ホームオフィス向けCitrix SD-WAN に関するPOCガイド

概要

この概念実証(PoC)ガイドは、Citrix SD-WAN Orchestratorサービスを管理ツールとして使用して、Citrix SD-WANホームオフィス環境を迅速に展開できるように設計されています。Citrix SD-WAN ホームオフィス設計決定ガイドがCitrix SD-WANをホームオフィスに統合するためのWANトポロジ決定の概略を示します。

ISP + LTE オプションの次のユースケースを確認します。これには、ISP から提供されるプライマリ WAN リンクが含まれます。実装に関する考慮事項を確認するために、LTEサービスによって拡張されます。

ISP + LTE ホームオフィスのトポロジ

このユースケース (ISP+LTE) では、管理者はまず、対象のホームオフィスネットワークが次の前提条件を満たしていることを確認する必要があります。

  • ローカルISPが提供する既存のインターネット接続を起動し、実行している。
  • ISPは、既存の「ホームネットワーク」を提供するマネージドルータを提供しました。 ISP ルータには、使用可能なイーサネットポートが必要です。また、DHCP サーバとしても機能し、イーサネット経由で要求するクライアントホストに IP および DNS アドレス情報を割り当てます。SD-WAN デバイスのインターフェイス 1/2 が DHCP クライアントとして有効になっています。
  • 有効な LTE SIM カード(エンドユーザーが直接購入するか、管理者またはサードパーティベンダーから提供)

ユーザーがオンサイトアクティビティに関与する前に、前提条件が利用可能であることを確認することで、数千のエンドポイントに拡張できる迅速な効率的な展開を実現できます。

ホームオフィスに必要な設計をサポートする、適切な SD-WAN プラットフォームを選択することが不可欠です。たとえば、設計で LTE サービスが WAN リンクとして使用されていることが概説されている場合、統合型 LTE モデムを持つ SD-WAN プラットフォーム(110-LTE-SE、210-LTE-SE など)を選択すると、オンサイトコンポーネントの削減とインストーラの複雑さの軽減に役立ちます。

このドキュメントの前半で説明した設計オプション(シングルISP、デュアルISP、ISP+LTE、ISP+LTE スタンバイ、デュアル LTE)は、Citrix 110-LTE-SEおよび210-LTE-SEプラットフォームで完全にサポートされています。各 SD-WAN プラットフォームには若干異なるハードウェア仕様があり、サポートされる設計に多少の違いがあります。

たとえば、210 Standard Edition プラットフォームを使用する場合、システムにはバイパスハードウェアが内蔵されているため、SD-WAN をインラインモードで展開できます。SD-WAN ハードウェア障害が発生した場合でも、ホームワーカーは、SD-WAN がアンダーレイまたはバイパスインターフェイスを介したホームネットワークに障害が発生した場合に、インターネット接続を継続できます。

Citrix SD-WAN のすべてのエディションは、Citrix Secure Internet Access と相互運用し、ホームワーカーがWebおよびSaaSアプリケーションへの安全なアクセスを提供します。または、Advanced Edition(210、410、および 1100 プラットフォームでサポートされる)を選択すると、システムにはエッジセキュリティ機能(IDS/IPS、Web フィルタリング、マルウェア保護など)が装備されます。これらの機能は、「リモートワークネットワーク」を保護し、一部のインターネットトラフィックに対してローカルブレークアウトを有効にすることができます。

もう 1 つのオプションは、利用可能な PoE+ インターフェイスを備えた 1100-SE プラットフォームを使用して、VoIP デスクフォンなどのイーサネット受電装置を使用できるようにすることです。ただし、PoE インジェクタを使用すると、PoE を必要とするホームオフィスのユースケースで、110-SE などのローエンド SD-WAN デバイスを使用できるようになります。1100 プラットフォームは、バイパスインターフェイスに加えて、パロアルトやチェックポイントファイアウォールなどのサードパーティの VNF をホストできます。

