Citrix SD-WAN リファレンスアーキテクチャ

寄稿者

著者: Vivekananthan Devaraj

謝辞:

Glenn Williams Shoaib Yusuf

オーディエンス

このドキュメントでは、単一リージョン環境におけるCitrix SD-WAN のフレームワーク、設計、アーキテクチャについて説明します。このドキュメントでは、SD-WAN Orchestratorを活用したCitrix SD-WANソリューションと、関連する可能性のあるネットワークセキュリティ上の考慮事項についても説明します。

このドキュメントは、IT 意思決定者、ネットワーク管理者、ソリューションインテグレータ、パートナー、クラウドサービスプロバイダ、マネージドサービスプロバイダを対象としています。

この記事で説明するトピックは、Citrix SD-WAN の標準版とプレミアム版の両方に適用されます。説明したトピックは、さまざまな機能と機能を持つ WANOP エディションには適用されません。

Citrix SD-WAN SD-WANアーキテクチャ

Citrix SD-WAN は複数の展開モードで展開でき、物理および仮想アプライアンスを顧客の既存のネットワーク設計に統合する柔軟性を提供します。SD-WANの概要については、Citrix Tech Zone リンクを参照してください。次に、SD-WANアプライアンスを使用して実装されたユースケースシナリオの一部を示します。

  • Edgeモードの SD-WAN
  • 仮想インラインモードの SD-WAN
  • Inlineモードの SD-WAN
  • 単一リージョンのデプロイ
  • マルチリージョンの配置
  • 高可用性

Edgeモードの SD-WAN

エッジモード(Gateway モードとも呼ばれます)は、SD-WAN アプライアンスを物理的にパスに配置します(2 アーム配置)。SD-WAN アプライアンスをそのブランチの LAN ネットワーク全体のデフォルトGatewayとして挿入するには、既存のネットワークインフラストラクチャに変更を加える必要があります。エッジモードで配置された SD-WAN は、レイヤ 3 デバイスとして機能し、配線障害を実行できません。関連するすべてのインターフェイスは「Fail-to-block」に設定されます。高可用性(HA)にデプロイされていない場合にアプライアンスに障害が発生すると、サイトのデフォルト Gateway も失敗し、アプライアンスが復元されるまでそのサイトで停止します。

SDWAN-RA-Image-1

Inlineモードの SD-WAN

インラインモードでは、このモードでは、アプライアンスはイーサネットブリッジのように見えます。ほとんどのアプライアンス・モデルには、インライン・モード用の「フェイル・ツー・ワイヤ」(Ethernetバイパス)機能が含まれています。電源に障害が発生すると、リレーが閉じ、入力ポートと出力ポートが電気的に接続され、アプライアンスがないかのようにイーサネット信号が一方のポートから他方のポートに通過します。フェイル・ツー・ワイヤ・モードでは、アプライアンスは2つのポートを接続するクロスオーバー・ケーブルのように見えます。

次の図では、インターフェイス 1/1 および 1/2 はハードウェアバイパスペアであり、コアをエッジ MPLS ルータに配線接続できません。インターフェイス 1/3 および 1/4 もハードウェアバイパスペアであり、コアをエッジファイアウォールに配線接続できません。

SDWAN-RA-Image-2

仮想インラインモードの SD-WAN

仮想インラインモード。ルーターがWAN宛てのトラフィックをCitrix SD-WAN アプライアンスに転送し、アプライアンスはそれをルーターに返します。このモードは、システム停止が最も少ないモードであり、通常はデータセンターに活用されます。

SDWAN-RA-Image-3

Citrix SD-WAN アーキテクチャの概要例

SDWAN-RA-Image-4

Citrix SD-WAN の使用事例

このドキュメントでは、30 の支店を持つ単一リージョン展開に焦点を当て、SD-WAN がお客様の既存のネットワークに最も適し、そのメリットを提供するアーキテクチャを示します。単一領域のコンテキストとは、ネットワーク内のノード数が、サポートされる仮想 パスの最大数を超えた場合に必要になる複数の領域を持つのではなく、すべてのブランチノードが、マスターコントロールノード (MCN) 上で直接仮想パスを終端することを指します。単一のアプライアンス。 Citrix SD-WAN Orchestrator

Citrix SD-WAN Orchestratorは、クラウドでホストされるマルチテナント管理SaaSソリューションです。Citrix パートナー、CSP、およびMSPを活用して、管理されたSD-WANサービスを顧客に提供できます。SD-WAN Orchestrator は、適切な役割ベースのアクセス制御により、複数の顧客を一元的に管理するための 1 つのウィンドウで構成される管理インターフェイスを提供します。

主な機能の一部を次に示します。

  • マルチテナンシーおよびRBAC — このサービスにより、Citrix パートナーは複数のSD-WAN顧客を1か所、および適切な役割ベースのアクセス制御でオンボードおよび管理できます。
  • 一元化された構成 :ガイド付きワークフロー、ビジュアルエイド、プロファイルを備えた、SD-WANネットワークの一元的な構成。
  • 集中ライセンス -接続された SD-WAN デバイスのライセンス。
  • ゼロタッチProvisioning — 物理アプライアンスと仮想アプライアンスのネットワークと接続をシームレスにオンボーディングします。
  • アプリケーション中心のポリシー :アプリケーションベースのトラフィックステアリング、QoS(サービス品質)、ファイアウォールポリシー(グローバルまたはサイトごとに設定可能)。
  • 健全性の階層的要約 :ネットワークの健全性、使用状況、品質、パフォーマンスを一元的に監視し、個々のサイトおよび関連する接続をドリルダウンできます。
  • トラブルシューティング — デバイスおよび監査ログ、Ping、Traceroute、パケットキャプチャなどの診断ユーティリティを使用して、ネットワーク接続に関する問題のトラブルシューティングを行います。

