Cisco SD-WAN ソリューション
Cisco SD-WAN ソリューションの必要性
従来のネットワーキング テクノロジーは、ますます高価で複雑になってきており、現代のマルチサイト企業のニーズに合わせて拡張することができません。Cisco SD-WAN ソリューションは、実績のあるネットワーキングの要素に基づいており、エンタープライズ ネットワークの運用コストを削減する洗練されたソフトウェアベースのソリューションを提供し、複数の場所と地域にまたがって分散した大規模で複雑なネットワークのプロビジョニングと管理を簡素化する簡単なツールを提供します。Cisco SD-WAN ソリューションには、ネットワークとそのデータトラフィックの安全性とプライバシーを確保する固有の認証およびセキュリティプロセスが組み込まれています。
Cisco SD-WAN ソリューションは、古いハードウェアベースのモデルから、安全なソフトウェアベースの仮想 IP ファブリックにネットワークが進化したことを表しています。オーバーレイネットワークとも呼ばれる Cisco SD-WAN ファブリックは、パブリックインターネット、MPLS、ブロードバンドなどの標準ネットワーク トランスポート サービス上で実行されるソフトウェアオーバーレイを形成します。オーバーレイネットワークは、次世代のソフトウェアサービスもサポートしているため、クラウドネットワーキングへの移行が促進されます。
従来のネットワーク設計における課題
ネットワーク設計に対する従来のアプローチでは、次の 4 つの根本的原因により、現代のニーズに合わせて拡張できません。
-
コスト:従来のネットワークはルータやスイッチなどの高価なハードウェア上で動作し、時間のかかる設定とメンテナンスが必要です。さらに、これらのネットワークでは、ネットワークを保護してセグメント化するために、高価なトランスポート接続またはキャリア回線が必要です。
-
複雑性:従来のネットワークは古いモデルの分散型コントロールプレーンで動作します。つまり、ネットワーク内のすべてのノードにルーティングとセキュリティルールを設定する必要があります。リモートサイトの管理、変更管理、およびネットワークのメンテナンスは、ロジスティクス上の主要な課題となっています。
-
設置に長い時間がかかる:専用のキャリア回線で動作する従来のネットワークでは、新しい回線の設置がキャリアに依存しており、数ヵ月かかる場合があります。これにより、新しいブランチの立ち上げが大幅に遅れる可能性があります。
-
制御:キャリア回線で動作する従来のネットワークは、ネットワーク設計から設定、監視に至るまで、ISP に対する制御を犠牲にしています。ISP から変更を要求すると、余分な時間がかかり、通信エラーが発生しやすくなります。
次のような現代の要件に直面すると、従来のネットワークのコストと複雑性はさらに高まります。
-
徹底したエンドツーエンドのセキュリティ
-
個別のトランスポート ネットワーク
-
複数のデータセンターでホストされる高帯域幅のクラウドアプリケーション
-
モバイルエンドユーザーの人数の継続的な増加
-
流体トポロジ経由の Any-to-Any 接続
-
特定のビジネスに固有のニーズ
Cisco SD-WAN ソリューション
Cisco SD-WAN ソリューションは、ソフトウェア定義型 WAN(SD-WAN)です。すべての SD-WAN と同様に、1990 年代と 2000 年代にインターネットの拡張を可能にしたものと同じルーティング原則に基づいています。Cisco SD-WAN が他の SD-WAN と異なる点は、WAN を新世代のエンタープライズ ネットワークに合わせて再解釈し、データプレーンをコントロールプレーンから分離し、それまでは専用ハードウェアを必要としていたルーティングの多くを仮想化したことです。
仮想化されたネットワークは、物理ルータまたは仮想デバイスのいずれであっても、費用対効果の高いハードウェアのオーバーレイとして動作します。Cisco vSmart コントローラと呼ばれる集中型コントローラは、Cisco SD-WAN ファブリックのコントロールプレーンを監視し、Cisco SD-WAN オーバーレイネットワーク全体のプロビジョニング、メンテナンス、セキュリティを効率的に管理します。Cisco vBond オーケストレーション と呼ばれる別のデバイスは、Cisco SD-WAN オーバーレイネットワークに参加するときに、他のすべての Cisco vEdge デバイスs を自動的に認証します。
この分業により、ネットワークレイヤーはそれぞれが最も得意とすることに集中できます。コントロールプレーンはオーバーレイネットワークを介したトラフィックのルーティングルールを管理し、データプレーンは実際のデータパケットをネットワークデバイスに渡します。コントロールプレーンとデータプレーンは、柔軟で堅牢なファブリックの縦糸と横糸となり、ニーズとスケジュールに従って、既存の回路に織り込むことができます。
Cisco vManage は、オーバーレイネットワーク内のすべてのデバイスのネットワークパフォーマンスを集中監視ステーションから監視するための、シンプルでありながら強力なグラフィカルダッシュボードのセットを提供します。また、Cisco vManage では、ソフトウェアのインストール、アップグレード、プロビジョニングも一元化され、単一のデバイスでも複数のデバイスでも一括で処理できます。
