Citrix SD-WAN

Citrix SD-WAN と AWS トランジットゲートウェイとの統合

アマゾンウェブサービス(AWS)トランジット Gateway サービスを使用すると、Amazon 仮想プライベートクラウド(VPC)とオンプレミスのネットワークを 1 つのゲートウェイに接続できます。AWS で実行されるワークロードの数が増えるにつれて、複数のアカウントと Amazon VPC にまたがってネットワークを拡張し、その増加に対応できます。

ピアリングを使用して Amazon VPC のペアを接続できるようになりました。ただし、多くの Amazon VPC 間でポイントツーポイント接続を管理するには、接続ポリシーを一元管理する機能がないと、運用上のコストがかかり、煩雑になる可能性があります。オンプレミスの接続では、AWS VPN を個々の Amazon VPC にアタッチする必要があります。このソリューションは構築に時間がかかり、VPC の数が数百個に増えると、管理が難しい場合があります。

AWS Transit Gateway では、中央ゲートウェイからネットワーク経由で各 Amazon VPC、オンプレミスのデータセンター、またはリモートオフィスへの 1 つの接続を作成および管理するだけでかまいません。Transit Gateway は、スポークのように動作するすべての接続ネットワーク間でトラフィックがどのようにルーティングされるかを制御するハブとして機能します。このハブアンドスポークモデルでは、管理が大幅に簡素化され、運用コストが削減されます。これは、各ネットワークはトランジットゲートウェイにのみ接続し、他のすべてのネットワークには接続しないためです。新しい VPC はトランジットゲートウェイに接続され、トランジットゲートウェイに接続されている他のすべてのネットワークで自動的に利用できるようになります。この接続性の容易さにより、成長に合わせてネットワークの拡張が容易になります。

企業が増加するアプリケーション、サービス、インフラストラクチャをクラウドに移行するにつれ、SD-WAN を迅速に導入して、ブロードバンド接続のメリットを享受し、ブランチサイトのユーザーをクラウドリソースに直接接続します。インターネット転送サービスを使用してグローバルなプライベートネットワークを構築および管理し、地理的に分散した場所とユーザーを近位ベースのクラウドリソースで接続するという複雑さには、多くの課題があります。AWS トランジットゲートウェイネットワークマネージャー は、このパラダイムを変更します。現在、AWS を使用する Citrix SD-WAN のお客様は、Citrix SD-WAN ブランチアプライアンスの AWS Transit Gateway を統合することにより、Citrix SD-WAN を AWS トランジットゲートウェイとともに使用できるようになりました。これにより、トランジットゲートウェイに接続されたすべての VPC に手を差し伸べる機能を持つユーザーに最高品質のエクスペリエンスを提供できます。

次に、Citrix SD-WAN と AWS トランジットゲートウェイを統合する手順を示します。

  1. AWS トランジットゲートウェイを作成します。

  2. VPN を中継ゲートウェイ(既存の VPN または新しい VPN のいずれか)に接続します。

  3. オンプレミスまたは任意のクラウド(AWS、Azure、または GCP)にある SD-WAN サイトで VPN が設定されたトランジットゲートウェイに VPN を接続します。

  4. Citrix SD-WAN から AWS Transit Gateway と IPsec トンネルを介したボーダーゲートウェイプロトコル(BGP)ピアリングを確立し、トランジットゲートウェイに接続されたネットワーク(VPC)を学習します。

使用例

ユースケースは、ブランチ環境から AWS 内(任意の VPC 内)にデプロイされたリソースに手を差し伸べます。AWS Transit Gateway を使用すると、トラフィックは BGP ルートを処理せずに、Transit Gateway に接続されたすべての VPC に到達できます。これを実現するには、次の方法を実行します。

  • ブランチの Citrix SD-WAN アプライアンスから AWS トランジットゲートウェイへの IPSec を確立します。この展開方法では、トラフィックが IPsec を通過するため、SD-WAN の利点をすべて得ることはありません。

  • AWS 内に Citrix SD-WAN アプライアンスをデプロイし、仮想パスを介してオンプレミスの Citrix SD-WAN アプライアンスに接続します。

