vManageテンプレート機能による設定管理

vManageが提供する機能の1つに「テンプレート機能」があります。ViptelaのSD-WANソリューションではvEdgeやコントローラー(vManage/vSmart/vBond)に直接ログインして設定を行うこともできますが、vManageのテンプレート機能で全てのデバイスの設定を一元管理することもできます。各デバイスの固有の値(ホスト名、IPアドレスなど)をパラメーター化(変数化)できるため、複数のデバイスの設定を共通のテンプレートで管理できます。これにより、設定ミスや設定漏れを排除し、短時間で新しいデバイスを展開できます。

テンプレートの作り方

テンプレートは2つの方法で作成することができます。CLI TemplateとFeature Templateです。CLI Templateは、各デバイスに直接ログインした場合に使われるCLIでの設定をテンプレート化したものです。

CLI Templateとパラメータ化
CLI Templateの作成画面とパラメータ化

テンプレートの中に{{variable}}のように{{と}}で囲んで任意の文字列を記述すると、その部分は機器ごとに固有の値が入る変数として扱われます。

CLI TemplateはCLIそのものですのですし、シンプルな内容であれば慣れた方には全体をざっと見渡しやすいという特徴があります。このため、すでにCLIで設定を行い運用を始めたあとでテンプレート化を行う場合や、非常にシンプルな環境で運用管理を行う場合に適しています。

もう1つの作り方であるFeature Templateは、vManageのGUIを使って作るテンプレートです。

Feature Templateの設定画面
Feature Templateの作成画面

Feature TemplateではGUIに沿って必要な設定を選択していくだけで全体の設定を作り上げることができます。また、CLI Templateと同様に、機器固有の値についてはパラメータ化(変数化)が可能です。さらに、Feature Templateは設定の内容ごとにブロック化され、複数のテンプレートから利用できるようになっていてます。構成の異なる複数のテンプレートを用意する場合でも、共通の内容の設定箇所は1つのFeature Templateを使い回すことで管理性を高めることができます。このため、多数のテンプレートの管理が必要となる環境ではFeature Templateがお勧めです。

テンプレートの適用とvManage Mode

作成したテンプレートを各デバイスに適用する手順は主に下記の3ステップです。

  1. テンプレートにデバイスを割り当てる
  2. パラメーター化(変数化)されている固有の値を入力する
  3. 最終的な設定内容を確認する

固有の値(変数/Variable)の入力はvManageのGUI画面からも可能ですが、デバイスが複数の場合にはCSVファイルでまとめてインポートもでき、便利です。

デバイス固有の変数を入力 (CSVファイルで代替可能)
vManageでデバイス固有の値を入力 (CSVファイルで代替可能)

CLI TemplateとFeature Templateのいずれの作り方で作成したテンプレートも、各デバイスに適用を行う際に自動的にCLIに変換されます。適用前に現在の設定との差分を確認することもできます。

Config Diff
テンプレートの適用の際の設定と差分の確認

各デバイスはvManageから適用された設定を自分自身で保持しますので、再起動時にvManageと接続できない場合に設定が失われるというようなことはありません。

テンプレートを使ってvManageから設定を適用されたデバイスはvManage Modeに設定されます。vManage Modeにあるデバイスには、直接ログインしても設定を変更することができません。vManageで設定を確実に一元管理できるようになっています。各デバイスで設定変更を行いたい場合には、vManageにてデバイスをテンプレートから切り離します。このモードをCLI Modeと呼びます。

ゼロタッチプロビジョニングとテンプレート

ゼロタッチプロビジョニングはViptelaのSD-WANソリューションの大きなメリットです。工場出荷時設定のvEdgeにゼロタッチで設定を適用するためには、あらかじめそのvEdgeをテンプレートに割り当て、固有の値(変数)を指定しておきます。vManageに未登録のvEdgeの識別には、シリアル番号が使用されます。シリアル番号はサポートポータルで確認できるほか、vEdgeの入っている外箱にも記載されています。これにより、ゼロタッチプロビジョニングで展開されたvEdgeに、適切な設定が適用され、vManage Modeで安全に運用できます。

SD-WANでマルチキャスト

ViptelaのSD-WANに特徴的な機能の一つにマルチキャストのサポートがあります。アンダーレイネットワーク側にマルチキャストのサポートは必要ありません。オーバーレイネットワーク側でマルチキャストネットワークを作ることができます。以下、Viptelaのマルチキャスト機能について見てみましょう。

