PBR モード(仮想インライン)
仮想インラインモードでは、ルータはポリシーベースのルーティングルールを使用して、着信および発信 WAN トラフィックをアプライアンスにリダイレクトし、アプライアンスは処理されたパケットをルータに転送します。
次の資料では、2 つの SD-WAN(SD-WAN SE)アプライアンスを構成する手順について説明します。
-
PBR モードのデータセンターアプライアンス(仮想インラインモード)
-
インラインモードのブランチアプライアンス
-
PBR は、コアスイッチで設定するか、ルータでさらにアップストリームに設定する必要があります。ルータは SD-WAN アプライアンスの健全性を監視し、障害が発生した場合にアプライアンスをバイパスできるようにする必要があります。
-
仮想インラインモードでは、SD-WAN アプライアンスが物理的にパス外に配置されます(ワンアーム配置)。つまり、バイパスモードが Fail-to-Block(FTB)に設定されている単一のイーサネットインターフェイスだけが使用されます(例:インターフェイス 1/1)。
Citrix SD-WANアプライアンスは、トラフィックを適切なGateway に渡すように構成する必要があります。仮想パス用のトラフィックは SD-WAN アプライアンスに向けられ、カプセル化され、適切な WAN リンクに送信されます。
構成に関する情報の収集
-
ローカルサイトとリモートサイトの正確なネットワーク図(図の例を以下に示します)
- ローカルおよびリモートの WAN リンクおよび両方向の帯域幅、サブネット、各リンク、ルート、VLAN からの仮想 IP アドレスおよびゲートウェイ。
-
デプロイメントテーブル(以下に示す図の例)
データセンターのトポロジ — PBR モード (仮想インラインモード)
ブランチトポロジ — インラインモード
| サイト名 | データセンターサイト | ブランチサイト |
|---|---|---|
| アプライアンス名 | SJC-DC | SJC-BR |
| 管理IP | 172.30.2.10/24 | 172.30.2.20/24 |
| セキュリティキー | もしあれば | もしあれば |
| モデル/エディション | 4000 | 2000 |
| モード | PBR モード (仮想インラインモード) | インライン |
| トポロジ | 2 x WAN パス | 2 x WAN パス |
| VIP アドレス | 192.168.1.10/24 — MPLS, 192.168.1.11/24 — インターネット, パブリックIP w.x.y.z | 10.17.0.9/24-MPLS, 10.18.0.9/24 — インターネット, パブリックIP a.b.c.d |
| Gateway MPLS | 10.20.0.1 | 10.17.0.1 |
| ゲートウェイ・インターネット | 10.19.0.1 | 10.18.0.1 |
| リンク速度 | MPLS — 100 Mbps, インターネット — 20 Mbps | MPLS — 10 Mbps, インターネット — 2 Mbps |
| Route | 物理インターフェイス(Gi0/1-192.168.1.1、構成\ > 仮想 WAN\ > 構成エディタ\ > SJC\ _DC\ > ルート)を介して LAN サブネット(10.10.11.0/24、10.10.10.12.0/24、10.10.13.0/24 など)に到達する方法について、SD-WAN SE アプライアンスにルートを追加する必要があります。この例では、インターフェイス 192.168.1.1 が使用されています。-n/w アドレス:10.10.13.0/24, 10.10.12.0/24, 10.10.11.0/24,-サービスタイプ:ローカル,-ゲートウェイ IP アドレス:192.168.1.1 | 追加のルートは追加されませんでした |
| VLAN | なし (デフォルト 0) | なし (デフォルト 0) |
仮想インラインモードでサイトを構成する手順:
-
MCN 機能を有効にします。
-
新しいサイトを作成します。
-
インターフェイスグループと仮想インターフェイスを作成します。
-
仮想 IP アドレスを仮想インターフェイスに割り当てます。
-
WAN リンクを作成し、IP アドレスを割り当てます。
-
[ルートの追加]
-
トラブルシューティング。
-
PBR ルータでのポリシーベースルーティング設定
構成の前提条件
-
SD-WAN アプライアンスをマスターコントロールノードとして有効にします。
-
構成は SD-WAN アプライアンスのマスターコントロールノード (MCN) でのみ行われます。
アプライアンスをマスター・コントロール・ノードとして有効にするには:
- SD-WAN Web 管理インターフェイスで、[ 構成] > [ **アプライアンスの設定]> [ 管理者インターフェイス ]** > [ その他] タブ> [ スイッチコンソール] に移動します。
