Cisco SD-WANを使いこなす!
SaaSやIaaSとの経路最適化、
SLAの適用方法を解説

Technical Session
 オフィス環境が激変している。コロナ禍でリモートワークが増え、クラウドサービスのコミュニケーションや業務アプリケーションの利用が増えてきた。ネットワークで見ると、これまで想定していた運用ではなくなり複雑化している。まずはリモートワークができるようにVPN設備を増強した企業は多いものの、これからはネットワーク(WAN)の構成を抜本的に見直すといいだろう。6月18日に開催された「Cisco SD-WAN Day」でのテクニカルセッションから、CiscoのSD-WANでSaaSやIaaSとの経路を最適化、WANを越えてSLAを適用するためのポイントを紹介する。

ユーザーの利便性やセキュリティ向上にWANの見直しが不可欠

 リモートワーク急増で需要が高まっているのがインターネットブレイクアウトだ。これまでは社内ネットワークから社外のクラウドサービスに接続していたところ、リモートワークで社外から社内ネットワークへの接続が急増し、通信が逼迫する事態が起きている。Microsoft 365やSalesforceなど必要不可欠で安全なSaaSサービスなら、必要最低限の経路で接続すればいい。これを実現するのがインターネットブレイクアウトだ。

 実際にMicrosoftからも遅延最小化のための方策として、各地域のローカルDNSの仕様、ブレイクアウト、プロキシ除外を挙げている。これに加え、SD-WANでトラフィック管理をすることがパフォーマンス問題の解消になるとの見解を示している。

 CiscoでインターネットブレイクアウトのためのソリューションとなるのがSD-WAN Cloud on Ramp for SaaSだ。Cisco SD-WANファブリックにおいて、EdgeルーターからSaaS向けの最適な経路選択を実現する。ISPや拠点が複数ある場合には定期的に品質調査を行い、vQoEスコアから最適な経路を選択する。かつてはvEdgeのみだったが、今ではcEdgeでも可能となった。ポリシー制御、通信状況に応じた動的な経路選択、アプリ種別の制御などが可能だ。

図:Cloud on Ramp for SaaS (cEdge)
図:Cloud on Ramp for SaaS (cEdge)

 マイクロソフトとのパートナーシップにより、今後はMicrosoft 365へのアクセスでさらなる機能強化が行われる。まずはURLカテゴリ識別でトラフィック制御、その後はテレメトリデータを使用してアプリごとに最適経路選択などが予定されている。

 また近年、ネットワークとセキュリティを包括的に提供するセキュリティフレームワークとしてSASE(Secure Access Service Edge)が注目されている。CiscoのSASE戦略はUmbrella SIGとSD-WANの組み合わせでネットワーク上に各種セキュリティを実装しようとしている。最近ではAuto Tunnel for SIGがvEdgeだけではなくcEdgeでもできるようになり、SD-WAN化への下地が整いつつある。

クラウドベンダーとのパートナーシップでマルチクラウドに対応

 近年企業ではクラウド化だけではなく、マルチクラウド化も進んでいる。ビジネスのインフラにAWSとAzure、あるいはAWSとCGPなど、複数のクラウドを併用するということだ。これにはネットワークの複雑化、それに伴うセキュリティ脅威増加といった懸念もあるものの、それ以上にコスト削減、可用性や信頼性向上が見込めるからだ。

 マルチクラウド対応にはSD-WANとクラウドプロバイダーの間をうまく接続するオーケストレーターが必要になる。そこでCisco on Ramp for IaaSだ。IaaS接続を自動で最適化する。AWSとAzureではネットワーク専用VPN/VnetをvManageから作成し接続する。パートナーシップがあるクラウドベンダーとの今後のロードマップは以下のとおり。

○AWS
 現在はCisco SD-WANからAWS VPCでVPN接続をしているが、今後はCisco SD-WANとAWS Transit Gatewayが統合される予定だ(Cloud on Ramp for AWS)。AWS上にあるワークロードに自動接続し、リージョン間のトランジットデータやネットワークテレメトリが可視化される。拠点ルーターからAWS Transit Gatewayとの直接接続を使うか、SD-WAN Cloud Gatewayからトランジット接続を使うかは選択できる。
○Microsoft Azure
 将来的にはCisco SD-WANとMicrosoft vWANの統合が予定されている。Azureのテレメトリデータを使い、Cisco SD-WANファブリックでどの経路がいいかを判別する。
○GCP
 まだ戦略的パートナーシップが発表になったばかりで具体的な詳細はこれからになるものの、AWSやAzure同様にCisco SD-WANとGCPの間で接続の自動化が進むと見込まれる。
○Equinix
 Equinixとのパートナーシップにより、Cisco SD-WANファブリックをサブスクリプションでコロケーションサイトにまで延伸できるようになった。アプローチは2つ。1つはハードウェアベースのゲートウェイで、もう1つはソフトウェアベース。前者はSD-WANとデータセンターを(パブリッククラウド同様に)接続することができる。後者はECX Fabric Portalから設定する。ソフトウェアベースなのですぐに利用可能となる。

