Citrix SD-WAN

Citrix SD-WAN と AWS トランジットゲートウェイとの統合

Amazon Web Service(AWS)Transit Gateway サービスを使用すると、お客様は Amazon 仮想プライベートクラウド(VPC)とオンプレミスのネットワークを 1 つのゲートウェイに接続できます。AWS で実行されるワークロードの数が増えるにつれて、複数のアカウントと Amazon VPC にまたがってネットワークを拡張し、その増加に対応できます。

ピアリングを使用して Amazon VPC のペアを接続できるようになりました。ただし、多くの Amazon VPC 間でポイントツーポイント接続を管理するには、接続ポリシーを一元管理する機能がないと、運用上のコストがかかり、煩雑になる可能性があります。オンプレミスの接続では、AWS VPN を個々の Amazon VPC にアタッチする必要があります。このソリューションは構築に時間がかかり、VPC の数が数百個に増えると、管理が難しい場合があります。

AWS Transit Gateway では、中央ゲートウェイから、ネットワーク全体の各 Amazon VPC、オンプレミスのデータセンター、リモートオフィスへの 1 つの接続を作成して管理するだけでかまいません。Transit Gateway は、スポークのように動作するすべての接続ネットワーク間でトラフィックがどのようにルーティングされるかを制御するハブとして機能します。このハブアンドスポークモデルでは、管理が大幅に簡素化され、運用コストが削減されます。これは、各ネットワークはトランジットゲートウェイにのみ接続し、他のすべてのネットワークには接続しないためです。新しい VPC はトランジットゲートウェイに接続され、トランジットゲートウェイに接続されている他のすべてのネットワークで自動的に利用できるようになります。この接続性の容易さにより、成長に合わせてネットワークの拡張が容易になります。

企業が増加するアプリケーション、サービス、インフラストラクチャをクラウドに移行するにつれ、SD-WAN を迅速に導入して、ブロードバンド接続のメリットを享受し、ブランチサイトのユーザーをクラウドリソースに直接接続します。インターネット転送サービスを使用してグローバルなプライベートネットワークを構築および管理し、地理的に分散した場所とユーザーを近位ベースのクラウドリソースで接続するという複雑さには、多くの課題があります。AWS Transit Gateway ネットワークマネージャーは、このパラダイム を変更します。現在、AWS を使用する Citrix SD-WAN のお客様は、Citrix SD-WAN ブランチアプライアンスの AWS Transit Gateway を統合することにより、Citrix SD-WAN を AWS トランジットゲートウェイとともに使用できるようになりました。これにより、トランジットゲートウェイに接続されたすべての VPC に手を差し伸べる機能を持つユーザーに最高品質のエクスペリエンスを提供できます。

次に、Citrix SD-WAN と AWS トランジットゲートウェイを統合する手順を示します。

  1. AWS トランジットゲートウェイを作成します。

  2. VPN を中継ゲートウェイ(既存の VPN または新しい VPN のいずれか)に接続します。

  3. オンプレミスまたは任意のクラウド(AWS、Azure、または GCP)にある SD-WAN サイトで VPN が設定されたトランジットゲートウェイに VPN を接続します。

  4. Citrix SD-WAN から AWS Transit Gateway と IPsec トンネルを介したボーダーゲートウェイプロトコル(BGP)ピアリングを確立し、トランジットゲートウェイに接続されたネットワーク(VPC)を学習します。

使用例

ユースケースは、ブランチ環境から AWS 内(任意の VPC 内)にデプロイされたリソースに手を差し伸べます。AWS Transit Gateway を使用すると、トラフィックは BGP ルートを処理せずに、Transit Gateway に接続されたすべての VPC に到達できます。これを実現するには、次の方法を実行します。

  • ブランチの Citrix SD-WAN アプライアンスから AWS トランジットゲートウェイへの IPSec を確立します。この展開方法では、トラフィックが IPsec を通過するため、SD-WAN の利点をすべて得ることはありません。

