はじめての VMware SD-WAN by VeloCloud 第3回
クロスサイド 鈴木です。
クロスサイドはVMware SD-WANの導入支援を数多く提供しています。
今回はそんなSD-WANの魅力を伝えるために、全5回でVMware SD-WANのハンズオンシナリオを紹介します。第3回では拠点間のVPNを構築する操作を説明します。
SD-WAN コンポーネントの一覧
VMware SD-WANは「VMware SD-WAN Orchestrator」「VMware SD-WAN Gateway」「VMware SD-WAN Edge」の3つのコンポーネントで構成されます。多くの解説資料では一丁目一番地で説明される事が多い概念ですが、当ブログではある程度の実機操作をした後の方がイメージが湧きやすいかと思い、第3回で説明します。実機を触る前に、まずはこの3つのコンポーネントについて理解しましょう。
当ブログではVMware SD-WAN初心者がイメージを湧きやすい説明を載せます。正式な定義は「管理ガイド/ソリューションのコンポーネント」を参照ください。
VMware SD-WAN Orchestrator (旧名:VCO:VeloCloud Orchestrator)
第2回で操作した画面がSD-WAN Orchestratorです。SD-WAN Orchestratorは、各拠点機器の設定や監視の一元管理をします。第2回では説明を省略しましたが、SD-WAN Orchestratorは以下スクリーンショットが示すようにSD-WAN Edgeを経由したフローの統計情報を記録します。
また、SD-WAN Orchestratorは各拠点のネットワーク情報を収集し巨大なVPN網を構築します。このVPN網はオーバーレイネットワークと呼ばれイメージ図で表すと以下のようになります。オーバーレイネットワークは第3回の後半で説明します。
VMware SD-WAN Gateway (旧名:VCG:VeloCloud Gateway)
VMware SD-WAN Gatewayは非常に多くの役割を提供します。このブログでは敢えて、「管理ガイド/ソリューションのコンポーネント」に記載されていない機能を紹介します。
VMware SD-WAN Gatewayはインターネット上に配置されるコンポーネントです。SD-WAN EdgeとSD-WAN Gatewayの間でパケットを送受信する事で、SD-WAN Edgeを監視したり回線速度を計測したりします。
また、SD-WAN EdgeとSD-WAN Gatewayの間でVCMPトンネルと呼ばれる高信頼性のトンネルを確立する事によって通信の信頼性を向上させます。
VMware SD-WAN Edge (旧名:VCE:VeloCloud Edge)
VMware SD-WAN Edgeは各拠点に配置される機器です。Hub拠点にはハイエンドの3000番台の機器を導入し、Branch拠点はローエンドの500番代や600番代の機器を導入するケースが多く見られます。
どの機器を導入すべきかは、VMware社が公開している性能テスト結果「管理ガイド/SD-WAN Edge のパフォーマンスとスケール データ」を参考にしてください。
ハンズオンの構成
構成図
このハンズオンシナリオでは下図に示す3拠点の構成を例に挙げ、拠点間でVPNを確立する操作を説明します。各拠点のSD-WAN Edgeはアクティベーション操作が完了しているものとします。第2回でHub拠点のアクティベーション操作を説明しましたが、Branch拠点も同様の操作をしアクティベーションが完了している状態を前提とします。
前提条件の確認
後続設定の都合上、Hub拠点とBranch拠点で異なるプロファイルを作成ください。拠点間のVPN設定は、Hub拠点とBranch拠点で異なる定義が必要です。
全ての拠点で「状態」列が「コネクト」で「リンク」列が「1以上」である事を確認ください。「リンク」列はVCMPが確立されているインターフェース数を表します。ここまでの設定が正常ならば、SD-WAN EdgeとSD-WAN Gatewayの間でVCMPトンネルが確立されます。
もし、VCMPトンネルが確立されていないならば、SD-WAN EdgeとSD-WAN Gatewayの間でudp 2426の疎通ができるかどうかを確認ください。VCMPトンネルはudp 2426でカプセル化されたパケットです。
Cloud VPN
Cloud VPNの有効化
多拠点を管理するにあたり、IPsec設定の手間は運用上の悩みの種です。拠点数が増えると、拠点数の2乗に比例して拠点間のIPsec設定が増えます。多くのSD-WAN製品はIPsec製品を簡素化する仕組みを設けていますが、特にVMware SD-WANはIPsec設定が非常に簡単です。VMware SD-WANが必要とするIPsec設定は「どの拠点をHubとするか」だけです。
それでは実際にハンズオンシナリオを見て、VMware SD-WANがどの程度の簡単さなのかを体験しましょう。
まずはHub拠点の設定をします。Hub拠点のプロファイルの設定画面を開いて下さい。Hub拠点の設定作業は「クラウドVPN」を有効にするのみです。「クラウドVPN」を有効にすると拠点間でVCMPトンネルを確立するようになります。
