Viptelaユーザー事例:Kindred Healthcare

Kindred Healthcare(以下、キンドレッド)は、多様な入院治療を提供する米国最大の医療機関で、46の州にまたがって数千の拠点、10万人のユーザをカバーしています。キンドレッドの事例は2016年秋のONUG (Open Networking User Group) で発表されました。その際のビデオがこちらでご覧いただけます。

ONUGでの発表の中で、キンドレッドは特に大きなViptelaの導入効果として、コスト削減、セキュリティの強化、管理性とスピードの向上の3つを挙げています。

コスト削減

キンドレッドはViptelaを700拠点に導入することにより、5年間で$2.1M(1ドル100円換算で2.1億円)のROIを見込んでいます。コストの試算については、発表の中で具体的に説明されています。拠点を大・中・小の3つに分類すると、小規模拠点単体では絶対値としてのコスト削減効果は小さいものの、大規模拠点では25%程度のコスト削減効果が期待できると説明されています。また、単純なコスト削減だけでなく、従来バックアップとしてしか使えていなかったWAN回線をアクティブに使うことなどにより、いずれの規模の拠点においても実質的な帯域幅を平均700%程度に増加できています。結果的に、帯域幅あたりのコスト削減効果は非常に大きなものとなっています。

セキュリティの強化

キンドレッドの課題の1つは、WANに接続する全ての拠点に一貫したセキュリティポリシーを適用し続ける困難さでした。Viptela導入後は、vManageによりセキュリティポリシーの適用と確認作業は完全に一元化されたほか、「セグメンテーション機能」により、WANを複数のセグメントにわけ、HIPPAやPCIといったコンプライアンス上重要なトラフィック、BYOD (Bring Your Own Device)、IoTなど、セキュリティ上の扱いが異なるトラフィックを論理的に隔離されたネットワークに割り当てています。また、他の医療機関の買収に伴う段階的なネットワークの統合においてもセグメンテーション機能を活用する予定です。

セグメンテーション機能では、例外的に一部のセグメントの組み合わせについて相互に通信を許可するポリシーも定義できます。キンドレッドはこの「エクストラネット」と呼ばれる機能をつかって、ベンダーやパートナー企業のネットワークをキンドレッドのネットワークに直接つなぎこみ、必要な情報だけを相互に共有できるネットワークインフラも整えています。従来はVPNやアクセスリストなどを駆使する必要があったこれらの設定は、vManage上でポリシーを定義するだけで完了します。

管理の効率性・スピード

キンドレッドは急成長中で、全米にまたがる大規模なネットワークをもつにもかかわらず、極めて少数のメンバーでネットワークの設計・構築・運用を行なっています。vManageによる一元管理だけでなく、テンプレート機能ゼロタッチプロビジョニングを使用することで、チームの負荷は格段にさがったと言います。

また、キンドレッドは新しい拠点の展開時にLTE回線を効率的に利用しています。従来のWAN回線サービスは契約と開設にある程度時間を要すため、拠点の開設時に、まずLTE回線でWAN接続を確保します。ViptelaのオーバーレイネットワークでWAN回線が抽象化されるため、回線の切り替えは簡単な作業で済みます。このため、有線タイプの回線は、準備が整ったタイミングであとから容易に追加することができるのです。これにより、新しい拠点の展開スピードも格段に向上しています。

Viptelaユーザー事例:Agilent Technologies

Agilent Technologies(以下、アジレント)は、1999年にヒューレットパッカードからスピンオフされた会社で、食品、環境、医薬品、分析機器、化学、エネルギーなど幅広い分野でビジネスを行なっています。現在、社員数約12,000人、30数ヶ国に約120の拠点を展開しています。

アジレントが2016年春のONUG (Open Networking User Group) で発表したビデオがこちらでご覧頂けます。従来WANの課題と、SD-WAN評価のプロセス、SD-WANを導入することによって得られたメリットと発見について非常に説得力ある話をしてくれていますので、是非一度ご覧いただければと思います。以下は、その要約です。


アジレントは、高価で低速なMPLS回線、バックアップ(休眠)回線による非効率、WANのクラウド対応など、多くの課題を抱えていました。また、企業買収によるネットワークの統合に長い時間がかかるのにも頭を悩ませていました。

彼らはこれらの課題をSD-WANで解決できると考えました。そしてくつかの要件をまとめました。

  • コントローラを持ち、オーケストレーションと自動化ができること
  • 基本的なモニタリングができること
  • ダイナミックルーティングをサポートすること
  • ハードウェアは小さなものから大きなものまでラインナップがあること
  • 電源が冗長化されていること
  • 冗長構成が組めること
  • GRE/IPsecトンネルとzScalerとの連携
  • DSCP値でトラフィックをコントロールできること
  • アジレントと似たようなスコープとスケールで最低2つのリファレンスカスタマーがあること

