SlideShare une entreprise Scribd logo

SD-WAN導入の現場でみえてきたアレコレ

K
Koji Komatsu

MPLS Japan 2017での発表資料です。

Technologie
1  sur  31
Télécharger pour lire hors ligne
小松 康二 (kkomatsu@cisco.com) Technical Marketing Engineer, Product Management - Viptela 2017年11月1日 MPLS Japan 2017 日本でも本番環境導入が急加速! SD-WAN導入の現場でみえてきたアレコレ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WAN この1年を振り返って
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential CiscoによるViptela買収
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 各SD-WANソリューションの立ち位置の明確化 ・複雑な要件に対応 ・高いスケーラビリ ティ ・直観的 ・シンプル
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ほかにも、本番展開済みのお客様が急増中 日本では、製造業・金融機関のお客様が比較的多い印象 日本での本番環境での導入の加速 http://itpro.nikkeibp.co.jp/atcl/column/17/060200225/060200004/
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 日本の企業の本番環境での、Cisco SD-WAN (Viptela) のデプロイを ご一緒させていただいた経験からご紹介 • 実際に遭遇したトラブル • たびたび議論になったこと 1. IPsecがつながらない 2. インターネットブレークアウトがうまくうごかない 3. 移行設計 4. オンプレ構築 今日の発表は
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential IPsecがつながらない.. (SD-WANに限った話ではありませんが)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • コントローラーを使ってNAT Traversalを実現するなど SD-WANルータをNAT/NAPTの裏側におくのはOK PUBLIC PRIVATE ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ipv4 1.1.1.22 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up 1.1.1.125 C,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up 1.1.1.22 biz-internet ipsec 1.1.1.25 C,I,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up 1.1.1.125 C,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up 1.1.1.33 mpls ipsec 1.1.1.25 C,I,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up 1.1.1.125 C,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up 1.1.1.44 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up 1.1.1.125 C,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up Source NAT Source NAT Internet SD-WAN ルータ SD-WAN ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • Source NAT/NAPTでも、実際の挙動は細かく分かれる • Mapping Behavior • Filtering Behavior • Hairpin etc.. • Endpoint-dependent Mappingを行うNAT機器にはNAT Traversalが有 効に機能しない (古い用語ではSymmetric NAT) ただし、例外もある 内部リソース 192.168.100.1:12346 同一の内部リソースが、外部の複数のリソースと 通信する場合に、異なるアドレスもしくはポート番号に 変換されるケース Source NAT (Endpoint-dependent Mapping)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 両端がEndpoint-dependent Mappingの場合には、そのままではIPsec トンネルがあがらない • 全拠点にEndpoint-dependent Mapping機器があると大変… • ハブ&スポークならハブサイトだけ、フルメッシュなら全サイトで対策 • 対策 • Endpoint-dependent MappingはハイエンドFirewallに比較的特有の実装 • 各社のデフォルト設定や、設定変更の可否が異なる • Fortinetさん、Juniperさん、SonicWallさん、Palo Altoさん、Cisco ASA (?) • 1:1 SNATは広く使える対策 (ただしIPが必要) • IPがなければ、Port指定でStatic NAPTを構成(機器冗長時には異なるポートを使 うよう設定) Endpoint-dependent Mappingにあたると ※ 実際には、Filtering behaviorとの組み合わせでより細かい条件があるものの、ここでは省略させていただきます
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANルータの前にFirewallを置く設計をとらない • 直接回線につないでも安心なSD-WANルータを選択する • FirewallはSD-WANルータの内側に設置し、データが復号化されたあとの トラフィックを検査する 根本対策は… IPSec SD-WANルータ コントローラー 対向 SD-WANルータ CPU パケット フォワーディング コントロールプレーンの ポリシング  300pps per flow  5,000pps その他の 通信  Default Deny: All  Default Allow: ICMP, DNS, DHCP  Manual Allow: SSH, NTP  Default Deny: All  Allow: 明示的に許可されたIPと ポートのみ (vBondから学習)  Default Deny: All  Allow: 明示的に許可されたvEdge (vSmartから学習)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • いまだに適切にNAPTがなされないケースも • 異なるIPを使う複数の内部リソースの変換を行えるが、ポート番号は変換 しない • 異なるIPのリソースが同じポート番号を使うと区別できない • 対策・・・機器冗長を組む場合、異なるSrc Portを使うように設定 グローバルのWAN環境のNATは多彩 内部リソースA 192.168.100.1:12346 異なる内部リソースにもかかわらず、同一のIPとポート番号に 変換されてしまい、同時に NAPT 内部リソースB 192.168.100.2:12346
