Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

SD-WAN導入の現場でみえてきたアレコレ

MPLS Japan 2017での発表資料です。

  • Identifiez-vous pour voir les commentaires

SD-WAN導入の現場でみえてきたアレコレ

  1. 1. 小松 康二 (kkomatsu@cisco.com) Technical Marketing Engineer, Product Management - Viptela 2017年11月1日 MPLS Japan 2017 日本でも本番環境導入が急加速! SD-WAN導入の現場でみえてきたアレコレ
  2. 2. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WAN この1年を振り返って
  3. 3. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential CiscoによるViptela買収
  4. 4. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 各SD-WANソリューションの立ち位置の明確化 ・複雑な要件に対応 ・高いスケーラビリ ティ ・直観的 ・シンプル
  5. 5. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ほかにも、本番展開済みのお客様が急増中 日本では、製造業・金融機関のお客様が比較的多い印象 日本での本番環境での導入の加速 http://itpro.nikkeibp.co.jp/atcl/column/17/060200225/060200004/
  6. 6. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 日本の企業の本番環境での、Cisco SD-WAN (Viptela) のデプロイを ご一緒させていただいた経験からご紹介 • 実際に遭遇したトラブル • たびたび議論になったこと 1. IPsecがつながらない 2. インターネットブレークアウトがうまくうごかない 3. 移行設計 4. オンプレ構築 今日の発表は
  7. 7. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential IPsecがつながらない.. (SD-WANに限った話ではありませんが)
  8. 8. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • コントローラーを使ってNAT Traversalを実現するなど SD-WANルータをNAT/NAPTの裏側におくのはOK PUBLIC PRIVATE ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ipv4 1.1.1.22 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up 1.1.1.125 C,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up 1.1.1.22 biz-internet ipsec 1.1.1.25 C,I,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up 1.1.1.125 C,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up 1.1.1.33 mpls ipsec 1.1.1.25 C,I,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up 1.1.1.125 C,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up 1.1.1.44 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up 1.1.1.125 C,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up Source NAT Source NAT Internet SD-WAN ルータ SD-WAN ルータ
  9. 9. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • Source NAT/NAPTでも、実際の挙動は細かく分かれる • Mapping Behavior • Filtering Behavior • Hairpin etc.. • Endpoint-dependent Mappingを行うNAT機器にはNAT Traversalが有 効に機能しない (古い用語ではSymmetric NAT) ただし、例外もある 内部リソース 192.168.100.1:12346 同一の内部リソースが、外部の複数のリソースと 通信する場合に、異なるアドレスもしくはポート番号に 変換されるケース Source NAT (Endpoint-dependent Mapping)
  10. 10. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 両端がEndpoint-dependent Mappingの場合には、そのままではIPsec トンネルがあがらない • 全拠点にEndpoint-dependent Mapping機器があると大変… • ハブ&スポークならハブサイトだけ、フルメッシュなら全サイトで対策 • 対策 • Endpoint-dependent MappingはハイエンドFirewallに比較的特有の実装 • 各社のデフォルト設定や、設定変更の可否が異なる • Fortinetさん、Juniperさん、SonicWallさん、Palo Altoさん、Cisco ASA (?) • 1:1 SNATは広く使える対策 (ただしIPが必要) • IPがなければ、Port指定でStatic NAPTを構成(機器冗長時には異なるポートを使 うよう設定) Endpoint-dependent Mappingにあたると ※ 実際には、Filtering behaviorとの組み合わせでより細かい条件があるものの、ここでは省略させていただきます
  11. 11. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANルータの前にFirewallを置く設計をとらない • 直接回線につないでも安心なSD-WANルータを選択する • FirewallはSD-WANルータの内側に設置し、データが復号化されたあとの トラフィックを検査する 根本対策は… IPSec SD-WANルータ コントローラー 対向 SD-WANルータ CPU パケット フォワーディング コントロールプレーンの ポリシング  300pps per flow  5,000pps その他の 通信  Default Deny: All  Default Allow: ICMP, DNS, DHCP  Manual Allow: SSH, NTP  Default Deny: All  Allow: 明示的に許可されたIPと ポートのみ (vBondから学習)  Default Deny: All  Allow: 明示的に許可されたvEdge (vSmartから学習)
  12. 12. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • いまだに適切にNAPTがなされないケースも • 異なるIPを使う複数の内部リソースの変換を行えるが、ポート番号は変換 しない • 異なるIPのリソースが同じポート番号を使うと区別できない • 対策・・・機器冗長を組む場合、異なるSrc Portを使うように設定 グローバルのWAN環境のNATは多彩 内部リソースA 192.168.100.1:12346 異なる内部リソースにもかかわらず、同一のIPとポート番号に 変換されてしまい、同時に NAPT 内部リソースB 192.168.100.2:12346
