Citrix SD-WAN リファレンスアーキテクチャ

オーディエンス

このドキュメントでは、単一リージョン環境におけるCitrix SD-WAN のフレームワーク、設計、およびアーキテクチャについて説明します。また、このドキュメントでは、SD-WAN Orchestratorを活用したCitrix SD-WANソリューションと、関連するネットワークセキュリティに関する考慮事項についても説明します。

このドキュメントは、IT の意思決定者、ネットワーク管理者、ソリューションインテグレータ、パートナー、クラウドサービスプロバイダー、マネージドサービスプロバイダーを対象としています。

この記事で説明するトピックは、Citrix SD-WAN のスタンダードエディションとプレミアムエディションの両方に適用されます。議論されたトピックは、異なる機能を持つ WANOP Edition には適用されません。

Citrix SD-WAN アーキテクチャ

Citrix SD-WAN はいくつかの展開モードで展開でき、アプライアンス(物理および仮想の両方)をお客様の既存のネットワーク設計に統合する柔軟性を提供します。SD-WANの概要については、Citrix Tech Zone リンクを参照してください。SD-WAN アプライアンスを使用して実装されるユースケースシナリオの一部を次に示します。

  • Edgeモードの SD-WAN
  • 仮想インラインモードの SD-WAN
  • Inlineモードの SD-WAN
  • 単一リージョンの展開
  • 複数リージョンの導入
  • 高可用性

Edgeモードの SD-WAN

エッジモード(Gateway モードとも呼ばれます)は、SD-WAN アプライアンスを物理的にパスに配置します(2 アーム配置)。SD-WAN アプライアンスをそのブランチの LAN ネットワーク全体のデフォルトGatewayとして挿入するには、既存のネットワークインフラストラクチャに変更を加える必要があります。エッジモードで配置された SD-WAN は、レイヤ 3 デバイスとして機能し、Fail-to-Wire を実行できません。関連するすべてのインターフェイスは「Fail-to-Block」に設定されます。高可用性(HA)に展開されていない場合、アプライアンスに障害が発生すると、サイトのデフォルトゲートウェイも障害が発生し、アプライアンスが復元されるまでそのサイトで停止が発生します。

SDWAN-RA-Image-1

Inlineモードの SD-WAN

インラインモード。このモードでは、アプライアンスはイーサネットブリッジのように見えます。ほとんどのアプライアンスモデルには、インラインモード用の「Failto-Wire」(イーサネットバイパス)機能が含まれています。電源に障害が発生すると、リレーが閉じ、入力ポートと出力ポートが電気的に接続され、アプライアンスがないかのように、イーサネット信号が一方のポートから他方のポートに通過します。Fail-to-Wireモードでは、アプライアンスは2つのポートを接続するクロスオーバーケーブルのように見えます。

次の図では、インターフェイス 1/1 と 1/2 はハードウェアバイパスのペアであり、コアとエッジ MPLS ルータを接続するワイヤリングに失敗します。インターフェイス 1/3 および 1/4 もハードウェアバイパスのペアであり、コアとエッジファイアウォールを接続するワイヤリングに失敗します。

SDWAN-RA-Image-2

仮想インラインモードの SD-WAN

仮想インラインモード。ルーターはWAN宛てのトラフィックをCitrix SD-WAN アプライアンスに転送し、アプライアンスがルーターに返却します。このモードはシステム停止が最も少なく、通常はデータセンターで活用されます。

SDWAN-RA-Image-3

Citrix SD-WAN アーキテクチャの高レベルの例

SDWAN-RA-Image-4

Citrix SD-WAN のユースケースに重点を置いています

この文書では、30 の支店を持つ単一リージョンの導入に焦点を当てて、SD-WAN がお客様の既存のネットワークに最適に適合し、そのメリットを提供するアーキテクチャを示します。単一リージョンのコンテキストは、ネットワーク内のノード数が、単一アプライアンスによってサポートされる仮想パスの最大数を超えている場合に必要である、複数のリージョンを持つのではなく、マスターコントロールノード(MCN)上で仮想パスを直接終端するすべてのブランチノードを持つことを指します。 SD-WAN Orchestrator

Citrix SD-WAN Orchestrator は、クラウドホスト型のマルチテナント管理 SaaS サービスであり、Citrix パートナー、CSP、および MSP が活用して、マネージド SD-WAN サービスを顧客に提供できます。SD-WAN Orchestrator は、適切なロールベースのアクセス制御により、複数の顧客を一元的に管理するための単一ペインの管理インターフェイスを提供します。

主な機能の一部を次に示します。

  • マルチテナントとRBAC :このサービスにより、Citrixパートナーは、単一のガラスペインと適切なロールベースのアクセス制御を使用して、複数のSD-WAN顧客のオンボードと管理を可能にします。
  • 一元的な構成 :ガイド付きワークフロー、視覚補助、プロファイルを使用して、SD-WANネットワークの一元的な設定。
  • 集中型ライセンス -接続されているすべての SD-WAN デバイスのライセンス。
  • ゼロタッチプロビジョニング — 物理アプライアンスと仮想アプライアンスのネットワークと接続をシームレスにオンボーディングします。
  • アプリケーション中心のポリシー :アプリケーションベースのトラフィックステアリング、QoS(サービス品質)、ファイアウォールポリシー(グローバルまたはサイトごとに設定可能)。
  • 健全性の階層的なサマリー :ネットワークの正常性、使用状況、品質、パフォーマンスを一元的に監視し、個々のサイトと関連接続にドリルダウンする機能を備えています。
  • トラブルシューティング — デバイスおよび監査ログ、Ping、traceRoute、パケットキャプチャなどの診断ユーティリティ、ネットワーク接続の問題のトラブルシューティングを行います。

