Citrix SD-WAN

ゾーン

ネットワーク内にゾーンを設定し、トラフィックがゾーンに出入りする方法を制御するポリシーを定義できます。デフォルトでは、次のゾーンが作成されます。

  • Internet_Zone
    • Trusted インターフェイスを使用して、インターネットサービスとの間で送受信されるトラフィックに適用されます。
  • 信頼されていない_インターネット_ゾーン

    • Untrusted インターフェイスを使用して、インターネットサービスとの間で送受信されるトラフィックに適用されます。
  • LAN_zone です

    • ゾーンが設定されていない設定可能なゾーンを持つオブジェクトとの間で送受信されるトラフィックに適用されます。

独自のゾーンを作成し、次のタイプのオブジェクトに割り当てることができます。

  • 仮想ネットワークインターフェイス(VNI)

  • イントラネットサービス

  • GRE トンネル

  • LAN IPSec トンネル

次の図は、事前設定された 3 つのゾーンを示しています。また、必要に応じて独自のゾーンを作成することもできます。この例では、ゾーン「ZoneA_イントラネット」はユーザーが作成したゾーンです。SD-WAN アプライアンスのバイパスセグメント(ポート 1 および 2)の仮想インターフェイスに割り当てられます。

ローカライズされた画像

パケットの送信元ゾーンは、パケットが受信されるサービスまたは仮想ネットワークインターフェイスによって決まります。ただし、仮想パストラフィックは例外です。トラフィックが仮想パスに入ると、パケットはトラフィックを発信したゾーンでマークされ、その送信元ゾーンは仮想パスを通過します。これにより、仮想パスの受信側が、仮想パスに入る前に、元のソースゾーンに基づいてポリシーを決定できます。

たとえば、ネットワーク管理者は、サイト A の VLAN 30 からのトラフィックだけがサイト B で VLAN 10 に入るようにポリシーを定義することができます。管理者は、各 VLAN にゾーンを割り当てて、これらのゾーン間のトラフィックを許可し、他のゾーンからのトラフィックをブロックするポリシーを作成できます。次のスクリーンショットは、ユーザーが「ZoneA_イントラネット」ゾーンを VLAN 10 に割り当てる方法を示しています。この例では、「ZoneA_イントラネット」ゾーンは、仮想インターフェイス「VirtualInterface2」に割り当てるためにユーザーによって事前に定義されています。

ローカライズされた画像

パケットの宛先ゾーンは、宛先ルートの一致に基づいて決定されます。SD-WAN アプライアンスがルートテーブルで宛先サブネットを検索すると、パケットはルートに一致します。ルートにはゾーンが割り当てられています。

  • ソースゾーン

    • 非仮想パス:で受信された仮想ネットワークインターフェイスパケットによって決定されます。

    • 仮想パス:パケットフローヘッダーの送信元ゾーンフィールドを介して決定されます。

    • 仮想ネットワークインターフェイス-パケットが送信元サイトで受信されました。

  • 宛先ゾーン

    • パケットの宛先ルート検索によって決定されます。

SD-WAN 内のリモートサイトと共有されるルートは、ダイナミックルーティングプロトコル(BGP、OSPF)を通じて学習されたルートを含む、宛先ゾーンに関する情報を保持します。このメカニズムを使用すると、ゾーンは SD-WAN ネットワークでグローバルな重要性を獲得し、ネットワーク内でエンドツーエンドのフィルタリングを可能にします。ゾーンを使用すると、ネットワーク管理者は、顧客、事業部、または部門に基づいてネットワークトラフィックを効率的にセグメント化できます。

SD-WAN ファイアウォールの機能を使用すると、次の図に示すように、単一ゾーン内のサービス間のトラフィックをフィルタリングしたり、異なるゾーンのサービス間で適用できるポリシーを作成したりできます。以下の例では、Zone_AとZone_Bがあり、それぞれにはLAN仮想ネットワークインターフェースがあります。

ローカライズされた画像

下のスクリーンショットは、割り当てられた仮想ネットワークインターフェイス(VNI)からの仮想 IP(VIP)のゾーンの継承を示しています。

ローカライズされた画像

ゾーン