仮想インラインモード

仮想インラインモードでは、ルータは PBR、OSPF、BGP などのルーティングプロトコルを使用して、着信および発信 WAN トラフィックをアプライアンスにリダイレクトし、アプライアンスは処理されたパケットをルータに転送します。

次の資料では、2 つの SD-WAN(SD-WAN SE)アプライアンスを設定する手順について説明します。

  • 仮想インラインモードのデータセンターアプライアンス

  • インラインモードのブランチアプライアンス

  • ルーティングプロトコルは、コアスイッチまたはルータのアップストリームで設定する必要があります。ルータは SD-WAN アプライアンスのヘルスを監視して、障害が発生した場合にアプライアンスをバイパスできるようにする必要があります。

  • Virtual Inline Mode は、SD-WAN アプライアンスを物理的にパス外に配置します(ワンアーム配置)。つまり、バイパスモードが Fail-to-Block(FTB; フェイルツーブロック)に設定された 1 つのイーサネットインターフェイスだけが使用されます(例:インターフェイス 1/1)。

Citrix SD-WAN アプライアンスは、トラフィックを適切なGateway に渡すように構成する必要があります。仮想パス用のトラフィックは SD-WAN アプライアンスに向けられ、カプセル化され、適切な WAN リンクに送信されます。

構成のための情報の収集

  • 以下のような、ローカルサイトとリモートサイトの正確なネットワーク図(下図の例)

    • ローカルおよびリモートの WAN リンクとその両方向の帯域幅、サブネット、各リンクからの仮想 IP アドレスとゲートウェイ、ルート、および VLAN。
  • 配置表 (下図の例)

データセンターのトポロジ — 仮想インラインモード

仮想インラインモード

ブランチトポロジ — インラインモード

PBR モードの展開ブランチ

サイト名 データ・センター・サイト 支店サイト
アプライアンス名 SJC-DC SJC-BR
管理IP 172.30.2.10/24 172.30.2.20/24
セキュリティキー もしあれば もしあれば
モデル/エディション 4000 2000
モード 仮想インラインモード インライン
トポロジ 2 x WAN パス 2 x WAN パス
VIP アドレス 192.168.1.10/24 — MPLS, MPLS, PARTIALURLPLACEHOLDER — インターネット, パブリックIP w.x.y.z 10.17.0.9/24-MPLS、PARTIALURLPLACEHOLDER-インターネット、パブリックIP a.b.c.d
ゲートウェイ MPLS 10.20.0.1 10.17.0.1
ゲートウェイインターネット 10.19.0.1 10.18.0.1
リンク速度 MPLS — 100 Mbps、インターネット — 20 Mbps MPLS — 10 Mbps、インターネット — 2 Mbps
ルート 任意の物理インターフェイス(Gi0/1 ~ 192.168.1.1、 設定 > 仮想 WAN > 構成エディタ > SJC_DC\ > ルート)を介して LAN サブネット(10.10.11.0/24、10.10.12.0/24 など)に到達する方法について、SD-WAN SE アプライアンスにルートを追加する必要があります。この例では、インターフェイス 192.168.1.1 が使用されています。-n/w アドレス:10.10.13.0/24、10.10.12.0/24、10.10.11.0/24、-サービスタイプ:ローカル、-ゲートウェイ IP アドレス:192.168.1.1 追加のルートは追加されませんでした
VLAN なし (既定値は 0) なし (既定値は 0)

仮想インラインモードでサイトを構成する手順:

  • MCN 機能を有効にします。

  • 新しいサイトを作成します。

  • インターフェイスグループと仮想インターフェイスを作成します。

  • 仮想 IP アドレスを仮想インターフェイスに割り当てます。

  • WAN リンクを作成し、IP アドレスを割り当てます。

  • ルートを追加します。

  • トラブルシューティング。

  • ルータ上のルーティングポリシー設定。

構成の前提条件

  • SD-WAN アプライアンスをマスターコントロールノードとして有効にします。

  • 構成は、SD-WAN アプライアンスのマスターコントロールノード(MCN)でのみ行われます。

アプライアンスをマスター・コントロール・ノードとして有効にするには:

  1. SD-WAN Web管理インターフェイスで、[ 構成 ]>[ アプライアンスの設定 ]>[ 管理者インターフェイス ]> [その他]タブ >[スイッチコンソール]に移動します。

    「クライアントコンソールに切り替え」と表示されている場合、アプライアンスはすでにMCNモードになっています。SD-WAN ネットワークには、アクティブな MCN が 1 つだけ存在する必要があります。

  2. 仮想 WAN サービスを有効にします。[ 構成 ] > [ 仮想 WAN ] > [ フローの有効化/無効化/パージ] に移動します。

  3. [構成] > [ 仮想 WAN ] > [ 構成エディター] の順に選択して、構成を開始します。[ 新規 ] をクリックして設定を開始します。

    この操作により、Untitled_1 の初期設定ファイルが作成されます。このファイルは、後で [名前 を付けて保存 ] ボタンを使用して [オプション] に変更できます。

仮想インライン展開モードでデータセンターサイトを構成するための高レベルの構成手順を次に示します。

  1. DC サイトを作成します。

  2. 接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。

  3. 各仮想インターフェイスの仮想 IP アドレスを設定します。

  4. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

  5. LAN インフラストラクチャ内にさらにサブネットがある場合は、ルートを設定します。

データセンターサイトの仮想インラインモードの設定

DC サイトを作成する

  1. [ 構成エディタ ] > [ サイト] に移動し、[ + サイト ] ボタンをクリックします。

  2. 以下に示すように、フィールドに入力します。

  3. 変更指示がない限り、デフォルト設定のままにします。

    PBR は DC サイトを作成します。

接続されたイーサネットインターフェイスに基づくインターフェイスグループの設定

  1. 構成エディタで、[サイト] → [ **サイト 名] → [ インターフェイスグループ ]に移動します。[ +]** をクリックして、使用するインターフェイスを追加します。仮想インラインモードでは、1 つのイーサネットインターフェイスだけの設定が使用されます。つまり、ルーティングポリシーの影響を提供するアップストリームルータを接続するインターフェイスです(例:インターフェイス 1/1)。MPLS およびインターネット仮想インターフェイスをそれぞれ VLAN ID 10 および 20 に設定します。

  2. バイパスモードは fail-to-block に設定されます。これは、仮想インターフェイスごとに 1 つのイーサネット/物理インターフェイスだけが使用されるためです。ブリッジペアもありません。

  3. この例では、[Virtual Interfaces +] オプションを展開し、仮想インターフェイスを設定します。

    PBR DC 2 が仮想インターフェイスを設定します。

各仮想インターフェイスの仮想 IP(VIP)アドレスの作成

各 WAN リンクの適切なサブネット上に 仮想 IP アドレスを 作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。

PBR DC 1 は、仮想 IP アドレスの割り当てを設定します。

インターネット WAN リンクの作成

インターネットおよび MPLS リンクを使用して、バースト速度ではなく物理レートに基づいて WAN リンクを設定するには、次の手順を実行します。

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。

  2. 以下に示すように、指定されたパブリック IP アドレスを含むインターネットリンクの詳細を入力します。MCN として設定された SD-WAN アプライアンスでは、 パブリック IP の自動検出 は選択できません。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、インターネットリンクに固有のインターフェイス詳細を追加します。

  4. 以下に示すように、IP アドレスとGateway アドレスのアクセスインターフェイスを設定します。プロキシ ARP では、2 つ未満のイーサネットインターフェイスはチェックされません。

    PBR DC 3 はインターネット WAN リンクを設定します。

    PBR DC 4 は、インターネットアクセスインターフェイスを設定します。

MPLS リンクの作成

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして MPLS リンクの WAN リンクを追加します。

  2. 次に示すように、MPLS リンクの詳細を設定します。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、MPLS リンクに固有のインターフェイス詳細を追加します。