SD-WAN Orchestrator にアクセスするには、各支店サイトと DC サイトを管理インターフェイス経由でインターネットに接続する必要があります。Citrix SD-WAN ソフトウェアバージョン10.1.1は、SD-WAN Orchestrator でサポートされる最小のアプライアンスソフトウェアです。

単一リージョン展開

定評のある小売顧客XYZは、30の小売支店を持つため、現在はMPLS回路を介して本社にすべてのデータをバックホールしているという設計要件でCitrix に近づいています。これらの回路を拡張することは、スケーラブルなソリューションではなく、コストであると考えられています。法外です。議論の間、ブランチで生成された大量のトラフィックをローカルで分割できることが決定されました。これには、クラウドベースの SaaS や、ソーシャルメディアなどの非ビジネス関連のトラフィックも含まれます。

お客様はガイダンスを探していて、帯域幅が限られているため、一部の場所でソーシャルメディア/非ビジネスクリティカルなトラフィックが完全にブロックされることを決定しました。また、近い将来サイトの容量を拡張する予定はありません。

上記の要件と併せて、お客様はゲストWi-Fiを提供しながら、ネットワークトラフィックを安全に分離する必要があります。さらに、内部で生成されたトラフィックはルーティングドメインを介して分割され、追加のレイヤーが提供されますPOSが製造現場のターミナルから分離されるようなセキュリティの。

また、予算とリソースの確保のため、現在はSD-WANソリューションをすべてのサイトに導入する立場にはないとアドバイスしています。したがって、既存のMPLS回線とイントラネット・サービスを使用して接続を確立する必要があります。

リテール顧客-既存のネットワークアーキテクチャ

SD-WAN 設定に進む前に、ネットワーク管理者は、既存の(アンダーレイ)ネットワークを適切に理解し、SD-WAN ソリューションを必要とするネットワークの制限を完全に理解する必要があります。

現在、お客様は、ビジネスアプリケーション用のプライマリおよびセカンダリデータセンターを備えているため、耐障害性に優れたネットワークを構築しています。プライマリデータセンターには、CE ルータで終端された 2 つの MPLS 回線(10 Mbps および 20 Mbps)があり、セカンダリデータセンターには WAN 接続用に終端された MPLS 回線(20 Mbps)が 1 つあります。プライマリ・データ・センターで災害が発生した場合、プライマリ・データ・センターはセカンダリ・データ・センターにフェイルオーバーします。

POS(販売時点管理)およびその他のビジネスクリティカルなアプリケーションは、データセンター内でホストされます。すべての支店の場所は、データセンターへの MPLS リンクを介して POS およびその他のビジネスアプリケーションにアクセスするように設定されます。現在、いくつかの支店では、冗長性のために 2 つの MPLS リンクがありますが、これらはアクティブ/パッシブとして設定されているため、支払っている帯域幅を十分に活用していません。すべての支店ユーザは、データセンターのブレイクアウトを介してインターネットにアクセスするため、すべてのトラフィックはオーバーサブスクライブされたMPLS回線を通過する必要があります。これに対処するために、お客様はインターネットとクラウドホスト型SaaSへの直接接続を提供するために、いくつかの支店でローカルインターネットブレイクアウトを導入することを計画していますアプリケーションです。

SDWAN-RA-Image-5

Citrix SD-WANを実装するメリット

  1. Citrix SD-WAN では、WANリンクアグリゲーションが可能で、リンクの1つに障害が発生した場合や大量のパケット損失が発生した場合にダウンタイムをなくします。
  2. ビジネス・アプリケーションにアクセスしている間、すべてのブランチ・ユーザーのアプリケーション・パフォーマンスとQoS(サービス品質)の向上
  3. お客様が支店で低価格のブロードバンド接続とLTE接続でMPLS回線を拡張できるようにすることで、WANコストを削減
  4. 複数のリンク障害時にも接続を維持する、ビジネス接続性と災害復旧機能の向上
  5. ネットワーク機能を統合されたWANエッジ・アプライアンスに統合し、管理とポリシー定義を一元化することにより、ブランチネットワーキングをシンプル化

リテールカスタマー — Citrix SD-WAN ネットワーク設計

SDWAN-RA-Image-6

上記の図は、Citrix SD-WAN を組み込んだ提案オーバーレイネットワーク設計を表し, 次のセクションでは、我々は、SD-WAN構成を理解するために、各データセンターや支店にドリルダウンし、それが異なるアクセスタイプを使用して仮想WAN接続を形成する方法-MPLS, インターネットと 4G/LTEリンク。

SD-WAN Orchestrator

SD-WAN アプライアンスは、デバイスの管理インターフェイスを使用してインターネット経由でクラウドベースの SD-WAN Orchestrator に接続するように構成されています。SD-WAN Orchestrator は、設定とソフトウェアをすべての SD-WAN デバイスに並行して配布します。また、監視とレポート作成のためにすべての SD-WAN デバイスからデータをポーリングします。ファイアウォールルールを適用して、SD-WANアプライアンスがCitrix Cloud SD-WAN Orchestrator サービスと通信できるようにする必要がありました。

SDWAN-RA-Image-7

プライマリ・データ・センター構成

プライマリデータセンターの SD-WAN アプライアンスは、仮想インラインモードを使用して展開されます。仮想インラインモードは、ポリシーベースルーティング(PBR)モードとも呼ばれます。トラフィックを SDWAN アプライアンスにルーティングする方法は 2 つあります。

  • ポリシーベースルーティング
  • ダイナミックルーティングプロトコル

Citrix SD-WAN ソリューションは、静的ルーティングプロトコルと動的ルーティングプロトコルの両方をサポートしています。

SD-WAN アプライアンスは、既存のカスタマーネットワーク内のレイヤ 3 ルーティングアドバタイズメントのルート検出を、目的のダイナミックルーティングプロトコル(OSPF および BGP)ごとに実行できます。これにより、SD-WAN 管理者が LAN 側と WAN 側のネットワーキングをスタティックに定義する必要がなくなります。環境は、SD-WAN ネットワークの一部である各アプライアンスに対して構成されます。

