SD-WAN の概要
簡単に言うと、ソフトウェア定義WAN(SD-WAN)とは、ソフトウェア定義ネットワーク(SDN)の原則をWANに適用することを意味します。SD-WAN では、アプリケーション トラフィックのパスを動的に制御し、指定された SLA(サービスレベル合意)の基準に基づいて選択できます。このように、SD-WANを利用することで、アプリケーションのトラフィックに最適なパスを特定し、そのパスにトラフィックを転送できます。
Gartnerによると、SD-WANには次のような特徴があります。
複数のWAN接続タイプ(MPLS、インターネット、LTEなど)の同時サポート。
トラフィックパスを動的に選択できるため、WAN接続全体でトラフィックの負荷を分散できます。
WAN の管理と監視を簡素化する機能。
VPN およびゲートウェイやファイアウォールなどのサードパーティ サービスのサポート。
CSOは、サイトに対して以下のSD-WANサービスタイプをサポートしています。
セキュアなSD-WANの基本事項:基本的なSD-WANサービスを提供します。このサービスは、ネットワーク管理の簡素化と支社/拠点での包括的なNGFWセキュリティサービスを求めている小規模企業に最適です。SD-WAN Essentialsサービスでは、インターネットトラフィックをローカルでブレイクアウトできるため、コストのかかるVPNやMPLSリンク経由でWebトラフィックをバックホールする必要がなくなります。このサービスは、インテントベースのファイアウォールポリシー、WANリンクの管理と制御、静的VPNを介して接続されたサイト間のCSO制御ルーティング、MPLSまたはインターネットリンクを介したサイト間通信などの機能をサポートします。SD-WAN Essentials サービス レベルのテナントは、SD-WAN Essentials サイトのみを作成できます。
メモ:対応するライセンスを購入している場合、CSO管理ポータルからテナント情報を編集することで、テナントのSD-WANサービスレベルをSD-WAN EssentialsからSD-WAN Advancedにアップグレードできます。
セキュアSD-WANアドバンスド:完全なSD-WANサービスを提供します。セキュアSD-WAN Advancedサービスを利用するテナントのすべてのサイトは、フルメッシュまたはハブアンドスポークトポロジで接続されます。SD-WAN Advancedサービスには、SD-WAN Essentialsが含まれています。
メモ:CSOリリース5.4以前のバージョンのSD-WANサイトは、SD-WAN Advancedサイトとして扱われます。テナントのSD-WANサービスレベルをSD-WAN AdvancedからSD-WAN Essentialsにダウングレードすることはできません。
SD-WANを使用した場合の支社/拠点管理
図 1 は、SD-WAN を使用せずに支社/拠点を管理するトポロジーを示しています。このシナリオでは、サービス プロバイダー(SP)は、サービス品質(QoS 対応)ネットワークとブランチを維持し、トラフィック(ルート アナウンスを含む)と VPN を管理します。 図 1 では、影付きの四角形で囲まれた領域は、サービス プロバイダーが管理および保守する内容を示しています。
を使用しない支社/拠点管理
ブランチのお客様は、2つの冗長リンクのいずれかを経由して2つのPE(プロバイダエッジ)ルーターの1つにトラフィックを送信し、そこでトラフィックは仮想ルーティングおよび転送(VRF)インスタンス内で転送されます。通常、PE ルーターはアクティブバックアップモード(冗長性のため)で構成され、トラフィックは常に 1 台のルーターのみを通過します。PE ルーターはトラフィック用のキューを構築し、そのブランチの顧客向けの QoS 対応 MPLS ネットワーク内でキューが考慮されます。さらに、保証された帯域幅を必要とするアプリケーション用に帯域幅が予約される場合があります。オプションで、サービス プロバイダーは、トラフィックが差別化されたサービス コード ポイント(DSCP)値を使用してマーキングされ、DSCP 値がネットワーク内のダウンストリームに付加される追加の付加価値サービスを提供することができます。