上記の要件について、SD-WANを標榜する会社20数社からヒアリングを行い、最終的に3つのベンダーに絞り込みました。そして、3社に彼らのネットワークを模擬したテスト環境と200ページを超える詳細なドキュメントを渡して、各ベンダーにSD-WANの実装とテストをさせました。各ベンダーにはテスト期間として1週間が与えられましたが、Viptelaはわずか3日で構築を完了させ、テスト結果も非常に良好だったため、彼らはViptelaを採用することに決めました。

その後、プロダクション環境でのパイロット運転を移りました。そこでまずわかったのは大きなコスト削減効果でした。Mbpsあたりのコストで見た場合、80%〜90%のコスト削減効果がありました。また、ネットワークの可用性も向上しました。

Viptelaの持つアプリケーションの可視化機能により新しい発見もありました。彼らのトラフィックの約60%がインターネット宛のトラフィック(OneDrive、Dropbox、FLEXNET、など)だったのです。これらのトラフィックをインターネットに直接ローカルExitさせることで、これらのアプリケーションが高価なMPLS回線を使わないように最適化することができました。

Viptelaのテンプレートベースの設定は監査にも役に立ちました。従来は100台のルータの設定が正しいかどうかをそれぞれ個別に確認する必要がありましたが、テンプレートを使った設定をしていればテンプレートの正当性だけ確認すれば良いので、大幅な工数削減が可能になりました。また、企業買収やビジネスパートナーとの連携にViptelaのセグメンテーション機能が非常に有用であるということもわかりました。

そして、何よりも驚いたのはインターネットの回線の品質が思ったよりはるかに良かったことでした。Viptelaを使うとWAN回線の品質(遅延、パケットロス率、ジッター)をモニターできますが、ほとんどの場合でMPLSよりもインターネット回線の方が品質が良いという結果が得られたのです。

彼らは社内、社外とのコミュニケーションのために非常に積極的にVoIPを使っていたので、インターネットベースのVPNに移行した際の音声の品質について懸念をしていましたが、実際にSD-WANを導入してみると音声の品質も以前より高くなりました。SD-WANを入れる前と後でNetScoutを使って音声の品質を計測しましたが、MOS値は良くなり、パケットロス率も大幅に改善しました。

今後の予定としては、vEdge Cloud(ソフトウェア版vEdge)の導入を考えていきたい、とのことでした。

Viptelaユーザー事例:北米のリテール銀行

今日ご紹介するユーザ事例は2つのデータセンターと約3000の支店にViptelaを導入している北米のリテール銀行で、現時点の世界最大のSD-WAN導入事例と言われています。顧客名は非公開ですが、米国のTechTargetの記事にもなっていますので、ご興味のある方はこちらをご覧ください。

この銀行はWANの帯域幅の枯渇という問題を抱えながら、新たにビデオをベースとするアプリケーションの導入が決まり、支店でのゲストWifiの提供も始まったことからWANの大幅な見直しが必要となりました。

当初は従来型のルータをベースとしたソリューションを検討したものの要件を満たすことができず、数多くのSD-WANソリューションを検討した結果、Viptelaの採用が決まりました。決め手となったのは、ポリシーによってアプリケーションレベルでの経路制御を一元的に行えること、3000拠点(冗長化により6000デバイス)という大規模環境でもIPsecでのセキュアなデータパスを構築することができ、インターネットをWAN回線として安全に使えることでした。

Viptela導入の効果

3000サイトでViptelaを実装した北米のリテール銀行の事例
約3000拠点でViptelaを導入した北米のリテール銀行の事例

Viptela導入前、この銀行は2つのMPLSプロバイダと回線サービスを契約していましたが、メイン回線は片方だけでWANに十分な帯域幅を得られていませんでした。Viptela導入後は、片方のMPLSプロバイダを解約し、かわりにインターネット回線を2つとLTE回線を契約しました。これにより、回線コストを削減しながら、広帯域のインターネット回線を含む4つの回線をWANとして使用できるようになりました。また、Viptelaのポリシーを使用して、ユーザのアプリケーション体験を改善するとともに、すべての回線をアクティブに使えるようになり、実際の帯域幅は従来の約10倍になったといいます。

