Citrix SD-WANリファレンスア，キテクチャ

オ，ディエンス

このドキュメントでは,単一リージョン環境におけるCitrix SD-WANのフレームワーク,設計,およびアーキテクチャについて説明します。また,このドキュメントでは,SD-WAN协调器を活用したCitrix SD-WANソリューションと,関連するネットワークセキュリティに関する考慮事項についても説明します。

このドキュメントは,它の意思決定者,ネットワーク管理者,ソリューションインテグレータ,パートナー,クラウドサービスプロバイダー,マネージドサービスプロバイダーを対象としています。

この記事で説明するトピックは,Citrix SD-WANのスタンダードエディションとプレミアムエディションの両方に適用されます。議論されたトピックは，異なる機能を持WANOP Editionには適用されません。

Citrix SD-WANア，キテクチャ

Citrix SD-WANはいくつかの展開モードで展開でき,アプライアンス(物理および仮想の両方)をお客様の既存のネットワーク設計に統合する柔軟性を提供します。SD-WANの概要にいては，思杰科技园区リンクを参照してください。Sd-wanアプラ。

• Edgeモ，ドのSD-WAN
• 仮想aapl . aapl .ンラaapl . aapl .ドのsd-wan
• 内联モ，ドのSD-WAN
• 単一リ，ジョンの展開
• 複数リ，ジョンの導入
• 高可用性

Edgeモ，ドのSD-WAN

エッジモード(网关モードとも呼ばれます)は,SD-WANアプライアンスを物理的にパスに配置します(2アーム配置)。SD-WANアプライアンスをそのブランチの局域网ネットワーク全体のデフォルト网关として挿入するには,既存のネットワークインフラストラクチャに変更を加える必要があります。エッジモードで配置されたSD-WANは,レイヤ3デバイスとして機能し,Fail-to-Wireを実行できません。関連するすべての▪▪ンタ▪▪フェ▪▪スは“阻断失败”に設定されます。高可用性（HA）に展開されていない場合、アプライアンスに障害が発生すると、サイトのデフォルトゲートウェイも障害が発生し、アプライアンスが復元されるまでそのサイトで停止が発生します。

内联モ，ドのSD-WAN

@ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @このモドでは，アプラアンスはサネットブリッジのように見えます。ほとんどのアプライアンスモデルには,インラインモード用の“Failto-Wire”(イーサネットバイパス)機能が含まれています。電源に障害が発生すると,リレーが閉じ,入力ポートと出力ポートが電気的に接続され,アプライアンスがないかのように,イーサネット信号が一方のポートから他方のポートに通過します。Fail-to-Wireモードでは,アプライアンスは2つのポートを接続するクロスオーバーケーブルのように見えます。

次の図では,インターフェイス1/1と1/2はハードウェアバイパスのペアであり,コアとエッジMPLSルータを接続するワイヤリングに失敗します。インターフェイス1/3および1/4もハードウェアバイパスのペアであり,コアとエッジファイアウォールを接続するワイヤリングに失敗します。

仮想aapl . aapl .ンラaapl . aapl .ドのsd-wan

仮想@ @ンラ@ @ンモ@ @ド。ルーターはWAN宛てのトラフィックをCitrix SD-WANアプライアンスに転送し,アプライアンスがルーターに返却します。このモ，ドはシステム停止が最も少なく，通常はデ，タセンタ，で活用されます。

Citrix SD-WANア，キテクチャの高レベルの例

Citrix SD-WANのユ，スケ，スに重点を置いています

この文書では30の支店を持つ単一リージョンの導入に焦点を当てて,SD-WANがお客様の既存のネットワークに最適に適合し,そのメリットを提供するアーキテクチャを示します。単一リージョンのコンテキストは,ネットワーク内のノード数が,単一アプライアンスによってサポートされる仮想パスの最大数を超えている場合に必要である,複数のリージョンを持つのではなく,マスターコントロールノード(m cn)上で仮想パスを直接終端するすべてのブランチノードを持つことを指します。SD-WAN协调器

Citrix SD-WAN协调器は,クラウドホスト型のマルチテナント管理SaaSサービスであり,Citrixパートナー,CSP,およびMSPが活用して,マネージドSD-WANサービスを顧客に提供できます。SD-WAN协调器は,適切なロールベースのアクセス制御により,複数の顧客を一元的に管理するための単一ペインの管理インターフェイスを提供します。

主な機能の一部を次に示します。

• マルチテナントとrbac:このサービスにより,Citrixパートナーは,単一のガラスペインと適切なロールベースのアクセス制御を使用して,複数のSD-WAN顧客のオンボードと管理を可能にします。
• 一元的な構成:ガイド付きワークフロー,視覚補助,プロファイルを使用して,SD-WANネットワークの一元的な設定。
• 集中型ラ@ @センス—接続されているすべてのsd-wanデバaaplスのラaaplセンス。
• ゼロタッチプロビジョニング——物理アプライアンスと仮想アプライアンスのネットワークと接続をシームレスにオンボーディングします。
• アプリケション中心のポリシ:アプリケーションベースのトラフィックステアリング,QoS(サービス品質),ファイアウォールポリシー(グローバルまたはサイトごとに設定可能)。
• 健全性の階層的なサマリ:ネットワークの正常性,使用状況,品質,パフォーマンスを一元的に監視し,個々のサイトと関連接続にドリルダウンする機能を備えています。
• トラブルシュ，ティング——デバイスおよび監査ログ,平,traceRoute,パケットキャプチャなどの診断ユーティリティ,ネットワーク接続の問題のトラブルシューティングを行います。

