Citrix SD-WAN

PBR モード(仮想インライン)

仮想インラインモードでは、ルータはポリシーベースのルーティングルールを使用して、着信および発信 WAN トラフィックをアプライアンスにリダイレクトし、アプライアンスは処理されたパケットをルータに転送します。

次の資料では、2 つの SD-WAN(SD-WAN SE)アプライアンスを構成する手順について説明します。

  • PBR モードのデータセンターアプライアンス(仮想インラインモード)

  • インラインモードのブランチアプライアンス

  • PBR は、コアスイッチで設定するか、ルータでさらにアップストリームに設定する必要があります。ルータは SD-WAN アプライアンスの健全性を監視し、障害が発生した場合にアプライアンスをバイパスできるようにする必要があります。

  • 仮想インラインモードでは、SD-WAN アプライアンスが物理的にパス外に配置されます(ワンアーム配置)。つまり、バイパスモードが Fail-to-Block(FTB)に設定されている単一のイーサネットインターフェイスだけが使用されます(例:インターフェイス 1/1)。

Citrix SD-WANアプライアンスは、トラフィックを適切なGateway に渡すように構成する必要があります。 仮想パス用のトラフィックは SD-WAN アプライアンスに向けられ、カプセル化され、適切な WAN リンクに送信されます。

構成に関する情報の収集

  • ローカルサイトとリモートサイトの正確なネットワーク図(図の例を以下に示します)

    • ローカルおよびリモートの WAN リンクおよび両方向の帯域幅、サブネット、各リンク、ルート、VLAN からの仮想 IP アドレスおよびゲートウェイ。
  • デプロイメントテーブル(以下に示す図の例)

データセンターのトポロジ — PBR モード (仮想インラインモード)

ローカライズされた画像

ブランチトポロジ — インラインモード

ローカライズされた画像

サイト名 データセンターサイト ブランチサイト
アプライアンス名 SJC-DC SJC-BR
管理IP 172.30.2.10/24 172.30.2.20/24
セキュリティキー もしあれば もしあれば
モデル/ Edition 4000 2000
Mode PBR モード (仮想インラインモード) インライン
トポロジ 2 x WAN パス 2 x WAN パス
VIP アドレス 192.168.1.10/24 — MPLS, 192.168.1.11/24 — インターネット, パブリックIP w.x.y.z 10.17.0.9/24-MPLS, 10.18.0.9/24 — インターネット, パブリックIP a.b.c.d
Gateway MPLS 10.20.0.1 10.17.0.1
Gateway・インターネット 10.19.0.1 10.18.0.1
リンク速度 MPLS — 100 Mbps, インターネット — 20 Mbps MPLS — 10 Mbps, インターネット — 2 Mbps
Route 物理インターフェイスの何れかによって LAN サブネット(10.10.11.0/24、10.10.12.0/24、10.10.13.0/24、等)に達する方法の SD-WAN SE アプライアンスのルートを追加する必要があります:Gi0/1-192.168.1.1、設定 > 仮想 WAN >構成エディタ > SJC_DC > ルート。この例では、インターフェイス 192.168.1.1 が使用されています。- なしアドレス:10.10.13.0/24、10.10.12.0/24、10.10.11.0/24、-サービスタイプ:ローカル、- Gateway IP アドレス:192.168.1.1 追加のルートは追加されませんでした
VLAN なし (デフォルト 0) なし (デフォルト 0)

仮想インラインモードでサイトを構成する手順:

  • MCN 機能を有効にします。

  • 新しいサイトを作成します。

  • インターフェイスグループと仮想インターフェイスを作成します。

  • 仮想 IP アドレスを仮想インターフェイスに割り当てます。

  • WAN リンクを作成し、IP アドレスを割り当てます。

  • [ルートの追加]

  • トラブルシューティング。

  • PBR ルータでのポリシーベースルーティング設定

構成の前提条件

  • SD-WAN アプライアンスをマスターコントロールノードとして有効にします。

  • 構成は SD-WAN アプライアンスのマスターコントロールノード (MCN) でのみ行われます。

アプライアンスをマスター・コントロール・ノードとして有効にするには:

  1. SD-WAN Web 管理インターフェイスで、設定 >アプライアンス設定>管理者インターフェイス>その他タブ>スイッチコンソールにナビゲートして下さい

    「クライアントコンソールに切り替える」と表示されている場合、アプライアンスはすでに MCN モードになっています。SD-WAN ネットワークには、アクティブな MCN が 1 つだけ存在する必要があります。

  2. 仮想 WAN サービスを有効にします。[ 構成 ] > [ 仮想 WAN ] > [ フローの有効化/無効化/パージ] に移動します。

  3. [構成] > [ 仮想 WAN ] > [ 構成エディター] の順に選択して、構成を開始します。[ 新規 ] をクリックして設定を開始します。

    この操作により、Untitled_1 の初期設定ファイルが作成されます。このファイルは、後で [名前 を付けて保存 ] ボタンを使用して [オプション] に変更できます。

PBR 展開モードで Datacenter サイトを構成するための高レベルの構成手順を次に示します。

  1. DC サイトを作成します。

  2. 接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。

  3. 仮想インターフェイスごとに仮想 IP アドレスを設定します。

  4. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

  5. LAN インフラストラクチャにさらにサブネットがある場合は、Routes を設定します。

データセンターサイトの PBR モードの設定

DC サイトを作成する

  1. [ 構成エディタ ] > [ サイト] に移動し、[ + サイト ] ボタンをクリックします。

  2. 以下に示すようにフィールドに入力します。

  3. 変更するように指示されない限り、デフォルト設定を保持します。

    ローカライズされた画像

接続されたイーサネットインターフェイスに基づくインターフェイスグループの設定

  1. 構成エディタで、[サイト] > [ **サイト名 ] > [ インタフェースグループ ]に移動します。[ **+ ] をクリックして、使用するインターフェイスを追加します。PBR モードでは、単一のイーサネットインターフェイス上の設定だけが使用されます。つまり、PBR ポリシーの影響を提供するアップストリームルータを接続するインターフェイスです(例:Interface 1/1)。VLAN ID 10 および 20 の MPLS およびインターネット仮想インターフェイスをそれぞれ設定します。

  2. 仮想インターフェイスごとに 1 つのイーサネット/物理インターフェイスだけが使用されるため、バイパスモードは Failto Block に設定されます。ブリッジペアもありません。

  3. この例では、[仮想インターフェイス +] オプションを展開し、仮想インターフェイスを設定します。

    ローカライズされた画像

各仮想インターフェイスの仮想 IP(VIP)アドレスを作成

各 WAN リンクの適切なサブネット上に 仮想 IP アドレスを 作成します。VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。

ローカライズされた画像

インターネット WAN リンクの作成

インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定するには、次の手順を実行します。

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。

  2. 以下に示すように、提供されたパブリック IP アドレスなど、インターネットリンクの詳細を入力します。MCN として設定された SD-WAN アプライアンスでは、 パブリック IP の自動検出は選択できないことに注意してください

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、インターネットリンクに固有のインターフェイス詳細を追加します。

  4. 以下に示すように、IP アドレスとGateway アドレスのアクセスインターフェイスを設定します。 プロキシ ARP は、2 つ未満のイーサネットインターフェイスについてはチェックされません。

    ローカライズされた画像

    ローカライズされた画像

MPLS リンクの作成

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして MPLS リンクの WAN リンクを追加します。

  2. 次に示すように、MPLS リンクの詳細を入力します。

  3. [ アクセスインターフェイス(Access Interfaces)] に移動し、[ + ] ボタンをクリックして、MPLS リンクに固有のインターフェイスの詳細を追加します。

  4. 次に示すように、MPLS 仮想 IP アドレスおよびGateway アドレスのアクセスインターフェイスを設定します。

    ローカライズされた画像

    プロキシ ARP では、イーサネットインターフェイスが 2 つ未満の場合はチェックされません。

ルートを設定する

データセンターサイトで、SD-WAN SEE アプライアンスにルートを追加して、物理インターフェイスを通じて LAN サブネット(10.10.11.0/24、10.10.12.0/24、10.10.10.13.0/24 など)に到達します。

