今までのネットワークはオンプレ環境にある物理機器にテラタームからのリモート接続やコンソールケーブルでログインし設定を変更していました。
しかし昨今、新しいネットワーク技術として注目されているSDNその中の技術の1つであるSD-WANに関して今回は説明していきます。
#SD-WAN(Software-defined Wide Area Network)
直訳するとソフトウェアで定義されたWANになります。これは最初にヒトの手で仮想的なネットワーク環境を構築したら、その後の運用はvManageと呼ばれる中央のコンソール上にあるソフトウェアによるGUI画面を通じて、すべての拠点を一元管理、可視化することができるようになります。またソフトウェアということもありREST-API機能を使用したプログラミングによる設定の自動化にも対応しているのでケーブルの誤った抜栓などの人為的なミスの削減にも対応している技術となります。
##SD-WANを構成する要素
###vEdge
データセンター、キャンパス、支店などに設置される物理ルーター
対応ルーターはこちらを参照
vEdgeの上にvSmartが設置されvManageの設定変更内容を送信する。
###vBond
オーケストレータ的な役割をするもので、vEdgeのブートストラップ時やNATトラバーサルをする。
###vSmart
vEdge間でのルーティング情報交換の中継、vManageから学習したポリシーをvEdgeに送信する橋渡し的な役割。
###vManage
SD-WAN環境全体の設定変更や状態確認を行うコンポーネント。
管理者はvManageにwebからアクセスして、GUIによる管理画面経由で設定を操作する。
###OMP(Overlay Management Protocol)
BGPをベースにしたViptela独自のルーティングプロトコル。
拠点間のルーティングとIPsecの鍵計算を行う。
BGPはこちらの記事参照
###DTLS(Datagram Transport Layer Security)
L2,L3層の送受信単位であるデータグラムを扱うプログラムがやり取りするデータを暗号化して送受信するプロトコル
###BFD(Bidirectional Forwarding Detection)
2台の隣接するルータ間の転送パスの生存状況を調べて、高速に障害を検知してルーティングプロトコルに通知する機能
###オーバーレイネットワーク
オンプレミスなど物理的なネットワークの上、つまりインターネット空間に構築された仮想的なネットワークのこと。オーバーレイネットワークを使用した通信技術の代表例がVPN
#VPN
SD-WAN環境において暗号化された通信を支える技術
詳細はこちらの記事参照
##SD-WAN環境で使用するVPNの種類
転送VPN 番号0
WAN側のインターフェイスを介して制御トラフィックを伝送するVPN
サービスVPN 番号1-511
サービス側データトラフィック用(LAN側)のvEdgeルーター上のVPN
管理VPN 番号512
オーバーレイネットワーク内のViptelaデバイス間で帯域外ネットワーク管理トラフィックを伝送
#構築ネットワーク Cisco CMLにて作成
##投入コンフィグ
system
host-name TEST_vEdge01
system-ip 1.1.1.1
site-id 1
organization-name "TEST01"
vbond 172.16.10.21
!
vpn 0 ※転送VPN
interface ge0/0
ip address 172.16.1.1/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict ※パブリック向けカラー
max-control-connections 0 ※インターネット空間への通信を禁止
!
no shutdown
!
interface ge0/1
ip address 172.20.1.1/24
tunnel-interface
encapsulation ipsec
color metro-ethernet restrict ※プライベート向けカラー
max-control-connections 5
!
no shutdown
!
ip route 0.0.0.0/0 172.16.1.254
ip route 0.0.0.0/0 172.20.1.2
!
vpn 11 ※サービスVPN
interface ge0/2
ip address 10.1.1.1/24
no shutdown
!
system
host-name TEST_vEdge02
system-ip 2.2.2.2
site-id 2
organization-name "TEST02"
vbond 172.16.10.21
!
vpn 0 ※転送VPN
interface ge0/0
ip address 172.16.2.2/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict ※パブリック向けカラー
max-control-connections 0 ※インターネット空間への通信を禁止
!
no shutdown
!
interface ge0/1
ip address 172.20.1.2/24
tunnel-interface
encapsulation ipsec
color metro-ethernet restrict ※プライベート向けカラー
max-control-connections 5
!
no shutdown
!
ip route 0.0.0.0/0 172.16.2.254
ip route 0.0.0.0/0 172.20.1.1
!
vpn 11 ※サービスVPN
ecmp-hash-key layer4
interface ge0/2
ip address 20.1.1.2/24
no shutdown
!
##結果
TEST_vEdge01# show control connections | tab
LOCAL CFG V
PEER SITE DOMAIN LOCAL PRIVATE PUBLIC SYSTEM PRIVATE CONTROLLER SYSTEM ORG BEHIND
INSTANCE TYPE ID ID PRIVATE IP PORT PUBLIC IP PORT IP PROTOCOL LOCAL COLOR REMOTE COLOR PRIVATE IP PORT STATE UPTIME GROUP ID IP NAME PROXY
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vbond 0 0 172.20.1.1 12426 172.16.10.21 12346 0.0.0.0 dtls metro-ethernet metro-ethernet 172.16.10.21 12346 connect - 0 - - -
TEST_vEdge01#
TEST_vEdge02# show control connections | tab
LOCAL CFG V
PEER SITE DOMAIN LOCAL PRIVATE PUBLIC SYSTEM PRIVATE CONTROLLER SYSTEM ORG BEHIND
INSTANCE TYPE ID ID PRIVATE IP PORT PUBLIC IP PORT IP PROTOCOL LOCAL COLOR REMOTE COLOR PRIVATE IP PORT STATE UPTIME GROUP ID IP NAME PROXY
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vbond 0 0 172.20.1.2 12426 172.16.10.21 12346 0.0.0.0 dtls metro-ethernet metro-ethernet 172.16.10.21 12346 connect - 0 - - -
TEST_vEdge02#