SD-WAN协调器にアクセスするには,各ブランチサイトと直流サイトを管理インターフェイス経由でインターネットに接続する必要があります。Citrix SD-WANソフトウェアバージョン大家は,SD-WAN协调器でサポートされる最小アプライアンスソフトウェアです。

単一リ，ジョンの展開

定評ある小売業のお客様XYZ社は,30の小売店支店を持つ設計要件をCitrixにアプローチしました。これらの支店は現在，mpls回路を介して本社にすべてのデ，タをバックホ，ルしています。これらの回路を拡張することは,スケーラブルなソリューションではないと考えられ,コストがかかっています。法外だディスカッションでは,ブランチが生成した大量のトラフィックをローカルに分解できることが決定されました。これには,クラウドベースのSaaSだけでなく,ソーシャルメディアなどのビジネス関連以外のトラフィックも含まれます。

お客様は,ガイダンスを探しており,帯域幅の可用性が制限され,近い将来サイトの容量を拡張する現在の計画がないため,ソーシャルメディア/ビジネスクリティカルでないトラフィックが一部の場所で完全にブロックされると判断しました。

上記の要件と併せて,お客様は,ゲストのwi - fiを提供しながらネットワークトラフィックを安全に分離し,企業トラフィックから隔離する必要があります。さらに,内部で生成されたトラフィックはルーティングドメインを介して分割され,追加のレイヤーが提供されます。posは製造現場タミナルから分離されるようなセキュリティです。

また,お客様は予算とリソースのため,現時点ではすべてのサイトでSD-WANソリューションを導入する立場になっていないため,既存のMPLS回線,つまりイントラネットサービスを使用して接続を確立する必要があります。

小売業のお客様-既存のネットワクアキテクチャ

SD-WAN構成に進む前に,ネットワーク管理者は,既存の(アンダーレイ)ネットワークを適切に理解し,SD-WANソリューションを必要とするネットワークの制限を完全に理解する必要があります。

お客様は,現在,ビジネスアプリケーション用のプライマリおよびセカンダリデータセンターを備えることにより,耐障害性に優れたネットワークを構築しています。プライマリデータセンターには,CEルータで終端された2つのMPLS回線(10 Mbpsおよび20 Mbps)があり,セカンダリデータセンターにはWAN接続用に終端されたMPLS回線(20 Mbps)が1つあります。プライマリデータセンターで障害が発生した場合に,プライマリデータセンターはセカンダリデータセンターにフェイルオーバーします。

POS(販売時点管理)およびその他のビジネスクリティカルなアプリケーションは,データセンター内でホストされます。すべてのブランチロケーションが,データセンターへのMPLSリンクを介してPOSおよびその他のビジネスアプリケーションにアクセスするように設定されます。現在,ブランチロケーションの一部には,冗長性のために2つのMPLSリンクがありますが,アクティブ/パッシブとして設定されているため,支払っている帯域幅を十分に活用していません。すべてのブランチユーザーは,データセンターブレークアウトを介してインターネットにアクセスするため,すべてのトラフィックはオーバーサブスクライブされたMPLS回線を通過する必要があります。このため,お客様は,いくつかの支店でローカルインターネットブレイクアウトを導入し,インターネットとクラウドホスト型SaaSに直接接続できるようにする予定です。アプリケ，ション。

Citrix SD-WANを実装するメリット

1. Citrix SD-WANは,WANリンクアグリゲーションを可能にし,いずれかのリンクに障害が発生した場合や大きなパケット損失が発生した場合のダウンタイムを排除します
2. ビジネス・アプリケーションにアクセスしながら,すべてのブランチ・ユーザーのアプリケーション・パフォーマンスとサービス品質(QoS)の向上
3. 支店での低価格のブロードバンド接続およびLTE接続でMPLS回線を増強することで,WANコストを削減
4. 複数のリンク障害時でも接続を維持する，ビジネス接続とディザスタリカバリ機能の向上
5. ネットワーク機能を統合型WANエッジアプライアンスに統合し,管理とポリシー定義を一元化することにより,ブランチネットワークのシンプル化

小売業のお客様- Citrix SD-WANネットワク設計

上記の図は,Citrix SD-WANを組み込んだ提案オーバーレイネットワーク設計を表しています,次のセクションでは,SD-WAN構成を理解するために,各データセンターとブランチにドリルダウンし,それが異なるアクセスタイプを使用して仮想WAN接続を形成する方法を理解しますmpls,インターネットと/ 4 g LTEリンク。

SD-WAN协调器

SD-WANアプライアンスは,デバイスの管理インターフェイスを使用してインターネット経由でクラウドベースのSD-WAN协调器に接続するように構成されています。SD-WAN协调器は,構成とソフトウェアをすべてのSD-WANデバイスに並行して配布します。また,監視およびレポート作成のために,すべてのSD-WANデバイスからデータをポーリングします。ファイアウォールルールを適用して,SD-WANアプライアンスのインターネットアクセスを許可し,Citrix云SD-WAN协调器サービスと通信できるようにする必要がありました。

プラマリデタセンタ構成

プライマリデータセンターのSD-WANアプライアンスは,ポリシーベースルーティング(PBR)モードとも呼ばれる仮想インラインモードを使用して展開されます。トラフィックをsdwanアプラアンスにルティングする方法は2あります。

• ポリシ，ベ，スル，ティング
• 動的ル，ティングプロトコル

Citrix SD-WANソリューションは,静的ルーティングプロトコルと動的ルーティングプロトコルの両方をサポートします。

SD-WANアプライアンスは,目的のダイナミックルーティングプロトコル(OSPFおよび边界网关协议)ごとに,既存のカスタマーネットワーク内でレイヤ3ルーティングアドバタイズメントのルート検出を実行できます。これにより,SD-WAN管理者が局域网側とWAN側のネットワークを静的に定義する必要はなくなります。環境をsd-wanネットワクの一部である各アプラアンスにンストルします。