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • IPヘッダのIDフィールド • IPフラグメンテーションに利用される • フラグメント化されると、本来は最終的 にリアセンブルされるまで同じIDを使用 • AHによってOuter IPヘッダも認証 • 一部NAT機器がIDフィールドを書き換え ると、不正とみなされパケットドロップ • 解決策 • IDフィールドを認証対象からはずす Outer IPヘッダのIDフィールド書き換え問題 ご参考:IDフィールドの書き換えについての考察 (by Cisco進藤) http://blog.shin.do/2017/06/natは意外と難しい/
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential インターネットブレークアウトが うまく動かない
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SaaS Providerは複数のサービスに共通インフラを使用するケースが ある (認証機能など) • 同じNATポイントからインター ネットに出す必要がある • ポリシーをカスタマイズする 際には要注意 大規模なSaaSの実装はシンプルではない Internet DCデータセンター SD-WAN ルータ WAN 拠点 SD-WAN ルータ ユーザ nat nat インターネットブレークアウト (ローカルエグジット) セントラルエグジット
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SaaSによっては、関連するリソースが社内データセンターと併用さ れているケースがある • インターネットブレークアウト とオーバーレイルーティングを 慎重に設計 Office 365とオンプレOffice機能の併用 Internet DC WAN ユーザ データセンター SD-WAN ルータ拠点 SD-WAN ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • DPI機能 (アプリケーション識別) はSD-WANのキモの1つ • WAN最適化装置の最適化によって、SD-WANルータのDPIが影響をうける と、意図通りに動かないことも • 対策例 – DSCPによる連携、WCCPでの連携 WAN最適化装置がアプリケーション識別に影響 SD-WANルータ WAN / Internet WAN最適化装置 WAN最適化 LAN側 トラフィックがただしく判別できない DPI
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential よくある議論 – 移行設計
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • (少なくともViptelaの)SD-WANルータは完全に独立したルーティングドメイン(VPN)を複数もつ • インターフェースやルーティングの設定は、個々のルーティングドメインの中で行う • WANとLANのルーティングは最初から明確にわかれていて混在しない • LAN側に複数のドメイン(VPN)をつくると、WANを論理的な面にわけることができる(VRFの代替) • LAN側の経路は全てコントローラー経由で他の拠点のルータに広告される • トンネルのなかにルーティングプロトコルを流すことはない WANとLANのルーティングの独立 MPLS Internet WAN (VPN 0) IF IF LAN (VPN 1) LAN (VPN 2) IF IF SD-WAN ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • そのままつなぐと、既存ルータの拠点のLAN側は、SD-WANルータ のLAN側とつながらない 非SD-WAN拠点との通信 (NGケース) WANLAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ MPLS IFIF 既存ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 中央のサイトをSD-WANと非SD-WANのハブとしてつなぐ • ハブサイトは、LAN側のルーティングドメインにも直接WANをつなぎこむ • ハブを介して相互に経路を広告 • メッシュ化も可能 非SD-WAN拠点との通信 (ハブパターン) WANLAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ MPLS IFIF 既存ルータIF
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANサイト間の通信は新回線で、非SD-WANサイトとの通信は旧回線で通信 • 旧回線で経路集約すると、SD-WANサイト間の通信はLongest Matchでオーバーレイを自動優先 • SD-WAN移行が完了すれば、旧回線を解約 非SD-WAN拠点との通信 (回線切り替えと並行) WAN LAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ 旧 MPLS IFIF 既存ルータ IF 新 MPLS IF
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANのもつセグメンテーションへの移行 • 移行期間中はSD-WANセグメント(LAN側)とVRFを直接接続しておく Router-A Router ハブ MPLS SD-WANルータ VRF 1 WAN LAN VPN 1 VPN 0 VPN 1 VRF 2LAN VPN 2 LAN LAN VPN 3 VRF 3 VPN 2 SD-WANルータ Router-B VRF 1 VRF 2 非SD_WAN 非SD_WAN SD-WAN VPN 1 SD-WAN VPN 2 Multi VRFからの移行 (移行期間中)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WANルータ Router Data Center (Hub) MPLS SD-WANルータ VPN 0 VPN 0 VPN 1 VPN 1 etc. VPN 2 SD-WANルータ SD-WANルータ Branch-B VPN 2 Branch-A VPN 1 Branch-C VPN 1 Branch-C VPN 2 • 移行完了後はWAN側にマルチVRF不要 Multi VRFからの移行 (移行完了後) VPN 0 VPN 0 VPN 1 VPN 2 ipsec ipsec
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential よくある議論 – オンプレでの構築
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential コントローラーをオンプレ環境に構築する 4G/LTE MPLS イン ター ネット Viptela クラウド、マネージドクラウド もしくは、オンプレ環境 コントローラーと マネージメント セキュアな フルメッシュ データプレーン セキュアな コントロールプレーン REST API GUI SD-WAN コントローラー SD-WAN ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential インターネットなしでゼロタッチを実現する ゼロタッチ立ち上げ用 サーバ SD-WAN コントローラ SD-WAN ルータ 1 2 3 4
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 閉域網に直接接続してのゼロタッチを実現する WAN SD-WAN ルータ PE DHCPなし • IPアドレスは? • 経路は? • 名前解決は? • コントローラーの場所は?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential まとめ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WAN のユースケース 企業WANの最適化 パブリッククラウドへ の対応 可視化・オペレー ションの簡素化 日本でも確実に導入が増えています!
SD-WAN導入の現場でみえてきたアレコレ