次にBranch拠点の設定をします。Branch拠点のプロファイルの設定画面を開いて下さい。Hub拠点の設定作業はクラウドVPN」を有効にし、「[ブランチからハブの有効化]」にチェックを入れます。さらに「Hubの指定」でHub拠点のSD-WAN Edgeを指定します。
以上の設定で、BranchとHubの間で疎通可能になります。もし、Branch同士で疎通可能にしたい場合は、「[ブランチ間VPN]の有効化」にもチェックを入れてください。
VCMPトンネルの確認
「Cloud VPN」を有効にする事で、SD-WAN EdgeとSD-WAN Gatewayの間だけではなくSD-WAN Edge同士でVCMPトンネルが確立されるようになります。それでは、SD-WAN Edge同士でVCMPトンネルが確立されているかどうかを確認しましょう。
「診断」「リモート診断」「SD-WAN Edge名」の順にクリックします。
「List Paths」欄の「Peer」プルダウンで対抗拠点SD-WAN Edge名を選びます。Hub拠点のリモート診断画面ならばBranch拠点のSD-WAN Edge名を選びます。「Peer」プルダウンの選択後「実行」を押下すると、VCMPトンネルの状態(帯域や遅延など)が表示されます。
もし、VCMPトンネルが確立されていない状態ならば、「Peer」プルダウンにSD-WAN Edge名が表示されません。
Prefixの広報
SD-WAN Orchestratorは各拠点のネットワーク情報を収集しオーバーレイネットワークを構築します。このオーバーレイに何を広報するかはネットワーク管理者が任意の定義をする事ができます。
EdgeのLANインターフェース設定画面を開きます。このハンズオンシナリオでLANインターフェースはGE1になります。この画面で「広報」を有効にすると、そのprefixがオーバーレイネットワークに広報されます。
なお、この記事では説明を省略しますが、VMware SD-WANはオーバーレイとBGP等の間で再配送を定義する事もできます。
Prefixの広報の確認
「設定」「オーバーレイフロー制御」の順にクリックすると、オーバーレイネットワークへ広報されたサブネットの一覧を確認する事ができます。Hub拠点とBranch拠点のサブネットがオーバーレイネットワークへ広報されている事を確認します。
疎通確認
それでは拠点間で疎通可能かどうか確かめましょう。以下はbranch2拠点からhub1拠点へのpingコマンド実行結果です。
[root@linux020 ~]# ifconfig ens192
ens192: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.16.20.20 netmask 255.255.255.0 broadcast 172.16.20.255
ether 00:50:56:90:2e:2e txqueuelen 1000 (Ethernet)
RX packets 39 bytes 1870 (1.8 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 35 bytes 2918 (2.8 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[root@linux020 ~]# ping 172.16.10.10 -c 3
PING 172.16.10.10 (172.16.10.10) 56(84) bytes of data.
64 bytes from 172.16.10.10: icmp_seq=1 ttl=126 time=2.02 ms
64 bytes from 172.16.10.10: icmp_seq=2 ttl=126 time=1.66 ms
64 bytes from 172.16.10.10: icmp_seq=3 ttl=126 time=1.57 ms
— 172.16.10.10 ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 1.569/1.747/2.016/0.199 ms
[root@linux020 ~]#
今回のハンズオンシナリオは実際のインターネットではなく、インターネットを疑似した環境で動作確認をしています。疑似インターネットで上記pingをパケットキャプチャした結果を以下に示します。
VCMPトンネルはActive/Activeかつ再送制御の高信頼性を提供するだけではなく、データを暗号化する機能も提供しています。以下のスクリーンショットを見ると、データを読み取る事ができないのが分かるでしょう。
総括
VMware SD-WAN by VeloCloudは、少ない手順で拠点間のVPNを確立できます。確立されたVPNはSD-WAN Orchestratorでオーバーレイネットワークとして管理されます。オーバーレイネットワークに何を広報するかは、ネットワーク管理者が任意の設定をする事ができます。
次回は、特定の通信を直接インターネットへ転送するローカルブレークアウトを説明します。