ルート学習が有効になっているネットワークの場合、Citrix SD-WAN では、すべてのルートまたはまったくアドバタイズするのではなく、ルーティングネイバーにアドバタイズされるSD-WANルートをより詳細に制御できます。エクスポートフィルタは、特定の一致基準に基づいて OSPF および BGP プロトコルを使用したアドバタイズメントのルートを含めたり除外したりするために使用されます。ルートフィルタリングは、SD-WAN ネットワーク(データセンター/ブランチ)内の LAN ルートに実装され、eBGP を介して非 SD-WAN ネットワークにアドバタイズされます。SD-WAN 管理者は、要件に基づいて 32 個のエクスポートフィルタを設定できます。エクスポートフィルタは、特定の順序に基づいて特定のルーティングドメインまたはデフォルトルーティングドメインに優先順位を付けるために使用されるフィルタです。

  • フィルタのインポート — (デフォルト:インポートなし)
  • Export Filters:(デフォルト:すべてのスタティックルートとトンネルルートをエクスポート)

[Export OSPF Route Type] は、デフォルトでタイプ 5 External です。これは、SD-WAN ルーティングテーブルが OSPF プロトコルの外部と見なされるため、OSPF は内部(エリア内)学習ルートを優先するため、SD-WAN によってアドバタイズされるルートが優先されないためです。OSPF が WAN(MPLS ネットワーク)全体で使用される場合、これはタイプ 1 エリア内に変更できます。SD-WAN は、OSPF パス選択アルゴリズムを使用して、ルートをエリア内ルート(LSA タイプ 1)としてアドバタイズし、ルートコストに従って優先度を取得できるようになりました。

マスター制御ノード

単一リージョン展開の場合、データセンターアプライアンスは MCN(マスターコントロールノード)に設定されているヘッドエンドアプライアンスです。MCN では、スタティック IP アドレスを設定する必要があります。マスター制御ノード(MCN)は、時間同期、ルーティング更新、およびブランチデバイスのハブを担当する中央の仮想 WAN アプライアンスです。ヘッドエンドデバイスは、通常、高可用性で展開されます。お客様にはディザスタリカバリ用に 2 つのデータセンターがあるため、プライマリデータセンターはプライマリ MCN(これは HA ペアでも可)として設定され、セカンダリデータセンターはセカンダリ MCN(HA ペアでも可)として設定されます。

ハイアベイラビリティモード

Citrix SD-WAN 高可用性(HA)構成では、冗長性を確保するために、プライマリデータセンターに2つのSD-WANアプライアンスがあり、アクティブ/スタンバイのパートナーシップで機能します。HAペアのアプライアンスは両方とも同じアプライアンスモデルでなければなりません。

ハイアベイラビリティコンフィギュレーションを定義するために、SD-WAN 管理者は HA アプライアンス名をプライマリ MCN として設定しています。フェールオーバー時間(ミリ秒)を設定できます。これは、 ハートビート障害が発生した場合の待機時間をアクティブノードとしてスタンバイ MCN アプライアンスを起動するまでの待機時間をミリ秒単位で指定します。フェールオーバー時間のデフォルト値は 1000 ミリ秒です。これらの設定に加えて、管理者はプライマリ MCN に対して [Primary Reclaim] オプションを選択して、フェールオーバーイベント後の再起動時に制御を再利用しています。ハイアベイラビリティには、HA ペアのアプライアンス間でインターフェイス MAC アドレスを共有するように設定できる、共有ベース MAC アドレスの追加設定があります。フェールオーバーが発生した場合、セカンダリアプライアンスは、障害が発生したプライマリアプライアンスと同じ仮想 MAC アドレスを持ちます。クラウドベースのプラットフォームでは、共有ベース MAC アドレスを無効にする追加オプションがあります。

ハイアベイラビリティ IP インターフェイス設定では、管理者は HA ペアのアプライアンス間でプライマリおよびセカンダリ IP アドレスを持つハートビート通信用の仮想インターフェイスを選択しています。フェールオーバーは、監視対象のインターフェイスについてプライマリからセカンダリへのハートビート障害時にのみ発生することに注意してください。SD-WAN アプライアンスでハートビート障害が監視されていないインターフェイスがあり、これらのインターフェイスで障害が発生した場合、アプライアンスはフェールオーバーしません。

外部トラッカー IP アドレスは、アップストリームルータを ARP し、プライマリアプライアンスの状態に関するステータスを更新するように設定されています。応答に障害が発生した場合、SD-WAN はフェールオーバーを開始します。

SDWAN-RA-Image-8

仮想パス

SD-WAN 管理者は、各 WAN リンクのエンドポイントを表すように仮想 IP を構成することによって、データセンターとブランチ SD-WAN アプライアンス間の各 WAN リンク上に WAN パストンネルを作成しました。この設定により、は複数の WAN リンク(物理リンク)を 1 つの仮想パスに集約し、パケットが既存のアンダーレイではなく SD-WAN オーバーレイネットワークを使用して WAN を通過できるようにします。仮想パスは UDP ポート 4980 を使用した UDP ベースのトンネルです。ネットワーク管理者は、アップストリームのファイアウォール、ルータ、IPS、および IDS デバイスに、WAN リンク上の UDP 4980 パケットが SD-WAN デバイス間の仮想パスを確立するのに必要な規則があることを確認します。

