Citrix SD-WAN

アプリケーションルート

一般的なエンタープライズネットワークでは、ブランチオフィスはオンプレミスデータセンター、クラウドデータセンター、または SaaS アプリケーション上のアプリケーションにアクセスします。アプリケーションルーティング機能により、ネットワークを介してアプリケーションを簡単かつコスト効率よく操作できます。たとえば、ブランチサイトのユーザーが SaaS アプリケーションにアクセスしようとすると、ブランチオフィスが最初にデータセンターを経由することなく、インターネット上の SaaS アプリケーションに直接アクセスできるように、トラフィックをルーティングできます。

Citrix SD-WANでは、次のサービスのアプリケーションルートを定義できます。

  • 仮想パス:このサービスは、仮想パス間のトラフィックを管理します。仮想パスは、2 つの WAN リンク間の論理リンクです。これは、2つのSD-WANノード間で高いサービス・レベル通信を提供するために結合されたWANパスの集合で構成されます。SD-WAN アプライアンスは、パス単位でネットワークを測定し、変化するアプリケーション需要や WAN 条件に適応します。仮想パスは、スタティック(常に存在)またはダイナミック(2 つの SD-WAN アプライアンス間のトラフィックが設定されたしきい値に達した場合のみ存在)のいずれかになります。

  • インターネット: このサービスは、エンタープライズサイトとパブリックインターネット上のサイト間のトラフィックを管理します。インターネットトラフィックはカプセル化されません。輻輳が発生すると、SD-WAN は、仮想パス、およびイントラネットトラフィックに対するレート制限によって、帯域幅を積極的に管理します。

  • イントラネット: このサービスは、仮想パスを経由する送信用に定義されていないエンタープライズイントラネットトラフィックを管理します。イントラネットトラフィックはカプセル化されません。SD-WAN は、輻輳時にこのトラフィックを他のサービスタイプと比較してレート制限することにより、帯域幅を管理します。特定の条件下では、イントラネットフォールバックが仮想パス上に構成されている場合、通常は仮想パスを通過するトラフィックは、代わりにイントラネットトラフィックとして扱うことができます。

  • ローカル: このサービスは、他のサービスとは一致しないサイトに対してローカルなトラフィックを管理します。SD-WAN は、ローカルルートを送信元および宛先とするトラフィックを無視します。

  • GRE トンネル:このサービスは、GRE トンネル宛ての IP トラフィックを管理し、サイトに設定された LAN GRE トンネルに一致します。GRE トンネル機能を使用すると、LAN 上の GRE トンネルを終了するように SD-WAN アプライアンスを設定できます。サービスタイプ GRE Tunnel のルートの場合、Gateway はローカル GRE トンネルのトンネルサブネットの 1 つに存在する必要があります。

  • LAN IPsec トンネル: このサービスは、LAN IPsec トンネル宛ての IP トラフィックを管理し、サイトで構成された LAN IPsec トンネルに一致します。LAN IPsec トンネル機能を使用すると、LAN または WAN 側で IPsec トンネルを終了するように SD-WAN アプライアンスを構成できます。

アプリケーションのサービスステアリングを実行するには、最初のパケット自体でアプリケーションを識別することが重要です。最初は、トラフィックが分類され、アプリケーションが認識されると、パケットは IP ルートを通過します。対応するアプリケーションルートが使用されます。最初のパケット分類は、アプリケーションオブジェクトに関連付けられた IP サブネットとポートを学習することによって達成されます。これらは、DPI 分類器の履歴分類結果とユーザ設定の IP ポート一致タイプを使用して取得されます。

アプリケーション・ルーティングを構成するには、次の手順に従います。

  1. 構成エディタで、[ 接続]> [ アプリケーションルート] に移動し、[ +] をクリックします

アプリケーション・ステアリング1

  1. [ 追加] ページで、次のパラメータを設定します。
  • アプリケーションオブジェクト:あなたが操縦するアプリケーションオブジェクト。ここで作成したアプリケーションオブジェクトが一覧表示されます。詳細については、「 アプリケーションの分類」 トピックの「 アプリケーションオブジェクト」 セクションを参照してください。

    SD-WAN アプリケーションステアリング

  • ルーティングドメイン:アプリケーションルートで使用されるルーティングドメイン。設定済みのルーティングドメインの 1 つを選択します。

  • コスト: このルートのルートプライオリティを決定する重み。低コストのルートは、高コストのルートよりも優先されます。指定できる範囲は 1 ~ 65534 です。デフォルト値は5です。

