Citrix SD-WAN

プラグインで使用するアプライアンスのデプロイ

クライアントアクセラレーションには、WANOP クライアントプラグインアプライアンスで特別な構成が必要です。その他の考慮事項には、アプライアンスの配置が含まれます。通常、プラグインは VPN 接続用にデプロイされます。

可能であれば専用アプライアンスを使用する

プラグインアクセラレーションとリンクアクセラレーションの両方に同じアプライアンスを使用しようとすると、多くの場合、困難になります。2 つの用途では、アプライアンスがデータセンター内の異なるポイントに呼び出されることがあり、2 つの用途では異なるサービスクラスルールが呼び出されることがあります。

さらに、1 つのアプライアンスは、プラグインアクセラレーションのエンドポイントまたはサイト間アクセラレーションのエンドポイントとして機能できますが、同じ接続で同時に両方の目的を果たすことはできません。したがって、VPN のプラグインアクセラレーションとリモートデータセンターへのサイト間アクセラレーションの両方にアプライアンスを使用する場合、プラグインユーザーはサイト間アクセラレーションを受信しません。この問題の深刻さは、プラグインユーザが使用するデータの量によって異なります。

最後に、専用アプライアンスのリソースは、プラグインとサイト間の要求間で分割されないため、より多くのリソースを提供し、各プラグイン・ユーザーに高いパフォーマンスを提供します。

可能な場合はインラインモードを使用する

アプライアンスは、サポートしている VPN ユニットと同じサイトにデプロイする必要があります。通常、2 つのユニットは互いに並んでいます。インライン展開は、最も単純な構成、最も多くの機能、最高のパフォーマンスを提供します。最良の結果を得るには、アプライアンスは VPN ユニットに直接並んでいます。

ただし、アプライアンスは、グループモードまたは高可用性モードを除き、任意のデプロイモードを使用できます。これらのモードは、アプライアンス間およびクライアント間アクセラレーションの両方に適しています。単独で使用することも(透過モード)、リダイレクタモードと組み合わせて使用することもできます。

アプライアンスをネットワークの安全な場所に配置する

アプライアンスは、サーバーと同じ方法で、既存のセキュリティインフラストラクチャに依存します。ファイアウォールの同じ側(使用されている場合は VPN ユニット)にサーバーと同じ場所に配置する必要があります。

NAT の問題を回避する

プラグイン側でのネットワークアドレス変換 (NAT) は透過的に処理されるため、問題はありません。アプライアンス側では、NAT は面倒です。スムーズな展開を実現するには、次のガイドラインを適用します。

  • アプライアンスをサーバーと同じアドレス空間に配置し、サーバーに到達するために使用されたアドレス変更もアプライアンスに適用されます。

  • アプライアンス自体に関連付けられていないアドレスを使用して、アプライアンスにアクセスしないでください。

  • アプライアンスは、プラグイン・ユーザーが同じサーバーにアクセスするのと同じ IP アドレスを使用してサーバーにアクセスできる必要があります。

  • 要するに、サーバまたはアプライアンスのアドレスに NAT を適用しないでください。

ソフトブーストモードを選択

[設定の構成:帯域幅管理] ページで、[ソフトブーストモード] を選択します。Softboost は、WANOP クライアントプラグインプラグインでサポートされている唯一のアクセラレーションです。

プラグインアクセラレーションルールの定義

アプライアンスは、加速するトラフィックをクライアントに伝えるアクセラレーション規則のリストを保持します。各ルールは、アプライアンスが高速化できるアドレスまたはサブネット、およびポート範囲を指定します。

加速するもの-加速するトラフィックの選択は、アプライアンスの使用方法によって異なります。

  • VPNアクセラレータ-アプライアンスがVPNアクセラレータとして使用されている場合、すべてのVPNトラフィックがアプライアンスを通過する場合、宛先に関係なく、すべてのTCPトラフィックを加速する必要があります。