SD-WAN 仮想パスサービスは、仮想パス全体のトラフィックを管理します。仮想パスは、SD-WAN サイトを接続する 2 つ以上の WAN リンク間の論理リンクです。SD-WANノード間で高いサービス・レベルと信頼性の高い通信を提供するために、異なるWANアクセス・タイプをグループ化したものです。これは、アンダーレイWANパスの状態を常に測定することによって実現されます。送信元(送信側)アプライアンスは、現在のリンク特性に関する情報を含むヘッダーを各パケットに追加します。宛先(受信)アプライアンスはこれらのヘッダーを読み取り、データを使用して、通過時間、輻輳、ジッタ、パケット損失、およびパスのパフォーマンスとヘルスに関するその他の情報を理解します。

SD-WAN アプライアンスはパスを一方向に測定し、パケット単位で最適なパスを選択します。Citrix SD-WAN では、ネットワーク変更に迅速に適応するためのパケットベースのパスを選択できます。SD-WANアプライアンスは、パケットが2つまたは3つの欠落した後にパスの停止を検出できるため、アプリケーション・トラフィックを次善のWANパスにシームレスにサブセカンド・フェイルオーバーできます。SD-WAN アプライアンスは、すべての WAN リンクステータスを約 50 ミリ秒で再計算します。

仮想パスはブランチ間でスタティックまたはダイナミックにできますが、すべてのブランチには MCN へのスタティックパスが必要です。 ダイナミック仮想パスは、設定されたしきい値に基づいてサイト間で直接確立されます。しきい値は、これらのサイト間で発生するトラフィック量に基づいており、動的仮想パスは、指定されたしきい値に達した後にのみ作成されます。ダイナミック仮想パスのデフォルトルートコストは 5 で、デフォルトの制限とタイマーがあります。

  • 仮想パスの削除待機時間 — 1 分
  • 仮想パス保持時間(m)の再作成 — 10分
  • 作成の制限
    • サンプル時間 — 1 秒
    • スループット:600キロビット/秒
    • スループット:45 pps
  • 削除の制限
    • サンプル時間 — 2 秒
    • スループット:45 kbps
    • スループット:35 pps

仮想パスの保護

AES-128ビット暗号化はデフォルトで仮想パスに対して有効になっています。AES-256とIPsecも利用できます。これは仮想パス用です。デフォルトで有効になっている「暗号化キーローテーションを有効にする」オプションは、楕円形を使用して暗号化が有効になっているすべての仮想パスに対して鍵を再生成するように設定されていますカーブディフィーヘルマンキー交換を 10-15 分間隔で行い、これは設定可能です。

サイトごとに秘密キーがあります。仮想パスごとに、仮想パスの両端にあるサイトからの秘密キーを組み合わせてキーを生成します。仮想パスが最初に設定された後に発生する最初のキー交換は、その結合されたキーでパケットを暗号化および復号化する機能に依存します。

Citrix SD-WAN は、CitrixのSD-WANアプライアンスのLAN側またはWAN側のIPsec VPNトンネルを終了できるようにするIPsecをサポートしています。管理者は、140-2 レベル 1 FIPS 認定 IPsec 暗号化バイナリを使用して、SD-WAN アプライアンスで終端するサイト間 IPsec トンネルを保護できます。SD-WAN は、差別化された仮想パストンネリングメカニズムを使用した復元性 IPsec トンネリングもサポートします。

セカンダリ・データ・センター構成

セカンダリデータセンターの SD-WAN アプライアンスも仮想インライン(PBR)モードで展開され、セカンダリデータセンターの SD-WAN アプライアンスはパラレル HA 構成でセカンダリ MCN として構成されます。

SDWAN-RA-Image-9

プライマリ MCN のセカンダリへのフェールオーバー

SDWAN-RA-Image-10

セカンダリ MCN はプライマリ MCN の健全性を継続的に監視し、プライマリ MCN に障害が発生した場合、セカンダリ MCN が MCN の役割を引き受けると、プライマリ MCN からセカンダリ MCN への切り替えは、プライマリ MCN が非アクティブになってから 15 秒後に行われます。プライマリアプライアンスが ON に戻り、しきい値タイマーの期限が切れると、プライマリ再要求が自動的に行われるため、セカンダリ MCN ではプライマリ再要求オプションを使用できません。

データセンターへのバックホールインターネット MCN

「バックホール」という用語は、インターネット宛てのトラフィックが、WAN リンク経由でインターネットにアクセスできる別の定義済みサイトに送信されることを示します。これは、セキュリティ上の問題やアンダーレイネットワークの制限が原因で、ブランチオフィスで直接インターネットアクセスを許可しないネットワークの場合です。ネットワーク管理者は、DCリソースでもインターネットアクセスでも、すべてのトラフィックがMCNにバックホールされるように設定できますが、他のCitrix SD-WAN ブランチノードサイトを利用してインターネットにアクセスできます。

環境によっては、支社のユーザーにインターネットアクセスを提供するために、データセンターで強化された DMZ を介してすべてのリモートサイトのインターネットトラフィックをバックホールすることが最も望ましい方法です。ただし、このアプローチには、アンダーレイ WAN リンクのサイズを適切に認識する制限があります。

  • インターネットトラフィックのバックホールは、インターネット接続に遅延を追加し、データセンターの支店サイトの距離に応じて変動します。
  • インターネットトラフィックのバックホールは仮想パス上の帯域幅を消費するため、WAN リンクのサイズ設定に考慮する必要があります。
  • インターネットトラフィックのバックホールは、特に仮想インラインモードを利用している場合に、データセンターでインターネット WAN リンクをオーバーサブスクライブする可能性があります。

ブランチユーザーのCitrix Virtual Apps and Desktops へのアクセス

Citrix Virtual Apps and Desktops 環境は、MPLSネットワークを介してCVAD環境にアクセスする必要があるすべての支店ユーザーのために、データセンターロケーションでホストされます。この環境には、印刷、マルチメディアなどのCitrix HDXユーザーエクスペリエンス機能がすべて含まれています。Citrix SD-WAN を使用すると、Citrix Virtual Apps and Desktops 環境にアクセスしながら、ブランチユーザーに最高のユーザーエクスペリエンスを提供できます。