ルート学習が有効なネットワークの場合,Citrix SD-WANは,ルートをすべてアドバタイズするか,またはまったくルートをアドバタイズするのではなく,ルーティングネイバーにアドバタイズするSD-WANルートをより詳細に制御できます。エクスポートフィルタは,特定の一致基準に基づいてOSPFおよび边界网关协议プロトコルを使用してアドバタイズメント用のルートを含めるか除外するために使用されます。ルートフィルタリングは,SD-WANネットワーク(データセンター/ブランチ)内の局域网ルートに実装され,eBGPを介して非SD-WANネットワークにアドバタイズされます。Sd-wan管理者は，要件に基づいて32のエクスポ，トフィルタを設定できます。エクスポートフィルタは,特定の順序に基づいて,特定のルーティングドメインまたはデフォルトのルーティングドメインに優先順位をつけるために使用されるフィルタです。

• "フィルタをopen open open " -(デフォルト:open open open open)
• (出口过滤器):(デフォルト:すべてのスタティックルートとトンネルルートをエクスポートします)

デフォルトでは，エクスポ，トOSPFル，トタ。これは,SD-WANルーティングテーブルがOSPFプロトコルの外部と見なされるため,OSPFが内部(エリア内)学習したルートを優先するため,SD-WANによってアドバタイズされたルートが優先されない場合があります。OSPFをWAN (MPLSネットワーク)全体で使用する場合,これはエリア内タイプ1に変更できます。SD-WANは,OSPFパス選択アルゴリズムを使用して,ルートをエリア内ルート(LSAタイプ1)としてアドバタイズし,ルートコストに従って優先設定を取得できるようになりました。

マスタ，制御ノ，ド

単一リージョン展開では,データセンターアプライアンスはm cn(マスターコントロールノード)に設定されるヘッドエンドアプライアンスです。m cnでは,スタティックIPアドレスを設定する必要があります。マスターコントロールノード(m cn)は時刻同期,ルーティング更新,およびブランチデバイスのハブを担当する中央の仮想WANアプライアンスです。ヘッドエンドデバ▪▪▪▪スは，通常，高可用で展開されます。お客様は,ディザスタリカバリ用にデータセンターが2つあるため,プライマリデータセンターはプライマリm cn (HAペア)として構成され,セカンダリデータセンターはセカンダリm cn (HAペアも可能)として構成されます。

高可用性モ，ド

Citrix SD-WAN高可用性(HA)構成には,冗長性のために,プライマリデータセンターに2つのSD-WANアプライアンスがアクティブ/スタンバイパートナーシップとして機能します。これは，haペアの両方のアプラ。

高可用性設定を定義するために,SD-WAN管理者はHAアプライアンス名をプライマリm cnモードに設定しました。フェ，ルオ，バ，時間をミリ秒単位で設定できます。これは,スタンバイm cnアプライアンスをアクティブノードとして起動するまでのハートビート障害発生時の待機時間を指定します。フェルオバ時間のデフォルト値は1000ミリ秒です。管理者は,これらの設定に加えて,フェールオーバーイベント後の再起動時に制御を再利用するために,プライマリm cnの[主要回收]オプションを選択しています。高可用性には,HAペア内のアプライアンス間でインターフェイスMACアドレスを共有するように構成できる,共有ベースMACアドレスの追加設定があります。フェイルオーバーが発生した場合,セカンダリアプライアンスは障害が発生したプライマリアプライアンスと同じ仮想MACアドレスを持つことができます。クラウドベースのプラットフォームでは,共有ベースMACアドレスを無効にする追加のオプションがあります。

高可用性IPインターフェイス設定では,管理者はHAペア内のアプライアンスとプライマリおよびセカンダリIPアドレスとのハートビート通信用の仮想インターフェイスを選択しています。フェールオーバーは,プライマリからセカンダリへのハートビート障害時に,監視対象のインターフェイスに対してのみ発生することに注意してください。SD-WANアプライアンスでハートビート障害を監視していないインターフェイスがあり,それらのインターフェイスで障害が発生した場合に,アプライアンスはフェールオーバーしません。

外部トラッカーのIPアドレスは,アップストリームルータをARPし,プライマリアプライアンスの状態に関するステータスを更新するように設定されています。応答に障害が発生した場合，sd-wanはフェルオバを開始します。

仮想パス

SD-WAN管理者は,各WANリンクのエンドポイントを表すように仮想IPを構成して,データセンターとブランチオフィスのSD-WANアプライアンス間の各WANリンクを経由するWANパストンネルを作成しました。この設定により、複数のwanリンク(物理リンク)を1の仮想パスに集約できます。これにより,パケットは既存のアンダーレイではなくSD-WANオーバーレイネットワークを使用してWANを通過できます。仮想パスはudpポト4980を使用するudpベスのトンネルです。ネットワーク管理者は,アップストリームファイアウォール,ルータ,IPS,およびIDSデバイスに,WANリンク上のUDP 4980パケットがSD-WANデバイス間の仮想パスを確立するために必要なルールを持っていることを確認します。