Recommandé

インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
Taiji Tsuchiya
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
株式会社 NTTテクノクロス
 
BGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみたBGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみた
akira6592
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Kohei Tokunaga
 
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
NTT DATA OSS Professional Services
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
 
Scapyで作る・解析するパケット
Scapyで作る・解析するパケットScapyで作る・解析するパケット
Scapyで作る・解析するパケット
Takaaki Hoyo
 

Recommandé

インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造インターネットの仕組みとISPの構造
インターネットの仕組みとISPの構造
Taiji Tsuchiya
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
ネットワークスイッチ構築実践 2.STP・RSTP・PortSecurity・StormControl・SPAN・Stacking編
株式会社 NTTテクノクロス
 
BGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみたBGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみた
akira6592
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Kohei Tokunaga
 
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
Apache Kafkaって本当に大丈夫?~故障検証のオーバービューと興味深い挙動の紹介~
NTT DATA OSS Professional Services
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
 
Scapyで作る・解析するパケット
Scapyで作る・解析するパケットScapyで作る・解析するパケット
Scapyで作る・解析するパケット
Takaaki Hoyo
 
コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
Motonori Shindo
 
"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越
Kentaro Ebisawa
 
Stargz Snapshotter: イメージのpullを省略しcontainerdでコンテナを高速に起動する
Stargz Snapshotter: イメージのpullを省略しcontainerdでコンテナを高速に起動するStargz Snapshotter: イメージのpullを省略しcontainerdでコンテナを高速に起動する
Stargz Snapshotter: イメージのpullを省略しcontainerdでコンテナを高速に起動する
Kohei Tokunaga
 
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
whywaita
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
 
AS45679 on FreeBSD
AS45679 on FreeBSDAS45679 on FreeBSD
AS45679 on FreeBSD
Tomocha Potter
 
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
kazuki kumagai
 
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
Masayuki Kobayashi
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較
Akihiro Suda
 
Apache Avro vs Protocol Buffers
Apache Avro vs Protocol BuffersApache Avro vs Protocol Buffers
Apache Avro vs Protocol Buffers
Seiya Mizuno
 
PostgreSQL開発コミュニティに参加しよう! ~2022年版~(Open Source Conference 2022 Online/Kyoto 発...
PostgreSQL開発コミュニティに参加しよう! ~2022年版~(Open Source Conference 2022 Online/Kyoto 発...PostgreSQL開発コミュニティに参加しよう! ~2022年版~(Open Source Conference 2022 Online/Kyoto 発...
PostgreSQL開発コミュニティに参加しよう! ~2022年版~(Open Source Conference 2022 Online/Kyoto 発...
NTT DATA Technology & Innovation
 