どちらの方法を選択しても、トラフィックは、AWS インフラストラクチャ内のルーティングを手動で管理することなく、Transit Gateway に接続されている VPC に到達します。

AWS トランジットGateway

AWS トランジットゲートウェイの設定

AWS トランジットゲートウェイを作成するには、VPC ダッシュボードに移動し、[ トランジットゲートウェイ ] セクションに移動します。

  1. 次のスクリーンショットで強調表示されているとおりにトランジットゲートウェイ名、説明、Amazon ASN 番号を指定し、[ Create Transit Gateway] をクリックします。

    中継Gateway の作成

    トランジットゲートウェイの作成が完了すると、ステータスが [ Available] として表示されます。

    中継Gateway のステータス

  2. トランジットゲートウェイの 添付ファイルを作成するには、「トランジットゲートウェイ>「トランジットゲートウェイの添付ファイル 」に移動し、「 トランジットゲートウェイの添付ファイルの作成」をクリックします。

    トランジットGateway 添付ファイルの作成

  3. ドロップダウンリストから作成したトランジットゲートウェイを選択し、 VPCとしてアタッチメントタイプを選択します。添付ファイル名タグを指定し、作成したトランジットゲートウェイにアタッチする VPC ID を選択します。選択した VPC のサブネットの 1 つが自動選択されます。[ アタッチメントを作成 ] をクリックして、VPC をトランジットゲートウェイにアタッチします。

    トランジット Gateway の添付ファイルの詳細

  4. VPC をトランジットGateway にアタッチすると、 リソースタイプ VPC がトランジットゲートウェイに関連付けられていることがわかります。

    リソースタイプ VPC

  5. VPN を使用して SD-WAN をトランジットゲートウェイに接続するには、ドロップダウンリストから トランジットゲートウェイ ID を選択し、[ Attachment type ] を VPNとして選択します。正しいトランジットゲートウェイ ID を選択していることを確認します。

    SD-WANリンクのパブリック IP アドレスと BGP ASN 番号を指定して、新しい VPN カスタマーゲートウェイを接続します。[ 添付ファイルの作成 ] をクリックして、VPN をトランジットゲートウェイにアタッチします。

    VPN とトランジットゲートウェイの接続

  6. 次のスクリーンショットに示すように、VPNは、トランジットゲートウェイに接続したら、あなたは詳細を表示することができます。

    トランジットゲートウェイへの接続 VPN

  7. [ カスタマーゲートウェイ] で、SD-WAN カスタマーゲートウェイとサイト間 VPN 接続は、トランジットゲートウェイへの VPN 添付ファイルの一部として作成されます。SD-WAN カスタマーゲートウェイが、SD-WAN の WAN リンクパブリック IP アドレスを表すこのカスタマーゲートウェイの IP アドレスとともに作成されていることがわかります。

    カスタマーGateway

  8. サイト間VPN接続 に移動し、 SD-WANカスタマーゲートウェイVPN設定をダウンロードします。この構成ファイルには、BGP ピア情報とともに 2 つの IPsec トンネル詳細があります。冗長性のために、SD-WAN からトランジットゲートウェイへの 2 つのトンネルが作成されます。

    SD-WANリンクのパブリック IP アドレスがカスタマーゲートウェイアドレスとして設定されていることがわかります。

    サイト間 VPN 接続

  9. [ 設定のダウンロード ] をクリックし、VPN 構成ファイルをダウンロードします。[ **ベンダー]、[ プラットフォーム ]、[ ベンダーに依存しないソフトウェア ] を選択します。**

    ダウンロード構成

    ダウンロードした構成ファイルには、次の情報が含まれています。

    • IKE 設定
    • AWS トランジットゲートウェイの IPsec 設定
    • トンネルインターフェイス構成
    • BGP 構成

    この情報は、高可用性(HA)用の 2 つの IPsec トンネルで使用できます。SD-WAN で設定する場合は、両方のトンネルエンドポイントを設定してください。参考のために次のスクリーンショットを参照してください。

