Citrix SD-WAN マルチリージョン展開のリファレンスアーキテクチャ
寄稿者
謝辞:
Glenn Williams Ravisankar Pegada Karthick Srivatsan Shoaib Yusuf
オーディエンス
このドキュメントでは、Citrix SD-WAN マルチリージョン展開のフレームワーク、設計、アーキテクチャについて説明します。このドキュメントでは、SD-WAN Orchestrator を使用したCitrix SD-WANソリューションの提供についても説明します。
このドキュメントは、IT 意思決定者、ネットワーク管理者、ソリューションインテグレータ、パートナー、クラウドサービスプロバイダ、Managed Service Providerを対象としています。
Citrix SD-WAN の概念と用語に関する十分な知識を得るには、Citrix SD-WAN 単一リージョンリファレンスアーキテクチャを参照してください。
Citrix SD-WAN マルチリージョンアーキテクチャ
Citrix SD-WAN マルチリージョンアーキテクチャは、複数のリージョンに大規模なメッシュネットワークを持つ複数のブランチオフィスを持つ組織に適しています。このような大規模な組織では、Citrix SD-WAN マルチリージョンアーキテクチャを導入できます。各リージョンの最大クライアントノードサポートは、選択したデバイスモデルによって制約されます。サポートされるリージョン数は、6000 のサイトに分散するネットワーク設計と配置に基づいています。サポートされるサイト数は、以前のリリースから 11 までで 2500 でした。
マルチリージョン SD-WAN ネットワークは、複数のリージョナルコントロールノード (RCN) を制御するマスターコントロールノード (MCN) を持つ分散ネットワークアーキテクチャをサポートします。各 RCN は、各自のリージョン内の複数のクライアントサイトを制御します。MCN は、オプションで、デフォルトリージョンとして示される一部のクライアントサイトを直接制御するために使用することもできます。この階層型および分散型アーキテクチャにより、地域管理のより大規模かつ効果的な委任が可能になります。マルチリージョンアーキテクチャで動作する場合、MCN はオーバーレイ内のすべてのクライアントノードに直接静的仮想パスを接続する必要はなくなりました。MCN として選択されたデバイスモデルでサポートされる最大静的仮想パスの制限を超えてオーバーレイを拡張できるようにする。
サポートされる静的仮想パスの最大数は、プラットフォームごとです。Citrix SD-WAN のデータシートを参照してください。マルチリージョン展開のスケール機能は、オーバーレイで MCN および RCN として動作する選択したプラットフォームによって制限されます。初期設計には多数のバリエーションが存在することがありますが、各展開では、必要な総サイト数と拡張の余地をサポートするという最終目標を考慮する必要があります。マルチリージョンのデプロイでは、最大 128 のリージョンがサポートされます。以前のリリースでサポートされるリージョン数は 64 でした。
Citrix SD-WAN マルチリージョンの概念アーキテクチャ
大規模顧客向けの SD-WAN マルチリージョン配置のハイレベルアーキテクチャは、次のとおりです。
マスター制御ノード (MCN)
マスター制御ノード(MCN)は、中央の SD-WAN デバイスで、時刻同期、ルーティング更新、およびブランチデバイスのハブを担当します。MCN の展開は、SD-WAN Orchestrator を介して実現できます。配置には、冗長性を提供するプライマリ MCN とセカンダリ MCN を設定できます。また、MCN は、サイトに 2 つの SD-WAN デバイスを使用した HA 設定で設定できます。MCN はネットワークのController として機能するため、MCN としてアクティブなデバイスが 1 つだけ指定され、その他のデバイスはすべて RCN またはクライアントノードとして指定する必要があります。
地域制御ノード (RCN)
地域制御ノード (RCN) は、階層型ネットワークアーキテクチャをサポートし、マルチリージョンのネットワーク展開を可能にします。MCNは複数のRCNを直接接続し、制御します。各 RCN は、複数のクライアントノードを直接接続し、制御します。リージョン制御ノードは、機能と責任が似ているため、リージョンの MCN と見なされます。
クライアントノード