スケーラブルなマルチキャスト

ViptelaのSD-WANはPIM-SMをサポートしています。マルチキャストの送信者側、受信者側共に特別な要件はなく、普通にマルチキャストをする場合となんら変わりません。一方、オーバーレイ側では少々工夫がされています。

Multicast Support by Viptela
オーバーレイでマルチキャストをサポート

サービス(LAN)側から来るIGMPまたはPIMのjoinは、OMPプロトコルを使ってvSmartコントローラに送られるようになっています。

また、パケットのレプリケーションは上流のルータ(マルチキャストのソースを持つvEdge)が行うのではなく、「レプリケータ」と呼ばれる別のvEdgeルータが行うようになっています。通常、データセンタ側に置かれるvEdgeをレプリケータに設定します(性能や帯域に余裕があることが多いため)。このようにレプリケータを設けることで、拠点側のvEdgeの処理負荷軽減や帯域の削減が可能になります。レプリケータは複数設定することができ、マルチキャストのグループアドレス、ソースのvEdgeなどによって分散するようになっており、その際に各はレプリケータの負荷も考慮してレプリケータへの振り分けが行われるようになっています。このようにレプリケータを設けることで、単純にソースのvEdgeでレプリケーションするよりもスケールするマルチキャストネットワークを構築することができます。

セキュアなマルチキャストオーバーレイ

マルチキャストのトラフィックもユニキャストの時と同様に全てIPsecで暗号化されて送られます。「SD-WANのスケーラビリティ」で述べたように、vEdgeは自分宛に送るパケットを暗号化する際に使って欲しい暗号化鍵を自分で生成し、vSmartでそれを配布するようになっています。しかし、マルチキャストでこれをやろうとすると、レプリケータは送信先のvEdgeの数だけIPsecの暗号化処理をしなければなりません。暗号化処理はハードウェアで行われるとはいうものの、下流にvEdgeが100台あったら100回別々の鍵で暗号化をしなければいけませんのでかなり大変です。そこで、マルチキャストトラフィックを暗号化する際は、送信先のvEdgeが生成した鍵ではなく、送信元が生成した鍵を使うようになっています。このようにすればレプリケータは下流のvEdgeの数だけ別々に暗号化する必要は無くなります。レプリケータからパケットを受け取ったvEdgeは送信元のvEdgeが生成した鍵を使って復号化を行えば良いわけです。

ViptelaのSD-WANでは、上記のようなさまざま工夫によってスケールするマルチキャストネットワークを構築することができるようになっています。Viptelaユーザの中には、実際にこのマルチキャスト機能を使ってWAN上でビデオ配信を行なっているお客様がおられます。

vEdgeのQoS機能

どのようなSD-WANソリューションであっても、通常拠点側(エッジ)に設置する機器(CPE; Customer Premise Equipment)があります。Viptelaソリューションの場合はvEdgeがCPEになります。基本的にこれらのCPEは「ルータ」ですので、ルータとしての基本機能を備えている必要があります。ルーティングプロトコルサポートの重要性については「SD-WANへのスムースなマイグレーション」で述べましたが、QoS(Quality of Service)機能もSD-WANのCPEがサポートしていなければならない基本的機能要件の一つです。アプリケーションの重要度によってWANの回線を使い分ける、というのが最も典型的なSD-WANのユースケースだと思いますが、そもそも重要度の高いアプケーションのQoSを担保できなかったら回線を使い分けてもあまり意味がないでしょう。

一口に「QoSサポート」といっても非常に幅広いので、SD-WANソリューションを選択する際には具体的にどのようなQoS機能をサポートしているのかを注意深く見極める必要があります。vEdgeが持つQoS機能は以下のようなものがあります。

  • キューイング
  • シェーピング
  • ポリシング
  • リマーキング

キューイング

パケットの分類(Classification)はACL(src/dst IPアドレス or プレフィックス、src/dstポート番号、DSCP、パケット長、TCPフラグ、PLP (Packet Loss Priority) を使用できます。またDPIによるアプリケーション分類を使うこともできます。

vEdgeはEgressインターフェース毎に8個のキュー(Q0〜Q7)を持っています。このうちQ0はLLQ(Low Latency Queue)です。LLQは他のキューよりも高い優先度を持つものの、指定された以上の割合でスケジュールされることはありません。これにより単純なPQ(Priority Queueing)時に見られるような他のキューの飢餓状態(Starvation)が起こりません。したがって、音声などのトラフィックに向いています。残りのQ1〜Q7は通常のWRR(Weighted Round Robin)なキューです。