    2 つの IPSec トンネル

SD-WAN でイントラネットサービスを構成する

  1. SD-WAN の IPSec トンネル構成で使用されるイントラネットサービスを構成するには、[ 構成エディタ] > [接続] の順に選択し、ドロップダウンリストからサイトを選択し、[ イントラネットサービス] を選択します。[ + サービス ] をクリックして、新しいイントラネットサービスを追加します。

    イントラネットサービスを構成する

  2. イントラネットサービスの追加後、このサービスに使用される WAN リンクを選択します (これを使用して、トランジットゲートウェイへのトンネルを確立します)。

    WAN リンクの選択

  3. AWS Transit Gateway への IPsec トンネルを設定するには、[ 設定エディタ] > [接続 ] に移動し、ドロップダウンリストから [サイト] を選択し、[ IPsec Tunnels] をクリックします。IPSec トンネルを追加するには、[ + ] オプションをクリックします。

    IPSec トンネルの設定

  4. [ サービスタイプ ] を [ イントラネット ] として選択し、追加した [ イントラネットサービス名 ] を選択します。[ ローカル IP アドレス] を [WAN リンク IP アドレス] として、[ ピア アドレス] を [トランジットゲートウェイ仮想プライベートゲートウェイ IP アドレス] として選択します。

    設定のアクティブ化後すぐに SD-WAN によってトンネルが開始されるようにするには、[ Keepalive ] チェックボックスをオンにします。

    IPSec トンネルサービスタイプ

  5. AWS からダウンロードした VPN 設定ファイルに基づいて IKE パラメータを設定します。

    IKE パラメータ

  6. AWS からダウンロードした VPN 設定ファイルに基づいて IPSec パラメータを設定します。また、トンネルを介して送信する ネットワークに基づいて、IPsec 保護された ネットワークを構成します。IPsec トンネル経由のトラフィックを許可するように構成されていることがわかります。

    IPSec パラメータ

  7. カスタマーゲートウェイの内部IPアドレスを SD-WAN上の仮想IPアドレスの1つとして設定します。ダウンロードされた VPN 設定ファイルから、Tunnel-1 に関連する IP アドレス内のカスタマーGateway を見つけます。このカスタマーGateway の IP アドレスを SD-WAN 上の仮想 IP アドレスのいずれかとして設定し、[ ID ] チェックボックスをオンにします。

    IP アドレス内のカスタマーGateway

  8. SD-WAN に ルート を追加して、トランジット ゲートウェイの仮想プライベート ゲートウェイに到達します。ダウンロードされた VPN 設定ファイルから、Tunnel-1 に関連する仮想プライベートゲートウェイの内側および外部 IP アドレスを検索します。サービスタイプイントラネット として仮想プライベートゲートウェイの内部と外部のIPアドレスにルートを追加し、上記の手順で作成したイントラネットサービスを選択します。

    ルートの追加

  9. SD-WAN で BGP を設定します。適切な ASN 番号で BGP を有効にします。ダウンロードした VPN 構成ファイルから、Tunnel-1 に関連する BGP 構成オプションを探します。これらの詳細を使用して、SD-WAN に BGP ネイバーを追加します。

    SD-WAN で BGP を有効にするには、[ 接続 ] に移動して、ドロップダウンリストからサイトを選択し、[ BGP] を選択します。BGP を有効にするには 、[Enable] チェックボックスをオンにします。[ Citrix SD-WAN ルートのアド バタイズ] チェックボックスをクリックして、SD-WANルートをトランジットゲートウェイにアドバタイズします。BGP 設定オプションから カスタマーゲートウェイ ASN を使用し、 ローカル自律システムとして設定します。

    SD-WAN での BGP の設定

  10. SD-WAN に BGP ネイバー を追加するには、[ 接続] に移動して、ドロップダウンリストからサイトを選択し、[ BGP] を選択します。[ ネイバー ] セクションをクリックし、[ + ] オプションをクリックします。

    ネイバーを追加するときに、BGP 設定オプションからネイバー IP アドレス仮想プライベートゲートウェイ ASN を使用します。送信元 IP は、AWS からダウンロードした設定ファイルの カスタマーゲートウェイ 内部 IP アドレス(SD-WAN で仮想 IP アドレスとして設定)と一致する必要があります。SD-WAN で マルチホップ が有効になっている BGP ネイバーを追加します。

