Citrix SD-WAN

高可用性

このトピックでは、SD-WAN アプライアンス (Standard Edition および Premium (Enterprise) Edition) でサポートされる高可用性 (高可用性) の展開と構成について説明します。

Citrix SD-WANアプライアンスは、アクティブ/スタンバイの役割のアプライアンスのペアとして、高可用性構成で展開できます。高可用性配置には、次の 3 つのモードがあります。

  • パラレルインライン高可用性

  • フェール・ツー・ワイヤー高可用性

  • ワンアーム高可用性

これらの高可用性展開モードは、仮想ルータ冗長プロトコル(VRRP)に似ており、独自の SD-WAN プロトコルを使用します。SD-WAN ネットワーク内のクライアントノード(クライアント)とマスターコントロールノード(MCN)の両方を高可用性構成で展開できます。プライマリアプライアンスとセカンダリアプライアンスは、同じプラットフォームモデルである必要があります。

高可用性構成では、サイトの 1 つの SD-WAN アプライアンスがアクティブアプライアンスとして指定されます。スタンバイアプライアンスはアクティブアプライアンスを監視します。構成は両方のアプライアンスにミラーリングされます。スタンバイ・アプライアンスがアクティブ・アプライアンスとの接続性を一定期間失った場合、スタンバイ・アプライアンスはアクティブ・アプライアンスのIDを引き受け、トラフィックの負荷を引き継ぎます。デプロイモードに応じて、この高速フェールオーバーは、ネットワークを通過するアプリケーショントラフィックへの影響を最小限に抑えます。

高可用性展開モード

ワンアームモード:

ワンアームモードでは、高可用性アプライアンスペアがデータパスの外にあります。アプリケーショントラフィックは、ポリシーベースルーティング(PBR)を使用してアプライアンスペアにリダイレクトされます。ワンアーム・モードは、ネットワーク内の単一の挿入ポイントが不可能な場合、または配線へのフェイル・トゥ・ワイヤの課題に対処するために実装されます。スタンバイアプライアンスは、アクティブアプライアンスおよびルータと同じ VLAN またはサブネットに追加できます。

One-Arm モードでは、SD-WAN アプライアンスはデータネットワークサブネットに存在しないことをお勧めします。仮想パストラフィックは PBR を通過する必要はなく、ルートループを回避します。SD-WAN アプライアンスとルータは、イーサネットポートを介して、または同じ VLAN 内に直接接続する必要があります。

  • フォールバックのための IP SLA モニタリング

    SD-WAN アプライアンスの 1 つがアクティブである限り、仮想パスがダウンしていても、アクティブトラフィックはフローします。SD-WAN アプライアンスは、トラフィックをイントラネットトラフィックとしてルータにリダイレクトします。ただし、アクティブ/スタンバイ SD-WAN アプライアンスの両方が非アクティブになると、ルータはトラフィックをアプライアンスにリダイレクトしようとします。次のアプライアンスに到達できない場合、ルータで IP SLA モニタリングを設定して PBR を無効にすることができます。これにより、ルータがフォールバックしてルート検索を実行し、パケットを適切に転送できます。

並列インライン高可用性モード:

パラレルインライン高可用性モードでは、SD-WAN アプライアンスはデータパスにインラインで配置されます。アクティブアプライアンスを経由するパスは 1 つだけ使用されます。バイパスインターフェイスグループは、フェールオーバー中のブリッジングループを回避するために fail-to-block に設定されることに注意してください。

高可用性ステートは、インラインインターフェイスグループを介して、またはアプライアンス間の直接接続を介して監視できます。External Tracking を使用して、アップストリームまたはダウンストリームのネットワークインフラストラクチャの到達可能性を監視できます。たとえば、必要に応じて、高可用性状態の変更を指示するスイッチポートの障害。