ブランチ 1 の設定

ブランチサイトを追加する手順は、SD-WAN Orchestrator を使用して MCN サイトを作成および構成する場合と同じですが、一部の構成手順と設定はブランチサイトでは多少異なります。さらに、最初のブランチサイトを追加したら、同じアプライアンスモデルを持つサイトのクローン(複製)機能を使用して、それらのサイトを追加および構成するプロセスを合理化できます。

Branch-1 の SD-WAN アプライアンスは、インラインモードを使用してデプロイされます。ハードウェアまたはソフトウェアに障害が発生した場合にリンクをブリッジするために、Fail-to-Wire 設定が適用されています。これにより、ユーザは引き続きビジネスクリティカルなアプリケーションや POS アプリケーションに MPLS 経由でアクセスできます。

ブランチ 1 には MPLS リンクが 1 つしかなく、インターネットリンクがないため、すべてのインターネットトラフィックがデータセンターにバックホールする必要があるため、ブランチ 1 のインターネットアクセスに十分な帯域幅を備えた、ブランチ 2 で利用できるインターネットリンクを利用することに決めました。SD-WAN管理者は、支店2に到達するまでの遅延がデータセンターと比較して少ないことを確認しました。したがって、支店2でインターネットを利用すると、支店1ユーザーの最適なパフォーマンスが得られます。この要件は、ヘアピンの配置によって達成されます。SD-WAN 管理者は、WAN から WAN への転送を有効にして、このサイトがマルチホップサイトのプロキシとして機能できるようにすることに注意してください。

ヘアピン配置

ヘアピン展開は、ローカルインターネットサービスが使用できないため、サイトがリモートハブサイトの WAN リンクをインターネットアクセスに使用できるようにする構成を実装するのに役立ちます。

ヘアピン展開の目的は、ブランチまたはサイトに対してローカルではないインターネットリンクを介してアプリケーションに直接アクセスできるようにすることです。お客様は、必要が生じたときにインターネットアクセスにリモートサイトを使用し、仮想パスを経由してフローをルーティングできます。

目的の要件を満たすために、ブランチ-1 SD-WAN アプライアンス用のヘアピン配置設定を作成して適用し、ブランチ 1 ユーザがブランチ 2 経由でインターネットにアクセスできるようにしました。また、同じポリシーと設定が SD-WAN オーケストレータを使用してブランチに伝播されました。また、ブランチ 1 からの追加トラフィックに対応するために、ブランチ 2 に必要な帯域幅がインターネットリンク上で確保されていることも確認しました。

ディープパケット検査 (DPI) を使用したアプリケーションの可視化

Citrix SD-WAN には、アプリケーションのリアルタイム検出と分類を可能にする統合ディープパケット検査(DPI)ライブラリがあります。SD-WAN アプライアンスは、組み込み DPI エンジンを使用して、着信パケットを分析し、アプリケーションまたはアプリケーションファミリに属するものとして分類します。

Citrix SD-WAN は、DPIベースのアプリケーションの可視性を使用して、4,500を超えるアプリケーションとサブアプリケーションを検出できます。この機能は、さまざまなパターンマッチング、セッション動作、DNSキャッシング、ポートベースの分類技術を採用し、HTTPSやIMAPSなどのSSL暗号化トラフィックを含め、WANを通過するすべてのアプリケーションをリアルタイムでレイヤー7の可視性を実現します。Citrix SD-WAN は、ソーシャルメディア(Facebook、YouTube、Twitter)、O365、Oracleなどのアプリケーションの可視性を提供するだけでなく、アプリケーションの帯域幅消費の可視性も提供し、ビジネスクリティカルなアプリケーションが帯域幅を飢えないようにします。

ブランチ 1 ユーザは、インターネットリンク経由でアプリケーションアクセスするためにブランチ 2 にバックホールされるため、お客様はアプリケーションレベルのアクセスとその帯域幅の使用率を監視して、アクセスパターンを理解し、ビジネスニーズのアプリケーションに対してのみアクセスを制御することにしました。お客様は、Facebook、YouTube、Twitter などの同類を含む「ソーシャルメディア」と呼ばれる新しく作成されたアプリケーショングループをブロックするアプリケーションポリシーを作成しました。

この構成では、ブランチ1ユーザーはビジネスクリティカルなアプリケーションに対してのみインターネットにアクセスでき、ブランチ1SD-WAN自体で非ビジネス関連アクセスはブロックされているため、貴重な帯域幅を節約できます。

SDWAN-RA-Image-11

ルーティングドメイン

Citrix SD-WAN は、仮想ルーティングと転送(VRF-Lite)を使用して、セキュリティと管理性を高めるためにネットワークをセグメント化する機能を提供します。顧客は、ゲストネットワークトラフィックを従業員の生産トラフィックから分離し、個別のルーティングドメインを作成して大規模な企業ネットワークをセグメント化し、トラフィックをセグメント化して複数のカスタマーネットワークをサポートできます。各ルーティングドメインには独自のルーティングテーブルがあり、重複する IP サブネットのサポートが有効になります。

Citrix SD-WAN アプライアンスは、ネットワークトラフィックを制御およびセグメント化するために、ルーティングドメインにOSPFおよびBGPルーティングプロトコルを実装します。仮想パスは、アクセスポイントの定義に関係なく、すべてのルーティングドメインを使用して通信できます。これは、SD-WAN カプセル化には各パケットのルーティングドメイン情報が含まれているため、両方のエンドデバイスがルーティングドメインに関してパケットが属する場所を認識するためです。ルーティングドメインは、VLANなどの障壁によって分離され、最大255のルーティングドメインを設定することが可能です。