Home Worker ネットワーク設計で選択する適切なプラットフォームに焦点を絞るために言及する価値のあるその他の機能には、Wi-Fi 対応の 110 プラットフォームが含まれます。R11.3.xへのソフトウェアのアップグレード後は、「リモートワークネットワーク」のワイヤレスアクセスポイントとして機能します。(この機能は、110-LTE-Wi-Fi-SE プラットフォームでのみ使用できます)。110 プラットフォームは、外付け USB LTE モデムもサポートしています(210 および 1100 プラットフォームでも使用できます)。デュアル LTE ユースケースをサポートするために使用することも、ISP+LTE ユースケースの 3 番目の WAN オプションを追加することもできます。

Citrix SD-WAN Orchestrator サービスの使用

SD-WAN 管理者は、Citrix SD-WAN Orchestrator サービスサイトプロファイルとテンプレートを使用して、サポートされている展開ユースケースを一元管理および制限します。ホームオフィスの展開シナリオを制限することで、大規模な展開の管理が容易になり、将来の変更に対応するために複数のサイトにすばやく変更できるようになります。 Citrix SD-WAN Orchestratorサービスでホームオフィスサイトを構築する際に考慮すべき追加の管理上の考慮事項がいくつかあります。次に例を示します。

  • リモートデバイスのプロビジョニングには、ゼロタッチ展開のどの方法が使用されますか。
  • アプライアンスがプロビジョニングされた後、デバイスの構成の更新とデータ収集のために、Citrix SD-WAN Orchestratorサービスとの通信をどのように継続しますか?
  • さまざまな障害シナリオでクラウドサービスへの継続的な接続についてどのように説明できますか?
  • ホームオフィスの展開でWAN配信サービス(Citrix Secure Internet Access やCitrix Cloud Directなど)を使用する場合は、単一のルーティングドメインを使用する必要があります。現在、複数のルーティングドメインは、WAN 配信サービスと連動して使用することはできません。

構成を構築する段階で、これらのいくつかを強調します。

サイトプロファイルの作成

Orchestrator でサイトプロファイルをセットアップするには、管理者が次の手順を実行します。 (詳細については、Citrix Orchestrator のプロファイルを参照してください)。

