みなさま、こんにちは。
SB C&SでVMware SD-WAN by VeloCloudの製品担当をしている、平田と申します。
このブログでは、「VMware SD-WAN by VeloCloudのEditionの違い」について、ご説明いたします。
※過去の記事はこちらから!
■はじめに
VMware SD-WANのセールスサポートをしている中で、お客様からライセンスの選定について、
「3つのEditionがあるが、どう違うのか」「こういうことをしたいのだが、どのEditionを選定すればよいのか」など、ご質問を受けることがあります。
製品紹介のサイトにEdition別の機能を示す表がありますが、記載されている機能が不明のため何が違うのか解らない、という声だと思います。
今回は、Editionの差がある機能を簡単に説明し、その違いをご紹介します。
比較するEditionですが、VMware SD-WANの特徴的であるダイナミックな機能を発揮できる、Enterprise、Premium サブスクリプション を比較して、ご説明していきます。
■Enterprise、PremiumのEditionの差
VMware SD-WANは様々な展開シナリオに対応するため、3つのサブスクリプション エディションをご用意しています。
以下の表は、それぞれの機能差を表しております。
「VMware SD-WAN Gateway サービス」と「Cloud Scale VPN」です。
この差は、「VMware SD-WAN Gatewayにトラフィックを流すか」が対象となっており、
「VMware SD-WAN Gateway サービス」「Cloud Scale VPN」の項目は、共にVMware SD-WAN Gatewayにトラフィックを流す動作をします。
それでは、この2つの機能がどういったものか、見ていきましょう。
※補足
VMware SD-WAN GatewayはVMware SD-WAN構成要素として必須のコンポーネントです。
VMware SD-WAN Edgeを展開すると、自動的にVMware SD-WAN Gatewayとコネクションを構成されますが、
この動作は、VMware SD-WAN Controllerとしての動きとなります。
そのため、本ブログは、「VMware SD-WAN Gatewayの機能を使う」と表現はせず、
「VMware SD-WAN Gatewayにトラフィックを流すか」と表現しております。
※詳細は、過去の投稿をご覧ください。
■VMware SD-WAN Gateway サービス
文字通り、VMware SD-WAN Gatewayがゲートウェイとして動作する機能です。
以下の4つの構成から各サイトに接続されます。
※下記はWebアクセスを挙げた例のため、実際はWebアクセスに限った動作ではありません。
1.VMware SD-WAN Gatewayからインターネット接続
この接続方式ではVMware SD-WAN Gatewayからインターネットアクセスが可能です。
VMware SD-WAN Gatewayはクラウド上にあるため、拠点(VMware SD-WAN Edge)からインターネットアクセスへの通信にVMware SD-WANの回線補正技術を使うことが可能です。これにより、拠点の回線品質の影響を少なくし、ユーザエクスペリエンスを高めることができます。
この場合、Webサイトが受信するパケットのSource IPアドレスは、VMware SD-WAN Gatewayのアドレスになります。
2.レガシールータとのVPN接続
一般的なVPNルータとVMware SD-WANを接続する場合、VMware SD-WANではNon-VeloCloud Site(略してNVS)接続とされ、以下の図のように、VMware SD-WAN GatewayとIPSecVPNを構成します。
VMware SD-WAN GatewayにVPN接続の対向設定する際、一部のVPNルータ用のサンプル設定を出力することができます。
3.クラウドセキュリティサービスとの接続
クラウドセキュリティサービスを利用する場合、
以下の図のように、VMware SD-WAN GatewayとIPSecVPNを構成します。
PCからの送信されるトラフィックは、
VMware SD-WAN Edge、VMware SD-WAN Gateway、クラウドセキュリティサービスの順に経由され、保護された通信を実現することが可能となります。
※VMware SD-WAN Edgeが直接クラウドセキュリティサービスと接続する手法もあります。
4.Azure Virtual WANとの接続
Azure Virtual WANとの接続ですが、、
※事前にAzure側の準備が必要です。
■Cloud Scale VPN
Cloud Scale VPNとは、Cloud VPNのBranch to Branch VPN(拠点間VPN)で指定するHUBをVMware SD-WAN Gatewayで構成する機能です。
VMware SD-WANでは、Branch to Branch VPNを構成する場合、
下記の2つの構成から選択します。
|
HUBを使用する構成 |
VMware SD-WAN Gatewayを使用する構成 (Cloud Scale VPN) |
|
|
|
「HUBを使用する構成」では、お客様のVMware SD-WAN Edgeの中からHUBを選定します。
VMware SD-WANにおけるHUBは、一般的なインターネットVPNで利用するHUBと同じデメリットが生じ、下記のような対策を検討する必要があります。
- HUBは拠点数分のVPN接続が必要となるため、高スペック機器が必要
- HUBはダウンするとVPN接続ができないため、可用性が必要
- トラフィックが集中するため、広帯域が必要
対して、「VMware SD-WAN Gatewayを使用する構成(Cloud Scale VPN)」の場合、
VMware SD-WAN GatewayがHUBとして働くため、HUBのデメリットをVMware SD-WAN Gatewayに負担させることができます。
よってお客様は、HUBのデメリットを考慮する必要がなくなります。
なお、VMware SD-WANでは、Dynamic Branch to Branch VPN、いわゆるメッシュ構成を構成することも可能です。
一般的にメッシュ構成のトポロジーでは、HUBは不要となりますが、VMware SD-WANの場合、Initial TrafficがHUB経由となるため、HUBが不必要とはなりません。
■さいごに
今回はEnterprise、PremiumのEditionの差となる、2つの機能「VMware SD-WAN Gateway サービス」と「Cloud Scale VPN」をご紹介しました。
Premiumサブスクリプションは、VMware SD-WAN Gatewayを利用することができるため、大変便利になることがご理解頂けたかと思います。
「VMware SD-WAN以外のサイトと接続する」や「HUB機能はサービスで提供する」といった場合、Premiumサブスクリプションを必要とするケースが多いと思います。
※本記事内にある「VMware SD-WAN Gateway サービス」-「2.レガシールータとのVPN接続」の構成のみ、EnterpriseサブスクリプションにNVSオプションをアドオンし、利用することができます。
引き続き様々な視点からVMware SD-WANの優位性や魅力をお伝えしてまいりますので、他の記事にもご期待ください。
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
平田 裕介 - Yusuke Hirata -
VMware vExpert
NW機器メーカ、SIerでインフラエンジニアの経歴を経て、SB C&Sに入社。
SIer時代にサーバ仮想化と出会い、人生が大きく変わる。
