Citrix SD-WAN

AWS トランジットゲートウェイを使用した Citrix SD-WAN の統合

アマゾンウェブサービス(AWS)トランジット Gateway サービスを使用すると、Amazon 仮想プライベートクラウド(VPC)とオンプレミスのネットワークを 1 つのゲートウェイに接続できます。AWS で実行されるワークロードの数が増えるにつれて、ネットワークを複数のアカウントと Amazon VPC に拡張して、成長に対応できます。

ピアリングを使用して Amazon VPC のペアを接続できるようになりました。ただし、接続ポリシーを一元的に管理することなく、多くの Amazon VPC でポイントツーポイント接続を管理することは、運用上のコストと面倒な作業になります。オンプレミス接続の場合は、AWS VPN を個々の Amazon VPC にアタッチする必要があります。このソリューションは、VPC の数が数百に増加すると、ビルドに時間がかかり、管理が難しい場合があります。

AWS Transit Gateway では、中央ゲートウェイからネットワーク経由で各 Amazon VPC、オンプレミスのデータセンター、またはリモートオフィスへの 1 つの接続を作成および管理するだけでかまいません。トランジットゲートウェイは、スポークのように動作する接続されたすべてのネットワーク間でトラフィックがどのようにルーティングされるかを制御するハブとして機能します。このハブ・アンド・スポーク・モデルでは、各ネットワークはTransit Gatewayに接続するだけで、他のすべてのネットワークには接続できないため、管理が大幅に簡素化され、運用コストが削減されます。新しい VPC はトランジットゲートウェイに接続され、トランジットゲートウェイに接続されている他のすべてのネットワークから自動的に利用できるようになります。この接続が容易なため、成長に合わせてネットワークの拡張が容易になります。

企業はますます多くのアプリケーション、サービス、インフラストラクチャをクラウドに移行するにつれて、SD-WAN を迅速に導入して、ブロードバンド接続のメリットを実現し、ブランチサイトのユーザーをクラウドリソースに直接接続しています。インターネットトランスポートサービスを使用して、地理的に分散した場所やユーザーを近接性ベースのクラウドリソースで接続するには、グローバルなプライベートネットワークを構築および管理するという複雑さには多くの課題があります。AWS トランジットゲートウェイネットワークマネージャー は、このパラダイムを変更します。現在、AWS を使用する Citrix SD-WAN のお客様は、Citrix SD-WAN ブランチアプライアンス AWS Transit Gateway を統合することで、Citrix SD-WAN を AWS トランジットゲートウェイで使用できるようになりました。これにより、トランジットゲートウェイに接続されているすべての VPC に手を差し伸べる機能を持つユーザーに最高品質のエクスペリエンスを提供できます。

以下は、Citrix SD-WAN と AWS トランジットゲートウェイを統合する手順です。

  1. AWS トランジットゲートウェイを作成します。

  2. VPN をトランジットゲートウェイ(既存の VPN または新しい VPN)に接続します。

  3. オンプレミスまたは任意のクラウド(AWS、Azure、または GCP)にある SD-WAN サイトで VPN が設定されているトランジットゲートウェイに VPN を接続します。

  4. Citrix SD-WAN からの AWS Transit Gateway と IPsec トンネルを介してボーダーゲートウェイプロトコル(BGP)ピアリングを確立し、トランジットゲートウェイに接続されているネットワーク(VPC)を学習します。

使用例

ユースケースは、ブランチ環境から(任意の VPC)AWS 内にデプロイされたリソースに手を差し伸べます。AWS Transit Gateway を使用すると、トラフィックは BGP ルートを処理せずに、トランジットゲートウェイに接続されているすべての VPC に到達できます。これを実現するには、次の方法を実行します。

  • ブランチの Citrix SD-WAN アプライアンスから AWS トランジットゲートウェイへの IPSec を確立します。この展開方法では、トラフィックが IPsec を経由するため、SD-WAN の利点を完全には得られません。