VLAN 10 上の 0/1/0.1 — 192.168.1.1

VLAN 20 上の 0/1/0.2 — 192.168.2.1

ローカライズされた画像

ローカライズされた画像

ブランチサイトのインライン展開設定

次に、インライン展開用にブランチサイトを構成するための高レベルの構成手順を示します。

  1. ブランチサイトを作成します。

  2. 接続されたイーサネットインターフェイスに基づいてインターフェイスグループを設定します。

  3. 各仮想インターフェイスの仮想 IP アドレスを作成します。

  4. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

    • ブリッジペア 1/3 および 1/4 に設定された仮想インターフェイス「インターネット」

    • 仮想インターフェイス「MPLS」設定済みブリッジペア 1/1 および 1/2

  5. LAN インフラストラクチャにさらにサブネットがある場合は、Routes を設定します。

ブランチサイトの作成

ローカライズされた画像

接続されたイーサネットインターフェイスに基づくインターフェイスグループの設定

  1. 構成エディタで、[ サイト ] > [クライアントサイト名] > [ **インターフェイスグループ ]に移動します。 **「+」をクリックして、使用するインターフェイスを追加します。 インラインモード設定では、インターフェイスペア 1/3、1/4、インターフェイスペア 1/1 および 1/2 の 4 つのイーサネットインターフェイスが使用されます。

  2. 仮想インターフェイスごとに 2 つのイーサネット/物理インターフェイスが使用されるため、バイパスモードは Fail-to-Wire に設定されています。ブリッジペアは 2 つあります。

  3. インターネットおよび MPLS リンクを使用して、バースト速度ではなく、物理レートに基づいて WAN リンクを設定します。

    • ブリッジペア 1/3 および 1/4 に設定された仮想インターフェイス「インターネット」

    • 仮想インターフェイス「MPLS」設定詐欺ブリッジペア 1/1 と 1/2.

  4. 上記の「リモートサイトインラインモード」トポロジのサンプルを参照し、次に示すように [Interface Groups] フィールドに入力します。

    ローカライズされた画像

各仮想インターフェイスの仮想 IP(VIP)アドレスを作成

各 WAN リンクの適切なサブネット上に仮想 IP アドレスを作成します。 VIP は、仮想 WAN 環境内の 2 つの SD-WAN アプライアンス間の通信に使用されます。

ローカライズされた画像

インターネット WAN リンクの作成

インターネットリンクを使用してバースト速度ではなく、物理レートに基づいて WAN リンクを設定するには

  1. [ WAN リンク] に移動し、[ + ] ボタンをクリックして、インターネットリンクの WAN リンクを追加します。

  2. 次に示すように、 AutoDetect パブリック IP アドレスを 含むインターネットリンクの詳細を入力します。

  3. [ Access Interfaces] に移動し、[ + ] ボタンをクリックして、インターネットリンクに固有のインターフェイス詳細を追加します。

  4. 以下に示すように、仮想 IP アドレスとGateway のアクセスインターフェイスを設定します。

    ローカライズされた画像

    ローカライズされた画像

MPLS リンクの作成

  1. [ WAN リンク] に移動し、 [ + ] ボタンをクリックして MPLS リンクの WAN リンクを追加します。

  2. 次に示すように、MPLS リンクの詳細を入力します。

  3. [ アクセスインターフェイス(Access Interfaces)] に移動し、[ + ] ボタンをクリックして、MPLS リンクに固有のインターフェイスの詳細を追加します。

  4. 以下に示すように、仮想 IP アドレスとGateway のアクセスインターフェイスを設定します。

    ローカライズされた画像

    ローカライズされた画像

ルートを設定する

ルートは、上記の設定に基づいて自動作成されます。このリモートブランチオフィスに固有のサブネットが増える場合は、それらのバックエンドサブネットに到達するためにトラフィックを誘導するGateway を特定する特定のルートを追加する必要があります。