図2 は、SD-WANで支社/拠点を管理するためのトポロジーを示しています。このシナリオでは、サービス プロバイダーは PE ルーターと MPLS ネットワークを提供し、インターネット ネットワークのプロバイダーになる ことができます 。ただし、企業にはサービス プロバイダーのネットワークを使用する代わりに別のネットワーク(ブロードバンド インターネットなど)を追加するオプションがあり、企業は顧客宅内機器(CPE)デバイスを管理できます。
による支社/拠点管理
VPNを構築するには、トラフィックを異なるネットワークを介してトンネリングする必要があります。そのため、アンダーレイを介してトラフィックを送信する代わりに、アンダーレイを使用して、ネットワークを介して次の要素(ノード)へのトンネルを構築します。トラフィック パスを動的に選択するには、アプリケーションを識別し、トラフィックが属するトンネル(パス)を監視し、トラフィックの送信先のトンネルを決定する、アプリケーション認識(アプリ認識とも呼ばれる)トラフィック ステアリングが必要です。トンネルの品質が低下した場合、SD-WAN コントローラーはトラフィックを別のトンネルに移動できます。SD-WANのシナリオでは、両方のトンネルが同時にアクティブになります。
したがって、SD-WAN のシナリオでは、トラフィックをキューに押し込みません。代わりに、トラフィックを識別し、トラフィックを送信するトンネルを選択します。ネットワーク全体で提供されるサービス(ルートリフレクションなど)は、 図2に示すように一番上に移動できます。
SD-WAN による支社管理では、必要に応じてトポロジー内に冗長 PE ルーターを含めることができます。(これは 図 2 には示されていません)。
SD-WAN オーバーレイ トンネル
SD-WANでは、オーバーレイトンネル( 図3を参照)はトランスポートに依存しないため、ネットワークの基盤となるトランスポート技術(MPLSやインターネットなど)から独立して構築されます。トンネルは、WAN インターフェイスに割り当てられた IP アドレスに基づいて構築され、1 つのスポーク(支社)と別のスポーク(支社)の間、またはスポークとハブ(本社)の間に配置できます。
CSO では、IPsec を使用して GRE トンネルまたは GRE トンネルを構築し、セキュリティを強化することができます。CSO がアプリケーションを識別すると、外部トンネルに書き込まれる内部 DSCP マーキングが作成され、外部ネットワークに存在する可能性のある転送キューが尊重されます。
CSOでは、MPLSという用語はQoSエンジニアリングパスを指し、ネットワークを示すために使用されます。そのため、CSOはアンダーレイ上にMPLSフレームを作成せず、イーサネットフレームのみを作成します。
ハイレベルなSD-WANアーキテクチャ
図4 は、高レベルのSD-WANアーキテクチャの例を示しています。SD-WAN ゲートウェイ (スポークまたは CPE デバイスとも呼ばれます) に接続された 2 つのブランチ サイトと、ハブ デバイスなどの別の SD-WAN ゲートウェイに接続された 1 つの中央サイト(本社)があります。さらに、SD-WAN コントローラーは、単一の UI を使用して SD-WAN ゲートウェイを制御し、デバイスやトンネルの作成などを管理します。
の例
図 5 は、1 つのブランチ サイトと 1 つのハブ サイトを持つトポロジーで、CSOを使用してSD-WANを適用する方法を示しています。CSOは、MPLSネットワークを通過するWANリンク用に1つのトンネルを構築し、インターネットを経由するWANリンク用に2つ目のトンネルを構築します。SD-WANを設定することで、ミッションクリティカルなアプリケーションデータはMPLSリンク(信頼性の高いセキュアなパス)を介して送信され、ミッションクリティカルでないアプリケーションデータはインターネットリンク(ベストエフォート、非セキュアパス)を介して送信されるようにすることができます。
ーの例
詳細な情報
CSO SD-WAN の詳細については、 ビデオ「Contrail SD-WAN デモ - 15 の機能を 15 分で 紹介」をご覧ください。