前回は、データセンタや拠点への導入パターンについて紹介しました。今日は構成やルーティングについて説明していきます。

ファイアーウォールとVMware SD-WAN Edgeの構成

拠点毎にファイアーウォールを設置し、通信の制御やアプリケーションの可視化を行っている場合は、VMware SD-WAN Edgeとファイアーウォールのネットワーク構成によってネットワークデザインが変わってくるため、注意が必要です。

一般的には、ファイアーウォールによる通信制御が可視化に影響が出ないよう、VMware SD-WAN Edgeをファイアーウォールの外側に設置する構成にすべきでしょう。逆の構成にするとオーバーレイに転送されたトラフィックが暗号化されてしまい、ファイアーウォールで通信を制御できなくなります。

Cloud VPNによるオーバーレイネットワークの構築

従来の拠点間VPNは機器毎にVPN接続設定を行っていましたが、VMware SD-WAN EdgeはCloud VPN機能によりワンクリックでVPNの展開を実現します。面倒なN×Nの手動トンネル設定は不要となるほか、VeloCloudを導入していない拠点のレガシールータとIPsecによる相互接続も可能となります。

閉域網やインターネット網を併用している拠点の場合、Cloud VPNによるオーバーレイネットワークを構築しなくても、ルーティング制御のみで閉域網による拠点間通信は可能となりますが、ビジネスポリシーの優先制御や帯域制御を利用する場合はオーバーレイネットワークの設定が必須となるため忘れずに構築してください。

アンダーレイとオーバーレイのルーティング

VMware SD-WAN Edgeによるルーティングは従来の物理ネットワークであるアンダーレイのネットワークと、VMware SD-WAN Edge同士による仮想的なオーバーレイのネットワークがあります。これらのネットワーク間はVeloCloud Controllerにより経路情報を交換していますが、双方からある拠点の経路情報を学習した場合は、どちらの経路情報を参照して通信すべきか判断できなくなってしまいます。ルーティングを行う際の注意事項として、オーバーレイから学習した経路情報はアンダーレイに再配信しないようルーティングをデザインすることが基本です。

また、これらの制御はスタティック、OSPF、BGPなどのルーティング制御とは別にオーバーレイフローコントロール(OFC)機能によって実現しています。

オーバーレイフローコントロールは各VMware SD-WAN Edgeが学習したすべての経路情報とそれに対する接続ポイントをOFCテーブルとして保持しており、この情報にオーバーレイへ再配布する学習経路の制御と、オーバーレイからアンダーレイへの接続ポイントに対する優先度付けを行っています。

ルーティングはOFCによる適切なフィルタリングと経路情報の管理がポイントとなるため、ベストプラクティスに沿った設計を推奨します。

ハードウェアとライセンス、エディションの選択

まず、ハードウェア毎に最大スループット、VPNトンネル数、ポート数が異なるため、要件に応じて選択します。次にオーバーレイで使用する帯域のライセンスを選択しますが、オーバーレイの最大スループットをライセンスにより段階的に許可する仕組みとなっているため、余裕を持った帯域を選択してください。例えば、オーバーレイで350Mbpsの帯域が必要である場合は、Edge610以上の中から選択することになります。

00:00

エディションは用途に応じて3つに分類されています。必要な機能をサポートしたエディションを選択してください。限定した環境向けで価格を抑えた「Standard」、一般的な環境で標準機能を提供する「Enterprise」、クラウドゲートウェイによるSaaSサービスやレガシールータとの接続まで対応する「Premium」に分かれていますが(表2)、クラウドゲートウェイによるSaaSサービスを利用しなければEnterpriseの選択で良いでしょう。

 

2回にわたって、VMware SD-WAN by VeloCloudを導入する際に、どのような構成にするべきか、どの16：54ような点に注意するべきかを紹介しました。