  • サービスタイプ:次のいずれかのサービスを 選択します。これにより、アプリケーションがサービスにマッピングされます。

  • 仮想パス:アプリケーショントラフィックを仮想パストラフィックとして識別し、仮想パスルールに基づいて仮想パスを照合します。[ Next Hop Site ] フィールドに、仮想パスパケットの転送先となるネクストホップリモートサイトを入力します。

    仮想パスアプリケーションルートに到達するフローは、ダイナミック仮想パスを通過しません。

  • インターネット: アプリケーショントラフィックをインターネットトラフィックとして識別し、インターネットサービスと照合します。

  • イントラネット: アプリケーショントラフィックをイントラネットトラフィックとして識別し、イントラネットルールに基づいてイントラネットサービスと照合します。[ イントラネットサービス] フィールドで、ルートに使用するイントラネットサービスを選択します。

  • [ ローカル]: アプリケーショントラフィックをサイトに対してローカルとして識別し、サービスと一致しません。ローカルルートをソースおよび宛先とするトラフィックは無視されます。

    ローカルサービスタイプの場合、DPI 分類が完了すると、設定された IP ルートがルーティング決定を行います。

  • GRE トンネル:アプリケーショントラフィックを GRE トンネル宛てのものとして識別し、サイトに設定された LAN GRE トンネルと一致させます。[ Gateway IP Address] フィールドに、LAN GRE トンネルのサブネット内にある必要があるゲートウェイ IP アドレスを入力します。ゲートウェイ** に到達できないときにルートがトラフィックを受信しないようにするには、[ゲートウェイに基づく **適格性] を選択します。

  • LAN IPsec トンネル:LAN IPsec トンネル宛てのアプリケーショントラフィックを識別し、サイトで構成された LAN IPsec トンネルと一致します。[ IPsec トンネル]フィールドで、設定済みの IPsec トンネルの 1 つを選択します。トンネル** に到達できないときにルートがトラフィックを受信しないようにするには、[トンネルに基づく **適格性] を選択します。

    カスタムアプリケーションのサービスを選択したら、そのサービスを変更しないでください。

  • [ パスに基づく適格性 ]: 指定したパスがダウンした場合に、ルートがトラフィックを受信しないようにする場合に選択します。[ Path ] フィールドで、ルート適格性の決定に使用するパスを指定します。

  1. [ 適用] をクリックします

SD-WAN アプライアンスに構成されているアプリケーションルートを表示する。SD-WAN GUI で、[ 構成 ] > [ 仮想 WAN]> [構成の 表示] に移動します。「 表示」 ドロップダウン・メニューから「アプリケーション・ルート」を選択します。

SD-WAN アプリケーションステアリング1

アプリケーション・ルートの統計データを表示する手順は、次のとおりです。

  1. SD-WAN GUI で、[ モニタリング ] > [ 統計情報] に移動します

  2. [ **表示] ドロップダウンリストから、[ **アプリケーションルート] を選択します

SD-WAN アプリケーションステアリング2

次の統計を表示できます。

  • アプリケーション・オブジェクト: アプリケーション・オブジェクトの名前。
  • Gateway IP アドレス:GRE トンネルサービスタイプのアプリケーションオブジェクトで使用されるゲートウェイ IP アドレス。
  • サービス: アプリケーションオブジェクトにマップされたサービスタイプ。
  • ファイアウォールゾーン:このルートが属するファイアウォールゾーン。
  • 到達可能: アプリケーションルートのステータス。
  • サイト: サイトの名前。
  • [ Type]: ルートが静的か動的かを示します。
  • コスト: ルートの優先度。
  • [ Hit Count]: アプリケーションルートを使用してトラフィックを操縦する回数。
  • 適格:アプリケーションのルートは、トラフィックを送信する適格です。
  • 適格タイプ: この工順に適用される工順適格条件のタイプ。適格性タイプは、パス、ゲートウェイ、またはトンネルです。
  • 適格値: 工順適格条件に指定された値。

現在のリリースでは、アプリケーションファミリに属するアプリケーションオブジェクト (アプリケーションオブジェクトで定義されているマッチタイプ) は操作できません。

トラブルシューティング

アプリケーションルートを作成した後、[ Monitoring] セクションを使用して、アプリケーションが目的のサービスに正しくルーティングされていることを確認できます。

アプリケーションが目的のサービスに正しくルーティングされているかどうかを確認するには、次のページに移動します。

  • モニタリング > 統計 > アプリケーションルート
  • モニタリング > フロー
  • モニタリング > ファイアウォール

予期しないルーティング動作が発生した場合は、問題が発生している間にSTS診断バンドルを収集し、Citrixサポートチームと共有します。

STS バンドルは、[ 構成] > [システム保守] > [診断] > [診断情報] を使用して作成およびダウンロードできます。

アプリケーションルート