  1. 新しいサイトプロファイルの作成 ([ すべてのサイト] を選択し、[ 構成] > [プロファイルとテンプレート] > [プロファイル]に移動します)
  2. サイト詳細の入力:
    • サイトプロファイル名: ホームオフィス (110_ISP+LTE)
    • デバイスモデル: 110
    • デバイスエディション:SE
    • サブモデル: LTE-WiFi
    • サイトロール: ブランチ サイトの詳細
  3. 次に、必要な設計に合わせてインターフェイスの使用方法を設定し、必要なインターフェイスをそれぞれ追加します。 ISP + LTE
  • LAN 用のインターフェイス 1/1 を追加します。
    • 展開モード:Edge (ゲートウェイ)
    • インターフェイスタイプ:LAN
    • セキュリティ:信頼できる
    • [インターフェイス] の [ 1/1 ] と [SSID1] を選択します(この LAN インターフェイスは、Wi-Fi SSID を介して接続されたデバイスに加えて、エンドホストデバイスを物理的に接続するためのパラメータを定義します)。
    • VLAN ID: 0
    • ルーティングドメイン: ホームオフィス単一のルーティングドメイン(default_RoutingDomain)は、ホームオフィスのみを接続し、既存の SD-WAN サイト配置には接続していない SD-WAN 配置に使用できます。ただし、このドキュメントで前述したシナリオでは、ホームオフィスを既存の配置に追加するために、新しいルーティングドメインを導入して、データセンターネットワーク内のホームオフィスの接続を分離し、接続アクセスを制限することができます。) * Firewall Zone: Default_LAN_Zone インターフェイス LAN
  • WAN 用のインターフェイス 1/2 を追加します。
    • 展開モード:Edge (ゲートウェイ)
    • インターフェイスタイプ: WAN
    • セキュリティ: 信頼できない
    • インタフェースを選択: 1/2
    • DHCP クライアント: 有効このSD-WAN インターフェイスは、ホームオフィス既存のホームネットワークにケーブル接続され、ホームルータが DHCP サーバとして設定され、DHCP クライアントとして動作するインターフェイス 1/2 に IP アドレスを割り当てることを想定しています。) * VLAN ID: 0 * Routing Domain: Default_RoutingDomain * Firewall Zone: Untrusted Internet_Zone インターフェイス WAN]
  • WAN 用のインターフェイス LTE-1 を追加します。
    • 展開モード:Edge (ゲートウェイ)
    • インターフェイスタイプ: WAN
    • セキュリティ: 信頼できない
    • インターフェイスの選択: LTE-1
    • VLAN ID: 0
    • DHCP クライアント: 有効
    • ルーティングドメイン:default_routingDomain
    • ファイアウォールゾーン: 信頼できないインターネット_ゾーン インタフェース LTE
  • デバイス管理のためにインターフェイス 1/4-MGMT を追加します。
    • 展開モード:Edge (ゲートウェイ)
    • インターフェイスタイプ:LAN
    • セキュリティ:信頼できる
    • インターフェイスの選択: 1/4 MGMT
    • VLAN ID: 0
    • ルーティングドメイン: default_routingDomainこの管理インターフェイスの設定が必要で、次の 2 つの目的を果たします
      1. ゼロタッチ展開によるデバイスのプロビジョニング後、クラウドサービスへの継続的な接続を可能にします。
      2. 管理者がデバイスのローカルWebインターフェイスにリモートアクセスして、トラブルシューティング/監視を行うための手段として機能します。

      管理者が Default_RoutingDomain 上の SD-WAN に接続しているデータセンターネットワークに接続していると仮定すると、このインターフェイスで有効な帯域内管理機能を使用してリモート SD-WAN デバイスの Web インターフェイスにアクセスできます。リモート管理者による Mgmt. インターフェイスへの接続は、仮想パスを介して行われます。また、Citrix SD-WAN Orchestratorサービスなどのクラウドサービスへの接続は、Default_RoutingDomainでローカルインターネットブレイクアウト(インターネットサービス)を有効にすることによって実現されます。必要に応じて、データセンターを通じてインターネット接続をバックホールし、インターネットアクセス用にそこから分断することができます。管理ポート(1/4)は、Web インターフェイスにケーブル接続する必要はありません。また、データポーリング機能は、インバンド管理が有効になっているインターフェイスで動作します。管理 * ファイアウォールゾーン: Default_LAN_Zone インターフェイス管理

インバンド管理には、次の設定要件を満たすインターフェイスを使用できます。

  • セキュリティは信頼済みに設定する必要があります
  • インターフェイスタイプは LANでなければなりません
  • 選択した IP がプライベートに設定されていません
  • IP のID を true に設定します。

