Citrix SD-WAN

帯域内およびバックアップ管理

帯域内管理

Citrix SD-WANでは、帯域外管理と帯域内管理の2つの方法でSD-WANアプライアンスを管理できます。アウトオブバンド管理では、管理トラフィックだけを伝送する管理用に予約されたポートを使用して管理 IP を作成できます。インバンド管理では、SD-WAN データポートを管理に使用できます。追加の管理パスを設定することなく、データトラフィックと管理トラフィックの両方を伝送します。

インバンド管理では、仮想 IP アドレスが Web UI や SSH などの管理サービスに接続できます。IP サービスに使用できるように有効になっている複数の信頼できるインターフェイスで、インバンド管理を有効にできます。管理 IP とインバンド仮想 IP を使用して、Web UI と SSH にアクセスできます。

Citrix SD-WAN 11.4.2 リリース以降、SD-WAN アプライアンスでインバンド管理を構成し、インバンド管理ポートを介してCitrix SD-WAN Orchestratorサービスへの接続を確立する必要があります。そうしないと、管理ポートが接続されておらず、インバンドIPアドレスも構成されていないと、アプライアンスはCitrix SD-WAN Orchestratorサービスへの接続を失います。

  • Citrix SD-WAN Centerは、帯域内管理による高可用性アプライアンスへの接続をサポートしていません。
  • サービスタイプを [任意 ] に設定できるのは、MCN 設定エディタだけです。Citrix SD-WAN Orchestrator サービスでは、宛先 NATポリシーのサービスタイプを [任意 ] に設定できません。
  • 管理接続だけがインバンド HA の場合、サービスを無効にしないでください。 サービスを無効にすると、アプライアンスからロックアウトできます。

仮想 IP で帯域内管理を有効にするには、次の手順を実行します。

  1. 構成エディタで、[ サイト ] > [ 仮想 IP アドレス] に移動します。
  2. インバンド管理を有効にする仮想 IP に対して [インバンド管理(Inband Mgmt )] を選択します。

    注:

    インターフェイスのセキュリティタイプが [ Trusted ] で、[ Identity ] が有効になっていることを確認します。

    帯域内管理

  3. [ 適用] をクリックします。

仮想 IP アドレスの構成手順の詳細については、「 仮想 IP を構成する方法」を参照してください。

Citrix SD-WAN 11.3.1リリース以降、帯域内管理は高可用性アプライアンスのペアをサポートします。プライマリアプライアンスとセカンダリアプライアンスの間の通信は、NAT を使用する仮想インターフェイスを介して行われます。

次のポートは、HA アプライアンスの管理サービスとの通信を可能にします。

  • HTTPS
    • 443-アクティブな HA に接続する
    • 444-HA プライマリにリダイレクト
    • 445-HA セカンダリにリダイレクト
  • SSH
    • 22-アクティブな HA に接続する
    • 23-HA プライマリにリダイレクト
    • 24-HA セカンダリにリダイレクト
  • SNMP
    • 161-アクティブな HA に接続する
    • 162-HA プライマリにリダイレクト
    • 163-HA セカンダリにリダイレクト

宛先 NAT ポリシーを使用して、ポートを入力せずにインバンド HA への接続を可能にする IP アドレスを作成します。

たとえば、アプライアンスへのアクセスには、次のインバンド IP アドレスが使用されます。

  • アクティブなアプライアンス-1.0.1.2
  • プライマリアプライアンス-1.0.1.10
  • セカンダリアプライアンス-1.0.1.11

帯域内管理仮想 IP アドレスと同じネットワークにある 2 つの新しい仮想 IP アドレスを作成します。この例では、1.0.1.2/24 がインバンド管理仮想 IP アドレスで、1.0.1.2/24 がバックアップネットワークとして選択されます。1.0.1.10 と 1.0.1.11 は、作成される新しい仮想 IP アドレスです。1.0.1.10 はプライマリアプライアンスへのアクセスに使用され、1.0.1.11 はセカンダリアプライアンスへのアクセスに使用されます。

インバンド HA 仮想 IP

宛先 NAT ポリシーを作成します。6 つの DNAT ポリシーは、サービスのベースポートを適切なインバンド HA ポートにリダイレクトします。設定を適用すると、内部 IP アドレスを使用してプライマリおよびセカンダリアプライアンスに直接アクセスできます。

インバンド HA 宛先 NAT ポリシー

帯域内管理のモニタリング

前の例では、172.170.10.78 仮想 IP でインバンド管理を有効にしました。この IP を使用して、Web UI と SSH にアクセスできます。

Web UI で、[ モニタリング ] > [ ファイアウォール] に移動します。ポート 22 および 443 の仮想 IP を使用してアクセスする SSH および Web UI が [ 宛先 IP アドレス ] 列に表示されます。

帯域内管理のモニタリング

インバンド管理は、次の SD-WAN アプライアンスではサポートされていません。

  • Citrix SD-WAN 1000 SE/PE
  • Citrix SD-WAN 2000 SE/PE
  • Citrix SD-WAN 4000 SE