アクティブ SD-WAN アプライアンスとスタンバイ SD-WAN アプライアンスの両方が無効または障害が発生した場合、スイッチとルータ間でターシャリパスを直接使用できます。このパスは、通常の条件で使用されないように、SD-WAN パスよりもスパニングツリーコストが高い必要があります。パラレルインライン高可用性モードでのフェールオーバーは、設定されているフェールオーバー時間によって異なります。デフォルトのフェールオーバー時間は 1000 ミリ秒です。ただし、フェールオーバーのトラフィックへの影響は 3 ~ 5 秒です。ターシャリパスへのフォールバックは、スパニングツリーの再コンバージェンスの間、トラフィックに影響を与えます。他の WAN リンクへのパス外接続がある場合は、両方のアプライアンスを接続する必要があります。

スパニングツリーシンプル

複数のルータが VRRP を使用している可能性があるより複雑なシナリオでは、LAN 側のスイッチとルータがレイヤ 2 で到達可能であることを確認するために、ルーティング不能 VLAN が推奨されます。

スパニングツリーコンプレックス

フェール・ツー・ワイヤ・モード:

Fail-to-Wire モードでは、SD-WAN アプライアンスは同じデータパスでインラインになります。バイパスインターフェイスグループは、スタンバイアプライアンスがパススルーまたはバイパスステートである状態で、Fail-to-Wire モードである必要があります。別のポート上の 2 つのアプライアンス間の直接接続を構成し、高可用性インターフェイスグループに使用する必要があります。

  • フェールツーワイヤモードでの高可用性スイッチオーバーには、Fail-to-Wire モードからの回復にポートが遅延するため、約 10 ~ 12 秒かかります。

  • アプライアンス間の高可用性接続に障害が発生すると、両方のアプライアンスがアクティブ状態になり、サービスが中断されます。サービスの中断を軽減するには、単一障害点がないように、複数の高可用性接続を割り当てます。

  • 高可用性 Fail-to-Wire モードでは、ステートコンバージェンスを支援するために、高可用性制御交換メカニズム用にハードウェアアプライアンスのペアで別個のポートを使用することが不可欠です。

SD-WAN アプライアンスがアクティブからスタンバイに切り替わるときに物理的な状態が変化するため、オートネゴシエーションがイーサネットポートでかかる時間に応じて、フェールオーバーによって接続が部分的に切断されることがあります。

次の図に、Fail-to-Wire 展開の例を示します。

フェイル・トゥ・ワイヤの導入

One-Arm 高可用性構成または Parallel Inline 高可用性構成は、フェールオーバー中の中断を最小限に抑えるために大量のトラフィックを転送するデータセンターまたはサイトにお勧めします。

フェールオーバー中に最小限のサービス損失が許容できる場合は、Fail-to-Wire 高可用性モードが適しています。Fail-to-Wire 高可用性モードは、アプライアンスの障害から保護し、パラレルインライン高可用性はすべての障害から保護します。すべてのシナリオにおいて、高可用性は、システム障害時に SD-WAN ネットワークの継続性を維持するために有用です。

高可用性の構成

高可用性を構成するには、次の手順を実行します。

  1. 構成エディタで、[サイト] > [ **サイト名** ] > [ 高可用性] に移動します。[ 高可用性の有効化] を選択し、 [ 適用] をクリックします。

    高可用性の有効化

    高可用性 1

  2. 次のパラメータに値を入力します。

    • 高可用性アプライアンス名: 高可用性(セカンダリ)アプライアンスの名前。

    • フェイルオーバー時間: プライマリアプライアンスとの接続後、スタンバイアプライアンスがアクティブになるまでの待機時間(ミリ秒単位)。

    • 共有ベース MAC: 高可用性ペアアプライアンスの共有 MAC アドレス。フェールオーバーが発生すると、セカンダリアプライアンスの仮想 MAC アドレスは、障害が発生したプライマリアプライアンスと同じになります。

    • プライマリ/セカンダリのスワップ: 選択すると、高可用性ペアの両方のアプライアンスが同時に起動すると、セカンダリアプライアンスがプライマリアプライアンスになり、優先されます。