  • AWS 内に Citrix SD-WAN アプライアンスをデプロイし、仮想パスを介してオンプレミスの Citrix SD-WAN アプライアンスに接続します。

どちらの方法を選択しても、トラフィックは、AWS インフラストラクチャ内のルーティングを手動で管理することなく、Transit Gateway に接続されている VPC に到達します。

AWS トランジットGateway

AWS トランジットゲートウェイの設定

AWS Transit Gateway を作成するには、VPC ダッシュボードに移動し、[ Transit Gateway ] セクションに移動します。

  1. 次のスクリーンショットで強調表示されているように、トランジットゲートウェイ名、説明、Amazon ASN番号を入力し、「トランジットゲートウェイ の作成」をクリックします

トランジット Gateway の作成

トランジットゲートウェイの作成が完了すると、ステータスが [ Available] と表示されます

中継Gateway のステータス

  1. トランジットゲートウェイ添付ファイルを作成するには、「トランジットゲートウェイ」>「 トランジットゲートウェイ添付ファイル 」に移動し、「トランジットゲートウェイ添付ファイルの 作成」をクリックします

トランジット Gateway のアタッチメントの作成

  1. ドロップダウンリストから [Transit Gateway] を選択し、アタッチメントタイプを VPC として選択します。添付ファイル名タグを指定し、作成したトランジットゲートウェイにアタッチする VPC ID を選択します。選択した VPC のサブネットの 1 つが自動選択されます。[ Create Attachment ] をクリックして VPC をトランジットゲートウェイにアタッチします。

トランジット Gateway の添付ファイルの詳細

  1. VPC をトランジットGateway にアタッチすると、 リソースタイプ VPC がトランジットゲートウェイに関連付けられていることがわかります。

リソースタイプ VPC

  1. VPN を使用して SD-WAN をトランジットゲートウェイに接続するには、ドロップダウンリストから トランジットゲートウェイ ID を選択し、[ アタッチメントタイプ]VPN として選択します。正しいトランジットゲートウェイ ID を選択していることを確認します。

SD-WANリンクのパブリック IP アドレスと BGP ASN 番号を指定して、新しい VPN カスタマーゲートウェイを接続します。[添付ファイルの 作成] をクリックして 、中継ゲートウェイで VPN をアタッチします。

中継ゲートウェイを使用した VPN の接続

  1. 次のスクリーンショットに示すように、VPNは、トランジットゲートウェイに接続したら、あなたは詳細を表示することができます。

中継ゲートウェイへの VPN の接続

  1. カスタマーゲートウェイ」の下で、SD-WAN カスタマーゲートウェイおよびサイト間 VPN 接続は、トランジットゲートウェイへの VPN 接続の一部として作成されます。SD-WAN カスタマーゲートウェイが、SD-WAN の WAN リンクパブリック IP アドレスを表すこのカスタマーゲートウェイの IP アドレスとともに作成されていることがわかります。

カスタマーGateway

  1. [ サイト間 VPN 接続] に移動して、SD-WAN カスタマーゲートウェイ VPN 設定をダウンロードします。この構成ファイルには、BGP ピア情報とともに 2 つの IPsec トンネル詳細があります。冗長性のために、SD-WAN からトランジットゲートウェイへの 2 つのトンネルが作成されます。

SD-WANリンクのパブリック IP アドレスがカスタマーゲートウェイアドレスとして設定されていることがわかります。

サイト間 VPN 接続

  1. [設定の ** ダウンロード] をクリックし、VPN 設定ファイルをダウンロードします。[Vendor][ Platform ][Generic][Software][Vendor Agnostic]**を選択します。

設定のダウンロード

ダウンロードした構成ファイルには、次の情報が含まれています。

  • IKE 設定
  • AWS トランジットゲートウェイの IPsec 設定
  • トンネルインターフェイス構成
  • BGP 構成

    この情報は、高可用性(HA)用の 2 つの IPsec トンネルで使用できます。SD-WAN で設定する場合は、両方のトンネルエンドポイントを設定してください。参考のために次のスクリーンショットを参照してください。