Queueing
キューイング処理

また、キューが輻輳した際の挙動についてはテールドロップをするかRED(Random Early Detection)をするかを指定できます。REDはキューへのたまり具合に応じて(たとえキューが満杯になっていなくても)パケットを確率的に落とす方法です。REDを使うことによりテールドロップ時に見られる「TCPのグローバル同期問題」を避けることができます。

シェーピング

シェーピングは単純にEgressのインターフェースに上限のレート(Kbps)を設定します。指定したレートを超えるパケットはキューイングされます。

ポリーシング

いわゆるシングルレート、2カラーなポリサーです。レート(bps)とバーストサイズ(bytes)を設定します。

ポリサーはIngress、Egressのインターフェースのどちらにでも設定することができます。また、ACLを使ってパケットに対して選択的にポリーシングをかけることもできます。

Policiing
ポリーシング処理

なお、指定したポリサーに違反するトラフィックに対するアクションとして “drop” もしくは “remark” を指定することができます。remarkを指定すると違反パケットはドロップはされませんが、PLPが “high” であるとマークされ、それを元にキューイングをしたりDSCPのリマーキングをすることができます。

リマーキング

ACLやDPIで特定されたトラフィックによって指定されるトラフィッククラスとPLP毎に、書き換えるDSCPの値を指定することができます。このリライトルールはインターフェースに対して適用されます。

Viptelaユーザー事例:Kindred Healthcare

Kindred Healthcare(以下、キンドレッド)は、多様な入院治療を提供する米国最大の医療機関で、46の州にまたがって数千の拠点、10万人のユーザをカバーしています。キンドレッドの事例は2016年秋のONUG (Open Networking User Group) で発表されました。その際のビデオがこちらでご覧いただけます。

ONUGでの発表の中で、キンドレッドは特に大きなViptelaの導入効果として、コスト削減、セキュリティの強化、管理性とスピードの向上の3つを挙げています。

コスト削減

キンドレッドはViptelaを700拠点に導入することにより、5年間で$2.1M(1ドル100円換算で2.1億円)のROIを見込んでいます。コストの試算については、発表の中で具体的に説明されています。拠点を大・中・小の3つに分類すると、小規模拠点単体では絶対値としてのコスト削減効果は小さいものの、大規模拠点では25%程度のコスト削減効果が期待できると説明されています。また、単純なコスト削減だけでなく、従来バックアップとしてしか使えていなかったWAN回線をアクティブに使うことなどにより、いずれの規模の拠点においても実質的な帯域幅を平均700%程度に増加できています。結果的に、帯域幅あたりのコスト削減効果は非常に大きなものとなっています。

セキュリティの強化

キンドレッドの課題の1つは、WANに接続する全ての拠点に一貫したセキュリティポリシーを適用し続ける困難さでした。Viptela導入後は、vManageによりセキュリティポリシーの適用と確認作業は完全に一元化されたほか、「セグメンテーション機能」により、WANを複数のセグメントにわけ、HIPPAやPCIといったコンプライアンス上重要なトラフィック、BYOD (Bring Your Own Device)、IoTなど、セキュリティ上の扱いが異なるトラフィックを論理的に隔離されたネットワークに割り当てています。また、他の医療機関の買収に伴う段階的なネットワークの統合においてもセグメンテーション機能を活用する予定です。

セグメンテーション機能では、例外的に一部のセグメントの組み合わせについて相互に通信を許可するポリシーも定義できます。キンドレッドはこの「エクストラネット」と呼ばれる機能をつかって、ベンダーやパートナー企業のネットワークをキンドレッドのネットワークに直接つなぎこみ、必要な情報だけを相互に共有できるネットワークインフラも整えています。従来はVPNやアクセスリストなどを駆使する必要があったこれらの設定は、vManage上でポリシーを定義するだけで完了します。

管理の効率性・スピード

キンドレッドは急成長中で、全米にまたがる大規模なネットワークをもつにもかかわらず、極めて少数のメンバーでネットワークの設計・構築・運用を行なっています。vManageによる一元管理だけでなく、テンプレート機能ゼロタッチプロビジョニングを使用することで、チームの負荷は格段にさがったと言います。

また、キンドレッドは新しい拠点の展開時にLTE回線を効率的に利用しています。従来のWAN回線サービスは契約と開設にある程度時間を要すため、拠点の開設時に、まずLTE回線でWAN接続を確保します。ViptelaのオーバーレイネットワークでWAN回線が抽象化されるため、回線の切り替えは簡単な作業で済みます。このため、有線タイプの回線は、準備が整ったタイミングであとから容易に追加することができるのです。これにより、新しい拠点の展開スピードも格段に向上しています。

