SD-WANでマルチキャスト

ViptelaのSD-WANに特徴的な機能の一つにマルチキャストのサポートがあります。アンダーレイネットワーク側にマルチキャストのサポートは必要ありません。オーバーレイネットワーク側でマルチキャストネットワークを作ることができます。以下、Viptelaのマルチキャスト機能について見てみましょう。

スケーラブルなマルチキャスト

ViptelaのSD-WANはPIM-SMをサポートしています。マルチキャストの送信者側、受信者側共に特別な要件はなく、普通にマルチキャストをする場合となんら変わりません。一方、オーバーレイ側では少々工夫がされています。

Multicast Support by Viptela
オーバーレイでマルチキャストをサポート

サービス(LAN)側から来るIGMPまたはPIMのjoinは、OMPプロトコルを使ってvSmartコントローラに送られるようになっています。

また、パケットのレプリケーションは上流のルータ(マルチキャストのソースを持つvEdge)が行うのではなく、「レプリケータ」と呼ばれる別のvEdgeルータが行うようになっています。通常、データセンタ側に置かれるvEdgeをレプリケータに設定します(性能や帯域に余裕があることが多いため)。このようにレプリケータを設けることで、拠点側のvEdgeの処理負荷軽減や帯域の削減が可能になります。レプリケータは複数設定することができ、マルチキャストのグループアドレス、ソースのvEdgeなどによって分散するようになっており、その際に各はレプリケータの負荷も考慮してレプリケータへの振り分けが行われるようになっています。このようにレプリケータを設けることで、単純にソースのvEdgeでレプリケーションするよりもスケールするマルチキャストネットワークを構築することができます。

セキュアなマルチキャストオーバーレイ

マルチキャストのトラフィックもユニキャストの時と同様に全てIPsecで暗号化されて送られます。「SD-WANのスケーラビリティ」で述べたように、vEdgeは自分宛に送るパケットを暗号化する際に使って欲しい暗号化鍵を自分で生成し、vSmartでそれを配布するようになっています。しかし、マルチキャストでこれをやろうとすると、レプリケータは送信先のvEdgeの数だけIPsecの暗号化処理をしなければなりません。暗号化処理はハードウェアで行われるとはいうものの、下流にvEdgeが100台あったら100回別々の鍵で暗号化をしなければいけませんのでかなり大変です。そこで、マルチキャストトラフィックを暗号化する際は、送信先のvEdgeが生成した鍵ではなく、送信元が生成した鍵を使うようになっています。このようにすればレプリケータは下流のvEdgeの数だけ別々に暗号化する必要は無くなります。レプリケータからパケットを受け取ったvEdgeは送信元のvEdgeが生成した鍵を使って復号化を行えば良いわけです。

ViptelaのSD-WANでは、上記のようなさまざま工夫によってスケールするマルチキャストネットワークを構築することができるようになっています。Viptelaユーザの中には、実際にこのマルチキャスト機能を使ってWAN上でビデオ配信を行なっているお客様がおられます。

ユースケース:vEdge Cloud仮想アプライアンス

vEdgeルータ 製品ファミリー」の回でご紹介したように、vEdgeには仮想アプライアンス版があり、vEdge Cloudと呼ばれています。現在、Amazon Web Service、VMware ESXi、KVMの3つのプラットフォームに対応するvEdge Cloudが提供されており、今月(2016年12月)中に、Microsoft Azureに対応する仮想アプライアンスもリリースされる予定です。今日はこのvEdge Cloudを利用したユースケースをご紹介します。

vEdge Cloudのユースケース #1- 企業WANをパブリッククラウドに延長

企業とAWSのVPC(Virtual Private Cloud)との接続には、キャリアが提供するDirect Connectを利用するか、インターネット経由で接続しVPNを使うのが一般的です。vEdge CloudをVPCに展開することで、企業はDirect Connectとインターネットを2つのWAN回線として同時にアクティブに使い、VPNを企業のDCや各拠点とセキュアにフルメッシュで接続できます。

vEdge_Cloud_with_AWS

vEdge Cloudでは、ハードウェアで提供されているvEdgeと同じ機能を使うことができます。各拠点からVPCに対して最適なパスで接続できるだけでなく、VPC上のアプリケーションにあわせてDicrect Connectとインターネットを使い分けたり、セグメンテーション機能を使うこともできます。つまり、VPCは企業のWAN環境にシームレスに接続された、企業ネットワークの一部として使われることになります。

vEdge Cloudのユースケース #2 – VNFとしてvCPEでSD-WANを使用

企業が拠点に必要とするネットワーク機能は、SD-WANだけとは限りません。しかしながら、非常に小規模な拠点にまで複数のネットワーク機器を導入すると、コストや機器を置くスペース、運用などが課題となります。このため、ファイアウォールやWAN最適化など、複数のネットワーク機能をVNF(Virtualized Network Function)として1つのx86サーバー上に展開し、拠点にまとめて展開するvCPE(Virtualized Customer Premises Equipment)を使うという選択肢があります。

vEdge_Cloud_as_VNF

vEdge CloudはVMware ESXiやKVM向けにも提供されており、これらのハイパーバイザーをベースとするvCPE上にVNFとして展開できます。VMware vCloud NFVやOpenStackから管理することも可能です。これにより、企業は最適なコストでSD-WANを含む複数のネットワーク機能を拠点に展開することができます。