MCN または RCN または SD-WAN Orchestrator から設定を受信し、他のブランチオフィスへのオーバーレイ機能の確立に関与するブランチサイトのアプライアンス。1 つのリージョンに複数のブランチサイトが存在する場合があり、ネットワーク内のクライアントノードの最大数は、RCN または MCN として選択されたデバイスプラットフォームによって制限されます。
SD-WAN Orchestrator
MCN、RCN、およびクライアントノードアプライアンスは、デバイスの管理インターフェイスを使用してインターネット経由でクラウドベースの SD-WAN Orchestrator に接続するように構成されています。SD-WAN Orchestrator は、構成とソフトウェアをすべての SD-WAN デバイスに並行して配布するために使用されます。また、監視およびレポート作成のために、すべての SD-WAN デバイスからデータをポーリングします。
SD-WAN マルチリージョンアーキテクチャのユースケースの例を見てみましょう。
使用事例:金融顧客ネットワーク設計
異なる国や地域に広がるいくつかの支店を持つ大規模な金融機関。各ブランチのネットワーク設計は、ブランチのサイズと WAN およびインターネットリンクの要件によって異なります。各地域支店は、ユーザー数、WAN またはインターネットリンク、および帯域幅要件に基づいて、小、中、および大に分類されます。
この組織は、アメリカ地域に400拠点、EMEA地域に300拠点、APJ地域に500拠点を配置しています。これらの地域サイトはすべて、利用可能なプライベートおよびパブリック WAN リンクを介して接続されています。SD-WAN テクノロジを必要とするこの組織のサイトの総数は 1200 です。各リージョンには、リージョンのローカル支店サイトセットをサポートするデータセンターとして表されるサイトがあります。
課題(SD-WANを使用しない)
この大規模なネットワークを管理し、安定性とスケーラビリティを確保することは、組織のペイン・ポイントです。ネットワークはさまざまなリージョンに分散しており、これらのネットワークデバイスは各サイトで個別に監視および管理されます。
地域支店の 1 つでネットワーク障害が発生し、大きなダウンタイムと生産性の低下を引き起こす場合に、複数の地域で発生した主要な停止。IT マネージャは、管理を容易にし、地域レベルでネットワークを監視するために、ブランチオフィスのネットワークをリージョン全体のネットワークに分けることを熱心に抱いています。この分離は、複数のリージョンでのダウンタイムを回避するのに役立ちます。
新しいアプリケーションが頻繁に追加されるにつれて、帯域幅の要件は急速に増大します。追加予算が必要となるため、ITチームがWANリンクまたは帯域幅をアップグレードするのは難しくなります。これらの問題は、一貫性のないアプリケーション配信とパフォーマンスに現れ、ビジネス目標にさかのぼります。
帯域幅の量、特定のアプリケーションが消費する量、およびそれらがどれだけうまく動作しているかを把握できないことが、もう 1 つの大きなペイン・ポイントです。
最後に、既存のネットワークアーキテクチャでは、リンク間のトラフィックを効率的にルーティングして、企業の帯域幅、コスト、パフォーマンスを最適化することができません。
お客様の既存の高レベルのネットワーク設計は、次のとおりです。
この会社のCTOは、ペイン・ポイントを克服し、管理性を簡素化し、スケーラビリティを向上させるために、次のような機能を備えたSoftware Defined WANソリューションを探しています。
- クラウドベースの集中管理ツールを使用して、地域内および地域間のすべての支店ネットワークを接続し、ネットワーク全体を管理、監視します。
- コントロールプレーンとブランチネットワークデバイスのヘルス、およびリージョンレベルおよびグローバルレベルでのリンクステータスの管理を提供
- 動的パス選択によるオーバーレイネットワークの作成を許可します
- リンクのロード・バランシングと有効利用率により、使用可能な帯域幅を集約する
- 地域支店の 1 つ以上のリンクで、障害時のダウンタイムやパフォーマンスの低下を回避
- IT部門は、技術更新を通じてルーターとファイアウォールを排除することにより、ブランチサイトのネットワーク占有面積を統合可能
- 支店間または支店間データセンターから特定のアプリケーション・プロトコルのQoS(サービス品質)とアプリケーション・アクセラレーションを向上
- 繰り返し発生するWANリンク・コストを削減し、すべてのリンクを効果的に活用
- 低コストのブロードバンドおよび4G LTE接続WANリンクを利用して、低帯域幅MPLSを強化
