最適な経路を実現 ビジネスポリシーによる経路動作①
はじめに
先日10月20,21日に開催されました”VMware SASE Partner Roadshow”(2日間)に参加してきました。VMware SASEの担当者13名?が来日され、
1日目(Day1)は、VMware SASEとは?から最新のRoadmapやコンペ情報など、なかなかの聞き応えのある内容でした。
2日目(Day2)は、エンジニア向けにVMware SD-WANからVMware SASEのコンポーネントであるSecure AccessやCWS(Cloud Web Security)の勉強会が開催されました。
2日目の勉強会は、VMware SD-WAN/SASEの担当者による講義のため、今までふわふわっとしていた疑問点について、答えてくれるなど、こちらも大変良い内容でした。
Day1 :入り口
Day2:田町の新オフィスで開催
エントランスからの眺めが素晴らしい!!
勉強会で思うところ
とはいえ、Day2の勉強会は、VMware SD-WAN/SASEを触ったことない方向けの内容となり、当方のように従来から触っている方にとっては、少し物足りない点があった事も事実です。実際に設計や構築するにあたり、情報量が足りないかなーっと思いました。
そのため今回はそんな思いから、急遽具体的に役立つ技術情報を投稿しようかなっと思いつき、VMware SD-WANならではのビジネスポリシーの経路動作についてご紹介しようと思います。
ビジネスポリシーとは?
端的には、"アプリケーションのに対する制御"です。具体的には、マッチした条件によって、通信経路や回線、QoSやNATなど様々な処理を施すことができる、FWのポリシールールのような技術になります。
※今回はビジネスポリシーについて、詳しく説明・記載しません。
よくSD-WANの謳い文句として"最適な通信経路を〜"とありますが、それはこのビジネスポリシーによって実現されます。
最適な通信経路とは?
SD-WANといえば、"アプリケーション別に最適な通信経路を実現"と、謳われておりますが、そもそも最適な通信経路ってなんでしょうか?
明確な答えはなく、NWの構成や会社(担当者)の考えなどによって、変わってくると思います。そのため、同じアプリケーションでも、ある会社は、こういう動き、別の会社では、別の動き、と様々な動作になります。ここで大事なのは、そういった動作(通信経路)を決めて実現する(できる)ということです。
VMware SD-WANでは、それができます。
経路動作の説明
ネットワークを説明するには、図が1番、と思っておりますので、今回は下記の構成を用意しました。
左下のEdgeは一般的な拠点を想定しており、この拠点を起点として様々な経路を使って、Saasやサーバ(SV)にアクセスします。
今回用意した設定画面は、全て左下のEdgeの設定になります。
右下のEdgeはデータセンターを想定し、Hubとして動作しております。データセンターには別途インターネット接続しているルータ(R)があります。
インターネット上には、CSS(ZscalerのようなSSE)があります。SD-WAN GatewayとIPsec VPN接続がされておりますが、左下のEdgeともIPsec VPN接続がされております。
左上には、NSD(Non SD-WAN Destination)があります。NSDはSD-WAN以外の接続先のことで、シスコルータやAWSなどのように異種間接続で、他拠点との接続を示しております。NSDはCSSと同様に、SD-WAN GatewayとIPsec VPN接続(NSD via Gateway接続)をしており、拠点EdgeともIPsec VPN接続(NSD via Edge接続)がされております。
ビジネスポリシーを簡単に説明
説明すると長くなるので、今回は割愛します。
わかりやすくい説明が書かれているサイトがありましたので、こちらをご参照ください。
経路動作1(ローカルブレイクアウト)
はじめはローカルブレイクアウト。拠点Edgeから直接Saas(Webサイトなど)へアクセスする経路です。
宛先:インターネット
ネットワークサービス:ダイレクト
経路動作2(クラウドゲートウェイ経由のインターネット接続)
クラウドゲートウェイを経由したインターネット接続です。Edgeとクラウドゲートウェイの間はSD-WANオーバーレイが構成されております。ローカルブレイクアウトでは解決できない、拠点回線の不良に対応することができます。
宛先:インターネット
ネットワークサービス:マルチパス
経路動作3(Hub経由のインターネット接続)