  • AWS 内で Citrix SD-WAN アプライアンスをデプロイし、仮想パス経由でオンプレミCitrix SD-WAN アプライアンスに接続します。

どちらの方法を選択しても、トラフィックは、AWS インフラストラクチャ内のルーティングを手動で管理することなく、Transit Gateway に接続された VPC に到達します。

AWS トランジットGateway

AWS トランジットゲートウェイの設定

AWS トランジットゲートウェイを作成するには、VPC ダッシュボードに移動し、[ トランジットゲートウェイ ] セクションに移動します。

  1. 次のスクリーンショットで強調表示されているとおりにトランジットゲートウェイ名、説明、Amazon ASN 番号を指定し、[ Create Transit Gateway] をクリックします。

    中継Gateway の作成

    トランジットゲートウェイの作成が完了すると、ステータスが [ Available] として表示されます。

    中継Gateway のステータス

  2. トランジットゲートウェイの 添付ファイルを作成するには、「トランジットゲートウェイ>「トランジットゲートウェイの添付ファイル 」に移動し、「 トランジットゲートウェイの添付ファイルの作成」をクリックします。

    トランジットGateway 添付ファイルの作成

  3. ドロップダウンリストから作成したトランジットゲートウェイを選択し、 VPCとしてアタッチメントタイプを選択します。アタッチメント名タグを指定し、作成したトランジットゲートウェイにアタッチする VPC ID を選択します。選択した VPC のサブネットの 1 つが自動的に選択されます。[ アタッチメントを作成 ] をクリックして、VPC をトランジットゲートウェイにアタッチします。

    トランジット Gateway の添付ファイルの詳細

  4. VPC をトランジットGateway にアタッチすると、 リソースタイプ VPC がトランジットゲートウェイに関連付けられていることがわかります。

    リソースタイプ VPC

  5. VPN を使用して SD-WAN をトランジットゲートウェイに接続するには、ドロップダウンリストから トランジットゲートウェイ ID を選択し、[ Attachment type ] を VPNとして選択します。正しいトランジットゲートウェイ ID を選択していることを確認します。

    SD-WANリンクのパブリック IP アドレスと BGP ASN 番号を指定して、新しい VPN カスタマーゲートウェイを接続します。[ 添付ファイルの作成 ] をクリックして、VPN をトランジットゲートウェイにアタッチします。

    VPN とトランジットゲートウェイの接続

  6. VPN がトランジットゲートウェイに接続されると、次のスクリーンショットに示すように、詳細を表示できます。

    トランジットゲートウェイへの接続 VPN

  7. [ カスタマーゲートウェイ] で、SD-WAN カスタマーゲートウェイとサイト間 VPN 接続は、トランジットゲートウェイへの VPN 添付ファイルの一部として作成されます。SD-WAN カスタマーゲートウェイが、SD-WAN の WAN リンクパブリック IP アドレスを表すこのカスタマーゲートウェイの IP アドレスとともに作成されていることがわかります。

    カスタマーGateway

  8. サイト間VPN接続 に移動し、 SD-WANカスタマーゲートウェイVPN設定をダウンロードします。この構成ファイルには、BGP ピア情報とともに 2 つの IPsec トンネル詳細があります。冗長性のために、SD-WAN から中継ゲートウェイへの 2 つのトンネルが作成されます。

    SD-WANリンクのパブリック IP アドレスがカスタマーゲートウェイアドレスとして設定されていることがわかります。

    サイト間 VPN 接続

  9. [ 設定のダウンロード ] をクリックし、VPN 構成ファイルをダウンロードします。[ **ベンダー]、[ プラットフォーム ]、[ ベンダーに依存しないソフトウェア ] を選択します。**

    ダウンロード構成

    ダウンロードした構成ファイルには、次の情報が含まれています。

    • IKE 設定
    • AWS トランジットゲートウェイの IPSec 設定
    • トンネルインターフェイスの設定
    • BGP 構成

    この情報は、高可用性(HA)用の 2 つの IPsec トンネルで使用できます。SD-WAN でこれを設定する場合は、両方のトンネルエンドポイントを設定してください。参考のために、次のスクリーンショットを参照してください。