Cisco SD-WAN はクラウドネットワーキングのニーズに最適です。Cisco SD-WAN 仮想 IP ファブリックは、クラウドネットワーキングを合理化および最適化するソフトウェアサービスをサポートし、個々のクラウドアプリケーションのオーバーレイネットワークの機能を最大限に活用できるようにします。
(注) |
|
仮想 IP ファブリック
従来のエンタープライズ ネットワークの複雑さは、次の 3 つの主な原因に起因します。
-
データトラフィックを交換するエンティティと、それらのエンティティを結合するトランスポートネットワークの間に明確な区別はありません。つまり、ネットワークのサービス側にあるホスト、デバイス、サーバー間、およびネットワークのトランスポート側にあるルータ間の相互接続は明確に区別されていません。
-
ポリシーと制御の判断は、エンタープライズ ネットワーク全体のすべてのホップに組み込まれています。
-
セキュリティは時間のかかる手動の作業であり、ネットワーク内のすべてのノードで、または集中型セキュリティサーバーを使用してセキュリティサーバーを管理することによって、セキュリティ管理を実装する必要があります。
Cisco SD-WAN は、実績のあるネットワーク要素を革新的な方法で使用して、安全な仮想 IP ファブリックを構築します。ネットワーク要素には次のものが含まれます。
-
ルーティングおよびルーティング アドバタイズメントを使用して、ネットワーク全体のトラフィックフローを確立および維持します。
-
レイヤ 3 セグメンテーション(仮想ルーティングおよび転送(VRF)と呼ばれることもある)はトラフィックのさまざまなフローを分離します。これは、企業内のさまざまなお客様やビジネス組織のトラフィックを分離するのに役立ちます。
-
プロトコルエンティティのペア間の双方向接続を設定および維持するためのピア ツーピアの概念
-
認証および暗号化
-
ルーティングとデータトラフィックのポリシー
Cisco SD-WAN 仮想 IP ファブリックでは、5 つの簡単なステップで、複雑な従来のネットワークが管理しやすいスケーラブルなネットワークに変換されます。
-
ステップ 1:ネットワークのサービス側からトランスポートを分離する
-
ステップ 2:ルーティング インテリジェンスを一元化し、セグメンテーションを有効にする
-
ステップ 3:ネットワークを自動的に保護する
-
ステップ 4:一元化されたポリシーを通じて到達可能性に影響を与える
-
ステップ 5:オーケストレーションとプロビジョニングを簡素化する
ステップ 1:ネットワークのサービス側からトランスポートを分離する
トランスポートネットワークの役割は、トランスポートルータ間でパケットを運ぶことです。トランスポートネットワークは、次のホップまたは宛先ルータに到達するために通過するルートのみ認識している必要があります。非トランスポートルータ(ローカル サービス ネットワーク内のトランスポートルータの背後にあるルータ)のプレフィックスを認識する必要はありません。
ネットワークトランスポートをネットワークのサービス側から分離することにより、ネットワーク管理者は、ユーザー間またはホスト間の通信とは無関係に、ルータ間通信に影響を与えることができます。
このアプローチには多くの利点があります。
-
ネットワーク管理者は、SLA とコストに基づいてトランスポート回線を選択できます。
-
ルーティングシステムは、最適なルーティング、ロードバランシング、およびポリシーベースのルーティングのために、属性をトランスポートリンクに割り当てることができます。
ステップ 2:ルーティング インテリジェンスを一元化し、セグメンテーションを有効にする
ネットワークのエッジにあるすべてのルータには、ルーティング用の 2 つの側があります。1 つはトランスポートネットワーク向けで、もう 1 つはネットワークのサービス側です。すべてのルータ間で Any-to-Any 通信を行うには、すべてのルータがすべてのプレフィックスを学習する必要があります。伝統的に、ルータは、フルメッシュ IGP/BGP を使用するか、オーバーレイトンネルでルーティングを有効にすることで、プレフィックスを学習します(MPLS または GRE を介した BGP または IGP など)。BGP にルートリフレクタを使用するなど、さまざまな手法により、フルメッシュルーティング隣接関係に関連する拡張性の問題を軽減または排除できます。
Cisco SD-WAN ファブリックは、ルーティング インテリジェンスを一元化することにより、ルートリフレクタモデルに基づいて構築されます。基本的に、ルータのサービス側から学習したプレフィックスはすべて中央のコントローラにアドバタイズされてから、ネットワークのコントロールプレーンを介して他のルータに情報が反映されます。コントローラはデータトラフィックを一切処理しません。データトラフィックはコントロールプレーン通信にのみ関係します。
このアプローチには多くの利点があります。
-
集中型コントローラは、コントロールプレーンの処理に安価なサーバーや市販のサーバーを使用できます。
-
ルータには既成のシリコンを使用できるため、規模の経済によるコストメリットを得られます。