Hub、この場合はデータセンターを経由したインターネット接続です。この接続はインターネットバックホールと呼ばれる動作になります。この動作はインターネット接続をする直接的な動作ではなく、インターネット接続をするトラフィックをHubへ送信する動作になります。そのため、この設定をしてもHubの設定によってその後の動作が変わってきます。
宛先:インターネット
ネットワークサービス:インターネットバックホール▶︎バックホールHubを指定
この場合、Hubにとってローカルブレイクアウトの動作をすれば、下記の図の通りHubの回線から直接インターネット接続がされます。(青線の動作)
一方で、データセンターにある別のルータからインターネット接続させたい場合、インターネットへの経路をルータへ向ければ良いわけです。(青線の動作)
経路動作4(クラウドゲートウェイ▶︎NSD経由のインターネット接続)
経路動作3のHubをNSDにした動作になります。NSDへの接続方法はクラウドゲートウェイを使います。クラウドゲートウェイを使うことで、全ての拠点Edgeが同じ経路設定でNSDを利用することができます。先ほどと同様にインターネット接続をするトラフィックをNSDへ送信する動作になるため、実際の動作はNSD次第になります。
一点大事な注意点。この経路動作4は3rd PartyのSSE(Zscalerなど)との接続にも利用されます。CSSとの違いは?と疑問があるかと思いますが、CSSは、Edgeと3rd PartyのSSEが直接接続するケースで利用されます。
宛先:インターネット
ネットワークサービス:インターネットバックホール▶︎NSD via GWを指定
経路動作5(直接NSD経由のインターネット接続)
経路動作3のHubをNSDにした動作になります。NSDへの接続方法は直接接続になります。そのため、この方法を使用する場合は、全ての拠点EdgeをNSDとIPsec VPN設定をさせる必要があります。先ほどと同様にインターネット接続をするトラフィックをNSDへ送信する動作になるため、実際の動作はNSD次第になります。
宛先:インターネット
ネットワークサービス:インターネットバックホール▶︎NSD via Edgeを指定
経路動作6(直接CSS経由のインターネット接続)
経路動作3のHubをCSSにした動作になります。CSSへの接続方法は直接接続になります。そのため、この方法を使用する場合は、全ての拠点EdgeをCSSとIPsec VPN設定をさせる必要があります。設定上、CSSとNSD vis Edgeは明確に違う設定となっておりますが、経路動作5と似ているためか、ビジネスポリシーの設定もほぼ同じになっております。
宛先:インターネット
ネットワークサービス:インターネットバックホール▶︎CSSを指定
経路動作7(拠点間接続)
経路動作1〜6まではインターネット接続の動作でしたが、経路動作7~9は拠点間接続の動作になります。経路動作7では、Edge間の接続になります。この図では、Hubとひとつの拠点(Spoke)のみ表現しておりますが、拠点間接続(B2B VPN)でも、この経路動作が該当します。その場合は、拠点(Spoke)→Hub→拠点(Spoke)の経路になります。
宛先:Edge
ネットワークサービス:マルチパス
経路動作8(クラウドゲートウェイ経由NSDと拠点間接続)
クラウドゲートウェイを経由した、NSDとの拠点間接続になります。経路動作4と似てますが、あくまでNSDの先にあるローカル接続を目的としております。
宛先:NSD via GW
ネットワークサービス:マルチパス
経路動作9(直接NSDと拠点間接続)
拠点EdgeとNSDと直接IPsec VPNを構成し、その経路を使ってNSDと拠点間接続を行います。この接続方式ではSD-WANオーバーレイが使われないため、ネットワークサービスは、"ダイレクト"になります。こちらも経路動作5と似てますが、あくまでNSDの先にあるローカル接続を目的としております。
宛先:NSD via Edge
ネットワークサービス:ダイレクト
ビジネスポリシーのルールセット
ビジネスポリシーは、上記のルールをぽちぽち作成し、下図のようなルールセットとして、ProfileやEdgeに適用する、そんな動作になります。詳細は後日まとめたいと思います。
さいごに
今回はビジネスポリシーによる経路動作をまとめました。
SD-WANによる最適な経路は、上記の組み合わせによって実現することができます。技術的にまだご紹介していない内容や細かいところは省略しましたが、かなり読み応えのある内容になったかと思いますので、皆様のお役に立てれば幸いです。次回はリンクステアリングについて書きたいと思います。
本日のむーたん