また、この事例は「サービスチェイニング機能」を効果的に使用している点も特徴です。Viptela導入前、この銀行では3000拠点すべてにファイアウォールが導入され、管理がほぼ不可能な状態でした。Viptela導入後はサービスチェイニング機能により、ファイアウォールをいくつかの中核拠点に統合し、導入と管理にかかるコストを大幅に削減できました。これらの効果により、Viptelaの導入でWANにかかるコストは従来の10分の1になったとされています。

Internet Exit機能」によるクラウドアプリケーションへの対応、「セグメンテーション機能」なども使用し、まさにSD-WAN時代のWANを実現した事例といえます。

Viptelaユーザー事例:GAP

アパレル大手のGAPは非常に初期からのViptelaのお客様の一つで、2016年12月現在で、1,200を超える拠点でViptelaによるSD-WANを運用されてています。

導入時には毎日25以上の拠点を立ち上げていたそうで、3ヶ月あまりで1,200あまりの全拠点の開設を行なったそうです。このような迅速な展開が可能だったのはViptelaのSD-WANによるゼロタッチプロビジョニングのおかげです。既存の技術で構築していたら、はおそらく1年以上はかかったでしょう(時間がかかればコストもかかりますので大きなコスト削減になります)。

また、GAPはViptelaの持つ「セグメンテーション機能」を非常に積極的に使われていることも特徴的な点です。GAPはショッピングモールなどに多数の店舗を出店されており、さまざまな目的でネットワークを必要としていました。通常の社内システムを使うためのネットワーク、クレッジトカード情報を扱うためのPCI-DSSに準拠したネットワークだけでなく、ゲストWi-Fiやキオスク端末、IP電話などのためのネットワーク、さらにモール内で盗難防止用に設置してるビデオカメラ映像を見るためのネットワーク、などです。これらのネットワークはそれぞれセキュリティ的な要件や最適なトポロジーが異なります。例えば社内システムやクレジットカー情報を扱うネットワークはハブ&スポークなトポロジーにしてデータセンターにトラフィックを集約してIDS/IPS、ファイアウォールを経由させたいでしょう。一方、ゲストWi-Fiはデータセンターに集約するのは望ましくありません。ローカルからインターネットにExitさせたいはずです。その際、zScalerなどと連携をさる必要もあるかもしれません。また、IP電話やビデオ映像のトラフィックをデータセンターに集約するのも非効率です。サイト間で直接通信をさせた方が効率が良いですし、そもそも音声やビデオに対してIDS/IPSやファイアウォールができることはほとんどありませんので、センターに集約してもあまり意味がありません(既存のネットワークで音声やビデオのトラフィックがデータセンターのファイアウォールを通過しているとしたら、それはファイアウォールの性能を無駄遣いしているに過ぎません)。

Viptelaのセグメンテーションの機能を使うと、このようにセキュリティ要件やトポロジー要件が異なるネットワークを一つのWANの上に簡単に作り出すことができます。セグメントごとにトポロジー(フルメッシュ、ハブ&スポーク)を自由に構成できますし、サービスチェイニング機能でファイアウォールを通過させるトラフィックをセグメントごとにフレキシブルに設定することも可能です。

セグメンテーション機能がなかった場合に、上記のような複数の要件の異なるネットワークをWAN上に構築するのは大変なことです。それぞれのネットワークごとにキャリアのVPNサービスを個別に契約する(当然相当のコストがかかります)か、自分でVLANやVRFの設定などをする(設定は複雑ですしスケールさせるのも困難です)ことになりますが、いずれの場合でもネットワークの「面(スライス)」は作れても、面ごとにトポロジーの自由にコントロールをするのは難しいと言えるでしょう。

Segmentaton Challengesi
SD-WANを使わないセグメンテーション。いずれにしても困難が伴う。

Viptelaのセグメンテーション機能を使うと、要件の異なったネットワークをWAN上に構築でき、それを簡単にグローバルに展開できます。GAPがViptelaを採用した大きな動機の一つになったのはこのセグメンテーションの機能であったようです。

Segmentation by Viptela
Viptelaのセグメンテーション。物理ネットワークに依存いない。

セグメンテーションの件も含め、なぜGAPがSD-WANを採用したのか、そしてSD-WAN化する事で得られたメリットについて、INTEROPで彼らが発表した内容がここにありますので、興味がある方はぜひ目を通してみてください。

vEdge導入済み拠点と未導入拠点との相互疎通

昨日の「SD-WANへのスムーズなマイグレーション」では、各拠点にvEdgeを導入していく移行方法をご紹介しました。今日は、移行中の企業ネットワークにvEdge導入済みの拠点と導入前の拠点が混在している期間に、それらの拠点間で通信を継続するための方法をご紹介します。