Sd-wan仮想パスサ，ビスは，仮想パスを経由するトラフィックを管理します。仮想パスは、SD-WAN サイトを接続する 2 つ以上の WAN リンク間の論理リンクです。これは、SD-WANノード間の高いサービスレベルと信頼性の高い通信を提供するために、さまざまなWANアクセスタイプをグループ化したものです。これは、アンダーレイの WAN パス状態を常に測定することによって実現されます。送信元（送信）アプライアンスは、現在のリンク特性に関する情報を含むヘッダーを各パケットに追加します。宛先（受信）アプライアンスは、これらのヘッダーを読み取り、データを使用して、通過時間、輻輳、ジッタ、パケット損失、およびパスのパフォーマンスと健全性に関するその他の情報を理解します。

sd-wanアプラaaplアンスはパスを一方向に測定し，パケットごとに最適なパスを選択します。Citrix SD-WANでは,パケットベースのパス選択により,ネットワークの変更に迅速に対応できます。SD-WANアプライアンスは,わずか2つまたは3個のパケットの欠落後にパスの停止を検出できるため,アプリケーショントラフィックを次に最適なWANパスにシームレスにフェイルオーバーできます。sd-wanアプラアンスは，すべてのwanリンクステタスを約50ミリ秒で再計算します。

仮想パスはブランチ間でスタティックまたはダイナミックにできますが,すべてのブランチにはm cnへのスタティックパスが必要です。ダaapl . exeナミック仮想パスは，設定されたしきい値に基づいてサaapl . exeト間で直接確立されます。しきい値は，これらのサ。動的仮想パスは，指定されたしきい値に達した後にのみ作成されます。動的仮想パスのデフォルトルトコストは5で，デフォルトの制限とタマがあります。

• 仮想パスの削除待機時間- 1分
• 仮想パス保持時間(m)の再作成:10分
• 作成の制限
  • サンプル時間- 1秒
  • スルプット—600kbps
  • スル，プット:45pps
• 削除制限
  • サンプル時間- 2秒
  • スル，プット:45kbps
  • スル，プット:35pps

仮想パスの保護

仮想パスではaes - 128ビット暗号化がデフォルトで有効になっており,aes - 256とIPSecも利用できます。これは仮想パス用です。既定で有効になっている“暗号化キーの回転を有効にする”オプションは,楕円曲線diffie - hellmanキー交換を10 ~ 15分間隔で使用して暗号化が有効になっているすべての仮想パスでキーの再生成を保証するように設定され,これは設定可能です。

サトごとにシクレットキがあります。仮想パスごとに、ネットワーク構成は、仮想パスの両端にあるサイトからの秘密鍵を組み合わせて、キーを生成します。仮想パスを最初にセットアップした後に発生する最初のキー交換は、その組み合わせキーを使用してパケットを暗号化および復号化する機能によって異なります。

Citrix SD-WANは,Citrix SD-WAN WANアプライアンスの局域网側またはWAN側で,サードパーティデバイスがIPsec VPNトンネルを終了できるようにするIPsecをサポートします。管理者は,140 - 2レベル1 FIPS認定IPSec暗号化バイナリを使用して,SD-WANアプライアンスで終端するサイト間IPSecトンネルを保護できます。SD-WANは,差別化された仮想パストンネリングメカニズムを使用して,耐障害性IPsecトンネリングもサポートします。

セカンダリ·デ，タ·センタ，の構成

セカンダリデータセンターのSD-WANアプライアンスも,仮想インライン(PBR)モードで展開されます。セカンダリデータセンターのSD-WANアプライアンスは,パラレルHA構成のセカンダリm cnとして構成されます。

プラマリMCNセカンダリへのフェルオバ

セカンダリm cnはプライマリm cnの状態を継続的に監視し,プライマリm cnに障害が発生すると,セカンダリm cnがm cnの役割を引き受けると,プライマリm cnからセカンダリm cnへの切り替えは,プライマリm cnが非アクティブ状態の15秒後に行われます。プラaapl . exeマリ回收オプションは，プラaapl . exeマリMCNでは使用できません。プライマリ再利用は,プライマリアプライアンスが再びオンになった後,およびしきい値タイマーの期限が切れると自動的に実行されます。

デタセンタmcnへのバックホルンタネット

”“バックホールという用語は,インターネット宛てのトラフィックが,WANリンク経由でインターネットにアクセスできる別の定義済みサイトに送り返されることを示します。これは,セキュリティ上の問題,またはアンダーレイネットワークの制限のために,ブランチオフィスで直接インターネットアクセスを許可しないネットワークの場合です。ネットワーク管理者は,直流リソースまたはインターネットアクセスに関係なく,すべてのトラフィックがm cnにバックホールされるように構成できます。ただし,他のCitrix SD-WANブランチノードサイトを利用してインターネットにアクセスできます。

環境によっては,データセンターで強化されたDMZを経由するすべてのリモートサイトのインターネットトラフィックをバックホールすることが,ブランチオフィスのユーザーにインターネットアクセスを提供するために最も望ましい方法です。ただし，この方法には制限があり，アンダのwanリンクのサズは適切です。

• インターネットトラフィックのバックホールは,インターネット接続にレイテンシーを追加し,データセンターのブランチサイトの距離に応じて変動します
• インターネットトラフィックのバックホールは仮想パス上の帯域幅を消費するため,WANリンクのサイズ設定に考慮する必要があります
• インターネットトラフィックのバックホールは,特に仮想インラインモードを利用している場合に,データセンターでインターネットWANリンクをオーバーサブスクライブする可能性があります。

ブランチユーザー向けのCitrix虚拟应用程序和桌面へのアクセス

Citrix虚拟应用程序和桌面環境は,印刷やマルチメディアなどのすべてのCitrix HDXユーザーエクスペリエンス機能を含むMPLSネットワーク経由でCVAD環境にアクセスする必要があるすべてのブランチユーザーのために,データセンターの場所でホストされます。Citrix SD-WANを使用すると,Citrix虚拟应用程序和桌面環境にアクセスしながら,ブランチユーザーに最適なユーザーエクスペリエンスを提供できます。

