NAT

  7. フィルターを使用して、RD1/RD2 のユーザーがアクセスできる共有 RD 内のリソースを制限します。

ルーティング間ドメインサービス