なお、明日移行にご紹介する導入事例のいくつかで、今日ご紹介する方法が実際に使われています。Viptelaは北米を中心に大規模環境での豊富な導入実績をもち、数多くの移行事例があることも大きな安心材料と言えます。

vEdge導入済み拠点と未導入拠点との相互疎通

vEdgeは、BGP、OSPF、静的ルーティングなどの方法で、自分自身が設置された拠点のネットワーク(経路)を学習し、コントローラ(vSmart)に通知します (厳密には、経路情報が交換されていれば他の拠点のネットワークも学習しますが、メトリック等によりパス選択時に劣後されますので、ここでは無視します)。vSmartは企業ネットワークの全てのvEdgeからの通知をもとに、オーバーレイネットワークの経路とトポロジーを一元的に管理します。各vEdgeは、vSmartから配布された経路情報にもとづき、オーバーレイネットワークにて拠点間での相互疎通をにします。

vEdge導入前の拠点にはvEdgeがないため、企業ネットワーク内のいずれかのvEdgeが代表してその拠点の経路情報をvSmartに通知し、オーバーレイネットワークに参加させる必要があります。通常は、データセンターのvEdgeにその役割をもたせます。

Reachability_during_migration
vEdge導入済み拠点と未導入拠点との相互疎通

では、具体的な手法を見ていきましょう。ここでは、vEdge未導入の拠点を拠点A、導入済み拠点を拠点Bとします。拠点Aとデータセンター間は、従来の手法でネットワーク到達性があることが前提となります。拠点Bとデータセンターは、vEdgeがvSmart経由でお互いの経路情報を学習しています。必要となる手順は次の2ステップです。

  1. 拠点Aの経路をオーバーレイネットワーク(拠点B)に通知する
  2. オーバーレイネットワーク(拠点B)の経路を拠点Aに通知する

まず、データセンターに設置されたvEdgeに、拠点Aの経路をvSmartに通知させます。これにより、オーバーレイネットワークでは、拠点AはデータセンターのLAN側のネットワークかのように見えることになります。拠点Bで拠点A宛ての通信が発生した場合、拠点BのvEdgeはオーバーレイネットワークの経路情報にもとづき、データを単純にデータセンターのvEdgeに転送します。データセンターのvEdgeは拠点Aが実際にはオーバーレイネットワークではなく、既存ネットワーク(アンダーレイ)で到達可能であると知っていますので、既存ネットワークの経路情報にもとづいて、データをWANに送出します。このように、拠点Bから拠点Aへの通信はデータセンターvEdgeを経由して実現されます。

次に、データセンターのvEdgeは、オーバーレイネットワークで学習した拠点Bの経路情報を、既存ネットワークのBGPやOSPFに再配布します(再配布ではなく静的ルーティングも可能です)。これにより、拠点Aでは、拠点Bへの経路がデータセンターの先にあるということがわかります。拠点Aから拠点Bへの通信が発生した場合、拠点Aは経路情報にもとづき、データをデータセンターにむかってWANに送出します。データセンターのvEdgeは拠点Bがオーバーレイネットワークで到達可能であると知っていますので、オーバーレイネットワークの経路情報にもとづいて、拠点BのvEdgeにデータを転送します。このように、拠点Aから拠点Bへの通信もデータセンターvEdgeを経由して実現されます。

データセンターvEdgeの物理的な構成

上記の構成をとるために、データセンターのvEdgeは、実際にはWAN側に存在するネットワークをLAN側としてあつかう必要があります。vEdgeは同一物理インターフェースをWANとLANの両方で同時に直接扱うことができないため、物理構成に考慮が必要です。

シンプルな階として、タグVLANを使って同一物理インターフェースをサブインターフェースに分けて、WANとLANのそれぞれの構成を行う方法があります。ただ、既存ルータをリプレイスし、vEdgeをCEルータとして使う場合には、網側がタグVLANをサポートする必要があり多くの環境では現実的な選択肢ではありません。このため、移行期間中はデータセンターの既存WANルータを残す構成が一般的です。既存WANルータがあれば、タグVLANを使うことも容易です。また、上のスライドの図にあるように、vEdgeでWAN側とLAN側に物理インターフェースをそれぞれ割り当て、拠点Aの経路を実際にデータセンターのLAN側経由で学習させるという構成も広く使われています。