  4. 次に示すように、MPLS 仮想 IP アドレスおよびGateway アドレスのアクセスインターフェイスを設定します。

    MPLS 基本設定

    プロキシ ARP では、2 つ未満のイーサネットインターフェイスはチェックされません。

ルートを設定する

データセンターサイトで、SD-WAN See アプライアンスにルートを追加して、任意の物理インターフェイスを経由して LAN サブネット(10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 など)に到達します。

VLAN 10 上の 0/1/0.1 — 192.168.1.1

VLAN 20 上の 0/1/0.2 — 192.168.2.1

ルート MPLS

ルート MPLS を編集する

ブランチサイトのインライン展開構成

インライン展開用にブランチサイトを構成するための高レベルの構成手順を次に示します。

  1. ブランチサイトを作成します。

  2. 接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。

  3. 各仮想インターフェイスの仮想 IP アドレスを作成します。

  4. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

    • ブリッジペア 1/3 および 1/4 に設定された仮想インターフェイス「インターネット」

    • 仮想インターフェイス「MPLS」が設定されたコンブリッジペア 1/1 および 1/2

  5. LAN インフラストラクチャ内にさらにサブネットがある場合は、ルートを設定します。

ブランチサイトを作成する

PBR がブランチサイトを作成

接続されたイーサネットインターフェイスに基づくインターフェイスグループの設定

  1. 構成エディターで、[サイト] > [クライアント **サイト 名] > [ インターフェイスグループ ]**に移動します。[ **+**] をクリックして、使用するインターフェイスを追加します。インラインモードの設定では、インターフェイスペア 1/3、1/4、インターフェイスペア 1/1 および 1/2 の 4 つのイーサネットインターフェイスが使用されます。

  2. バイパスモードは fail-to-Wire に設定されています。これは、仮想インターフェイスごとに 2 つのイーサネット/物理インターフェイスが使用されるためです。ブリッジペアは 2 つあります。

  3. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

    • ブリッジペア 1/3 および 1/4 に設定された仮想インターフェイス「インターネット」

    • 仮想インターフェイス「MPLS」コンブリッジペアを設定しました 1/1 と 1/2.

  4. 上記の「リモートサイトインラインモード」トポロジの例を参照し、次に示すように [Interface Groups] フィールドに入力します。

    PBR は、ブランチサイト 1 インターフェイスグループを作成します。

各仮想インターフェイスの仮想 IP(VIP)アドレスの作成

各 WAN リンクの適切なサブネット上に仮想 IP アドレスを作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。

PBR は、ブランチサイト 2 の仮想 IP アドレスを作成します。

インターネット WAN リンクの作成

インターネットリンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定する方法

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。

  2. 次に示すように、 AutoDetect パブリック IP アドレスを 含むインターネットリンクの詳細を入力します。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、インターネットリンクに固有のインターフェイス詳細を追加します。

  4. 以下に示すように、仮想 IP アドレスとGateway のアクセスインターフェイスを設定します。

    PBR は、ブランチサイト 3 インターネット WAN リンクを作成します。

    PBR は、ブランチサイト 4 インターネットアクセスインターフェイスを作成します。

MPLS リンクの作成

  1. [ WAN リンク] に移動し、 [ + ] ボタンをクリックして MPLS リンクの WAN リンクを追加します。

  2. 次に示すように、MPLS リンクの詳細を設定します。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、MPLS リンクに固有のインターフェイス詳細を追加します。

  4. 以下に示すように、仮想 IP アドレスとGateway のアクセスインターフェイスを設定します。

    PBR は、ブランチサイト 5 MPLS WAN リンクを作成します。

    PBR は、ブランチサイト 6 MPLS アクセスインターフェイスを作成します。

ルートを設定する

ルートは、上記の設定に基づいて自動作成されます。このリモートブランチオフィスに固有のサブネットが他にもある場合は、そのバックエンドサブネットに到達するためにトラフィックを誘導するGateway を識別する特定のルートを追加する必要があります。