    2つのIPsec トンネル

SD-WAN でイントラネットサービスを構成する

  1. SD-WAN 上の IPsec トンネル構成で使用されるイントラネットサービスを構成するには、[ 構成エディタ] > [接続] の順に選択し、ドロップダウンリストからサイトを選択し、[ イントラネットサービス] を選択します。[ + サービス ] をクリックして、新しいイントラネットサービスを追加します。

イントラネットサービスの構成

  1. イントラネットサービスの追加後、このサービスに使用される WAN リンクを選択します (これを使用して、トランジットゲートウェイへのトンネルを確立します)。

WAN リンクの選択

  1. AWS Transit Gateway への IPsec トンネルを設定するには、[ 設定エディタ] > [接続 ] > [ドロップダウンリストからサイトを選択し、[ IPsec Tunnels] をクリックします。[ +] オプションをクリックして、IPSec トンネルを追加します。

IPSec トンネルを構成する

  1. [ サービスの種類] を [ **イントラネット]として** 選択し、追加した [ イントラネットサービス名 ] を選択します。[ ローカル IP アドレス] を WAN リンク IP アドレスとして、[ ピア アドレス] を [トランジットゲートウェイ] 仮想プライベートゲートウェイ IP アドレスとして選択します。

[ Keepalive] チェックボックスをオンにすると、設定アクティベーション直後にトンネルが SD-WAN によって開始されます。

IPsec トンネルサービスタイプ

  1. AWS からダウンロードした VPN 設定ファイルに基づいて IKE パラメータを設定します。

IKE パラメータ

  1. AWS からダウンロードした VPN 設定ファイルに基づいて IPSec パラメータを設定します。また、トンネル経由で送信するネットワークに基づいて、IPsec 保護ネットワークを構成します。IPsec トンネル経由のトラフィックを許可するように構成されていることがわかります。

IPSec パラメータ

  1. カスタマーゲートウェイ内部 IP アドレス を SD-WAN 上の仮想 IP アドレスの 1 つとして設定します。ダウンロードされた VPN 設定ファイルから、Tunnel-1 に関連する IP アドレス内のカスタマーGateway を見つけます。IP アドレス内でこのカスタマーGateway を SD-WAN 上の仮想 IP アドレスの 1 つとして設定し、[ ID] チェックボックスを有効にします。

IP アドレス内のカスタマーGateway

  1. SD-WANルートを追加して、トランジットゲートウェイ仮想プライベートゲートウェイに到達します。ダウンロードされた VPN 設定ファイルから、Tunnel-1 に関連する仮想プライベートゲートウェイの内側および外部 IP アドレスを検索します。サービスタイプイントラネットとする仮想プライベートゲートウェイの内側 および外部 IP アドレスにルートを追加し、上記の手順で作成したイントラネットサービスを選択します。

ルートの追加

  1. SD-WAN上でBGP を設定します。適切な ASN 番号で BGP を有効にします。ダウンロードした VPN 構成ファイルから、Tunnel-1 に関連する BGP 構成オプションを探します。これらの詳細を使用して、SD-WAN に BGP ネイバーを追加します。

SD-WAN で BGP を有効にするには、[ **接続] に移動して、ドロップダウンリストからサイトを選択し、[ **BGP] を選択します。[ Enable]チェックボックスをオンにして、BGP を有効にします。[Citrix SD-WANルートのアドバタイズ]チェックボックスをオンにして、SD-WANルートをトランジットゲートウェイにアドバタイズしますBGP 設定オプション** から カスタマーゲートウェイ ASN を使用し、ローカル自律システムとして設定します**。