    2 つの IPSec トンネル

SD-WAN でのイントラネットサービスの構成

  1. SD-WAN の IPSec トンネル構成で使用されるイントラネットサービスを構成するには、[ 構成エディタ] > [接続] の順に選択し、ドロップダウンリストからサイトを選択し、[ イントラネットサービス] を選択します。[ + サービス ] をクリックして、新しいイントラネットサービスを追加します。

    イントラネットサービスを構成する

  2. イントラネットサービスの追加後、このサービスに使用されるWANリンク(Transit Gatewayへのトンネルを確立しようとしている使用)を選択します。

    WAN リンクの選択

  3. AWS Transit Gateway への IPsec トンネルを設定するには、[ 設定エディタ] > [接続 ] に移動し、ドロップダウンリストから [サイト] を選択し、[ IPsec Tunnels] をクリックします。IPSec トンネルを追加するには、[ + ] オプションをクリックします。

    IPSec トンネルの設定

  4. [ サービスタイプ ] を [ イントラネット ] として選択し、追加した [ イントラネットサービス名 ] を選択します。[ ローカル IP アドレス] を [WAN リンク IP アドレス] として、[ ピア アドレス] を [トランジットゲートウェイ仮想プライベートゲートウェイ IP アドレス] として選択します。

    設定のアクティブ化後すぐに SD-WAN によってトンネルが開始されるようにするには、[ Keepalive ] チェックボックスをオンにします。

    IPSec トンネルサービスタイプ

  5. AWS からダウンロードした VPN 設定ファイルに基づいて IKE パラメータを設定します。

    IKE パラメータ

  6. AWS からダウンロードした VPN 設定ファイルに基づいて IPsec パラメータを設定します。また、トンネルを介して送信する ネットワークに基づいて、IPsec 保護された ネットワークを構成します。IPsec トンネルを通過するすべてのトラフィックを許可するように構成されていることがわかります。

    IPSec パラメータ

  7. カスタマーゲートウェイの内部IPアドレスを SD-WAN上の仮想IPアドレスの1つとして設定します。ダウンロードした VPN 設定ファイルから、Tunnel-1 に関連する IP アドレス内のカスタマーGateway を見つけます。このカスタマーGateway の IP アドレスを SD-WAN 上の仮想 IP アドレスのいずれかとして設定し、[ ID ] チェックボックスをオンにします。

    IP アドレス内のカスタマーGateway

  8. SD-WAN に ルート を追加して、トランジット ゲートウェイの仮想プライベート ゲートウェイに到達します。ダウンロードした VPN 設定ファイルから、Tunnel-1 に関連する仮想プライベートゲートウェイの内部および外部 IP アドレスを見つけます。サービスタイプイントラネット として仮想プライベートゲートウェイの内部と外部のIPアドレスにルートを追加し、上記の手順で作成したイントラネットサービスを選択します。

    ルートの追加

  9. SD-WAN で BGP を設定します。適切な ASN 番号で BGP を有効にします。ダウンロードした VPN 構成ファイルから、Tunnel-1 に関連する BGP 構成オプションを探します。SD-WAN に BGP ネイバーを追加するには、次の詳細情報を使用します。

    SD-WAN で BGP を有効にするには、[ 接続 ] に移動して、ドロップダウンリストからサイトを選択し、[ BGP] を選択します。BGP を有効にするには 、[Enable] チェックボックスをオンにします。[ Citrix SD-WAN ルートのアド バタイズ] チェックボックスをクリックして、SD-WANルートをトランジットゲートウェイにアドバタイズします。BGP 設定オプションから カスタマーゲートウェイ ASN を使用し、 ローカル自律システムとして設定します。

    SD-WAN での BGP の設定

  10. SD-WAN に BGP ネイバー を追加するには、[ 接続] に移動して、ドロップダウンリストからサイトを選択し、[ BGP] を選択します。[ ネイバー ] セクションをクリックし、[ + ] オプションをクリックします。

    ネイバーを追加するときに、BGP 設定オプションからネイバー IP アドレス仮想プライベートゲートウェイ ASN を使用します。送信元 IP は、AWS からダウンロードした設定ファイルの カスタマーゲートウェイ 内部 IP アドレス(SD-WAN で仮想 IP アドレスとして設定)と一致する必要があります。SD-WAN で マルチホップ が有効になっている BGP ネイバーを追加します。