SD-WAN Orchestrator にアクセスするには、各ブランチサイトと DC サイトを管理インターフェイス経由でインターネットに接続する必要があります。Citrix SD-WAN ソフトウェアバージョン 10.1.1 は、SD-WAN Orchestrator でサポートされる最小アプライアンスソフトウェアです。

単一リージョンの展開

定評ある小売業のお客様XYZ社は、30の小売店支店を持つ設計要件をCitrix にアプローチしました。これらの支店は現在、MPLS回路を介して本社にすべてのデータをバックホールしています。これらの回路を拡張することは、スケーラブルなソリューションではないと考えられ、コストがかかっています。法外だディスカッションでは、ブランチが生成した大量のトラフィックをローカルに分解できることが決定されました。これには、クラウドベースのSaaSだけでなく、ソーシャルメディアなどのビジネス関連以外のトラフィックも含まれます。

お客様は、ガイダンスを探しており、帯域幅の可用性が制限され、近い将来サイトの容量を拡張する現在の計画がないため、ソーシャルメディア/ビジネスクリティカルでないトラフィックが一部の場所で完全にブロックされると判断しました。

上記の要件と併せて、お客様は、ゲストの Wi-Fi を提供しながらネットワークトラフィックを安全に分離し、企業トラフィックから隔離する必要があります。さらに、内部で生成されたトラフィックはルーティングドメインを介して分割され、追加のレイヤーが提供されます。POSは製造現場ターミナルから分離されるようなセキュリティです。

また、お客様は予算とリソースのため、現時点ではすべてのサイトで SD-WAN ソリューションを導入する立場になっていないため、既存の MPLS 回線、つまりイントラネットサービスを使用して接続を確立する必要があります。

小売業のお客様-既存のネットワークアーキテクチャ

SD-WAN 構成に進む前に、ネットワーク管理者は、既存の(アンダーレイ)ネットワークを適切に理解し、SD-WAN ソリューションを必要とするネットワークの制限を完全に理解する必要があります。

お客様は、現在、ビジネスアプリケーション用のプライマリおよびセカンダリデータセンターを備えることにより、耐障害性に優れたネットワークを構築しています。プライマリデータセンターには、CE ルータで終端された 2 つの MPLS 回線(10 Mbps および 20 Mbps)があり、セカンダリデータセンターには WAN 接続用に終端された MPLS 回線(20 Mbps)が 1 つあります。プライマリデータセンターで障害が発生した場合に、プライマリデータセンターはセカンダリデータセンターにフェイルオーバーします。

POS(販売時点管理)およびその他のビジネスクリティカルなアプリケーションは、データセンター内でホストされます。すべてのブランチロケーションが、データセンターへの MPLS リンクを介して POS およびその他のビジネスアプリケーションにアクセスするように設定されます。現在、ブランチロケーションの一部には、冗長性のために 2 つの MPLS リンクがありますが、アクティブ/パッシブとして設定されているため、支払っている帯域幅を十分に活用していません。すべてのブランチユーザーは、データセンターブレークアウトを介してインターネットにアクセスするため、すべてのトラフィックはオーバーサブスクライブされたMPLS回線を通過する必要があります。このため、お客様は、いくつかの支店でローカルインターネットブレイクアウトを導入し、インターネットとクラウドホスト型SaaSに直接接続できるようにする予定です。アプリケーション。

SDWAN-RA-Image-5

Citrix SD-WANを実装するメリット

  1. Citrix SD-WAN は、WANリンクアグリゲーションを可能にし、いずれかのリンクに障害が発生した場合や大きなパケット損失が発生した場合のダウンタイムを排除します
  2. ビジネス・アプリケーションにアクセスしながら、すべてのブランチ・ユーザーのアプリケーション・パフォーマンスとサービス品質(QoS)の向上
  3. 支店での低価格のブロードバンド接続およびLTE接続でMPLS回線を増強することで、WANコストを削減
  4. 複数のリンク障害時でも接続を維持する、ビジネス接続とディザスタリカバリ機能の向上
  5. ネットワーク機能を統合型WANエッジアプライアンスに統合し、管理とポリシー定義を一元化することにより、ブランチネットワークのシンプル化

小売業のお客様 — Citrix SD-WAN ネットワーク設計

SDWAN-RA-Image-6

上記の図は、Citrix SD-WAN を組み込んだ提案オーバーレイネットワーク設計を表しています, 次のセクションでは、SD-WAN構成を理解するために、各データセンターとブランチにドリルダウンし、それが異なるアクセスタイプを使用して仮想WAN接続を形成する方法を理解します-MPLS, インターネットと 4G/LTEリンク。

SD-WAN Orchestrator

SD-WAN アプライアンスは、デバイスの管理インターフェイスを使用してインターネット経由でクラウドベースの SD-WAN Orchestrator に接続するように構成されています。SD-WAN Orchestrator は、構成とソフトウェアをすべての SD-WAN デバイスに並行して配布します。また、監視およびレポート作成のために、すべての SD-WAN デバイスからデータをポーリングします。ファイアウォールルールを適用して、SD-WANアプライアンスのインターネットアクセスを許可し、Citrix Cloud SD-WAN Orchestratorサービスと通信できるようにする必要がありました。

SDWAN-RA-Image-7

プライマリデータセンター構成

プライマリデータセンターの SD-WAN アプライアンスは、ポリシーベースルーティング(PBR)モードとも呼ばれる仮想インラインモードを使用して展開されます。トラフィックを SDWAN アプライアンスにルーティングする方法は 2 つあります。

  • ポリシーベースルーティング
  • 動的ルーティングプロトコル

Citrix SD-WAN ソリューションは、静的ルーティングプロトコルと動的ルーティングプロトコルの両方をサポートします。

SD-WAN アプライアンスは、目的のダイナミックルーティングプロトコル(OSPF および BGP)ごとに、既存のカスタマーネットワーク内でレイヤ 3 ルーティングアドバタイズメントのルート検出を実行できます。これにより、SD-WAN 管理者が LAN 側と WAN 側のネットワークを静的に定義する必要はなくなります。環境を SD-WAN ネットワークの一部である各アプライアンスにインストールします。