- ブランチレベルでローカルインターネットブレイクアウトを有効にして、ブランチから直接クラウドベースのアプリケーションやソーシャルメディアにアクセスできるようにします。
- ゲストのWi-Fiと企業ネットワークトラフィックを分離して、ネットワークのセキュリティを強化する
- SD-WANブランチと非SD-WANブランチのシームレスな接続を有効にする
- マルチレベルのセキュリティによるクラウド移行をサポートし、ブランチオフィスからインターネットクラウドへの直接接続を可能にします。
- 強力な暗号化、アプリケーションレベルのセキュリティポリシー、データセグメンテーションにより、WAN全体とクラウドにデータを保護
- WAN最適化とクラウド接続のサポート
Citrix SD-WAN SD-WANの実装
単一のマスターコントロールノード(MCN)のサイトサポートを超えたスケーリングは、マルチリージョンアーキテクチャを使用して行われます。複数リージョン展開では、ネットワークはリージョンにセグメント化され、それぞれがリージョン制御ノード (RCN) によって管理されます。MCN は複数の RCN ノードを管理し、必要に応じてネットワークを拡張できます。Citrix SD-WAN は、このお客様に対する前述の問題と問題点をすべて解決します。マルチリージョンアーキテクチャは、1200サイトをサポートする必要性を直接解決します。詳しく説明しましょう:
SD-WAN Orchestrator は、大規模なネットワークをより効率的に管理し、環境をインテリジェントに拡張するのに役立ちます。MCN 静的仮想パスの制限をオフロードし、地域のグループ化構造でネットワークを管理するために、地域制御ノード (RCN) が導入されています。
SD-WAN Orchestrator は、その後の構成およびソフトウェア配布用の配布ポイントです。SD-WAN Orchestrator を使用しない場合 (つまり、代わりに SD-WAN センターを使用する)、MCN および RCN で表されるデバイスにその責任が提供されます。SD-WAN Orchestrator を使用すると、大規模なネットワークの監視と管理が簡単になり、これらのデバイス上のリソースは、ネットワーク管理とは対照的に、オーバーレイ配信に利用されます。
ディザスタリカバリ用のセカンダリ Geo MCN と RCN の概念は、複数リージョン展開で展開できます。WAN間転送ノードと中間ノードの概念は、複数リージョン展開の価値を高めます。
統合Citrix SD-WAN マルチリージョンアーキテクチャを採用した金融顧客向けの高水準設計は、次のとおりです。
リージョン
SD-WANアーキテクチャの領域は、通常、大規模なネットワークを2つ以上の論理セグメントに分割するために、顧客によって定義された地理的または管理的な管理ドメインです。リージョン内の MCN、RCN、および Client ノードは、インターネットトラフィックのバックホール要件や、支店通信用の MCN または RCN を介したプロキシの潜在的なため、近接した遅延であることが推奨されます。
複数リージョン展開の場合、デフォルトリージョンはマスターコントロールノード (MCN) に関連付けられます。MCN は、複数の地域制御ノード (RCN) と一部のクライアントサイトを直接管理します。各 RCN は、複数のクライアントサイトを管理します。
MCN および RCN 冗長性
マスターコントロールノード(MCN)は、オーバーレイネットワークのヘッドエンドアプライアンスです。オーバーレイのマスター Controller およびクライアントノードの中央管理ポイントとして機能するため、MCN の可用性が非常に重要です。MCN の可用性を最大限に高めるには、ハイアベイラビリティペアで展開し、セカンダリ Geo MCN として追加して、冗長性のレベルを高めることが推奨されます。
セカンダリ Geo MCN または RCN 構成の場合、プライマリサイトとは異なる地理的な場所にあるサイト (プライマリデータセンターなど) は、障害復旧を有効にするように構成されます。これは、MCN の最大可用性を確保するためであり、それはセカンダリ Geo MCN と呼ばれています。
セカンダリ Geo MCN は、プライマリ MCN の健全性を継続的に監視します。プライマリ MCN に障害が発生すると、セカンダリ Geo MCN がアクティブ MCN の役割を引き継ぎます。セカンダリ Geo MCN アプライアンスは、プライマリ MCN と同じプラットフォームモデルではない場合があります。アプライアンスモデルは、使用状況、帯域幅要件、およびサポートされるサイト数に基づいて選択できます。プライマリ MCN への仮想パスを確立しているサイトの数も、セカンダリ Geo MCN サイトへの 2 番目の静的仮想パスを持つ必要があります。そのため、プライマリ MCN とセカンダリ Geo MCN の両方の責任で使用するように選択されたモデルは、両方とも必要な数の静的仮想パスをサポートする必要があります。