ブランチ1の設定

ブランチサイトを追加する手順は,SD-WAN协调器を使用してm cnサイトを作成および構成する場合と同じですが,一部の構成手順と設定はブランチサイトによって多少異なります。さらに,最初のブランチサイトを追加したら,同じアプライアンスモデルを持つサイトでは,クローン(複製)機能を使用して,これらのサイトの追加と構成プロセスを合理化できます。

分支-1のSD-WANアプラaapl .アンスは，aapl .ンラaapl .ンモ，aapl .されます。ハードウェアまたはソフトウェアに障害が発生した場合にリンクをブリッジするためにFail-to-Wire設定が適用されています。これにより,ユーザはMPLS経由でビジネスクリティカルアプリケーションおよびPOSアプリケーションにアクセスできます。

支店1にはMPLSリンクが1つしかなく,インターネットリンクがないため,すべてのインターネットトラフィックはデータセンターにバックホールする必要があります。そのため,お客様は,支店2で利用可能なインターネットリンクを,支店1のインターネットアクセスに十分な帯域幅で活用することにしました。SD-WAN管理者は,ブランチ2に到達するレイテンシーが,データセンターと比較して短いため,ブランチ2でインターネットを利用すると,ブランチ1ユーザにとって最適なパフォーマンスが得られることが確認されました。この要件は，ヘアピンの配置によって達成されます。SD-WAN管理者は,WANからWANへの転送を有効にして,このサイトがマルチホップサイトのプロキシとして機能するようにしました。

ヘアピンの展開

发夹展開では,ローカルインターネットサービスが使用できないため,サイトがインターネットにアクセスするためにリモートハブサイトのWANリンクを使用できるようにする構成を実装できます。

ヘアピン配置の目的は,ブランチまたはサイトに対してローカルでないインターネットリンクを介した直接アプリケーションアクセスを許可することです。お客様は,ニーズが発生したときに,インターネットにアクセスするためにリモートサイトを使用でき,仮想パスを介してフローをルーティングできます。

必要な要件を満たすために,お客様はブランチ1 SD-WANアプライアンスのヘアピン配置設定を作成し,適用しました。これにより,ブランチ1ユーザがブランチ2経由でインターネットにアクセスできるようになり,同じポリシーと設定がSD-WANオーケストレータを使用してブランチに伝播されました。また,お客様は,ブランチ1からの追加トラフィックに対応するために,ブランチ2にインターネットリンク経由で必要な帯域幅を確保しました。

ディプパケットンスペクション(dpi)を使用したアプリケションの可視性

Citrix SD-WANには,ディープパケットインスペクション(DPI)ライブラリが統合されており,アプリケーションのリアルタイム検出と分類が可能です。SD-WANアプライアンスは,組み込みのDPIエンジンを使用して,着信パケットを分析し,それをアプリケーションまたはアプリケーションファミリに属するものとして分類します。

DPIベースのアプリケーションの可視性を使用して,Citrix SD-WANは4500を超えるアプリケーションとサブアプリケーションを検出できます。この機能は,さまざまなパターンマッチング,セッション動作,DNSキャッシング,ポートベースの分類技術を使用して,WANを通過するすべてのアプリケーション(HTTPS, imapなどのSSL暗号化トラフィックを含む)をリアルタイムでレイヤ7で可視化します。Citrix SD-WANは,ソーシャルメディア(Facebook、YouTube, Twitter), O365,甲骨文などのアプリケーションの可視性を提供するだけでなく,アプリケーションの帯域幅消費量を可視化することで,ビジネスクリティカルなアプリケーションの帯域幅が不足していないことを確認するのに役立ちます。

ブランチ1のユーザーは,インターネット・リンクを介したアプリケーション・アクセスのためにブランチ2にバックホールされるため,お客様は,アプリケーション・レベルのアクセスとその帯域幅使用率を監視して,アクセス・パターンを理解し,ビジネス・ニーズアプリケーションに対してのみアクセスを制御することにしました。お客様は、Facebook、YouTube, Twitterなどの同類を含む”ソーシャルメディア”と呼ばれる新しく作成されたアプリケーショングループをブロックするアプリケーションポリシーを作成しました。

この構成では,ブランチ1のユーザーはビジネスクリティカルなアプリケーションに対してのみインターネットにアクセスでき,ブランチ1 SD-WAN自体でビジネス関連以外のアクセスはブロックされているため,貴重な帯域幅を節約できます。

ルティングドメン

Citrix SD-WANは,仮想ルーティングと転送(VRF-Lite)を使用してネットワークをセグメント化し,セキュリティと管理性を向上させる機能を提供します。お客様は,ゲストネットワークトラフィックを従業員の運用トラフィックから分離し,個別のルーティングドメインを作成して大規模な企業ネットワークをセグメント化し,トラフィックをセグメント化して複数のカスタマーネットワークをサポートできます。各ルーティングドメインには独自のルーティングテーブルがあり,IPサブネットのオーバーラップをサポートできます。

Citrix SD-WANアプライアンスは,ルーティングドメイン用のOSPFおよび边界网关协议ルーティングプロトコルを実装し,ネットワークトラフィックを制御およびセグメント化します。仮想パスは，アクセスポ@ @ントの定義に関係なく，すべてのル@ @ティングドメ@ @ンを使用して通信できます。これは,SD-WANカプセル化に各パケットのルーティングドメイン情報が含まれているため,両方のエンドデバイスが,ルーティングドメインに関してパケットが属している場所が認識されるためです。ルーティングドメインはVLANなどのバリアで区切られ,最大255のルーティングドメインを設定できます。