注
「クライアントコンソールに切り替える」と表示されている場合、アプライアンスはすでに MCN モードになっています。SD-WAN ネットワークには、アクティブな MCN が 1 つだけ存在する必要があります。
-
仮想 WAN サービスを有効にします。[ 構成]> [ 仮想 WAN ] > [フロー の有効/無効/パージ] に移動します
-
[構成** ] > [ 仮想 WAN] > [ **構成エディタ ] に移動して、 構成を開始します。[ 新規 ] をクリックして設定を開始します。
この操作により、「名前なし」(Save As) ボタンを使用して、後で\ [オプション] の名前を変更できる、無題\ _1 の初期設定ファイルが作成されます。
PBR 展開モードで Datacenter サイトを構成するための高レベルの構成手順を次に示します。
-
DC サイトを作成します。
-
接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。
-
仮想インターフェイスごとに仮想 IP アドレスを設定します。
-
インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。
-
LAN インフラストラクチャにさらにサブネットがある場合は、Routes を設定します。
データセンターサイトの PBR モードの設定
DC サイトを作成する
-
[ 構成エディタ]> [ サイト] に移動し、[ + サイト] ボタンをクリックします。
-
以下に示すようにフィールドに入力します。
-
変更するように指示されない限り、デフォルト設定を保持します。
接続されたイーサネットインターフェイスに基づくインターフェイスグループの設定
-
構成エディタで、「 サイト」 >「 \ [サイト名] >「 インタフェースグループ」に移動します。[ + ] をクリックして、使用するインターフェイスを追加します。PBR モードでは、単一のイーサネットインターフェイス上の設定だけが使用されます。つまり、PBR ポリシーの影響を提供するアップストリームルータを接続するインターフェイスです(例:Interface 1/1)。VLAN ID 10 および 20 の MPLS およびインターネット仮想インターフェイスをそれぞれ設定します。
-
仮想インターフェイスごとに 1 つのイーサネット/物理インターフェイスだけが使用されるため、バイパスモードは fail-to-block に設定されます。ブリッジペアもありません。
-
この例では、[仮想インターフェイス +] オプションを展開し、仮想インターフェイスを設定します。
各仮想インターフェイスの仮想 IP(VIP)アドレスを作成
各 WAN リンクの適切なサブネット上に仮想 IP アドレスを作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。
インターネット WAN リンクの作成
インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定するには、次の手順を実行します。
-
[ WAN リンク] に移動し、[ +] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。
-
以下に示すように、提供されたパブリック IP アドレスなど、インターネットリンクの詳細を入力します。MCN として構成された SD-WAN アプライアンスでは、パブリック IP の自動検出は選択 できません。
-
[ アクセスインターフェイス] に移動し、[ +] ボタンをクリックして、インターネットリンクに固有のインターフェイスの詳細を追加します。
-
以下に示すように、IP アドレスとGateway アドレスのアクセスインターフェイスを設定します。プロキシ ARP は、イーサネットインターフェイスが 2 つ未満の場合はチェックされません。
MPLS リンクの作成
-
[ WAN リンク] に移動し、[ +] ボタンをクリックして MPLS リンクの WAN リンクを追加します。
-
次に示すように、MPLS リンクの詳細を入力します。
-
[ アクセスインターフェイス] に移動し、[ +] ボタンをクリックして、MPLS リンクに固有のインターフェイスの詳細を追加します。
-
次に示すように、MPLS 仮想 IP アドレスおよびGateway アドレスのアクセスインターフェイスを設定します。
注
プロキシ ARP は、イーサネットインターフェイスが 2 つ未満の場合はチェックされません。
ルートを設定する
データセンターサイトで、SD-WAN SEE アプライアンスにルートを追加して、物理インターフェイスを通じて LAN サブネット(10.10.11.0/24、10.10.12.0/24、10.10.10.13.0/24 など)に到達します。
VLAN 10 上の 0/1/0.1 — 192.168.1.1
VLAN 20 上の 0/1/0.2 — 192.168.2.1