4. 次に、必要な設計に合わせて新しい WAN リンクを作成します。

  • インターフェイス 1/2 を使用して WAN リンク #1 を追加します。
    • アクセスタイプ: パブリックインターネット
    • ISP 名 (カスタム): ISP
    • インターネットカテゴリ: インターネット
    • リンク名:インターネット-ISP-1
    • パブリック IP アドレスの自動学習: 有効MCN/RCN で示されたサイトは、この機能を使用して各ブランチサイトのアドバタイズされたパブリック IP アドレスを動的に学習します。ブランチノードは MCN/RCN を使用してパスの確立を試みます。パブリックインターネットトランスポートを使用する場合、MCN/RCN で示されるサイトには、静的なパブリック IP アドレスのみが必要です。) * 出力速度: 50 Mbps * 入力速度: 50 Mbps (WAN リンク #1 で定義されているアップロードおよびダウンロード速度は、各ホームネットワークの帯域幅の可用性によって異なります。これらの帯域幅の制限の下に留まって、そのリンクを共有している他の世帯のメンバーが帯域幅を使用できるようにすることをお勧めします。ISP ルータで SD-WAN トンネルトラフィック(UDP 4980)に優先順位をつけることで、リンクの競合が発生したときに SD-WAN がそのリンクの使用をバックオフしないようにします。必要に応じて、異なるWANリンク速度で複数のサイトプロファイルを構成して、ホームオフィスのローカルインターネット状況におけるいくつかの差異に対応できます。) * Virtual Interface: VIF-2-WAN-1 * Virtual Path Mode: Primary ワンリンク1
  • インターフェイス LTE-1 を使用して WAN リンク #2 を追加します。
    • アクセスタイプ: パブリックインターネット
    • ISP 名 (カスタム): LTESP
    • インターネットカテゴリ: LTE
    • リンク名:LTE-LTE-SP-2
    • パブリック IP アドレスの自動学習: 有効
    • 出力速度: 20 Mbps
    • 入力速度: 20 Mbps WAN リンク #2 で定義されているアップロードおよびダウンロードの速度は LTE プロバイダーによって異なりますが、管理者は低い帯域幅速度をハード設定することで、使用を制限できます。または、予測レートで設定し、適応帯域幅検出などの機能を設定できます。) * 仮想インターフェイス: VIF-3-WAN-2 * 仮想パスモード:プライマリ * アクティブ MTU 検出:無効 * メータリングを有効にする: 無効* スタンバイモード: 最終リゾート (WAN リンクが有効スタンバイには、ラストリゾートまたはオンデマンドの 2 つの動作モードがあります。最後にリゾートスタンバイリンクがアクティブになるのは、すべての非スタンバイリンクが使用できないか、無効になっている場合だけです。オンデマンドスタンバイリンクは、同様の状況下でアクティブになりますが、仮想パスの使用可能な帯域幅が設定されたオンデマンド帯域幅制限より大きい場合にアクティブになる機能も備えています。どちらのスタンバイモードでも、アクティブでない場合でも、リンク上のデータ使用は残ります。データ使用量は、ハートビート間隔の頻度で制御できます。たとえば、非アクティブリンクステートでは、スタンバイ WAN リンクは 150 MB ~ 270 MB のデータを消費し、プローブトラフィックだけに 1 秒のハートビート間隔が設定されています。) * Active Heartbeat Interval: 1 * Standby Heartbeat Interval: 1 ワンリンク2

サイトのバッチ作成

サイトプロファイルを作成すると、複数のホームオフィスサイトを一括して作成するために使用できます。Citrix SD-WAN Orchestratorサービスを使用してバッチで新しいサイトを追加するには、管理者が次の操作を実行できます。 (詳細については、Orchestrator のネットワーク設定を参照してください)。

  1. サイトのバッチ追加 ([すべてのサイト] を選択し、[構成] > [ネットワーク構成ホーム] に移動し、[サイトのバッチ追加] ボタンをクリックします)。
  2. バッチで作成するサイトの数を入力し、[次へ] をクリックします。
  3. 新しいサイトにグローバルに関連付けるサイトプロファイルを選択し、各サイトを識別するための一意の属性(たとえば、サイト名、サイトアドレス)を入力します。 サイトのバッチ作成

サイト構成の基本設定

サイトが作成され、各サイトが目的のサイトプロファイルを参照して、作成した各サイトをクリックすると、各サイトに固有の一意の属性を入力できるように、さらに構成を行うことができます。