ルート学習が有効なネットワークの場合、Citrix SD-WAN は、ルートをすべてアドバタイズするか、またはまったくルートをアドバタイズするのではなく、ルーティングネイバーにアドバタイズするSD-WANルートをより詳細に制御できます。エクスポートフィルタは、特定の一致基準に基づいて OSPF および BGP プロトコルを使用してアドバタイズメント用のルートを含めるか除外するために使用されます。ルートフィルタリングは、SD-WAN ネットワーク(データセンター/ブランチ)内の LAN ルートに実装され、eBGP を介して非 SD-WAN ネットワークにアドバタイズされます。SD-WAN 管理者は、要件に基づいて 32 のエクスポートフィルタを設定できます。エクスポートフィルタは、特定の順序に基づいて、特定のルーティングドメインまたはデフォルトのルーティングドメインに優先順位をつけるために使用されるフィルタです。

  • 「フィルタをインポート」-(デフォルト:インポートなし)
  • [Export Filters]:(デフォルト:すべてのスタティックルートとトンネルルートをエクスポートします)

デフォルトでは、エクスポート OSPF ルートタイプはタイプ 5 External です。これは、SD-WAN ルーティングテーブルが OSPF プロトコルの外部と見なされるため、OSPF が内部(エリア内)学習したルートを優先するため、SD-WAN によってアドバタイズされたルートが優先されない場合があります。OSPF を WAN(MPLS ネットワーク)全体で使用する場合、これはエリア内タイプ 1 に変更できます。SD-WAN は、OSPF パス選択アルゴリズムを使用して、ルートをエリア内ルート(LSA タイプ 1)としてアドバタイズし、ルートコストに従って優先設定を取得できるようになりました。

マスター制御ノード

単一リージョン展開では、データセンターアプライアンスは MCN(マスターコントロールノード)に設定されるヘッドエンドアプライアンスです。MCN では、スタティック IP アドレスを設定する必要があります。マスターコントロールノード(MCN)は、時刻同期、ルーティング更新、およびブランチデバイスのハブを担当する中央の仮想 WAN アプライアンスです。ヘッドエンドデバイスは、通常、高可用で展開されます。お客様は、ディザスタリカバリ用にデータセンターが 2 つあるため、プライマリデータセンターはプライマリ MCN(HA ペア)として構成され、セカンダリデータセンターはセカンダリ MCN(HA ペアも可能)として構成されます。

高可用性モード

Citrix SD-WAN High Availability(HA)構成には、冗長性のために、プライマリデータセンターに2つのSD-WANアプライアンスがアクティブ/スタンバイパートナーシップとして機能します。これは、HAペアの両方のアプライアンスが同じアプライアンスモデルである必要があります。

高可用性設定を定義するために、SD-WAN 管理者は HA アプライアンス名をプライマリ MCN モードに設定しました。フェールオーバー時間をミリ秒単位で設定できます。これは、 スタンバイMCNアプライアンスをアクティブノードとして起動するまでのハートビート障害発生時の待機時間を指定します。フェイルオーバー時間のデフォルト値は 1000ミリ秒です。管理者は、これらの設定に加えて、フェールオーバーイベント後の再起動時に制御を再利用するために、プライマリ MCN の [Primary Reclaim] オプションを選択しています。高可用性には、HA ペア内のアプライアンス間でインターフェイス MAC アドレスを共有するように構成できる、共有ベース MAC アドレスの追加設定があります。フェイルオーバーが発生した場合、セカンダリアプライアンスは障害が発生したプライマリアプライアンスと同じ仮想 MAC アドレスを持つことができます。クラウドベースのプラットフォームでは、共有ベース MAC アドレスを無効にする追加のオプションがあります。

High Availability IP インターフェイス設定では、管理者は HA ペア内のアプライアンスとプライマリおよびセカンダリ IP アドレスとのハートビート通信用の仮想インターフェイスを選択しています。フェールオーバーは、プライマリからセカンダリへのハートビート障害時に、監視対象のインターフェイスに対してのみ発生することに注意してください。SD-WAN アプライアンスでハートビート障害を監視していないインターフェイスがあり、それらのインターフェイスで障害が発生した場合に、アプライアンスはフェールオーバーしません。

外部トラッカーの IP アドレスは、アップストリームルータをARP し、プライマリアプライアンスの状態に関するステータスを更新するように設定されています。応答に障害が発生した場合、SD-WAN はフェールオーバーを開始します。

SDWAN-RA-Image-8

仮想パス

SD-WAN 管理者は、各 WAN リンクのエンドポイントを表すように仮想 IP を構成して、データセンターとブランチオフィスの SD-WAN アプライアンス間の各 WAN リンクを経由する WAN パストンネルを作成しました。この設定により、複数の WAN リンク(物理リンク)を 1 つの仮想パスに集約できます。これにより、パケットは既存のアンダーレイではなく SD-WAN オーバーレイネットワークを使用して WAN を通過できます。仮想パスは UDP ポート 4980 を使用する UDP ベースのトンネルです。ネットワーク管理者は、アップストリームファイアウォール、ルータ、IPS、および IDS デバイスに、WAN リンク上の UDP 4980 パケットが SD-WAN デバイス間の仮想パスを確立するために必要なルールを持っていることを確認します。

SD-WAN 仮想パスサービスは、仮想パスを経由するトラフィックを管理します。仮想パスは、SD-WAN サイトを接続する 2 つ以上の WAN リンク間の論理リンクです。これは、SD-WANノード間の高いサービスレベルと信頼性の高い通信を提供するために、さまざまなWANアクセスタイプをグループ化したものです。これは、アンダーレイの WAN パス状態を常に測定することによって実現されます。送信元(送信)アプライアンスは、現在のリンク特性に関する情報を含むヘッダーを各パケットに追加します。宛先(受信)アプライアンスは、これらのヘッダーを読み取り、データを使用して、通過時間、輻輳、ジッタ、パケット損失、およびパスのパフォーマンスと健全性に関するその他の情報を理解します。