実際の移行設計や、付随する物理設計は、既存ネットワークの設計・構成に大きく依存しますので、詳細は弊社もしくは弊社のパートナー様に直接ご相談ください。

SD-WANへのスムースなマイグレーション

SD-WANを導入するにあたり、全く新規にネットワークを構築すること(いわゆる「グリーンフィールド」な案件)は稀だと思います。したがって既存のWAN環境に段階的にSD-WANを適用して行く必要があります。まずは数拠点でパイロット的な適用を行い、順次適用を拡大して行くわけですが、それがスムースに行えるかどうかは実はとても重要な要件です。機能の多少の多い少ないよりも、むしろこの既存環境からのスムースなマイグレーションができるかどうかのほうがSD-WANを採用する上で重要な判断材料と言ってもいいかもしれません。

ステップ1: LAN側でインテグレーション

ViptelaのSD-WANソリューションはこのマイグレーションがスムースにできるように設計されています。既存ネットワークとのインテグレーションに際し最も非破壊的なやり方は、既存のネットワーク(例えばMPLS環境)には全く手を加えず、それと並列に別の回線(例えばインターネット)をWAN回線に使用したvEdgeによるネットワークを作り、LAN側で二つのネットワークを統合する方法です。

既存ネットワークと並列に展開し、LAN側でインテグレーション
既存ネットワークと並列に展開し、LAN側でインテグレーション

このような構成を取れば、ある意味MPLSとインターネットによるハイブリッドなWAN環境を作ることができます。このような構成が可能なのは、vEdgeが既存のLAN環境で使われているルーティングプロトコル(典型的にはOSPFですが、BGPの場合もあるかもしれません)をフルにサポートしているからです。ルーティングプロトコルを使ってLAN側でインテグレーションするわけです。

ステップ2: ハイブリッドなネットワークを構成

一旦上記のような構成が取れれば、既存ネットワークに若干の設定変更(具体的にはvEdgeからMPLSのCEルータに足を伸ばしてやる)をすることで、今度はvEdgeがインターネットに加えてMPLS回線を使ったWANを使うことができるようになります。この構成ができれば、今までご紹介してきたさまざまなユースケース(アプリケーション種別によるWAN回線の使い分け、アプリケーションのSLAに応じたルーティング、など)をすべて利用することができます。

MPLS CEに足を伸ばして、ハイブリッドなネットワークを構成
MPLS CEに足を伸ばして、ハイブリッドなネットワークを構成

ステップ3: 既存CEルータを巻き取り

最終的にはMPLSのCEルータもvEdgeで巻き取って、全てvEdgeで構成をできればベストです。vEdgeはWAN側においてもBGPやOSPFを喋ることができますので、既存CEルータを置き換えるのに十分な機能を持っています。

既存CEルータをvEdgeで巻き取る
既存CEルータをvEdgeで巻き取る

いきなりこの最終形に持っていければ理想的ではありますが、実際には上記のように徐々に適用の対象を広めていき、最終的に全てをSD-WAN化するのがより現実的でしょう。

LAN側、WAN側両方においてvEdgeのルーティング機能は非常に充実しています。ルーティング機能はSD-WANに固有の話ではないので見落としがちですが、SD-WANへの移行設計をする際に非常に重要な要素になりますので注意するようにしましょう。

いずれにせよ移行期間中には既存ネットワークとの共存が必要になります。具体的にどのような構成を取れば良いのかについては次回に解説をしたいと思います。

vEdge 100mによるLTE回線の利用

vEdgeルータ製品ファミリー」の回でご紹介したように、vEdgeにはそれ自身でネイティブにLTE接続に対応するvEdge 100mというモデルがあります。今日は、このLTE回線を使ったユースケースやメリットをご紹介したいと思います。

vEdge 100mの概要

vEdge 100mvEdge 100b相当のハードウェアにLTE接続のためのモデムを内蔵したモデルです。MPLS、広域イーサネット、インターネットなどの従来のWAN回線を使いながら、同時にLTE接続もWAN回線の1つとして利用できます。

vEdge 100mには内蔵モデムの異なる複数のモデルがあります。日本国内で現在提供開始しているvEdge 100mNTT DocomoLTE回線に対応するvEdge 100m-NTと呼ばれるモデルです。vEdge 100mの背面にSIMカードを挿すスロットがあり、NTT DocomoのデータSIMカードを挿すことで、LTE回線に接続できます。また、NTT Docomoの回線を使用するNVMO (仮想移動体通信事業者)のデータSIMカードを使うという選択肢もあります。現在、OCN Mobile OneSORACOM AirIIJmioSIMカードで接続実績があります。他のNVMOを使われたいという場合には、事前に接続テストを実施いただけると安心です。