ブランチサイトのインライン展開設定
次に、インライン展開用にブランチサイトを構成するための高レベルの構成手順を示します。
-
ブランチサイトを作成します。
-
接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。
-
各仮想インターフェイスの仮想 IP アドレスを作成します。
-
インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。
-
ブリッジペア 1/3 および 1/4 に設定された仮想インターフェイス「インターネット」
-
仮想インターフェイス「MPLS」設定済みブリッジペア 1/1 および 1/2
- LAN インフラストラクチャにさらにサブネットがある場合は、Routes を設定します。
ブランチサイトの作成
接続されたイーサネットインターフェイスに基づくインターフェイスグループの設定
-
構成エディタで、[ サイト] > [クライアントサイト名] >[ インターフェイスグループ]に移動します。**「+」をクリックして、使用するインターフェイスを追加します。インラインモード設定では、インターフェイスペア 1/3、1/4、インターフェイスペア 1/1 および 1/2 の 4 つのイーサネットインターフェイスが使用されます。
-
仮想インターフェイスごとに 2 つのイーサネット/物理インターフェイスが使用されるため、バイパスモードは Fail-to-Wire に設定されています。ブリッジペアは 2 つあります。
-
インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。
-
ブリッジペア 1/3 および 1/4 に設定された仮想インターフェイス「インターネット」
-
仮想インターフェイス「MPLS」設定詐欺ブリッジペア 1/1 と 1/2.
- 上記の「リモートサイトインラインモード」トポロジのサンプルを参照し、次に示すように [Interface Groups] フィールドに入力します。
各仮想インターフェイスの仮想 IP(VIP)アドレスを作成
各 WAN リンクの適切なサブネット上に仮想 IP アドレスを作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。
インターネット WAN リンクの作成
インターネットリンクを使用してバースト速度ではなく、物理レートに基づいて WAN リンクを設定するには
-
[ WAN リンク] に移動し、[ +] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。
-
次に示すように、 自動検出パブリック IP アドレス など、インターネットリンクの詳細を入力します。
-
[ アクセスインターフェイス] に移動し、[ +] ボタンをクリックして、インターネットリンクに固有のインターフェイスの詳細を追加します。
-
以下に示すように、仮想 IP アドレスとGateway のアクセスインターフェイスを設定します。
MPLS リンクの作成
-
[ WAN リンク] に移動し、[ +] ボタンをクリックして MPLS リンクの WAN リンクを追加します。
-
次に示すように、MPLS リンクの詳細を入力します。
-
[ アクセスインターフェイス] に移動し、[ +] ボタンをクリックして、MPLS リンクに固有のインターフェイスの詳細を追加します。
-
以下に示すように、仮想 IP アドレスとGateway のアクセスインターフェイスを設定します。
ルートを設定する
ルートは、上記の設定に基づいて自動作成されます。このリモートブランチオフィスに固有のサブネットが増える場合は、それらのバックエンドサブネットに到達するためにトラフィックを誘導するGateway を特定する特定のルートを追加する必要があります。
監査エラーの解決
DC サイトとブランチサイトの構成が完了すると、DC サイトと BR サイトの両方で監査エラーを解決するように警告が表示されます。この例では、プライベートイントラネット WAN リンク\ [SJC\ _DC-MPLS] に関連する監査エラーを解決します。
注
デフォルトでは、アクセスタイプ [パブリックインターネット] (強調表示) として定義された WAN リンクのパスが生成されます。
アクセスタイプが [プライベートインターネット] の WAN リンクでは、自動パスグループ機能を使用するか、手動でパスを有効にする必要があります。MPLS リンクのパスは、緑の四角形にある Add 演算子をクリックすることで有効にできます。
自動パスグループを作成します。
-
「 グローバル」 タブにナビゲートします。[ [Autopath Groups] の横にある [ ]+]記号をクリックします。
-
要件に従って作成された Autopath Group を構成し、[ Apply] をクリックします。
-
自動パスグループの名前を\ [オプション] に変更します。
-
