Citrix SD-WAN

SD-WAN アプライアンスでのオンプレミスの SD-WAN オーケストレータ構成(今後の予定)

Citrix オンプレミスSD-WAN Orchestratorは、Citrix SD-WAN Orchestratorサービスのオンプレミスソフトウェアバージョンです。Citrix On-Prem SD-WAN Orchestratorは、Citrixパートナーが複数の顧客を一元管理できる単一の管理プラットフォームを提供し、適切な役割ベースのアクセス制御を使用して複数の顧客を一元管理できるようにします。

Orchestratorの接続を有効にし、オンプレミスSD-WANオーケストレータのIDを指定することで、Citrix SD-WANアプライアンスとCitrix オンプレミスSD-WANオーケストレータ間の接続を確立できます。

  • SD-WANアプライアンス上の オンプレミスSD-WANオーケストレータ構成 機能は、Citrix オンプレミSD-WAN Orchestrator のイネーブラです。SD-WANアプライアンスでのCitrix On-Prem SD-WAN Orchestrator構成機能は現在利用できません。今後のリリースを対象としています。
  • SD-WAN アプライアンスで オンプレミスの SD-WAN Orchestrator 構成が SD-WAN アプライアンス上で構成されている場合、ゼロタッチ展開は 機能しません。
  • SD-WANアプライアンス上のオンプレミスSD-WANオーケストレーター構成がCitrix SD-WANリリース11.2で構成され、リリース10.2.7にダウングレードされた場合、SD-WANアプライアンス上のオンプレミスSD-WANオーケストレーター構成が失われます。リリース 11.2 からリリース 10.2.7 へのダウングレードはサポートされていません。回避策は、ダウングレード後にオンプレミス Orchestrator の ID を再構成することです。

オンプレミスの SD-WAN オーケストレータ接続を有効にするには:

  1. アプライアンス UI で、[ 構成 ] > [ 仮想WAN]> [ オンプレミス SD-WAN Orchestrator] に移動します

  2. [オンプレミSD-WAN Orchestrator 接続 を有効にする] チェックボックスをオンにします。

Citrix SD-WAN 11.2.1リリース以降では、 SD-WANアプライアンスとオンプレミSD-WAN Orchestrator 証明書、オンプレミスSD-WANオーケストレータードメイン、認証タイプ、 および 高度な構成 オプションが導入されました。

オンプレミSD-WAN Orchestrator の高度な構成

  1. 構成用に、オンプレミス SD-WAN Orchestrator の IP アドレスまたはドメイン、またはその両方(IP アドレスとドメイン)を入力します。

お客様がドメインのみを構成する場合は、ローカル DNS サーバーに DNS レコードを追加し、SD-WAN アプライアンスで DNS サーバーの IP アドレスを構成する必要があります。構成するには、[ 構成] > [ネットワークアダプタ] > [IP アドレス] に移動します

たとえば、オンプレミスの SD-WAN Orchestrator ドメインが c itrix.com として構成されている場合、DNS サーバーに、以下の FQDN およびオンプレミスの SD-WAN Orchestrator IP アドレスの DNS レコードを作成する必要があります

  • download.citrix.com
  • sdwanzt.citrix.com
  • sdwan-home.citrix.com

    詳細設定の場合:

    例:オンプレミス Orchestrator ドメインが c itrix.com として構成されている場合、ダウンロード管理サービスドメインは download.citrix.com として構成され、統計管理サービスドメインは statistics.citrix.com として構成されます。次に、以下のFQDNと対応するIPアドレスをDNSサーバー内にDNSレコードを作成する必要があります。

  • download.citrix.com
  • sdwanzt.citrix.com
  • statistics.citrix.com

    オンプレミスの SD-WAN Orchestrator 詳細設定の詳細

    On-Prem Orchestrator では、大規模なネットワークのスケーラビリティを向上させるため、ダウンロードや独立したサーバインスタンスでの統計などのサービスの実行がサポートされる場合があります。詳細設定を選択しダウンロード管理サービスと統計管理 サービスを構成できます。

    [ 詳細設定] チェックボックスをオンにして、次の詳細を入力します。

  • 管理サービスIP/ドメインのダウンロード: SD-WAN ソフトウェアおよび構成のダウンロードの側面を独立したサーバーインスタンスにオフロードするのに役立つ IP アドレス/ドメインを提供して、大規模なネットワークのスケーラビリティを向上させます。