AUおよびSoftbankに対応したvEdge 100mのモデルについても、必要な認証等の作業が完了し次第、提供を開始したいと考えています。

LTE回線を使うメリット

LTE回線を使うメリットとしてよく挙げられるものが、下記の3つです。

  • 従来のWAN回線が提供されない地域でも利用できるケースがある
  • 通信量が少なければ安価に契約できる
  • 開通が早い、持ち運びが可能

アジアなど海外では、一般的な有線のWAN回線サービスが提供されていない地域でも、LTE接続は可能というケースは少なくありません。このような地域に拠点を持つ企業にとってvEdge 100mは魅力的なソリューションとなります。

国内では、フレッツのバックアップ回線としてADSLを使用していたような拠点で、ADSLの新規契約の停止や今後のサービス終了に対応するためにLTE回線の採用を検討する企業が増えています。

また、従来の回線サービスでは、開通までに月単位の時間を要することも珍しくありません。LTE回線の場合、SIMカードを購入しアクティベーション作業を実施するだけで接続することができます。また、LTE接続の提供地域内であれば、vEdge 100mをどこに運んでもそのまま使うことができます。移動を前提とした期間限定の拠点が必要な、イベント運営、工事現場、営業所などでは、LTE回線の利用は魅力的なソリューションとなります。

LTE回線の通信量についての考慮

本来LTE回線は大容量のデータを常時やりとりする目的で提供されている回線サービスではないため、通信量について上限がある、もしくは、通信が一定量を超えると回線速度が大きく制限される契約も多くあります。このような場合には、vEdgeの設定を変更することより、通信量を最小化することができます。

具体的には、コントロールコネクションの中で使用されるOMP (Overlay Management Protocol)のHelloパケット、IPsecトンネルの中で使用されるBFDパケット、および、Path MTU Discoveryの3つの定期的なパケット送出の間隔を大きく設定することができます。

また、バックアップ用途でLTE回線を使う場合、vEdgeのLast Resort Circuit機能が便利です。この機能では、他のすべてのWAN回線上のトンネルがダウンした場合にのみ自動的にLTE接続を有効化します。vEdgeがLTE回線以外のWAN回線でコントローラとの通信やデータの送受信を行える限り、LTE回線にはデータが一切流れないため、LTE回線の契約内容によってはコストメリットの大きい設定です。

LTE回線を使ったゼロタッチプロビジョニング

今月(201612)にリリース予定のソフトウェア16.3では、LTE回線を使ったゼロタッチプロビジョニングのサポートを計画しています。現在は、vEdge 100mをゼロタッチプロビジョニングで展開する場合、有線タイプのWAN回線を使用する必要がありました。16.3ではSIMカードに含まれる識別子を読み取ることで、接続先となるキャリアを判断し、適切な接続プロファイル (共通化されたユーザIDおよびパスワード)を自動的に読み込むようになります。このため、ゼロタッチでLTE回線に接続し、ゼロタッチプロビジョニングのプロセスを進めることができます。LTE回線のみの拠点にvEdgeを展開する場合だけでなく、併用する有線タイプのWAN回線でPPPoEが必須の場合にも、LTE回線をつかったゼロタッチプロビジョニングは有効です。

なお、複数のNVMOが同一の識別子を使用しているケースもあるため、全てのキャリアとNVMO事業者でゼロタッチプロビジョニングができるわけではありません。詳細は事前に弊社もしくは弊社のパートナー様までお問い合わせください。

Cloud Express:SaaS、クラウド環境をSD-WANで快適に

ViptelaのSD-WANソリューションは単にSD-WANを提供するだけにとどまりません。Viptelaが目指しているのは「クラウド/SaaSに最適化されたWANを提供する」ことです。「リージョナル/ローカルExit」もクラウド/SaaSに最適化されたネットワークを作るための一つの有効な方法であることは前回ご紹介しました。今回ご紹介する “Cloud Express” という機能は、単純なリージョナル/ローカルExitよりもさらにインテリジェントにSaaS/クラウドに最適化されたネットワークを提供することのできる機能で、Viptelaソリューションが持つ非常にユニークな機能の一つです。

課題はSaaS、クラウドへのラストマイル

「ユースケース:アプリケーション対応ルーティング」の回で説明した通り、vEdge間で張られているIPsecトンネルの中にBFDのパケットを流して、各トンネルの品質(遅延、ジッター、パケットロス率)を常に監視しています。フルメッシュなネットワークであればすべてのvEdgeの間でこれらを測定して各トンネルの品質を把握していますので、vEdgeのネットワーク内に関してはどのvEdge(例えばローカル、リージョナル、DC、など)Exitするのが最適であるのかを判断することができます。しかし、出口のvEdgeからSaaSサービスまでのネットワークの品質は分かりませんので、本当にどの出口からExitするのがいいのか判断をすることはできません。一般的にはローカルからExitする方が良好なパフォーマンスが得られる場合が多いと考えられますが、場合によってはDCから抜けた方が良い場合もあるかもしれないわけです。

Cloud ExpressでSaaS、クラウドをより快適に!