  • Primary Reclaim: 選択すると、フェイルオーバーイベント後の再起動時に、指定されたプライマリアプライアンスが制御を再利用します。

  • 高可用性フェイル-ワイヤモード: Fail-to-Wire 高可用性展開モードを有効にする場合に選択します。

    ハイパーバイザーおよびクラウドベースのプラットフォームの場合は、 共有ベース MAC を無効にするオプションを選択して 、共有仮想 MAC アドレスを無効にします。

    Hypervisor ベースのプラットフォームでは、ハイパーバイザーで無差別モードが有効になっていることを確認して、高可用性の共有 MAC アドレスからのパケットソースを許可します。無差別モードが有効になっていない場合は、 共有ベース MAC を無効にするオプションを有効にできます

インターフェイスグループを設定するには、[高可用性 IP Interfaces ] の横にある [ +] をクリックします。次のパラメータに「値」を入力します。

  • 仮想インターフェイス — 高可用性ペア内のアプライアンス間の通信に使用される仮想インターフェイス。アクティブアプライアンスの到達可能性を監視します。ワンアーム高可用性モードの場合、必要なインターフェイスグループは 1 つだけです。

  • プライマリ — プライマリアプライアンスの一意の仮想 IP アドレス。セカンダリアプライアンスは、プライマリ仮想 IP アドレスを使用して、プライマリアプライアンスと通信します。

  • セカンダリ — セカンダリアプライアンスの一意の仮想 IP アドレス。プライマリアプライアンスは、セカンダリ仮想 IP アドレスを使用してセカンダリアプライアンスと通信します。

新しい 高可用性 IP インターフェイス エントリの左側にある [ + ] をクリックします。[External Tracking IP Address ] フィールドに、ARP 要求に応答する外部デバイスのIPアドレスを入力して、プライマリアプライアンスの状態を特定し、[ Apply] をクリックします。

注:

アプライアンスから HA スイッチオーバーを手動でトリガーすることもできます。 構成 > アプライアンスの設定 > 管理者インターフェイス > その他に移動します。HA アプライアンスに応じて、[Switch HA Mode] セクションで、[ Switch to Standby] または [Switch to Active ] をクリックします。 高可用性を手動で切り替える

監視

高可用性構成を監視するには、次の手順を実行します。

高可用性が実装されているアクティブおよびスタンバイアプライアンスの SD-WAN Web 管理インターフェイスにログインします。[ ダッシュボード ]タブに高可用性ステータスを表示します。

高可用性ダッシュボードの監視

スタンバイ MCN 高可用性ダッシュボードの監視

アクティブおよびスタンバイの高可用性アプライアンスのネットワークアダプタの詳細については、「 構成 」>「 アプライアンスの設定 」>「 ネットワークアダプタ 」>「 イーサネット 」タブに移動します。

アクティブ高可用性 MCN ネットワークイーサネット

スタンバイ高可用性 MCN ネットワークイーサネット

トラブルシューティング

SD-WAN アプライアンスを高可用性(HA)モードに設定するときに、次のトラブルシューティング手順を実行します。

  1. スプリットブレインの問題の主な理由は、HA アプライアンス間の通信の問題が原因です。

    • SD-WAN アプライアンス間の接続に問題があるかどうかを確認します(両方の SD-WAN アプライアンスのポートがアップまたはダウンしているなど)。
    • 1 つの SD-WAN アプライアンスのみをアクティブにするには、いずれかの SD-WAN アプライアンスで SD-WAN サービスを無効にする必要があります。
  2. SDWAN_common.log ファイルにログインした HA 関連ログを確認できます。

    注: すべての高可用性関連ログは、 キーワードracpで記録されます

  3. SDWAN_common.log ファイル内のポート関連のイベント(HA が有効なポートがダウンまたはアップになったなど)を確認できます。
  4. HA 状態の変更ごとに、1 つの SD-WAN イベントが記録されます。したがって、ログがロールオーバーされた場合、イベントログを確認してイベントの詳細を取得できます。
高可用性