大規模データ処理の定番OSS Hadoop / Spark 最新動向 - 2021秋 -(db tech showcase 2021 / ONLINE 発...
大規模データ処理の定番OSS Hadoop / Spark 最新動向 - 2021秋 -(db tech showcase 2021 / ONLINE 発...大規模データ処理の定番OSS Hadoop / Spark 最新動向 - 2021秋 -(db tech showcase 2021 / ONLINE 発...
大規模データ処理の定番OSS Hadoop / Spark 最新動向 - 2021秋 -(db tech showcase 2021 / ONLINE 発...
NTT DATA Technology & Innovation
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
 
ネットワーク構築訓練 入門
ネットワーク構築訓練 入門ネットワーク構築訓練 入門
ネットワーク構築訓練 入門
株式会社 NTTテクノクロス
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Toru Makabe
 
ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるものISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるもの
Taiji Tsuchiya
 
さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築
Tomocha Potter
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo!デベロッパーネットワーク
 
DNS再入門
DNS再入門DNS再入門
DNS再入門
Takashi Takizawa
 
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
VirtualTech Japan Inc.
 
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月 知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
VirtualTech Japan Inc.
 

Contenu connexe

Tendances

え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo!デベロッパーネットワーク
 

Tendances (20)

コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線コンテナネットワーキング(CNI)最前線
コンテナネットワーキング(CNI)最前線
 
"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越"SRv6の現状と展望" ENOG53@上越
"SRv6の現状と展望" ENOG53@上越
 
Stargz Snapshotter: イメージのpullを省略しcontainerdでコンテナを高速に起動する
Stargz Snapshotter: イメージのpullを省略しcontainerdでコンテナを高速に起動するStargz Snapshotter: イメージのpullを省略しcontainerdでコンテナを高速に起動する
Stargz Snapshotter: イメージのpullを省略しcontainerdでコンテナを高速に起動する
 
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
 
AS45679 on FreeBSD
AS45679 on FreeBSDAS45679 on FreeBSD
AS45679 on FreeBSD
 
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
 
大規模DCのネットワークデザイン
大規模DCのネットワークデザイン大規模DCのネットワークデザイン
大規模DCのネットワークデザイン
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較
 
Apache Avro vs Protocol Buffers
Apache Avro vs Protocol BuffersApache Avro vs Protocol Buffers
Apache Avro vs Protocol Buffers
 
PostgreSQL開発コミュニティに参加しよう! ~2022年版~(Open Source Conference 2022 Online/Kyoto 発...
PostgreSQL開発コミュニティに参加しよう! ~2022年版~(Open Source Conference 2022 Online/Kyoto 発...PostgreSQL開発コミュニティに参加しよう! ~2022年版~(Open Source Conference 2022 Online/Kyoto 発...
PostgreSQL開発コミュニティに参加しよう! ~2022年版~(Open Source Conference 2022 Online/Kyoto 発...
 
大規模データ処理の定番OSS Hadoop / Spark 最新動向 - 2021秋 -(db tech showcase 2021 / ONLINE 発...
大規模データ処理の定番OSS Hadoop / Spark 最新動向 - 2021秋 -(db tech showcase 2021 / ONLINE 発...大規模データ処理の定番OSS Hadoop / Spark 最新動向 - 2021秋 -(db tech showcase 2021 / ONLINE 発...
大規模データ処理の定番OSS Hadoop / Spark 最新動向 - 2021秋 -(db tech showcase 2021 / ONLINE 発...
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
 
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
 
ネットワーク構築訓練 入門
ネットワーク構築訓練 入門ネットワーク構築訓練 入門
ネットワーク構築訓練 入門
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャーKubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
 
ISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるものISPネットワーク運用で覗いてるもの
ISPネットワーク運用で覗いてるもの
 
さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築さくらのVPS で IPv4 over IPv6ルータの構築
さくらのVPS で IPv4 over IPv6ルータの構築
 
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtcYahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
Yahoo! JAPANのIaaSを支えるKubernetesクラスタ、アップデート自動化への挑戦 #yjtc
 