  1. サイトの詳細: ここでは、 複数のリージョンアーキテクチャに展開する場合はサイトを特定のリージョンに関連付けることができます 。デフォルトの単一リージョン展開で展開する場合はデフォルトリージョンにしておきます。 バッチ・サイトの詳細
  2. デバイスの詳細: ここでは、 一意のシリアル番号、特にオフィスサイトに出荷されたデバイスのシリアル番号、を入力します。シリアル番号は、アプライアンスがホームコール時に認証され、ゼロタッチ展開プロセス中にこの特定のサイト構成を取得します。 バッチデバイスの詳細
  3. Wi-Fiの詳細
    • i. Wi-Fiを有効にします。このホームオフィスサイトに必要な無線および SSID 設定を構成します。 Wi-Fiの詳細
  4. インタフェース:
    • i. インターフェイス 1/1 LAN を編集します。 各サイトは、「リモートワークネットワーク」で一意に定義する必要があります。LAN インターフェイスを選択し、この特定のリモートサイトに割り当てるサブネットを入力します。入力したプライマリ IP アドレスは、このリモートワークネットワークの LAN ゲートウェイ VIP (たとえば 172.17.35.1/29)として機能します。 バッチインタフェース * ii. インターフェイス 1/2 WAN を編集します。 「既存のホームネットワーク」からIPアドレスを自動的に取得するために、DHCPクライアントに対してWANインターフェイスが有効になっていることを確認します。この機能を使用する利点は、ホームネットワークの既存のサブネットを特に知る必要はありませんが、既存のホームルータ/モデムで使用可能な 10/100/1000 イーサネットポートを持ち、それに接続されているすべてのデバイスに IP アドレス、DNS、およびインターネット接続。 Batch WAN 12 * iii. インターフェイス LTE-1 WAN を編集します。 LTE WAN インターフェイスが DHCP クライアントで有効になっていることを確認し、LTE プロバイダーネットワークから IP アドレスを自動的に取得します。 バッチLTE * iv. インターフェイス 1/4-MGMT LAN を編集します。 各サイトは、管理 IP アドレスを使用して一意に定義する必要があります。このアドレスは、クラウドサービスへの継続的な接続と、仮想パスを介したリモート管理者による Web インターフェイスアクセスの目的を果たします。この特定のリモートサイトに割り当てるサブネットを入力します。入力したプライマリ IP アドレスは、 このリモートワークネットワークの管理 IP (172.17.36.1/32 など)として機能します。 バッチインターフェイス管理 ドロップダウンメニューから InBand 管理 IP(172.17.36.1 など)を選択します。詳しくは、「帯域内管理」を参照してください。 管理IP
  5. WAN リンク:
    • i. インターフェイス 1/2 を使用する WAN リンク #1(たとえば、インターネット-ISP-1)を編集します。 この例では、WAN Link #1 は「既存のホームネットワーク」を利用します。このネットワークは、ホーム内の他のユーザー(非ワーカーと見なされる)と共有リソースになります。このような状況では、ホームワーカー専用のインターネットサービスを使用しない限り、出力レートおよび入力レートに設定された速度を SD-WAN で保証する方法はありません。共有回線では、この WAN リンク上で適応帯域幅検出機能を有効にできます 。この機能は、さまざまな帯域幅を提供する WAN リンク用に設計された機能です。トラフィックが競合しているために、デバイスが使用可能なパスで損失を検出すると、デバイスは WAN リンクを最初に低帯域幅レートで使用します。使用可能な帯域幅が設定された [ 最小許容帯域幅] の割合を下回っている場合にのみ 、デバイスはパスを BAD としてマークし、それを使用しないでください(つまり、良い状態で他の利用可能なリンクを使用してください)。インターネットソースが共有されておらず、設定された速度で動作できる場合は、適応帯域幅検出を有効にする必要はありません。 バッチWANリンク 1 バッチWANリンク 1 詳細設定
    • ii. インターフェイス LTE-1 を使用する WAN リンク #2(たとえば LTE-ATT-2)を編集します。 WAN リンク #2 は、帯域幅レートが可変な LTE ネットワークを使用します。この WAN リンクで適応帯域幅検出機能を有効にします 。この機能は、さまざまな帯域幅を提供する WAN リンク用に設計されています。デバイスが利用可能なパスで損失を検出した場合(ワイヤレルトランスポートの典型的な場合)、デバイスは最初に低帯域幅レートで WAN リンクを使用し、使用可能な帯域幅が設定された [ 最小許容帯域幅] の割合を下回っている場合に限り、デバイスはパスを BAD としてマークします。し、それを使用しないようにしようとします(つまり、他の利用可能なリンクを良好な状態で使用する)。 バッチWANリンク 2 バッチWANリンク 2 詳細設定
  6. ルート: 通常、ホームオフィスではスタティックルートの定義は必要ありません。必要に応じて、ここで静的に定義されたサブネットを設定し、LAN ゲートウェイ IP にパイントします。これにより、定義されたサブネットがピア SD-WAN デバイスにアドバタイズされます。
  7. 要約: サイトの概要の詳細を確認して保存することができます。サイト構成を保存しない場合、サイトの [基本設定] から移動すると、入力が失われます。