    BGP ネイバーの追加

  11. インポートフィルタ を追加して BGP ルートを SD-WAN にインポートするには、[ 接続] に移動し、ドロップダウンリストからサイトを選択し、[ BGP ] を選択して [ Import Filters ] セクションをクリックします。[ + ] オプションをクリックして、[インポート] フィルタを追加します。[ Protocol ] を [ BGP ] として選択し、[any] に一致させ、すべての BGP ルートをインポートします。[ サービスタイプ ] を [ イントラネット ] として選択し、作成したイントラネットサービスを選択します。これは、イントラネットとしてサービスタイプを持つBGPルートをインポートすることです。

    インポートフィルタを追加する

SD-WAN でのモニタリングとトラブルシューティング

  1. SD-WAN で IPsec トンネル確立ステータスを確認するには、[ モニタリング] > [統計情報] > [IPsec トンネル]に移動します。次のスクリーンショットでは、IPsec トンネルが SD-WAN から AWS Transit Gateway に向けて確立され、状態が GOOD であることがわかります。 また、この IPsec トンネルを介して送受信されるトラフィックの量を監視することもできます。

    ![SD-WAN での監視とトラブルシューティング] (/en-us/citrix-sd-wan/11-1/メディア/監視とトラブルシューティング-on-sdwan.png)

  2. SD-WAN の BGP ピアリング ステータスを確認するには、[ モニタリング] > [ルーティングプロトコル ] に移動し、[ BGP ステート] を選択します。BGP 状態が [ 確立 済み] として報告され、 ネイバー IP アドレスとネイバー ASN が AWS BGP ネイバーの詳細と一致していることがわかります。これにより、BGP ピアリングが SD-WAN から IPsec トンネルを介して AWS トランジットゲートウェイに確実に確立されます。

    BGP ピアリングステータスの確認

    VPC(192.168.0.0)は AWS トランジットゲートウェイにアタッチされています。SD-WAN は、この VPC ネットワーク(192.168.0.0)を AWS Transit Gateway から BGP 経由で学習しました。このルートは、上記の手順で作成したインポートフィルタに従って、サービスタイプがイントラネットで SD-WAN にインストールされました。

  3. SD-WAN への BGP ルートのインストールを確認するには、[Monitoring] > [Statistics] > [ Routes] の順に選択し、サービスタイプがイントラネットの BGP ルートとしてインストールされたネットワーク 192.168.0.0/16 を確認します。つまり、AWS Transit Gateway にアタッチされているネットワークを学習し、確立された IPsec トンネルを介してそれらのネットワークと通信できます。

    BGP ルートの確認

AWS でのモニタリングおよびトラブルシューティング

  1. AWS で IPsec トンネルの確立ステータスを確認するには、 仮想プライベートネットワーク(VPN)> サイト間 VPN 接続に移動します。次のスクリーンショットでは、カスタマーゲートウェイアドレスは、トンネルを確立したSD-WANリンクのパブリック IP アドレスを表しています。

    トンネルのステータスは UPと表示されます。また、AWS が SD-WAN から 8 つの BGP ルート を学習していることも観察できます。つまり、SD-WAN は AWS Transit Gateway でトンネルを確立し、BGP 経由でルートを交換できます。

    AWS での IPSec トンネルの確立ステータスの確認

  2. SD-WAN にダウンロードした構成ファイルに基づいて、2 番目のトンネルに関連する IPSec および BGP の詳細を設定します。

    両方のトンネルに関連するステータスは、SD-WAN で次のように監視できます。

    両方のトンネルのステータス

  3. 両方のトンネルに関連するステータスを AWS で次のように監視できます。

    AWS での両方のトンネルのステータス

AWS トランジットゲートウェイを使用した Citrix SD-WAN の統合