ユースケース:セグメンテーション

企業の経済活動が多岐にわたる昨今では、機密性の高いデータの保護や、異なる要件を伴うアプリケーションの利用のために、企業内ネットワークであっても用途に応じてネットワークを適切に使い分けることが重要です。キャンパスの中であれば、VLANを使って1つのネットワークインフラを論理的に分離し、部門や用途に応じて簡単に使い分けることができます。しかしながら、WANに関してはVLANのように簡単な手段はありませんでした。

WANにおける従来のネットワーク分離

今日、企業がWANにおいてネットワークを分離して使用する最も現実的な方法は広域イーサネットを利用することです。広域イーサネットを利用することで、キャンパスの中で使用しているVLANをそのままWANを越えて延長できるためです。しかしながら、広域イーサネットは、日本国内であっても接続可能な場所が限られ、海外拠点なども含めた全社レベルでのネットワーク分離には対応できません。また、全社レベルでVLAN IDの割り当てが共通である必要があり、エンドツーエンドでネットワークを適切に分離するソリューションとしては限定的と言わざるをえません。

VRFやBGP/MPLS VPNといったレイヤ3のテクノロジーもあります。しかしながら、これらの技術を利用してネットワーク分離を行うには、キャリアがWANの網内のネットワーク機器に設定を追加する必要があり、要件に応じたネットワークを得るために、企業は追加の費用とリードタイムを要します。

SD-WANによる解決方法 – セグメンテーション機能

ViptelaのSD-WANソリューションによって、このような問題を簡単に解決することができます。「セグメンテーション機能」は、WANをまたいで全社レベルでのエンドツーエンドのネットワーク分離を実現するシンプルで強力なソリューションです。企業のネットワーク管理者は新たなセグメント(VPN)を定義し、各拠点のvEdgeのLAN側の物理インターフェースやVLANを割りあてます。これだけで、あたかも新たなWAN回線を契約したかのように、論理的に分離されたネットワークを使うことができます。

複数のセグメントを使う場合でも、vEdgeはそれぞれにトンネルをはるわけではありません。このため、vEdgeの負荷を気にすることなく、多数のセグメントを使用できます。(ライセンスによってセグメントの上限数が規定されています。)

セグメンテーション機能のユースケース

各セグメントはルーティングドメインとして独立しており、IPアドレスやサブネットの重複は問題になりません。ルーティングプロトコルを個別に動かすことも可能ですし、セグメントごとにフルメッシュやハブ&スポークといったトポロジーを変えることも可能です。このため、セグメンテーション機能は下記のような様々なユースケースに利用できます。

  • 世界各地の拠点ごとにWAN回線の数や組み合わせが異なっていても、全社レベルの標準ポリシーに基づいて、適切にデータやアプリケーションのネットワーク分離を行う(PCI-DSS対応など)
  • 多数のグループ会社や関連会社のWANを統合した上で、論理的にセキュアに分離して使用する
  • 買収した企業のネットワークと物理的には統合しながら、IPアドレス体系などが段階的に整理されるまでは、論理的に隔離されたネットワークとして扱う
  • 個々の機器のアクセスリストに依存することなく、社外の協力会社と直接ネットワークを接続し、必要なデータやアプリケーションを共有する
  • 共通のネットワークインフラ上に、論理的に分離された本番・開発・UATのネットワーク面を作成する

このように、ViptelaのSD-WANソリューションでは、従来は簡単に実現できなかったWANでのネットワーク分離を実現し、管理性を維持しながら企業の経済活動のセキュリティリスクを軽減することができます。

ユースケース:サービスチェイニング

より快適にSaaSやパブリッククラウドを使うためにはローカルExitが有効であるというのは「ユースケース:リージョナル / ローカルExit」の回で説明しました。ローカルExitの場合は拠点を直接インターネットにつなぐことになりますので、セキュリティが心配です。一つの解決策はzScalerのようなCASBを使うことですが、もう一つの方法はViptelaのSD-WANソリューションが持つ「サービスチェイニング機能」(サービスインサーション機能と呼ばれることもあります)を使うことです。