ルート MPLS ブランチ

監査エラーの解決

DC サイトとブランチサイトの構成が完了すると、DC サイトと BR サイトの両方で監査エラーを解決するよう警告されます。この例では、プライベートイントラネット WAN リンク [SJC_DC-MPLS] に関連する監査エラーを解決します。

デフォルトでは、システムは、アクセスタイプ [パブリックインターネット] (強調表示) として定義された WAN リンクのパスを生成します。

監査エラー PBR モード

アクセスインターフェイス PBR モード

監査エラー PBR

アクセスタイプがプライベートインターネットの WAN リンクでは、自動パスグループ機能を使用するか、パスを手動で有効にする必要があります。MPLS リンクのパスを有効にするには、[Add] 演算子(緑色の四角形)をクリックします。

デフォルトパス PBR

自動パスグループを作成します

  1. グローバル 」タブにナビゲートします。[ [自動パスグループ]] の横にある [ +] 記号をクリックします。

  2. 要件に従って作成された自動パスグループを構成し、[ 適用] をクリックします。

    自動パスグループ PBR モード

  3. 自動パスグループの名前を変更します(オプション)。

  4. 自動パスグループを各サイトのイントラネット WAN リンクの仮想パスにマップします。

    2 つの自動パスグループをデフォルトとしてマークすることはできません。マークされている場合は、監査エラーにつながります。

自動パスグループをイントラネット WAN の仮想パスにマッピングした後、パスを自動的に設定 (強調表示) する必要があります。

PBR モードの自動パスグループのマッピング

アクセスタイプの WAN リンクを手動で追加する [プライベートイントラネット]

  1. 各サイトの [WAN リンク] で [仮想パス] を選択します。自動パスグループはマップされません。

  2. 仮想パスを手動で追加するには、[パス] の横の [自動パスグループ] 記号をクリックします。

    PBR モードの自動パスグループ手動マッピング

  3. 各サイトの[仮想パス WAN リンク]を選択します。

    WAN リンクの追加

    アクセスタイプ [プライベートイントラネット] の WAN リンクの仮想パスを手動で追加すると、[パス] (強調表示) に表示されます。

    上記の手順をすべて完了したら、MCN トピックのSD-WAN アプライアンスパッケージの準備に進みます。

PBR ルータでのポリシーベースのルーティング設定

LAN に接続されたインターフェイス

  • ルータ番号端末の設定

  • ルータ(config)# インターフェイスファストイーサネット 0/1

  • ルータ(config-if)# 説明 ToLan

  • ルータ(設定-if)# IPアドレス 10.10.11.1 255.255.255.0

  • ルータ(config-if)#デュプレックス自動

  • ルータ(config-if)#スピードオート

インターフェイスが MPLS WAN リンクに接続

  • ルータ番号端末の設定

  • ルータ(config)# インターフェイスギガビットイーサネット0/0

  • ルータ(config-if)# 説明 to-MPLS-WAN

  • ルータ(設定-if)# IP アドレス 10.20.0.2 255.255.255.0

  • ルータ(config-if)#デュプレックス自動

  • ルータ(config-if)#スピードオート

INET WAN リンクに接続されているインターフェイス

  • ルータ番号端末の設定

  • ルータ(config)# インターフェイスギガビットイーサネット0/2/0

  • ルータ(config-if)# 説明 to-inet-WAN

  • ルータ(設定-if)# IP アドレス 10.19.0.2 255.255.255.0

  • ルータ(config-if)#デュプレックス自動

  • ルータ(config-if)#スピードオート

PBR ルータのインターフェイス GigabitEthernet0/1 は SD-WAN ポート 1/1 に接続されており、1 アームモードであり、この 1 つのポートは MPLS および INET リンクのトラフィックを処理します。

