Viptela SD-WANソリューションの基本用語

明日からViptelaのSD-WANソリューションの具体的なユースケースをご紹介していきます。その前に、今日はViptelaの詳細をご紹介する際によくご質問をいただくViptela独自の用語について簡単にご説明したいと思います。

トランスポートサイド/サービスサイド

ViptelaのSD-WANソリューションでは、vEdgeのWAN側をトランスポートサイド、LAN側をサービスサイドと呼んで区別します。トランスポートサイドに設定されたインターフェースでは、コントローラーとのDTLS/TLSトンネル(コントロールコネクション)やvEdge同士のIPsecトンネルが構成されます。サービスサイドに設定されたインターフェースから受信したトラフィックは、トランスポートサイドのインターフェースからIPsecトンネルを通って、他サイトのvEdgeに運ばれます。

VPN (Virtual Private Network)

ViptelaのSD-WANソリューションにおいて、VPNは論理的に分離されたルーティングドメインを意味しています。トランスポートサイドの物理ネットワーク(WAN)と、サービスサイドのトラフィックを通すオーバーレイネットワークはルーティングドメインが異なります。このため、トランスポートサイドネットワークはVPN 0として区別されます。また、アウトオブバンドの管理ネットワークにはVPN 512が割り当てられています。サービスサイドのネットワークには0および512以外の任意の番号(1〜65530)を割り当てます。セグメンテーション機能を使用する場合、各セグメントにユニークなVPN番号を割り当てます。

VPNの識別にはIPsecカプセル化の際に付与されるラベルが使われます。このため、VPN(セグメント)を複数定義しても、vEdge間のIPsecトンネルは送受信で1対で変わりません。「VPN = IPsecトンネル」ではないことに注意が必要です。

Overlay Management Protocol (OMP)

vEdgeとコントローラーの間には、DTLSもしくはTLSで暗号化されたコントロールプレーンが構成されます。このコントロールプレーンの中ではSNMPやNetconfといったプロトコルのほかに、OMPと呼ばれるViptela独自のプロトコルが使われ、非常に重要な役割をはたしています。「Viptelaのアーキテクチャ」の回にもあったように、vSmartの主要な役割は、経路情報と暗号化鍵の配布、およびポリシーの配布です。OMPはこの経路情報や暗号化鍵、およびポリシーの配布を行うために開発された、BGPを拡張した独自のルーティングプロトコルです。OMPによって、ViptelaのSD-WANソリューションはポリシーによるトポロジーや経路の柔軟な制御と非常に高いスケーラビリティを実現しています。

ポリシー

ポリシーはオーバーレイネットワーク上でのvEdge間でのトラフィックのフローを柔軟に制御するための仕組みです。ViptelaのSD-WANソリューションは、コントロールプレーンとデータプレーンを完全に分離しており、ポリシーもそれぞれに対して適用することができます。コントロールプレーンに対して適用するポリシーでは、OMPで学習もしくは配布される経路情報を制御し、トポロジーを変化させたり、サービスチェイニングを実装できます。データプレーンに対して適用するポリシーでは、IPヘッダなどにもとづいて、各vEdge上でのトラフィックの扱いを制御できます。ポリシーの詳細については、今後くわしくご紹介していきたいと思います。

Site ID

Site IDはViptela SD-WANソリューションのオーバーレイネットワークの中で、物理的なロケーションを識別するための識別子です。同一のデータセンターや支店などのロケーションに複数のvEdgeを配置する場合、それらのvEdgeには同じSite IDを割り当てます。デフォルトの設定では、Site IDが異なるvEdge間のみIPsecトンネルが形成され、同一のSite IDのvEdge間では形成されません。通常、同一の物理ロケーションに複数のvEdgeを配置するのは、冗長化や負荷分散のためであり、vEdge同士でユーザデータをやり取りする目的ではないためです。Site IDは、ポリシーの定義や適用の際にも使われ、同一のポリシーを簡単に複数のvEdgeに関連づけることができます。

System IP Address

System IP Address(以下System IP)はIPv4アドレスの形式をした識別子で、vEdgeルータや、vSmart、vBondに必ず1つ割り当てられます。IPv4アドレス形式ですが、実際にそのノードに外部から疎通可能なIPアドレスである必要性はありません。Viptela SD-WANのオーバーレイの中で一意である必要があり、1.1.<site-id>.<siteの中での一意の番号>といった命名規則がよく使われます。

いったんコントロールプレーンが形成されると、System IPでのもともとのIP到達性の有無によらず、System IPはコントロールプレーン上で相互に疎通可能になります。実際にコントロールプレーンの通信はこのSystem IPを使って行われ、物理ネットワークのIPアドレス等が変更になった場合の影響が最小化されています。

