Citrix SD-WAN

WANOP プラグインの動作

WANOPクライアントプラグイン製品は、既存のWAN/VPNインフラストラクチャを使用します。プラグインがインストールされているコンピュータは、プラグインのインストール前と同じように LAN、WAN、およびインターネットに引き続きアクセスします。ルーティングテーブル、ネットワーク設定、クライアントアプリケーション、またはサーバーアプリケーションを変更する必要はありません。

Citrix Access Gateway VPNでは、WANOPクライアントプラグイン固有の構成が少量必要です。

プラグインとアプライアンスによる接続の処理方法には、 トランスペアレントモードとリダイレクタモード**の 2 つのバリエーションがあります。リダイレクタは、新しい展開では推奨されないレガシーモードです。

  • プラグインからアプライアンスへのアクセラレーションの透過モード は、アプライアンスからアプライアンスへのアクセラレーションと非常によく似ています。WANOP Client Plug-in アプライアンスは、プラグインとサーバー間の移動時にパケットが通過するパス内になければなりません。アプライアンス間アクセラレーションと同様に、透過モードは透過プロキシとして動作し、接続の一方の端からもう一方の端への送信元と宛先のIPアドレスとポート番号を保持します。

  • リダイレクタモード (推奨されません)は、明示的なプロキシを使用します。プラグインは、送信パケットをアプライアンスのリダイレクタIPアドレスにリードドレスします。次に、アプライアンスはパケットをサーバにリードドレスし、戻りアドレスをプラグインではなく自身を指すように変更します。このモードでは、アプライアンスは WAN インターフェイスとサーバー間のパスに物理的にインラインである必要はありません(ただし、これが理想的な展開です)。

    ベストプラクティス:可能な場合は透過モードを使用し、必要な場合はリダイレクタモードを使用します。

透過モード

トランスペアレントモードでは、アクセラレーション接続用のパケットは、アプライアンスからアプライアンスへのアクセラレーションと同様に、ターゲットアプライアンスを通過する必要があります。

プラグインは、アクセラレーションに使用できるアプライアンスのリストを使用して構成されます。各アプライアンスへの接続を試み、シグナリング接続を開きます。シグナリング接続が成功すると、プラグインはアプライアンスからアクセラレーション規則をダウンロードします。これにより、アプライアンスがアクセラレーションできる接続の宛先アドレスが送信されます。

図1:トランスペアレントモード、3 つのアクセラレーションパスをハイライト表示

ローカライズされた画像

  • トラフィックフロー:透過モードは、WANOP クライアントプラグインとプラグイン対応アプライアンス間の接続を高速化します。
  • ライセンス:アプライアンスは、必要な数のプラグインをサポートするためのライセンスが必要です。この図では、Repeater A2 にプラグインアクセラレーションのライセンスは必要ありません。これは、Repeater A1 がサイト A のプラグインアクセラレーションを提供するためです。
  • デイジーチェーン:接続が、ターゲット・アプライアンスへの途中で複数のアプライアンスを通過する場合、中央のアプライアンスで「デイジーチェーン」が有効になっている必要があります。有効になっていないと、アクセラレーションがブロックされます。この図では、大規模ブランチオフィス B 宛てのホームオフィスおよびモバイル VPN ユーザからのトラフィックが、リピータ B によって高速化されています。この機能を使用するには、リピータ A1 および A2 でデイジーチェーンが有効になっている必要があります。

プラグインが新しい接続を開くたびに、アクセラレーションルールが参照されます。宛先アドレスがいずれかの規則と一致する場合、プラグインは接続の初期パケット(SYN パケット)にアクセラレーションオプションを適用して、接続を高速化しようとします。プラグインが認識しているアプライアンスが SYN-ACK 応答パケットにアクセラレーションオプションを接続すると、そのアプライアンスとのアクセラレーション接続が確立されます。

アプリケーションとサーバーは、高速接続が確立されたことを認識しません。アクセラレーションが行われていることを認識しているのは、プラグインソフトウェアとアプライアンスのみです。

透過モードは、アプライアンス間アクセラレーションに似ていますが、同じではありません。相違点は次のとおりです。

  • クライアントが開始する接続のみ:トランスペアレントモードは、プラグイン搭載システムによって開始される接続だけを受け入れます。プラグイン搭載システムをサーバーとして使用する場合、サーバー接続は高速化されません。一方、アプライアンスからアプライアンスへのアクセラレーションは、クライアント側とサーバ側に関係なく機能します。(アクティブモードの FTP は、プラグインによって要求されたデータ転送を開始する接続がサーバーによって開かれるため、特殊なケースとして扱われます)。

