Viptelaのアーキテクチャ

ViptelaのSD-WANソリューションは大きく分けると二つの構成要素から成り立っています。

Viptela Architecture

一つ目の構成要素は「vEdge」と呼ばれるルータで、データセンター、キャンパス、支店やリモート拠点などに置かれます。vEdgeにはいくつかのモデルがありますが、基本機能はどのモデルでも共通です。

もう一つの構成要素がコントローラです。コントローラが拠点にあるvEdgeをソフトウェア的にコントロールすることでSD-WANが実現されています。コントローラはさらにいくつかの構成要素から成り立っています。一つ目が「vSmart」と呼ばれるもので、主に経路情報と暗号化鍵の配布、及びポリシーの配布などを行っています。「vBond」はオーケストレータ的な役割をするもので、vEdgeのブートストラップ時やNATトラバーサルする際に重要な役割を果たします。「vManage」はいわゆるNMS (Network Management Station)で、ユーザはvManageを使って機器の設定、モニタリング、トラブルシュートなどを行います。North-bound APIを提供しているのもこのvManageです。

コントローラは通常はViptela社が維持管理を行っているクラウド環境状にデプロイされますが、何かしらの理由でコントローラを自社環境(オンプレミス)に立てたい場合にはそのような構成も可能です。

コントローラとvEdge間の通信(いわゆるコントロールプレーン)はDTLSもしくはTLSで暗号化されています。証明書を使って認証を行いますが、vEdgeのハードウェアには証明書が耐タンパー性を備えたチップ(TPMチップ)に埋め込まれており、この情報を使って機器をセキュアに認証するようになっています。

一方、データプレーンは標準的なIPsecを使って暗号化を行なっています。vEdge同士は直接通信しますので、全てのvEdgeが1ホップで繋がるいわゆる「フルメッシュ」なIPsec構成を構成できます。一部のSD-WANソリューションの中にはクラウド上にゲートウェイをデプロイし、それを介してデータプレーンを構成するケースも見受けられますが、Viptelaはデータプレーンのトラフィックがクラウド側を流れることは一切ありません。

このようにコントロールプレーン、データプレーン共に完全に暗号化されていますので、下の回線の種類の特性(例えばインターネットはセキュアではない、など)を意識することなく、全ての回線を同時に使うハイブリッドなWANを実現することができます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です