  • リダイレクタモード-トランスペアレントモードとは異なり、リダイレクタモードのアプライアンスは明示的なプロキシであり、望ましくない場合でも、プラグインはトラフィックをリダイレクタモードアプライアンスに転送します。クライアントがサーバから離れたアプライアンスにトラフィックを転送する場合、アクセラレーションは逆効果になる可能性があります。特に、この「三角ルート」によって低速または信頼性の低いリンクが発生する場合。したがって、特定のアプライアンスが自身のサイトのみを高速化できるようにアクセラレーションルールを構成することをお勧めします。

  • その他の用途-プラグインが VPN アクセラレータとしてもリダイレクタモードとしても使用されない場合、アクセラレーションルールには、ユーザーにリモートで、データセンターにローカルなアドレスを含める必要があります。

Define the Rules-構成]の[WANOP クライアントプラグイン]の[アクセラレーションルール]タブで、アクセラレーションルールを定義します

ルールは順番に評価され、アクション ([加速] または [除外]) は最初に一致したルールから取得されます。高速化される接続には、高速化ルールに一致する必要があります。

デフォルトのアクションは、加速しないことです。

図1:アクセラレーション規則の設定

ローカライズされた画像

  1. [構成]: [WANOP プラグイン]: [アクセラレーションルール] タブで、次の操作を行います。

    • アプライアンスが到達できるローカル LAN サブネットごとに、アクセラレーテッドルールを追加します。つまり、[ 追加] をクリックし、[ アクセラレート] を選択して、サブネットの IP アドレスとマスクを入力します。

    • アプライアンスにローカルなサブネットごとに、この手順を繰り返します。

  2. 含まれる範囲の一部を除外する必要がある場合は、除外ルールを追加して、より一般的なルールの上に移動します。たとえば、10.217.1.99 はローカルアドレスのように見えます。実際に VPN ユニットのローカルエンドポイントである場合は、10.217.1.0/24 のアクセラレートルールの上の行に、除外ルールを作成します。

  3. HTTP のポート 80 など、1 つのポートに対してのみアクセラレーションを使用する場合は(推奨されません)、[Ports] フィールドのワイルドカード文字を特定のポート番号に置き換えます。ポートごとに 1 つのルールを追加することで、追加のポートをサポートできます。

  4. 一般に、一般的なルールの前に狭いルール(通常は例外)を列挙する。

  5. [適用] をクリックします。変更を適用する前にこのページから移動すると、変更は保存されません。

IP ポートの使用状況

IP ポートの使用には、次の注意事項に従ってください。

  • WANOP Client Plug-in Plug-in との通信に使用されるポート:プラグインは、シグナリング接続を介してアプライアンスとのダイアログを保持します。デフォルトでは、ほとんどのファイアウォールで許可されているポート 443(HTTPS)にあります。

  • サーバーとの通信に使用されるポート:WANOP Client Plug-in Plug-in Appliance間の通信では、プラグインとアプライアンスが存在しない場合、クライアントがサーバーとの通信に使用するポートと同じポートが使用されます。つまり、クライアントがポート 80 で HTTP 接続を開くと、ポート 80 のアプライアンスに接続します。アプライアンスは、ポート80でサーバーに接続します。

    リダイレクタモードでは、既知のポート(TCP SYN パケットの宛先ポート)だけが保持されます。一時ポートは保持されません。トランスペアレントモードでは、両方のポートが保持されます。

    アプライアンスは、クライアントが要求した任意のポートでサーバーと通信できるものと想定し、クライアントは任意のポートでアプライアンスと通信できるものと想定します。これは、アプライアンスがサーバーと同じファイアウォールルールが適用されている場合に有効です。このような場合は、直接接続で成功するすべての接続は、加速接続で成功します。

TCP オプションの使用方法とファイアウォール

WANOPクライアント・プラグイン・パラメータは、TCPオプションで送信されます。TCP オプションはどのパケットでも発生し、接続を確立する SYN パケットおよび SYN-ACK パケットに存在することが保証されます。

ファイアウォールは、24 ~ 31 (10 進数) の範囲の TCP オプションをブロックしないでください。ブロックしないと、アクセラレーションは実行できません。ほとんどのファイアウォールは、これらのオプションをブロックしません。ただし、リリース 7.x ファームウェアを搭載した Cisco PIX または ASA ファイアウォールでは、デフォルトでこれを実行する場合があるため、設定を調整する必要があります。