VMware SD-WAN by VeloCloudを導入する際に、どのような構成にするべきか、どのような点に注意するべきか、今までの導入実績を踏まえて紹介していきます。

従来WANの課題

まずは、VMware SD-WAN by VeloCloudの導入を検討するにあたり、一般的な企業のWAN構成を例に考えていきたいと思います。

日本の多くの会社では、本社もしくはデータセンターと全国を結ぶ拠点間は、品質が高く帯域保証型の閉域網をメイン回線として利用し、安価でベストエフォート型のブロードバンド回線をバックアップ回線として利用する構成が主流となっていました。また、業務アプリケーションサーバも社内にあり、インターネットにアクセスするときだけ、本社やデータセンター経由で行っていたため、現在と比べてインターネットアクセスのトラフィック量も大きな問題となることがなく、快適に業務を行うことができていました。

ところが、業務アプリケーションのクラウド利用と大容量コンテンツ利用の増加により本社～拠点間の通信量が劇的に増加し、回線容量の圧迫とプロキシサーバの負荷増大に悩まされる企業が多くなってきました。また、アプリケーションの多くがSSL通信を行うようになったことで単純にファイアーウォールによる通信制御ができなくなり、アプリケーションごとの通信制御の必要性も出てきています。

VMware SD-WAN by VeloCloudはこれらの課題を解決するために、各拠点のRouterを置き換えることでアプリケーションの可視化を実現し、通信経路を制御します(図2)。なお、Routerを置き換えることを前提としていますが、既存のネットワーク構成を踏まえて、いくつかのパターンから導入方法を選択できます。

拠点への導入パターン

拠点における導入では、VMware SD-WAN Edgeが拠点内の全トラフィックのデフォルトゲートウェイとなる「In-Path」構成と、LAN内のL3スイッチがデフォルトゲートウェイとなり、その上位にVMware SD-WAN Edgeを設置する「Off-Path」構成を選択できます。

In-Path構成

拠点内のLANをL3スイッチやL2スイッチのみで構成しており、VMware SD-WAN Edge が全トラフィックのデフォルトゲートウェイとなりDHCP環境で運用している場合は簡単に移行を実施できます(図3)。ただしVMware SD-WAN Edgeが障害となる場合はトラフィックに影響が発生してしまうため、HA構成で導入することをお勧めします。

Off-Path構成

全トラフィックのデフォルトゲートウェイがL3スイッチとなっており、その上位にVMware SD-WAN Edgeが設置されるため、VMware SD-WAN Edgeに障害が発生しても自動的にもう一方の回線に切り替えることができます。

データセンタへの導入パターン

データセンターにおける導入では、インターネットゲートウェイであるルータやファイアーウォールはそのままに、VMware SD-WAN Edgeを「Two-Arm」モードや「One-Arm」モードを選択できます。

Two-Armモードはオーバーレイとアンダーレイのインタフェースが明確に分かれているため、ネットワーク構成がシンプルで制御しやすいのが特徴です。一方のOne-Armモードは1物理インタフェースでオーバーレイとアンダーレイ通信を行う構成となるため、既存のネットワークへの影響を最小限にできます。

いずれのモードも既存ネットワークの構成に柔軟に対応できるため、構成や影響度に応じて選択してください。

なお、データセンターをBackhaul Hubとして各拠点からの通信をデータセンター経由とする場合は、UDP 2426を使用してHubとなるVMware SD-WAN Edgeに各拠点からインターネット越しにアクセスできる必要があるため、データセンターのインターネットゲートウェイでVMware SD-WAN Edgeにポートフォワードの設定を行ってください。

 

次回は、構成やルーティングについて紹介します。