セカンダリ Geo MCN を設定する最善の方法は、既存の MCN のクローンを作成することです。これは、MCN 設定のほとんどを保持するためです。サイトを複製すると、そのサイトの構成設定セット全体がコピーされ、 セカンダリ Geo MCN 設定に従って変更されます。
MCN と同様に、RCN の操作は同じです。プライマリ RCN とセカンダリ Geo RCN を設定でき、上記のすべての機能は RCN にも適用できます。
MCN/RCN ハイアベイラビリティ
Citrix SD-WAN アプライアンスは、アクティブまたはスタンバイ高可用性(HA)の役割のアプライアンスのペアとして、高可用性構成で展開できます。HA構成では、耐障害性を確保するために、同じサブネットまたは同じサイト内に2つのアプライアンスを構成します。
ネットワーク内の MCN、RCN、およびクライアントノードに対してハイアベイラビリティを設定できます。サイト間の HA には依存関係がありません。つまり、プライマリ MCN サイトが HA に展開されている場合、セカンダリ Geo MCN サイトも HA に展開される必要はありません。
ハイアベイラビリティの設定については、製品ドキュメントおよびよくある質問を参照してください。
SD-WAN スケーラビリティ
Citrix SD-WAN を使用すると、IT部門はピアサイトで使用可能なWANリンク間の各WANパスにオーバーレイトンネルを作成できます。各 WAN パスは、仮想 IP アドレスを使用してトンネルのエンドポイントを表します。ピアSD-WANサイト間のすべての潜在的なWANパスの集約は、単一の仮想パスを提供するために、スタティックまたはダイナミック仮想パスとして知られています。ピア SD-WAN サイト間で使用できる仮想パスにより、パケットは既存のアンダーレイではなく、SD-WAN オーバーレイネットワークを利用して WAN を通過できます。これは、インテリジェントでコスト効率が悪くなります。
単一リージョン展開では、MCN はネットワーク内のすべてのノードへの仮想パスを持つ必要があります。ただし、複数リージョンの展開では、MCN はリージョナルコントロールノードへの仮想パスを持つだけで済みます。RCN で表されるデバイスは、ネットワーク内の MCN およびその他の RCN とともに、リージョン内のクライアントノードのみへの仮想パスを持つ必要があります。この仮想パスは、ブランチがリージョン間で通信するために必要です。MCN は、ネットワーク内のすべてのノードの動的仮想パス作成の中間ノード(またはメディエータ)である必要がなくなり、ロールは各リージョンの RCN にオフロードされます。
仮想パス
Citrix SD-WAN を使用すると、IT部門は各WANリンクのエンドポイントを表す仮想IPを使用してWANパストンネルを作成できます。SD-WAN では、すべての WAN パスが 1 つの仮想パスに集約されます。これにより、パケットは、最もインテリジェントでコスト効率が低い既存のアンダーレイではなく、SD-WAN オーバーレイネットワークを使用して WAN を通過できます。
MCN は、RCN ノードへの仮想パスを持つ場合にのみ必要です。RCN ノードは、リージョン内のクライアントノードのみへの仮想パスを持つ必要があります。MCN はデフォルトで RCN を使用して仮想パスを確立し、RCN は接続されたブランチを持つ仮想パスを確立します。この仮想パスは、ブランチがリージョン間で通信するために必要です。MCN は、動的仮想パス作成の中間ノード(またはメディエータ)である必要がなくなり、役割は RCN にオフロードされます。
WAN間転送
WAN-To-WAN フォワーディング (W2WF) グループは、クライアントサイトが仲介サイトを介して相互に通信できるようにするために使用されます。有効にすると、WAN-To-WAN 転送が有効になっているサイトと、特定の WAN-To-WAN グループ内のすべてのクライアントサイト間でルーティングテーブルが共有されます。また、動的仮想パスを使用する場合は、WANからWANへの転送を有効にする必要があります。デフォルトでは、すべてのサイトはデフォルトの WAN-To-WAN 転送グループに属します。
MCN で WAN-To-WAN をイネーブルにすると、ブランチネットワーク間のプロキシとして機能するように MCN によってリモートサイトルートがアドバタイズされます。クライアントモードで実行されている SD-WAN アプライアンスは、MCN で WAN 間転送が有効になるまで、他のブランチサブネットを認識しません。このオプションを有効にすると、ブランチ SD-WAN ノードは他のブランチサブネットを認識し、他のブランチ宛てのトラフィックはすべて MCN に転送されます。
SD-WAN Orchestrator で展開されたネットワークでは、WAN 間転送がデフォルトで有効になっています。宛先ルートはネットワーク内のクライアントノードにアドバタイズされ、それらのノードが宛先サブネットにトラフィックを受信すると、MCN はそのサブネットをホストしている SD-WAN への仮想パスを使用して正しい宛先にルーティングします。ネットワークには、複数の WAN-To-WAN フォワーディンググループを含めることができます。MCN で WAN 間転送が有効になっていない場合、クライアントノードルーティングテーブルにルートがないため、ブランチ間通信が失敗します。通常、ローカル SD-WAN ルートテーブルにないルートは、パススルーまたはルートを廃棄します。
仮想パスルーティング
リージョンブランチ間の動的仮想パスはサポートされていません。たとえば、アメリカ大陸地域の支店-1は、それぞれのRCN経由でのみEMEA地域の支店-902と通信できます。MCN を介したバックホールを回避するために、RCN 間のスタティック仮想パスが作成されます。RCN で接続されたブランチは、インターネットトラフィックをバックホールするように設定できます。WAN間転送は、両方の RCN でイネーブルにする必要があります。ルーティングのCitrix ドキュメントページベストプラクティスについては、を参照してください。
動的仮想パス
企業ネットワークにおける VoIP、画面共有、およびビデオ会議アプリケーションの需要が増加するにつれて、トラフィックはますますオフィス間で移動しています。ネットワーク管理者は、非効率的で時間がかかり、管理が難しいすべてのブランチ間の接続を可能にするメッシュネットワークトポロジを設定する必要があります。
Citrix SD-WAN では、すべてのオフィス間のパスを構成する必要はありません。このソリューションは、必要に応じてのみオフィス間のパスを自動的に作成する動的仮想パス(DVP)機能を有効にします。
動的仮想パスは、構成されたしきい値に基づいて、サイト間で直接確立されます。しきい値は、通常、これらのサイト間で発生するトラフィックの量に基づきます。動的仮想パスは、指定されたしきい値に達した後だけ、1 秒あたりのパケット数またはバイトカウントによって動作します。
ブランチ間の通信では、最初に MCN を介した既存の静的仮想パスがプロキシサイトとして使用されます。
DVP 作成の帯域幅と時間のしきい値が満たされると、MCN(中間ノード)によってダイナミック仮想パスが作成され、MCN に関係なく直接支店が通信を支店できるようにします。仮想パスは、必要な場合にのみ存在し、データセンターとの間で送受信されるトラフィックの量を減らします。このアクションにより、リソースを効率的に使用できるようになります。これは、牧場から支店への通信が低下していることがわかったときに、DVP に割り当てられた帯域幅がデータセンターへのスタティック仮想パスに再割り当てされるためです。
動的仮想パスは、次の間でのみ形成できます。
- 同じ地域の支店
- RCN 間
- RCNとデフォルト領域のブランチ間
マルチホップルーティングのサポート
Citrix SD-WAN は動的ルーティングプロトコルをサポートしているため、トラフィックが複数のSD-WANトンネルを通過する必要がある2つのリージョンからのブランチ間のルートを簡単に管理できます。支店401(APJリージョン)が支店902(EMEAリージョン)と通信する場合、マルチリージョンのルーティングにより、支店401-> APJ RCN-> EMEA RCN から支店902への通信が可能になります。
ルート要約
何千ものサイトがマルチリージョンアーキテクチャに存在する場合、SD-WAN はルーティングテーブル内に多数のルートを維持する必要があります。そのため、SD-WAN では、大きなルーティングテーブルを検索するために、CPU、メモリ、および帯域幅のリソースを増やす必要があります。