Viptelaユーザー事例:Agilent Technologies

Agilent Technologies(以下、アジレント)は、1999年にヒューレットパッカードからスピンオフされた会社で、食品、環境、医薬品、分析機器、化学、エネルギーなど幅広い分野でビジネスを行なっています。現在、社員数約12,000人、30数ヶ国に約120の拠点を展開しています。

アジレントが2016年春のONUG (Open Networking User Group) で発表したビデオがこちらでご覧頂けます。従来WANの課題と、SD-WAN評価のプロセス、SD-WANを導入することによって得られたメリットと発見について非常に説得力ある話をしてくれていますので、是非一度ご覧いただければと思います。以下は、その要約です。


アジレントは、高価で低速なMPLS回線、バックアップ(休眠)回線による非効率、WANのクラウド対応など、多くの課題を抱えていました。また、企業買収によるネットワークの統合に長い時間がかかるのにも頭を悩ませていました。

彼らはこれらの課題をSD-WANで解決できると考えました。そしてくつかの要件をまとめました。

  • コントローラを持ち、オーケストレーションと自動化ができること
  • 基本的なモニタリングができること
  • ダイナミックルーティングをサポートすること
  • ハードウェアは小さなものから大きなものまでラインナップがあること
  • 電源が冗長化されていること
  • 冗長構成が組めること
  • GRE/IPsecトンネルとzScalerとの連携
  • DSCP値でトラフィックをコントロールできること
  • アジレントと似たようなスコープとスケールで最低2つのリファレンスカスタマーがあること

上記の要件について、SD-WANを標榜する会社20数社からヒアリングを行い、最終的に3つのベンダーに絞り込みました。そして、3社に彼らのネットワークを模擬したテスト環境と200ページを超える詳細なドキュメントを渡して、各ベンダーにSD-WANの実装とテストをさせました。各ベンダーにはテスト期間として1週間が与えられましたが、Viptelaはわずか3日で構築を完了させ、テスト結果も非常に良好だったため、彼らはViptelaを採用することに決めました。

その後、プロダクション環境でのパイロット運転を移りました。そこでまずわかったのは大きなコスト削減効果でした。Mbpsあたりのコストで見た場合、80%〜90%のコスト削減効果がありました。また、ネットワークの可用性も向上しました。

Viptelaの持つアプリケーションの可視化機能により新しい発見もありました。彼らのトラフィックの約60%がインターネット宛のトラフィック(OneDrive、Dropbox、FLEXNET、など)だったのです。これらのトラフィックをインターネットに直接ローカルExitさせることで、これらのアプリケーションが高価なMPLS回線を使わないように最適化することができました。

Viptelaのテンプレートベースの設定は監査にも役に立ちました。従来は100台のルータの設定が正しいかどうかをそれぞれ個別に確認する必要がありましたが、テンプレートを使った設定をしていればテンプレートの正当性だけ確認すれば良いので、大幅な工数削減が可能になりました。また、企業買収やビジネスパートナーとの連携にViptelaのセグメンテーション機能が非常に有用であるということもわかりました。

そして、何よりも驚いたのはインターネットの回線の品質が思ったよりはるかに良かったことでした。Viptelaを使うとWAN回線の品質(遅延、パケットロス率、ジッター)をモニターできますが、ほとんどの場合でMPLSよりもインターネット回線の方が品質が良いという結果が得られたのです。

彼らは社内、社外とのコミュニケーションのために非常に積極的にVoIPを使っていたので、インターネットベースのVPNに移行した際の音声の品質について懸念をしていましたが、実際にSD-WANを導入してみると音声の品質も以前より高くなりました。SD-WANを入れる前と後でNetScoutを使って音声の品質を計測しましたが、MOS値は良くなり、パケットロス率も大幅に改善しました。

今後の予定としては、vEdge Cloud(ソフトウェア版vEdge)の導入を考えていきたい、とのことでした。

Viptelaユーザー事例:北米のリテール銀行

今日ご紹介するユーザ事例は2つのデータセンターと約3000の支店にViptelaを導入している北米のリテール銀行で、現時点の世界最大のSD-WAN導入事例と言われています。顧客名は非公開ですが、米国のTechTargetの記事にもなっていますので、ご興味のある方はこちらをご覧ください。

この銀行はWANの帯域幅の枯渇という問題を抱えながら、新たにビデオをベースとするアプリケーションの導入が決まり、支店でのゲストWifiの提供も始まったことからWANの大幅な見直しが必要となりました。