SD-WANアプライアンスはパスを一方向に測定し、パケットごとに最適なパスを選択します。Citrix SD-WANでは、パケットベースのパス選択により、ネットワークの変更に迅速に対応できます。SD-WANアプライアンスは、わずか2つまたは3個のパケットの欠落後にパスの停止を検出できるため、アプリケーショントラフィックを次に最適なWANパスにシームレスにフェイルオーバーできます。SD-WANアプライアンスは、すべてのWANリンクステータスを約50ミリ秒で再計算します。

仮想パスはブランチ間でスタティックまたはダイナミックにできますが、すべてのブランチには MCN へのスタティックパスが必要です。 ダイナミック仮想パスは、設定されたしきい値に基づいてサイト間で直接確立されます。しきい値は、これらのサイト間で発生するトラフィック量に基づきます。動的仮想パスは、指定されたしきい値に達した後にのみ作成されます。動的仮想パスのデフォルトルートコストは 5 で、デフォルトの制限とタイマーがあります。

  • 仮想パスの削除待機時間 — 1 分
  • 仮想パス保持時間(m)の再作成:10分
  • 作成の制限
    • サンプル時間 — 1 秒
    • スループット — 600 kbps
    • スループット:45pps
  • 削除制限
    • サンプル時間 — 2 秒
    • スループット:45 kbps
    • スループット:35 pps

仮想パスの保護

仮想パスでは AES-128 ビット暗号化がデフォルトで有効になっており、AES-256 と IPSec も利用できます。これは仮想パス用です。既定で有効になっている「暗号化キーの回転を有効にする」オプションは、楕円曲線Diffie-Hellmanキー交換を10〜15分間隔で使用して暗号化が有効になっているすべての仮想パスでキーの再生成を保証するように設定され、これは設定可能です。

サイトごとにシークレットキーがあります。仮想パスごとに、ネットワーク構成は、仮想パスの両端にあるサイトからの秘密鍵を組み合わせて、キーを生成します。仮想パスを最初にセットアップした後に発生する最初のキー交換は、その組み合わせキーを使用してパケットを暗号化および復号化する機能によって異なります。

Citrix SD-WAN は、Citrix SD-WAN WANアプライアンスのLAN側またはWAN側で、サードパーティデバイスがIPsec VPNトンネルを終了できるようにするIPsec をサポートします。管理者は、140-2 レベル 1 FIPS 認定 IPSec 暗号化バイナリを使用して、SD-WAN アプライアンスで終端するサイト間 IPSec トンネルを保護できます。SD-WAN は、差別化された仮想パストンネリングメカニズムを使用して、耐障害性 IPsec トンネリングもサポートします。

セカンダリ・データ・センターの構成

セカンダリデータセンターの SD-WAN アプライアンスも、仮想インライン(PBR)モードで展開されます。セカンダリデータセンターの SD-WAN アプライアンスは、パラレル HA 構成のセカンダリ MCN として構成されます。

SDWAN-RA-Image-9

プライマリ MCN セカンダリへのフェールオーバー

SDWAN-RA-Image-10

セカンダリ MCN はプライマリ MCN の状態を継続的に監視し、プライマリ MCN に障害が発生すると、セカンダリ MCN が MCN の役割を引き受けると、プライマリ MCN からセカンダリ MCN への切り替えは、プライマリ MCN が非アクティブ状態の 15 秒後に行われます。プライマリ reclaim オプションは、プライマリ MCN では使用できません。プライマリ再利用は、プライマリアプライアンスが再びオンになった後、およびしきい値タイマーの期限が切れると自動的に実行されます。

データセンターMCNへのバックホールインターネット

「バックホール」という用語は、インターネット宛てのトラフィックが、WAN リンク経由でインターネットにアクセスできる別の定義済みサイトに送り返されることを示します。これは、セキュリティ上の問題、またはアンダーレイネットワークの制限のために、ブランチオフィスで直接インターネットアクセスを許可しないネットワークの場合です。ネットワーク管理者は、DCリソースまたはインターネットアクセスに関係なく、すべてのトラフィックがMCNにバックホールされるように構成できます。ただし、他のCitrix SD-WAN ブランチノードサイトを利用してインターネットにアクセスできます。

環境によっては、データセンターで強化された DMZ を経由するすべてのリモートサイトのインターネットトラフィックをバックホールすることが、ブランチオフィスのユーザーにインターネットアクセスを提供するために最も望ましい方法です。ただし、この方法には制限があり、アンダーレイの WAN リンクのサイズは適切です。

  • インターネットトラフィックのバックホールは、インターネット接続にレイテンシーを追加し、データセンターのブランチサイトの距離に応じて変動します
  • インターネットトラフィックのバックホールは仮想パス上の帯域幅を消費するため、WAN リンクのサイズ設定に考慮する必要があります
  • インターネットトラフィックのバックホールは、特に仮想インラインモードを利用している場合に、データセンターでインターネット WAN リンクをオーバーサブスクライブする可能性があります。

ブランチユーザー向けのCitrix Virtual Apps and Desktops へのアクセス

Citrix Virtual Apps and Desktops 環境は、印刷やマルチメディアなどのすべてのCitrix HDXユーザーエクスペリエンス機能を含むMPLSネットワーク経由でCVAD環境にアクセスする必要があるすべてのブランチユーザーのために、データセンターの場所でホストされます。Citrix SD-WAN を使用すると、Citrix Virtual Apps and Desktops 環境にアクセスしながら、ブランチユーザーに最適なユーザーエクスペリエンスを提供できます。