SD-WANにおけるマルチドメイン連携

 ドメインはネットワークの利用形態を指し、大きく3つに分けることができる。1つ目はキャンパスやIoT。ユーザーやデバイスを識別し、アクセスや接続を許可するドメインだ。2つ目はブランチやWAN。ハイブリッドクラウドでアプリケーション体験を提供するドメインだ。3つ目はデータセンターとクラウド。データやアプリケーションが行き交い、リソースやワークロードの自動化を行うドメインだ。

 実際の管理や運用で見ると、キャンパスやIoTならCisco SD-Access、ブランチやWANならSD-WAN、データセンターやクラウドだとACIを使う。呼称などの違いは下図のとおり。

図:ドメインごとの概念のマッピング
図:ドメインごとの概念のマッピング

 例えば医療機関のネットワークで考えてみよう。ユーザーとなる医師が職場でパソコンを起動してネットワークにアクセスすると、医師のパソコンがエンドポイントとなる。これがSD-AccessのSGであり、ACIのEPGとマッピングされ、クラウドサービス上のカルテや診断画像へのアクセスが許可される。この経路はSD-WANが最適な経路を選択する。

 全体が透過的かつ一元的にアクセスできるようにするには、それぞれのドメインが連携できるようにする必要がある。以下でSD-AccessとSD-WANの連携、ACIとSD-WANの連携がどのように行われるかを紹介する。

○SD-AccessとSD-WANの連携
 SD-AccessのファブリックとSD-WANのファブリックが連携していないと、ルーターは別々に用意する必要がある。致命的なのがSGT(Scalable Group Tag)伝播の課題だ。WANを越えてSGTを渡せない。
 連携するとSD-WAN経由のSD-Accessで一貫したセグメンテーションポリシーを実現できる。つまり、SGTがSD-WANファブリックやその先にあるSD-Accessファブリックでも引き継がれ、通信を許可していいかを判断できる。
 具体的にどうしているかというと、ヘッダーが鍵となる。SD-AccessではVXLAN HeaderにはSGTやVNIDが格納されている。SGTをSD-WANに通すために、SD-WANのMDATA HeaderにSGTが格納され、情報を引き継げるようにしている。
図:ACI & SD-WAN連携の詳細
図:ACI & SD-WAN連携の詳細
○ACIとSD-WANの連携
 ユーザーがいるSD-AccessでSLAポリシーを設定したとしても、そのポリシーが有効なのはドメイン内だけになる。SD-WANで別のドメインを通るとSLAポリシーが引き継がれないためSLAが守れない。そこでACIのAPICとSD-WANのvManageを連携することで、SLAポリシーが引き継がれ、アプリケーションエクスペリエンスを最適化できる。つまりポリシーで定めた要件を満たせる最適な経路をvManageが選ぶようになる。
図:ACI & SD-WAN連携の詳細
図:ACI & SD-WAN連携の詳細

 連携の設定はAPICから行う。APICのメニューで[Integration]→[Create Group]を選び、連携のためのグループを作成する。そこで連携するvManageの情報を入力して連携の設定ができる。APIC側で設定した連携はvManage側に自動的に反映される。念のため、vManageのメニューから[Administration]→[Integration Management]を開くと、APICで作成した連携を確認できる。

 続いて作成した連携に、適用したいWANで引き継ぐSLAを設定しておく。WAN SLAの適用はAPICから行う(SLAの確認や設定の修正はvManageで行う)。APICで適用対象のコントラクトを選択して、適用対象のWAN SLAを選択する。落とし穴になりやすいのが「QoS Priority」の項目だ。デフォルトでは「Unspecified」だが、これを何らかの値に変更しておく必要がある。

 さらにvManageでVRFとVPNのマッピングを行い、連携対象のSD-WAN Edgeを登録すれば設定は完了だ。あとは動作確認をすればいい。

 今後はさらにマルチドメイン連携の機能が強化されていく。ACIとSD-WANの連携では、ACI IPNやACI ISN、Cloud ACIなどが予定されている。ACI IPNはIPN(Inter-Pod Network)、ACI ISNはサイト間通信に使うISN(Inter-Site Network)で、SD-WANを利用しそれぞれを経由する通信を識別して制御することが可能になる。Cloud ACIではACIとパブリッククラウドの経路にSD-WANを利用し、VPNや専用線接続を併用している時にApplication Based Routingを実現する。

提供:シスコシステムズ合同株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年2月28日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]