-
ネットワークのトランスポート側でのフルメッシュルーティングに関連する拡張性の問題が解消されます。
-
ネットワーク管理者は、複雑なシグナリングプロトコルを使用せずに、複数のセグメントを作成できます。たとえば、この図では、すべての Px プレフィックスを 1 つの VPN の一部にし、すべての Sx プレフィックスを別の VPN の一部にできます。
(注) |
集中型コントローラは、ルータのルーティングにのみ「影響」を与えます。コントローラは、ネットワークを通過するすべてのフローに参加したり、サービス側のルーティングに参加したりしません。この設計により、ルータはローカルインテリジェンス(ローカルサイトの決定を迅速に行うのに十分なインテリジェンス)を得ることができます。 |
ステップ 3:ネットワークとリンクを自動的に保護する
Cisco SD-WAN ファブリックは、トランスポート側のリンクを識別し、サイト間のトラフィックを自動的に暗号化します。関連付けられた暗号化キーは、集中型コントローラとのセキュアなセッションを介して交換されます。コントローラとのセキュアなセッションは、RSA と証明書インフラストラクチャを使用して自動的に設定されます。
このアプローチには多くの利点があります。
-
Cisco SD-WAN ファブリック自体が、ネットワークに参加しているすべてのデバイスを認証します。これは、インフラストラクチャを保護するための重要なステップです。
-
ファブリックは、トランスポートリンクに関連する暗号化キーを自動的に交換するため、多数のペアワイズキーを設定する必要がなくなります。
-
ファブリックにより、ネットワークはトランスポート側からの攻撃を受けにくくなります。
ステップ 4:一元化されたポリシーを通じて到達可能性に影響を与える
集中型コントローラに設定されたポリシーは、ルータ間でプレフィックスがアドバタイズされる方法に大きく影響します。たとえば、この図のルータ P3 と P4 間のすべてのトラフィックがルータ vEdge-1 で U ターンする必要がある場合、ネットワーク管理者は集中型コントローラに単純なルートポリシーを適用できます。その後、コントローラが影響を受けるエッジルータにポリシーを渡します。ネットワーク管理者は、ルータごとにポリシーをプロビジョニングする必要はありません。
このアプローチには多くの利点があります。
-
コントローラは、アクセス制御、つまり、VPN 内で相互に通信できるプレフィックスに集中的に影響を与えます。
-
コントローラは、SLA またはその他の属性に基づいてトランスポートリンクの選択に影響を与えることにより、ユーザーエクスペリエンスを最適化します。ネットワーク管理者は、トランスポートリンクに色(ゴールドやブロンズなど)を付け、アプリケーションがその色を適切なトランスポートリンクにマッピングするようにできます。
-
ネットワーク管理者は、一元化されたポイントからビジネスロジックをマッピングできます。
-
ネットワークは、リスクの高い国からのトラフィックをすべて中間地点を経由してルーティングするなど、計画的または予期しない状況に迅速に対応できます。
-
ネットワークは、ファイアウォール、IDP、IDS などのサービスを一元化できます。ネットワーク管理者は、これらのサービスをすべてのブランチやキャンパスのネットワーク全体に分散させる代わりに、機能を一元化して、規模の効率性を達成し、プロビジョニングのタッチポイント数を最小限に抑えることができます。
ステップ 5:プロビジョニングと管理を簡素化する
従来のネットワークデバイスは、CLI を介して手動でプロビジョニングおよび監視されます。ネットワーク管理者は、ステータス情報を取得して読み取るために、構成を 1 行ずつ入力し、個々のデバイスで一度に 1 つずつ操作コマンドを入力する必要があります。この方法は、ネットワークのプロビジョニングとトラブルシューティングの際にエラーが発生しやすく、時間がかかります。また、デバイスが遠隔地にある場合や管理ポートにアクセスできない場合は、深刻な問題が発生する可能性があります。
Cisco SD-WAN は、Cisco vManage を介して、プロビジョニングと管理を一元化して大幅に簡素化します。Cisco vManage は、オーバーレイネットワーク内のすべての Cisco vEdge デバイス とリンクを監視、設定、および維持できる使いやすいグラフィカルダッシュボードを提供します。たとえば、GUI ダッシュボードには、サービスのプロビジョニングを容易にするさまざまな構成のテンプレートビューが用意されているため、すべての一般的な要素(AAA サーバーや企業固有のサーバーなど)を 1 回のクリックで複数のデバイスに 1 か所からプッシュできます。
このアプローチには多くの利点があります。
-
ネットワーク管理者は、個々のデバイスを一度に 1 つずつ処理する断片的なアプローチとは対照的に、ネットワーク全体を効率的かつ簡単にプロビジョニングおよび管理できます。
-
ネットワーク管理者は、 1 か所からネットワークの可視性(ネットワーク全体の VPN 統計の表示など)を改善できます。
-
トラブルシューティング タスクは簡素化され、視覚的に表示されます。ネットワーク管理者は、個々のデバイスから長い構成や出力を読み取る必要がありません。