ブランチ1の設定

ブランチサイトを追加する手順は、SD-WAN Orchestrator を使用して MCN サイトを作成および構成する場合と同じですが、一部の構成手順と設定はブランチサイトによって多少異なります。さらに、最初のブランチサイトを追加したら、同じアプライアンスモデルを持つサイトでは、クローン(複製)機能を使用して、これらのサイトの追加と構成プロセスを合理化できます。

Branch-1 の SD-WAN アプライアンスは、インラインモードを使用してデプロイされます。ハードウェアまたはソフトウェアに障害が発生した場合にリンクをブリッジするために Fail-to-Wire 設定が適用されています。これにより、ユーザは MPLS 経由でビジネスクリティカルアプリケーションおよび POS アプリケーションにアクセスできます。

支店 1 には MPLS リンクが 1 つしかなく、インターネットリンクがないため、すべてのインターネットトラフィックはデータセンターにバックホールする必要があります。そのため、お客様は、支店 2 で利用可能なインターネットリンクを、支店 1 のインターネットアクセスに十分な帯域幅で活用することにしました。SD-WAN 管理者は、ブランチ 2 に到達するレイテンシーが、データセンターと比較して短いため、ブランチ 2 でインターネットを利用すると、ブランチ 1 ユーザにとって最適なパフォーマンスが得られることが確認されました。この要件は、ヘアピンの配置によって達成されます。SD-WAN 管理者は、WAN から WAN への転送を有効にして、このサイトがマルチホップサイトのプロキシとして機能するようにしました。

ヘアピンの展開

Hairpin 展開では、ローカルインターネットサービスが使用できないため、サイトがインターネットにアクセスするためにリモートハブサイトの WAN リンクを使用できるようにする構成を実装できます。

ヘアピン配置の目的は、ブランチまたはサイトに対してローカルでないインターネットリンクを介した直接アプリケーションアクセスを許可することです。お客様は、ニーズが発生したときに、インターネットにアクセスするためにリモートサイトを使用でき、仮想パスを介してフローをルーティングできます。

必要な要件を満たすために、お客様はブランチ 1 SD-WAN アプライアンスのヘアピン配置設定を作成し、適用しました。これにより、ブランチ1 ユーザがブランチ 2 経由でインターネットにアクセスできるようになり、同じポリシーと設定が SD-WAN オーケストレータを使用してブランチに伝播されました。また、お客様は、ブランチ1からの追加トラフィックに対応するために、ブランチ2にインターネットリンク経由で必要な帯域幅を確保しました。

ディープパケットインスペクション(DPI)を使用したアプリケーションの可視性

Citrix SD-WAN には、ディープパケットインスペクション(DPI)ライブラリが統合されており、アプリケーションのリアルタイム検出と分類が可能です。SD-WAN アプライアンスは、組み込みの DPI エンジンを使用して、着信パケットを分析し、それをアプリケーションまたはアプリケーションファミリに属するものとして分類します。

DPIベースのアプリケーションの可視性を使用して、Citrix SD-WAN は4,500を超えるアプリケーションとサブアプリケーションを検出できます。この機能は、さまざまなパターンマッチング、セッション動作、DNS キャッシング、ポートベースの分類技術を使用して、WAN を通過するすべてのアプリケーション(HTTPS、IMAPS などの SSL 暗号化トラフィックを含む)をリアルタイムでレイヤ 7 で可視化します。Citrix SD-WAN は、ソーシャルメディア(Facebook、YouTube、Twitter)、O365、Oracleなどのアプリケーションの可視性を提供するだけでなく、アプリケーションの帯域幅消費量を可視化することで、ビジネスクリティカルなアプリケーションの帯域幅が不足していないことを確認するのに役立ちます。

ブランチ1のユーザーは、インターネット・リンクを介したアプリケーション・アクセスのためにブランチ2にバックホールされるため、お客様は、アプリケーション・レベルのアクセスとその帯域幅使用率を監視して、アクセス・パターンを理解し、ビジネス・ニーズアプリケーションに対してのみアクセスを制御することにしました。お客様は、Facebook、YouTube、Twitterなどの同類を含む「ソーシャルメディア」と呼ばれる新しく作成されたアプリケーショングループをブロックするアプリケーションポリシーを作成しました。

この構成では、ブランチ1のユーザーはビジネスクリティカルなアプリケーションに対してのみインターネットにアクセスでき、ブランチ1 SD-WAN自体でビジネス関連以外のアクセスはブロックされているため、貴重な帯域幅を節約できます。

SDWAN-RA-Image-11

ルーティングドメイン

Citrix SD-WAN は、仮想ルーティングと転送(VRF-Lite)を使用してネットワークをセグメント化し、セキュリティと管理性を向上させる機能を提供します。お客様は、ゲストネットワークトラフィックを従業員の運用トラフィックから分離し、個別のルーティングドメインを作成して大規模な企業ネットワークをセグメント化し、トラフィックをセグメント化して複数のカスタマーネットワークをサポートできます。各ルーティングドメインには独自のルーティングテーブルがあり、IP サブネットのオーバーラップをサポートできます。

Citrix SD-WANアプライアンスは、ルーティングドメイン用のOSPFおよびBGPルーティングプロトコルを実装し、ネットワークトラフィックを制御およびセグメント化します。仮想パスは、アクセスポイントの定義に関係なく、すべてのルーティングドメインを使用して通信できます。これは、SD-WAN カプセル化に各パケットのルーティングドメイン情報が含まれているため、両方のエンドデバイスが、ルーティングドメインに関してパケットが属している場所が認識されるためです。ルーティングドメインは VLAN などのバリアで区切られ、最大 255 のルーティングドメインを設定できます。

要件に従って、管理者は、企業トラフィックとゲストWi-Fiアクセスに使用されるブランチ1用の2つのルーティングドメインを作成しました。Citrix Virtual Apps and Desktops のトラフィックは仮想パスを使用してデータセンターにルーティングされ、ゲストWi-Fiアクセスはヘアピンを使用してブランチ2にルーティングされます構成。