要件に従って,管理者は,企業トラフィックとゲストwi - fiアクセスに使用されるブランチ1用の2つのルーティングドメインを作成しました。Citrix虚拟应用程序和桌面のトラフィックは仮想パスを使用してデータセンターにルーティングされ,ゲストwi - fiアクセスはヘアピンを使用してブランチ2にルーティングされます構成。

お客様は,ルーティング・ドメインに加えて,仮想パスよりもビジネス・クリティカルなアプリケーションに対して高い優先順位を適用したいと考えていました。次のセクションでは,アプリケーションQoSについて説明し,それが顧客の要件を達成するためにどのように役立つかについて説明します。

アプリケ，ションqos

Citrix SD-WANソリューションは,市場で最も洗練されたアプリケーションQoSエンジンの1つを備えています。アプリケーショントラフィックを評価し,他のアプリケーションに対して優先順位を付けるだけでなく,WANネットワーク品質に関するニーズを把握し,ネットワーク品質特性に基づいてネットワークパスをリアルタイムで選択するための幅広い機能を備えています。

アプリケーション分類機能を使用すると,Citrix SD-WANアプライアンスは着信トラフィックを解析し,それらをアプリケーションまたはアプリケーションファミリに属するものとして分類できます。この分類により,アプリケーションルールを作成して適用することにより,個々のアプリケーションまたはアプリケーションファミリのQoSを強化できます。

ネットワーク管理者は,アプリケーション,アプリケーションファミリ,またはアプリケーションオブジェクトの一致タイプに基づいてトラフィックフローをフィルタリングし,それらにアプリケーションルールを適用できます。アプリケションルルは，ンタネットプロトコル(ip)ルに似ています。

Citrix SD-WANソリューションは,アプリケーション分類,ルールフィルタリング,クラス割り当て設定のデフォルトセットを提供します。管理者は,クラスを使用して,仮想パス上の特定のタイプのトラフィックを分類し,このトラフィックを処理するためのルールを適用できます。トラフィックは，ル，ルで定義されている特定のクラスに割り当てられます。

sd-wanシステムは，17クラス(0-16)を提供します。クラス0~3は，Citrix HDX QoS優先順位付け用に事前定義されています。これらのクラスは，異なるica優先度タグを持hdxトラフィックを分類するために使用されます。SD-WAN管理者は,クラスタイプおよび割り当てられた帯域幅共有を編集して最適なQoSを取得できますが,クラスの名前は編集できません。

クラス10 ~ 16は事前定義されており,リアルタイム,インタラクティブ,バルクのクラスタイプに関連付けられています。各タ▪▪プをさらに設定して，そのトラフィックのタ▪▪プに応じてQoSを最適化できます。クラス4-9は，ユザ定義クラスを指定するために使用することができます。クラスは，次の3のタプのいずれかです。

リアルタ@ @ム——商业やSkype ICAオーディオなど,VoIPやVoIPのようなアプリケーション。一般に，ビジネスに不可欠な小さなudpパケットを使用する音声のみのアプリケ，ションを指します。

ンタラクティブ—これは最も広いカテゴリであり，高度なユザ操作を持任意のアプリケションを指します。ビデオ会議など,これらのアプリケーションの中には,レイテンシーの影響を受けやすく,高い帯域幅が必要です。httpsなどの他のアプリケションは，必要な帯域幅が少なくてもビジネスにとって重要です。対話型アプリケ，ションは，通常，本質的にトランザクションです。

バルク:これは,豊富なユーザーエクスペリエンスを必要としないが,データの移動(FTPまたはバックアップ/レプリケーションなど)に関する多くのアプリケーションです。

お客様の実際の要件を実現するために,支店からデータセンターへのHDXアクセスの優先順位を付けるため,SD-WAN管理者は,すべてのブランチのCitrix HDXアクセス用のQoSルールを作成し,SD-WAN协调器経由でブランチにポリシーを適用しました。お客様は,WANリンクに関連付けられたさまざまなサービス間で,WANリンクの帯域幅の双方向(LANから湾湾からLAN)の帯域幅を分散できるプロビジョニング設定を適用しました。

ブランチ2の設定

分公司二のSD-WANアプライアンスは,MPLSとインターネット回線の両方に配置され,高可用性を備えたインラインモードと呼ばれる方法で展開されます。。

お客様は,このブランチの既存のインターネットリンクのバックアップを提供するために,4 g / LTEインターネットリンクを導入した210 LTEアプライアンスをインストールしました。ディープパケットインスペクション機能を使用すると,インターネットアクセスを必要とするビジネスアプリケーションとSaaSアプリケーションをブランチでローカルに分割し,トラフィックを専用のインターネットリンクまたは/ 4 g LTEリンク経由でルーティングする必要があります。すべてのソーシャルメディアへのアクセスは,支店で分割し,インターネットリンクを介してルーティングする必要があります。

SD-WAN管理者は,ローカルインターネットブレークアウトサービスを使用して,ブランチ用のローカルインターネットリンクを介してトラフィックを迂回するようにアプリケーションポリシーを設定しました。このインターネットブレイクアウトサービスを使用すると,インターネットトラフィックはデータセンターへのバックホールではなく,ブランチ2から公共のインターネットに直接送信されます。

ロカルンタネットブレクアウトサビス

。インターネットサービストラフィックはCitrix SD-WANによってカプセル化されず、QoSを含む仮想パスサービス経由で配信されるトラフィックと同じ機能はありません。

ただし，この。インターネットサービスとして識別されたトラフィックは、仮想パスおよびイントラネット経由で配信されるトラフィックに対してインターネットトラフィックをレート制限することで、SD-WAN が WAN リンク帯域幅をアクティブに管理できるようになります。サービスを、管理者が確立した構成ごとに実行します。SD-WAN には、帯域幅プロビジョニング機能に加えて、複数のインターネット WAN リンクを使用してインターネットサービス経由で配信されるトラフィックの負荷分散機能が追加されています。

