Citrix SD-WAN

ゾーン

ネットワーク内のゾーンを構成し、トラフィックがゾーンに出入りする方法を制御するポリシーを定義できます。デフォルトでは、次のゾーンが作成されます。

  • Zone
    • 信頼されたインターフェイスを使用するインターネットサービスとの間で送受信されるトラフィックに適用されます。
  • Untrusted_Internet_Zone

    • 信頼できないインターフェイスを使用するインターネットサービスとの間で送受信されるトラフィックに適用されます。
  • Default_LAN_Zone

    • ゾーンが設定されていない設定可能なゾーンを持つオブジェクトへのトラフィックまたはオブジェクトからのトラフィックに適用されます。

独自のゾーンを作成し、次のタイプのオブジェクトに割り当てることができます。

  • 仮想ネットワークインターフェイス(VNI)

  • イントラネットサービス

  • GREトンネル

  • LAN IPsec トンネル

次の図に、事前構成された 3 つのゾーンを示します。さらに、必要に応じて独自のゾーンを作成することもできます。この例では、ゾーン「zonea_イントラネット」はユーザーが作成したゾーンです。SD-WAN アプライアンスのバイパスセグメント(ポート 1 および 2)の仮想インターフェイスに割り当てられます。

ローカライズされた画像

パケットの送信元ゾーンは、パケットが受信されるサービスまたは仮想ネットワークインターフェイスによって決まります。ただし、仮想パストラフィックは例外です。トラフィックが仮想パスに入ると、パケットはトラフィックを発信したゾーンでマークされ、その送信元ゾーンは仮想パスを介して伝送されます。これにより、仮想パスの受信側は、元のソースゾーンが仮想パスに入る前にポリシーを決定できます。

たとえば、ネットワーク管理者は、サイト A の VLAN 30 からのトラフィックだけがサイト B で VLAN 10 に入るようにポリシーを定義することができます。管理者は、各 VLAN にゾーンを割り当てて、これらのゾーン間のトラフィックを許可し、他のゾーンからのトラフィックをブロックするポリシーを作成できます。次のスクリーンショットは、ユーザーが「zonea_イントラネット」ゾーンを VLAN 10 に割り当てる方法を示しています。この例では、「ZoneA_イントラネット」ゾーンは、仮想インターフェイス「VirtualInterface2」に割り当てるためにユーザーによって事前に定義されています。

ローカライズされた画像

パケットの宛先ゾーンは、宛先ルートの一致に基づいて決定されます。SD-WAN アプライアンスがルートテーブルで宛先サブネットを検索すると、パケットはルートと一致します。ルートにはゾーンが割り当てられています。

  • ソースゾーン

    • 非仮想パス:で受信した仮想ネットワークインターフェイスパケットを介して決定されます。

    • 仮想パス:パケットフローヘッダーのソースゾーンフィールドを介して決定されます。

    • 仮想ネットワークインターフェイス-送信元サイトでパケットを受信しました。

  • 宛先ゾーン

    • パケットの宛先ルート検索により決定。

SD-WAN 内のリモートサイトと共有されるルートは、ダイナミックルーティングプロトコル(BGP、OSPF)を通じて学習されたルートなど、宛先ゾーンに関する情報を保持します。このメカニズムを使用すると、ゾーンは SD-WAN ネットワークでグローバルな重要性を獲得し、ネットワーク内でエンドツーエンドのフィルタリングを可能にします。ゾーンを使用すると、ネットワーク管理者は、顧客、事業部門、または部門に基づいてネットワークトラフィックを効率的にセグメント化できます。

SD-WAN ファイアウォールの機能を使用すると、次の図に示すように、1 つのゾーン内のサービス間のトラフィックをフィルタリングしたり、異なるゾーン内のサービス間で適用できるポリシーを作成したりできます。以下の例では、Zone_A と Zone_B があり、それぞれに LAN 仮想ネットワークインターフェイスがあります。

ローカライズされた画像

下のスクリーンショットは、割り当てられた仮想ネットワークインターフェイス(VNI)からの仮想 IP(VIP)のゾーンの継承を示しています。

ローカライズされた画像

ゾーン

この記事の概要