Autopath グループを、各サイトのイントラネット WAN リンクの仮想パスにマッピングします。
2つのAutopath Groupをデフォルトとしてマークすることはできません。マークを付けると、監査エラーになります。
Autopath GroupをイントラネットWANの仮想パスにマッピングした後、パスが自動的に入力される(強調表示される)必要があります。
アクセスタイプの [プライベートイントラネット] で WAN リンクを手動で追加する
-
各サイトの [WAN リンク] で [仮想パス] を選択します。自動パスグループはマップされません。
-
仮想パスを手動で追加するには、[パス] の横の [ [+]] 記号をクリックします。
- 各サイトの仮想パス WAN リンクを選択します。
アクセスタイプが [プライベートイントラネット] の WAN リンクの仮想パスを手動で追加すると、[パス (強調表示)] の下に表示されます。
上記の手順をすべて完了したら、MCN トピックの「SD-WAN アプライアンスパッケージの 準備」に進みます。
PBR ルータでのポリシーベースのルーティング設定:
LAN に接続されたインターフェイス
-
ルータ\ # 端末の設定
-
ルータ(config)\ # インターフェイスファストイーサネット 0/1
-
ルータ(config-if)\ # 説明 ToLan
-
ルータ(config-if)\ # IP アドレス 10.10.11.1 255.255.255.0
-
ルータ(config-if)\ # デュプレックス自動
-
ルータ(config-if)\ # 速度自動
インターフェイスが MPLS WAN リンクに接続
-
ルータ\ # 端末の設定
-
ルータ(config)\ # インターフェイスギガビットイーサネット 0/0
-
ルータ(config-if)\ # 説明-MPLS-WAN
-
ルータ(config-if)\ # IP アドレス 10.20.0.2 255.255.255.0
-
ルータ(config-if)\ # デュプレックス自動
-
ルータ(config-if)\ # 速度自動
INET WAN リンクに接続されたインターフェイス
-
ルータ\ # 端末の設定
-
ルータ(config)\ # インターフェイスギガビットイーサネット 0/2/0
-
ルータ(config-if)\ # 説明 to inet-WAN
-
ルータ(config-if)\ # IP アドレス 10.19.0.2 255.255.255.0
-
ルータ(config-if)\ # デュプレックス自動
-
ルータ(config-if)\ # 速度自動
PBR ルータ上のインターフェイス GigabitEthernet0/1 は SD-WAN ポート 1/1 に接続されており、1 アームモードであり、この 1 つのポートは MPLS および INET リンクのトラフィックを処理します。
-
ルータ\ # 端末の設定
-
ルータ(config)\ # インターフェイスギガビットイーサネット 0/1
-
ルータ(config-if)\ # 説明から SDWAN リンクへ
-
ルータ(config-if)\ # IP アドレス 192.168.1.1 255.255.255.0
スタティックルート設定(クライアント/リモートサブネットへのルート)
-
ネクストホップ WAN ルータ経由の MPLS 10.17.0.0/24 MPLS 10.20.0.1
-
NET 10.18.0.0/24 経由ネクストホップ WAN ルータ/FW INET 10.19.0.1
-
ルータ\ # 端末の設定
-
ルータ(構成)\ # IP ルート 10.17.0.0 255.255.255.0 10.20.0.1
-
ルータ(構成)\ # IP ルート 10.18.0.0 255.255.255.0 10.19.0.1
ルートマップの定義:
アクセスコントロールリストの設定:
ACL を設定して、SD-WAN アプライアンスとの間で送受信されるトラフィックを定義します。
- LAN から SD-WAN アプライアンスへ
トポロジーごとに、LAN サブネットは 10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 などです。LAN から SD-WAN にトラフィックを送信するには、単方向 ACL(LAN から任意の)を設定します。
- Router\# configure terminal - Router(config)\# ip access-list extended server\_side - Router(config)\# permit ip 10.10.0.0 0.0.255.255 any ```
1. SD-WAN アプライアンスから物理 WAN リンクへ