拠点ファイアウォールの問題点

WAN回線がMPLSによるクローズド・ネットワークだけで構成されていた場合は拠点側にファイアウォールを置かない場合もあるかと思いますが、インターネットで接続されている場合はファイアウォールを置いていることが多いと思います。拠点数が少ないうちはそれでも良いでしょうが、拠点数が数百、あるいは数千、という規模になってくると、全ての拠点にファイアウォールを設置するのは機器コスト的にも現実的ではありませんし(CAPEX的側面)、それだけの数のファイアウォールにきちんとしたポリシー設定をして維持管理をしていくのも並大抵のことではありません(OPEX的側面)。

そのような場合に有効なのがViptelaの持つサービスチェイニング機能です。

Viptelaのサービスチェイニング機能

例えばある拠点からユーザがデータセンター側のサーバにアクセスをする際には必ずファイアウォールを経由させたいとします。

Viptelaのサービスチェイニング機能
Viptelaのサービスチェイニング機能

従来は拠点側に置いたファイアウォールにアクセスポリシーを設定していたと思いますが、Viptelaのサービスチェイニング機能を使うと特定トラフィックの経路を変更して、別のvEdgeに送り、そこでさまざまなサービス(ファイアウォール、アンチウィルス、ロードバランサ、など)を経由させることができます。トラフィックの特定にはACLやDPIによるアプリケーション識別が使えます。同等のセキュリティモデルを保ちながら、従来拠点側にあったファイアウォールをリージョナルなデータセンターに集約することができるわけです。ViptelaのSD-WANソリューションを使っているお客様の中には、この機能を使って何千台もあった拠点側ファイアウォールをデータセンター側の数十台のファイアウォールに集約し、大きなコスト削減を実現されているお客様がいます。

このサービスチェイニング機能はViptelaの持つ柔軟なポリシー制御機能によって実現されています。サービスチェイニングの具体的な仕組みや設定例はまた日を改めてお話したいと思います。

ユースケース:リージョナル / ローカルExit

近年、Office365に代表されるようなSaaSサービスが急速に企業に受け入れられ始めています。また、Amazon AWSやMicrosoft Azureなどのパブリッククラウドの利用も一般的になってきました。

これらSaaSやパブリッククラウドは基本的にはインターネットを通じて利用するわけですが、場合によっては快適に利用することができないことがあります。自宅で使うとサクサク動くOffice 365が、オフィスに行くとモッサリした動作になり快適に使えない、というのは最近よく聞く話なのではないかと思います。これは企業ネットワークがSaaSやクラウドに最適化されていないために起こる現象です。

今までのインターネット接続の形態

今日、多くの企業ネットワークはインターネットへの出口(Exit)は本社やデータセンターなど、1箇所にしかありません。各拠点は全て1箇所に集約され、そこからインターネットに抜けて行く形になっています。極端なケースでは、海外の拠点のトラフィックも一度日本に集約してからインターネットに抜けて行く場合もあります。セキュリティ的な管理のしやすさからこのような設計をされることが多いですが、全てのトラフィックが1箇所に集約されるため、そこに設置されているファイアウォールやプロキシーがボトルネックになったり、インターネット回線が輻輳してしまうという問題が起こりがちです。

SD-WANによる解決方法 – リージョナルExit

SD-WAN技術を使うとこのような問題を簡単に解決することができます。

Reginal Internet Exit
リージョナルなインターネットExit

Viptelaはアプリケーションを特定して、特定のアプリケーションだけを別の箇所に送ることができます。通常トラフィックはデータセンターに送りますが、例えば、Office 365のトラフィックであると認識したらデータセンターに送らずに、より地理的に近い(リージョナルな)ところからインターネットに出て行くようにポリシーを設定することが可能です(このようなインターネットへの抜けたかをリージョナルExit、またはリージョナルBreakoutなどと言います)。例えば東日本の拠点は東京のデータセンターから、西日本の拠点は大阪のデータセンターからインターネットに抜けるようにするわけです。このようなポリシーはvSmartコントローラからの一括で設定されるので、拠点が多数あっても設定はとても簡単です。

SD-WANによる解決方法 –ローカルExitとCASBとの連携

さらに拠点がインターネットの接続を持っているのであれば、リージョナルなデータセンターではなく、直接拠点からインターネットに抜けるようにすることも可能です(ローカルExitまたはBreakout)。リージョナルなデータセンターにはファイアウォールが設置されている場合が一般的かと思いますが、ローカルExitをする場合には全ての拠点にファイアウォールが設置されていない場合もあるかと思います。ファイアウォールのない拠点から直接インターネットに繋ぐのはセキュリティ的に心配だ、という懸念もるでしょう。そのような場合には、最近注目を集めるようになってきたCASB (Cloud Access Security Broker)サービスを利用すると方法が考えられます。ViptelaのvEdgeはCASBサービスとして広く利用されているzScalerと連携をすることができるようになっていますので、ローカルExitをするトラフィックをzScalerに廻してセキュリティを担保することが可能です。