お客様は、ルーティング・ドメインに加えて、仮想パスよりもビジネス・クリティカルなアプリケーションに対して高い優先順位を適用したいと考えていました。次のセクションでは、アプリケーションQoSについて説明し、それが顧客の要件を達成するためにどのように役立つかについて説明します。

アプリケーション QOS

Citrix SD-WAN ソリューションは、市場で最も洗練されたアプリケーションQoSエンジンの1つを備えています。アプリケーショントラフィックを評価し、他のアプリケーションに対して優先順位を付けるだけでなく、WAN ネットワーク品質に関するニーズを把握し、ネットワーク品質特性に基づいてネットワークパスをリアルタイムで選択するための幅広い機能を備えています。

アプリケーション分類機能を使用すると、Citrix SD-WAN アプライアンスは着信トラフィックを解析し、それらをアプリケーションまたはアプリケーションファミリに属するものとして分類できます。この分類により、アプリケーションルールを作成して適用することにより、個々のアプリケーションまたはアプリケーションファミリの QoS を強化できます。

ネットワーク管理者は、アプリケーション、アプリケーションファミリ、またはアプリケーションオブジェクトの一致タイプに基づいてトラフィックフローをフィルタリングし、それらにアプリケーションルールを適用できます。アプリケーションルールは、インターネットプロトコル (IP) ルールに似ています。

Citrix SD-WAN ソリューションは、アプリケーション分類、ルールフィルタリング、クラス割り当て設定のデフォルトセットを提供します。管理者は、クラスを使用して、仮想パス上の特定のタイプのトラフィックを分類し、このトラフィックを処理するためのルールを適用できます。トラフィックは、ルールで定義されている特定のクラスに割り当てられます。

SD-WANシステムは、17クラス(0-16)を提供します。クラス0~3は、Citrix HDX QoS優先順位付け用に事前定義されています。これらのクラスは、異なるICA優先度タグを持つHDXトラフィックを分類するために使用されます。SD-WAN 管理者は、クラスタイプおよび割り当てられた帯域幅共有を編集して最適な QoS を取得できますが、クラスの名前は編集できません。

クラス 10 ~ 16 は事前定義されており、リアルタイム、インタラクティブ、バルクのクラスタイプに関連付けられています。各タイプをさらに設定して、そのトラフィックのタイプに応じて QoS を最適化できます。クラス4-9は、ユーザー定義クラスを指定するために使用することができます。クラスは、次の 3 つのタイプのいずれかです。

リアルタイム — Skype for Business や ICAオーディオなど、VoIP や VoIP のようなアプリケーション。一般に、ビジネスに不可欠な小さな UDP パケットを使用する音声のみのアプリケーションを指します。

インタラクティブ — これは最も広いカテゴリであり、高度なユーザー操作を持つ任意のアプリケーションを指します。ビデオ会議など、これらのアプリケーションの中には、レイテンシーの影響を受けやすく、高い帯域幅が必要です。HTTPSなどの他のアプリケーションは、必要な帯域幅が少なくてもビジネスにとって重要です。対話型アプリケーションは、通常、本質的にトランザクションです。

バルク :これは、豊富なユーザーエクスペリエンスを必要としないが、データの移動(FTPまたはバックアップ/レプリケーションなど)に関する多くのアプリケーションです。

お客様の実際の要件を実現するために、支店からデータセンターへの HDX アクセスの優先順位を付けるため、SD-WAN 管理者は、すべてのブランチの Citrix HDX アクセス用の QoS ルールを作成し、SD-WAN Orchestrator 経由でブランチにポリシーを適用しました。お客様は、WAN リンクに関連付けられたさまざまなサービス間で、WAN リンクの帯域幅の双方向(LAN から WAN、WAN から LAN)の帯域幅を分散できるプロビジョニング設定を適用しました。

ブランチ 2 の設定

Branch-2 の SD-WAN アプライアンスは、MPLS とインターネット回線の両方に配置され、高可用性を備えたインラインモードと呼ばれる方法で展開されます。つまり、既存のルーティングデバイス/ファイアウォールはその場で維持されます。

お客様は、このブランチの既存のインターネットリンクのバックアップを提供するために、4G/LTE インターネットリンクを導入した210LTEアプライアンスをインストールしました。ディープパケットインスペクション機能を使用すると、インターネットアクセスを必要とするビジネスアプリケーションと SaaS アプリケーションをブランチでローカルに分割し、トラフィックを専用のインターネットリンクまたは 4G/LTE リンク経由でルーティングする必要があります。すべてのソーシャルメディアへのアクセスは、支店で分割し、インターネットリンクを介してルーティングする必要があります。

SD-WAN 管理者は、ローカルインターネットブレークアウトサービスを使用して、ブランチ用のローカルインターネットリンクを介してトラフィックを迂回するようにアプリケーションポリシーを設定しました。このインターネットブレイクアウトサービスを使用すると、インターネットトラフィックはデータセンターへのバックホールではなく、ブランチ2から公共のインターネットに直接送信されます。

ローカルインターネットブレイクアウトサービス

インターネットサービスは、サイトとパブリックインターネット間のトラフィックに使用されます。インターネットサービストラフィックはCitrix SD-WANによってカプセル化されず、QoSを含む仮想パスサービス経由で配信されるトラフィックと同じ機能はありません。

ただし、このインターネットトラフィックを分類して考慮することが重要です。インターネットサービスとして識別されたトラフィックは、仮想パスおよびイントラネット経由で配信されるトラフィックに対してインターネットトラフィックをレート制限することで、SD-WAN が WAN リンク帯域幅をアクティブに管理できるようになります。サービスを、管理者が確立した構成ごとに実行します。SD-WAN には、帯域幅プロビジョニング機能に加えて、複数のインターネット WAN リンクを使用してインターネットサービス経由で配信されるトラフィックの負荷分散機能が追加されています。