当初は従来型のルータをベースとしたソリューションを検討したものの要件を満たすことができず、数多くのSD-WANソリューションを検討した結果、Viptelaの採用が決まりました。決め手となったのは、ポリシーによってアプリケーションレベルでの経路制御を一元的に行えること、3000拠点(冗長化により6000デバイス)という大規模環境でもIPsecでのセキュアなデータパスを構築することができ、インターネットをWAN回線として安全に使えることでした。

Viptela導入の効果

3000サイトでViptelaを実装した北米のリテール銀行の事例
約3000拠点でViptelaを導入した北米のリテール銀行の事例

Viptela導入前、この銀行は2つのMPLSプロバイダと回線サービスを契約していましたが、メイン回線は片方だけでWANに十分な帯域幅を得られていませんでした。Viptela導入後は、片方のMPLSプロバイダを解約し、かわりにインターネット回線を2つとLTE回線を契約しました。これにより、回線コストを削減しながら、広帯域のインターネット回線を含む4つの回線をWANとして使用できるようになりました。また、Viptelaのポリシーを使用して、ユーザのアプリケーション体験を改善するとともに、すべての回線をアクティブに使えるようになり、実際の帯域幅は従来の約10倍になったといいます。

また、この事例は「サービスチェイニング機能」を効果的に使用している点も特徴です。Viptela導入前、この銀行では3000拠点すべてにファイアウォールが導入され、管理がほぼ不可能な状態でした。Viptela導入後はサービスチェイニング機能により、ファイアウォールをいくつかの中核拠点に統合し、導入と管理にかかるコストを大幅に削減できました。これらの効果により、Viptelaの導入でWANにかかるコストは従来の10分の1になったとされています。

Internet Exit機能」によるクラウドアプリケーションへの対応、「セグメンテーション機能」なども使用し、まさにSD-WAN時代のWANを実現した事例といえます。

Viptelaユーザー事例:GAP

アパレル大手のGAPは非常に初期からのViptelaのお客様の一つで、2016年12月現在で、1,200を超える拠点でViptelaによるSD-WANを運用されてています。

導入時には毎日25以上の拠点を立ち上げていたそうで、3ヶ月あまりで1,200あまりの全拠点の開設を行なったそうです。このような迅速な展開が可能だったのはViptelaのSD-WANによるゼロタッチプロビジョニングのおかげです。既存の技術で構築していたら、はおそらく1年以上はかかったでしょう(時間がかかればコストもかかりますので大きなコスト削減になります)。

また、GAPはViptelaの持つ「セグメンテーション機能」を非常に積極的に使われていることも特徴的な点です。GAPはショッピングモールなどに多数の店舗を出店されており、さまざまな目的でネットワークを必要としていました。通常の社内システムを使うためのネットワーク、クレッジトカード情報を扱うためのPCI-DSSに準拠したネットワークだけでなく、ゲストWi-Fiやキオスク端末、IP電話などのためのネットワーク、さらにモール内で盗難防止用に設置してるビデオカメラ映像を見るためのネットワーク、などです。これらのネットワークはそれぞれセキュリティ的な要件や最適なトポロジーが異なります。例えば社内システムやクレジットカー情報を扱うネットワークはハブ&スポークなトポロジーにしてデータセンターにトラフィックを集約してIDS/IPS、ファイアウォールを経由させたいでしょう。一方、ゲストWi-Fiはデータセンターに集約するのは望ましくありません。ローカルからインターネットにExitさせたいはずです。その際、zScalerなどと連携をさる必要もあるかもしれません。また、IP電話やビデオ映像のトラフィックをデータセンターに集約するのも非効率です。サイト間で直接通信をさせた方が効率が良いですし、そもそも音声やビデオに対してIDS/IPSやファイアウォールができることはほとんどありませんので、センターに集約してもあまり意味がありません(既存のネットワークで音声やビデオのトラフィックがデータセンターのファイアウォールを通過しているとしたら、それはファイアウォールの性能を無駄遣いしているに過ぎません)。

Viptelaのセグメンテーションの機能を使うと、このようにセキュリティ要件やトポロジー要件が異なるネットワークを一つのWANの上に簡単に作り出すことができます。セグメントごとにトポロジー(フルメッシュ、ハブ&スポーク)を自由に構成できますし、サービスチェイニング機能でファイアウォールを通過させるトラフィックをセグメントごとにフレキシブルに設定することも可能です。

セグメンテーション機能がなかった場合に、上記のような複数の要件の異なるネットワークをWAN上に構築するのは大変なことです。それぞれのネットワークごとにキャリアのVPNサービスを個別に契約する(当然相当のコストがかかります)か、自分でVLANやVRFの設定などをする(設定は複雑ですしスケールさせるのも困難です)ことになりますが、いずれの場合でもネットワークの「面(スライス)」は作れても、面ごとにトポロジーの自由にコントロールをするのは難しいと言えるでしょう。