帯域内Provisioning

SD-WAN アプライアンスを家庭や小規模の支店などのシンプルな環境に導入する必要性が大幅に高まっています。シンプルな展開のために個別の管理アクセスを構成すると、オーバーヘッドが増えます。帯域内管理機能とともにゼロタッチ導入により、指定されたデータポートを介したプロビジョニングと構成管理が可能になります。ゼロタッチ配置は、指定されたデータポートでサポートされ、ゼロタッチ配置用に別の管理ポートを使用する必要はありません。また、Citrix SD-WANでは、データポートがダウンした場合に、管理トラフィックを管理ポートにシームレスにフェイルオーバーできます。

帯域内Provisioning をサポートする工場出荷状態のアプライアンスは、データまたは管理ポートをインターネットに接続するだけでプロビジョニングできます。インバンド Provisioning をサポートするアプライアンスには、LAN および WAN 用の特定のポートがあります。工場出荷時リセット状態のアプライアンスには、ゼロタッチデプロイメントサービスとの接続を確立できるデフォルト設定があります。LAN ポートは DHCP サーバーとして機能し、DHCP クライアントとして機能する WAN ポートにダイナミック IP を割り当てます。WAN リンクは、Quad 9 DNS サービスを監視して WAN 接続を決定します。

インバンド Provisioning は、SD-WAN 110 SE および SD-WAN VPX プラットフォームにのみ適用されます。

IP アドレスが取得され、ゼロタッチ展開サービスとの接続が確立されると、構成パッケージがダウンロードされ、アプライアンスにインストールされます。SD-WAN Center によるゼロタッチ展開の詳細については、 ゼロタッチ展開を参照してください。SD-WAN Orchestrator によるゼロタッチ展開の詳細については、 ゼロタッチ展開を参照してください

: データポートを介した SD-WAN アプライアンスのプロビジョニングの日数では、アプライアンスソフトウェアのバージョンは SD-WAN 11.1.0 以降である必要があります。

工場出荷時リセット状態のアプライアンスのデフォルト設定には、次の設定が含まれます。

  • LANポート上のDHCPサーバ
  • WAN ポート上の DHCP クライアント
  • DNSのQUAD9構成
  • デフォルトの LAN IP は 192.168.0.1 です。
  • 35日間の猶予ライセンス

アプライアンスがプロビジョニングされると、デフォルトの設定は無効になり、ゼロタッチデプロイメントサービスから受信した設定によって上書きされます。アプライアンスのライセンスまたは猶予ライセンスの有効期限が切れると、デフォルト構成がアクティブになります。これにより、アプライアンスはゼロタッチデプロイメントサービスに接続したままになり、ゼロタッチデプロイメントで管理されたライセンスを受け取ることができます。

デフォルト/フォールバック構成

フォールバック構成により、リンク障害、構成の不一致、またはソフトウェアの不一致が発生しても、アプライアンスはゼロタッチ展開サービスに接続したままになります。フォールバック構成は、デフォルト構成プロファイルを持つアプライアンスではデフォルトで有効になっています。また、既存の LAN ネットワーク設定に従ってフォールバック構成を編集することもできます。

:最初のアプライアンスをProvisioning した後、フォールバック構成でゼロタッチデプロイメントサービス接続が有効になっていることを確認します。

フォールバック構成が無効になっている場合は、[構成] > [ アプライアンス設定 ] > [ デフォルト/フォールバック構成 **] > [ 有効] をクリックして、フォールバック構成を有効にできます**。

フォールバック設定の有効化

次の表に、異なるプラットフォームでのフォールバック構成用に事前に指定された WAN ポートおよび LAN ポートの詳細を示します。

プラットフォーム WAN ポート LANポート
110 1/2 1/1
110-LTE 1/2、LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

Citrix SD-WAN 11.3.1リリースからは、WANポートの設定を構成できます。WANポートは、DHCPクライアントを使用して独立したWANリンクとして構成し、Quad9 DNSサービスを監視してWAN接続を特定できます。DHCP がない場合、WAN ポートに WAN IP/スタティック IP を設定して、初期プロビジョニングにインバンド管理を使用できます。

注:

スタティック IP を使用してイーサネットポートだけを設定できます。スタティック IP は、LTE-1 ポートおよび LTE-E1 ポートでは設定できません。LTE-1 ポートと LTE-E1 ポートを WAN として追加できますが、設定フィールドは編集できません。

WAN ポートを追加すると、そのポートは [ WAN 設定 (ポート:2) ] セクションの下に追加されます。[ DHCP モード ] チェックボックスは既定でオンになっています。[ DHCP Mode ] チェックボックスをオンにすると、[ IP アドレス]、[Gateway IP アドレス]、 および [ VLAN ID ] テキストフィールドはグレー表示されます。スタティック IP を設定する場合は、[ DHCP Mode ] チェックボックスをオフにします。