高度なサイト構成

基本サイト構成を完了したら、インストールのインストールおよびゼロタッチ展開によるアクティブ化後に、オンプレミスデバイスの接続が継続されるように、追加の構成項目がいくつか配置されていることを確認する必要があります。これは、グローバル構成で、[構成] > [配信サービス] > [サービスと帯域幅] で [すべてのサイト] が選択された状態で実行できます。インターネットサービスは、WAN リンクの種類に帯域幅の割合を割り当てることによって有効にできます。「インターネットリンク」の種類にパーセント (たとえば 30%) を割り当てることで、その WAN リンクアクセスタイプで構成されているすべてのサイトのインターネットブレークアウトが自動的に構成されます。 サービスと帯域幅 さらに、そのアクセスタイプ ( パブリックインターネットなど) のサイト構成が構成され、関連するインターフェイスの [セキュリティ] 設定が [ 信頼できない] に設定されている場合、システムは自動的にダイナミック NAT ポリシーを作成し、ローカルインターネットブレークアウトを許可します。サイトのため。

ホーム110 LTE WAN

ホーム110 LTE WAN

インターフェイスが [セキュリティ] 設定を [信頼済み] に設定されている場合は、サイトの [構成] > [詳細設定] > [NAT] ページで、目的のルーティングドメインに対して、ダイナミック NAT ポリシーを手動で作成する必要があります。 高度な NAT オンプレミスデバイスがホームワーカーの LAN サブネットの DHCP サーバーとして機能する必要がある場合は、[ 構成] > [詳細設定] > [DHCP] でこの機能を有効にできます。 高度な DCHP

構成を展開する

サイト固有の詳細が完了すると、SD-WAN管理者は中央管理ツールを使用して構成をプッシュできます。最新構成の展開には 2 つの目的があります。1) 既存の SD-WAN デバイス (MCN など) が新しいリモートデバイスからの着信仮想パス接続の試行を許可するように準備され、2) オンプレミスのデバイスパッケージがゼロタッチ展開の Cloud Service で利用可能になり、を、ゼロタッチ展開プロセスを通じてホームを呼び出しているオンプレミスデバイスに送信します。

構成を展開するには、[ すべてのサイト ] が選択されていることを確認し、[ 構成] > [ネットワーク構成のホーム] ページに移動します。必要なソフトウェアを選択します(110 プラットフォームを使用する場合は 11.1.1.39 以上が必要です)。次に、[ Deploy Config/Software ] をクリックして、構成およびソフトウェアパッケージをステージングします

展開

デプロイメントトラッカーでは、構成をステージングしてアクティブ化する必要があります。すでに接続されているサイトのアクティベーションが完了します。これは、これらの SD-WAN デバイスの準備ができて、新しいサイトからの仮想パス接続試行を受け入れることができることを意味します。接続されていないサイトは、オンサイトインストーラーがゼロタッチ展開ワークフローを実行するまで、ステージング保留状態で待機します。