Segmentaton Challengesi
SD-WANを使わないセグメンテーション。いずれにしても困難が伴う。

Viptelaのセグメンテーション機能を使うと、要件の異なったネットワークをWAN上に構築でき、それを簡単にグローバルに展開できます。GAPがViptelaを採用した大きな動機の一つになったのはこのセグメンテーションの機能であったようです。

Segmentation by Viptela
Viptelaのセグメンテーション。物理ネットワークに依存いない。

セグメンテーションの件も含め、なぜGAPがSD-WANを採用したのか、そしてSD-WAN化する事で得られたメリットについて、INTEROPで彼らが発表した内容がここにありますので、興味がある方はぜひ目を通してみてください。

vEdge導入済み拠点と未導入拠点との相互疎通

昨日の「SD-WANへのスムーズなマイグレーション」では、各拠点にvEdgeを導入していく移行方法をご紹介しました。今日は、移行中の企業ネットワークにvEdge導入済みの拠点と導入前の拠点が混在している期間に、それらの拠点間で通信を継続するための方法をご紹介します。

なお、明日移行にご紹介する導入事例のいくつかで、今日ご紹介する方法が実際に使われています。Viptelaは北米を中心に大規模環境での豊富な導入実績をもち、数多くの移行事例があることも大きな安心材料と言えます。

vEdge導入済み拠点と未導入拠点との相互疎通

vEdgeは、BGP、OSPF、静的ルーティングなどの方法で、自分自身が設置された拠点のネットワーク(経路)を学習し、コントローラ(vSmart)に通知します (厳密には、経路情報が交換されていれば他の拠点のネットワークも学習しますが、メトリック等によりパス選択時に劣後されますので、ここでは無視します)。vSmartは企業ネットワークの全てのvEdgeからの通知をもとに、オーバーレイネットワークの経路とトポロジーを一元的に管理します。各vEdgeは、vSmartから配布された経路情報にもとづき、オーバーレイネットワークにて拠点間での相互疎通をにします。

vEdge導入前の拠点にはvEdgeがないため、企業ネットワーク内のいずれかのvEdgeが代表してその拠点の経路情報をvSmartに通知し、オーバーレイネットワークに参加させる必要があります。通常は、データセンターのvEdgeにその役割をもたせます。

Reachability_during_migration
vEdge導入済み拠点と未導入拠点との相互疎通

では、具体的な手法を見ていきましょう。ここでは、vEdge未導入の拠点を拠点A、導入済み拠点を拠点Bとします。拠点Aとデータセンター間は、従来の手法でネットワーク到達性があることが前提となります。拠点Bとデータセンターは、vEdgeがvSmart経由でお互いの経路情報を学習しています。必要となる手順は次の2ステップです。

  1. 拠点Aの経路をオーバーレイネットワーク(拠点B)に通知する
  2. オーバーレイネットワーク(拠点B)の経路を拠点Aに通知する

まず、データセンターに設置されたvEdgeに、拠点Aの経路をvSmartに通知させます。これにより、オーバーレイネットワークでは、拠点AはデータセンターのLAN側のネットワークかのように見えることになります。拠点Bで拠点A宛ての通信が発生した場合、拠点BのvEdgeはオーバーレイネットワークの経路情報にもとづき、データを単純にデータセンターのvEdgeに転送します。データセンターのvEdgeは拠点Aが実際にはオーバーレイネットワークではなく、既存ネットワーク(アンダーレイ)で到達可能であると知っていますので、既存ネットワークの経路情報にもとづいて、データをWANに送出します。このように、拠点Bから拠点Aへの通信はデータセンターvEdgeを経由して実現されます。

次に、データセンターのvEdgeは、オーバーレイネットワークで学習した拠点Bの経路情報を、既存ネットワークのBGPやOSPFに再配布します(再配布ではなく静的ルーティングも可能です)。これにより、拠点Aでは、拠点Bへの経路がデータセンターの先にあるということがわかります。拠点Aから拠点Bへの通信が発生した場合、拠点Aは経路情報にもとづき、データをデータセンターにむかってWANに送出します。データセンターのvEdgeは拠点Bがオーバーレイネットワークで到達可能であると知っていますので、オーバーレイネットワークの経路情報にもとづいて、拠点BのvEdgeにデータを転送します。このように、拠点Aから拠点Bへの通信もデータセンターvEdgeを経由して実現されます。