  13. 13. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • IPヘッダのIDフィールド • IPフラグメンテーションに利用される • フラグメント化されると、本来は最終的 にリアセンブルされるまで同じIDを使用 • AHによってOuter IPヘッダも認証 • 一部NAT機器がIDフィールドを書き換え ると、不正とみなされパケットドロップ • 解決策 • IDフィールドを認証対象からはずす Outer IPヘッダのIDフィールド書き換え問題 ご参考:IDフィールドの書き換えについての考察 (by Cisco進藤) http://blog.shin.do/2017/06/natは意外と難しい/
  14. 14. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential インターネットブレークアウトが うまく動かない
  15. 15. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SaaS Providerは複数のサービスに共通インフラを使用するケースが ある (認証機能など) • 同じNATポイントからインター ネットに出す必要がある • ポリシーをカスタマイズする 際には要注意 大規模なSaaSの実装はシンプルではない Internet DCデータセンター SD-WAN ルータ WAN 拠点 SD-WAN ルータ ユーザ nat nat インターネットブレークアウト (ローカルエグジット) セントラルエグジット
  16. 16. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SaaSによっては、関連するリソースが社内データセンターと併用さ れているケースがある • インターネットブレークアウト とオーバーレイルーティングを 慎重に設計 Office 365とオンプレOffice機能の併用 Internet DC WAN ユーザ データセンター SD-WAN ルータ拠点 SD-WAN ルータ
  17. 17. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • DPI機能 (アプリケーション識別) はSD-WANのキモの1つ • WAN最適化装置の最適化によって、SD-WANルータのDPIが影響をうける と、意図通りに動かないことも • 対策例 – DSCPによる連携、WCCPでの連携 WAN最適化装置がアプリケーション識別に影響 SD-WANルータ WAN / Internet WAN最適化装置 WAN最適化 LAN側 トラフィックがただしく判別できない DPI
  18. 18. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential よくある議論 – 移行設計
  19. 19. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • (少なくともViptelaの)SD-WANルータは完全に独立したルーティングドメイン(VPN)を複数もつ • インターフェースやルーティングの設定は、個々のルーティングドメインの中で行う • WANとLANのルーティングは最初から明確にわかれていて混在しない • LAN側に複数のドメイン(VPN)をつくると、WANを論理的な面にわけることができる(VRFの代替) • LAN側の経路は全てコントローラー経由で他の拠点のルータに広告される • トンネルのなかにルーティングプロトコルを流すことはない WANとLANのルーティングの独立 MPLS Internet WAN (VPN 0) IF IF LAN (VPN 1) LAN (VPN 2) IF IF SD-WAN ルータ
  20. 20. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • そのままつなぐと、既存ルータの拠点のLAN側は、SD-WANルータ のLAN側とつながらない 非SD-WAN拠点との通信 (NGケース) WANLAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ MPLS IFIF 既存ルータ
  21. 21. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 中央のサイトをSD-WANと非SD-WANのハブとしてつなぐ • ハブサイトは、LAN側のルーティングドメインにも直接WANをつなぎこむ • ハブを介して相互に経路を広告 • メッシュ化も可能 非SD-WAN拠点との通信 (ハブパターン) WANLAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ MPLS IFIF 既存ルータIF
  22. 22. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANサイト間の通信は新回線で、非SD-WANサイトとの通信は旧回線で通信 • 旧回線で経路集約すると、SD-WANサイト間の通信はLongest Matchでオーバーレイを自動優先 • SD-WAN移行が完了すれば、旧回線を解約 非SD-WAN拠点との通信 (回線切り替えと並行) WAN LAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ 旧 MPLS IFIF 既存ルータ IF 新 MPLS IF
  23. 23. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANのもつセグメンテーションへの移行 • 移行期間中はSD-WANセグメント(LAN側)とVRFを直接接続しておく Router-A Router ハブ MPLS SD-WANルータ VRF 1 WAN LAN VPN 1 VPN 0 VPN 1 VRF 2LAN VPN 2 LAN LAN VPN 3 VRF 3 VPN 2 SD-WANルータ Router-B VRF 1 VRF 2 非SD_WAN 非SD_WAN SD-WAN VPN 1 SD-WAN VPN 2 Multi VRFからの移行 (移行期間中)
  24. 24. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WANルータ Router Data Center (Hub) MPLS SD-WANルータ VPN 0 VPN 0 VPN 1 VPN 1 etc. VPN 2 SD-WANルータ SD-WANルータ Branch-B VPN 2 Branch-A VPN 1 Branch-C VPN 1 Branch-C VPN 2 • 移行完了後はWAN側にマルチVRF不要 Multi VRFからの移行 (移行完了後) VPN 0 VPN 0 VPN 1 VPN 2 ipsec ipsec
  25. 25. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential よくある議論 – オンプレでの構築
  26. 26. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential コントローラーをオンプレ環境に構築する 4G/LTE MPLS イン ター ネット Viptela クラウド、マネージドクラウド もしくは、オンプレ環境 コントローラーと マネージメント セキュアな フルメッシュ データプレーン セキュアな コントロールプレーン REST API GUI SD-WAN コントローラー SD-WAN ルータ
  27. 27. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential インターネットなしでゼロタッチを実現する ゼロタッチ立ち上げ用 サーバ SD-WAN コントローラ SD-WAN ルータ 1 2 3 4
  28. 28. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 閉域網に直接接続してのゼロタッチを実現する WAN SD-WAN ルータ PE DHCPなし • IPアドレスは? • 経路は? • 名前解決は? • コントローラーの場所は?
  29. 29. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential まとめ
  30. 30. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WAN のユースケース 企業WANの最適化 パブリッククラウドへ の対応 可視化・オペレー ションの簡素化 日本でも確実に導入が増えています!

×