ローカライズされた画像

監査エラーの解決

DC サイトとブランチサイトの構成が完了すると、DC サイトと BR サイトの両方で監査エラーを解決するように警告が表示されます。 この例では、プライベートイントラネット WAN リンク [SJC_DC-MPLS] に関連する監査エラーを解決します。

デフォルトでは、アクセスタイプ [パブリックインターネット] (強調表示) として定義された WAN リンクのパスが生成されます。

ローカライズされた画像

ローカライズされた画像

ローカライズされた画像

アクセスタイプが [プライベートインターネット] の WAN リンクでは、自動パスグループ機能を使用するか、手動でパスを有効にする必要があります。MPLS リンクのパスは、緑の四角形にある Add 演算子をクリックすることで有効にできます。

ローカライズされた画像

オートパスグループを作成します

  1. [ グローバル ] タブに移動します。 Autopath Groups の横にある [+]記号をクリックします。

  2. 要件に従って作成した Autopath グループを構成し、[ Apply] をクリックします。

    ローカライズされた画像

  3. Autopath グループの名前を変更します (オプション)。

  4. Autopath グループを、各サイトのイントラネット WAN リンクの仮想パスにマッピングします。

    2つのAutopath Groupをデフォルトとしてマークすることはできません。マークを付けると、監査エラーになります。

Autopath GroupをイントラネットWANの仮想パスにマッピングした後、パスが自動的に入力される(強調表示される)必要があります。

ローカライズされた画像

アクセスタイプの [プライベートイントラネット] で WAN リンクを手動で追加する

  1. 各サイトの [WAN リンク] で [仮想パス] を選択します。自動パスグループはマップされません。

  2. 仮想パスを手動で追加するには、 [パス] の横にある [+] 記号をクリックします。

    ローカライズされた画像

  3. 各サイトの仮想パス WAN リンクを選択します。

    ローカライズされた画像

    アクセスタイプが [プライベートイントラネット] の WAN リンクの仮想パスを手動で追加すると、[パス (強調表示)] の下に表示されます。

    上記のすべての手順を完了したら、MCN トピックの SD-WAN アプライアンスパッケージの準備に進みます

PBR ルータでのポリシーベースのルーティング設定。

LAN に接続されたインターフェイス

  • Router# 端末の設定

  • Router(config)# インターフェイス FastEthernet0/1

  • Router(config-if)# 説明toLan

  • Router(config-if)# IP アドレス 10.10.11.1 255.255.0

  • Router(config-if)#二重自動

  • Router(config-if)# 速度自動

インターフェイスが MPLS WAN リンクに接続

  • Router# 端末の設定

  • Router(config)#インターフェイス GigabitEthernet0/0

  • Router(config-if)# MPLS-WAN への説明

  • Router(config-if)# IP アドレス 10.20.0.2 255.255.0

  • Router(config-if)#二重自動

  • Router(config-if)# 速度自動

INET WAN リンクに接続されたインターフェイス

  • Router# 端末の設定

  • Router(config)#インターフェイス GigabitEthernet0/2/0

  • Router(config-if)#説明 To-inet-WAN

  • Router(config-if)# IP アドレス 10.19.0.2 255.255.0

  • Router(config-if)#二重自動

  • Router(config-if)# 速度自動

PBR ルータ上のインターフェイス GigabitEthernet0/1 は SD-WAN ポート 1/1 に接続されており、1 アームモードであり、この 1 つのポートは MPLS および INET リンクのトラフィックを処理します。

  • Router# 端末の設定

  • Router(config)#インターフェイス GigabitEthernet0/1

  • Router(config-if)# 説明対SDWAN リンク

  • Router(config-if)# IPアドレス 192.168.1.1 255.255.0

スタティックルート設定(クライアント/リモートサブネットへのルート)

  • ネクストホップ WAN ルータ経由の MPLS 10.17.0.0/24 MPLS 10.20.0.1

  • NET 10.18.0.0/24 経由ネクストホップ WAN ルータ/FW INET 10.19.0.1

  • Router# 端末の設定

  • Router(config)# IP ルート 10.17.0.0 255.255.0 10.20.0.1

  • Router(config)# IP ルート 10.18.0.0 255.255.0 10.19.0.1

ルートマップ定義:

アクセスコントロールリストの設定:

ACL を設定して、SD-WAN アプライアンスとの間で送受信されるトラフィックを定義します。

  1. LAN から SD-WAN アプライアンスへ

    トポロジーごとに、LAN サブネットは 10.10.11.0/24、10.10.12.0/24、10.10.13.0/24 などです。LAN から SD-WAN にトラフィックを送信するには、単方向 ACL(LAN から任意の)を設定します。

    -  Router# configure terminal

    -  Router(config)# ip access-list extended server_side

    -  Router(config)# permit ip 10.10.0.0 0.0.255.255 any
<!--NeedCopy-->
  1. SD-WAN アプライアンスから物理 WAN リンクへ
    -  Router# configure terminal

    -  Router(config)# ip access-list extended MPLS_Link

    -  Router(config)# permit ip 192.168.1.10 0.0.0.0 any

    -  Router# configure terminal

    -  Router(config)# ip access-list extended INET_Link

    -  Router(config)# permit ip 192.168.1.11 0.0.0.0 any

<!--NeedCopy-->

ルートマップの設定:

ACL に一致するルートマップを定義します。

LAN トラフィックのルートマップ:

ネクストホップは、任意の SD-WAN 仮想 IP(VIP)になります。

MPLS VIP 192.168.1.10

INET VIP 192.168.1.11

この場合、ネクストホップとして MPLS VIP 192.168.1.10 を選択し、ヘルスチェックを追加して、SD-WAN に障害が発生した場合にトラフィックがルーティングされないことを確認しました。

-  Router# configure terminal

-  Router(config)# route-map server_side_VW_PBR permit 10

-  Router(config-route-map)# match ip address server_side

-  Router(config-route-map)# set ip next-hop verify-availability 192.168.1.10 10 track 123

<!--NeedCopy-->

上記のコマンドは、追跡対象オブジェクトの到達可能性を確認するようにルートマップを設定します。トラッキングプロセスでは、ICMP ping 到達可能性、ルーティング隣接、リモートデバイスで実行されているアプリケーション、Routing Information Base(RIB; ルーティング情報ベース)内のルートなど、個々のオブジェクトを追跡したり、インターフェイスラインプロトコルの状態を追跡したりできます。

WAN トラフィックのルートマップ:

ネクストホップは、各 WAN リンクの MPLS ルータとファイアウォールになります。

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 20

-  Router(config-route-map)# match ip address MPLS_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.20.0.1 20 track 124

-  Router# configure terminal

-  Router(config)# route-map WAN_VW_PBR permit 30

-  Router(config-route-map)# match ip address INET_Link

-  Router(config-route-map)# set ip next-hop verify-availability 10.19.0.1 30 track 125

<!--NeedCopy-->

ルートマップをインターフェイスに適用します。

-  Router# configure terminal

-  Router(config)# interface FastEthernet0/1

-  Router(config-if)# ip policy route-map server_side_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

-  Router# configure terminal

-  Router(config)# interface GigabitEthernet0/1

-  Router(config-if)# ip policy route-map WAN_VW_PBR

-  Router(config-if)# duplex auto

-  Router(config-if)# speed auto

<!--NeedCopy-->

MPLS ルータの設定(Gateway 10.20.0.1):

  • MPLS ルータにルートを追加して、データセンターの MPLS VWAN VIP に到達します。

  • ネクストホップ PBR ルータ MPLS リンク 10.20.0.2 を介した MPLS VIP サブネット 192.168.1.0/24

  • Router# 端末の設定

  • ルータ (config) # ip route 192.168.1.0 255.255.0 10.20.0.2

ファイアウォールの設定 (Gateway 10.19.0.1):

ファイアウォール上にルートを追加して、データセンターの INET VWAN VIP に到達します。

次ホップ PBR ルータ INET リンク 10.19.0.2 経由の INET VIP サブネット 192.168.1.0/24

-  Router# configure terminal

-  Router(config)# ip route 192.168.1.0 255.255.255.0 10.19.0.2
<!--NeedCopy-->
PBR モード(仮想インライン)