ステージ段階

構成がネットワークにプッシュされた場合の次のステップは、リモートインストーラのオンサイトアクティビティで、前に説明したゼロタッチ展開方法のいずれかを使用してデバイスを立ち上げることです (1.WANインターフェイスを介したゼロタッチ展開(Citrix SD-WAN 110-SE), 2.LTEインターフェイス経由のゼロタッチ展開(Citrix SD-WAN 110-LTE-SE))。 インバンド管理を実施し、適切なインターネット接続をローカルブレークアウトまたはデータセンター経由のバックホールで構成すると、インストーラがゼロタッチ導入プロセスを開始してから数分後にアクティベーションが完全に完了します。この時点で、ホームワーカーはラップトップ/PCをLANネットワークに接続し、自宅から管理者によって示されたリソースへの作業を開始できます。

アクティブ化

Endpoint Management

SD-WAN管理者にとって、さまざまな地域に分散しているSD-WANデバイスをリモートで管理することは、ホームオフィスの導入を成功させるために不可欠です。中央管理ツールを使用して SD-WAN デバイスにリモートアクセスすることは、設定、監視、およびトラブルシューティングを行う上で重要です。

帯域内管理

帯域内管理機能により、データインターフェイスは、帯域外管理インターフェイスを設定しなくても、データトラフィックと管理トラフィックを伝送できます。インバンド管理機能が活用され、ゼロタッチ導入手順が簡単になります。これにより、オンサイト・インストーラの管理アクセスを個別に構成する必要がなくなります。また、ローカルWebインターフェイスにアクセスする必要もなくなります。インバンドプロビジョニングは、最近、R11.1.1 から SD-WAN 110-SE および VPX プラットフォームに導入されました。詳細については、 Orchestrator 帯域内管理を参照してください。

フォールバック構成

フォールバック構成は、ライセンスやソフトウェアの不一致などの障害が発生した場合に、SD-WANデバイスからCitrix Cloud Servicesへの接続を維持するためのもう1つの重要な機能です。工場出荷時のイメージが R11.1.1 以上のデフォルト設定プロファイルを持つアプライアンスでは、フォールバック設定はデフォルトで有効になります。(詳細については、 Orchestrator フォールバックの設定を参照してください)

配送サービス

配信サービスをグローバルに定義して、インターネット、イントラネット、IPsec、または GRE トンネルの SD-WAN 接続を制限できます。たとえば、Citrix Secure Internet AccessなどのSecure Web Gatewayソリューションを通じてインターネットにバインドされたトラフィックをトンネリングするために、各リモートサイトにローカルなポリシーを定義することができます。これは、ホームオフィスのユースケースに便利な機能です。(詳細については、 Orchestrator 配信サービスを参照してください)

ルーティングポリシー

ルーティングポリシーをグローバルに定義して、トラフィックステアリングを有効にできます。たとえば、低レイテンシーのパフォーマンスを実現するために、O365 トラフィックの直接ブレイクアウトを含めることができます。(詳細については、 Orchestrator ルーティングを参照してください)

ファイアウォールポリシー

ファイアウォールポリシーをグローバルに定義して、ホームユーザーをビジネスクリティカルなアプリケーションのみに制限できます。たとえば、グローバルファイアウォール設定を構成してすべてのトラフィックをドロップし、さらに、仮想パスサービスを通じた特定のトラフィック(Citrix Virtual Apps and Desktopsなど)とインターネットサービスを経由するO365トラフィックのみを厳密に制限するようにポリシーを構成できます。(詳細については、 Orchestrator のセキュリティを参照してください)

参照ドキュメント

詳細については、以下を参照してください。

リモート従業員の生産性

Citrix SD-WAN ホームオフィスの技術概要

Citrix SD-WAN ホームオフィスの設計に関する決定

ホームオフィス向けCitrix SD-WAN に関するPOCガイド