Color

ColorはvEdgeルータがもつ複数のWAN回線(トランスポート)を識別するためのラベルです。mplsやmetro-ethernet、biz-internetといったサービス品目にもとづく名称や、gold、silver、bronzeといったサービスレベルにもとづく名称など、あらかじめ使えるラベルが決められていて、WAN回線につながる物理ポートの設定の中で指定します。

Colorは、vEdgeがもつ複数のIPsecトンネルを識別する際などに使われます。ge0/4のようなインターフェース名を使わず、抽象化したラベルであるColorを使うことで、設定やポリシーの定義の柔軟性や管理性を高めています。例えば、音声トラフィックはmplsというColorが指定されたWAN回線を優先的に使用するというポリシーを定義した場合、各vEdgeの物理インターフェースの構成やIPアドレスを意識することなく、ポリシーをvEdgeに適用することができます。

Transport Location (TLOC)

TLOCはOMPの中で使われる概念で、BGPにおけるNext Hopに相当しますが、単純なIPアドレスではなく、System IPとColorの組み合わせで表現します。物理インターフェースのIPアドレスではなくSystem IPを使うため、WAN回線につながる物理インターフェースにDHCPのようにIPアドレスの変更がある場合でも、影響をうけません。また、ViptelaのSD-WANソリューションでは、あるvEdgeにデータを送る場合に、複数のWAN回線(トランスポート)があれば、ECMPやポリシーによって、それらのWAN回線をアクティブ・アクティブで適切に使い分けます。このため、Colorを組み合わせることで、宛先vEdgeだけでなく経由するWAN回線もNext Hopとして特定できます。なお、厳密には、TLOCはSystem IPとColorに加えて、カプセル化方式によっても区別されますが、カプセル化方式は基本的にIPsecですので、ここでは無視して説明しています。

vEdgeルータ 製品ファミリー

ViptelaのvEdgeルータは、データセンター、キャンパス、支店やリモート拠点などに置かれ、任意のWAN回線(トランスポート)上に、セキュアな仮想オーバーレイネットワークを構成するハードウェアです。

下の写真にあるように、vEdgeルータには、vEdge-100b、vEdge-100m、vEdge-1000、vEdge-2000の4つのモデルがあります。vEdge-Router-Product-Family201604

いずれのモデルも基本機能は共通です。たとえば、いずれのvEdgeも、組み込みハードウェアベースの暗号化アクセラレーションに対応し、セキュアな通信を行うことができます。また、耐タンパー性を備えたチップ(TPMチップ)に証明書が埋め込まれており、この情報を使って機器をセキュアに認証するようになっています。ルーティング、フォワーディング、QoS、ポリシー制御なども同じように機能します。

モデルによって大きく異なるのは、暗号化スループットおよび物理インターフェース数です。一般的には、このスループットの違いに基づいて適切なvEdgeルータのモデルを選択します。具体的には、vEdge−100bおよびvEdge-100mは100Mbps、vEdge-1000は1Gbps、vEdge-2000は10GBpsのAES-256暗号化スループットに対応します。

vEdge-100mは、vEdge-100bと同等の性能・構成にくわえて、LTEモデムも内蔵するモデルです。vEdge-100mを使うことで、ユーザはLTE接続をWAN回線(トランスポート)として利用できます。vEdge-100mについては、12月16日の記事でより詳細にご説明する予定です。

実際の環境では、データセンターや大模拠点にはvEdge-2000、中規模拠点にvEdge-1000、小規模拠点にvEdge-100b、移動の多い拠点にはvEdge-100mといった使い分けができます。

vEdgeルータには仮想アプライアンス版もあり、vEdge Cloudと呼ばれています。現在、Amazon Web Service (AWS)、VMware ESXi、および、KVMをサポートし、今月(2016年12月)中にMicrosoft Azureにも対応する予定です。vEdge Cloudも、他のvEdgeルータと基本機能に大きな違いはありません。ただ、前述のTPMチップを組み込むことができませんので、vEdgeの認証のための証明書の扱いが異なるという違いがあります。vEdge Cloudにより、企業はAWSのVPCなどを自社の1つの拠点かのようにWAN環境に組み込むことができます。この構成については、12月10日の記事で、具体的にご説明したいと思います。

各vEdgeモデルのより詳細な情報は、日本語データシートでご確認いただけます。

Viptelaのアーキテクチャ

ViptelaのSD-WANソリューションは大きく分けると二つの構成要素から成り立っています。

Viptela Architecture

一つ目の構成要素は「vEdge」と呼ばれるルータで、データセンター、キャンパス、支店やリモート拠点などに置かれます。vEdgeにはいくつかのモデルがありますが、基本機能はどのモデルでも共通です。