要件に従って、管理者はブランチ 1 に 2 つのルーティングドメインを作成し、それぞれコーポレートトラフィックとゲストの Wi-Fi アクセスに使用されます。Citrix Virtual Apps and Desktops のトラフィックは仮想パスを使用してデータセンターにルーティングされ、ゲストの Wi-Fi アクセスはヘアピンを使用して branch-2 にルーティングされます。構成で行います。

お客様は、ルーティング・ドメインに加えて、ビジネス・クリティカルなアプリケーションの優先度を仮想パスに適用したいと考えていました。次のセクションでは、アプリケーションの QoS と、アプリケーションの QoS がお客様の要件の達成にどのように役立つかについて説明します。

アプリケーションの QOS

Citrix SD-WAN ソリューションは、市場で最も洗練されたアプリケーションQoSエンジンの1つを備えています。アプリケーショントラフィックを評価し、他のアプリケーションに対して優先順位を付けるだけでなく、WANネットワーク品質に関するニーズを理解し、リアルタイムでネットワーク品質特性に基づいてネットワークパスを選択するための幅広い機能を備えています。

アプリケーション分類機能を使用すると、Citrix SD-WAN アプライアンスは着信トラフィックを解析し、アプリケーションまたはアプリケーションファミリに属するものとして分類できます。この分類により、アプリケーションルールを作成して適用することにより、個々のアプリケーションまたはアプリケーションファミリの QoS を向上させることができます。

ネットワーク管理者は、アプリケーション、アプリケーションファミリ、またはアプリケーションオブジェクトマッチタイプに基づいてトラフィックフローをフィルタリングし、それらにアプリケーションルールを適用できます。アプリケーションルールは、インターネットプロトコル (IP) ルールに似ています。

Citrix SD-WAN ソリューションは、デフォルトのアプリケーション分類、ルールフィルタリング、クラス割り当て設定のセットを提供します。管理者は、クラスを使用して、仮想パス上の特定のタイプのトラフィックを分類し、このトラフィックを処理するルールを適用できます。ルールで定義されているように、トラフィックは特定のクラスに割り当てられます。

SD-WANシステムは、17のクラス(0〜16)を提供します。クラス0-3はCitrix HDX QoS優先順位付けのために事前定義されています。これらのクラスは、異なるICA優先順位タグを持つHDXトラフィックを分類するために使用されます。SD-WAN 管理者は、クラスタイプと割り当てられた帯域幅共有を編集して最適なサービス品質を取得できますが、クラスの名前を編集することはできません。

クラス 10-16 は事前定義されており、リアルタイム、インタラクティブ、バルククラスタイプに関連付けられています。各タイプをさらに構成して、そのタイプのトラフィックに合わせてサービス品質を最適化できます。クラス 4-9 を使用して、ユーザー定義クラスを指定できます。クラスは、次の 3 つのタイプのいずれかです。

リアルタイム — Skype for Business やICAオーディオなどのVoIPやVoIPのようなアプリケーション。一般に、ビジネスに不可欠な小さい UDP パケットを使用する音声専用アプリケーションを指します。

対話型 — これは最も広いカテゴリであり、ユーザーとの対話の度合いが高い任意のアプリケーションを指します。ビデオ会議などの一部のアプリケーションは、遅延の影響を受けやすく、広い帯域幅を必要とします。HTTPSのような他のアプリケーションは、より少ない帯域幅を必要とするかもしれませんが、ビジネスにとって不可欠です。対話型アプリケーションは、通常、トランザクションです。

Bulk :これは、豊富なユーザーエクスペリエンスを必要としないが、データの移動(FTPまたはバックアップ/レプリケーションなど)に関するより詳細なアプリケーションです。

支店からデータセンターへのHDXアクセスの優先順位付けというお客様の実際の要件を達成するために、SD-WAN管理者は、すべての支店に対するCitrix HDXアクセスのQoSルールを作成し、SD-WAN Orchestrator経由で支店にポリシーを適用しました。お客様は、Provisioning 設定を適用して、WAN リンクに関連付けられたさまざまなサービス間で WAN リンクの帯域幅を双方向(LAN から WAN または WAN から LAN)に分散させることができます。

ブランチ 2 の設定

Branch-2 の SD-WAN アプライアンスは、MPLS 回線とインターネット回線の両方に配置され、高可用性のインラインモードと呼ばれるもので展開されます。つまり、既存のルーティングデバイス/ファイアウォールはその場にとどまります。

お客様は、この支店の既存のインターネットリンクのバックアップを提供するために、4G/LTEインターネットリンクを導入した210台のLTEアプライアンスをインストールしています。ディープパケット検査機能を使用すると、インターネットアクセスを必要とするビジネスアプリケーションとSaaSアプリケーションは、ローカルブランチで分割する必要があり、トラフィックは専用のインターネットリンクまたは4G/LTEリンクを介してルーティングする必要があります。すべてのソーシャルメディアアクセスは、ブランチで分割し、インターネットリンクを介してルーティングする必要があります。

SD-WAN 管理者は、ローカルインターネットブレークアウトサービスを使用して、ブランチのローカルインターネットリンクを介してトラフィックを迂回するようにアプリケーションポリシーを設定しました。このインターネットブレイクアウトサービスを使用する場合、インターネットトラフィックはデータセンターにバックホールするのではなく、ブランチ2からパブリックインターネットに直接送信されます。

ローカルインターネットブレイクアウトサービス

インターネットサービスはサイトとパブリックインターネット間のトラフィックに使用され、インターネットサービスのトラフィックはCitrix SD-WAN によってカプセル化されず、QoSを含む仮想パスサービスを通して配信されるトラフィックと同じ機能はありません。

ただし、このインターネットトラフィックを分類して考慮することが重要です。インターネットサービスとして識別されるトラフィックを使用すると、仮想パスおよびイントラネットを介して配信されるトラフィックに対してインターネットトラフィックをレート制限することにより、SD-WAN リンク帯域幅を積極的に管理できるようになります。サービスを、管理者によって確立された設定に従って実行します。帯域幅のProvisioning 機能に加えて、SD-WANには、複数のインターネットWANリンクを使用してインターネットサービス経由で配信されるトラフィックを負荷分散する機能が追加されています。