SD-WAN のルート集約機能は、SD-WAN が維持する必要のあるルート数を減らします。サマリールートは、複数のルートを表す単一のルートとして使用されます。単一のルートアドバタイズメントを送信することで帯域幅を節約します。これにより、複数のルートアドレスではなく 1 つのルートアドレスだけが維持されるため、メモリを節約できます。CPU リソースは、再帰的なルックアップを避けることによって、より効率的に使用されます。
リージョナルコントロールノード(RCN)は、すべてのリージョナルネットワークサブネットを集約し、サマリールートだけを MCN に送信できます。
たとえば、リージョン 1 の一部としてサブネット 172.16.0.0/16 を定義し、そのリージョン 1 に属するすべてのブランチが、リージョン定義の一部として定義されたサブネット内のネットワーク (172.16.1.0/24、172.16.2.0/24 など) を使用する場合。リージョン 1 の RCN は、サマリールート(172.16.0.0/16)をネットワーク内の MCN およびピア RCN に送信します。
SD-WAN 管理者は、ローカルサービスタイプと廃棄サービスタイプを使用してサマリールートを設定できます。このサマリールートは、ネクストホップデバイスにアドバタイズされます。サマリールートタイプの詳細については、製品ドキュメントを参照してください。
SD-WAN センターのサポート
SD-WANセンター(SDWC)10.0は、SD-WANセンターヘッドエンドとSD-WANセンターコレクタの2つの機能コンポーネントを備えたマルチリージョンの配置をサポートしています。マルチリージョンの配置では、各リージョンには SD-WAN Center Collector が必要です。SD-WAN Center Collector は、そのリージョンのすべてのサイトとインターフェイスし、そのリージョンの統計データを収集および格納します。
SD-WAN Center ヘッドエンドは、RCN に関連付けられたすべてのリージョナルコレクタとインターフェイスし、デフォルトリージョンのコレクタとして倍増します。SD-WAN Center ヘッドエンドは、ネットワーク全体の監視および管理を目的とした単一のアクセスポイントを提供し、複数のリージョンにまたがる可能性があります。
利点は、SDWC コレクタには、その地域のデータのみが含まれていることです。SDWC は、データの可視性をリージョン間でセグメント化する必要があるマルチリージョンの配置に役立ちます。SDWC ヘッドエンドは、すべてのリージョンからのすべてのデータを含む中心点となり、リージョンでフィルタリングできます。
SD-WAN Orchestrator
マルチリージョン配置の管理ツールとして SD-WAN Orchestrator を使用する場合、単一の SD-WAN Orchestrator を使用して、デフォルトリージョンを含むすべてのリージョンを集中管理します。利点は、リソースをオンデマンドで拡張できる伸縮自在性を備えたシンプルなネットワークです。
部分的なサイトのアップグレード
大規模な展開では、数百のサイトを対応するソフトウェアバージョンにアップグレードすると、不安定になる可能性があります。ここで部分的なサイト更新機能が導入されました。これにより、管理者は、SD-WAN 環境全体でネットワーク全体でステージングされたソフトウェアをアクティブ化する前に、サイトの小さなサブセット(つまり、ラボサイトまたはテストサイト)に新しいソフトウェアリリースをステージングし、安定性を検証できます。ソフトウェアの安定性が確認されたら、変更管理の [ステージングされたアクティブ化] ステップを完了することで、ステージングされたソフトウェアをアクティブ化できます。更新されたソフトウェアの新機能は、新しいソフトウェアが安定していることを安心してテストすることができます。次のような要件があります。
- アクティブなソフトウェアと同じメジャーバージョン番号を使用する必要があります(たとえば、R10.1.2 がステージングされた R10.2.0 でアクティブであり、R10.1.1 はステージングされた R11.0 ではアクティブではありません)。
- アクティブサイトと部分的にアップグレードされたサイトの構成バージョンは、ネットワークの残りの部分と同一である必要があります。
- ハイアベイラビリティサイトでは、プライマリ HA ユニットのローカル変更管理を実行する前に、スタンバイ HA ユニットサービスをディセーブルにする必要があります。
ソース
このリファレンスアーキテクチャの目標は、独自の実装計画を支援することです。この作業を容易にするために、独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソース図。