ゼロタッチプロビジョニング

多数の拠点をもつ企業にとって、WANルータの管理は負荷の高いオペレーションです。特に、海外展開などにより物理的に離れた拠点が増えると、WANルータの管理にかかる運用コストも高くなります。ViptelaSD-WANソリューションでは、「vManageによるオーバーレイネットワークの管理」の回でご紹介した一元的な運用管理に加え、vEdgeの初期展開の負荷を大幅に軽減するゼロタッチプロビジョニング機能が提供されています。

ゼロタッチプロビジョニングによる展開

ゼロタッチプロビジョニングとは、工場出荷時状態のvEdgeをそのまま拠点に展開できる仕組みです。展開前もしくは展開時に、vEdgeに対して設定投入などの作業を一切する必要がないことから「ゼロタッチ」と呼ばれています。

ゼロタッチプロビジョニングの仕組み自体は非常にシンプルです。工場出荷時のvEdgeでは、物理インターフェースでDHCPクライアントが有効になっており、起動後にztp.viptela.comというサイトにアクセスするよう設定されています。このため、vEdgeDHCPサーバからIPアドレスを受け取り、DNSサーバでztp.viptela.comを名前解決することができれば、vEdgeztp.viptela.comにアクセスを試みます。

ztp.viptela.comは、ZTP(Zero Touch Provisioning)サーバと呼ばれるViptelaが運用するコンポーネントです。このサーバは、接続してきたvEdgeをセキュアに認証したうえで、所有者であるユーザ企業を特定し、適切なコントローラにリダイレクトさせます。vEdgeが所有するユーザ企業のコントローラに接続すると、コントローラはvEdgeを認証し、vManageのテンプレート機能を使用して必要な設定を適用します。この一連のプロセスは完全に自動化されています。

詐称による企業ネットワークへの不正侵入を防ぐため、ゼロタッチプロビジョニングにおいてvEdgeの認証を適切に行うことは極めて重要です。個々のvEdgeにはTPM(Trusted Platform Module)チップが内蔵されており、シリアル番号を含む証明書が記録されています。ZTPサーバやコントローラとの認証にはこのシリアル番号が使われます。物理的には読み取れないように処理された特殊なチップであるTPMチップを使うことで、vEdgeは詐称などのリスクを排除して適切に認証できるようになっています。ゼロタッチプロビジョニングはSD-WANを標榜する製品の中でよく見られる機能ですが、実際の動作仕様はそれぞれ異なり、実際には現場で個々のデバイスの認証を行う必要があるソリューションもあり注意が必要です。

機器故障によるリプレイス

万一vEdgeが機器故障を起こし、ハードウェア交換が必要となった場合、管理者は新しいvEdgeのシリアル番号に対して、それまで使っていたvEdgeの設定テンプレートとパラメーターを割り当てることができます。その後、新しいvEdgeを起動すると、ゼロタッチプロビジョニングによっての旧vEdgeの設定が自動投入されます。これにより、ハードウェア交換のプロセスは非常にシンプルなものとなります。

コールドスタンバイのvEdgeにはライセンスが必要ありません。vEdgeハードウェア自体は非常に安価に提供されていますので、予備のvEdgeを置いておくと、ハードウェア障害時にも、現場で即座に予備機に電源コードとLANケーブルを差し替えることでサイトの復旧が可能になります。WANルータがシンクライアントのように、簡単に扱うことができるようになるわけです。

PPPoE等の非DHCP環境でのプロビジョニング

前述の通り、ゼロタッチプロビジョニングが動作するためには、vEdgeはDHCPでIPアドレスを取得し、DNSサーバでztp.viptela.comを名前解決できる必要があります。日本で非常によくつかわれているPPPoEなどの非DHCP環境において、vEdgeを直接網につなぐためには、ゼロタッチプロビジョニングを使うことができません。

この場合、あらかじめインターネット接続のために必要な最低限の設定をvEdgeに追加することで、その後の処理はゼロタッチプロビジョニングと同様に自動化することが可能です。vEdgeの工場出荷時設定では、管理目的で192.168.1.1/24が割り当てられた物理ポートがあるほか、コンソール接続でもPPPoEの設定情報を投入できます。完全なゼロタッチではなく「ワンタッチ」となりますが、拠点での実際の作業は電源コードとLANケーブルをつなぐだけという点に違いはありません。

このように、ViptelaのSD-WANソリューションでは、ゼロタッチプロビジョニングによりvEdgeの初期展開およびハードウェア交換にともなう企業の負荷を大幅に軽減しています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です