Citrix SD-WAN のインターネットサービスを使用したインターネットトラフィック制御は、次の展開モードで構成できます。

  • 統合ファイアウォールを使用した支店での直接インターネットブレイクアウト
  • Secure Web Gateway への支店転送時の直接インターネットブレイクアウト

SDWAN-RA-Image-12

Zscalerクラウドセキュリティプラットフォーム

トラフィックのセキュリティを確保し、ポリシーを適用するために、企業は企業データセンターへのインターネット宛てのトラフィックをバックホールします。データセンターは、セキュリティポリシーを適用し、セキュリティアプライアンスを通過するトラフィックをフィルタリングし、ISP 経由でトラフィックをルーティングします。プライベート MPLS リンクを介したこのようなバックホールはコストが高く、貴重なリソースを消費します。また、大きな待ち時間が発生し、ブランチサイトでのユーザーエクスペリエンスが低下します。

バックホールの代わりに、ブランチにセキュリティアプライアンスを追加することもできます。ただし、複数のアプライアンスをインストールするにつれて、コストと複雑さが増します。また、支店のコストと管理が多数ある場合は実用的ではありません。

コスト、複雑さ、待ち時間を増やすことなくセキュリティを強化する理想的なソリューションは、Citrix SD-WAN アプライアンスからZscalerクラウドセキュリティプラットフォームにすべてのブランチインターネットトラフィックをルーティングすることです。お客様は、中央の Zscaler コンソールを使用して、ユーザーの詳細なセキュリティポリシーを作成できます。ポリシーは、ユーザーがデータセンターにいるかブランチサイトにいるかにかかわらず、一貫して適用されます。Zscaler セキュリティソリューションはクラウドベースであるため、ネットワークにセキュリティアプライアンスを追加する必要はありません。

Zscalerクラウドセキュリティプラットフォームは、世界中の100以上のデータセンターで一連のセキュリティチェック記事として機能します。お客様のインターネットトラフィックを Zscaler にリダイレクトするだけで、データストア、ブランチ、リモートロケーションをすぐに保護できます。Zscalerは、暗号化または圧縮されている場合でも、トラフィックのすべてのパケットを検査し、ユーザーとインターネットを接続します。Citrix SD-WAN アプライアンスは、お客様のサイトからGREトンネルまたはIPsecトンネルを介してZscalerクラウドネットワークに接続できます。

インターネットサービスのブレークアウトを実現し、インターネットトラフィックのセキュリティを確保するために、管理者はブランチ 2 SD-WAN アプライアンスでローカルインターネットブレイクアウトサービスを設定し、Zscaler クラウドネットワークへの IPsec トンネルを作成しました。この構成により、お客様は、安全なトンネルでブランチ 2 から Zscaler へインターネットトラフィックを転送し、次にパブリックインターネットへ転送することができました。この目標を達成することにより、MPLS リンク帯域幅が削減され、コストが削減されました。

ブランチ 3 コンフィギュレーション

支店3にあるSD-WANアプライアンスは、フェイル・ツー・ワイヤ構成でインライン・モードを使用して展開されます。このブランチには、インターネットリンクとバックアップ用の4G/LTEインターネットリンクがあります。ブランチ 3 では、データセンター MCN へのインターネットトラフィックにバックホールする設定があります。お客様は、ニュース、SaaS、およびユーザーに中断のない最適なアクセスを提供するために、ローカルインターネットリンクを介して他のクラウドサービスアクセスのようないくつかのインターネットトラフィックエリアを迂回することを決めました。

SDWAN-RA-Image-13

アプリケーションルート

ブランチオフィスのユーザーは、SD-WAN仮想パスを使用して、プライマリまたはセカンダリのデータセンター、クラウドアプリケーション、またはSaaSアプリケーションでホストされているアプリケーションにアクセスする必要があります。アプリケーションルーティング機能により、ネットワークを介してアプリケーションを簡単かつコスト効率よくステアリングできます。Branch-3 ユーザーが SaaS アプリケーションにアクセスしようとするときにこの機能を使用すると、最初にデータセンターを通過することなく、トラフィックをインターネット上で直接ルーティングできます。

Citrix SD-WAN は、仮想パス、インターネット、イントラネット、ローカル、GREトンネル、およびLAN IPsecトンネルのアプリケーションルートを定義します。アプリケーションのサービスステアリングを実行するには、最初のパケット自体でアプリケーションを識別することが重要です。最初に、トラフィックが分類され、アプリケーションが認識されると、パケットは IP ルートを通過し、対応するアプリケーションルートが使用されます。最初のパケット分類は、アプリケーションオブジェクトに関連付けられた IP サブネットとポートを学習することによって実現されます。これらは、DPI 分類子の履歴分類結果と、ユーザが設定した IP ポート一致タイプを使用して取得されます。

ブランチ 3 では、お客様はインターネットリンクを持っており、インターネットに誘導するアプリケーショントラフィック用のリンクを利用したいと考えていました。お客様は、Azure、AWS、および Google Cloud アクセスのアプリケーションルーティングを設定して、ローカルのインターネットリンクを使用してアクセスできるようにしました。

スタンバイおよびメータリング WAN リンク

Citrix SD-WAN では、スタンバイリンクが有効になります。スタンバイリンクは、他のすべての使用可能なWANリンクが無効になっている場合に、特定のインターネットWANリンク上でのみユーザーのトラフィックが送信されるように設定できます。

スタンバイリンクは、使用量に基づいて課金されるリンクの帯域幅を節約します。スタンバイリンクを使用すると、管理者はリンクを Last Resort リンクとして設定できます。これにより、他のすべての非従量リンクがダウンまたは低下するまで、リンクの使用が禁止されます。

