Citrix SD-WAN

ファイアウォールセグメンテーションの構成

Virtual Route Forwarding(VRF; バーチャルルートフォワーディング)ファイアウォールセグメンテーションでは、複数のルーティングドメインが共通のインターフェイスを介してインターネットにアクセスでき、各ドメインのトラフィックは他のドメインのトラフィックから隔離されます。たとえば、従業員とゲストは、お互いのトラフィックにアクセスすることなく、同じインターフェイスを介してインターネットにアクセスできます。

  • ローカルゲストユーザーインターネットアクセス
  • 定義済みアプリケーションに対する従業員ユーザーのインターネット・アクセス
  • 従業員ユーザは、他のすべてのトラフィックを MCN にヘアピンし続けることができます。
  • ユーザーが特定のルーティングドメインに特定のルートを追加できるようにします。
  • 有効にすると、この機能はすべてのルーティングドメインに適用されます。

また、複数のアクセスインターフェイスを作成して、別々のパブリック方向の IP アドレスを収容することもできます。どちらのオプションでも、各ユーザグループに必要なセキュリティが提供されます。

詳細については、「VRF の設定」を参照してください。

すべてのルーティングドメインに対してインターネットサービスを構成するには、次の手順を実行します。

  1. サイトのインターネットサービスを作成します。[ 接続 ] > [ リージョンの表示 ] > [ サイトの表示 ] [サイト名] > [ インターネットサービス] > [セクション] > [WAN リンク ] に移動し、[WAN リンク] で [ 使用 ] チェックボックスをオンにします。

    ローカライズされた画像

    [ 接続 ] > [ リージョンの表示] > [ **サイトの表示** ] >[サイト名]>**[ルート] **の下に、ルーティングドメインごとに 1 つずつ 0.0.0.0/0 ルートが追加されていることがわかります。

    ローカライズされた画像

    MCN ですべてのルーティングドメインを有効にする必要はなくなりました。

  2. MCN でルーティングドメインを無効にすると、ブランチサイトでドメインが使用中である場合に次のメッセージが表示されます。

    ローカライズされた画像

  3. 各ルーティングドメインがインターネットサービスを使用していることを確認するには、[ **Monitor ] > [Flows] の下の Web 管理インターフェイスの [Flows] テーブルにある [Routing Domain] 列を確認します。**

    ローカライズされた画像

  4. [ モニター ] > [ 統計 ] > [ ルート] で、各ルーティングドメインのルーティングテーブルを確認することもできます。

    ローカライズされた画像

使用例

以前のCitrix SD-WAN リリースでは、仮想ルーティングと転送には次の問題がありましたが、この問題は解決されました。

  • お客様は、データセンター(MCN)のすべてのドメインを含める必要なく、ブランチサイトに複数のルーティングドメインがあります。さまざまな顧客のトラフィックを安全な方法で分離する機能が必要です。
  • 複数のルーティングドメインが 1 つのサイト(VRF lite を超えて拡張)でインターネットにアクセスするには、1 つのアクセス可能なファイアウォール付きのパブリック IP アドレスを持つ必要があります。
  • お客様は、異なるサービスをサポートするルーティングドメインごとにインターネットルートが必要です。
  • ブランチサイトにある複数のルーティングドメイン。
  • 異なるルーティングドメインに対するインターネットアクセス。

ブランチサイトでの複数のルーティングドメイン

仮想転送およびルーティングファイアウォールのセグメンテーションの強化により、次のことができるようになります。

  • 従業員やゲストなど、少なくとも 2 つのユーザグループのセキュリティで保護された接続をサポートするインフラストラクチャをブランチサイトに提供します。インフラストラクチャは、最大 16 のルーティングドメインをサポートできます。
  • 各ルーティングドメインのトラフィックを、他のルーティングドメインのトラフィックから分離します。
  • 各ルーティングドメインにインターネットアクセスを提供し、

    • 共通のアクセスインターフェイスが必要であり、受け入れられる

    • 個別のパブリック方向の IP アドレスを持つ各グループのアクセスインターフェイス

  • 従業員のトラフィックは、ローカルインターネット(特定のアプリケーション)に直接ルーティングできます。
  • 従業員のトラフィックを MCN にルーティングまたはバックホールして、広範なフィルタリング(0 ルート)できます。
  • ルーティングドメインのトラフィックは、ローカルインターネット(0 ルート)に直接ルーティングできます。
  • 必要に応じて、ルーティングドメインごとに特定のルートをサポート
  • ルーティングドメインは VLAN ベースです。
  • RD が MCN に存在する必要がある要件を排除
  • ルーティングドメインは、ブランチサイトでのみ構成できるようになりました。
  • アクセスインターフェイスに複数の RD を割り当てることができます (有効化後)。
  • 各 RD には 0.0.0.0 ルートが割り当てられます。
  • RD に特定のルートを追加することを許可する
  • 同じアクセスインターフェイスを使用して、異なる RD からのトラフィックがインターネットに出ることを許可します。
  • RD ごとに異なるアクセスインターフェイスを構成できます。
  • 一意のサブネットである必要があります(RD は VLAN に割り当てられます)。
  • 各RDは同じFWデフォルトゾーンを使用可能
  • トラフィックは、ルーティングドメインを介して隔離されます。
  • アウトバウンドフローには、フローヘッダーのコンポーネントとして RD があります。SD-WAN がリターンフローを正しいルーティングドメインにマッピングできるようにします。

複数のルーティングドメインを設定するための前提条件:

  • インターネットアクセスが設定され、WAN リンクに割り当てられます。
  • NAT 用に設定されたファイアウォールと、正しいポリシーが適用されます。
  • 2 番目のルーティングドメインがグローバルに追加されました。
  • サイトに追加された各ルーティングドメイン。
  • [ サイト ] > [サイト名] > [W AN リンク [名前名前] ] > [WL2] > [ アクセスインターフェイス] で、チェックボックスが使用可能であり、インターネットサービスが正しく定義されていることを確認します。このチェックボックスをオンにできない場合、インターネットサービスは定義されず、サイトの WAN リンクに割り当てられません。

展開シナリオ

ローカライズされた画像

ローカライズされた画像

制限事項

  • すべてのルーティングドメインに対してインターネットアクセスを有効にするには、インターネットサービスを WAN リンクに追加する必要があります。(この操作を行うまで、このオプションを有効にするチェックボックスはグレー表示されます)。

    すべてのルーティングドメインでインターネットアクセスを有効にした後で、ダイナミック NAT ルールを自動的に追加します。

  • サイトあたり最大 16 のルーティングドメイン。
  • アクセスインターフェイス (AI): サブネットごとに単一の AI。
  • 複数の AI には、各 AI に別々の VLAN が必要です。
  • 1 つのサイトに 2 つのルーティングドメインがあり、1 つの WAN リンクがある場合、両方のドメインは同じパブリック IP アドレスを使用します。

  • すべてのルーティングドメインのインターネットアクセスが有効な場合、すべてのサイトがインターネットにルーティングできます。(1 つのルーティングドメインでインターネットアクセスを必要としない場合は、ファイアウォールを使用してトラフィックをブロックできます)。
  • 複数のルーティングドメインで同じサブネットはサポートされません。

  • 監査機能はありません

  • WAN リンクは、インターネットアクセス用に共有されます。
  • ルーティングドメインごとの QoS はありません。先着順です。

ファイアウォールセグメンテーションの構成