DNS再入門
DNS再入門DNS再入門
DNS再入門
 

Similaire à SD-WAN導入の現場でみえてきたアレコレ

【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム 【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
シスコシステムズ合同会社
 
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
Yahoo!デベロッパーネットワーク
 
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
シスコシステムズ合同会社
 
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
Miya Kohno
 

Similaire à SD-WAN導入の現場でみえてきたアレコレ (20)

OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
 
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月 知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
 
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
 
Openstack neutron vtjseminar_20160302
Openstack neutron vtjseminar_20160302Openstack neutron vtjseminar_20160302
Openstack neutron vtjseminar_20160302
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backboneShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
 
Mk vpp for-containers-vppug
Mk vpp for-containers-vppugMk vpp for-containers-vppug
Mk vpp for-containers-vppug
 
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム 【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
 
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
 
545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!545人のインフラを支えたNOCチーム!
545人のインフラを支えたNOCチーム!
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
 
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
 
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
 
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
 
IIJmio meeting 17 DSDSと着信シーケンスについて
IIJmio meeting 17 DSDSと着信シーケンスについてIIJmio meeting 17 DSDSと着信シーケンスについて
IIJmio meeting 17 DSDSと着信シーケンスについて
 
VIOPS04: NTTコミュニケーションズのクラウド戦略
VIOPS04: NTTコミュニケーションズのクラウド戦略VIOPS04: NTTコミュニケーションズのクラウド戦略
VIOPS04: NTTコミュニケーションズのクラウド戦略
 
IPv6標準化の最新動向
IPv6標準化の最新動向IPv6標準化の最新動向
IPv6標準化の最新動向
 
クラウドとは何か / what is cloud computing (1.4 / 2017.07)
クラウドとは何か / what is cloud computing (1.4 / 2017.07)クラウドとは何か / what is cloud computing (1.4 / 2017.07)
クラウドとは何か / what is cloud computing (1.4 / 2017.07)
 
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
 
VYATTA USERS MEETING Autumn 2013_idcf
VYATTA USERS MEETING Autumn 2013_idcfVYATTA USERS MEETING Autumn 2013_idcf
VYATTA USERS MEETING Autumn 2013_idcf
 

Dernier

Dernier (10)