DHCP モード

デフォルトでは、[ WAN トラッキング IP アドレス ] フィールドには 9.9.9.9 が自動的に入力されます。必要に応じて住所を変更できます。

注:

[ 動的 DNS サーバー ] チェックボックスをオンにする場合は、[ DHCP モード ] を選択した状態で、少なくとも 1 つの WAN ポートを追加または構成してください。

LAN ネットワークに従ってフォールバック構成をカスタマイズするには、次の手順を実行します。

  1. [ 構成 ] > [ アプライアンス設定] > [ デフォルト/フォールバック構成] に移動します。
  2. ネットワーク要件に従って、次の LAN 設定の値を編集します。これは、ゼロタッチ展開サービスとの接続を確立するために必要な最小構成です。

    • VLAN ID: LAN ポートをグループ化する必要がある VLAN ID。
    • IP アドレス:LAN ポートに割り当てられた仮想 IP アドレス。
    • DHCP 有効:LAN ポートを DHCP サーバとして有効にします。DHCP サーバは、LAN ポート上のクライアントにダイナミック IP アドレスを割り当てます。
    • DHCP 開始および DHCP 終了: DHCP が LAN ポート上のクライアントに IP を動的に割り当てるために使用する IP アドレスの範囲。
    • DNS サーバー: プライマリ DNS サーバー の IP アドレス。
    • 代替DNS サーバー:セカンダリ DNS サーバーの IP アドレス。
    • インターネットアクセス: 他のフィルタリングを行わずに、すべての LAN クライアントへのインターネットアクセスを許可します。

    フォールバック設定の有効化

  3. 各ポートのモードを設定します。ポートは、LAN ポートまたは WAN ポートのどちらでもかまいません。また、無効にすることもできます。表示されるポートは、アプライアンスのモデルによって異なります。また、ポートバイパスモードを Fail-to-Block または Fail-to-Wireに設定します。

フォールバック設定をデフォルト設定にリセットするには、[ Reset] をクリックします。

フォールバック設定は、次の SD-WAN アプライアンスではサポートされていません。

  • Citrix SD-WAN 1000 SE/PE
  • Citrix SD-WAN 2000 SE/PE
  • Citrix SD-WAN 4000 SE

構成可能な管理ポートまたはデータポート

インバンド管理により、データポートはデータトラフィックと管理トラフィックの両方を伝送できるため、専用の管理ポートは不要です。これにより、すでにポート密度が低いローエンドアプライアンスでは管理ポートが使用されないままになります。Citrix SD-WANを使用すると、管理ポートをデータポートまたは管理ポートとして動作するように構成できます。

管理ポートをデータポートに変換できるのは、次のプラットフォームだけです。

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

設定エディタで、設定内の管理ポートを使用します。構成がアクティブになると、管理ポートはデータポートに変換されます。

管理ポートを設定できるのは、アプライアンスの他の信頼できるインターフェイスでインバンド管理が有効になっている場合だけです。

管理インターフェイスを設定するには、構成エディタで [ サイト] に移動し、サイトを選択して[ インターフェイスグループ] をクリックします。MGMT インターフェイスは設定可能です。インターフェイスグループの設定の詳細については、「 インターフェイスグループの設定方法」を参照してください。

インターフェイスグループ

管理機能を実行するように管理ポートを再設定するには、設定を削除します。管理ポートを使用せずに構成を作成し、アクティブにします。

バックアップ管理ネットワーク

仮想 IP アドレスをバックアップ管理ネットワークとして設定できます。管理ポートにデフォルト Gateway が設定されていない場合、管理 IP アドレスとして使用されます。

サイトに 1 つのルーティングドメインで構成されたインターネットサービスがある場合、ID が有効な信頼できるインターフェイスが既定でバックアップ管理ネットワークとして選択されます。

仮想IPをバックアップ管理ネットワークとして選択するには、以下の手順に従ってください。

  1. 構成エディタで、[ サイト ] > [ 仮想 IP アドレス] に移動します。

  2. バックアップ管理ネットワークとして仮想 IP アドレスを選択します。

    バックアップ管理

  3. インバンドおよびバックアップ管理プレーンを介したすべての DNS 要求の転送先の DNS プロキシを選択します。

    DNS プロキシは、インバンド管理とバックアップ管理ネットワークの両方が仮想 IP に対して有効になっている場合にのみ選択できます。

  4. [適用] をクリックします。

仮想 IP アドレスの構成手順の詳細については、「仮想 IP アドレスの構成方法」を参照してください。

バックアップ管理の監視

前の例では、バックアップ管理ネットワークとして 172.170.10.78 の仮想 IP を選択しています。管理 IP アドレスがデフォルト Gateway で設定されていない場合は、この IP を使用して Web UI と SSH にアクセスできます。

Web UI で、[ モニタリング ] > [ ファイアウォール] に移動します。この仮想 IP アドレスは、SSH および Web UI アクセスの送信元 IP アドレスとして確認できます。

バックアップ管理の監視

帯域内およびバックアップ管理