Viptela SD-WANソリューションの基本用語

明日からViptelaのSD-WANソリューションの具体的なユースケースをご紹介していきます。その前に、今日はViptelaの詳細をご紹介する際によくご質問をいただくViptela独自の用語について簡単にご説明したいと思います。

トランスポートサイド/サービスサイド

ViptelaのSD-WANソリューションでは、vEdgeのWAN側をトランスポートサイド、LAN側をサービスサイドと呼んで区別します。トランスポートサイドに設定されたインターフェースでは、コントローラーとのDTLS/TLSトンネル(コントロールコネクション)やvEdge同士のIPsecトンネルが構成されます。サービスサイドに設定されたインターフェースから受信したトラフィックは、トランスポートサイドのインターフェースからIPsecトンネルを通って、他サイトのvEdgeに運ばれます。

VPN (Virtual Private Network)

ViptelaのSD-WANソリューションにおいて、VPNは論理的に分離されたルーティングドメインを意味し、VPN番号で区別されています。IPsecとトランスポートサイド(WAN)のネットワークと、サービスサイド(LAN)のネットワークはルーティングドメインが異なり、トランスポートサイドのルーティングドメインは既定でVPN 0が割り当てられています。また、アウトオブバンドの管理ネットワーク用のルーティングドメインにはVPN 512が割り当てられています。サービスサイドのネットワークには0および512以外の任意の番号(1〜65530)を割り当てます。セグメンテーション機能を使用する場合、各VPNセグメントにユニークなVPN番号を割り当てます。

VPNの識別のためにIPsecカプセル化の際にラベルが付与されます。このため、VPN(セグメント)を複数定義しても、vEdge間のIPsecトンネルは送受信で1対で変わりません。「VPN = IPsecトンネル」ではないことに注意が必要です。

Overlay Management Protocol (OMP)

vEdgeとコントローラーの間には、DTLSもしくはTLSで暗号化されたコントロールプレーンが構成されます。このコントロールプレーンの中ではNetconfやSSHといったプロトコルのほかに、OMPと呼ばれるViptela独自のプロトコルが使われ、非常に重要な役割をはたしています。「Viptelaのアーキテクチャ」の回にもあったように、vSmartの主要な役割は、経路情報と暗号化鍵の配布、およびポリシーの配布です。OMPはこの経路情報や暗号化鍵、およびポリシーの配布を行うために開発された、BGPをベースとする独自のルーティングプロトコルです。OMPによって、ViptelaのSD-WANソリューションはポリシーによるトポロジーや経路の柔軟な制御と非常に高いスケーラビリティを実現しています。

ポリシー

ポリシーはオーバーレイネットワーク上でのvEdge間でのトラフィックのフローを柔軟に制御するための仕組みです。ポリシーには、OMPで学習もしくは配布される経路情報やIPsec接続情報を制御し、トポロジーを変化させるコントロールポリシーや、IPヘッダやDPIによるアプリケーション識別機能にもとづいて詳細なパスの選択を行うデータポリシー、ネットワーク品質にもとづくパス選択を行うアプリケーションアウェアルーティングなどがあり、用途に応じて組み合わせて設定します。ポリシーの詳細については、今後くわしくご紹介していきたいと思います。

Site ID

Site IDはViptela SD-WANソリューションのオーバーレイネットワークの中で、物理的なロケーションを識別するための識別子です。同一のデータセンターや支店などのロケーションに複数のvEdgeを配置する場合、それらのvEdgeには同じSite IDを割り当てます。デフォルトの設定では、Site IDが異なるvEdge間のみIPsecトンネルが形成され、同一のSite IDのvEdge間では形成されません。通常、同一の物理ロケーションに複数のvEdgeを配置するのは、冗長化や負荷分散のためであり、vEdge同士でユーザデータをやり取りする目的ではないためです。Site IDは、ポリシーの定義や適用の際にも使われ、同一のポリシーを簡単に複数のvEdgeに関連づけることができます。

System IP Address

System IP Address(以下System IP)はIPv4アドレスの形式をした識別子で、vEdgeルータや、vSmart、vBondに必ず1つ割り当てられます。IPv4アドレス形式ですが、実際にそのノードに外部から疎通可能なIPアドレスである必要性はありません。Viptela SD-WANのオーバーレイの中で一意である必要があり、10.1.<site-id>.<siteの中での一意の番号>といった命名規則がよく使われます。

vEdgeはSystem IPをもつループバックインターフェースを自動的に構成します。コントロールプレーンが形成されると、物理ネットワークでのIP到達性の有無によらず、System IPはコントロールプレーン上でDTLS/TLSトンネル経由で相互に疎通可能になります。実際にコントロールプレーンの通信はこのSystem IPを使って行われ、物理ネットワークのIPアドレス等が変更になった場合の影響が最小化されています。

Color

ColorはvEdgeルータがもつ複数のWAN回線(トランスポート)を識別するためのラベルです。mplsやmetro-ethernet、biz-internetといったサービス品目にもとづく名称や、gold、silver、bronzeといったサービスレベルにもとづく名称など、あらかじめ使えるラベルが決められていて、WAN回線につながる物理ポートの設定の中で指定します。

Colorは、vEdgeがもつ複数のIPsecトンネルを識別する際などに使われます。ge0/4のようなインターフェース名を使わず、抽象化したラベルであるColorを使うことで、設定やポリシーの定義の柔軟性や管理性を高めています。例えば、音声トラフィックはmplsというColorが指定されたWAN回線を優先的に使用するというポリシーを定義できるため、各vEdge上でどの物理インターフェースにMPLSが接続されているかやそのIPアドレスを意識する必要がありません。

また、Colorは特定の網に限定したフルメッシュのIPsecトンネルの構成が簡単に指定できたり、vBondが提供するNAT Traversal機能を補完したりといった役割ももっています。

Transport Location (TLOC)

TLOCはOMPの中で使われる概念で、トランスポートサイドのインターフェースの識別子です。vEdgeはサービスサイドの経路に合わせて、自分のTLOC情報をvSmartに広告します。また、他のvEdgeのTLOC情報をvSmartから学習します。

TLOCはSystem IPとColorの組み合わせで識別され、インターフェースの実際のIPアドレスや、NATされている場合には外部からアクセスする際のIPアドレス、ポート番号といった様々な情報含んでいます。IPsecの接続先情報として使用されるほか、オーバーレイの経路情報のNext Hopとしても使われます。

なお、厳密には、TLOCはSystem IPとColorに加えて、カプセル化方式によっても区別されますが、カプセル化方式は基本的にIPsecですので、ここでは無視して説明しています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください