クロスサイド 鈴木です。
クロスサイドはVMware SD-WANの導入支援を数多く提供しています。

今回はそんなSD-WANの魅力を伝えるために、全5回でVMware SD-WANのハンズオンシナリオを紹介します。第5回では、「ONUG Software-Defined WAN Use Case」の定義に基づいてVMware SD-WANがどの程度の要件を充足しているかを評価します。

VMware SD-WANに求められる要件

このブログに限らず「SD-WANとは何か」を解説している記事は多数存在します。しかし、どの記事も定義はバラバラです。メーカー公式ドキュメントは非常に読みやすい文書ですが、メーカーのポジショントークには十分注意しなければなりません。ですので、ONUG(Open Networking User Group)のようなメーカーとは独立した機関が公表する資料に基づいて、VMware SD-WANがどの程度の要件を充足しているのかを評価してみましょう。

「ONUG Software-Defined WAN Use Case」ではSD-WANに求められる10要件が記述されています。以下10個の要件を充足しているかどうかを評価します。

要件1. 広域網と閉域網を用いたアクティブ-アクティブの負荷分散

1つ目の要件の原文は以下の通りです。

Ability for remote site/branch to leverage public and private WANs in an active-active fashion for business applications.

これを機械翻訳すると以下のようになります。

リモートサイト/ブランチがビジネスアプリケーションのためにパブリックおよびプライベートWANをアクティブ-アクティブに活用する能力。

以下スクリーンショットが示すように、VMware SD-WANは広域網(public WANs)と閉域網(private WANs)の両方を利用する事ができます。

全5回のハンズオンシナリオでは単一回線の設定例を紹介しましたが、複数回線の環境ではVMware SD-WANはアクティブ-アクティブの負荷分散を実現します。フロー単位のアクティブ-アクティブの負荷分散ならばレガシールータや低価格SD-WAN製品でも実現できますが、VMware SD-WANはパケット単位のアクティブ-アクティブ負荷分散を実現できます。以下のスクリーンショットは1つのHTTP通信を2回線に負荷分散している様子を示すものです。internet01とinternet02の2回線に負荷分散されている事が分かります。

要件2. 物理または仮想のルータ機能

2つ目の要件の原文は以下の通りです。

Ability to deploy CPE in a physical or virtual form factor on commodity hardware.

これを機械翻訳すると以下のようになります。

コモディティハードウェア上に物理的または仮想的なフォームファクターでCPEを展開することができる。

CPEとはCustomer Premises Equipmentの略称で、顧客内設備を指します。CPEを噛み砕いて言えば「顧客施設内に設置されるインターネットに接続するためのルータ」と考えて良いでしょう。このブログではハードウェア版のSD-WAN Edgeの例を紹介しましたが、実はVMware SD-WANは仮想アプライアンスも提供されています。以下スクリーンショットは仮想アプライアンスのSD-WAN Edgeのスクリーンショットです。

要件3. アプリケーションポリシーに基づいたトラフィック・エンジニアリング

3つ目の要件の原文は以下の通りです。

A secure hybrid WAN architecture that allows for dynamic traffic engineering capability across private and public WAN paths as specified by application policy, prevailing network WAN availability and/or degradation at transport or application layer performance.

これを機械翻訳すると以下のようになります。

アプリケーション・ポリシーに基づき、プライベートWANパスとパブリックWANパスでダイナミックなトラフィック・エンジニアリングを可能にし、ネットワークWANの可用性やトランスポート層やアプリケーション層の性能の劣化を抑制する安全なハイブリッドWANアーキテクチャ。

「アプリケーション・ポリシーに基づき」とは、第4回で説明した「ビジネスポリシー」の「一致条件」のことです。

トラフィック・エンジニアリングとは通信用語で、ネットワークの使用状況に応じた負荷分散の事です。ONUGは「ダイナミックなトラフィック・エンジニアリングを可能にし、ネットワークWANの可用性やトランスポート層やアプリケーション層の性能の劣化を抑制する」との要件が定めており、SD-WANは回線の利用状況に応じた負荷分散や経路選択をします。前述の要件1で紹介したスクリーンショットはinternet01とinternet02が等コストロードバランスされていますが、片方の回線が混雑している場合は以下のような不等コストロードバランスになります。

要件4. アプリケーションの可視化、優先順位付け、ステアリング

4つ目の要件の原文は以下の通りです。

Visibility, prioritization and steering of business critical and real-time applications as per security and corporate governance and compliance policies.

これを機械翻訳すると以下のようになります。

セキュリティやコーポレートガバナンス、コンプライアンスポリシーに基づき、ビジネスクリティカルでリアルタイムなアプリケーションを可視化、優先順位付け、ステアリングします。

第4回で示した通り、VMware SD-WANはビジネスポリシーの機能の一部として優先順位付けとステアリングの機能を提供します。

第3回で示した通り、VMware SD-WANは可視化機能を提供します。

要件5. 可用性と回復力

5つ目の要件の原文は以下の通りです。

A highly available and resilient hybrid WAN environment for optimal client and application experience.

これを機械翻訳すると以下のようになります。

クライアントとアプリケーションの最適な体験を実現する、可用性と回復力の高いハイブリッドWAN環境です。

VMware SD-WANはDMPOと呼ばれるアクティブ-アクティブかつ再送制御を備えた機能を備えます。仮にインターネットで障害が発生したとしても、ビジネスポリシーがマルチパスに設定されている場合はパケットロスが発生しません。

要件6. Layer2 / Layer3 接続

6つ目の要件の原文は以下の通りです。

Layer 2 and 3 interoperability with directly connected switch and/or router.

これを機械翻訳すると以下のようになります。

直接接続されたスイッチやルーターとのレイヤー2および3の相互運用性。

SD-WAN EdgeはLayer2でもLayer3でもスイッチ機器等との接続が可能です。以下スクリーンショットに示すように、SD-WAN Edgeのインターフェースはスイッチポートまたはルーテッドポートとして設定する事ができます。

要件7. パフォーマンスレポート

7つ目の要件の原文は以下の通りです。

Site, Application and VPN performance level dashboard reporting.

これを機械翻訳すると以下のようになります。

サイト、アプリケーション、VPNのパフォーマンスレベルのダッシュボード・レポート。

以下スクリーンショットのようにSD-WAN Edgeのパフォーマンスを表示する事ができます。

また、レポート生成機能も備えています。

要件8. SIEMとの連携

8つ目の要件の原文は以下の通りです。

Open north-bound API for controller access and management, ability to forward specific log events to network event co-relation manager and/or Security Incident & Event Manager (SIEM).

これを機械翻訳すると以下のようになります。

コントローラへのアクセスと管理のためのオープンなノースバウンドAPI、特定のログイベントをネットワークイベント相関マネージャやセキュリティインシデント＆イベントマネージャ（SIEM）に転送する機能。

コントローラー(SD-WAN Orchestrator)と管理者の間のインターフェースをノースバウンドAPIと呼び、コントローラー(SD-WAN Orchestrator)と機器(SD-WAN Edge)の間のインターフェースをサウスバウンドAPIと呼びます。管理者の操作手段は、Orchestrator UIの他にRest APIでも操作が可能です。以下スクリーンショットが示すように、APIトークンを発行すればブラウザを使用せずに操作する事もできます。

SIEMへ転送する手段はsyslog, netflow, snmptrap, Webhookがあります。

要件9. ゼロタッチプロビジョニング

9つ目の要件の原文は以下の通りです。

Capability to effect zero touch deployment at branch site with minimal to no configuration changes on directly connected infrastructure, ensuring agility in provisioning and deployment.

これを機械翻訳すると以下のようになります。

直接接続されたインフラで、最小限の設定変更で支店サイトにゼロタッチで導入できるため、プロビジョニングと導入の俊敏性を確保できる。

第2回で示した通り、プロビジョニングの手順はアクティベーションURLの入力のみです。

要件10. セキュリティ規格の充足

10つ目の要件の原文は以下の通りです。

FIPS 140-2 validation certification for cryptography modules/encryption with automated certificate life cycle management and reporting.

これを機械翻訳すると以下のようになります。

暗号モジュール/暗号化に対するFIPS 140-2バリデーション認証、自動化された証明書ライフサイクル管理およびレポーティング。

FIPS(Federal Information Processing Standard：米国連邦情報処理規格)140-2は、暗号化ハードウェアの有効性を検証するための規格です。ONUG Software-Defined WAN Use Caseが定められたのは2014年当時であり、現在はFIPS 140-3が制定されています。

VMware SD-WAN EdgeはFIPS 140-3を満たすセキュリティモジュールが読み込まれたかどうかを起動時にチェックする事もできます。このチェック機能はデフォルトでは無効であり、以下スクリーンショットの「パワーオン時のセルフテスト実行」を有効化する事で起動時のチェックができます。

VMware SD-WANは定期更新される証明書を用いた通信を実現する事もできます。証明書を使用するには、以下の画面で「Certificate Acquire」または「Certificate Required」を選択します。

総括

VMware SD-WAN by VeloCloudは、「ONUG Software-Defined WAN Use Case」に定められた10要件を全て満たします。SD-WAN製品を自称する製品の中には、これら要件を満たさないものをありますので、本記事を製品評価の一助として頂ければ幸いです。