論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 

SD-WAN導入の現場でみえてきたアレコレ

  • 1. 小松 康二 (kkomatsu@cisco.com) Technical Marketing Engineer, Product Management - Viptela 2017年11月1日 MPLS Japan 2017 日本でも本番環境導入が急加速! SD-WAN導入の現場でみえてきたアレコレ
  • 2. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WAN この1年を振り返って
  • 3. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential CiscoによるViptela買収
  • 4. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 各SD-WANソリューションの立ち位置の明確化 ・複雑な要件に対応 ・高いスケーラビリ ティ ・直観的 ・シンプル
  • 5. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ほかにも、本番展開済みのお客様が急増中 日本では、製造業・金融機関のお客様が比較的多い印象 日本での本番環境での導入の加速 http://itpro.nikkeibp.co.jp/atcl/column/17/060200225/060200004/
  • 6. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 日本の企業の本番環境での、Cisco SD-WAN (Viptela) のデプロイを ご一緒させていただいた経験からご紹介 • 実際に遭遇したトラブル • たびたび議論になったこと 1. IPsecがつながらない 2. インターネットブレークアウトがうまくうごかない 3. 移行設計 4. オンプレ構築 今日の発表は
  • 7. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential IPsecがつながらない.. (SD-WANに限った話ではありませんが)
  • 8. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • コントローラーを使ってNAT Traversalを実現するなど SD-WANルータをNAT/NAPTの裏側におくのはOK PUBLIC PRIVATE ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ipv4 1.1.1.22 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up 1.1.1.125 C,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up 1.1.1.22 biz-internet ipsec 1.1.1.25 C,I,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up 1.1.1.125 C,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up 1.1.1.33 mpls ipsec 1.1.1.25 C,I,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up 1.1.1.125 C,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up 1.1.1.44 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up 1.1.1.125 C,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up Source NAT Source NAT Internet SD-WAN ルータ SD-WAN ルータ
  • 9. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • Source NAT/NAPTでも、実際の挙動は細かく分かれる • Mapping Behavior • Filtering Behavior • Hairpin etc.. • Endpoint-dependent Mappingを行うNAT機器にはNAT Traversalが有 効に機能しない (古い用語ではSymmetric NAT) ただし、例外もある 内部リソース 192.168.100.1:12346 同一の内部リソースが、外部の複数のリソースと 通信する場合に、異なるアドレスもしくはポート番号に 変換されるケース Source NAT (Endpoint-dependent Mapping)
  • 10. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 両端がEndpoint-dependent Mappingの場合には、そのままではIPsec トンネルがあがらない • 全拠点にEndpoint-dependent Mapping機器があると大変… • ハブ&スポークならハブサイトだけ、フルメッシュなら全サイトで対策 • 対策 • Endpoint-dependent MappingはハイエンドFirewallに比較的特有の実装 • 各社のデフォルト設定や、設定変更の可否が異なる • Fortinetさん、Juniperさん、SonicWallさん、Palo Altoさん、Cisco ASA (?) • 1:1 SNATは広く使える対策 (ただしIPが必要) • IPがなければ、Port指定でStatic NAPTを構成(機器冗長時には異なるポートを使 うよう設定) Endpoint-dependent Mappingにあたると ※ 実際には、Filtering behaviorとの組み合わせでより細かい条件があるものの、ここでは省略させていただきます
  • 11. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANルータの前にFirewallを置く設計をとらない • 直接回線につないでも安心なSD-WANルータを選択する • FirewallはSD-WANルータの内側に設置し、データが復号化されたあとの トラフィックを検査する 根本対策は… IPSec SD-WANルータ コントローラー 対向 SD-WANルータ CPU パケット フォワーディング コントロールプレーンの ポリシング  300pps per flow  5,000pps その他の 通信  Default Deny: All  Default Allow: ICMP, DNS, DHCP  Manual Allow: SSH, NTP  Default Deny: All  Allow: 明示的に許可されたIPと ポートのみ (vBondから学習)  Default Deny: All  Allow: 明示的に許可されたvEdge (vSmartから学習)
  • 12. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • いまだに適切にNAPTがなされないケースも • 異なるIPを使う複数の内部リソースの変換を行えるが、ポート番号は変換 しない • 異なるIPのリソースが同じポート番号を使うと区別できない • 対策・・・機器冗長を組む場合、異なるSrc Portを使うように設定 グローバルのWAN環境のNATは多彩 内部リソースA 192.168.100.1:12346 異なる内部リソースにもかかわらず、同一のIPとポート番号に 変換されてしまい、同時に NAPT 内部リソースB 192.168.100.2:12346
  • 13. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • IPヘッダのIDフィールド • IPフラグメンテーションに利用される • フラグメント化されると、本来は最終的 にリアセンブルされるまで同じIDを使用 • AHによってOuter IPヘッダも認証 • 一部NAT機器がIDフィールドを書き換え ると、不正とみなされパケットドロップ • 解決策 • IDフィールドを認証対象からはずす Outer IPヘッダのIDフィールド書き換え問題 ご参考:IDフィールドの書き換えについての考察 (by Cisco進藤) http://blog.shin.do/2017/06/natは意外と難しい/