もう一つの構成要素がコントローラです。コントローラが拠点にあるvEdgeをソフトウェア的にコントロールすることでSD-WANが実現されています。コントローラはさらにいくつかの構成要素から成り立っています。一つ目が「vSmart」と呼ばれるもので、主に経路情報と暗号化鍵の配布、及びポリシーの配布などを行っています。「vBond」はオーケストレータ的な役割をするもので、vEdgeのブートストラップ時やNATトラバーサルする際に重要な役割を果たします。「vManage」はいわゆるNMS (Network Management Station)で、ユーザはvManageを使って機器の設定、モニタリング、トラブルシュートなどを行います。North-bound APIを提供しているのもこのvManageです。

コントローラは通常はViptela社が維持管理を行っているクラウド環境状にデプロイされますが、何かしらの理由でコントローラを自社環境(オンプレミス)に立てたい場合にはそのような構成も可能です。

コントローラとvEdge間の通信(いわゆるコントロールプレーン)はDTLSもしくはTLSで暗号化されています。証明書を使って認証を行いますが、vEdgeのハードウェアには証明書が耐タンパー性を備えたチップ(TPMチップ)に埋め込まれており、この情報を使って機器をセキュアに認証するようになっています。

一方、データプレーンは標準的なIPsecを使って暗号化を行なっています。vEdge同士は直接通信しますので、全てのvEdgeが1ホップで繋がるいわゆる「フルメッシュ」なIPsec構成を構成できます。一部のSD-WANソリューションの中にはクラウド上にゲートウェイをデプロイし、それを介してデータプレーンを構成するケースも見受けられますが、Viptelaはデータプレーンのトラフィックがクラウド側を流れることは一切ありません。

このようにコントロールプレーン、データプレーン共に完全に暗号化されていますので、下の回線の種類の特性(例えばインターネットはセキュアではない、など)を意識することなく、全ての回線を同時に使うハイブリッドなWANを実現することができます。

Full Stack Enterprise SD-WANとは何か

ヴィプテラ・ジャパン株式会社の進藤です。小松とともにSD-WAN市場の立ち上げと、Viptelaのソリューションに関する技術的支援などを行なっています。

さて、今回はSD-WANの要件について少し考えてみたいと思います。

現在、SD-WANを標榜する会社はゆうに30を超えています。ちょっとしたSD-WANフィーバー状態です。何を持ってそのソリューションが「SD-WAN」呼べるのかについてはっきりとした規定・規格はありませんが、一般的にはONUG (Open Networking USER GROUP)による「SD-WANのビジネス的要件」が引き合いに出されることが多いと思います。以下に簡単に要約します。

  •  拠点からパブリックなWANとプライベートなWANをハイブリッドに使うことができること。
  • 安価で汎用的なハードウェア上に物理的または仮想的なCPEを作れること。
  • ネットワークの可用性やパフォーマンスを損なうことなく、アプリケーションのポリシーに基づき、プライベートまたはパブリックなWAN上に動的にトラフィックエンジニアリングできるセキュアなアーキテクチャになっていること。
  • 企業のガバナンスやポリシーに準拠した形で、ビジネスにとって重要なトラフィックやリアルタイム性の高いアプリケーショントラフィックの可視化および優先付けができること。
  • 高い可用性と耐障害性を持ち、ユーザやアプリケーションに最適なハイブリッドWANを提供できること。
  • 既存のルータ・スイッチに直接接続して、L2およびL3での相互接続性が確保できること。
  • 拠点、アプリケーション、またはVPNのパフォーマンスを確認できるダッシュボード画面を持つこと。
  • オープンなNorth-bound APIを持ち、特定のログイベントをログ解析やセキュリティー監視装置(SEIM)に転送できること。
  • 接続されるネットワークの設定変更を要求せず、ゼロタッチで拠点を迅速に開設することができること。
  • 自動化された証明書の世代管理とレポート機能を備え、FIPS 140-2に準拠した暗号化モジュールもしくは暗号化方式を使っていること。

