VMware SD-WANのベストプラクティス
はじめに
前回は「VMware SD-WAN」の機能から、他社のSD-WAN製品では実現できない特徴的な機能を解説しました。今回は、VMware SD-WANを導入する際に、どのような構成にするべきか、どのような点に注意するべきかを紹介します。
従来WANの課題
まずは、VMware SD-WANの導入を検討するにあたり、一般的な企業のWAN構成を例に考えていきたいと思います。
日本の多くの会社では、本社もしくはデータセンターと全国を結ぶ拠点間は、品質が高く帯域保証型の閉域網をメイン回線として利用し、安価でベストエフォート型のブロードバンド回線をバックアップ回線として利用する構成が主流となっていました。また、業務アプリケーションサーバも社内にあり、インターネットにアクセスするときだけ、本社やデータセンター経由で行っていたため、現在と比べてインターネットアクセスのトラフィック量も大きな問題となることがなく、快適に業務を行うことができていました(図1)。
ところが、業務アプリケーションのクラウド利用と大容量コンテンツ利用の増加により本社~拠点間の通信量が劇的に増加し、回線容量の圧迫とプロキシサーバの負荷増大に悩まされる企業が多くなってきました。また、アプリケーションの多くがSSL通信を行うようになったことで単純にファイアーウォールによる通信制御ができなくなり、アプリケーションごとの通信制御の必要性も出てきています。
VMware SD-WANはこれらの課題を解決するために、各拠点のRouterを置き換えることでアプリケーションの可視化を実現し、通信経路を制御します(図2)。なお、Routerを置き換えることを前提としていますが、既存のネットワーク構成を踏まえて、いくつかのパターンから導入方法を選択できます。
拠点への導入パターン
拠点における導入では、VMware SD-WAN Edgeが拠点内の全トラフィックのデフォルトゲートウェイとなる「In-Path」構成と、LAN内のL3スイッチがデフォルトゲートウェイとなり、その上位にVMware SD-WAN Edgeを設置する「Off-Path」構成を選択できます。
In-Path構成
拠点内のLANをL3スイッチやL2スイッチのみで構成しており、VMware SD-WAN Edge が全トラフィックのデフォルトゲートウェイとなりDHCP環境で運用している場合は簡単に移行を実施できます(図3)。ただしVMware SD-WAN Edgeが障害となる場合はトラフィックに影響が発生してしまうため、HA構成で導入することをお勧めします。
Off-Path構成
全トラフィックのデフォルトゲートウェイがL3スイッチとなっており、その上位にVMware SD-WAN Edgeが設置されるため、VMware SD-WAN Edgeに障害が発生しても自動的にもう一方の回線に切り替えることができます(図4)。
データセンターへの導入パターン
データセンターにおける導入では、インターネットゲートウェイであるルータやファイアーウォールはそのままに、VMware SD-WAN Edgeを「Two-Arm」モードや「One-Arm」モードを選択できます(図5)。
Two-Armモードはオーバーレイとアンダーレイのインタフェースが明確に分かれているため、ネットワーク構成がシンプルで制御しやすいのが特徴です。一方のOne-Armモードは1物理インタフェースでオーバーレイとアンダーレイ通信を行う構成となるため、既存のネットワークへの影響を最小限にできます。
いずれのモードも既存ネットワークの構成に柔軟に対応できるため、構成や影響度に応じて選択してください。
なお、データセンターをBackhaul Hubとして各拠点からの通信をデータセンター経由とする場合は、UDP 2426を使用してHubとなるVMware SD-WAN Edgeに各拠点からインターネット越しにアクセスできる必要があるため、データセンターのインターネットゲートウェイでVMware SD-WAN Edgeにポートフォワードの設定を行ってください。
ファイアーウォールとVMware SD-WAN Edgeの構成
拠点毎にファイアーウォールを設置し、通信の制御やアプリケーションの可視化を行っている場合は、VMware SD-WAN Edgeとファイアーウォールのネットワーク構成によってネットワークデザインが変わってくるため、注意が必要です。
一般的には、ファイアーウォールによる通信制御が可視化に影響が出ないよう、VMware SD-WAN Edgeをファイアーウォールの外側に設置する構成にすべきでしょう。逆の構成にするとオーバーレイに転送されたトラフィックが暗号化されてしまい、ファイアーウォールで通信を制御できなくなります(図6)。
Cloud VPNによるオーバーレイネットワークの構築
従来の拠点間VPNは機器毎にVPN接続設定を行っていましたが、VMware SD-WAN EdgeはCloud VPN機能によりワンクリックでVPNの展開を実現します。面倒なN×Nの手動トンネル設定は不要となるほか、VeloCloudを導入していない拠点のレガシールータとIPsecによる相互接続も可能となります。
閉域網やインターネット網を併用している拠点の場合、Cloud VPNによるオーバーレイネットワークを構築しなくても、ルーティング制御のみで閉域網による拠点間通信は可能となりますが、ビジネスポリシーの優先制御や帯域制御を利用する場合はオーバーレイネットワークの設定が必須となるため忘れずに構築してください(図7)。
アンダーレイとオーバーレイのルーティング
VMware SD-WAN Edgeによるルーティングは従来の物理ネットワークであるアンダーレイのネットワークと、VMware SD-WAN Edge同士による仮想的なオーバーレイのネットワークがあります。これらのネットワーク間はVeloCloud Controllerにより経路情報を交換していますが、双方からある拠点の経路情報を学習した場合は、どちらの経路情報を参照して通信すべきか判断できなくなってしまいます。ルーティングを行う際の注意事項として、オーバーレイから学習した経路情報はアンダーレイに再配信しないようルーティングをデザインすることが基本です。
また、これらの制御はスタティック、OSPF、BGPなどのルーティング制御とは別にオーバーレイフローコントロール(OFC)機能によって実現しています。
オーバーレイフローコントロールは各VMware SD-WAN Edgeが学習したすべての経路情報とそれに対する接続ポイントをOFCテーブルとして保持しており、この情報にオーバーレイへ再配布する学習経路の制御と、オーバーレイからアンダーレイへの接続ポイントに対する優先度付けを行っています。
ルーティングはOFCによる適切なフィルタリングと経路情報の管理がポイントとなるため、ベストプラクティスに沿った設計を推奨します。
ハードウェアとライセンス、エディションの選択
最後に、ハードウェアとライセンス、エディションの選択について解説します。
ハードウェアとライセンスの選択
まず、ハードウェア毎に最大スループット、VPNトンネル数、ポート数が異なるため、要件に応じて選択します。次にオーバーレイで使用する帯域のライセンスを選択しますが、オーバーレイの最大スループットをライセンスにより段階的に許可する仕組みとなっているため、余裕を持った帯域を選択してください。例えば、オーバーレイで350Mbpsの帯域が必要である場合は、Edge610以上の中から選択することになります(表1)。
エディションの選択
エディションは用途に応じて3つに分類されています。必要な機能をサポートしたエディションを選択してください。限定した環境向けで価格を抑えた「Standard」、一般的な環境で標準機能を提供する「Enterprise」、クラウドゲートウェイによるSaaSサービスやレガシールータとの接続まで対応する「Premium」に分かれていますが(表2)、クラウドゲートウェイによるSaaSサービスを利用しなければEnterpriseの選択で良いでしょう。
おわりに
今回は、VMware SD-WANを導入する際に、どのような構成にするべきか、どのような点に注意するべきかを紹介しました。
次回は、VMware SD-WANを導入したことで得られるベネフィットについて紹介します。特に、回線品質の自動識別により、どれくらいのコスト削減効果があるのかを詳しく解説します。