  • 14. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential インターネットブレークアウトが うまく動かない
  • 15. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SaaS Providerは複数のサービスに共通インフラを使用するケースが ある (認証機能など) • 同じNATポイントからインター ネットに出す必要がある • ポリシーをカスタマイズする 際には要注意 大規模なSaaSの実装はシンプルではない Internet DCデータセンター SD-WAN ルータ WAN 拠点 SD-WAN ルータ ユーザ nat nat インターネットブレークアウト (ローカルエグジット) セントラルエグジット
  • 16. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SaaSによっては、関連するリソースが社内データセンターと併用さ れているケースがある • インターネットブレークアウト とオーバーレイルーティングを 慎重に設計 Office 365とオンプレOffice機能の併用 Internet DC WAN ユーザ データセンター SD-WAN ルータ拠点 SD-WAN ルータ
  • 17. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • DPI機能 (アプリケーション識別) はSD-WANのキモの1つ • WAN最適化装置の最適化によって、SD-WANルータのDPIが影響をうける と、意図通りに動かないことも • 対策例 – DSCPによる連携、WCCPでの連携 WAN最適化装置がアプリケーション識別に影響 SD-WANルータ WAN / Internet WAN最適化装置 WAN最適化 LAN側 トラフィックがただしく判別できない DPI
  • 18. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential よくある議論 – 移行設計
  • 19. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • (少なくともViptelaの)SD-WANルータは完全に独立したルーティングドメイン(VPN)を複数もつ • インターフェースやルーティングの設定は、個々のルーティングドメインの中で行う • WANとLANのルーティングは最初から明確にわかれていて混在しない • LAN側に複数のドメイン(VPN)をつくると、WANを論理的な面にわけることができる(VRFの代替) • LAN側の経路は全てコントローラー経由で他の拠点のルータに広告される • トンネルのなかにルーティングプロトコルを流すことはない WANとLANのルーティングの独立 MPLS Internet WAN (VPN 0) IF IF LAN (VPN 1) LAN (VPN 2) IF IF SD-WAN ルータ
  • 20. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • そのままつなぐと、既存ルータの拠点のLAN側は、SD-WANルータ のLAN側とつながらない 非SD-WAN拠点との通信 (NGケース) WANLAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ MPLS IFIF 既存ルータ
  • 21. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 中央のサイトをSD-WANと非SD-WANのハブとしてつなぐ • ハブサイトは、LAN側のルーティングドメインにも直接WANをつなぎこむ • ハブを介して相互に経路を広告 • メッシュ化も可能 非SD-WAN拠点との通信 (ハブパターン) WANLAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ MPLS IFIF 既存ルータIF
  • 22. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANサイト間の通信は新回線で、非SD-WANサイトとの通信は旧回線で通信 • 旧回線で経路集約すると、SD-WANサイト間の通信はLongest Matchでオーバーレイを自動優先 • SD-WAN移行が完了すれば、旧回線を解約 非SD-WAN拠点との通信 (回線切り替えと並行) WAN LAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ 旧 MPLS IFIF 既存ルータ IF 新 MPLS IF
  • 23. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANのもつセグメンテーションへの移行 • 移行期間中はSD-WANセグメント(LAN側)とVRFを直接接続しておく Router-A Router ハブ MPLS SD-WANルータ VRF 1 WAN LAN VPN 1 VPN 0 VPN 1 VRF 2LAN VPN 2 LAN LAN VPN 3 VRF 3 VPN 2 SD-WANルータ Router-B VRF 1 VRF 2 非SD_WAN 非SD_WAN SD-WAN VPN 1 SD-WAN VPN 2 Multi VRFからの移行 (移行期間中)
  • 24. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WANルータ Router Data Center (Hub) MPLS SD-WANルータ VPN 0 VPN 0 VPN 1 VPN 1 etc. VPN 2 SD-WANルータ SD-WANルータ Branch-B VPN 2 Branch-A VPN 1 Branch-C VPN 1 Branch-C VPN 2 • 移行完了後はWAN側にマルチVRF不要 Multi VRFからの移行 (移行完了後) VPN 0 VPN 0 VPN 1 VPN 2 ipsec ipsec
  • 25. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential よくある議論 – オンプレでの構築
  • 26. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential コントローラーをオンプレ環境に構築する 4G/LTE MPLS イン ター ネット Viptela クラウド、マネージドクラウド もしくは、オンプレ環境 コントローラーと マネージメント セキュアな フルメッシュ データプレーン セキュアな コントロールプレーン REST API GUI SD-WAN コントローラー SD-WAN ルータ
  • 27. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential インターネットなしでゼロタッチを実現する ゼロタッチ立ち上げ用 サーバ SD-WAN コントローラ SD-WAN ルータ 1 2 3 4
  • 28. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 閉域網に直接接続してのゼロタッチを実現する WAN SD-WAN ルータ PE DHCPなし • IPアドレスは? • 経路は? • 名前解決は? • コントローラーの場所は?
  • 29. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential まとめ
  • 30. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WAN のユースケース 企業WANの最適化 パブリッククラウドへ の対応 可視化・オペレー ションの簡素化 日本でも確実に導入が増えています!