Citrix SD-WAN 上のインターネットサービスを使用したインターネットトラフィック制御は、次の展開モードで構成できます。

  • 統合ファイアウォールを使用したブランチでの直接インターネットブレイクアウト
  • Secure Web Gatewayへの支店転送での直接インターネットブレイクアウト

SDWAN-RA-Image-12

Zscaler クラウドセキュリティプラットフォーム

トラフィックをセキュリティで保護し、ポリシーを適用するために、企業のバックホールでは、企業のデータセンターへのトラフィックがブランチインされるインターネットをバックホールします。データセンターは、セキュリティポリシーを適用し、セキュリティアプライアンスを介してトラフィックをフィルタリングし、ISP 経由でトラフィックをルーティングします。プライベート MPLS リンクを介したこのようなバックホールは高価であり、貴重なリソースを消費します。また、レイテンシーが大きくなるため、ブランチサイトでのユーザーエクスペリエンスが低下します。

バックホールに代わる方法として、支店にセキュリティアプライアンスを追加する方法があります。ただし、複数のアプライアンスをインストールすると、コストと複雑さが増します。また、支店の数が多い場合、コストと管理が実用的ではありません。

コスト、複雑さ、待ち時間を追加せずにセキュリティを強化する理想的なソリューションは、すべてのブランチインターネットトラフィックをCitrix SD-WANアプライアンスからZScaler Cloudセキュリティプラットフォームにルーティングすることです。その後、お客様は中央のZscalerコンソールを使用して、ユーザーのきめ細かいセキュリティポリシーを作成できます。ポリシーは、ユーザーがデータセンターにいるかブランチサイトにいるかにかかわらず、一貫して適用されます。Zscaler セキュリティソリューションはクラウドベースであるため、お客様はネットワークにセキュリティアプライアンスを追加する必要はありません。

Zscaler Cloud Security Platformは、世界中の100以上のデータセンターで一連のセキュリティチェックの投稿として機能します。お客様のインターネットトラフィックを Zscaler にリダイレクトするだけで、データストア、支店、リモートロケーションを直ちに保護できます。Zscaler はユーザーとインターネットを接続し、暗号化または圧縮されている場合でも、トラフィックのすべてのパケットを検査します。Citrix SD-WAN アプライアンスは、お客様のサイトからGREトンネルまたはIPsec トンネルを介してZscalerクラウドネットワークに接続できます。

インターネットサービスのブレイクアウトを実現し、インターネットトラフィックを保護するために、管理者はブランチ2 SD-WANアプライアンスでローカルインターネットブレイクアウトサービスを構成し、Zscaler クラウドネットワークへの IPsec トンネルを作成しました。この構成により、お客様は、ブランチ2から安全なトンネル内のZscalerにインターネットトラフィックを転送し、次にパブリックインターネットに転送することができました。この目標を達成することで、MPLS リンク帯域幅が削減され、コストが節約されました。

ブランチ 3 の設定

Branch-3 の SD-WAN アプライアンスは、Fail-to-Wire 構成のインラインモードを使用して展開されます。このブランチには、インターネットリンクと、バックアップ用の 4G/LTE インターネットリンクがあります。Branch-3 では、データセンターの MCN にインターネットトラフィックをバックホールする構成があります。お客様は、ニュース、SaaS、およびローカルインターネットリンクを介した他のクラウドサービスのアクセスのような少数のインターネットトラフィックエリアを迂回し、ユーザーに中断されずに最適なアクセスを提供することにしました。

SDWAN-RA-Image-13

アプリケーションルート

ブランチオフィスのユーザーは、SD-WAN 仮想パスを使用して、プライマリまたはセカンダリデータセンターでホストされているアプリケーション、クラウドアプリケーション、または SaaS アプリケーションにアクセスする必要があります。アプリケーションルーティング機能により、ネットワークを介してアプリケーションを簡単かつコスト効率よく操作できます。Branch-3 ユーザーが SaaS アプリケーションにアクセスするときに、この機能を使用すると、最初にデータセンターを経由しなくても、トラフィックをインターネットに直接ルーティングできます。

Citrix SD-WAN は、仮想パス、インターネット、イントラネット、ローカル、GREトンネル、およびLAN IPsecトンネルのアプリケーションルートを定義します。アプリケーションのサービスステアリングを実行するには、最初のパケット自体でアプリケーションを識別することが重要です。最初は、トラフィックが分類され、アプリケーションが認識されると、パケットは IP ルートを通過します。対応するアプリケーションルートが使用されます。最初のパケット分類は、アプリケーションオブジェクトに関連付けられた IP サブネットとポートを学習することによって達成されます。これらは、DPI 分類器の履歴分類結果とユーザ設定の IP ポート一致タイプを使用して取得されます。

Branch-3では、お客様はインターネットリンクを持っており、インターネットへのアプリケーショントラフィックのリンクを利用したいと考えていました。お客様は、ローカルインターネットリンクを使用してアクセスするための Azure、AWS、および Google Cloud アクセスのアプリケーションルーティングを設定しました。

スタンバイおよびメータリング WAN リンク

Citrix SD-WAN はスタンバイリンクを有効にします。スタンバイリンクは、他のすべての利用可能なWANリンクが無効になっているときに、特定のインターネットWANリンクでのみユーザートラフィックが送信されるように構成できます。

スタンバイリンクは、使用量に基づいて課金されるリンクの帯域幅を節約します。スタンバイリンクを使用すると、管理者はリンクを [ラストリゾート] リンクとして設定できます。これにより、他のすべての非従量制課金リンクがダウンまたは低下するまで、リンクの使用を禁止できます。