    BGP ネイバーの追加

  11. インポートフィルタ を追加して BGP ルートを SD-WAN にインポートするには、[ 接続] に移動し、ドロップダウンリストからサイトを選択し、[ BGP ] を選択して [ Import Filters ] セクションをクリックします。[ + ] オプションをクリックして、[インポート] フィルタを追加します。[ Protocol ] を [ BGP ] として選択し、[any] に一致させ、すべての BGP ルートをインポートします。[ サービスタイプ ] を [ イントラネット ] として選択し、作成したイントラネットサービスを選択します。これは、サービスタイプの BGP ルートをイントラネットとしてインポートするためです。

    インポートフィルタを追加する

SD-WAN でのモニタリングとトラブルシューティング

  1. SD-WAN で IPsec トンネル確立ステータスを確認するには、[ モニタリング] > [統計情報] > [IPsec トンネル]に移動します。次のスクリーンショットでは、IPsec トンネルが SD-WAN から AWS Transit Gateway に向けて確立され、状態がGOOD であることがわかります。 また、この IPsec トンネルを介して送受信されるトラフィックの量を監視することもできます。

    ![SD-WAN での監視とトラブルシューティング] (/en-us/citrix-sd-wan/11-1/メディア/監視とトラブルシューティング-on-sdwan.png)

  2. SD-WAN の BGP ピアリング ステータスを確認するには、[ モニタリング] > [ルーティングプロトコル ] に移動し、[ BGP ステート] を選択します。BGP 状態が [ 確立 済み] として報告され、 ネイバー IP アドレスとネイバー ASN が AWS BGP ネイバーの詳細と一致していることがわかります。これにより、IPsec トンネルを介して SD-WAN から AWS トランジットゲートウェイへの BGP ピアリングが確立されたことを確認できます。

    BGP ピアリングステータスの確認

    VPC(192.168.0.0)が AWS トランジットゲートウェイにアタッチされています。SD-WAN は、この VPC ネットワーク(192.168.0.0)を AWS Transit Gateway から BGP 経由で学習しました。このルートは、上記の手順で作成したインポートフィルタに従って、サービスタイプがイントラネットで SD-WAN にインストールされました。

  3. SD-WAN への BGP ルートのインストールを確認するには、[Monitoring] > [Statistics] > [ Routes] の順に選択し、サービスタイプがイントラネットの BGP ルートとしてインストールされたネットワーク 192.168.0.0/16 を確認します。つまり、AWS Transit Gateway にアタッチされたネットワークを学習し、確立された IPsec トンネルを介してこれらのネットワークと通信できます。

    BGP ルートの確認

AWS でのモニタリングおよびトラブルシューティング

  1. AWS で IPsec トンネルの確立ステータスを確認するには、 仮想プライベートネットワーク(VPN)> サイト間 VPN 接続に移動します。次のスクリーンショットでは、カスタマーゲートウェイアドレスは、あなたがトンネルを確立している使用してSD-WANリンクのパブリックIPアドレスを表していることを確認することができます。

    トンネルのステータスは UPと表示されます。また、AWS が SD-WAN から 8 つの BGP ルート を学習していることも観察できます。つまり、SD-WAN は AWS Transit Gateway を使用してトンネルを確立でき、BGP 経由でルートを交換することもできます。

    AWS での IPSec トンネルの確立ステータスの確認

  2. SD-WAN にダウンロードした構成ファイルに基づいて、2 番目のトンネルに関連する IPSec および BGP の詳細を設定します。

    SD-WAN では、次のように、両方のトンネルに関連するステータスを監視できます。

    両方のトンネルのステータス

  3. 両方のトンネルに関連するステータスは、AWS で次のように監視できます。

    AWS での両方のトンネルのステータス

Citrix SD-WAN と AWS トランジットゲートウェイとの統合