Cloud Expressはエンド〜エンドでSaaSアプリケーションの品質を監視します。具体的には、出口となるvEdgeからSaaSアプリケーションまでの遅延などをHTTP pingなどにより監視をして、vEdge内のネットワークの遅延と合計します。これによりSaaSアプリケーションにとって本当にどのExitポイントが最適なのかを判断し、それに基づいたポリシーを自動的に適用することにより、SaaSアプリケーションに最適なネットワークパフォーマンスを提供します。Cloud Expressは、まずはOffice 365、SharPoint、Salesforce.com、Dropbox、Box、WebExなど代表的なSaaSアプリケーションに対応します。

CloudXpress
Cloud ExpressはSaaS、クラウドアプリケーションに最適なパスを提供

Cloud Expressは2016年12月末リリース予定の16.3というソフトウェアリリースから利用可能になります。まだリリース前なので、具体的な画面などはソフトウェアがリリースされてから再度ご紹介をしようと思います。

Viptela SD-WANのオンプレ展開

Viptelaのコントローラコンポーネント(vBond, vSmart, vManage)は通常Viptelaが運用管理しているクラウド(これは現状AWS上にあります)にデプロイして利用するのが一般的です。コントローラのインフラストラクチャの運用管理をViptelaに任せることができるので、サービスを素早く立ち上げることができます。しかし、何かしらの理由でこれらのコントローラコンポーネントを自社設備(オンプレ)に立てたい、または、サービスプロバイダーなどが自前のパブリッククラウド上にデプロイして使いたい、という場合もあるかと思います。Viptelaのソリューションはオンプレ環境でもまったく問題なく利用をすることができます。

コントローラコンポーネントを動作させるハイパーバイザとしては、現在VMware ESXi及びKVMがサポートされており、それぞれOVA形式、QCOW2形式のイメージがが提供されています。2016年末にはこれらに加え、Hyper-V用のサポートが加わる予定です。

これらのコントローラコンポーネントはvEdgeからIP的な到達性さえあれば、パブリッククラウド、プライベートクラウド、オンプレ、どこにデプロイしても構いません。コントローラをオンプレにデプロイした際でも、Viptelaソリューションの持つすべての機能を利用することができます。このようにオンプレ環境にコントローラを置くことができますので、インターネット接続のない環境(完全クローズドなネットワーク環境)でもViptela SD-WANソリューションを使うことができます。

オンプレ環境でコントローラを立てる際には、vBond、vSmart、vManageで以下のようなスペックを満たす仮想マシン環境を用意する必要があります。

  • vBond
サイト数 vCPUs RAM OS用ボリューム 帯域 vNICS
1-50 2 4 GB 8 GB 1 Mbps 2 (トンネルI/F*1、マネージメントI/F*1)
51-250 2 4 GB 8 GB 2 Mbps 2 (トンネルI/F*1、マネージメントI/F*1)
251-1000 2 4 GB 8 GB 5 Mbps 2 (トンネルI/F*1、マネージメントI/F*1)
1001- 4 8 GB 8 GB 10 Mbps 2 (トンネルI/F*1、マネージメントI/F*1)
  • vSmart
サイト数 vCPUs RAM OS用ボリューム 帯域 vNICS
1-50 2 4 GB 16 GB 2 Mbps 2 (トンネルI/F*1、マネージメントI/F*1)
51-250 4 8 GB 16 GB 5 Mbps 2 (トンネルI/F*1、マネージメントI/F*1)
251-1000 4 16 GB 16 GB 7 Mbps 2 (トンネルI/F*1、マネージメントI/F*1)
1001- 8 16 GB 16 GB 10 Mbps 2 (トンネルI/F*1、マネージメントI/F*1)
  • vManage
サイト数 vCPUs RAM OS用ボリューム DB用ボリューム 帯域 vNICS
1-250 16 32 GB 16 GB 500 GB, 1500 IOPS 25 Mbps 3 (トンネルI/F*1、マネージメントI/F*1、クラスタ用メッセージバスI/F*1)
251-1000 32 64 GB 16 GB 1TB, 3072 IOPS 100 Mbps 3 (トンネルI/F*1、マネージメントI/F*1、クラスタ用メッセージバスI/F*1)
1001- 32 64 GB 16 GB 1TB, 3072 IOPS GB 150 Mbps 3 (トンネルI/F*1、マネージメントI/F*1、クラスタ用メッセージバスI/F*1)