  • シグナリング接続:トランスペアレントモードでは、プラグインとアプライアンスの間のシグナリング接続を使用して、ステータス情報を転送します。アプライアンス間アクセラレーションでは、デフォルトで無効になっているセキュアなピア関係を除いて、シグナリング接続は必要ありません。プラグインがシグナリング接続を開くことができない場合、アプライアンスを通じて接続を高速化しようとしません。

  • デイジーチェーン接続-プラグインとその選択したターゲットアプライアンスの間のパスにあるアプライアンスの場合、[ 構成:チューニング ]メニューでデイジーチェーンを有効にする必要があります。

トランスペアレントモードは VPN でよく使用されます。WANOPクライアントプラグインプラグインは、ほとんどのIPsec、PPTP VPN、およびCitrix Access Gateway VPNと互換性があります。

次の図は、トランスペアレントモードでのパケットフローを示しています。このパケットフローは、アプライアンス間のアクセラレーションとほぼ同じです。ただし、接続を高速化しようとするかどうかの決定は、シグナリング接続を介してダウンロードされるアクセラレーション規則に基づきます。

図2:トランスペアレントモードのパケットフロー

ローカライズされた画像

リダイレクタ・モード

リダイレクタモードは、次の点でトランスペアレントモードとは異なります。

  • WANOP Client Plug-in Plug-in ソフトウェアは、パケットをアプライアンスに明示的にアドレス指定することによって、パケットをリダイレクトします。

  • したがって、リダイレクタモードアプライアンスは、すべての WAN-Link トラフィックを代行受信する必要はありません。高速接続は直接アドレス指定されるため、プラグインとサーバーの両方からアクセス可能な限り、どこにでも配置できます。

  • アプライアンスは最適化を実行し、出力パケットをサーバーにリダイレクトし、パケットの送信元 IP アドレスを独自のアドレスに置き換えます。サーバーの観点からは、接続はアプライアンスで開始されます。

  • サーバーからのリターントラフィックはアプライアンスにアドレス指定され、アプライアンスはリターン方向に最適化を実行し、出力パケットをプラグインに転送します。

  • 宛先ポート番号は変更されないため、ネットワークモニタリングアプリケーションはトラフィックを分類できます。

次の図は、リダイレクタ・モードの動作を示しています。

図1:リダイレクタモード

ローカライズされた画像

次の図は、 リダイレクタモードでのパケットフローとアドレスマッピングを示しています。

図2:リダイレクタモードのパケットフロー

ローカライズされた画像

プラグインによるアプライアンスの選択方法

各プラグインには、アクセラレーション接続を要求するために連絡できるアプライアンスのリストが設定されています。

アプライアンスにはそれぞれ、 アクセラレーション規則のリストがあります。これは、アプライアンスがアクセラレーション接続を確立できるターゲット・アドレスまたはポートのリストです。プラグインはこれらのルールをアプライアンスからダウンロードし、各接続の宛先アドレスとポートを各アプライアンスのルールセットと一致させます。特定の接続を高速化できるアプライアンスが 1 つだけの場合、選択は簡単です。複数のアプライアンスが接続を高速化することを申し出た場合、プラグインはいずれかのアプライアンスを選択する必要があります。

アプライアンスの選択のルールは次のとおりです。

  • 接続を高速化するために提供されているすべてのアプライアンスがリダイレクトモードのアプライアンスである場合、プラグインのアプライアンス・リストの一番左のアプライアンスが選択されます。(アプライアンスがDNSアドレスとして指定され、DNSレコードに複数のIPアドレスがある場合、これらも左から右にスキャンされます)。

  • 接続の高速化を提供するアプライアンスの一部がリダイレクタモードを使用し、一部がトランスペアレントモードを使用する場合、トランスペアレントモードアプライアンスは無視され、リダイレクタモードアプライアンスから選択されます。

  • 接続の高速化を提供するすべてのアプライアンスがトランスペアレントモードを使用している場合、プラグインは特定のアプライアンスを選択しません。* WANOP Client Plug-in SYN オプションを使用して接続を開始し、返される SYN-ACK パケットに適切なオプションをアタッチする候補アプライアンスが使用されます。これにより、実際にトラフィックに沿っているアプライアンスは、プラグインに対して自身を識別できます。ただし、プラグインは応答アプライアンスとのオープンなシグナリング接続を持っている必要があります。そうしないと、アクセラレーションは行われません。

  • 一部の設定情報は、グローバルと見なされます。この設定情報は、リストの一番左のアプライアンスから取得され、シグナリング接続を開くことができます。

WANOP プラグインの動作