Citrix SD-WAN上のインターネットサービスを使用したインターネットトラフィック制御は,次の展開モードで構成できます。

• 統合ファアウォルを使用したブランチでの直接ンタネットブレクアウト
• 安全Web网关への支店転送での直接e.c.ンタe.c.ネットブレe.c.クアウト

Zscalerクラウドセキュリティプラットフォ，ム

トラフィックをセキュリティで保護し,ポリシーを適用するために,企業のバックホールでは,企業のデータセンターへのトラフィックがブランチインされるインターネットをバックホールします。データセンターは,セキュリティポリシーを適用し,セキュリティアプライアンスを介してトラフィックをフィルタリングし,ISP経由でトラフィックをルーティングします。プライベートMPLSリンクを介したこのようなバックホールは高価であり,貴重なリソースを消費します。また，レテンシが大きくなるため，ブランチサトでのユザエクスペリエンスが低下します。

バックホルに代わる方法として，支店にセキュリティアプラアンスを追加する方法があります。ただし，複数のアプラ@ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @また，支店の数が多い場合，コストと管理が実用的ではありません。

コスト,複雑さ,待ち時間を追加せずにセキュリティを強化する理想的なソリューションは,すべてのブランチインターネットトラフィックをCitrix SD-WANアプライアンスからZScaler云セキュリティプラットフォームにルーティングすることです。その後,お客様は中央のZscalerコンソールを使用して,ユーザーのきめ細かいセキュリティポリシーを作成できます。ポリシーは,ユーザーがデータセンターにいるかブランチサイトにいるかにかかわらず,一貫して適用されます。Zscalerセキュリティソリューションはクラウドベースであるため,お客様はネットワークにセキュリティアプライアンスを追加する必要はありません。

はZscaler云安全平台,世界中の100以上のデータセンターで一連のセキュリティチェックの投稿として機能します。お客様のインターネットトラフィックをZscalerにリダイレクトするだけで,データストア,支店,リモートロケーションを直ちに保護できます。Zscalerはユーザーとインターネットを接続し,暗号化または圧縮されている場合でも,トラフィックのすべてのパケットを検査します。Citrix SD-WANアプライアンスは,お客様のサイトからGREトンネルまたはIPsecトンネルを介してZscalerクラウドネットワークに接続できます。

インターネットサービスのブレイクアウトを実現し,インターネットトラフィックを保護するために,管理者はブランチ2 SD-WANアプライアンスでローカルインターネットブレイクアウトサービスを構成し,ZscalerクラウドネットワークへのIPsecトンネルを作成しました。この構成により,お客様は,ブランチ2から安全なトンネル内のZscalerにインターネットトラフィックを転送し,次にパブリックインターネットに転送することができました。この目標を達成することで，mplsリンク帯域幅が削減され，コストが節約されました。

ブランチ3の設定

Branch-3のSD-WANアプライアンスは,Fail-to-Wire構成のインラインモードを使用して展開されます。このブランチには,インターネットリンクと,バックアップ用の/ 4 g LTEインターネットリンクがあります。Branch-3では,データセンターのm cnにインターネットトラフィックをバックホールする構成があります。お客様は,ニュース,SaaS,およびローカルインターネットリンクを介した他のクラウドサービスのアクセスのような少数のインターネットトラフィックエリアを迂回し,ユーザーに中断されずに最適なアクセスを提供することにしました。

アプリケ，ションル，ト

ブランチオフィスのユーザーは,SD-WAN仮想パスを使用して,プライマリまたはセカンダリデータセンターでホストされているアプリケーション,クラウドアプリケーション,またはSaaSアプリケーションにアクセスする必要があります。アプリケーションルーティング機能により,ネットワークを介してアプリケーションを簡単かつコスト効率よく操作できます。Branch-3ユーザーがSaaSアプリケーションにアクセスするときに,この機能を使用すると,最初にデータセンターを経由しなくても,トラフィックをインターネットに直接ルーティングできます。

Citrix SD-WANは,仮想パス,インターネット,イントラネット,ローカル,GREトンネル,および局域网IPsecトンネルのアプリケーションルートを定義します。アプリケーションのサービスステアリングを実行するには,最初のパケット自体でアプリケーションを識別することが重要です。最初は,トラフィックが分類され,アプリケーションが認識されると,パケットはIPルートを通過します。対応するアプリケ，ションル，トが使用されます。最初のパケット分類は,アプリケーションオブジェクトに関連付けられたIPサブネットとポートを学習することによって達成されます。これらは,DPI分類器の履歴分類結果とユーザ設定のIPポート一致タイプを使用して取得されます。

Branch-3では,お客様はインターネットリンクを持っており,インターネットへのアプリケーショントラフィックのリンクを利用したいと考えていました。お客様は,ローカルインターネットリンクを使用してアクセスするためのAzure, AWS,および谷歌云アクセスのアプリケーションルーティングを設定しました。

スタンバ@ @およびメ@ @タリング@ @ wanリンク

Citrix SD-WANはスタンバeprリンクを有効にします。スタンバイリンクは,他のすべての利用可能なWANリンクが無効になっているときに,特定のインターネットWANリンクでのみユーザートラフィックが送信されるように構成できます。

スタンバesc escリンクは，使用量に基づいて課金されるリンクの帯域幅を節約します。スタンバ@ @リンクを使用すると，管理者はリンクを[ラストリゾ@ @ト]リンクとして設定できます。これにより，他のすべての非従量制課金リンクがダウンまたは低下するまで，リンクの使用を禁止できます。