  • ルータ番号端末の設定

  • ルータ(config)# インターフェイスギガビットイーサネット 0/1

  • ルータ(config-if)# 説明-SDWAN リンク

  • ルータ(コンフィグ-if)# IPアドレス 192.168.1.1 255.255.255.0

静的ルート設定(クライアント/リモートサブネットへのルート):

  • ネクストホップ WAN ルータ MPLS 10.20.0.1 経由の MPLS 10.17.0.0/24

  • ネクストホップWANルータ経由のINET 10.18.0.0/24/FW INET 10.19.0.1

  • ルータ番号端末の設定

  • ルータ (config) # IP ルート 10.17.0.0 255.255.255.0 10.20.0.1

  • ルータ (config) # IP ルート 10.18.0.0 255.255.255.0 10.19.0.1

ルートマップ定義:

アクセスコントロールリストの設定:

SD-WAN アプライアンスとの間で送受信されるトラフィックを定義するように ACL を設定します。

  1. LAN から SD-WAN アプライアンスへ

    トポロジごとに、LAN サブネットは 10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 です。LAN から SD-WAN にトラフィックを送信するには、単方向 ACL(LAN から任意への)を設定します。

    -  Router# configure terminal

    -  Router(config)# ip access-list extended server_side

    -  Router(config)# permit ip 10.10.0.0 0.0.255.255 any
  1. SD-WAN アプライアンスから物理 WAN リンクへ
    -  Router# configure terminal

    -  Router(config)# ip access-list extended MPLS_Link

    -  Router(config)# permit ip 192.168.1.10 0.0.0.0 any

    -  Router# configure terminal

    -  Router(config)# ip access-list extended INET_Link

    -  Router(config)# permit ip 192.168.1.11 0.0.0.0 any

ルートマップの設定:

ACL に一致するルートマップを定義します。

LAN トラフィックのルートマップ:

ネクストホップは、SD-WAN 仮想 IP(VIP)のいずれかになります。

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

この場合、ネクストホップとして MPLS VIP 192.168.1.10 を選択し、ヘルスチェックを追加して、SD-WAN に障害が発生した場合にトラフィックがルーティングされないことを確認します。

-  Router# configure terminal

-  Router(config)# route-map server_side_VW_PBR permit 10

-  Router(config-route-map)# match ip address server_side

-  Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123

上記のコマンドは、追跡対象オブジェクトの到達可能性を確認するためにルートマップを設定します。トラッキングプロセスでは、ICMP ping の到達可能性、ルーティング隣接、リモートデバイスで実行されているアプリケーション、Routing Information Base(RIB; ルーティング情報ベース)内のルートなど、個々のオブジェクトを追跡したり、インターフェイスラインプロトコルの状態を追跡したりできます。

WAN トラフィックのルートマップ:

ネクストホップは、各 WAN リンクの MPLS ルータおよびファイアウォールになります。

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 20

-  Router(config-route-map)# match ip address MPLS_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 30

-  Router(config-route-map)# match ip address INET_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125

インターフェイスにルートマップを適用します。

-  Router# configure terminal

-  Router(config)# interface FastEthernet0/1

-  Router(config-if)# ip policy route-map server_side_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

-  Router# configure terminal

-  Router(config)# interface GigabitEthernet0/1

-  Router(config-if)# ip policy route-map WAN_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

MPLS ルータの設定(ゲートウェイ 10.20.0.1)

  • MPLS ルータにルートを追加して、データセンターの MPLS VWAN VIP に到達します。

  • ネクストホップ PBR ルータ MPLS リンク 10.20.0.2 経由の MPLS VIP サブネット 192.168.1.0/24

  • ルータ番号端末の設定

  • ルータ (config) # IP ルート 192.168.1.0 255.255.255.0 10.20.0.2

ファイアウォールの設定(ゲートウェイ 10.19.0.1):

データセンターの INET VWAN VIP に到達するためのルートをファイアウォールに追加します。

ネクストホップ PBR ルータ INET リンク 10.19.0.2 経由の INET VIP サブネット 192.168.1.0/24

-  Router# configure terminal

-  Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2