通常、[ラストリゾート] は、サイトへの 3 つの WAN リンク(MPLS、ブロードバンドインターネット、4G/LTE)があり、WAN リンクの 1 つが 4G/LTE である場合に有効になり、必要な場合を除き、ビジネスで使用するにはコストがかかりすぎることがあります。メータリングはデフォルトでは有効になっていないため、任意のアクセスタイプ(パブリックインターネット、プライベート MPLS、プライベートイントラネット)の WAN リンクで有効にできます。

また、お客様は、クラウドインターネットトラフィックにとって重要なローカルインターネットリンクのバックアップ/スタンバイを有効にする必要があります。管理者は、専用のローカルインターネットリンクが飽和または障害が発生した場合に、インターネットトラフィックも 4G-LTE リンクを使用するように、従量制ラストリゾートリンクとして 4G-LTE リンクを有効にしました。

ブランチ-29の設定

Branch-29 の SD-WAN アプライアンスは、パラレル HA 設定のインラインモードを使用して展開され、2 つの MPLS リンクと、インターネットアクセスのために SD-WAN で終端される 4G-LTE リンクを接続します。このブランチには 3 つのWANリンクがあるため、お客様は、インターネットとイントラネットトラフィックの仮想パスを分離したいと考えていました。インターネットトラフィックは常にいずれかの MPLS リンクを使用する必要があります。また、障害が発生した場合には 4G-LTE リンクを使用し、イントラネット以外の SD-WAN ブランチトラフィックの場合は、2 番目の MPLS リンクを使用する必要があります。また、お客様は、SD-WAN 以外のブランチと通信するために、すべてのブランチでイントラネットサービスを構成していることを確認しました。

SDWAN-RA-Image-14

イントラネットサービス

イントラネットサービスは、プライベート WAN リンク(MPLS、P2P、VPN など)を介して、MPLS ネットワーク上にあり、SD-WAN アプライアンスを持たない Branch-30 への到達可能なルートを示します。これらのルートは、特定の WAN ルータに転送する必要があることを前提としています。イントラネットサービスはデフォルトで有効になっていないため、SD-WAN 管理者がこのサービスを有効にし、ルートを適用しています。このルート(サブネット)に一致するすべてのトラフィックは、SD-WAN ソリューションを持たないサイトに配信するために、このアプライアンスのイントラネットとして分類されます。

インターネットサービス

インターネットサービスはイントラネットに似ていますが、プライベート WAN リンクではなく、パブリックインターネット WAN リンクに流れるトラフィックを定義するために使用されます。1 つのユニークな違いは、インターネットサービスを複数の WAN リンクに関連付けて、負荷分散(フローごと)に設定するか、アクティブ/バックアップに設定できることです。インターネットサービスが有効になると、既定のインターネットルートが作成されます (既定ではオフになっています)。このルート(サブネット)に一致するトラフィックはすべて、このアプライアンスのインターネットとして分類され、パブリックインターネットリソースに配信されます。

イントラネットとインターネットルート

イントラネットおよびインターネットサービスタイプの場合、SD-WAN 管理者は SD-WAN リンクを定義して、これらの種類のサービスをサポートする必要があります。これは、これらのサービスのいずれかに定義されたルートの前提条件です。WAN リンクがイントラネットサービスをサポートするように定義されていない場合、そのリンクはローカルルートと見なされます。イントラネット、インターネット、パススルールートは、構成されているサイト/アプライアンスにのみ関連します。

イントラネット、インターネット、またはパススルールートを定義する場合、設計上の考慮事項は次のとおりです。

  • WAN リンクにサービスが定義されている必要があります (イントラネット/インターネット — 必須)
  • ローカル SD-WAN デバイスに関連します
  • イントラネット・ルートは仮想パスを介して学習できますが、それは高コストで学習できます
  • インターネットサービスでは、デフォルトルート(0.0.0.0/0)が自動的に作成され、コスト 5 のすべてのルートをキャッチし、設定可能です
  • パススルーが機能すると仮定しないでください。これはテスト/検証する必要があります。また、仮想パスをダウン/無効にしてテストして、目的の動作を確認します。
  • ルートテーブルは、ルート学習機能が有効でない限り、スタティックです

要件に従って、SD-WAN 管理者は、ブランチ30との通信を確立するために、MPLSリンクのいずれかを使用してイントラネットサービスを作成しました。インターネットサービスの要件を満たすために、管理者は 2 番目の MPLS リンクを使用して仮想パスを作成して、他のすべてのブランチと通信します。

ブランチ30の設定

Branch-30 は、データセンターやその他のブランチと MPLS ネットワーク経由で接続された新しいブランチで、SD-WAN をブランチにインストールしません。データセンターおよびその他のブランチで設定されたイントラネットサービスには、特定のルータに転送されるルートがあります。このルートに一致するすべてのトラフィックは、イントラネットに分類され、SD-WAN ソリューションを持たないブランチ 30 への配信となります。このようにして、支店のユーザーはデータセンターに接続して、ビジネスアプリケーションと POS アプリケーションにアクセスできます。

SDWAN-RA-Image-15

ソース

このリファレンス・アーキテクチャの目的は、お客様独自の実装計画を支援することです。この作業を容易にするために、独自の詳細な設計および実装ガイドに適応できるソース図を提供します:ソースダイアグラム

参照ドキュメント

Citrix SD-WAN Orchestrator

Citrix SD-WAN のハウトゥ記事

SD-WAN のベストプラクティス

Citrix Workspace用のCitrix SD-WAN

展開モード

ブランチサイトの GRE トンネル

バックホールインターネット

メータリングおよびスタンバイ WAN リンク

アプリケーションクラスとルール

MPLSキュー

動的ルーティング

仮想ルータ冗長プロトコルの設定

SD-WAN とサードパーティデバイス間の IPSec トンネル

GREトンネルとIPsecトンネルを使用したZscaler統合

Citrix SD-WAN リファレンスアーキテクチャ

この記事の概要