[最後のリゾートを設定] は、サイトへの 3 つの WAN リンク(MPLS、ブロードバンドインターネット、4G/LTE)があり、WAN リンクの 1 つが 4G/LTE であり、必要な場合を除き、ビジネスで使用するにはコストがかかりすぎることがあります。メータリングはデフォルトでは有効になっておらず、任意のアクセスタイプ(パブリックインターネット、プライベート MPLS、プライベートイントラネット)の WAN リンクで有効にできます。

お客様は、クラウドインターネットトラフィックにとって重要なローカルインターネットリンクのバックアップ/スタンバイを有効にする必要もあります。管理者は、4G-LTEリンクを従量制のラストリゾートリンクとして有効にしました。そのため、専用のローカルインターネットリンクが飽和または失敗した場合、インターネットトラフィックも4G-LTEリンクを使用します。

ブランチ 29 コンフィギュレーション

Branch-29 の SD-WAN アプライアンスは、パラレル HA 設定のインラインモードを使用して展開され、2 つの MPLS リンクと、インターネットアクセス用に SD-WAN で終端される 4G-LTE リンクを接続します。このブランチには 3 つの WAN リンクがあるため、お客様はインターネットとイントラネットのトラフィックの仮想パスを分離したいと考えていました。インターネットトラフィックは常に MPLS リンクの 1 つを使用し、障害が発生した場合は 4G-LTE リンクを使用し、イントラネット非 SD-WAN ブランチトラフィックの場合は 2 つ目の MPLS リンクを使用する必要があります。また、お客様は、SD-WAN 以外の支店と通信できるように、すべての支店でイントラネットサービスを構成していることを確認しました。

SDWAN-RA-Image-14

イントラネットサービス

イントラネットサービスは、プライベート WAN リンク(MPLS、P2P、VPN など)を介して MPLS ネットワーク上にあるが、SD-WAN アプライアンスを持たない Branch-30 に到達可能なルートを示します。これらのルートは、特定の WAN ルータに転送する必要があることを前提としています。イントラネットサービスはデフォルトでは有効になっていないため、SD-WAN 管理者はこのサービスを有効にしてルートを適用しています。このルート(サブネット)に一致するトラフィックは、SD-WAN ソリューションを持たないサイトに配信するために、このアプライアンスのイントラネットとして分類されます。

インターネットサービス

インターネットサービスはイントラネットに似ていますが、プライベートWANリンクではなくパブリックインターネットWANリンクに流れるトラフィックを定義するために使用されます。独自の相違点の 1 つは、インターネットサービスを複数の WAN リンクに関連付けて、ロードバランシング(フロー単位)またはアクティブ/バックアップに設定できることです。デフォルトのインターネットルートは、インターネットサービスが有効になっているときに作成されます(デフォルトではオフです)。このルート(サブネット)に一致するトラフィックは、このアプライアンスのインターネットとして分類され、パブリックインターネットリソースに配信されます。

イントラネットとインターネットルート

イントラネットおよびインターネットサービスタイプの場合、SD-WAN 管理者は、これらのタイプのサービスをサポートする SD-WAN リンクを定義する必要があります。これは、これらのサービスのいずれかの定義済みルートに対する前提条件です。WAN リンクがイントラネットサービスをサポートするように定義されていない場合は、ローカルルートと見なされます。イントラネット、インターネット、パススルールートは、構成対象のサイト/アプライアンスにのみ関連します。

イントラネット、インターネット、またはパススルールートを定義する場合は、設計上の考慮事項を次に示します。

  • WANリンクでサービスを定義する必要がある(イントラネット/インターネット:必須)
  • ローカル SD-WAN デバイスに関連する
  • イントラネットルートは仮想パスを介して学習できますが、コストが高くなります。
  • インターネットサービスでは、自動的に作成されたデフォルトルート(0.0.0.0/0)がコスト5ですべてのルートをキャッチし、設定可能です
  • パススルーが機能すると仮定しないでください。これはテスト/検証する必要があります。また、仮想パスをダウン/無効にしてテストし、目的の動作を確認します。
  • ルートラーニング機能がイネーブルでない限り、ルートテーブルはスタティックです。

要件に従って、SD-WAN 管理者は、ブランチ 30 との通信を確立するための MPLS リンクの 1 つを使用してイントラネットサービスを作成しています。インターネットサービスの要件を満たすために、管理者は他のすべての支店と通信するための 2 番目の MPLS リンクを持つ仮想パスを作成しました。

ブランチ 30 コンフィギュレーション

支店-30は、支店にSD-WANがインストールされていないMPLSネットワークを介してデータセンターや他の支店に接続される新しい支店です。データセンターおよびその他の支店で設定されたイントラネットサービスには、特定のルータに転送されるルートがあります。このルートに一致するトラフィックは、イントラネットとして分類され、SD-WAN ソリューションを持たないブランチ 30 に配信されます。このようにして、ブランチのユーザーはデータセンターに接続してビジネスアプリケーションと POS アプリケーションにアクセスできます。

SDWAN-RA-Image-15

ソース

このリファレンス・アーキテクチャの目標は、独自の実装計画を支援することです。この作業を容易にするために、独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソース図

参照ドキュメント

Citrix SD-WAN Orchestrator

Citrix SD-WAN 方法への記事

SD-WAN のベストプラクティス

Citrix SD-WAN 用SD-WANCitrix Workspace

デプロイモード

ブランチサイトの GRE トンネル

バックホール

メータリングとスタンバイ WAN リンク

アプリケーションクラスと規則

MPLS キュー

動的ルーティング

仮想ルータ冗長プロトコルの設定

SD-WAN とサードパーティ製デバイス間の IPsec トンネル

GRE トンネルと IPsec トンネルを使用した Zscaler の統合