Local Internet Exit
ローカルなインターネットExitとCASB

このように特定のアプリケーションのトラフィックをリージョナルなデータセンターからExitさせたり、拠点から直接Exitさせることにより、SaaSアプリケーションやパブリッククラウドをより快適に使うことができるようにできるのもSD-WANの大きなメリットの一つです

ユースケース:アプリケーション対応ルーティング

今日からViptelaSD-WANソリューションのユースケースについて具体的にご紹介していきます。

SD-WANを導入した企業、もしくは、導入を検討する企業の非常に多くは、WAN回線をよりコスト効率よく使いながら、企業内のエンドユーザのアプリケーションの使用感も改善したいと考えています。今日ご紹介するユースケースは、この期待を実現するSD-WANの使い方で、アプリケーション対応ルーティング(英語名:Application Aware Routing)と呼ばれています。

日本の多くの企業では、WAN回線としてIP-VPNや広域イーサネットなどのサービスを2回線契約し、一方をメイン、もう一方をバックアップとして使い分けているケースが一般的です。また、拠点からのインターネット向けのトラフィックはWAN回線を経由してデータセンターに集め、データセンターのプロキシサーバやファイアウォール等を通ってインターネットに出ていく構成がよくみられます。昨今、SaaSが普及し、各拠点からOffice365Salesforceなどへのアクセスが増加したことなどから、WAN回線の帯域幅の枯渇や輻輳が発生し、エンドユーザのアプリケーション使用感を損ねているケースも少なからずあるようです。

123日の記事にあるように、各拠点のvEdge間はIPsecトンネルでつながり、フルメッシュのオーバーレイネットワークが構成されます。vEdge間のオーバーレイは全て1ホップですので、デフォルトではECMPによってすべてのWAN回線がアクティブに使われます。2つのWAN回線をメインとバックアップで使い分けていた企業にとっては、アクティブ・アクティブでWAN回線を使うことで実際に使えるWAN回線の帯域幅が増えたことになります。しかしながら、単純なECMPではエンドユーザの使用感が改善するとは限りません。アプリケーションによって、必要となる回線品質が異なる上、WAN回線によって提供される性能も異なるためす。そこで、使われるのがアプリケーション対応ルーティングと呼ばれるポリシーです。

SD-WANによる解決方法 – アプリケーション対応ルーティング

アプリケーション対応ルーティングでは、ユーザは使用するアプリケーションに対して必要な性能要件を定義します。性能要件には、遅延、ジッター(遅延の揺らぎ)、パケットロス率の3つの指標が使われます。例えば、voiceのトラフィックは遅延が20ms、ジッターが10ms、パケットロス率1%を下まわる回線品質が必要というポリシーを定義すると、vEdge間でvoiceのトラフィックを転送する際に、指定された回線品質を満たすWAN回線のみが使用されます。複数のWAN回線が指定された回線品質を満たす場合、それらのWAN回線を同時に使うことも、優先的に使用するWAN回線を指定しておくこともできます。

アプリケーション対応ルーティングアプリケーション対応ルーティングで指定可能なアプリケーションは、vEdgeがもつDeep Packet Inspection (DPI)エンジンによって識別されるアプリケーションです。現在、vEdgeのDPIエンジンは約3000種類のアプリケーションやWebサイトを識別します。ユーザは、RTP (Realtime Transport Protocol) やLine、Skypeといった個別のアプリケーションを指定してポリシーを定義することも、Audio&VideoやInstant Messagingといった同種のアプリケーションをグループ化したアプリケーションファミリーを指定して定義することも可能です。企業で使用されるアプリケーションは多岐にわたるため、特別重要なもの以外はアプリケーションファミリーでポリシーを定義すると簡便です。

vEdgeは自分が保持する全てのIPsecトンネルに対して、デフォルトでは1秒ごとにBFD (Bidirectional Forwarding Detection) パケットを送出し、遅延、ジッター、パケットロス率を計測しつづけています。アプリケーション対応ルーティングは、WAN回線がアプリケーション要件を充たしているかどうかをこの値に基づいて判断します。

以上のように、ViptelaのSD-WANソリューションによって、企業は複数のWAN回線を全てアクティブに使うだけでなく、アプリケーションの要件に合わせて適切なWAN回線を割り当て、エンドユーザのアプリケーションの使用感を向上することができます。