データセンターvEdgeの物理的な構成

上記の構成をとるために、データセンターのvEdgeは、実際にはWAN側に存在するネットワークをLAN側としてあつかう必要があります。vEdgeは同一物理インターフェースをWANとLANの両方で同時に直接扱うことができないため、物理構成に考慮が必要です。

シンプルな階として、タグVLANを使って同一物理インターフェースをサブインターフェースに分けて、WANとLANのそれぞれの構成を行う方法があります。ただ、既存ルータをリプレイスし、vEdgeをCEルータとして使う場合には、網側がタグVLANをサポートする必要があり多くの環境では現実的な選択肢ではありません。このため、移行期間中はデータセンターの既存WANルータを残す構成が一般的です。既存WANルータがあれば、タグVLANを使うことも容易です。また、上のスライドの図にあるように、vEdgeでWAN側とLAN側に物理インターフェースをそれぞれ割り当て、拠点Aの経路を実際にデータセンターのLAN側経由で学習させるという構成も広く使われています。

実際の移行設計や、付随する物理設計は、既存ネットワークの設計・構成に大きく依存しますので、詳細は弊社もしくは弊社のパートナー様に直接ご相談ください。

SD-WANへのスムースなマイグレーション

SD-WANを導入するにあたり、全く新規にネットワークを構築すること(いわゆる「グリーンフィールド」な案件)は稀だと思います。したがって既存のWAN環境に段階的にSD-WANを適用して行く必要があります。まずは数拠点でパイロット的な適用を行い、順次適用を拡大して行くわけですが、それがスムースに行えるかどうかは実はとても重要な要件です。機能の多少の多い少ないよりも、むしろこの既存環境からのスムースなマイグレーションができるかどうかのほうがSD-WANを採用する上で重要な判断材料と言ってもいいかもしれません。

ステップ1: LAN側でインテグレーション

ViptelaのSD-WANソリューションはこのマイグレーションがスムースにできるように設計されています。既存ネットワークとのインテグレーションに際し最も非破壊的なやり方は、既存のネットワーク(例えばMPLS環境)には全く手を加えず、それと並列に別の回線(例えばインターネット)をWAN回線に使用したvEdgeによるネットワークを作り、LAN側で二つのネットワークを統合する方法です。

既存ネットワークと並列に展開し、LAN側でインテグレーション
既存ネットワークと並列に展開し、LAN側でインテグレーション

このような構成を取れば、ある意味MPLSとインターネットによるハイブリッドなWAN環境を作ることができます。このような構成が可能なのは、vEdgeが既存のLAN環境で使われているルーティングプロトコル(典型的にはOSPFですが、BGPの場合もあるかもしれません)をフルにサポートしているからです。ルーティングプロトコルを使ってLAN側でインテグレーションするわけです。

ステップ2: ハイブリッドなネットワークを構成

一旦上記のような構成が取れれば、既存ネットワークに若干の設定変更(具体的にはvEdgeからMPLSのCEルータに足を伸ばしてやる)をすることで、今度はvEdgeがインターネットに加えてMPLS回線を使ったWANを使うことができるようになります。この構成ができれば、今までご紹介してきたさまざまなユースケース(アプリケーション種別によるWAN回線の使い分け、アプリケーションのSLAに応じたルーティング、など)をすべて利用することができます。

MPLS CEに足を伸ばして、ハイブリッドなネットワークを構成
MPLS CEに足を伸ばして、ハイブリッドなネットワークを構成

ステップ3: 既存CEルータを巻き取り

最終的にはMPLSのCEルータもvEdgeで巻き取って、全てvEdgeで構成をできればベストです。vEdgeはWAN側においてもBGPやOSPFを喋ることができますので、既存CEルータを置き換えるのに十分な機能を持っています。

既存CEルータをvEdgeで巻き取る
既存CEルータをvEdgeで巻き取る

いきなりこの最終形に持っていければ理想的ではありますが、実際には上記のように徐々に適用の対象を広めていき、最終的に全てをSD-WAN化するのがより現実的でしょう。

LAN側、WAN側両方においてvEdgeのルーティング機能は非常に充実しています。ルーティング機能はSD-WANに固有の話ではないので見落としがちですが、SD-WANへの移行設計をする際に非常に重要な要素になりますので注意するようにしましょう。

いずれにせよ移行期間中には既存ネットワークとの共存が必要になります。具体的にどのような構成を取れば良いのかについては次回に解説をしたいと思います。

vEdge 100mによるLTE回線の利用

vEdgeルータ製品ファミリー」の回でご紹介したように、vEdgeにはそれ自身でネイティブにLTE接続に対応するvEdge 100mというモデルがあります。今日は、このLTE回線を使ったユースケースやメリットをご紹介したいと思います。

vEdge 100mの概要

vEdge 100mvEdge 100b相当のハードウェアにLTE接続のためのモデムを内蔵したモデルです。MPLS、広域イーサネット、インターネットなどの従来のWAN回線を使いながら、同時にLTE接続もWAN回線の1つとして利用できます。

vEdge 100mには内蔵モデムの異なる複数のモデルがあります。日本国内で現在提供開始しているvEdge 100mNTT DocomoLTE回線に対応するvEdge 100m-NTと呼ばれるモデルです。vEdge 100mの背面にSIMカードを挿すスロットがあり、NTT DocomoのデータSIMカードを挿すことで、LTE回線に接続できます。また、NTT Docomoの回線を使用するNVMO (仮想移動体通信事業者)のデータSIMカードを使うという選択肢もあります。現在、OCN Mobile OneSORACOM AirIIJmioSIMカードで接続実績があります。他のNVMOを使われたいという場合には、事前に接続テストを実施いただけると安心です。

AUおよびSoftbankに対応したvEdge 100mのモデルについても、必要な認証等の作業が完了し次第、提供を開始したいと考えています。

LTE回線を使うメリット

LTE回線を使うメリットとしてよく挙げられるものが、下記の3つです。

  • 従来のWAN回線が提供されない地域でも利用できるケースがある
  • 通信量が少なければ安価に契約できる
  • 開通が早い、持ち運びが可能

アジアなど海外では、一般的な有線のWAN回線サービスが提供されていない地域でも、LTE接続は可能というケースは少なくありません。このような地域に拠点を持つ企業にとってvEdge 100mは魅力的なソリューションとなります。

国内では、フレッツのバックアップ回線としてADSLを使用していたような拠点で、ADSLの新規契約の停止や今後のサービス終了に対応するためにLTE回線の採用を検討する企業が増えています。

また、従来の回線サービスでは、開通までに月単位の時間を要することも珍しくありません。LTE回線の場合、SIMカードを購入しアクティベーション作業を実施するだけで接続することができます。また、LTE接続の提供地域内であれば、vEdge 100mをどこに運んでもそのまま使うことができます。移動を前提とした期間限定の拠点が必要な、イベント運営、工事現場、営業所などでは、LTE回線の利用は魅力的なソリューションとなります。

LTE回線の通信量についての考慮

本来LTE回線は大容量のデータを常時やりとりする目的で提供されている回線サービスではないため、通信量について上限がある、もしくは、通信が一定量を超えると回線速度が大きく制限される契約も多くあります。このような場合には、vEdgeの設定を変更することより、通信量を最小化することができます。

具体的には、コントロールコネクションの中で使用されるOMP (Overlay Management Protocol)のHelloパケット、IPsecトンネルの中で使用されるBFDパケット、および、Path MTU Discoveryの3つの定期的なパケット送出の間隔を大きく設定することができます。

また、バックアップ用途でLTE回線を使う場合、vEdgeのLast Resort Circuit機能が便利です。この機能では、他のすべてのWAN回線上のトンネルがダウンした場合にのみ自動的にLTE接続を有効化します。vEdgeがLTE回線以外のWAN回線でコントローラとの通信やデータの送受信を行える限り、LTE回線にはデータが一切流れないため、LTE回線の契約内容によってはコストメリットの大きい設定です。

LTE回線を使ったゼロタッチプロビジョニング

今月(201612)にリリース予定のソフトウェア16.3では、LTE回線を使ったゼロタッチプロビジョニングのサポートを計画しています。現在は、vEdge 100mをゼロタッチプロビジョニングで展開する場合、有線タイプのWAN回線を使用する必要がありました。16.3ではSIMカードに含まれる識別子を読み取ることで、接続先となるキャリアを判断し、適切な接続プロファイル (共通化されたユーザIDおよびパスワード)を自動的に読み込むようになります。このため、ゼロタッチでLTE回線に接続し、ゼロタッチプロビジョニングのプロセスを進めることができます。LTE回線のみの拠点にvEdgeを展開する場合だけでなく、併用する有線タイプのWAN回線でPPPoEが必須の場合にも、LTE回線をつかったゼロタッチプロビジョニングは有効です。

なお、複数のNVMOが同一の識別子を使用しているケースもあるため、全てのキャリアとNVMO事業者でゼロタッチプロビジョニングができるわけではありません。詳細は事前に弊社もしくは弊社のパートナー様までお問い合わせください。