- Router# configure terminal - Router(config)# ip access-list extended MPLS_Link - Router(config)# permit ip 192.168.1.10 0.0.0.0 any - Router# configure terminal - Router(config)# ip access-list extended INET_Link - Router(config)# permit ip 192.168.1.11 0.0.0.0 any ```
ルートマップの設定:
ACL に一致するルートマップを定義します。
LAN トラフィックのルートマップ:
ネクストホップは、任意の SD-WAN 仮想 IP(VIP)になります。
MPLS VIP 192.168.1.10
INET VIP 192.168.1.11
この場合、ネクストホップとして MPLS VIP 192.168.1.10 を選択し、ヘルスチェックを追加して、SD-WAN に障害が発生した場合にトラフィックがルーティングされないことを確認しました。
- Router\# configure terminal - Router(config)\# route-map server\_side\_VW\_PBR permit 10 - Router(config-route-map)\# match ip address server\_side - Router(config-route-map)\# set ip next-hop verify-availability 192.168.1.10 10 track 123 ```
上記のコマンドは、追跡対象オブジェクトの到達可能性を確認するようにルートマップを設定します。トラッキングプロセスでは、ICMP ping 到達可能性、ルーティング隣接、リモートデバイスで実行されているアプリケーション、Routing Information Base(RIB; ルーティング情報ベース)内のルートなど、個々のオブジェクトを追跡したり、インターフェイスラインプロトコルの状態を追跡したりできます。
**WAN トラフィックのルートマップ:**
ネクストホップは、各 WAN リンクの MPLS ルータとファイアウォールになります。
- Router# configure terminal - Router(config)# route-map WAN_VW_PBR permit 20 - Router(config-route-map)# match ip address MPLS_Link - Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124 - Router# configure terminal - Router(config)# route-map WAN_VW_PBR permit 30 - Router(config-route-map)# match ip address INET_Link - Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125 ```
ルートマップをインターフェイスに適用します。
- Router\# configure terminal - Router(config)\# interface FastEthernet0/1 - Router(config-if)\# ip policy route-map server\_side\_VW\_PBR - Router(config-if)\# duplex auto - Router(config-if)\# speed auto - Router\# configure terminal - Router(config)\# interface GigabitEthernet0/1 - Router(config-if)\# ip policy route-map WAN\_VW\_PBR - Router(config-if)\# duplex auto - Router(config-if)\# speed auto ```
**MPLS ルータの設定(ゲートウェイ 10.20.0.**1)
- MPLS ルータにルートを追加して、データセンターの MPLS VWAN VIP に到達します。
- ネクストホップ PBR ルータ MPLS リンク 10.20.0.2 を介した MPLS VIP サブネット 192.168.1.0/24
- ルータ\ # 端末の設定
- ルータ(構成)\ # IP ルート 192.168.1.0 255.255.255.0 10.20.0.2
**ファイアウォールの設定(ゲートウェイ 10.19.0.1)**:
ファイアウォール上にルートを追加して、データセンターの INET VWAN VIP に到達します。
次ホップ PBR ルータ INET リンク 10.19.0.2 経由の INET VIP サブネット 192.168.1.0/24
- Router# configure terminal - Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2 ```