Citrix SD-WAN

ファイアウォールセグメンテーションの構成

Virtual Route Forwarding(VRF; バーチャルルートフォワーディング)ファイアウォールセグメンテーションでは、複数のルーティングドメインが共通のインターフェイスを介してインターネットにアクセスでき、各ドメインのトラフィックは他のドメインのトラフィックから分離されます。たとえば、従業員とゲストは、互いのトラフィックにアクセスすることなく、同じインターフェイスを介してインターネットにアクセスできます。

  • ローカルゲストユーザインターネットアクセス
  • 定義されたアプリケーションに対する従業員とユーザーのインターネットアクセス
  • 従業員ユーザーは、MCN に他のすべてのトラフィックをヘアピンし続けることができます
  • 特定のルーティングドメインに特定のルートを追加することをユーザーに許可します。
  • 有効にすると、この機能はすべてのルーティングドメインに適用されます。

また、複数のアクセスインターフェイスを作成して、個別のパブリック向け IP アドレスを収容することもできます。どちらのオプションでも、各ユーザグループに必要なセキュリティが提供されます。

詳細については、VRF の設定方法を参照してください

すべてのルーティングドメインに対してインターネットサービスを構成するには、次の手順を実行します。

  1. サイトのインターネットサービスを作成します。 [ 接続]> [リージョンの 表示 ] > [サイトの 表示 ] > [[ サイト名 ]] > [ インターネットサービス]> [セクション] > [WAN リンク] に移動し、[WAN リンク] で [Use]チェックボックスを選択します。

ローカライズされた画像

[ 接続 ] > [リージョンの ** 表示]> [サイトの表示]> [ [サイト名] ] > [ルート] で、ルーティングドメインごとに 1 つずつ 0.0.0.0/0 の **ルートが追加されていることがわかります

ローカライズされた画像

MCN ですべてのルーティングドメインを有効にする必要はなくなりました。

  1. MCN でルーティングドメインを無効にすると、ドメインがブランチサイトで使用されている場合は、次のメッセージが表示されます。

ローカライズされた画像

  1. 各ルーティングドメインがインターネットサービスを使用していることを確認するには、[ Monitor]>[Flows] の下の Web 管理インターフェイスの [Flows] テーブルの [Routing Domain] 列を確認します

ローカライズされた画像

  1. また、[ 監視] > [ **統計** ] > [ ルート] で、各ルーティングドメインのルーティングテーブルを確認することもできます

ローカライズされた画像

使用例

以前のCitrix SD-WANリリースでは、仮想ルーティングと転送には以下の問題がありましたが、これらの問題は解決されています。

  • ブランチサイトに複数のルーティングドメインがある場合、データセンター (MCN) のすべてのドメインを含める必要はありません。さまざまな顧客のトラフィックを安全な方法で分離する能力が必要
  • 1 つのサイトでインターネットにアクセスするには、複数のルーティングドメインに対して、アクセス可能なファイアウォール付きパブリック IP アドレスを 1 つ持つ必要があります(VRF lite を超えて拡張)。
  • お客様は、異なるサービスをサポートするルーティングドメインごとにインターネットルートが必要です。
  • ブランチサイトでの複数のルーティングドメイン
  • 異なるルーティングドメインのインターネットアクセス。

ブランチサイトでの複数のルーティングドメイン

仮想転送およびルーティングファイアウォールのセグメント化機能強化により、次のことが行えます。

  • 従業員やゲストなど、少なくとも 2 つのユーザーグループの安全な接続をサポートするインフラストラクチャをブランチサイトで提供します。このインフラストラクチャは、最大 16 のルーティングドメインをサポートできます。
  • 各ルーティングドメインのトラフィックを、他のルーティングドメインのトラフィックから分離します。
  • 各ルーティングドメインにインターネットアクセスを提供し、

    • 共通のアクセスインターフェイスが必要であり、許容される

    • 個別のパブリック向け IP アドレスを持つ各グループのアクセスインターフェイス

  • 従業員のトラフィックは、ローカルインターネット(特定のアプリケーション)に直接ルーティングできます
  • 従業員のトラフィックは、広範なフィルタリング(0 ルート)のために MCN にルーティングまたはバックホールできます
  • ルーティングドメインのトラフィックは、ローカルインターネット (0 ルート) に直接ルーティングできます。
  • 必要に応じて、ルーティングドメインごとに特定のルートをサポート
  • ルーティングドメインは VLAN ベースです
  • RD を MCN に配置する必要の要件を削除
  • ルーティングドメインをブランチサイトでのみ構成できるようになりました
  • アクセスインターフェイスに複数の RD を割り当てることができます (一度有効にすると)
  • 各 RD には 0.0.0.0 のルートが割り当てられます
  • RD に特定のルートを追加できるようにします
  • 同じアクセスインターフェイスを使用して、異なる RD からのトラフィックがインターネットに出ることを許可します。
  • RD ごとに異なるアクセスインターフェイスを構成できます。
  • 一意のサブネットでなければならない(RD は VLAN に割り当てられる)
  • 各 RD では、同じ FW デフォルトゾーンを使用できます。
  • トラフィックは、ルーティングドメインを介して分離されます
  • アウトバウンドフローには、フローヘッダーのコンポーネントとして RD があります。SD-WAN がリターンフローを正しいルーティングドメインにマッピングできるようにします。

複数のルーティングドメインを設定するための前提条件

  • インターネットアクセスが構成され、WAN リンクに割り当てられます。
  • NAT 用に設定されたファイアウォールと正しいポリシーが適用されます。
  • 2 番目のルーティングドメインがグローバルに追加されました。
  • 各ルーティングドメインがサイトに追加されました。
  • [ **サイト] > [サイト名] > [WAN リンク][ > [WL2 ]名] > [ **アクセスインターフェイス] で、チェックボックスが利用可能で、インターネットサービスが正しく定義されていることを確認します。このチェックボックスを選択できない場合、インターネットサービスは定義されていないか、サイトの WAN リンクに割り当てられていません。

展開シナリオ

ローカライズされた画像

ローカライズされた画像

制限事項

  • すべてのルーティングドメインでインターネットアクセスを有効にするには、インターネットサービスを WAN リンクに追加する必要があります。(このオプションを有効にするまで、このオプションを有効にするチェックボックスはグレー表示されます)。

    すべてのルーティングドメインでインターネットアクセスを有効にしたら、Dynamic-NAT ルールを自動的に追加します。

  • サイトあたり最大 16 のルーティングドメイン。
  • アクセスインターフェイス (AI): サブネットごとに単一の AI。
  • 複数の AI では、AI ごとに個別の VLAN が必要です。
  • サイトに 2 つのルーティングドメインがあり、1 つの WAN リンクがある場合、両方のドメインは同じパブリック IP アドレスを使用します。

  • すべてのルーティングドメインのインターネットアクセスが有効になっている場合、すべてのサイトがインターネットにルーティングできます。(1 つのルーティングドメインでインターネットアクセスを必要としない場合は、ファイアウォールを使用してトラフィックをブロックできます)。
  • 複数のルーティングドメインで同じサブネットはサポートされません。

  • 監査機能はありません

  • WAN リンクは、インターネットアクセス用に共有されます。
  • ルーティングドメインごとに QoS はありません。先着順です。
ファイアウォールセグメンテーションの構成