  • 統計管理サービス IP/ドメイン: SD-WAN 統計の収集と管理を、デバイスから独立したサーバーインスタンスにオフロードする IP アドレス/ドメインを提供して、大規模なネットワークのスケーラビリティを向上させます。
  1. [ 認証タイプ] を選択します。次に、SD-WAN アプライアンスとオンプレミスの SD-WAN Orchestrator 接続間でサポートされる認証タイプを示します。
  • 認証なし — オンプレミスの SD-WAN Orchestrator と SD-WAN アプライアンスの間で認証を行いません。 SD-WAN アプライアンス または オンプレミスの SD-WAN Orchestrator 証明書を使用する必要はありません。ただし、MPLS などのセキュアなネットワークがある場合は、このオプションを使用できます。

  • [ 一方向認証] — [ 一方向認証]タイプを選択する場合、Prem Orchestrator 証明書をアップロードする必要があります。オンプレミス Orchestrator からオンプレミス Orchestrator をダウンロードし、[ アップロード] をクリックします。SD-WAN アプライアンスは、アップロードされた証明書を使用して、オンプレミス Orchestrator を信頼します。

  • 双方向認証 — オンプレミスの Orchestrator 証明書とアプライアンス証明書は、相互に交換する必要があります。双方向認証の場合は、オンプレミス Orchestrator で SD-WAN アプライアンス証明書を再生成し、ダウンロードし、アップロードする必要があります。SD-WAN アプライアンスと On-Prem Orchestrator は、交換された証明書を使用して相互に信頼します。

    一方向認証または双方向認証のみを使用することをお勧めします。認証なしの場合は、セキュリティで保護された DNS サーバーを選択する必要があります。

    オンプレミスOrchestratorの 認証タイプが無効 になっている場合、Applianceは、認証 なし または 一方向認証 または 双方向認証のいずれかを使用してオンプレミスOrchestratorに接続できます。 モード。

    オンプレミスOrchestrator 認証タイプ が有効になっている場合、Applianceは、 双方向認証を介したオンプレミスOrchestratorへの接続のみが可能です

    On-Prem Orchestrator認証タイプを有効状態から無効にすると、一方向認証モードの既存のアプライアンスは切断状態になります。接続するには、アプライアンスの認証タイプを [双方向認証] に変更し、SD-WAN アプライアンス証明書を On-Prem Orchestrator にアップロードする必要があります。

    生成される証明書は X509 自己署名証明書です。

    証明書の有効期限が切れたり、侵害されたりした場合は、証明書を再生成する必要があります。

    証明書の有効期間は10年です。

    フィンガープリント、開始日、終了日などの証明書の詳細を表示できます。

    お客様は、On-Prem Orchestrator と SD-WAN アプライアンスの間で証明書が再生成され、交換されることを確認する必要があります。これにより、On-Prem Orchestrator とのアプライアンスの接続が切断されるのを防ぐことができます。

    オンプレミス SD-WAN Orchestrator の認証タイプ

  1. Apply Settings ]をクリックします。

オンプレミスの SD-WAN Orchestrator 接続を無効にするには、[ オンプレミスの SD-WAN Orchestrator 接続 を有効にする ]オプションをオフにして、[ 設定の 適用 ] をクリックします。オンプレミスオーケストレーター管理ネットワークを Cloud Orchestrator または MCN 管理ネットワークに変換するには、オンプレミス SD-WAN Orchestrator 接続を無効にし、構成をリセットする必要があります。設定をリセットするには、[ 構成 ] > [システムメンテナンス] > [構成のリセット] に移動します。

アップグレードとダウングレード

  • SD-WAN アプライアンスを 11.1.1/11.2.0/10.2.7 から 11.2.1 ソフトウェアバージョンにアップグレードした後、アプライアンスとオンプレミス Orchestrator の両方の証明書を交換する必要があります。

  • SD-WANアプライアンスを11.2.1から11.1.1/11.2.0/10.2.7ソフトウェアバージョンにダウングレードした後、Citrix SD-WANアプライアンスUIでID設定を再度適用する必要があります。オンプレミスの SD-WAN オーケストレータ構成または SD-WAN アプライアンス接続に関連する問題がある場合は、オンプレミSD-WAN Orchestrator 接続を無効にしてから、オンプレミスの SD-WAN オーケストレータ接続を再度有効にします。

10.2.7/11.1.1/11.2.0 ソフトウェアバージョンを実行する SD-WAN アプライアンスを管理するには、 オンプレミスの SD-WAN Orchestrator 認証タイプを無効 にする必要があります。

SD-WAN アプライアンスでのオンプレミスの SD-WAN オーケストレータ構成(今後の予定)