ゼロタッチプロビジョニング

多数の拠点をもつ企業にとって、WANルータの管理は負荷の高いオペレーションです。特に、海外展開などにより物理的に離れた拠点が増えると、WANルータの管理にかかる運用コストも高くなります。ViptelaSD-WANソリューションでは、「vManageによるオーバーレイネットワークの管理」の回でご紹介した一元的な運用管理に加え、vEdgeの初期展開の負荷を大幅に軽減するゼロタッチプロビジョニング機能が提供されています。

ゼロタッチプロビジョニングによる展開

ゼロタッチプロビジョニングとは、工場出荷時状態のvEdgeをそのまま拠点に展開できる仕組みです。展開前もしくは展開時に、vEdgeに対して設定投入などの作業を一切する必要がないことから「ゼロタッチ」と呼ばれています。

ゼロタッチプロビジョニングの仕組み自体は非常にシンプルです。工場出荷時のvEdgeでは、物理インターフェースでDHCPクライアントが有効になっており、起動後にztp.viptela.comというサイトにアクセスするよう設定されています。このため、vEdgeDHCPサーバからIPアドレスを受け取り、DNSサーバでztp.viptela.comを名前解決することができれば、vEdgeztp.viptela.comにアクセスを試みます。

ztp.viptela.comは、ZTP(Zero Touch Provisioning)サーバと呼ばれるViptelaが運用するコンポーネントです。このサーバは、接続してきたvEdgeをセキュアに認証したうえで、所有者であるユーザ企業を特定し、適切なコントローラにリダイレクトさせます。vEdgeが所有するユーザ企業のコントローラに接続すると、コントローラはvEdgeを認証し、vManageのテンプレート機能を使用して必要な設定を適用します。この一連のプロセスは完全に自動化されています。

詐称による企業ネットワークへの不正侵入を防ぐため、ゼロタッチプロビジョニングにおいてvEdgeの認証を適切に行うことは極めて重要です。個々のvEdgeにはTPM(Trusted Platform Module)チップが内蔵されており、シリアル番号を含む証明書が記録されています。ZTPサーバやコントローラとの認証にはこのシリアル番号が使われます。物理的には読み取れないように処理された特殊なチップであるTPMチップを使うことで、vEdgeは詐称などのリスクを排除して適切に認証できるようになっています。ゼロタッチプロビジョニングはSD-WANを標榜する製品の中でよく見られる機能ですが、実際の動作仕様はそれぞれ異なり、実際には現場で個々のデバイスの認証を行う必要があるソリューションもあり注意が必要です。

機器故障によるリプレイス

万一vEdgeが機器故障を起こし、ハードウェア交換が必要となった場合、管理者は新しいvEdgeのシリアル番号に対して、それまで使っていたvEdgeの設定テンプレートとパラメーターを割り当てることができます。その後、新しいvEdgeを起動すると、ゼロタッチプロビジョニングによっての旧vEdgeの設定が自動投入されます。これにより、ハードウェア交換のプロセスは非常にシンプルなものとなります。

コールドスタンバイのvEdgeにはライセンスが必要ありません。vEdgeハードウェア自体は非常に安価に提供されていますので、予備のvEdgeを置いておくと、ハードウェア障害時にも、現場で即座に予備機に電源コードとLANケーブルを差し替えることでサイトの復旧が可能になります。WANルータがシンクライアントのように、簡単に扱うことができるようになるわけです。

PPPoE等の非DHCP環境でのプロビジョニング

前述の通り、ゼロタッチプロビジョニングが動作するためには、vEdgeはDHCPでIPアドレスを取得し、DNSサーバでztp.viptela.comを名前解決できる必要があります。日本で非常によくつかわれているPPPoEなどの非DHCP環境において、vEdgeを直接網につなぐためには、ゼロタッチプロビジョニングを使うことができません。

この場合、あらかじめインターネット接続のために必要な最低限の設定をvEdgeに追加することで、その後の処理はゼロタッチプロビジョニングと同様に自動化することが可能です。vEdgeの工場出荷時設定では、管理目的で192.168.1.1/24が割り当てられた物理ポートがあるほか、コンソール接続でもPPPoEの設定情報を投入できます。完全なゼロタッチではなく「ワンタッチ」となりますが、拠点での実際の作業は電源コードとLANケーブルをつなぐだけという点に違いはありません。

このように、ViptelaのSD-WANソリューションでは、ゼロタッチプロビジョニングによりvEdgeの初期展開およびハードウェア交換にともなう企業の負荷を大幅に軽減しています。