SD-WAN での BGP の設定

  1. SD-WANに BGPネイバーを追加するには、[ 接続 ] に移動し、ドロップダウンリストからサイトを選択し、[ BGP] を選択します。[ 隣接] セクションをクリックし、 + オプションをクリックします。

ネイバーを追加するときに、BGP 設定オプション からネイバー IP アドレス仮想プライベートゲートウェイ ASN を使用します。ソース IP は、AWS からダウンロードされた設定ファイルの IP アドレス(SD-WAN の仮想 IP アドレスとして設定) 内の カスタマーゲートウェイと一致 する必要があります。SD-WAN で マルチホップ を有効にした BGP ネイバーを追加します。

BGP ネイバーの追加

  1. インポートフィルタ を追加して BGP ルートを SD-WAN にインポートするには、[ 接続] に移動し、ドロップダウンリストからサイトを選択し、[ BGP] を選択して [ Import Filters]セクションをクリックします。[ +] オプションをクリックして、インポートフィルタを追加します。プロトコルをBGPとして選択し、any を照合 して、すべての BGP ルートをインポートします。[ サービスタイプ] を [ **イントラネット]として** 選択し、作成したイントラネットサービスを選択します。これは、サービスタイプの BGP ルートをイントラネットとしてインポートするためです。

インポートフィルタを追加する

SD-WAN でのモニタリングとトラブルシューティング

  1. SD-WAN での IPSec トンネルの確立ステータスを確認するには、[ 監視] > [統計] > [IPSec トンネル] に移動します。次のスクリーンショットでは、IPsec トンネルが SD-WAN から AWS Transit Gateway に向かって確立され、状態がGOOD であることがわかります。また、この IPsec トンネルで送受信されるトラフィックの量を監視することもできます。

SD-WAN での監視とトラブルシューティング

  1. SD-WAN の BGP ピアリング ステータスを確認するには、[ モニタリング] > [ルーティングプロトコル ] に移動し、[ BGP ステート] を選択します。BGP 状態が[ 確立済み]として報告され、ネイバー IP アドレスネイバー ASN が AWS BGP ネイバーの詳細と一致していることがわかります。これにより、IPsec トンネルを介して SD-WAN から AWS トランジットゲートウェイへの BGP ピアリングが確立されたことを確認できます。

BGP ピアリングステータスの確認

VPC(192.168.0.0)が AWS トランジットゲートウェイにアタッチされています。SD-WAN は、この VPC ネットワーク (192.168.0.0) を AWS Transit Gateway から BGP 経由で学習しました。このルートは、上記の手順で作成したインポートフィルタに従って、イントラネットとしてサービスタイプで SD-WAN にインストールされました。

  1. SD-WAN での BGP ルートのインストールを確認するには、[ モニタリング] > [統計] > [ルート ] に移動し、サービスタイプがイントラネットの BGP ルートとしてインストールされたネットワーク 192.168.0.0/16 を確認します。つまり、AWS Transit Gateway にアタッチされたネットワークを学習し、確立された IPsec トンネルを介してこれらのネットワークと通信できます。

BGP ルートの確認

AWS でのモニタリングおよびトラブルシューティング

  1. AWS で IPsec トンネルの確立ステータスを確認するには、「 仮想プライベートネットワーク (VPN)」>「サイト間 VPN 接続」に移動します。次のスクリーンショットでは、カスタマーゲートウェイアドレスは、あなたがトンネルを確立している使用してSD-WANリンクのパブリックIPアドレスを表していることを確認することができます。

トンネルのステータスは UP と表示されます。また、AWS が SD-WANから8 つの BGP ルートを学習していることも観察できます。つまり、SD-WAN は AWS Transit Gateway を使用してトンネルを確立でき、BGP 経由でルートを交換することもできます。

AWS での IPsec トンネルの確立ステータスの確認

  1. SD-WAN にダウンロードした構成ファイルに基づいて、2 番目のトンネルに関連する IPSec および BGP の詳細を設定します。

SD-WAN では、次のように、両方のトンネルに関連するステータスを監視できます。

両方のトンネルのステータス

  1. 両方のトンネルに関連するステータスは、AWS で次のように監視できます。

AWS での両方のトンネルのステータス

Citrix SD-WAN と AWS トランジットゲートウェイとの統合