これを見て分かる通り、かなり曖昧な定義になっていますので、どのSD-WANベンダーも「うちのソリューションはこれらを全部満たしている」と胸を張っている状況です。

一方、Viptelaが考えるSD-WANソリューションが備えているべき機能要件は以下の通りです。

  • MPLS、インターネット、4G/LTEなど様々な回線をハイブリッドに使え、かつ全て”アクティブ”で使えること。
  • 完全なゼロタッチ(電源とネットワークケーブルを接続するだけ)で拠点を開設することができ、その際にTPM機能を使って機器をセキュアに認証する仕組みを持つこと。
  • コントロールプレーン、データプレーン共に完全に暗号化されていること。
  • オーバーレイでWANを実現することにより、回線の種類がプライベートであるかパブリックであるかを問わないこと。
  • 一つのオーバーレイWANの中に論理的に複数のネットワークの面(セグメント)を作ることができ、セグメント毎に任意のトポロジー(フルメッシュ、ハブ&スポーク、等)を定義できること。
  • WAN側、LAN側ともにOSPFおよびBGPをサポートし、既存のネットワークとシームレスに統合できること。
  • DPI技術でアプリケーションを特定し、トラフィックを可視化できること。
  • 複数あるWAN回線をさまざまなポリシー(アプリケーション種別や回線品質、など)によって選択できること。
  • 一般的なルータが持つQoS機能(キューイング、スケジューリング、ポリーシング、シェーピング、DSCPマーキング、など)を備えていること。
  • 大規模なサイトに対して一元的にポリシーを適用することのできるコントローラを持ち、ビジネスロジックやコンプライアンスを担保できる仕組みがあること。
  • トラフィックをリアルタイムあるいは過去に遡って可視化することができ、異常がある場合にはそれを検知し通知できる仕組みがあること。
  • RESTfulなNorth-bound APIを持ち、自動化や他のシステムとの連携が容易に行えること。
SD-WAN Requirement
SD-WANソリューションが備えるべき要件

ONUGの要件に比べるとかなり具体的だと思います。これらを全て満たして初めて「Full StackなSD-WANソリューション」と言えるのではないかと思っています。このようなFull StackなSD-WANソリューションはあまりありませんが、ViptelaのSEN (Secure Extensible Network)はこれらを全て満たすことのできるFull StackなEnterprise向けSD-WANソリューションになっています。Viptelaがこれらの要件を具体的にどのように実現しているかは、このBlogで追って詳しくお伝えしていこうと思います。

 

Viptela とは

ヴィプテラ・ジャパン株式会社の小松です。今日から12月25日まで、Advent Calender形式で、みなさまにViptelaによるSD-WANソリューションをご紹介していきたいと思います。初回の今日は、弊社ヴィプテラについて簡単にご紹介します。

Viptela, Inc.は2012年に設立された若いスタートアップ企業で、本社は米国カリフォルニアのサンノゼにあります。世界中のお客様に、SD-WANと呼ばれる企業のWAN環境の柔軟性やコスト効率を高めるソリューションをご提供しています。

Viptela 会社沿革と実績

Viptelaの創業メンバーはCiscoやJuniperの出身です。創業当時はSoftware Defined Network (SDN)が注目されていた時期でした。Viptelaの創業者たちは、SDNがデータセンター内のネットワークの課題に注目していたのに対し、企業の課題がWANにこそより多く存在すると考え、新しいスタートアップ企業の設立を思い立ちました。

Google Trendsで検索すると、SD-WANというキーワードは2014年の後半から急激に関心を集め始めたことがわかります。Viptelaは最初の製品を2013年にリリースしています。SD-WANというフレーズが生まれる前から製品をリリースし、SD-WANという市場そのものを作ってきた企業ということもできます。

設立後すぐに、アメリカを代表するベンチャーキャピタルであるSequoia Capitalからの100%の出資でRound AおよびRound Bの資金調達に成功したことや、今では主要な既存ネットワークベンダーのほぼ全てがSD-WAN市場に参入していることからも、WANに関連する企業の課題をSDNのアプローチで解決しようというViptelaのビジョンは正しかったということができるでしょう。

その後ビジネスは順調に推移し、現在では80社以上の顧客、特にFortune 500の25社以上の企業から採用されているほか、VerizonやSingTelといったキャリアのマネージドサービスとしても提供されています。また、3000拠点という大規模商用環境での採用実績などもあり、スタートアップでありながら、SD-WAN市場において非常に多くの実績を積み重ねてきています。

このAdvent Calendarでは、実際の導入事例を踏まえながら、Viptelaが提供するSD-WANソリューションを徐々にご紹介していきたいと思います。

なお、日本では、進藤と小松のSE 2人で活動しており、日本法人の設立も2016年9月に完了しました。ViptelaのSD-WANソリューションにご関心をお持ちいただいた際には、ask@sd-wan.jpもしくはTwitterアカウント@viptela_jpまでお問い合わせください。

IMG_5844IMG_2132
(左から、進藤、小松。Viptela, Inc.本社にて。)