通常,[ラストリゾート]は,サイトへの3つのWANリンク(MPLS,ブロードバンドインターネット,4 g / LTE)があり,WANリンクの1つが4 g / LTEである場合に有効になり,必要な場合を除き,ビジネスで使用するにはコストがかかりすぎることがあります。メータリングはデフォルトでは有効になっていないため,任意のアクセスタイプ(パブリックインターネット,プライベートMPLS,プライベートイントラネット)のWANリンクで有効にできます。

また,お客様は,クラウドインターネットトラフィックにとって重要なローカルインターネットリンクのバックアップ/スタンバイを有効にする必要があります。管理者は,専用のローカルインターネットリンクが飽和または障害が発生した場合に,インターネットトラフィックも4 g lteリンクを使用するように,従量制ラストリゾートリンクとして4 g lteリンクを有効にしました。

ブランチ-29の設定

Branch-29のSD-WANアプライアンスは,パラレルHA設定のインラインモードを使用して展開され,2つのMPLSリンクと,インターネットアクセスのためにSD-WANで終端される4 g lteリンクを接続します。このブランチには3つのWANリンクがあるため,お客様は,インターネットとイントラネットトラフィックの仮想パスを分離したいと考えていました。@ # @ @ @ @ @ @ @ @ @ @ @ @。また,障害が発生した場合には4 g lteリンクを使用し,イントラネット以外のSD-WANブランチトラフィックの場合は,2番目のMPLSリンクを使用する必要があります。また,お客様は,SD-WAN以外のブランチと通信するために,すべてのブランチでイントラネットサービスを構成していることを確認しました。

ントラネットサ，ビス

イントラネットサービスは,プライベートWANリンク(P2P, MPLS VPNなど)を介して,MPLSネットワーク上にあり,SD-WANアプライアンスを持たないBranch-30への到達可能なルートを示します。これらのル，トは，特定のwanル，タに転送する必要があることを前提としています。ントラネットサ，ビスはデフォルトで有効になっていないため、SD-WAN 管理者がこのサービスを有効にし、ルートを適用しています。このルート（サブネット）に一致するすべてのトラフィックは、SD-WAN ソリューションを持たないサイトに配信するために、このアプライアンスのイントラネットとして分類されます。

インターネットサービス

インターネットサービスはイントラネットに似ていますが,プライベートWANリンクではなく,パブリックインターネットWANリンクに流れるトラフィックを定義するために使用されます。1つのユニークな違いは,インターネットサービスを複数のWANリンクに関連付けて,負荷分散(フローごと)に設定するか,アクティブ/バックアップに設定できることです。インターネットサービスが有効になると,既定のインターネットルートが作成されます(既定ではオフになっています)。このルート(サブネット)に一致するトラフィックはすべて,このアプライアンスのインターネットとして分類され,パブリックインターネットリソースに配信されます。

@ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @ @

イントラネットおよびインターネットサービスタイプの場合,SD-WAN管理者はSD-WANリンクを定義して,これらの種類のサービスをサポートする必要があります。これは，これらのサ，ビスのいずれかに定義されたル，トの前提条件です。WANリンクがイントラネットサービスをサポートするように定義されていない場合,そのリンクはローカルルートと見なされます。イントラネット,インターネット,パススルールートは,構成されているサイト/アプライアンスにのみ関連します。

イントラネット,インターネット,またはパススルールートを定義する場合,設計上の考慮事項は次のとおりです。

• WANリンクにサービスが定義されている必要があります(イントラネット/インターネット——必須)
• ロカルsd-wanデバスに関連します
• ·ル，トは仮想パスを介して学習できますが，それは高コストで学習できます
• インターネットサービスでは,デフォルトルート(0.0.0.0/0)が自動的に作成され,コスト5のすべてのルートをキャッチし,設定可能です
• パススル，が機能すると仮定しないでください。これはテスト/検証する必要があります。また，仮想パスをダウン/無効にしてテストして，目的の動作を確認します。
• ル，トテ，ブルは，ル，ト学習機能が有効でない限り，スタティックです

要件に従って,SD-WAN管理者は,ブランチ30との通信を確立するために,MPLSリンクのいずれかを使用してイントラネットサービスを作成しました。インターネットサービスの要件を満たすために,管理者は2番目のMPLSリンクを使用して仮想パスを作成して,他のすべてのブランチと通信します。

ブランチ30の設定

Branch-30は,データセンターやその他のブランチとMPLSネットワーク経由で接続された新しいブランチで,SD-WANをブランチにインストールしません。データセンターおよびその他のブランチで設定されたイントラネットサービスには,特定のルータに転送されるルートがあります。このルートに一致するすべてのトラフィックは,イントラネットに分類され,SD-WANソリューションを持たないブランチ30への配信となります。このようにして,支店のユーザーはデータセンターに接続して,ビジネスアプリケーションとPOSアプリケーションにアクセスできます。

ソス

このリファレンス·ア，キテクチャの目的は，お客様独自の実装計画を支援することです。この作業を容易にするために，独自の詳細な設計および実装ガドに適応できるソス図を提供します:ソスダアグラム。

参照ドキュメント

Citrix SD-WAN Orchestrator

Citrix SD-WANのハウトゥ記事

Sd-wanのベストプラクティス

Citrix Workspace用のCitrix SD-WAN

展開モ，ド

ブランチサesc escトのgreトンネル

バックホルンタネット

メタリングおよびスタンバwanリンク

アプリケ，ションクラスとル，ル

mplsキュ

動的ル，ティング

仮想ル，タ冗長プロトコルの設定

SD-WANとサドパティデバス間のIPSecトンネル

GREトンネルとIPsecトンネルを使用したZscaler統合